CN110611608A - 一种web邮件审计方法及系统 - Google Patents

一种web邮件审计方法及系统 Download PDF

Info

Publication number
CN110611608A
CN110611608A CN201910930155.8A CN201910930155A CN110611608A CN 110611608 A CN110611608 A CN 110611608A CN 201910930155 A CN201910930155 A CN 201910930155A CN 110611608 A CN110611608 A CN 110611608A
Authority
CN
China
Prior art keywords
mail
attachment
log
association
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910930155.8A
Other languages
English (en)
Other versions
CN110611608B (zh
Inventor
王文鲁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuleng Technology Co Ltd
Original Assignee
Wuhan Sipuleng Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuleng Technology Co Ltd filed Critical Wuhan Sipuleng Technology Co Ltd
Priority to CN201910930155.8A priority Critical patent/CN110611608B/zh
Publication of CN110611608A publication Critical patent/CN110611608A/zh
Application granted granted Critical
Publication of CN110611608B publication Critical patent/CN110611608B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/08Annexed information, e.g. attachments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请提供一种web邮件审计方法及系统,所述方法先识别邮件附件上传流量并提取附件信息,以及识别邮件内容发送流量并提取内容信息,其中,附件信息和内容信息中均包括关联ID;再根据附件信息和内容信息分别生成附件日志和邮件日志,并记录所述关联ID;最后以关联ID为索引,分别存储附件日志和邮件日志。所述方法可以通过关联ID实现邮件日志和附件的准确关联,并且可以使邮件附件审计和邮件正文审计的分离,无需分配存储资源,降低对对设备内存的消耗。另外,通过同一个关联ID还可以使一个邮件日志与多个附件关联,消除一条邮件日志只能关联特定个数附件的限制。

Description

一种WEB邮件审计方法及系统
技术领域
本申请涉及邮件审计技术领域,尤其涉及一种WEB邮件审计方法及系统。
背景技术
随着信息技术的发展与Internet应用的普及,Web应用占据了整个网络应用的比重很高,如通过web邮件的方式与外界进行联系。由于web邮件加密算法较客户端邮件更简单,且web邮件仍然为大多数用户的主要联系方式,使得web邮件容易成为邮件泄密的途径。因此,多数企业需要对发出去的邮件进行审计,邮件审计是一种网络监控过程,旨在通过统一的管理设备和/或应用程序获悉邮件内容,以监控邮件发送情况,避免电子邮件沦为泄密通道,致使机密资料误入他人之手。
邮件审计过程的实施,需要依赖于网络内容审计与监控系统。网络内容审计与监控系统属于应用层协议数据包分析、安全过滤类产品,主要面向的是网络的内容分析和还原。邮件审计过程能在不影响网络性能的情况下,对网络范围内用户发送的邮件进行监控,检查网络中是否有机密信息泄露现象,一旦发现即可自动做出相应的处理,一方面可以及时阻止邮件内容泄密,另一方面也能把泄密记录保存起来,从而可对安全部门的调查取证提供证据。
由于附件是邮件内容的重要组成部分,也是邮件泄密的最直接影响因素,因此典型的邮件审计过程需要将邮件内容与附件进行关联,具体的实现过程如下:邮件审计系统预先为每个用户分配一定的存储空间用来保存附件信息。当用户在编辑邮件的过程中,上传附件时,系统可以把附件名信息保存下来,并把附件以文件的形式保存在硬盘上。并且在生成邮件审计日志时,把保存的附件名添加到审计日志中,形成带有附件名的审计日志。
上述方式可以实现对Web邮件内容和附件的审计及还原,并且也能够实现附件内容和附件关联,但是在上述邮件审计方式中,需要为每个用户预分配一定的存储空间用来保存附件名信息,当用户较多时,会消耗设备的存储能力。并且在一条邮件审计日志中,可以关联的附件个数有限制,会造成审计日志有用信息的丢失。另外,当某一用户的终端设备中,同时登录多个邮件账户进行邮件发送时,邮件内容和附件有可能出现关联错误,降低邮件审计的准确率。
发明内容
本申请提供了一种WEB邮件审计方法及系统,以解决web邮件审计消耗设备存储能力多以及准确率低的问题。
一方面,本申请提供一种web邮件审计方法,包括:
识别邮件附件上传流量;以及在所述附件上传流量中提取附件信息,所述附件信息中包括关联ID;
根据所述附件信息生成附件日志,以及记录所述关联ID;
识别邮件内容发送流量;以及在所述内容发送流量中提取内容信息,所述内容信息中包括关联ID;
根据所述内容信息生成邮件日志,以及记录所述关联ID;
以所述关联ID为索引,分别存储所述附件日志和所述邮件日志。
可选的,识别邮件附件上传流量的步骤,包括:
抓取发送目标为邮件服务器的流量数据;
根据web邮件解密算法对所述流量数据进行解密,获得特征数据;
在所述特征数据中匹配附件特征,所述附件特征包括:域名参数、标识字段以及文件名;
如果在所述特征数据中匹配到所述附件特征,确定所述流量数据为所述附件上传流量;
在所述附件上传流量中提取所述文件名作为附件信息。
可选的,所述方法还包括:
在所述附件上传流量中提取所述域名参数和标识字段;
根据所述域名参数和标识字段生成关联ID;
将所述关联ID添加至所述附件信息。
可选的,识别邮件内容发送流量的步骤,包括:
抓取发送目标为邮件服务器的流量数据;
根据web邮件解密算法对所述流量数据进行解密,获得特征数据;
在所述特征数据中匹配邮件特征,所述邮件特征包括:域名参数、标识字段、发件人信息、收件人信息以及主题信息;
如果在所述特征数据中匹配到所述附件特征,确定所述流量数据为所述内容发送流量;
在所述内容发送流量中提取所述发件人信息、收件人信息以及主题信息作为所述内容信息。
可选的,所述方法还包括:
在所述内容发送流量中提取所述域名参数和标识字段;
根据所述域名参数和标识字段生成关联ID;
将所述关联ID添加至所述内容信息。
可选的,根据所述附件信息生成附件日志,以及记录所述关联ID的步骤后,所述方法还包括:
从所述附件上传流量中提取附件文件;
以所述关联ID为索引,存储所述附件上传流量中的附件文件。
可选的,所述方法还包括:将所述关联ID添加至已存储的所述附件文件的文件名中。
可选的,以所述关联ID为索引,分别存储所述附件日志和所述邮件日志的步骤,包括:
在数据库中创建至少两个数据表,所述数据表中包括邮件数据表和附件数据表,每一个所述数据表中包括索引表项;
将所述附件日志存储在所述附件数据表中,以及在所述附件数据表的索引表项中添加所述关联ID;
将所述邮件日志存储在所述邮件数据表中,以及在所述邮件数据表的索引表项中添加所述关联ID。
可选的,所述方法还包括:
获取用户终端发送的邮件查看指令;
根据所述邮件查看指令,从数据库中提取邮件日志以及所述邮件日志对应的关联ID;
根据所述关联ID,从数据库中匹配附件日志,以及从硬盘中匹配附件文件;
向所述用户终端发送所述邮件日志、附件日志以及所述附件文件。
另一方面,本申请还提供一种web邮件审计系统,包括多个用户终端和连接多个用户终端的上网行为管理设备;多个所述用户终端通过所述上网行为管理设备连接互联网;所述用户终端用于以web邮件方式发送电子邮件,以分别形成经过所述上网行为管理设备的邮件附件上传流量和邮件内容发送流量;所述上网行为管理设备被进一步配置为执行以下程序步骤:
识别邮件附件上传流量;以及在所述附件上传流量中提取附件信息,所述附件信息中包括关联ID;
根据所述附件信息生成附件日志,以及记录所述关联ID;
识别邮件内容发送流量;以及在所述内容发送流量中提取内容信息,所述内容信息中包括关联ID;
根据所述内容信息生成邮件日志,以及记录所述关联ID
以所述关联ID为索引,分别存储所述附件日志和所述邮件日志。
由以上技术方案可知,本申请提供一种web邮件审计方法及系统,所述方法先识别邮件附件上传流量并提取附件信息,以及识别邮件内容发送流量并提取内容信息,其中,附件信息和内容信息中均包括关联ID;再根据附件信息和内容信息分别生成附件日志和邮件日志,并记录所述关联ID;最后以关联ID为索引,分别存储附件日志和邮件日志。所述方法可以通过关联ID实现邮件日志和附件的准确关联,并且可以使邮件附件审计和邮件正文审计的分离,无需分配存储资源,降低对对设备内存的消耗。另外,通过同一个关联ID还可以使一个邮件日志与多个附件关联,消除一条邮件日志只能关联特定个数附件的限制。
附图说明
为了更清楚地说明本申请的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一种web邮件审计方法的流程示意图;
图2为本申请识别附件上传流量的流程示意图;
图3为本申请根据附件上传流量生成关联ID的流程示意图;
图4为本申请存储附件文件的流程示意图;
图5为本申请识别内容发送流量的流程示意图;
图6为本申请根据内容发送流量生成关联ID的流程示意图;
图7为本申请存储附件日志和邮件日志的流程示意图;
图8为本申请调用审计日志的流程示意图。
具体实施方式
下面将详细地对实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下实施例中描述的实施方式并不代表与本申请相一致的所有实施方式。仅是与权利要求书中所详述的、本申请的一些方面相一致的系统和方法的示例。
本申请提供的技术方案中,所述web邮件审计方法可应用于上网行为管理设备,所述上网行为管理设备是指帮助互联网用户控制和管理互联网的使用情况。包括对访问网页过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。上网行为管理设备通过对所处网络上网行为数据的分析,可以生成多种报告日志,以供管理人员通过报告日志,了解当前网络中的运行状况。
参见图1,为本申请一种web邮件审计方法的流程示意图。由图1可知,本申请提供的web邮件审计方法,包括以下步骤:
S1:识别邮件附件上传流量;以及在所述附件上传流量中提取附件信息,所述附件信息中包括关联ID。
本申请提供的技术方案中,用户通过用户终端上的web邮件工具,如浏览器,登录web邮件发送页面。一般地,当用户想要在发送的邮件中携带附件,需要通过web邮件发送页面上的“上传附件”按钮,打开上传附件对话框,并选择需要发送的文件,点击确定按钮后,浏览器会将选择的文件上传至邮件服务器。可见,在实际应用中,邮件附件上传一般先于邮件内容发送,两者按照附件大小及用户操作的不同,可能间隔不同的时间。
实际应用中,上传附件时会产生上传流量,上传流量会经过上网行为管理设备,因此可以通过识别上传流量,并从上传流量中提取附件信息。由于上传流量中,会包含邮件服务器的域名信息或者IP地址信息、附件文件名以及形成上传数据的其他标识字段,因此可以通过识别这些特征确定当前抓取的流量是否为上传流量。其中,标识字段可以是表征上传流量数据的部分文本,如表示同一个文件的数据拥有相同的开头代码等。
在本申请的部分实施例中,如图2所示,识别邮件附件上传流量的步骤,包括以下步骤:
S101:抓取发送目标为邮件服务器的流量数据;
S102:根据web邮件解密算法对所述流量数据进行解密,获得特征数据;
S103:在所述特征数据中匹配附件特征,所述附件特征包括:域名参数、标识字段以及文件名;
S104:如果在所述特征数据中匹配到所述附件特征,确定所述流量数据为所述附件上传流量;
S105:在所述附件上传流量中提取所述文件名作为附件信息。
本实施例中,上网行为管理设备,可以通过执行对应的程序步骤,自动对上网数据流量进行抓取。为了减少数据的分析量,本实施例可以仅抓取数据发送目标为邮件服务器的流量数据。在抓取到流量数据后,可以根据web邮件的数据解密算法,对流量数据进行解密,从而获得解密后的特征数据,即传输的真实数据。
在获得特征数据后,可以根据预先定义的附件特征模板,对特征数据进行匹配,确定当前抓取的特征数据中是否包含与附件特征模板相符的内容。示例地,附件特征可以包括域名参数、标识字段以及文件名等。如果在当前抓取的特征数据中匹配到了上述附件特征,即包含域名参数、标识字段以及文件名中的一种或多种,则说明当前特征数据是由用户上传附件时产生的,因此确定所述流量数据为所述附件上传流量。
在确定附件上传流量后,可以在附件上传流量中提取与附件有关的信息,即附件信息。为了便于后续关联审计,在本实施例中,所述附件信息中应至少包括附件文件的文件名,即在本实施例中,在附件上传流量中提取文件名作为附件信息。显然,本申请提供的附件信息包括但不限于文件名,为了便于后续将邮件与附件进行匹配,还可以提取域名参数或标识字段,也作为附件信息中的内容。
本申请提供的技术方案中,附件信息还应包括关联ID,关联ID是一种用于后续邮件与附件之间关联的唯一代码,可以是指定位数和格式的字符串、数字组合等。实际应用中,隶属于同一个邮件中的邮件内容、附件内容应具有相同的关联ID,关联ID可以是由上网行为管理设备预先对邮件产生流量进行标记的数字编号,即按照规定的顺序,将合理时间段内,发送给同一个目标的邮件和附件标记为同一个编号,也可以是根据邮件或附件流量中提取的信息,而自动生成的字符串。进一步地,如图3所示,所述方法还包括:
S106:在所述附件上传流量中提取所述域名参数和标识字段;
S107:根据所述域名参数和标识字段生成关联ID;
S108:将所述关联ID添加至所述附件信息。
本实施例中,关联ID可以通过附件上传流量中域名参数和标识字段自动生成,具体的生成方式可以按照域名参数或标识字段按照预设的规则,过滤掉其中的部分字符组合而成。例如,域名参数为“qiye.163.com”,则对应生成的关联ID可以为“qiye163com03062109”,后面的数字可以根据预定的规则自动生成,例如可以是当前时间段第几个发送的附件,或者为当前时间段信息等。生成关联ID后,可以将关联ID也添加到附件信息中,从而进行后续关联处理。
S2:根据所述附件信息生成附件日志,以及记录所述关联ID。
本申请提供的技术方案中,在获取附件信息后,可以通过附件信息中的内容,生成附件日志,所述附件日志用于在后续审计过程中,向审计人员展示附件有关的内容,例如,附件的名称、附件大小、附件对应的邮件等。附件日志主要用于审计人员在审计邮件日志后,通过查看附件日志而确定是否存在违规现象,从而进一步调查取证。
由于在实际应用中,一个邮件可能包含多个附件,因此,在本申请提供的技术方案中,可以针对每个附件生成一个附件日志,而将多个附件的关联ID设置为相同,以便与邮件进行关联。例如,用户终端要发送的邮件中包含两个文本文件,分别为text 1和text2,由于在上传附件时,会产生量个附件上传流量,因此,可以从上传附件text1.txt的流量中,提取附件名text1.txt。并将关联ID记为1560843426268,以在数据库中记录一条附件日志。同时,从上传附件text2.txt的流量中,提取附件名text2.txt。并将关联ID也记为1560843426268,以数据库中记录一条附件日志。
为了便于后期审计过程中进行调查取证,本申请还可以在生成附件日志后,对附件文件进行保存,即在本申请的部分实施例中,如图4所示,根据所述附件信息生成附件日志,以及记录所述关联ID的步骤后,所述方法还包括:
S201:从所述附件上传流量中提取附件文件;
S202:以所述关联ID为索引,存储所述附件上传流量中的附件文件。
进一步地,针对已存储的附件文件,还可以通过向其文件名中添加关联ID的方式,使附件文件与附件日志以及邮件日志之间建立关联关系,即在本申请的部分实施例中,所述方法还包括:
S203:将所述关联ID添加至已存储的所述附件文件的文件名中。
仍以上述示例为例,在分别生成针对附件文件text1.txt和text2.txt的附件日志后,可以把附件text1.txt以文件的形式保存在硬盘上,以及,把附件text2.txt以文件的形式保存在硬盘上。并且为了便于后续关联附件文件,可以将text1.txt的文件名更改为“1560843426268-text1.txt”,将text2.txt的文件名更改为“1560843426268-text2.txt”。上述文件名的更改可以便于后续查看附件日志时,能够通过关联ID直接确定对应附件文件。
可见,在本申请提供的技术方案中,附件文件的存储可以无需为每个用户划分存储空间,经过上网行为管理设备的所有附件文件可以按顺序进行存储,从而避免划分存储空间而造成的存储资源的浪费。另外,由于本申请无需按分区进行存储,还能够避免寻找存储分区而消耗的计算能力,提高存储效率。
S3:识别邮件内容发送流量;以及在所述内容发送流量中提取内容信息,所述内容信息中包括关联ID。
在本申请提供的技术方案中,在上传附件后,用户通过邮件发送页面上通过点击发送按钮,将编辑好的邮件内容发送给收件人。实际应用中,由于web邮件发送并不是P2P的数据传输方式,而是将邮件内容信息先发送给邮件服务器,再通过邮件服务器将邮件内容和附件文件转发给收件人。因此,邮件内容发送的过程中,同样会产生数据流量,产生的数据流量会通过上网行为管理设备。
上网行为管理设备可以根据邮件内容发送流量进行信息提取,提取出带有关联ID的内容信息。因此,在本申请的部分实施例中,如图5所示,识别邮件内容发送流量的步骤,包括:
S301:抓取发送目标为邮件服务器的流量数据;
S302:根据web邮件解密算法对所述流量数据进行解密,获得特征数据;
S303:在所述特征数据中匹配邮件特征,所述邮件特征包括:域名参数、标识字段、发件人信息、收件人信息以及主题信息;
S304:如果在所述特征数据中匹配到所述附件特征,确定所述流量数据为所述内容发送流量;
S305:在所述内容发送流量中提取所述发件人信息、收件人信息以及主题信息作为所述内容信息。
与附件上传流量的识别方式相类似,本申请可以通过抓取发送目标为邮件服务器的流量数据,再根据web邮件解密算法对所述流量数据进行解密,获得特征数据。而为了识别特征数据是否为内容发送流量,可以通过邮件特征对特征数据进行匹配,确定特征数据中是否包含邮件特征。本实施例中,邮件特征包括:域名参数、标识字段、发件人信息、收件人信息以及主题信息。其中,域名参数和标识字段可以是用来指定数据去向的文本字符;发件人信息和收件人信息均为邮箱地址信息,如“××@163.com”,而主题信息则为具有一定含义的文字。
通过在特征数据中匹配上述邮件特征,可以通过判断特征数据中是否包含邮件特征中的一个或多个,来确定对应的流量数据是否为内容发送流量。当确定流量数据为内容发送流量后,可以在内容发送流量中提取发件人信息、收件人信息以及主题信息,来作为内容信息,以通过内容信息生成邮件日志。
进一步地,如图6所示,所述方法还包括:
S306:在所述内容发送流量中提取所述域名参数和标识字段;
S307:根据所述域名参数和标识字段生成关联ID;
S308:将所述关联ID添加至所述内容信息。
由于在实际应用中,由于邮件日志和附件日志是在不同的时间生成的,若通过关联ID建立邮件日志和附件日志,同一个邮件对应生成的关联ID要相同。因此,在本实施例中,也同样通过在内容发送流量中提取的域名参数和标识字段,生成关联ID,并将关联ID添加至内容信息中。
由于隶属于同一个邮件的邮件内容和附件之间具有相同的发送目标,因此,从内容发送流量中提取的域名参数和标识字段应相同或存在相关关系。本实施例中,可以通过相同的生成规则,生成关联ID。即隶属于同一个邮件的内容和附件,对应生成的关联ID是相同的,因此通过审计邮件日志,可以通过关联ID查询到附件日志,以及查询到附件文件。
S4:根据所述内容信息生成邮件日志,以及记录所述关联ID。
本申请提供的技术方案中,根据提取的内容信息,可以对应生成邮件日志。邮件日志作为一条记录数据,可以存储在上网行为管理设备中的数据库。在后续审计过程中,审计人员一般会先通过查看邮件日志确定发送的邮件中是否存在泄密嫌疑,因此在邮件日志中应至少包含邮件发送的基本信息,例如发件人、收件人以及主题等。并且,如果审计人员发现邮件有泄密嫌疑,需要通过邮件日志能够确定附件日志,因此在邮件日志中,需要包含关联ID,以便通过关联ID确定附件日志以及附加文件。
仍以上述示例,在存储上传的附件text1.txt和text2.txt后,上网行为管理设备可以从发送邮件的流量中提取发件人、收件人、主题等信息,关联ID也记为1560843426268,并记录一条邮件日志。
S5:以所述关联ID为索引,分别存储所述附件日志和所述邮件日志。
本申请提供的技术方案中,生成的邮件日志和附件日志可以分别进行存储,审计人员可以选择仅查看邮件日志,而无需调用附件日志,以减少数据调用量。而当想要对附件日志进行审计时,可以通过关联ID再调取对应附件日志。即,当查看某条邮件日志关联的附件信息时,只需要查看附件日志中是否有和邮件日志关联ID相同的,如果有,则从附件日志中取出附件名信息,从而实现附件和邮件日志的关联。
进一步地,如图7所示,以所述关联ID为索引,分别存储所述附件日志和所述邮件日志的步骤,包括:
S501:在数据库中创建至少两个数据表,所述数据表中包括邮件数据表和附件数据表,每一个所述数据表中包括索引表项;
S502:将所述附件日志存储在所述附件数据表中,以及在所述附件数据表的索引表项中添加所述关联ID;
S503:将所述邮件日志存储在所述邮件数据表中,以及在所述邮件数据表的索引表项中添加所述关联ID。
本实施例中,可以在上网行为管理设备的数据库中建立两个数据表,其中一个数据表用于存储附件日志,另一个数据表用于存储邮件日志。为了实现两个数据表之间的相互关联,可以在建立的数据表中均设置一个索引表项,在索引表项中,存储关联ID,以通过关联ID定位存储在表中的邮件日志和附件日志。
另外,为了对邮件日志、附件日志以及附件文件进行审计,在本申请的部分实施例中,如图8所示,所述方法还包括:
S601:获取用户终端发送的邮件查看指令;
S602:根据所述邮件查看指令,从数据库中提取邮件日志以及所述邮件日志对应的关联ID;
S603:根据所述关联ID,从数据库中匹配附件日志,以及从硬盘中匹配附件文件;
S604:向所述用户终端发送所述邮件日志、附件日志以及所述附件文件。
本实施例中,当审计人员要对存储的邮件日志及附件日志进行审阅时,可以通过审计用户终端发送一个邮件查看指令给上网行为管理设备。上网行为管理设备在接收到查看指令后,可以根据查看指令中指定预查看的邮件,从数据库中提取邮件日志。上网行为管理设备可以先将邮件日志发送给用户终端进行展示,也可以从数据库中提取邮件日志对应的关联ID。
再根据关联ID,从数据库的另外一个数据表中匹配附件日志。具体的匹配方式可以为,在数据表中匹配与关联ID相同的索引表项,当确定有关联ID后,可以提取出关联ID对应的附件日志。需要说明的是,在数据表中,可能匹配到多个与关联ID相同的索引表项,说明当前邮件日志对应的邮件中包含多个附件,本实施例中要将全部匹配到的附件日志都提取出来。
由于附件文件大小一般要大于附件日志,因此本实施例可以在提取附件日志后,先将附件日志发送给用户终端展示,以节省网络流量占用。如果审计人员通过附件日志确定需要进一步查看附件文件,再从硬盘中匹配带有关联ID文件名的附件文件。
由以上技术方案可知,本申请通过对每一个附件生成一个附件日志,而同一个邮件中的多个附件之间可以保持相同的关联ID,从而消除一条邮件日志只能关联特定个数附件的限制。并且通过唯一确定的关联ID,实现邮件日志和附件的准确关联。另外,还可以在数据库中分两个数据表进行存储,实现了邮件附件审计和邮件正文审计的分离,从而提高审计效率和准确度。
基于上述web邮件审计方法,本申请还提供一种web邮件审计系统,包括多个用户终端和连接多个用户终端的上网行为管理设备;多个所述用户终端通过所述上网行为管理设备连接互联网;所述用户终端用于以web邮件方式发送电子邮件,以分别形成经过所述上网行为管理设备的邮件附件上传流量和邮件内容发送流量;所述上网行为管理设备被进一步配置为执行以下程序步骤:
S1:识别邮件附件上传流量;以及在所述附件上传流量中提取附件信息,所述附件信息中包括关联ID;
S2:根据所述附件信息生成附件日志,以及记录所述关联ID;
S3:识别邮件内容发送流量;以及在所述内容发送流量中提取内容信息,所述内容信息中包括关联ID;
S4:根据所述内容信息生成邮件日志,以及记录所述关联ID
S5:以所述关联ID为索引,分别存储所述附件日志和所述邮件日志。
由以上技术方案可知,本申请提供一种web邮件审计方法及系统,所述方法先识别邮件附件上传流量并提取附件信息,以及识别邮件内容发送流量并提取内容信息,其中,附件信息和内容信息中均包括关联ID;再根据附件信息和内容信息分别生成附件日志和邮件日志,并记录所述关联ID;最后以关联ID为索引,分别存储附件日志和邮件日志。所述方法可以通过关联ID实现邮件日志和附件的准确关联,并且可以使邮件附件审计和邮件正文审计的分离,无需分配存储资源,降低对对设备内存的消耗。另外,通过同一个关联ID还可以使一个邮件日志与多个附件关联,消除一条邮件日志只能关联特定个数附件的限制。
本申请提供的实施例之间的相似部分相互参见即可,以上提供的具体实施方式只是本申请总的构思下的几个示例,并不构成本申请保护范围的限定。对于本领域的技术人员而言,在不付出创造性劳动的前提下依据本申请方案所扩展出的任何其他实施方式都属于本申请的保护范围。

Claims (10)

1.一种web邮件审计方法,其特征在于,包括:
识别邮件附件上传流量;以及在所述附件上传流量中提取附件信息,所述附件信息中包括关联ID;
根据所述附件信息生成附件日志,以及记录所述关联ID;
识别邮件内容发送流量;以及在所述内容发送流量中提取内容信息,所述内容信息中包括关联ID;
根据所述内容信息生成邮件日志,以及记录所述关联ID;
以所述关联ID为索引,分别存储所述附件日志和所述邮件日志。
2.根据权利要求1所述的web邮件审计方法,其特征在于,识别邮件附件上传流量的步骤,包括:
抓取发送目标为邮件服务器的流量数据;
根据web邮件解密算法对所述流量数据进行解密,获得特征数据;
在所述特征数据中匹配附件特征,所述附件特征包括:域名参数、标识字段以及文件名;
如果在所述特征数据中匹配到所述附件特征,确定所述流量数据为所述附件上传流量;
在所述附件上传流量中提取所述文件名作为附件信息。
3.根据权利要求2所述的web邮件审计方法,其特征在于,所述方法还包括:
在所述附件上传流量中提取所述域名参数和标识字段;
根据所述域名参数和标识字段生成关联ID;
将所述关联ID添加至所述附件信息。
4.根据权利要求1所述的web邮件审计方法,其特征在于,识别邮件内容发送流量的步骤,包括:
抓取发送目标为邮件服务器的流量数据;
根据web邮件解密算法对所述流量数据进行解密,获得特征数据;
在所述特征数据中匹配邮件特征,所述邮件特征包括:域名参数、标识字段、发件人信息、收件人信息以及主题信息;
如果在所述特征数据中匹配到所述附件特征,确定所述流量数据为所述内容发送流量;
在所述内容发送流量中提取所述发件人信息、收件人信息以及主题信息作为所述内容信息。
5.根据权利要求4所述的web邮件审计方法,其特征在于,所述方法还包括:
在所述内容发送流量中提取所述域名参数和标识字段;
根据所述域名参数和标识字段生成关联ID;
将所述关联ID添加至所述内容信息。
6.根据权利要求1所述的web邮件审计方法,其特征在于,根据所述附件信息生成附件日志,以及记录所述关联ID的步骤后,所述方法还包括:
从所述附件上传流量中提取附件文件;
以所述关联ID为索引,存储所述附件上传流量中的附件文件。
7.根据权利要求6所述的web邮件审计方法,其特征在于,所述方法还包括:将所述关联ID添加至已存储的所述附件文件的文件名中。
8.根据权利要求1所述的web邮件审计方法,其特征在于,以所述关联ID为索引,分别存储所述附件日志和所述邮件日志的步骤,包括:
在数据库中创建至少两个数据表,所述数据表中包括邮件数据表和附件数据表,每一个所述数据表中包括索引表项;
将所述附件日志存储在所述附件数据表中,以及在所述附件数据表的索引表项中添加所述关联ID;
将所述邮件日志存储在所述邮件数据表中,以及在所述邮件数据表的索引表项中添加所述关联ID。
9.根据权利要求1所述的web邮件审计方法,其特征在于,所述方法还包括:
获取用户终端发送的邮件查看指令;
根据所述邮件查看指令,从数据库中提取邮件日志以及所述邮件日志对应的关联ID;
根据所述关联ID,从数据库中匹配附件日志,以及从硬盘中匹配附件文件;
向所述用户终端发送所述邮件日志、附件日志以及所述附件文件。
10.一种web邮件审计系统,其特征在于,包括多个用户终端和连接多个用户终端的上网行为管理设备;多个所述用户终端通过所述上网行为管理设备连接互联网;所述用户终端用于以web邮件方式发送电子邮件,以分别形成经过所述上网行为管理设备的邮件附件上传流量和邮件内容发送流量;所述上网行为管理设备被进一步配置为执行以下程序步骤:
识别邮件附件上传流量;以及在所述附件上传流量中提取附件信息,所述附件信息中包括关联ID;
根据所述附件信息生成附件日志,以及记录所述关联ID;
识别邮件内容发送流量;以及在所述内容发送流量中提取内容信息,所述内容信息中包括关联ID;
根据所述内容信息生成邮件日志,以及记录所述关联ID
以所述关联ID为索引,分别存储所述附件日志和所述邮件日志。
CN201910930155.8A 2019-09-29 2019-09-29 一种web邮件审计方法及系统 Active CN110611608B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910930155.8A CN110611608B (zh) 2019-09-29 2019-09-29 一种web邮件审计方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910930155.8A CN110611608B (zh) 2019-09-29 2019-09-29 一种web邮件审计方法及系统

Publications (2)

Publication Number Publication Date
CN110611608A true CN110611608A (zh) 2019-12-24
CN110611608B CN110611608B (zh) 2022-04-05

Family

ID=68893764

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910930155.8A Active CN110611608B (zh) 2019-09-29 2019-09-29 一种web邮件审计方法及系统

Country Status (1)

Country Link
CN (1) CN110611608B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111787112A (zh) * 2020-07-03 2020-10-16 厦门一通灵信息科技有限公司 一种基于邮件内容的安全审计方法
CN111881087A (zh) * 2020-07-30 2020-11-03 北京浪潮数据技术有限公司 一种文件管理操作方法及相关装置
CN113221520A (zh) * 2021-05-19 2021-08-06 广州天源信息科技股份有限公司 一种提醒邮件的生成方法、系统及存储介质
CN113259398A (zh) * 2021-07-07 2021-08-13 杭州大乘智能科技有限公司 一种基于邮件日志数据的账号安全检测方法
CN115622970A (zh) * 2021-07-12 2023-01-17 深信服科技股份有限公司 电子邮件审计方法、装置、设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102025647A (zh) * 2009-09-17 2011-04-20 中国长城工业总公司 一种邮件发送及接收的系统和方法
US20120079042A1 (en) * 2010-09-29 2012-03-29 Fujitsu Limited Mail monitoring system, non-transitory computer readable storage medium, mail monitoring apparatus, and mail monitoring method
US20140317210A1 (en) * 2012-03-22 2014-10-23 Huawei Technologies Co., Ltd. Method, Apparatus, and System for Adding Electronic Mail Attachment
CN106850560A (zh) * 2016-12-26 2017-06-13 沈阳通用软件有限公司 一种互联网邮件安全发送及审计的方法
CN109151078A (zh) * 2018-10-31 2019-01-04 厦门市美亚柏科信息股份有限公司 一种分布式智能邮件分析过滤方法、系统及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102025647A (zh) * 2009-09-17 2011-04-20 中国长城工业总公司 一种邮件发送及接收的系统和方法
US20120079042A1 (en) * 2010-09-29 2012-03-29 Fujitsu Limited Mail monitoring system, non-transitory computer readable storage medium, mail monitoring apparatus, and mail monitoring method
US20140317210A1 (en) * 2012-03-22 2014-10-23 Huawei Technologies Co., Ltd. Method, Apparatus, and System for Adding Electronic Mail Attachment
CN106850560A (zh) * 2016-12-26 2017-06-13 沈阳通用软件有限公司 一种互联网邮件安全发送及审计的方法
CN109151078A (zh) * 2018-10-31 2019-01-04 厦门市美亚柏科信息股份有限公司 一种分布式智能邮件分析过滤方法、系统及存储介质

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111787112A (zh) * 2020-07-03 2020-10-16 厦门一通灵信息科技有限公司 一种基于邮件内容的安全审计方法
CN111881087A (zh) * 2020-07-30 2020-11-03 北京浪潮数据技术有限公司 一种文件管理操作方法及相关装置
CN113221520A (zh) * 2021-05-19 2021-08-06 广州天源信息科技股份有限公司 一种提醒邮件的生成方法、系统及存储介质
CN113221520B (zh) * 2021-05-19 2023-08-22 广州天源信息科技股份有限公司 一种提醒邮件的生成方法、系统及存储介质
CN113259398A (zh) * 2021-07-07 2021-08-13 杭州大乘智能科技有限公司 一种基于邮件日志数据的账号安全检测方法
CN113259398B (zh) * 2021-07-07 2021-10-15 杭州大乘智能科技有限公司 一种基于邮件日志数据的账号安全检测方法
CN115622970A (zh) * 2021-07-12 2023-01-17 深信服科技股份有限公司 电子邮件审计方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN110611608B (zh) 2022-04-05

Similar Documents

Publication Publication Date Title
CN110611608B (zh) 一种web邮件审计方法及系统
US11580535B2 (en) Recordation of device usage to public/private blockchains
US9712475B2 (en) Data governance for email systems
US8600965B2 (en) System and method for observing communication behavior
US20120331126A1 (en) Distributed collection and intelligent management of communication and transaction data for analysis and visualization
CA2534121A1 (en) Network asset tracker for identifying users of networked computers
CN114143282B (zh) 邮件处理方法、装置、设备及存储介质
US20130191493A1 (en) System for accessing a set of communication and transaction data associated with a user of interest sourced from multiple different network carriers and for enabling multiple analysts to independently and confidentially access the set of communication and transaction data
CN109598131A (zh) 一种文件上传、下载方法、装置、电子设备及存储介质
US20030135647A1 (en) Web browser control of telephone directories
US8854372B2 (en) Consolidation and visualization of a set of raw data corresponding to a communication between a person of interest and a correspondent across a plurality of mediums of communication
JPWO2009004724A1 (ja) 電子メール処理装置、電子メール処理方法、電子メール処理プログラムおよび電子メール処理システム
US10778627B2 (en) Centralized communications controller
CN108038223A (zh) 垃圾文件信息库建立方法、垃圾文件识别方法及装置
US8375089B2 (en) Methods and systems for protecting E-mail addresses in publicly available network content
CN109614809B (zh) 一种电子票据信息加密方法、装置和计算机可读存储介质
US9923857B2 (en) Symbolic variables within email addresses
CN107920012B (zh) 即时通信消息的存储方法和装置
Salama et al. Metadata based forensic analysis of digital information in the web
JP5796652B2 (ja) 電子メール監査装置、及びその制御方法、プログラム
EP1427134A2 (en) System and method for management of communications resources
Govan et al. Temporal analysis anomalies with iOS iMessage communication exchange
KR20010068470A (ko) 전자 메일 전송 방법
CN105376142B (zh) 电子邮件处理方法和装置
JP2017091472A (ja) 管理サーバ及び管理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant