CN111049724A - 邮件安全性检查方法、装置、计算机设备及存储介质 - Google Patents
邮件安全性检查方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN111049724A CN111049724A CN201910982086.5A CN201910982086A CN111049724A CN 111049724 A CN111049724 A CN 111049724A CN 201910982086 A CN201910982086 A CN 201910982086A CN 111049724 A CN111049724 A CN 111049724A
- Authority
- CN
- China
- Prior art keywords
- file
- steganography
- probe
- identification code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种邮件安全性检查方法、装置、计算机设备及存储介质,所述方法包括:在检测到邮件收发请求时,获取邮件收发请求中包含的信息载体,对信息载体的格式进行识别,若存在JPEG格式,则获取JPEG格式对应的信息载体,作为目标载体,并对目标载体进行解析,得到解析内容,使用双探针的方式,对解析内容进行双向探测,确定解析内容中包含的文件头标识和文件尾标识的真实位置,并基于真实位置,确定隐写识别结果,在隐写识别结果为存在隐写时,拒绝邮件收发请求,并将隐写识别结果发送到管理端,通过获取文件头标识和/或文件尾标识的真实位置判断是否存在隐写,针对性强,实现快速隐写识别,提高了邮件收发过程中的安全性检测效率。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种邮件安全性检查方法、装置、计算机设备及存储介质。
背景技术
随着计算机技术的迅猛发展,电子办公已逐渐形成一种趋势,通过电子办公,可以加快各项事务处理的效率,其中,通过电子邮件进行信息传递,是电子办公中一项重要环节,企业内部之间,企业和其他企业之间,经常需要通过邮件进行信息传递和交流。
在使用邮件进行信息传递时,有时候会为了美观或者宣传,插入图片到邮件内容或者邮件背景中,有时候也会将图片作为附件资料,插入到邮件附件中,邮件作为电子信息的一种载体,其数据安全不可忽视,因而,在通过邮件进行信息传递时,需要确保邮件的文字载体和图片载体中信息的安全性,文字载体传递机密信息,使用规则匹配,易被识别,而对于图像载体,肉眼直观所见的仅仅是成像信息。图像隐写,在不破坏成像信息的前提下,能轻易规避安全策略的检测,将机密信息泄露,因而,如何解决图像隐写识别,确保数据安全,成了一项亟待解决的难题。
在当前,图像隐写的识别主要通过训练模型(例如深度学习的神经网络识别模型或者多向Markov模型),进而通过训练好的模型来识别图像中是否存在隐写,该方法能有效对图像隐写进行识别,但是,通过训练模型进行识别的方式需要耗费太长时间,而在邮件传递过程中,特别是邮件传递频繁时,或者邮件中图像数量较多时,如何较快地解决图像隐写带来的安全性检测成了一个难题。
发明内容
本发明实施例提供一种邮件安全性检查方法、装置、计算机设备和存储介质,以提高当前邮件收发过程中安全性检测的效率。
一种邮件安全性检查方法,包括:
若检测到邮件收发请求,则获取所述邮件收发请求中包含的信息载体;
采用预设方式,对所述信息载体的格式进行识别,得到包含至少一种文件格式的格式集合;
若所述格式集合中包含JPEG格式,则获取所述JPEG格式对应的信息载体,作为目标载体;
对所述目标载体进行文件解析,得到解析内容;
使用双探针的方式,对所述解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置,并基于所述文件头标识的真实位置和/或所述文件尾标识的真实位置,确定隐写识别结果;
若所述隐写识别结果为存在隐写,则拒绝所述邮件收发请求,并将所述隐写识别结果发送到管理端。
一种邮件安全性检查装置,包括:
载体获取模块,用于若检测到邮件收发请求,则获取所述邮件收发请求中包含的信息载体;
格式校验模块,用于采用预设方式,对所述信息载体的格式进行识别,得到包含至少一种文件格式的格式集合;
目标选取模块,用于若所述格式集合中包含JPEG格式,则获取所述JPEG格式对应的信息载体,作为目标载体;
文件解析模块,用于对所述目标载体进行文件解析,得到解析内容;
隐写识别模块,用于使用双探针的方式,对所述解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置,并基于所述文件头标识的真实位置和/或所述文件尾标识的真实位置,确定隐写识别结果;
结果发送模块,用于若所述隐写识别结果为存在隐写,则拒绝所述邮件收发请求,并将所述隐写识别结果发送到管理端。
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述邮件安全性检查方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述邮件安全性检查方法的步骤。
本发明实施例提供的邮件安全性检查方法、装置、计算机设备及存储介质,在检测到邮件收发请求时,获取邮件收发请求中包含的信息载体,进而采用预设方式,对信息载体的格式进行识别,得到包含至少一种文件格式的格式集合,若格式集合中包含JPEG格式,则获取JPEG格式对应的信息载体,作为目标载体,并对目标载体进行文件解析,得到解析内容,再使用双探针的方式,对解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置,并基于文件头标识的真实位置和/或文件尾标识的真实位置,确定隐写识别结果,若隐写识别结果为存在隐写,则拒绝邮件收发请求,并将隐写识别结果发送到管理端,这种通过获取文件头标识的真实位置和/或文件尾标识的真实位置来判断是否存在隐写,针对性强,速度较快,实现快速进行隐写识别,提高了邮件收发过程中的安全性检测效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的邮件安全性检查方法的应用环境示意图;
图2是本发明实施例提供的邮件安全性检查方法的实现流程图;
图3是本发明实施例提供的邮件安全性检查方法中步骤S52的实现流程图;
图4是本发明实施例提供的邮件安全性检查方法中步骤S52的另一实现流程图;
图5是本发明实施例提供的邮件安全性检查方法中对目标载体的隐写长度进行计算的的实现流程图;
图6是本发明实施例提供的邮件安全性检查装置的示意图;
图7是本发明实施例提供的计算机设备的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,图1示出本发明实施例提供的邮件安全性检查方法的应用环境。该邮件安全性检查方法应用在邮件发送和接收时,对邮件中内容进行安全性检查的场景中。该安全性检查的场景包括客户端、服务端和管理端,其中,客户端和服务端之间、服务端和管理端之间通过网络进行连接,客户端向服务端发送邮件发送或接收请求,服务端根据该请求获取邮件中包含的信息载体,并对格式为JEPG格式的信息载体进行解析和隐写识别,若存在隐写识别,则确认邮件存在安全性问题,将隐写识别结果发送到管理端。客户端和管理端端具体可以但不限于是各种个人计算机、便携式计算机、平板电脑、手机和其他带有邮件收发功能的智能电子设备,服务端具体可以用独立的服务器或者多个服务器组成的服务器集群实现。
请参阅图2,图2示出本发明实施例提供的一种邮件安全性检查方法,以该方法应用在图1中的服务端为例进行说明,详述如下:
S10:若检测到邮件收发请求,则获取邮件收发请求中包含的信息载体。
具体地,在检测到客户端发送的邮件收发请求时,通过网络传输协议,获取该邮件收发请求中包含的邮件的信息载体。
其中,信息载体包括但不限于:文字载体、图像载体、音频载体和视频载体。
需要说明的是,对邮件收发中安全性的检测,主要是针对邮件中信息载体的安全性的检测,文字载体传递非法信息,通过规则匹配,很容易被识别,音频载体和视频载体传递非法信息,可通过语音转文本和自然语言处理(Natural Language Processing,NLP)的方式进行检测,但通过图像载体传递非法信息,通常是对图像进行隐写,JPEG格式作为一种使用较多的图像格式,其本质是描述如何将一个影像转换为字节的数据串流(streaming),但并没有说明这些字节如何在任何特定的储存媒体上被封存起来,因而,非法信息传递时,通常选用对JPEG格式的图像进行图像隐写,这也使得图像的隐写更为隐蔽。
其中,图像隐写(Image Steganography)是一门关于信息隐藏到图像中的技巧与科学,所谓信息隐藏指的是不让除预期的接收者之外的任何人知晓信息的传递事件或者信息的内容。但在邮件发送或者其他信息传递过程中,使用隐写的图像进行数据传递,往往会导致一直重要信息的泄密,因而,在邮件发送之前,需要对邮件中的图像进行隐写识别与分析,确保邮件中信息安全。
其中,网络传输协议包括但不限于:互联网控制报文协议(Internet ControlMessage Protocol,ICMP)、地址解析协议(ARP Address Resolution Protocol,ARP)和文件传输协议(File Transfer Protocol,FTP)等。
S20:采用预设方式,对信息载体的格式进行识别,得到包含至少一种文件格式的格式集合。
具体地,通过预设方式,对邮件中的每个信息载体的格式均进行识别,得到每个信息载体对应的格式,并对格式的种类进行统计,得到包含至少一种格式的格式集合。
其中,预设方式是指预先设置好用于进行格式识别的方式,包括但不限于:基于文件流判断文件类型、正则匹配的方式和字符相似度比较的方式。
优选地,本实施例采用的预设方式为正则匹配的方式。
其中,文字载体对应的格式包括但不限于:Text格式、Doc格式和Pdf格式等。
其中,图像载体对应的格式包括但不限于:Webp格式、Bmp格式、Gif格式、Jpeg格式和Psd格式等,Jpeg格式为当前使用较多的一种图像格式。
其中,音频载体对应的格式包括但不限于:Wace格式、Mp3格式、Mpeg-4格式和Aiff格式等。
其中,视频载体对应什么格式包括但不限于:Avi格式、3gp格式、Flv格式和Hddvd格式等。
S30:若格式集合中包含JPEG格式,则获取JPEG格式对应的信息载体,作为目标载体。
具体地,在步骤S20中得到的格式集合中存在JPEG格式时,获取所有JPEG格式的信息载体,作为目标载体。
值得说明的是,在本实施例具体实施过程中,也可根据实际需要,设置埋点,在进行格式识别时,每次检测到JPEG格式,获取该JPEG格式对应的信息载体,并生成目标载体标识,在所有信息载体均识别完后,将带有目标载体标识的信息载体作为目标载体。
应理解,本实施例中的目标载体,可以是一个信息载体,也可以包含两个或两个以上的信息载体,具体以实际需求为准,此处不做限制。
例如,在一具体实施方式中,获取到的的信息载体数量为8个,其中,6个信息载体格式为JPEG格式,2个信息载体格式为PNG格式,将格式为JPEG格式的6个信息载体作为目标载体。
S40:对目标载体进行文件解析,得到解析内容。
具体地,采用第三方工具或者预设脚本,对目标载体进行文件解析,得到解析内容。
其中,解析内容是指对JPEG格式的图像进行解析后,得到该JPEG图像对应的二进制编码,后续通过该该二进制编码进行探测分析,得到隐写识别结果。
其中,第三方工具包括但不限于:ImageJ、WillistConvertImage和Matlab等。
其中,预设脚本可以通过程序化语言来进行编写实现,具体实现方式,可以是通过采用image控件对图像文件进行解析,也可以是使用ifstrem函数进行图像文件解码,得到二进制数据流,具体方式可根据实际情况进行选取,此处不做限定。
S50:使用双探针的方式,对解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置,并基于文件头标识的真实位置和/或文件尾标识的真实位置,确定隐写识别结果。
具体地,本实施例中,采用JPEG文件结构中的两个标识码作为预设两个标识码,分别是文件头标识码FFD8和文件尾标识码FFD9,从文件头、文件尾开始使用第一探针和第二探针同时向文件中部移动探测,直到两个指针重叠,将探针移动过程中探测到包含文件头标识码FFD8的文件位置作为文件头标识的真实位置,将探针移动过程中探测到包含文件头标识码FFD9的文件位置作为文件尾标识的真实位置,并基于所述文件头标识的真实位置和/或所述文件尾标识的真实位置,确定隐写识别结果。
使用双探针的方式,对解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置具体实现过程,也可参考步骤S51至步骤S52的描述,为避免重复,此处不再赘述。
S60:若隐写识别结果为存在隐写,则拒绝邮件收发请求,并将隐写识别结果发送到管理端。
具体地,在隐写识别结果为存在隐写时,确定该邮件的目标载体中包含不安全因素,拒绝邮件收发请求,并将得到的隐写识别结果发送到管理端,以便管理端的用户通过对该隐写识别结果进行分析。
在本实施例中,在检测到邮件收发请求时,获取邮件收发请求中包含的信息载体,进而采用预设方式,对信息载体的格式进行识别,得到包含至少一种文件格式的格式集合,若格式集合中包含JPEG格式,则获取JPEG格式对应的信息载体,作为目标载体,并对目标载体进行文件解析,得到解析内容,再使用双探针的方式,对解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置,并基于文件头标识的真实位置和/或文件尾标识的真实位置,确定隐写识别结果,若隐写识别结果为存在隐写,则拒绝邮件收发请求,并将隐写识别结果发送到管理端,这种通过获取文件头标识的真实位置和/或文件尾标识的真实位置来判断是否存在隐写,针对性强,速度较快,实现快速进行隐写识别,提高了邮件收发过程中的安全性检测效率。
在一实施例中,步骤S50中,使用双探针的方式,对解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置,具体实现流程,详述如下:
S51:校验解析内容的起始两个字节与JPEF文件结构的文件头标识码的一致性,得到第一校验结果,并根据第一校验结果检测文件头标识的真实位置。
具体地,在JPEG图像的文件结构中,文件头标识码为FFD8,若解析内容的起始两个字节不等于FFD8,则确认该解析内容对应的目标载体的文件头存在隐写,此时,通过使用探针,进行文件头标识码FFD8的探测,即可找到文件头标识的真实位置。
需要说明的是,若解析内容的起始两个字节等于FFD8,也即,第一校验结果为起始两个字节与JPEF文件结构的文件头标识码的一致,此时,确认目标载体的文件头不存在隐写。
S52:校验解析内容的最后两个字节与JPEF文件结构的文件尾标识码的一致性,得到第二校验结果,并根据第二校验结果检测文件尾标识的真实位置。
具体地,在JPEG图像的文件结构中,文件尾标识码为FFD9,若解析内容的最后两个字节不等于FFD9,则确认该解析内容对应的目标载体的文件尾存在隐写,此时,通过使用探针,进行文件尾标识码FFD9的探测,即可找到文件头标识的真实位置,具体可参考步骤S521至步骤S523的描述,为避免重复,此处不再赘述。
需要说明的是,文件尾标识码FFD9存在被伪造的可能,也即,在解析内容中,可能存在两个或两个以上的FFD9的标识码,因而,在解析内容的最后两个字节等于FFD9时,也需要采用探针继续进行文件尾标识码FFD9的探测,以便排除最后两个字节为伪造的文件尾标识码的可能。
需要说明的是,步骤S51和步骤S52没有必然的先后执行顺序,其可以是并列执行的关系,此处不做限制。
在本实施例中,通过校验解析内容的前两个字节与JPEG文件结构的文件头标识码的一致性,,以及,校验解析内容的后两个字节与JPEG文件结构的文件尾标识码的一致性,再根据一致性校验结果,对文件头标识的真实位置和文件尾标识的真实位置进行检测,这种根据不同的校验结果,采用不同策略进行检测的方式,减少探测和对比运算的计算量,有利于提高真实位置的获取速度。
在一实施例中,针对步骤S51中,根据第一校验结果检测文件头标识的真实位置进行了详细说明,具体实现流程如下:
若第一校验结果为起始两个字节与文件头标识码不一致,则采用第一探针以预设步长,依次后移探测,直到检测到与文件头标识码一致的字节,获取与文件头标识码一致的字节的位置,作为文件头标识的真实位置。
具体地,第一校验结果为起始两个字节与文件头标识码不一致时,也即,文件头存在隐写,此时,采用第一探针,按照预设步长,从文件头往文件尾的方向后移探测,知道检测到与文件头标识码一直的字节,将该与文件头标识码一直的字节作为真实的文件头标识,并将真实的文件头标识所在的位置,确定为文件头标识的真实位置。
其中,预设步长可以根据实际需求进行设定,考虑到解析内容的格式为二进制,且需要对比的字符为双字节,因而,作为一种优选方式,本实施例采用的预设步长为2。
在本实施例中,在起始两个字节与文件头标识码不一致时,也即,文件头存在隐写时,采用第一探针从目标载体的文件头往文件尾的方向进行探测,获取文件头标识的真实位置,以便后续根据该位置确定隐写的长度。
在一实施例中,针对步骤S52中,根据第二校验结果检测文件尾标识的真实位置的具体实现方法进行详细说明。
请参阅图3,图3示出了本发明实施例提供的步骤S52的具体实现流程,详述如下:
S521:若第二校验结果为最后两个字节与文件尾标识码不一致,则采用第一探针,按照预设步长,依次后移探测,并采用第二探针,按照预设步长,依次前移探测。
具体地,在第二校验结果为最后两个字节与文件尾标识码不一致时,采用第一探针,按照预设步长,依次后移探测,并采用第二探针,按照预设步长,依次前移探测。
S522:在第二探针前移探测时,若检测到与文件尾标识码一致的字节,获取与文件尾标识码一致的字节的位置,作为待确认位置。
具体地,在第二探针前移探测中,若检测到与文件尾标识码一致的字节,获取与文件尾标识码一致的字节的位置,作为待确认位置。
应理解,由于文件尾标识码可以被伪造,因而,待确认位置的数量可以是1个,也可以为多个。
S523:当第一探针与第二探针重合时,获取最后一次获取到的待确认位置,并将最后一次获取到的待确认位置确定为文件尾标识的真实位置。
具体地,在第一探针与第二探针重合时,停止第一探针和第二探针的移动和探测,选取最后一次获取到的待确认位置,作为文件尾标识的真实位置。
在本实施例中,在第二校验结果为最后两个字节与文件尾标识码不一致,则采用第一探针,按照预设步长,依次后移探测,并采用第二探针,按照预设步长,依次前移探测,在第二探针前移探测时,若检测到与文件尾标识码一致的字节,获取与文件尾标识码一致的字节的位置,作为待确认位置,当第一探针与第二探针重合时,获取最后一次获取到的待确认位置,并将最后一次获取到的待确认位置确定为文件尾标识的真实位置,通过双探针探测的方式,快速确定文件尾标识的真实位置,有利于提高后续根据文件头标识和文件尾标识的真实位置,确定图像隐写结果的速度。
在一实施例中,针对步骤S52中,根据第二校验结果检测文件尾标识的真实位置的具体实现方法进行详细说明。
请参阅图4,图4示出了本发明实施例提供的步骤S52的具体实现流程,详述如下:
S524:若第二校验结果为最后两个字节与文件尾标识码一致,则采用第二探针按照预设步长,依次前移探测,直到第二探针与第一探针重合,终止探测过程。
具体地,在第二校验结果为最后两个字节与文件尾标识码一致时,文件尾标识也可以存在伪造,此时,需要确认最后两个字节是否为伪造,也即,需要继续采用第二探针向前探测,检测在最后两个字节之前,是否还存在与文件尾标识码一致的字节。
S525:若探测过程中,未探测到与文件尾标识码一致的字节,则确定文件尾标识码对应的位置为文件尾标识的真实位置。
具体地,在探测过程中,若未探测到与文件尾标识码一致的字节,则确定文件尾标识码对应的位置为文件尾标识的真实位置。若探测到与文件尾标识码一致的字节,则可依据步骤S522至步骤S523的方式进行文件尾标识的真实位置获取。
在本实施例中,在第二校验结果为最后两个字节与文件尾标识码一致时,采用第二探针按照预设步长,依次前移探测,直到第二探针与第一探针重合,终止探测过程,若探测过程中,未探测到与文件尾标识码一致的字节,则确定文件尾标识码对应的位置为文件尾标识的真实位置。避免在解析内容的最后两个字节为伪造时,未能检测出隐写的情况,提高了隐写识别的准确率。
在一实施例中,步骤S50中,基于文件头标识的真实位置和/或文件尾标识的真实位置,确定隐写识别结果,具体包括:
若文件头标识的真实位置与文件头标识码的位置不一致,或者,文件尾标识的真实位置与文件头标识码的位置不一致,则确定隐写识别结果为存在隐写。
具体地,在文件头标识的真实位置与文件头标识码的位置不一致,或者,文件尾标识的真实位置与文件头标识码的位置不一致时,即可判定存在隐写。
在本实施例中,通过文件头标识的真实位置,以及文件尾标识的真实位置,来快速确定隐写结果,提高了图像隐写检测的效率。
在一实施例中,在步骤S50之后,且在步骤S60之前,如图5所示,该邮件安全性检查方法还包括对目标载体的隐写长度的计算,具体过程如下:
S71:若隐写识别结果为存在隐写,则采用第一探针,从以预设步长,依次后移探测,将第一次检测到与文件头标识码一致的字节的位置,作为第一位置T1。
具体地,在隐写识别结果为存在隐写时,采用第一探针,按照预设步长,从文件头的位置往后探测,将第一次探测到与文件头标识码一致的字节的位置,作为第一位置T1。
容易理解地,文件头的标识码不会被伪造,因而,在探测到与文件头标识码一致的字节时,即可确定该字节的位置为文件头标识的真实位置,也即意味着,该字节前的内容为隐写内容,将第一次探测到与文件头标识码一致的字节的位置,作为第一位置T1。
S72:采用第二探针,从第一位置T1,按照预设步长后移探测,将第一次检测到与文件尾标识码一致的字节的位置,作为第二位置T2。
具体地,文件尾标识的真实位置必定在文件头标识的真实位置之后,通过从第一位置T1开始,采用第二探针开始,按照预设步长后移探测,有利于减少探测和对比的运算量,将第一次检测到与文件尾标识码一致的字节的位置,作为第二位置T2。
S73:获取解析内容的长度Len,根据解析内容的长度Len,确定文件尾的隐写长度Len-T2-2,并确定文件头的隐写的长度为T1。
具体地,通过取文件长度函数,获取解析内容的长度Len,在根据解析内容的长度Len和第二位置T2,确定文件尾的隐写长度Len-T2-2,再根据第一位置T1,确定文件头的隐写的长度为T1。
其中,取文件长度函数可以根据实际需求进行选取,例如,本实施例采用的取文件长度函数为Len(imgFile)。
S74:使用如下公式计算目标载体的隐写长度Hide_Len:
Hide_Len=T1+(Len-T2-2)。
具体地,通过将文件头的隐写长度和文件尾的隐写长度进行相加,得到目标载体的隐写长度。
S75:将目标载体的隐写长度Hide_Len关联到隐写识别结果中。
具体地,目标载体的隐写长度Hide_Len关联到隐写识别结果中,以便后续可以在将隐写识别结果发送管理端的同时,将目标载体的隐写长度和具体隐写位置发送管理端,以便管理端的管理人员更好进行安全性的判断和监控,有利于提高安全性检测的效率。
在本实施例中,在隐写识别结果为存在隐写时,采用第一探针,从以预设步长,依次后移探测,将第一次检测到与文件头标识码一致的字节的位置,作为第一位置T1,采用第二探针,从第一位置T1,按照预设步长后移探测,将第一次检测到与文件尾标识码一致的字节的位置,作为第二位置T2,进而获取解析内容的长度Len,确定文件尾的隐写长度Len-T2-2,并确定文件头的隐写的长度为T1,在计算目标载体的隐写长度Hide_Len,并将目标载体的隐写长度Hide_Len关联到隐写识别结果中,使得后续可以在将隐写识别结果发送管理端的同时,将目标载体的隐写长度和具体隐写位置发送管理端,以便管理端的管理人员更好进行安全性的判断和监控,有利于提高安全性检测的效率。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
图6示出与上述实施例邮件安全性检查方法一一对应的邮件安全性检查装置的原理框图。如图6所示,该邮件安全性检查装置包括载体获取模块10、格式校验模块20、目标选取模块30、文件解析模块40、隐写识别模块50和结果发送模块60。各功能模块详细说明如下:
载体获取模块10,用于若检测到邮件收发请求,则获取邮件收发请求中包含的信息载体;
格式校验模块20,用于采用预设方式,对信息载体的格式进行识别,得到包含至少一种文件格式的格式集合;
目标选取模块30,用于若格式集合中包含JPEG格式,则获取JPEG格式对应的信息载体,作为目标载体;
文件解析模块40,用于对目标载体进行文件解析,得到解析内容;
隐写识别模块50,用于使用双探针的方式,对解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置,并基于文件头标识的真实位置和/或文件尾标识的真实位置,确定隐写识别结果;
结果发送模块60,用于若隐写识别结果为存在隐写,则拒绝邮件收发请求,并将隐写识别结果发送到管理端。
进一步地,隐写识别模块50包括:
第一校验单元,用于校验解析内容的起始两个字节与JPEF文件结构的文件头标识码的一致性,得到第一校验结果,并根据第一校验结果检测文件头标识的真实位置;
第二校验单元,用于校验解析内容的最后两个字节与JPEF文件结构的文件尾标识码的一致性,得到第二校验结果,并根据第二校验结果检测文件尾标识的真实位置。
进一步地,第一校验单元包括:
第一探测子单元,用于若第一校验结果为起始两个字节与文件头标识码不一致,则采用第一探针以预设步长,依次后移探测,直到检测到与文件头标识码一致的字节,获取与文件头标识码一致的字节的位置,作为文件头标识的真实位置。
进一步地,第二校验单元包括:
第二探测子单元,用于若第二校验结果为最后两个字节与文件尾标识码不一致,则采用第一探针,按照预设步长,依次后移探测,并采用第二探针,按照预设步长,依次前移探测;
待确认位置选取子单元,用于在第二探针前移探测时,若检测到与文件尾标识码一致的字节,获取与文件尾标识码一致的字节的位置,作为待确认位置;
目标位置选取子单元,用于当第一探针与第二探针重合时,获取最后一次获取到的待确认位置,并将最后一次获取到的待确认位置确定为文件尾标识的真实位置。
进一步地,第二校验单元还包括:
第三探测子单元,用于若第二校验结果为最后两个字节与文件尾标识码一致,则采用第二探针按照预设步长,依次前移探测,直到第二探针与第一探针重合,终止探测过程;
真实位置确定子单元,用于若探测过程中,未探测到与文件尾标识码一致的字节,则确定文件尾标识码对应的位置为文件尾标识的真实位置。
进一步地,隐写识别模块50还包括:
隐写判断单元,用于若文件头标识的真实位置与文件头标识码的位置不一致,或者,文件尾标识的真实位置与文件头标识码的位置不一致,则确定隐写识别结果为存在隐写。
进一步地,该邮件安全性检查装置还包括:
第一位置确定单元,用于若隐写识别结果为存在隐写,则采用第一探针,从以预设步长,依次后移探测,将第一次检测到与文件头标识码一致的字节的位置,作为第一位置T1;
第二位置确定单元,用于采用第二探针,从第一位置T1,按照预设步长后移探测,将第一次检测到与文件尾标识码一致的字节的位置,作为第二位置T2;
长度确定单元,用于获取解析内容的长度Len,根据解析内容的长度Len,确定文件尾的隐写长度Len-T2-2,并确定文件头的隐写的长度为T1;
长度计算单元,用于使用如下公式计算目标载体的隐写长度Hide_Len:
Hide_Len=T1+(Len-T2-2);
关联单元,用于将目标载体的隐写长度Hide_Len关联到隐写识别结果中。
关于邮件安全性检查装置的具体限定可以参见上文中对于邮件安全性检查方法的限定,在此不再赘述。上述邮件安全性检查装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
图7是本发明一实施例提供的计算机设备的示意图。该计算机设备可以是服务端,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储预设的正则表达式和标识码。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种邮件安全性检查方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例邮件安全性检查方法的步骤,例如图2所示的步骤S10至步骤S60。或者,处理器执行计算机程序时实现上述实施例邮件安全性检查装置的各模块/单元的功能,例如图6所示的模块10至模块60的功能。为避免重复,这里不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
在一实施例中,提供一计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例邮件安全性检查方法的步骤,或者,该计算机程序被处理器执行时实现上述实施例邮件安全性检查装置中各模块/单元的功能。为避免重复,这里不再赘述。
可以理解地,所述计算机可读存储介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、电载波信号和电信信号等。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种邮件安全性检查方法,其特征在于,所述邮件安全性检查方法包括:
若检测到邮件收发请求,则获取所述邮件收发请求中包含的信息载体;
采用预设方式,对所述信息载体的格式进行识别,得到包含至少一种文件格式的格式集合;
若所述格式集合中包含JPEG格式,则获取所述JPEG格式对应的信息载体,作为目标载体;
对所述目标载体进行文件解析,得到解析内容;
使用双探针的方式,对所述解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置,并基于所述文件头标识的真实位置和/或所述文件尾标识的真实位置,确定隐写识别结果;
若所述隐写识别结果为存在隐写,则拒绝所述邮件收发请求,并将所述隐写识别结果发送到管理端。
2.如权利要求1所述的邮件安全性检查方法,其特征在于,所述使用双探针的方式,对所述解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置包括:
校验所述解析内容的起始两个字节与JPEF文件结构的文件头标识码的一致性,得到第一校验结果,并根据所述第一校验结果检测文件头标识的真实位置;
校验所述解析内容的最后两个字节与所述JPEF文件结构的文件尾标识码的一致性,得到第二校验结果,并根据所述第二校验结果检测文件尾标识的真实位置。
3.如权利要求2所述的邮件安全性检查方法,其特征在于,所述根据所述第一校验结果检测文件头标识的真实位置包括:
若所述第一校验结果为所述起始两个字节与所述文件头标识码不一致,则采用第一探针以预设步长,依次后移探测,直到检测到与所述文件头标识码一致的字节,获取所述与所述文件头标识码一致的字节的位置,作为所述文件头标识的真实位置。
4.如权利要求2所述的邮件安全性检查方法,其特征在于,所述根据所述第二校验结果检测文件尾标识的真实位置包括:
若所述第二校验结果为所述最后两个字节与所述文件尾标识码不一致,则采用所述第一探针,按照所述预设步长,依次后移探测,并采用第二探针,按照所述预设步长,依次前移探测;
在所述第二探针前移探测时,若检测到与所述文件尾标识码一致的字节,获取所述与所述文件尾标识码一致的字节的位置,作为待确认位置;
当所述第一探针与所述第二探针重合时,获取最后一次获取到的待确认位置,并将所述最后一次获取到的待确认位置确定为所述文件尾标识的真实位置。
5.如权利要求2所述的邮件安全性检查方法,其特征在于,所述根据所述第二校验结果检测文件尾标识的真实位置还包括:
若所述第二校验结果为所述最后两个字节与所述文件尾标识码一致,则采用所述第二探针按照所述预设步长,依次前移探测,直到所述第二探针与所述第一探针重合,终止探测过程;
若所述探测过程中,未探测到与所述文件尾标识码一致的字节,则确定所述文件尾标识码对应的位置为所述文件尾标识的真实位置。
6.如权利要求1所述的邮件安全性检查方法,其特征在于,基于所述文件头标识的真实位置和/或所述文件尾标识的真实位置,确定隐写识别结果包括:
若文件头标识的真实位置与所述文件头标识码的位置不一致,或者,所述文件尾标识的真实位置与所述文件头标识码的位置不一致,则确定所述隐写识别结果为存在隐写。
7.如权利要求1至6任一项所述的邮件安全性检查方法,其特征在于,在所述使用双探针的方式,对所述解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置,并基于所述文件头标识的真实位置和/或所述文件尾标识的真实位置,确定隐写识别结果之后,并且,在所述若所述隐写识别结果为存在隐写,则拒绝所述邮件收发请求,并将所述隐写识别结果发送到管理端之前,所述邮件安全性检查方法还包括:
若所述隐写识别结果为存在隐写,则采用所述第一探针,从以预设步长,依次后移探测,将第一次检测到与所述文件头标识码一致的字节的位置,作为第一位置T1;
采用所述第二探针,从所述第一位置T1,按照所述预设步长后移探测,将第一次检测到与所述文件尾标识码一致的字节的位置,作为第二位置T2;
获取解析内容的长度Len,根据所述解析内容的长度Len,确定文件尾的隐写长度Len-T2-2,并确定文件头的隐写长度为T1;
使用如下公式计算所述目标载体的隐写长度Hide_Len:
Hide_Len=T1+(Len-T2-2);
将所述目标载体的隐写长度Hide_Len关联到所述隐写识别结果中。
8.一种邮件安全性检查装置,其特征在于,所述邮件安全性检查装置包括:
载体获取模块,用于若检测到邮件收发请求,则获取所述邮件收发请求中包含的信息载体;
格式校验模块,用于采用预设方式,对所述信息载体的格式进行识别,得到包含至少一种文件格式的格式集合;
目标选取模块,用于若所述格式集合中包含JPEG格式,则获取所述JPEG格式对应的信息载体,作为目标载体;
文件解析模块,用于对所述目标载体进行文件解析,得到解析内容;
隐写识别模块,用于使用双探针的方式,对所述解析内容进行双向探测,确定解析内容中包含的文件头标识的真实位置和文件尾标识的真实位置,并基于所述文件头标识的真实位置和/或所述文件尾标识的真实位置,确定隐写识别结果;
结果发送模块,用于若所述隐写识别结果为存在隐写,则拒绝所述邮件收发请求,并将所述隐写识别结果发送到管理端。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的邮件安全性检查方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的邮件安全性检查方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910982086.5A CN111049724B (zh) | 2019-10-16 | 2019-10-16 | 邮件安全性检查方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910982086.5A CN111049724B (zh) | 2019-10-16 | 2019-10-16 | 邮件安全性检查方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111049724A true CN111049724A (zh) | 2020-04-21 |
| CN111049724B CN111049724B (zh) | 2022-06-17 |
Family
ID=70232572
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910982086.5A Active CN111049724B (zh) | 2019-10-16 | 2019-10-16 | 邮件安全性检查方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111049724B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111866002A (zh) * | 2020-07-27 | 2020-10-30 | 中国工商银行股份有限公司 | 用于检测邮件安全性的方法、装置、系统及介质 |
| CN115580593A (zh) * | 2022-09-05 | 2023-01-06 | 中国工商银行股份有限公司 | 邮件的分类方法及装置、处理器和电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050105761A1 (en) * | 2003-11-14 | 2005-05-19 | Zimmer Vincent J. | Method to provide transparent information in binary drivers via steganographic techniques |
| US20060075041A1 (en) * | 2004-09-30 | 2006-04-06 | Microsoft Corporation | Systems and methods for detection and removal of metadata and hidden information in files |
| CN106845242A (zh) * | 2016-08-26 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于is4软件特征的隐藏信息检测及提取方法 |
| WO2018222766A1 (en) * | 2017-05-30 | 2018-12-06 | Cyemptive Technologies, Inc. | Real-time detection of and protection from malware and steganography in a kernel mode |
-
2019
- 2019-10-16 CN CN201910982086.5A patent/CN111049724B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050105761A1 (en) * | 2003-11-14 | 2005-05-19 | Zimmer Vincent J. | Method to provide transparent information in binary drivers via steganographic techniques |
| US20060075041A1 (en) * | 2004-09-30 | 2006-04-06 | Microsoft Corporation | Systems and methods for detection and removal of metadata and hidden information in files |
| CN106845242A (zh) * | 2016-08-26 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于is4软件特征的隐藏信息检测及提取方法 |
| WO2018222766A1 (en) * | 2017-05-30 | 2018-12-06 | Cyemptive Technologies, Inc. | Real-time detection of and protection from malware and steganography in a kernel mode |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111866002A (zh) * | 2020-07-27 | 2020-10-30 | 中国工商银行股份有限公司 | 用于检测邮件安全性的方法、装置、系统及介质 |
| CN115580593A (zh) * | 2022-09-05 | 2023-01-06 | 中国工商银行股份有限公司 | 邮件的分类方法及装置、处理器和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111049724B (zh) | 2022-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9818036B2 (en) | Apparatus and method for reproducing handwritten message by using handwriting data | |
| CN111049724B (zh) | 邮件安全性检查方法、装置、计算机设备及存储介质 | |
| CN111507386B (zh) | 一种存储文件及网络数据流加密通信检测方法及系统 | |
| CN102377684B (zh) | 一种自动阻断色情视频文件传输的方法、终端和系统 | |
| CN109902475B (zh) | 验证码图像生成方法、装置和电子设备 | |
| US20230326003A1 (en) | Image processing system for verification of rendered data | |
| CN108234441B (zh) | 确定伪造访问请求的方法、装置、电子设备和存储介质 | |
| CN106331331A (zh) | 终端信息的显示方法、生成方法、显示装置及服务器 | |
| CN103763108B (zh) | 一种识别移动设备硬件唯一序列号的远程系统及方法 | |
| CN111124421A (zh) | 区块链智能合约的异常合约数据检测方法和装置 | |
| CN108920955B (zh) | 一种网页后门检测方法、装置、设备及存储介质 | |
| CN113141332B (zh) | 一种命令注入识别方法、系统、设备及计算机存储介质 | |
| CN108062690A (zh) | 广告推送的方法、装置、电子设备及存储介质 | |
| CN115982675A (zh) | 文档处理方法、装置、电子设备以及存储介质 | |
| CN114356871A (zh) | 一种用于智慧屏的会议内容管理方法、系统及介质 | |
| CN113890904A (zh) | 一种报文解析的方法、装置、计算机设备及存储介质 | |
| CN112637139A (zh) | 一种基于物联网的语音传输处理方法、装置及计算机设备 | |
| CN112650698A (zh) | 一种数据传输方法、装置、电子设备及存储介质 | |
| CN112463405A (zh) | 一种基于边缘计算的大数据处理方法及中心云服务器 | |
| CN115941347B (zh) | 用于人工智能平台的用户大数据安全分析方法及系统 | |
| CN114978585B (zh) | 基于流量特征的深度学习对称加密协议识别方法 | |
| CN114301600B (zh) | 一种提高http报文签名安全性的方法、装置及介质 | |
| CN117472640B (zh) | 跨平台事件处理方法和系统 | |
| CN116384352B (zh) | 一种数据集的生成方法、装置、设备和介质 | |
| CN115550926B (zh) | 一种电子取证方法、系统、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |