CN115529185A - 一种邮件分类和清理方法 - Google Patents

一种邮件分类和清理方法 Download PDF

Info

Publication number
CN115529185A
CN115529185A CN202211201493.6A CN202211201493A CN115529185A CN 115529185 A CN115529185 A CN 115529185A CN 202211201493 A CN202211201493 A CN 202211201493A CN 115529185 A CN115529185 A CN 115529185A
Authority
CN
China
Prior art keywords
mail
file
operation authority
threat level
changed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211201493.6A
Other languages
English (en)
Other versions
CN115529185B (zh
Inventor
刘庆林
李小琼
魏海宇
谢辉
安恩庆
张乃亮
杨晓峰
刘海洋
姜小光
刘正伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zorelworld Information Technology Co ltd
Original Assignee
Beijing Zorelworld Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zorelworld Information Technology Co ltd filed Critical Beijing Zorelworld Information Technology Co ltd
Priority to CN202211201493.6A priority Critical patent/CN115529185B/zh
Publication of CN115529185A publication Critical patent/CN115529185A/zh
Application granted granted Critical
Publication of CN115529185B publication Critical patent/CN115529185B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种邮件分类和清理方法,属于数据管理技术领域。本方法包括:步骤A、使原始邮件文件经过邮件检测系统,把原始邮件文件按检测时间划分目录存储在磁盘上;步骤B、判断原始邮件是否命中邮件检测系统的自定义规则子系统和白名单子系统,并根据判断结果更改原始邮件文件的文件属性、文件操作权限;步骤C、对步骤B中的邮件文件进行分类列表,形成邮件文件属性操作权限与威胁等级对应图;步骤D、根据步骤C中的邮件文件属性操作权限与威胁等级对应图对需要删除的目标邮件文件快速定位,并进行删除操作。本方法脱离数据库限制,邮件分类效率高,系统资源占用少且删除方便可靠,实用性强。

Description

一种邮件分类和清理方法
技术领域
本发明属于数据管理技术领域,特别涉及一种邮件分类和清理方法。
背景技术
统计数据显示网络攻击中有91%将电子邮件作为攻击入口,邮件攻击引发的网络安全事件频频发生。邮件系统作为现代企业关键信息基础设施,已成为攻击的重灾区。对APT(高级可持续攻击)组织来说,邮件攻击是其最为常用的攻击手段。在针对邮件攻击的邮件检测系统中。能够针对邮件的性质,针对性的对检测后的原始邮件进行分类管理和清理也是邮件检测系统的重要的一环节。
现有的原始邮件分类管理大多数都采用数据库管理的方案,利用查询数据库进行邮件的管理。依赖数据库会占用部分系统资源,而且如果数据库由于资源等问题发生故障时,清理系统就不能够正常工作,需要等待数据库正常时,才能正常的清理邮件。
发明内容
有鉴于此,本发明的主要目的是提出一种邮件分类和清理方法。已解决现有技术中邮件分类和清理需依赖数据库的问题。
为解决上述技术问题,本发明所采用的技术方案是:一种邮件分类和清理方法,将原始邮件文件默认设置属主为root,属组为www,文件操作权限为644,rw-r--r--的操作权限;然后按照以下步骤进行分类处理:
步骤A、使原始邮件文件经过邮件检测系统,把原始邮件文件按检测时间划分目录存储在磁盘上;
步骤B、判断原始邮件是否命中邮件检测系统的自定义规则子系统和白名单子系统,并根据判断结果对原始邮件文件的属主、属组以及文件操作权限进行相应的更改;
步骤C、对步骤B中的邮件文件进行分类列表,形成邮件文件属性操作权限与威胁等级对应图;
步骤D、根据步骤C中的邮件文件属性操作权限与威胁等级对应图对需要删除的目标邮件文件快速定位,并进行删除操作。
优选的,所述步骤B中,经过邮件检测系统的邮件文件被分类为以下三大类:
第一类邮件文件,所述原始邮件文件经过邮件检测系统检测后,没有命中自定义规则系统和白名单系统;
第二类邮件文件,所述原始邮件文件经过邮件检测系统检测后,只命中了自定义规则系统;
第三类邮件文件,所述原始邮件文件经过邮件检测系统检测后,通过了邮件白名单系统,成为加白邮件。
优选的,对所述第一类邮件文件进行威胁等级细分并修改其文件属性及文件权限,包括:
威胁等级为安全,对该邮件文件的属主会更改为www,属组保持www不变,文件操作权限保持644,rw-r--r-不变;
威胁等级为低危,该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为645,rw-r--r-x;
威胁等级为中危,该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为646,rw-r--rw-;
威胁等级为高危,该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为647,rw-r—rwx。
优选的,对所述第二类邮件文件进行威胁等级细分并修改其文件属性及文件权限,包括:
威胁等级设置成安全,该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为654,rw-r-xr--;
威胁等级设置成低危,该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为655,rw-r-xr-x;
威胁等级设置成中危,该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为656,rw-r-xrw-;
威胁等级设置成高危,该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为657,rw-r-xrwx。
优选的,所述第三类邮件文件包括没有命中自定义规则系统的加白邮件和命中自定义规则系统的加白邮件
优选的,对没有命中自定义规则系统的加白邮件进行威胁等级细分并修改其文件属性及文件权限,包括:
原始威胁等级为低危,该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为745,rwxr-xr-x;
原始威胁等级为中危,该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为746,rwxr-xrw-。
原始威胁等级为高危,该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为747,rwxr-xrwx。
优选的,对命中自定义规则系统的加白邮件进行威胁等级细分并修改其文件属性及文件权限,包括:
自定义规则系统将邮件设置为安全,将该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为754,rwxr-xr--;
自定义规则系统将邮件设置为低危,将该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为755,rwxr-xr-x;
自定义规则系统将邮件设置为中危,将该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为756,rwxr-xrw-;
自定义规则系统将邮件设置为高危,将该邮件文件的属主会更改为www,属组保持www不变,文件操作权限更改为757,rwxr-xrwx。
优选的,所述步骤D中对目标邮件文件的定位和删除通过find命令执行。
与现有技术相比,本发明具有以下优点:不会修改文件名,不会影响邮件检测系统中其他部分对邮件文件的读取、检测的流程,且操作是一次性的,节省了系统资源。同时不会依赖数据库中检测结果的状态来进行邮件文件的管理。通过邮件文件属性就能快速的定位到邮件文件的威胁等级。
附图说明
图1为本发明实施例中邮件文件属性操作权限与威胁等级对应图。
具体实施方式
以下是本发明的具体实施例并结合附图,对本发明的技术方案作进一步的描述,但本发明并不限于这些实施例。
本发明提供了一种邮件分类和清理方法,本方法中,原始邮件文件的文件属性、文件权限默认设置为:属主为root,属组为www,文件操作权限为644,rw-r--r--的操作权限。对原始邮件执行以下操作:使原始邮件文件通过邮件检测系统,将邮件文件按照检测时间划分目录将邮件文件存储在磁盘上。根据邮件检测系统及其自定义规则子系统和白名单子系统,对原始邮件文件的文件属性以及文件权限进行更改操作。邮件检测系统采用常规的邮件检测系统,具体操作如下:
邮件文件经过检测后,没有命中自定义规则系统,和白名单系统时。如果威胁等级为安全,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限保持644,rw-r--r-不变。
邮件文件经过检测后,没有命中自定义规则系统,和白名单系统时。如果威胁等级为低危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为645,rw-r--r-x。
邮件文件经过检测后,没有命中自定义规则系统,和白名单系统时。如果威胁等级为中危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为646,rw-r--rw-。
邮件文件经过检测后,没有命中自定义规则系统,和白名单系统时。如果威胁等级为高危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为647,rw-r--rwx。
邮件文件经过检测后,如果只命中了自定义规则系统,且被自定义规则系统将邮件威胁等级设置成安全,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为654,rw-r-xr--。
邮件文件经过检测后,如果只命中了自定义规则系统,且被自定义规则系统将邮件威胁等级设置成低危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为655,rw-r-xr-x。
邮件文件经过检测后,如果只命中了自定义规则系统,且被自定义规则系统将邮件威胁等级设置成中危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为656,rw-r-xrw-。
邮件文件经过检测后,如果只命中了自定义规则系统,且被自定义规则系统将邮件威胁等级设置成高危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为657,rw-r-xrwx。
邮件文件经过检测后,通过了邮件白名单系统,会将邮件加白,而且原始安全邮件不会通过白名单系统,所以不存在加白的安全邮件。
在加白邮件的情况下,如果没有命中自定义规则系统。如果邮件的原始威胁等级为低危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为745,rwxr-xr-x。
在加白邮件的情况下,如果没有命中自定义规则系统。如果邮件的原始威胁等级为中危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为746,rwxr-xrw-。
在加白邮件的情况下,如果没有命中自定义规则系统。如果邮件的原始威胁等级为低危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为747,rwxr-xrwx。
在加白邮件的情况下,如果命中了自定义规则系统,且自定义规则系统将邮件设置为安全,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为754,rwxr-xr--。
在加白邮件的情况下,如果命中了自定义规则系统,且自定义规则系统将邮件设置为低危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为755,rwxr-xr-x。
在加白邮件的情况下,如果命中了自定义规则系统,且自定义规则系统将邮件设置为中危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为756,rwxr-xrw-。
在加白邮件的情况下,如果命中了自定义规则系统,且自定义规则系统将邮件设置为高危,该邮件文件的属主会更改为www,属组保持www不变。文件操作权限更改为757,rwxr-xrwx。
如图1所示,通过上述分类操作,得到邮件文件属性操作权限与威胁等级对应图。通过这样的文件属性、操作权限的更改,能够在邮件文件清理系统中通过find命令快速的定位到特定属性的邮件文件(即需要删除的目标邮件文件),并且进行删除操作。
本发明通过利用系统自带的属主属组、文件权限的属性,来区分和管理邮件文件。脱离数据库的限制,效率更高,也能够节省大量系统资源,实用性强。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (8)

1.一种邮件分类和清理方法,将原始邮件文件默认设置属主为root,属组为www,文件操作权限为644,rw-r--r--的操作权限;然后按照以下步骤进行分类处理:
步骤A、使原始邮件文件经过邮件检测系统,把原始邮件文件按检测时间划分目录存储在磁盘上;
步骤B、判断原始邮件是否命中邮件检测系统的自定义规则子系统和白名单子系统,并根据判断结果对原始邮件文件的属主、属组以及文件操作权限进行相应的更改;
步骤C、对步骤B中的邮件文件进行分类列表,形成邮件文件属性操作权限与威胁等级对应图;
步骤D、根据步骤C中的邮件文件属性操作权限与威胁等级对应图对需要删除的目标邮件文件快速定位,并进行删除操作。
2.根据权利要求1所述的一种邮件分类和清理方法,其特征在于,所述步骤B中,经过邮件检测系统的邮件文件被分类为以下三大类:
第一类邮件文件,所述原始邮件文件经过邮件检测系统检测后,没有命中自定义规则系统和白名单系统;
第二类邮件文件,所述原始邮件文件经过邮件检测系统检测后,只命中了自定义规则系统;
第三类邮件文件,所述原始邮件文件经过邮件检测系统检测后,通过了邮件白名单系统,成为加白邮件。
3.根据权利要求2所述的一种邮件分类和清理方法,其特征在于,对所述第一类邮件文件的文件属性进行修改:将其属主更改为www,属组保持www不变;同时对其进行威胁等级细分并相应修改文件操作权限:
若威胁等级为安全,文件操作权限保持644,rw-r--r-不变;
若威胁等级为低危,文件操作权限更改为645,rw-r--r-x;
若威胁等级为中危,文件操作权限更改为646,rw-r--rw-;
若威胁等级为高危,文件操作权限更改为647,rw-r—rwx。
4.根据权利要求2所述的一种邮件分类和清理方法,其特征在于,对所述第二类邮件文件的文件属性进行修改:将其属主更改为www,属组保持www不变;同时对其进行威胁等级细分并相应修改文件操作权限:
若威胁等级为安全,文件操作权限更改为654,rw-r-xr--;
若威胁等级为低危,文件操作权限更改为655,rw-r-xr-x;
若威胁等级为中危,文件操作权限更改为656,rw-r-xrw-;
若威胁等级为高危,文件操作权限更改为657,rw-r-xrwx。
5.根据权利要求2所述的一种邮件分类和清理方法,其特征在于,所述第三类邮件文件包括没有命中自定义规则系统的加白邮件和命中自定义规则系统的加白邮件。
6.根据权利要求5所述的一种邮件分类和清理方法,其特征在于,对没有命中自定义规则系统的加白邮件的文件属性进行修改:将其属主更改为www,属组保持www不变;同时对其进行威胁等级细分并相应修改文件操作权限:
原始威胁等级为低危,文件操作权限更改为745,rwxr-xr-x;
原始威胁等级为中危,文件操作权限更改为746,rwxr-xrw-。
原始威胁等级为高危,文件操作权限更改为747,rwxr-xrwx。
7.根据权利要求5所述的一种邮件分类和清理方法,其特征在于,对命中自定义规则系统的加白邮件的文件属性进行修改:将其属主更改为www,属组保持www不变;同时对其进行威胁等级细分并相应修改文件操作权限:
自定义规则系统将邮件设置为安全,文件操作权限更改为754,rwxr-xr--;
自定义规则系统将邮件设置为低危,文件操作权限更改为755,rwxr-xr-x;
自定义规则系统将邮件设置为中危,文件操作权限更改为756,rwxr-xrw-;
自定义规则系统将邮件设置为高危,文件操作权限更改为757,rwxr-xrwx。
8.根据权利要求1-7任意一项所述的一种邮件分类和清理方法,其特征在于,所述步骤D中对目标邮件文件的定位和删除通过find命令执行。
CN202211201493.6A 2022-09-29 2022-09-29 一种邮件分类和清理方法 Active CN115529185B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211201493.6A CN115529185B (zh) 2022-09-29 2022-09-29 一种邮件分类和清理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211201493.6A CN115529185B (zh) 2022-09-29 2022-09-29 一种邮件分类和清理方法

Publications (2)

Publication Number Publication Date
CN115529185A true CN115529185A (zh) 2022-12-27
CN115529185B CN115529185B (zh) 2024-06-21

Family

ID=84700173

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211201493.6A Active CN115529185B (zh) 2022-09-29 2022-09-29 一种邮件分类和清理方法

Country Status (1)

Country Link
CN (1) CN115529185B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101123589A (zh) * 2006-08-10 2008-02-13 华为技术有限公司 一种反垃圾邮件的方法及装置
KR20130131133A (ko) * 2012-05-23 2013-12-03 경기대학교 산학협력단 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템
CN108132866A (zh) * 2018-01-11 2018-06-08 郑州云海信息技术有限公司 一种监测操作系统数据完整性的方法及系统
CN111262831A (zh) * 2020-01-07 2020-06-09 深信服科技股份有限公司 钓鱼邮件检测方法、装置、设备及计算机可读存储介质
CN112019506A (zh) * 2020-07-28 2020-12-01 杭州安恒信息技术股份有限公司 基于行为识别的钓鱼邮件检测方法、电子装置及介质
CN114036264A (zh) * 2021-11-19 2022-02-11 四川大学 一种基于小样本学习的电子邮件作者身份归属识别方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101123589A (zh) * 2006-08-10 2008-02-13 华为技术有限公司 一种反垃圾邮件的方法及装置
KR20130131133A (ko) * 2012-05-23 2013-12-03 경기대학교 산학협력단 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템
CN108132866A (zh) * 2018-01-11 2018-06-08 郑州云海信息技术有限公司 一种监测操作系统数据完整性的方法及系统
CN111262831A (zh) * 2020-01-07 2020-06-09 深信服科技股份有限公司 钓鱼邮件检测方法、装置、设备及计算机可读存储介质
CN112019506A (zh) * 2020-07-28 2020-12-01 杭州安恒信息技术股份有限公司 基于行为识别的钓鱼邮件检测方法、电子装置及介质
CN114036264A (zh) * 2021-11-19 2022-02-11 四川大学 一种基于小样本学习的电子邮件作者身份归属识别方法

Also Published As

Publication number Publication date
CN115529185B (zh) 2024-06-21

Similar Documents

Publication Publication Date Title
US11256821B2 (en) Method of identifying and tracking sensitive data and system thereof
US7673324B2 (en) Method and system for tracking an operating performed on an information asset with metadata associated therewith
CN108874927B (zh) 基于超图和随机森林的入侵检测方法
US9641334B2 (en) Method and apparatus for ascertaining data access permission of groups of users to groups of data elements
US8566305B2 (en) Method and apparatus to define the scope of a search for information from a tabular data source
CN114143020A (zh) 一种基于规则的网络安全事件关联分析方法和系统
US20020199122A1 (en) Computer security vulnerability analysis methodology
KR101260028B1 (ko) 악성코드 그룹 및 변종 자동 관리 시스템
JP4711343B2 (ja) 個人情報を保護する方法及びそのシステム
Liu et al. Intrusion confinement by isolation in information systems
CN107273752B (zh) 基于词频统计和朴素贝叶斯融合模型的漏洞自动分类方法
CN111339293B (zh) 告警事件的数据处理方法、装置和告警事件的分类方法
JP4807173B2 (ja) セキュリティ管理システムおよびその方法
CN106897625A (zh) 支持漏洞关联性挖掘的漏洞自动分类方法
CN108449201B (zh) 一种内网业务数据流安全管控效能的评价方法
CN117061254B (zh) 异常流量检测方法、装置和计算机设备
US20200293651A1 (en) Centralized privacy management system for automatic monitoring and handling of personal data across data system platforms
CN115529185A (zh) 一种邮件分类和清理方法
Gafny et al. Poster: applying unsupervised context-based analysis for detecting unauthorized data disclosure
Boonyopakorn The optimization and enhancement of network intrusion detection through fuzzy association rules
Kumar et al. A novel technique for mining closed frequent itemsets using variable sliding window
KR100638480B1 (ko) 침입 탐지 경고 메시지의 연관성을 이용한 침입 탐지시각화 방법
CN106649458A (zh) 一种文件更新量检测方法及系统
CN111639336A (zh) 基于文件系统虚拟读写的勒索软件实时检测方法和防御方法
Yang et al. Alert correlation model design based on self-regulate

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant