一種基于深度內(nèi)容解析的smtp協(xié)議數(shù)據(jù)防外泄方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)保護(hù)領(lǐng)域�,特別涉及一種基于深度內(nèi)容解析的SMTP協(xié)議數(shù)據(jù)防外泄方法及系統(tǒng)。
【背景技術(shù)】
[0002]在信息技術(shù)飛速發(fā)展的今天���,企業(yè)對信息系統(tǒng)的依賴程度越來越高��,信息系統(tǒng)的穩(wěn)定�����、安全直接關(guān)系到企業(yè)的核心競爭力�。
[0003]企業(yè)用戶使用郵件客戶端發(fā)送郵件造成主動或被動的信息泄露會給企業(yè)帶來巨大的經(jīng)濟(jì)損失���。
[0004]郵件客戶端使用簡單郵件傳輸協(xié)議(Simple Mail Transfer Protocol�����,SMTP)發(fā)送郵件正文及附件��,目前網(wǎng)絡(luò)邊界處針對SMTP協(xié)議的郵件敏感數(shù)據(jù)防外泄問題��,主要有基于防火墻�、網(wǎng)關(guān)���、代理和旁路阻斷這四大主流技術(shù)����。其中,防火墻和網(wǎng)關(guān)工作在網(wǎng)絡(luò)層以下���,僅有少數(shù)高級防火墻能夠做到對應(yīng)用層數(shù)據(jù)中的身份證號�����、銀行賬號等數(shù)據(jù)進(jìn)行簡單過濾,例如高級防火墻部署在網(wǎng)絡(luò)和以太網(wǎng)邊界����,檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征��,并針對特定應(yīng)用程序和文件類型����,對應(yīng)用層數(shù)據(jù)中的身份證號、銀行賬號等數(shù)據(jù)進(jìn)行簡單匹配和過濾����,但高級防火墻不具備對應(yīng)用層協(xié)議的深度解析和匹配功能,無法對內(nèi)容違規(guī)的郵件進(jìn)行阻斷����,而且只支持有限的應(yīng)用����,伸縮性差�,用戶難以配置,且對網(wǎng)絡(luò)不透明���。代理模式以犧牲速度為代價(jià)換取了更高的安全性能����,但在網(wǎng)絡(luò)吞吐量大時(shí)會成為網(wǎng)絡(luò)的瓶頸��,且需要設(shè)置相應(yīng)的代理�����,影響用戶體驗(yàn)��,難于實(shí)施推廣����。旁路模式通過交換機(jī)端口鏡像并聯(lián)進(jìn)網(wǎng)絡(luò),對TCP協(xié)議可以發(fā)送TCP_RESET報(bào)文進(jìn)行阻斷����,但由于TCP_RESET報(bào)文的滯后性���,很容易失去對網(wǎng)絡(luò)的控制,從而導(dǎo)致被保護(hù)數(shù)據(jù)的泄露�����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于提供一種基于深度內(nèi)容解析的SMTP協(xié)議數(shù)據(jù)防外泄方法及系統(tǒng)�,能更好地解決SMTP協(xié)議數(shù)據(jù)外泄的問題。
[0006]根據(jù)本發(fā)明的一個(gè)方面����,提供了一種基于深度內(nèi)容解析的SMTP協(xié)議數(shù)據(jù)防外泄方法�,包括:
[0007]在網(wǎng)絡(luò)邊界串聯(lián)接入用來阻斷涉密數(shù)據(jù)的數(shù)據(jù)防外泄系統(tǒng);
[0008]利用所述數(shù)據(jù)防外泄系統(tǒng)��,抓取外發(fā)報(bào)文�����,并確定所述外發(fā)報(bào)文的協(xié)議類型�;
[0009]當(dāng)確定所述外發(fā)報(bào)文的協(xié)議類型是SMTP協(xié)議時(shí),判斷所述外發(fā)報(bào)文是否包含涉密數(shù)據(jù)���;
[0010]若判斷所述外發(fā)報(bào)文包含涉密數(shù)據(jù)�,則阻斷所述涉密數(shù)據(jù)外泄。
[0011]優(yōu)選地�����,所述確定所述外發(fā)報(bào)文的協(xié)議類型的步驟包括:
[0012]利用所述數(shù)據(jù)防外泄系統(tǒng)����,獲取所述外發(fā)報(bào)文的端口特征;
[0013]根據(jù)所述外發(fā)報(bào)文的端口特征和應(yīng)用層協(xié)議特征����,確定所述外發(fā)報(bào)文的協(xié)議類型。
[0014]優(yōu)選地�����,所述判斷所述外發(fā)報(bào)文是否包含涉密數(shù)據(jù)的步驟包括:
[0015]利用所述數(shù)據(jù)防外泄系統(tǒng)�����,確定SMTP會話的所述外發(fā)報(bào)文是否為關(guān)鍵報(bào)文�����;
[0016]當(dāng)確定所述SMTP會話的外發(fā)報(bào)文是關(guān)鍵報(bào)文時(shí),判斷所述SMTP會話的四元組特征和/或順序拼接后的應(yīng)用層數(shù)據(jù)是否與預(yù)設(shè)阻斷策略相匹配����;
[0017]若匹配,則判斷所述外發(fā)報(bào)文包含涉密數(shù)據(jù)�。
[0018]優(yōu)選地,所述確定SMTP會話的所述外發(fā)報(bào)文是否為關(guān)鍵報(bào)文的步驟包括:
[0019]根據(jù)所述SMTP會話的外發(fā)報(bào)文的順序號及到達(dá)時(shí)間�����,判斷其是否是其所屬報(bào)文組中最后到達(dá)的報(bào)文��;
[0020]若所述SMTP會話的外發(fā)報(bào)文是其所屬報(bào)文組中最后到達(dá)的報(bào)文���,則判斷所述外發(fā)報(bào)文是關(guān)鍵報(bào)文���;
[0021 ]其中��,所述報(bào)文組包括具有特征報(bào)文標(biāo)識的特征報(bào)文及順序號在所述特征報(bào)文之前的全部前序報(bào)文��。
[0022]優(yōu)選地�,通過阻止所述關(guān)鍵報(bào)文,阻斷所述涉密數(shù)據(jù)外泄。
[0023]根據(jù)本發(fā)明的另一方面���,提供了一種基于深度內(nèi)容解析的SMTP協(xié)議數(shù)據(jù)防外泄系統(tǒng)���,所述數(shù)據(jù)防外泄系統(tǒng)串聯(lián)接入網(wǎng)絡(luò)邊界,包括:
[0024]SMTP外發(fā)報(bào)文獲取裝置�,用于抓取外發(fā)報(bào)文,并確定所述外發(fā)報(bào)文的協(xié)議類型�;
[0025]SMTP涉密數(shù)據(jù)確定裝置,用于在確定所述外發(fā)報(bào)文的協(xié)議類型是SMTP協(xié)議時(shí)�,判斷所述外發(fā)報(bào)文是否包含涉密數(shù)據(jù);
[0026]SMTP涉密數(shù)據(jù)阻斷裝置�,用于在判斷所述外發(fā)報(bào)文包含涉密數(shù)據(jù)時(shí),阻斷所述涉密數(shù)據(jù)外泄�。
[0027]優(yōu)選地,所述SMTP外發(fā)報(bào)文獲取裝置獲取所述外發(fā)報(bào)文�,并根據(jù)所述外發(fā)報(bào)文特征和應(yīng)用層協(xié)議特征,確定所述外發(fā)報(bào)文的的協(xié)議類型���。
[0028]優(yōu)選地��,所述SMTP涉密數(shù)據(jù)確定裝置在確定SMTP會話的所述外發(fā)報(bào)文是關(guān)鍵報(bào)文時(shí)��,判斷所述SMTP會話的四元組特征和/或順序拼接后的應(yīng)用層數(shù)據(jù)是否與預(yù)設(shè)阻斷策略相匹配���,若匹配�����,則判斷所述外發(fā)報(bào)文包含涉密數(shù)據(jù)�。
[0029]優(yōu)選地���,所述SMTP涉密數(shù)據(jù)確定裝置根據(jù)所述SMTP會話的外發(fā)報(bào)文的順序號及到達(dá)時(shí)間�,判斷其是否是其所屬報(bào)文組中最后到達(dá)的報(bào)文��,若判斷所述SMTP會話的外發(fā)報(bào)文是其所屬報(bào)文組中最后到達(dá)的報(bào)文�����,則判斷所述外發(fā)報(bào)文是關(guān)鍵報(bào)文��,其中�����,所述報(bào)文組包括具有特征報(bào)文標(biāo)識的特征報(bào)文及順序號在所述特征報(bào)文之前的全部前序報(bào)文��。
[0030]優(yōu)選地����,所述SMTP涉密數(shù)據(jù)阻斷裝置通過阻止所述關(guān)鍵報(bào)文,阻斷所述涉密數(shù)據(jù)外泄��。
[0031]與現(xiàn)有技術(shù)相比較���,本發(fā)明的有益效果在于:
[0032]1���、本發(fā)明針對SMTP協(xié)議報(bào)文特點(diǎn),對郵件外發(fā)的關(guān)鍵報(bào)文進(jìn)行有效攔截�����,不會出現(xiàn)漏阻情況�,且對用戶透明,用戶體驗(yàn)好����;
[0033]2、本發(fā)明通過阻斷SMTP關(guān)鍵報(bào)文的方式��,破壞TCP會話�,使服務(wù)器端由于會話不完整而無法重組報(bào)文,達(dá)到保護(hù)企業(yè)內(nèi)部數(shù)據(jù)的目的�����;
[0034]3、本發(fā)明不僅解決了在網(wǎng)絡(luò)邊界處��,傳統(tǒng)數(shù)據(jù)阻斷方法存在的阻斷效果差的問題��,還解決了傳統(tǒng)數(shù)據(jù)阻斷方法存在的支持應(yīng)用少���,處理能力低等問題��。
【附圖說明】
[0035]圖1是本發(fā)明提供的基于深度內(nèi)容解析的SMTP協(xié)議數(shù)據(jù)防外泄方法流程圖�;
[0036]圖2是本發(fā)明提供的基于深度內(nèi)容解析的SMTP協(xié)議數(shù)據(jù)防外泄系統(tǒng)框圖��;
[0037]圖3是本發(fā)明實(shí)施例提供的基于深度內(nèi)容解析的SMTP協(xié)議數(shù)據(jù)防外泄系統(tǒng)的網(wǎng)絡(luò)架構(gòu)圖�;
[0038]圖4是本發(fā)明實(shí)施例提供的基于深度內(nèi)容解析的SMTP協(xié)議數(shù)據(jù)防外泄系統(tǒng)框圖;
[0039]圖5是圖4所示系統(tǒng)的工作流程圖����。
【具體實(shí)施方式】
[0040]以下結(jié)合附圖對本發(fā)明的優(yōu)選實(shí)施例進(jìn)行詳細(xì)說明,應(yīng)當(dāng)理解���,以下所說明的優(yōu)選實(shí)施例僅用于說明和解釋本發(fā)明�,并不用于限定本發(fā)明����。
[0041]圖1是本發(fā)明提供的基于深度內(nèi)容解析的SMTP協(xié)議數(shù)據(jù)防外泄方法流程圖�����,如圖1所示,步驟包括:
[0042]步驟SlOl:在網(wǎng)絡(luò)邊界串聯(lián)接入用來阻斷涉密數(shù)據(jù)的數(shù)據(jù)防外泄系統(tǒng)��。
[0043]步驟S102:利用數(shù)據(jù)防外泄系統(tǒng)�����,抓取外發(fā)報(bào)文����,并確定外發(fā)報(bào)文的協(xié)議類型。
[0044]具體地說����,利用數(shù)據(jù)防外泄系統(tǒng),獲取外發(fā)報(bào)文的端口特征(例如端口號)�����,并根據(jù)外發(fā)報(bào)文的端口特征和應(yīng)用層協(xié)議特征����,確定外發(fā)報(bào)文的協(xié)議類型是否為SMTP協(xié)議��。
[0045]步驟S103:當(dāng)確定外發(fā)報(bào)文的協(xié)議類型是SMTP協(xié)議時(shí)��,判斷外發(fā)報(bào)文是否包含涉密數(shù)據(jù)�。
[0046]具體地說����,利用數(shù)據(jù)防外泄系統(tǒng),確定SMTP會話的外發(fā)報(bào)文是否為關(guān)鍵報(bào)文���,當(dāng)確定SMTP會話的外發(fā)報(bào)文是關(guān)鍵報(bào)文時(shí)���,進(jìn)一步判斷當(dāng)前會話的四元組特征(即源和目的IP地址、源和目的端口號)和/或順序拼接后的應(yīng)用層數(shù)據(jù)是否與預(yù)設(shè)阻斷策略相匹配��,若匹配���,則判斷外發(fā)報(bào)文包含涉密數(shù)據(jù)�。其中�����,預(yù)設(shè)阻斷策略為預(yù)先在管理平臺設(shè)置的包括SMTP內(nèi)容防外泄敏感關(guān)鍵詞、正則規(guī)則��、例外條件等規(guī)則����。
[0047]進(jìn)一步地�����,數(shù)據(jù)防外泄系統(tǒng)根據(jù)SMTP會話的外發(fā)報(bào)文的順序號及到達(dá)時(shí)間�����,判斷其是否是其所屬報(bào)文組中最后到達(dá)的報(bào)文�,若SMTP會話的外發(fā)報(bào)文是其所屬報(bào)文組中最后到達(dá)的報(bào)文,則判斷外發(fā)報(bào)文是關(guān)鍵報(bào)文��,其中���,報(bào)文組包括具有特征報(bào)文標(biāo)識的特征報(bào)文及順序號在特征報(bào)文之前的全部前序報(bào)文��。即���,數(shù)據(jù)防外泄系統(tǒng)首先判斷外發(fā)報(bào)文是否具有特征報(bào)文標(biāo)識����,若外發(fā)報(bào)文具有特征報(bào)文標(biāo)識�����,則將該外發(fā)報(bào)文確認(rèn)為特征報(bào)文��,其次���,若該外發(fā)報(bào)文是特征報(bào)文��,且順序號在特征報(bào)文之前的所有前序報(bào)文全部接收完畢��,則將該特征報(bào)文作為關(guān)鍵報(bào)文;若該外發(fā)報(bào)文屬于報(bào)文組但不是特征報(bào)文���,但特征報(bào)文及除此之外的其它前序報(bào)文已提前到達(dá),則將該外發(fā)報(bào)文作為關(guān)鍵報(bào)文���。
[0048]進(jìn)一步地�,數(shù)據(jù)防外泄系統(tǒng)根據(jù)報(bào)文的順序號將前序報(bào)文的應(yīng)用層數(shù)據(jù)與當(dāng)前報(bào)文的應(yīng)用層數(shù)據(jù)進(jìn)行順序拼接之后���,若當(dāng)前報(bào)文為關(guān)鍵報(bào)文���,則通過對拼接后的應(yīng)用層數(shù)據(jù)依次進(jìn)行解析和匹配處理�,確定外發(fā)數(shù)據(jù)中是否包含敏感數(shù)據(jù)信息��,即涉密數(shù)據(jù)信息�����,從而在確定外發(fā)數(shù)據(jù)中包含敏感數(shù)據(jù)信息時(shí)�����,通過阻斷關(guān)鍵報(bào)文����,阻斷敏感數(shù)據(jù)信息外泄���。
[0049]步驟S104:若判斷外發(fā)報(bào)文包含涉密數(shù)據(jù)����,則通過阻止關(guān)鍵報(bào)文�����,阻斷涉密數(shù)據(jù)外泄。
[0050]圖2是本發(fā)明提供的基于深度內(nèi)容解析的SMTP協(xié)議數(shù)據(jù)防外泄系統(tǒng)框圖����,如圖2所示,數(shù)據(jù)防外泄系統(tǒng)串聯(lián)接入網(wǎng)絡(luò)邊界����,包括:
[0051]SMTP外發(fā)報(bào)文獲取裝置用于抓取外發(fā)報(bào)文,并確定外發(fā)報(bào)文的協(xié)議類型���。具體地說�,SMTP外發(fā)報(bào)文獲取裝置獲取外發(fā)報(bào)文的端口特征�,并根據(jù)外發(fā)報(bào)文的端口特征和應(yīng)用層協(xié)議特征,確定外發(fā)報(bào)文的協(xié)議類型是否為SMTP協(xié)議�����。
[0052]SMTP涉密數(shù)據(jù)確定裝置用于在確定外發(fā)報(bào)文的協(xié)議類型是SMTP協(xié)議時(shí)��,判斷外發(fā)報(bào)文是否包含涉密數(shù)據(jù)���。具體地說�,SMTP涉密數(shù)據(jù)確定裝置確定SMTP會話的外發(fā)報(bào)文是否是關(guān)鍵報(bào)文,若SMTP會話的外發(fā)報(bào)文是關(guān)鍵報(bào)文����,則當(dāng)前會話的四元組特征(源和目的IP地址、源和目的端口號)和順序拼接后的應(yīng)用層數(shù)據(jù)進(jìn)行解析��,然后與預(yù)設(shè)阻斷策略相匹配���,若匹配���,則判斷外發(fā)報(bào)文包含涉密數(shù)據(jù)。
[0053]SMTP涉密數(shù)據(jù)阻斷裝置用于在判斷外發(fā)報(bào)文包含涉密數(shù)據(jù)時(shí)���,通過阻止關(guān)鍵報(bào)文��,阻斷涉密數(shù)據(jù)外泄。
[0054]圖3是本發(fā)明實(shí)施例提供的基于深度內(nèi)容解析的SMTP協(xié)議數(shù)據(jù)防外泄系統(tǒng)的網(wǎng)絡(luò)架構(gòu)圖��,如圖3所示��,SMTP阻斷服務(wù)器通過雙網(wǎng)卡串聯(lián)接入網(wǎng)絡(luò)邊界��,數(shù)據(jù)防外泄系統(tǒng)部署在所述SMTP服務(wù)器上�,即數(shù)據(jù)防外泄系統(tǒng)通過雙