CN104378283B - 一种基于客户端/服务器模式的敏感邮件过滤系统及方法 - Google Patents

Abstract

本发明公开了一种基于客户端/服务器模式的敏感邮件过滤系统及方法，特别是一种不需要邮件代理服务器或者邮件网关的实时过滤敏感邮件的方法。所述方法能够对发送邮件的标题、正文、附件名称、附件内容进行实时检测、分析、拦截。

Description

一种基于客户端/服务器模式的敏感邮件过滤系统及方法

技术领域

本发明涉及一种基于客户端/服务器模式的敏感邮件过滤系统及方法。

背景技术

电子邮件（简称邮件）已经成为互联网上最基本的通讯工具。在给人们带来方便的同时，也带来了诸多安全问题，其中邮件的敏感泄密就是其中一个很重要的问题。主要体现在以下几个方面：一是邮件本身就是一条泄密通道，内部恶意用户可以主动使用邮件系统发送敏感信息到外部网络，造成泄密。二是邮件的存储范围难以控制，收发邮件存储在邮件服务器，用户对服务器没有控制权；如果服务器遭到入侵，敏感数据很容易遭到泄露。三是邮件容易在传输过程被截获，邮件在网络中默认是明文传输，因此用户的数据很容易因为“监听”被恶意用户盗取；即使使用了安全套接层(SSL)对E-mail进行加密传输，也只能保证用户到邮件服务器之间的数据传输不能被监听，而邮件服务器之间的数据传输仍然使用明文数据。为此，处于信息的安全保密要求，需对用户所发送的邮件进行检测，对于含有敏感关键字的邮件在网络传输之前进行拦截，从源头防止由于邮件造成的内部数据泄密。

当前关于敏感邮件拦截方法采用的是基于邮件网关或者邮件代理服务器的方式进行拦截。专利(201010539807.4)“一种基于邮件截获的电力敏感信息检测方法”公开了一种基于邮件截获的电力敏感信息检测方法，主要是能捕获并解析局域网内所有主机通过邮件客户端以及部分网络邮箱发送的邮件，且能判断邮件中是否含有电力部门的网络敏感信息,并对含有敏感信息的邮件做出报警。但是，该方法只能对含有敏感信息邮件进行捕获并报警，并不能做到实时拦截，不能避免敏感信息的外泄。专利（201310143840.9）公开了一种基于代理技术的邮件过滤方法，其原理为邮件传输代理从所述邮件中提取出关键信息，并判断所述关键信息是否与预设的过滤条件匹配；如果是，邮件传输代理拦截所述邮件。但是该方法只能针对附件类型、主题、正文、域名、收件人个数和发件人/收件人等属性进行过滤，无法实现对附件内容进行检测过滤，该方法中的邮件代理服务器串联在网络链路上，会引入单点故障风险，同时该方法无法实现对发送敏感信息客户端的告警提示。

总之，当前已公开的方法无法解决含有敏感信息邮件的实时拦截问题。因此需要设计一种能够在不引入带宽瓶颈和网络单点故障风险条件下，对敏感邮件标题、正文、附件标题及内容、收件人、发件人和域名等属性进行检测，对发现含敏感关键字邮件进行实时拦截阻断，对敏感信息集中告警和审计，将邮件中敏感关键字返回客户端提示发件人的敏感邮件拦截方法。

发明内容

本发明的目的是提供一种邮件实时拦截方法，该方法构建客户端/服务器（C/S）模块，客户端模块实现对敏感关键字的检测、敏感邮件拦截及提示，服务器实现敏感信息检测策略的下发，敏感邮件的日志的采集和分析，敏感邮件的集中告警。

本发明的技术方案是：一种基于客户端/服务器模式的敏感邮件过滤系统，包括一台作为服务器的计算机和至少一台作为客户端的计算机，所述的服务器和客户端互相通信连接，服务器上设有服务器模块，客户端上设有客户端模块，客户端模块包括敏感邮件检测客户端模块，服务器模块包括敏感邮件检测服务端模块和数据库模块，所述的敏感邮件检测客户端模块包括敏感关键字检测子模块、LSP过滤子模块、文件过滤驱动子模块、通信代理子模块、策略服务子模块、用户界面子模块，所述的敏感邮件检测服务端模块包括策略配置子模块、策略下发子模块、认证子模块和日志子模块。

所述的系统，

所述的敏感关键字检测子模块为基于Wu-Manber多模匹配算法的静态库文件模块，用于将GB2312、Unicode和UTF-8三种不同编码格式的模式串引入到敏感邮件的预处理过程中，并对这三种编码格式的模式串进行检索；

所述的LSP过滤子模块用于捕获从本客户端计算机发送的网络数据包，并对网络数据包进行解析；

所述的文件过滤驱动子模块用于向策略服务子模块提供文件全路径名查询接口，以提供所查询文件对应的全路径名称；

所述的通信代理子模块用于文件过滤驱动子模块与策略服务子模块之间的数据通信；

所述的策略服务子模块存储过滤系统的全局策略，并提供关键字接口，服务器模块通过关键字接口将敏感关键字下发至策略服务子模块；

用户界面子模块使用策略服务子模块提供的策略查询接口，以向用户展示当前系统的策略，并同时提供用于向用户展示敏感关键字的信息接口。

所述的系统，

所述的策略配置子模块包含一个用于策略配置的用户界面和一个后台服务程序，用于存储并配置整个系统的策略，并使用策略下发子模块将策略下发至所有注册的客户端；

所述的策略下发子模块用于在后台监听客户端连接的端口，并进行客户端验证，同时向策略配置子模块提供策略下发接口，以将服务器全局策略下发至各个客户端，并利用策略服务子模块提供的敏感关键字接口，更新客户端的敏感关键字列表；

所述的认证子模块用于验证客户端合法性，当客户端程序登陆到服务器时，认证子模块提取客户端的唯一认证码，并比对数据库中的信息，判断客户端的合法性；

日志子模块用于记录用户行为数据，并提供日志存储接口，客户端可以将信息发送至日志子模块，以存储客户端的行为。

一种基于客户端/服务器模式的敏感邮件过滤方法，包括以下步骤：

第一步，构建如权利要求1-3任一所述的系统；

第二步，服务器通过策略配置子模块配置敏感关键字；

第三步，服务器启动策略下发子模块，监听客户端连接；

第四步，服务器通过认证子模块配置需认证客户端的用户名、密码和IP地址；

第五步，客户端启动策略服务子模块，将主动向服务器发起连接请求，服务器通过认证子模块对客户端的连接进行认证，客户端通过认证后，服务器的策略下发模块则将敏感关键字实时下发至策略服务子模块，转到第六步。否则，拦截所有数据包，调用用户界面子模块，提示认证失败；

第六步，客户端启动文件过滤驱动子模块，缓存应用程序最近访问的文件路径名至操作系统内核中，以便当策略服务子模块发送文件名查询文件路径时，该模块将返回文件名的全路径名称；

第七步，客户端启动LSP过滤子模块，该模块在客户端捕获客户端计算机中所有使用网络发送的数据包，LSP过滤子模块分析这些数据包，并截取邮件相关数据包，放行邮件无关数据包，在截取邮件相关数据包后，LSP将分析这些数据包，根据是否含有附件，将邮件数据包分为邮件正文数据包和邮件附件数据包，对于邮件附件数据包，LSP过滤模块将进一步提取附件的文件名称，最后，将邮件数据包以及对应的附件名称交由策略服务子模块处理，转到第八步，等待返回结果；

第八步，对于邮件附件数据包，策略服务子模块将通过通信代理子模块，用文件名称作为参数，向文件过滤驱动子模块查询完整的文件路径，策略服务子模块将邮件正文数据中的数据或者文件路径作为参数，传递给敏感关键字检测子模块，转到第九步，等待返回结果。

第九步，敏感关键字检测子模块采用基于多模式匹配的Wu-Manber的中英文混合模式匹配算法进行检测，判断数据包是否包含敏感关键字，如果没有发现敏感关键字，则返回“放行”，否则，返回“拦截”；

第十步，策略服务子模块获取敏感关键字检测子模块返回结果，如果为“拦截”，则向服务器发起连接请求，成功后，将发件人的用户名、IP地址、发送时间、邮件标题和附件名称发送到服务器的日志子模块，同时服务器日志子模块将日志存储到数据库中。策略服务器子模块将返回结果，返回LSP过滤子模块；

第十一步，LSP过滤子模块根据获取策略服务子模块的返回结果，如果为“拦截”，则阻断这个数据包，如果是“放行”，则放行该数据包，对于邮件附件数据包，包含文件名的第一个数据包如果没有发送成功，后面的包也不会被发送，因此只需阻止第一个数据包的发送就可以阻断邮件附件的发送操作，LSP过滤子模块调用用户界面子模块，转到第十二步；

第十二步，用户界面子模块生成一个Windows弹出窗口，将检测到敏感关键字显示在窗口中，提示用户邮件已被拦截。

所述的方法，所述的第二步中，敏感关键字为用户根据需要进行定义的字或词。

所述的方法，所述的第五步中，连接请求中包括客户端的IP地址、用户名和密码。

所述的方法，所述的第七步中，客户端计算机中所有使用网络发送的数据包包括本地使用浏览器或者邮件客户端发送的邮件相关数据包，也包括其它的应用程序发送的邮件无关数据包。

所述的方法，所述的第九步中，敏感关键字检测子模块采用基于多模式匹配的Wu-Manber的中英文混合模式匹配算法进行检测的流程如下：

(1)调用策略服务子模块，获取敏感关键字；

(2)将敏感关键字处理成GB2312、Unicode、UTF-8 三种编码格式；

(3)判断待检测内容类型，如果为数据型，则调用敏感关键字检测子模块的数据型接口对原始目标字符串进行关键字匹配；如果待检测内容为文件型，则调用敏感关键字检测子模块的文件型接口对文件内容进行关键字匹配。具体地，对于附件类型为office 2003文档、WPS 文档、本文档文档，直接读取文件的二进制数据至内存中，并使用多模匹配算法对内存数据进行关键字匹配；对于ZIP/RAR文件和Office2007及以上版本的文件，将文件内容解压缩至内存中，对于嵌套压缩的情况，需进行递归解压缩，然后使用多模匹配算法对内存数据进行关键字匹配；对于pdf文件，则解析并提取出PDF文件中的文本内容，再使用多模匹配算法对内存数据进行关键字匹配；

(4)判断数据包是否包含敏感关键字，如果没有发现敏感关键字，则返回“放行”，否则，返回“拦截”。

与现有技术相比，本发明有以下技术优点：

1、该方法基于客户端服务器模式，实现邮件拦截功能的客户端部署在用户计算机上，跟传统的基于邮件代理和网关技术相比，并不需要邮件代理服务器或者邮件网关来实现，这一方面，不会带来网络单点故障风险，在客户端出现故障后，不会影响其他网络业务；另一方面，能够实现对敏感邮件的实时拦截，防止敏感信息通过邮件传播；

2、该方法基于客户端服务器模式，实现邮件拦截功能的客户端部署在用户计算机上，对于邮件附件内容的检测由客户端模块完成，能够实现对任意大附件内容的关键字过滤，且不会产生计算瓶颈。对于150MB的大附件，该方法仅需要不到2秒的时间来进行检测，远远小于通过网络上传这个附件所需要的时间。

3、该方法中敏感关键字检测子模块除能够实现对发送邮件的标题、正文、附件名称过滤外，还能对txt, txt、rtf、zip、rar、pdf、wps、et、dps、doc、xls、ppt、docx、xlsx、pptx等常见附件格式内容数据的检测和过滤。

4、该方法既能够把拦截到的敏感关键字在客户端显示，友好的提示发件人，同时又能够在服务器实现集中告警，便用信息安全管理员进行安全管理。

下面结合附图对本发明作进一步说明。

附图说明

图1是本发明第一步构建的敏感邮件拦截系统结构图；

图2是本发明提供的LSP过滤子模块流程图；

图3本发明提供的策略服务子模块流程图；

图4 本发明提供的敏感关键字检测子模块流程图。

具体实施方式

实施本发明的第一步是，搭建敏感邮件拦截系统，系统由客户端和服务器构成。

客户端是安装有敏感邮件检测客户端模块的用户计算机，负责如下工作：（1）敏感关键字的检测，对邮件数据进行多关键字搜索，以确定邮件是否包含敏感关键字；（2）邮件拦截，对用户发送的敏感邮件进行拦截；（3）策略更新，策略服务模块完成策略更新操作，根据服务器下发的策略执行更新，以实时调整客户的安全策略；（4）敏感邮件提醒，把拦截的敏感邮件中所含的关键字，以弹出界面的方式返回给用户。

服务器是安装有敏感邮件检测服务端模块和数据库模块的计算机，该计算机部署在与客户端路由可达的网络中的任意位置。敏感邮件检测服务端模块负责如下工作：（1）全局策略配置，定义敏感关键字；（2）策略下发，将策略下发至客户端，并使之生效。（3）客户端认证，对每个客户端的身份信息进行认证。（4）日志收采集与分析，采集邮件发送日志并存储到数据库模块中，实现敏感信息的集中告警和审计。数据库模块安装了Oracle数据库程序，负责存储敏感邮件检测服务器模块采集的日志数据。

敏感邮件检测客户端模块由敏感关键字检测子模块、LSP（Layered ServiceProvider， LSP）过滤子模块、文件过滤驱动子模块、通信代理子模块、策略服务子模块、用户界面子模块组成。

敏感关键字检测子模块是一个集成和改进了Wu-Manber多模匹配算法的静态库文件。该模块在Wu-Manber算法的基础上，将GB2312、Unicode和UTF-8三种不同编码格式的模式串引入到算法的预处理过程中，使算法可以对这三种编码格式的模式串进行检索；在算法应用过程中加入对压缩格式和PDF格式的支持，使算法可支持对当前主流邮件格式和附件格式的检索。它提供数据型和文件型两种调用接口，分别用于对附件类型、主题、正文、域名、收件人个数和发件人/收件人等缓存区数据和对邮件附件等磁盘文件的关键字检索。

LSP过滤子模块是一个Windows Service Provider Interface(SPI) 服务程序，该服务程序通过Layered Service Provider(LSP)提供的接口来捕获从本机发送的网络数据包，并对网络数据包进行解析。当用户使用不加密Web邮箱或邮件客户端进行邮件发送操作时，LSP过滤模块可以捕获到邮件相关的数据包，并解析出邮件关键信息，如发件人地址、收件人地址、邮件标题、邮件正文、附件名称（如果有）等。

文件过滤驱动子模块是一个Windows文件过滤驱动程序，该过滤驱动程序将自己加载到Windows操作系统内核态的文件系统中，并向策略服务子模块提供文件全路径名查询接口，当应用层程序发送一个文件名至这些接口时，会得到文件对应的全路径名称。

通信代理子模块的功能是在内核层与应用层的程序中建立起一条通信管道，用于文件过滤驱动子模块与策略服务子模块之间的数据通信。

策略服务子模块是一个Windows服务子程序。该子模块存储系统的全局策略，并提供关键字获取接口，服务器模块通过该接口将敏感关键字下发至该模块。此外，当LSP过滤子模块检测到邮件附件名时，策略服务子模块会调用文件过滤驱动子模块的全路径查询接口，以得到文件对应的全路径名称。

用户界面子模块是一个用于展示当前系统状态的程序，该程序使用策略服务子模块提供的策略查询接口，向用户展示当前系统的策略。同时该模块向LSP过滤子模块提供提示信息接口，当敏感关键字检测子模块发现敏感关键字时，通过该接口的调用，将发送的敏感关键字提示信息显示到屏幕上。

敏感邮件检测服务端模块包括策略配置子模块、策略下发子模块、认证子模块和日志子模块。

策略配置子模块包含一个用于策略配置的用户界面和一个后台服务程序，用于存储并配置整个系统的策略，并使用策略下发子模块将策略下发至所有注册的客户端。

策略下发子模块是一个运行在服务器端的后台服务程序，监听一个特定的TCP端口，等待客户端连接。策略下发模块会根据客户端发送过来的数据，进行客户端身份验证以及软件有效性验证。该程序向服务器端策略配置子模块提供策略下发接口，用于将服务器全局策略下发至各个客户端。同时该模块利用客户端策略服务子模块提供的敏感关键字更新接口，更新客户端的敏感关键字列表。

认证子模块是一个验证客户端合法性的程序，当客户端程序登陆到服务器时，该模块会提取客户端的唯一认证码，并比对数据库中的信息，判断客户端的合法性。

日志子模块是一个记录用户行为数据的服务程序，该程序提供日志存储接口，客户端可以将必要的信息，例如发现敏感关键字信息，发送至服务器端的日志子模块，用于存储客户端的行为。

第二步，服务器通过策略配置子模块配置敏感关键字，敏感关键字可自定义，如“机密”、“绝密”、“商密”、“方案”、“规划”等，关键字没有长度和个数的限制。

第三步，服务器启动策略下发子模块，监听客户端连接。

第四步，服务器通过认证子模块配置需认证客户端的用户名、密码和IP地址。

第五步，客户端启动策略服务子模块，将主动向服务器发起连接请求，连接请求中包括客户端的IP地址、用户名和密码。服务器通过认证子模块对客户端的连接进行认证。客户端通过认证后，服务器的策略下发模块则将敏感关键字实时下发至策略服务子模块，转到第六步。否则，拦截所有数据包，调用用户界面子模块，提示认证失败。

第六步，客户端启动文件过滤驱动子模块，缓存应用程序最近访问的文件路径名至操作系统内核中，以便当策略服务子模块发送文件名查询文件路径时，该模块将返回文件名的全路径名称。

第七步，客户端启动LSP过滤子模块，该模块在客户端捕获客户端计算机中所有使用网络发送的数据包，这些数据包包括本地使用浏览器或者邮件客户端发送的邮件相关数据包，也包括其它的应用程序发送的邮件无关数据包。LSP过滤子模块分析这些数据包，并截取邮件相关数据包，放行邮件无关数据包。在截取邮件相关数据包后，LSP将分析这些数据包，根据是否含有附件，将邮件数据包分为邮件正文数据包和邮件附件数据包。对于邮件附件数据包，LSP过滤模块将进一步提取附件的文件名称。最后，将邮件数据包以及对应的附件名称交由策略服务子模块处理，转到第八步，等待返回结果。

第八步，对于邮件附件数据包，策略服务子模块将通过通信代理子模块，用文件名称作为参数，向文件过滤驱动子模块查询完整的文件路径。策略服务子模块将邮件正文数据中的数据或者文件路径作为参数，传递给敏感关键字检测子模块，转到第九步，等待返回结果。

第九步，敏感关键字检测子模块采用基于多模式匹配的Wu-Manber的中英文混合模式匹配算法，其检测流程如下：

(1)调用策略服务子模块，获取敏感关键字；

(2)将敏感关键字处理成GB2312、Unicode、UTF-8 三种编码格式；

(3)判断待检测内容类型，如果为数据型，则调用敏感关键字检测子模块的数据型接口对原始目标字符串进行关键字匹配；如果待检测内容为文件型，则调用敏感关键字检测子模块的文件型接口对文件内容进行关键字匹配。具体地，对于附件类型为office 2003文档（doc、xls、ppt）、WPS 文档（wps、et、dps）、本文档（txt、rtf）文档，直接读取文件的二进制数据至内存中，并使用多模匹配算法对内存数据进行关键字匹配；对于ZIP/RAR文件和Office2007及以上版本的文件（docx、xlsx、pptx），将文件内容解压缩至内存中，对于嵌套压缩的情况，需进行递归解压缩，然后使用多模匹配算法对内存数据进行关键字匹配；对于pdf文件，则解析并提取出PDF文件中的文本内容，再使用多模匹配算法对内存数据进行关键字匹配；

(4)判断数据包是否包含敏感关键字，如果没有发现敏感关键字，则返回“放行”，否则，返回“拦截”。

第十步，策略服务子模块获取敏感关键字检测子模块返回结果，如果为“拦截”，则向服务器发起连接请求，成功后，将发件人的用户名、IP地址、发送时间、邮件标题和附件名称发送到服务器的日志子模块，同时服务器日志子模块将日志存储到数据库中。策略服务器子模块将返回结果，返回LSP过滤子模块。

第十一步，LSP过滤子模块根据获取策略服务子模块的返回结果，如果为“拦截”，则阻断这个数据包，如果是“放行”，则放行该数据包。对于邮件附件数据包，包含文件名的第一个数据包如果没有发送成功，后面的包也不会被发送，因此只需阻止第一个数据包的发送就可以阻断邮件附件的发送操作。LSP过滤子模块调用用户界面子模块，转到第十二步；

第十二步，用户界面子模块生成一个Windows弹出窗口，将检测到敏感关键字显示在窗口中，提示用户邮件已被拦截。

图1是本发明涉及的敏感邮件拦截系统结构图，系统由客户端和服务器构成。

客户端是安装有敏感邮件检测客户端模块的用户计算机，客户端模块负责如下工作：（1）敏感关键字的检测，对邮件数据进行多关键字搜索，以确定邮件是否包含敏感关键字；（2）邮件拦截，对用户发送的敏感邮件进行拦截；（3）策略更新，策略服务模块完成策略更新操作，根据服务器下发的策略执行更新，以实时调整客户的安全策略；（4）敏感邮件提醒，把拦截的敏感邮件中所含的关键字，以弹出界面的方式返回给用户。

服务器是安装有敏感邮件检测服务端模块和数据库模块的一台计算机，该计算机部署在与客户端路由可达的网络中的任意位置。敏感邮件检测模块负责如下工作：（1）全局策略配置，定义敏感关键字；（2）策略下发，将策略下发至客户端，并使之生效。（3）客户端认证，对每个客户端的身份信息进行认证。（4）日志收采集与分析，采集邮件发送日志并存储到数据库模块中，实现敏感信息的集中告警和审计。数据库模块Oracle数据库程序，负责存储敏感邮件检测服务器模块采集的日志数据。

图2给出了本发明提供的LSP过滤子模块流程图。该模块在客户端捕获客户端计算机中所有使用网络发送的数据包，这些数据包包括本地使用浏览器或者邮件客户端发送的邮件相关数据包，也包括其它的应用程序发送的邮件无关数据包。LSP过滤子模块分析这些数据包，并截取邮件相关数据包，放行邮件无关数据包。在截取邮件相关数据包后，LSP将分析这些数据包，根据是否含有附件，将邮件数据包分为邮件正文数据包和邮件附件数据包。对于邮件附件数据包，LSP过滤模块将进一步提取附件的文件名称。最后，将邮件数据包以及对应的附件名称交由策略服务子模块处理，并等待返回结果，根据结果做出放行或者拦截操作。

图3为策略服务子模块流程图，客户端模块启动策略服务子模块，将主动向服务器发起连接请求，连接请求中包括客户端的IP地址、用户名和密码。服务器通过认证子模块，对客户端的进行认证。通过认证，策略服务子模块获取服务器敏感关键字。否则，拦截所有数据包，调用用户界面子模块，提示认证失败。

策略服务子模块接收LSP子模块发送过来的邮件数据包，进行进一步分析处理。对于邮件附件数据包，策略服务子模块将通过通信代理子模块，用文件名称作为参数，向文件过滤驱动子模块查询完整的文件路径。策略服务子模块将邮件正文数据中的数据或者文件路径作为参数，传递给敏感关键字检测子模块，等待返回结果。

策略服务子模块获取敏感关键字检测子模块返回结果，如果为“拦截”，则向服务器发起连接请求，成功后，将发件人的用户名、IP地址、发送时间、邮件标题和附件名称发送到服务器的日志子模块，同时服务器日志子模块将日志存储到数据库中。策略服务器子模块将返回结果，返回LSP过滤子模块。

图4为敏感关键字检测子模块流程图，敏感关键字检测子模块集成并改进了基于多模式匹配的Wu-Manber的中英文混合模式匹配算法，其检测流程如下：

(1)调用策略服务子模块，获取敏感关键字；

(2)将敏感关键字处理成GB2312、Unicode、UTF-8 三种编码格式；

(3)判断待检测内容类型，如果为数据型，则调用敏感关键字检测子模块的数据型接口对原始目标字符串进行关键字匹配；如果待检测内容为文件型，则调用敏感关键字检测子模块的文件型接口对文件内容进行关键字匹配。具体地，对于附件类型为office 2003文档（doc、xls、ppt）、WPS 文档（wps、et、dps）、本文档（txt、rtf）文档，直接读取文件的二进制数据至内存中，并使用多模匹配算法对内存数据进行关键字匹配；对于ZIP/RAR文件和Office2007及以上版本的文件（docx、xlsx、pptx），将文件内容解压缩至内存中，对于嵌套压缩的情况，需进行递归解压缩，然后使用多模匹配算法对内存数据进行关键字匹配；对于pdf文件，则解析并提取出PDF文件中的文本内容，再使用多模匹配算法对内存数据进行关键字匹配；

(4)判断数据包是否包含敏感关键字，如果没有发现敏感关键字，则返回“放行”，否则，返回“拦截”。

Claims (5)

1.一种基于客户端/服务器模式的敏感邮件过滤方法，其特征在于，包括以下步骤：

第一步，构建一种基于客户端/服务器模式的敏感邮件过滤系统，包括一台作为服务器的计算机和至少一台作为客户端的计算机，所述的服务器和客户端互相通信连接，服务器上设有服务器模块，客户端上设有客户端模块，客户端模块包括敏感邮件检测客户端模块，服务器模块包括敏感邮件检测服务端模块和数据库模块，所述的敏感邮件检测客户端模块包括敏感关键字检测子模块、LSP过滤子模块、文件过滤驱动子模块、通信代理子模块、策略服务子模块、用户界面子模块，所述的敏感邮件检测服务端模块包括策略配置子模块、策略下发子模块、认证子模块和日志子模块；

所述的敏感关键字检测子模块为基于Wu-Manber多模匹配算法的静态库文件模块，用于将GB2312、Unicode和UTF-8三种不同编码格式的模式串引入到敏感邮件的预处理过程中，并对这三种编码格式的模式串进行检索；所述的LSP过滤子模块用于捕获从本客户端计算机发送的网络数据包，并对网络数据包进行解析；所述的文件过滤驱动子模块用于向策略服务子模块提供文件全路径名查询接口，以提供所查询文件对应的全路径名称；所述的通信代理子模块用于文件过滤驱动子模块与策略服务子模块之间的数据通信；所述的策略服务子模块存储过滤系统的全局策略，并提供关键字接口，服务器模块通过关键字接口将敏感关键字下发至策略服务子模块；用户界面子模块使用策略服务子模块提供的策略查询接口，以向用户展示当前系统的策略，并同时提供用于向用户展示敏感关键字的信息接口；

所述的策略配置子模块包含一个用于策略配置的用户界面和一个后台服务程序，用于存储并配置整个系统的策略，并使用策略下发子模块将策略下发至所有注册的客户端；所述的策略下发子模块用于在后台监听客户端连接的端口，并进行客户端验证，同时向策略配置子模块提供策略下发接口，以将服务器全局策略下发至各个客户端，并利用策略服务子模块提供的敏感关键字接口，更新客户端的敏感关键字列表；所述的认证子模块用于验证客户端合法性，当客户端程序登陆到服务器时，认证子模块提取客户端的唯一认证码，并比对数据库中的信息，判断客户端的合法性；日志子模块用于记录用户行为数据，并提供日志存储接口，客户端可以将信息发送至日志子模块，以存储客户端的行为；

第二步，服务器通过策略配置子模块配置敏感关键字；

第三步，服务器启动策略下发子模块，监听客户端连接；

第四步，服务器通过认证子模块配置需认证客户端的用户名、密码和IP地址；

第五步，客户端启动策略服务子模块，将主动向服务器发起连接请求，服务器通过认证子模块对客户端的连接进行认证，客户端通过认证后，服务器的策略下发模块则将敏感关键字实时下发至策略服务子模块，转到第六步；否则，拦截所有数据包，调用用户界面子模块，提示认证失败；

第六步，客户端启动文件过滤驱动子模块，缓存应用程序最近访问的文件路径名至操作系统内核中，以便当策略服务子模块发送文件名查询文件路径时，该模块将返回文件名的全路径名称；

第七步，客户端启动LSP过滤子模块，该模块在客户端捕获客户端计算机中所有使用网络发送的数据包，LSP过滤子模块分析这些数据包，并截取邮件相关数据包，放行邮件无关数据包，在截取邮件相关数据包后，LSP将分析这些数据包，根据是否含有附件，将邮件数据包分为邮件正文数据包和邮件附件数据包，对于邮件附件数据包，LSP过滤模块将进一步提取附件的文件名称，最后，将邮件数据包以及对应的附件名称交由策略服务子模块处理，转到第八步，等待返回结果；

第八步，对于邮件附件数据包，策略服务子模块将通过通信代理子模块，用文件名称作为参数，向文件过滤驱动子模块查询完整的文件路径，策略服务子模块将邮件正文数据中的数据或者文件路径作为参数，传递给敏感关键字检测子模块，转到第九步，等待返回结果；

第九步，敏感关键字检测子模块采用基于多模式匹配的Wu-Manber的中英文混合模式匹配算法进行检测，判断数据包是否包含敏感关键字，如果没有发现敏感关键字，则返回“放行”，否则，返回“拦截”；

第十步，策略服务子模块获取敏感关键字检测子模块返回结果，如果为“拦截”，则向服务器发起连接请求，成功后，将发件人的用户名、IP地址、发送时间、邮件标题和附件名称发送到服务器的日志子模块，同时服务器日志子模块将日志存储到数据库中；策略服务器子模块将返回结果，返回LSP过滤子模块；

第十一步，LSP过滤子模块根据获取策略服务子模块的返回结果，如果为“拦截”，则阻断这个数据包，如果是“放行”，则放行该数据包，对于邮件附件数据包，包含文件名的第一个数据包如果没有发送成功，后面的包也不会被发送，因此只需阻止第一个数据包的发送就可以阻断邮件附件的发送操作，LSP过滤子模块调用用户界面子模块，转到第十二步；

第十二步，用户界面子模块生成一个Windows弹出窗口，将检测到敏感关键字显示在窗口中，提示用户邮件已被拦截。

2.根据权利要求1所述的方法，其特征在于，所述的第二步中，敏感关键字为用户根据需要进行定义的字或词。

3.根据权利要求1所述的方法，其特征在于，所述的第五步中，连接请求中包括客户端的IP地址、用户名和密码。

4.根据权利要求1所述的方法，其特征在于，所述的第七步中，客户端计算机中所有使用网络发送的数据包包括本地使用浏览器或者邮件客户端发送的邮件相关数据包，也包括其它的应用程序发送的邮件无关数据包。

5.根据权利要求1所述的方法，其特征在于，所述的第九步中，敏感关键字检测子模块采用基于多模式匹配的Wu-Manber的中英文混合模式匹配算法进行检测的流程如下：

(1)调用策略服务子模块，获取敏感关键字；

(2)将敏感关键字处理成GB2312、Unicode、UTF-8三种编码格式；

(3)判断待检测内容类型，如果为数据型，则调用敏感关键字检测子模块的数据型接口对原始目标字符串进行关键字匹配；如果待检测内容为文件型，则调用敏感关键字检测子模块的文件型接口对文件内容进行关键字匹配；具体地，对于附件类型为office 2003文档、WPS文档、本文档文档，直接读取文件的二进制数据至内存中，并使用多模匹配算法对内存数据进行关键字匹配；对于ZIP/RAR文件和Office2007及以上版本的文件，将文件内容解压缩至内存中，对于嵌套压缩的情况，需进行递归解压缩，然后使用多模匹配算法对内存数据进行关键字匹配；对于pdf文件，则解析并提取出PDF文件中的文本内容，再使用多模匹配算法对内存数据进行关键字匹配；

(4)判断数据包是否包含敏感关键字，如果没有发现敏感关键字，则返回“放行”，否则，返回“拦截”。