郵件敏感字過濾系統(tǒng)研究與實現

薛海偉，田崢，田建偉，漆文輝

(國網湖南省電力公司電力科學研究院，湖南 長沙 410007)

郵件敏感字過濾系統(tǒng)研究與實現

薛海偉，田崢，田建偉，漆文輝

(國網湖南省電力公司電力科學研究院，湖南 長沙 410007)

文中研究一套能夠識別關鍵字，并在用戶發(fā)送數據時，能夠自動阻斷郵件的關鍵字過濾系統(tǒng)。該系統(tǒng)基于C/S模式的分層框架結構進行架構設計，采用多層邏輯處理層體系結構，能在對用戶透明的情況下，自動阻斷含有敏感關鍵字的郵件。實驗結果表明該系統(tǒng)能夠有效阻止含有敏感關鍵字的郵件。

數據包過濾；郵件系統(tǒng)；數據泄密

電子郵件 (E-mail)已經成為互聯網上最基本的通訊工具。E-mail不僅支持簡單的文本傳輸，采用MIME(Multipurpose Internet Mail Extensions)技術規(guī)范后，同時也支持二進制文件、視頻、音頻數據傳輸。E-mail因其方便、快捷、信息多樣等特點，廣泛應用于政府、學校以及其他企事業(yè)單位。

E-mail在給人們帶來方便的同時，也帶來了諸多安全問題。其中E-mail泄密就是其中一個很重要的問題。由于E-mail的方便性，企業(yè)員工只要能夠接入網絡，就可以很方便的收發(fā)郵件。或有意、或無意，企事業(yè)單位的數據隨時隨地面臨著郵件數據泄露的危險，這主要體現在以下幾個方面:

(1)E-mail本身就是一條泄密通道

E-mail系統(tǒng)中內部惡意用戶可主動使用郵件系統(tǒng)發(fā)送敏感信息到外部網絡，造成泄密；E-mail系統(tǒng)中普通用戶可能因為疏忽而 “不小心”發(fā)送敏感郵件至外部網絡，造成泄密。此外，郵件因為便捷性及普遍性，通常不會被防火墻攔截，因此大多數木馬會使用郵件方式盜取用戶的敏感信息。

(2)E-mail的存儲范圍難以控制

與普通的郵件不同，E-mail的收發(fā)雙方都會存儲E-mail至郵件服務器，即使E-mail用戶刪除了本地郵件，服務器上仍然存有E-mail數據。因此，如果用戶對服務器沒有控制權、或者郵件服務器遭到入侵，那么敏感數據很容易遭到泄露。此外，由于E-mail的便捷性，用戶很容易因為轉發(fā)功能，而把敏感信息發(fā)送到外部網絡。

(3)E-mail數據容易在傳輸過程被截獲

E-mail數據在網絡中默認是明文傳輸，因此用戶的數據很容易因為 “監(jiān)聽”被惡意用戶盜取。即使使用了Secure Sockets Layer(SSL)對E-mail進行加密傳輸，也只能保證用戶到郵件服務器之間的數據傳輸不能被監(jiān)聽，而郵件服務器之間的數據傳輸仍然使用明文數據。因此敏感信息在郵件傳輸過程中容易被截獲。

當前使用電子郵件的方法有兩種:通過客戶端(例如Foxmail)、通過瀏覽器 (例如IE瀏覽器)。這兩種方法中用戶發(fā)送的數據，都是由操作系統(tǒng)組裝成網絡數據包，通過網絡發(fā)送至外部郵件服務器。目前國內外對互聯網數據過濾的方法主要是通過在互聯網出口部署攔截設備〔1－2〕，這種方法對于用戶較多，附件較大的郵件系統(tǒng)，無法實現實時阻斷。通過對當前業(yè)內行為上網設備的調研中發(fā)現，上網行為審計設備通常部署在網絡出口處，攔截含有敏感信息的數據。由于網絡出口數據流量大，帶寬要求高，因此對設備的性能要求也高。當前這種方法可以對郵件的內容進行實時攔截，但對郵件的附件由于需要進行數據緩存、數據包拼接等操作，現有硬件設備無法滿足網絡性能需求，因此只能進行審計，無法實時攔截〔3－4〕，并且在一些特殊情況下郵件內容攔截也可能發(fā)生遺漏〔5〕，導致攔截失效。此外，當郵件被攔截時，用戶無法得到郵件發(fā)送失敗的原因。文獻 〔6〕給出了一種實時的郵件過濾方法，在郵件服務器上對用戶發(fā)送的數據進行指紋識別，判斷郵件內容是否存在敏感信息。當郵件系統(tǒng)的用戶數量較少時，該方法可以做到實時過濾，但是當用戶數量很大時，將會嚴重影響郵件服務器的性能，導致用戶無法及時收發(fā)郵件；此外這種方法需要在郵件服務器端對郵件系統(tǒng)進行二次開發(fā)，因此需要郵件服務提供商的支持和配合才能部署系統(tǒng)，對于現成的郵件系統(tǒng)，應用難度較大。

針對上述問題，文中提出一種基于C/S模式的郵件過濾系統(tǒng)。文中通過對主流社會郵箱 (包括網易、新浪、騰訊、搜狐)的郵件發(fā)送流程進行研究，分析這些郵箱的傳輸協議，以及常見附件(如doc，docx，rar等)的數據格式，最終在用戶的主機上部署郵件攔截客戶端。當用戶發(fā)送郵件時，直接在客戶端上進行郵件內容和附件的敏感字匹配，如果匹配成功，提示用戶被發(fā)送郵件或附件含有敏感詞，不能進行發(fā)送，用戶發(fā)送的數據會在客戶端處被丟棄，郵件數據不會進入傳輸網絡。文中設計的郵件過濾系統(tǒng)，可以對郵件的正文、郵件的標題、附件名稱、附件內容進行實時攔截，且對用戶透明。

1 郵件關鍵字過濾系統(tǒng)

敏感郵件關鍵字過濾系統(tǒng)的基本原理是，用戶發(fā)送郵件時，通過windows提供的系統(tǒng)調用接口來捕獲用戶的發(fā)送操作，在郵件發(fā)送之前，對郵件的標題、正文、附件進行關鍵字匹配。如果匹配成功，表明郵件含有敏感關鍵字，進而根據系統(tǒng)策略處理；如果沒有匹配成功，表明用戶發(fā)送的郵件不包含敏感關鍵字，可直接放行。

1.1 系統(tǒng)架構

敏感郵件關鍵字過濾系統(tǒng)是一種基于C/S架構的郵件過濾系統(tǒng)。其系統(tǒng)架構如圖1所示。其中服務器和客戶端的主要功能如下:

(1)服務器端:全局策略配置，可通過服務器配置整個系統(tǒng)的敏感關鍵字，以及發(fā)現關鍵字時執(zhí)行的安全動作 (如，阻斷、報警、審計等)；策略下發(fā)，通過服務器可將全局的策略下發(fā)至客戶端，并使之生效；客戶端認證，可通過服務器對每個客戶端的身份信息進行認證。

(2)客戶端:郵件攔截，通過LSP模塊對用戶發(fā)送的郵件進行攔截；郵件內容過濾，通過敏感字檢測模塊，對LSP攔截到的郵件數據進行多關鍵字搜索，以確定郵件是否包含敏感關鍵字；策略實施，根據敏感字檢測模塊的搜索結果，實施服務器下發(fā)的策略，以決定是否對用戶發(fā)送的郵件進行放行；策略更新，策略服務模塊完成策略更新操作，根據服務器下發(fā)的策略執(zhí)行更新，以實時調整客戶的安全策略；用戶配置，用戶可通過用戶界面對客戶端進行自定義配置，例如可以額外添加系統(tǒng)關鍵字之外的敏感關鍵字。

圖1中的實線是發(fā)送郵件的數據流。在Windows平臺下，用戶通過瀏覽器或者郵件客戶端發(fā)送郵件時，首先會調用操作系統(tǒng)的分層服務提供商 (Layered Service Provider，LSP)模塊，該模塊會對用戶發(fā)送郵件的標題、正文以及附件名稱進行過濾，當發(fā)現含有敏感關鍵字時，則會阻斷用戶的發(fā)送操作，并通過策略服務模塊向用戶界面發(fā)送提示消息，提示用戶郵件被攔截。當用戶發(fā)送附件時，最終會被運行在內核層的文件過濾驅動捕獲，文件過濾驅動模塊通過敏感字檢測模塊判斷附件是否包含關鍵字，進而決策是否允許文件讀取操作。當禁止文件讀取操作時，系統(tǒng)將通過內核層的通信代理模塊以及用戶層的策略服務器模塊給用戶的界面發(fā)送提示消息，提示用戶附件含有關鍵字，禁止發(fā)送。

圖1中的虛線是原型系統(tǒng)的控制流。在服務器端可以通過策略配置終端配置系統(tǒng)的關鍵字，這些關鍵字將通過服務器端的策略下發(fā)模塊發(fā)送至客戶端的策略服務模塊。客戶端的策略服務模塊收到關鍵字時，便會更新內核層的敏感字檢測模塊以及LSP中的敏感字檢測模塊。當LSP、文件過濾驅動檢測到郵件發(fā)送請求時，便會利用這些模塊進行敏感字檢測。當發(fā)現關鍵字時，就會阻斷用戶的發(fā)送操作，并利用控制流信道向用戶界面發(fā)送消息，提示用戶發(fā)現關鍵字。

圖1 敏感郵件關鍵字過濾系統(tǒng)架構

敏感郵件關鍵字過濾系統(tǒng)共分為8個模塊: LSP過濾模塊、文件過濾驅動模塊、策略服務模塊、通信代理模塊、敏感字檢測模塊、策略下發(fā)通信模塊、服務器策略配置界面、用戶界面。這些模塊的功能如下:

LSP過濾模塊:在客戶端捕獲系統(tǒng)中所有使用網絡發(fā)送的數據包，這些數據包包括本地使用瀏覽器發(fā)送郵件的數據包，也包括其它的應用程序發(fā)送的數據包。LSP分析這些數據包，并截取與郵件相關的數據包，放行其它數據包。在截取郵件相關的數據包后，LSP將分析這些數據包，辨別數據包所使用協議，進而判斷數據包發(fā)送的是郵件標題，還是郵件的正文，還是附件。如果是附件，LSP過濾模塊將進一步提取附件的文件名稱。最后，LSP過濾模塊會將捕獲的數據包，以及數據包協議分析結果送至策略服務模塊進行進一步處理，并根據策略服務模塊的處理結果，依照系統(tǒng)的策略決定是否放行數據包。

策略服務模塊:策略服務模塊在收到LSP過濾模塊捕獲的數據包以及協議分析結果后對數據包進行進一步處理。

如果數據包內容是郵件正文或者標題，則直接調用敏感字檢測模塊，判斷所發(fā)送的數據包是否包含敏感字，并將結果反饋給LSP過濾模塊。如果包含敏感字，策略服務模塊同時會通知客戶端用戶界面模塊提示用戶所發(fā)送的郵件含有敏感字，并通知服務器以審計記錄。

如果數據包發(fā)送的是郵件附件，由于附件通常很大，一個數據包無法容納整個附件，因此對單個數據包的敏感字檢測并不能判斷郵件附件是否包含敏感關鍵字，尤其是當郵件附件是壓縮格式時，只有收集齊所有數據包才能對附件進行解壓縮，進而判定附件是否存在敏感字。而對于容量很大的附件，緩存數據包的方式會嚴重影響系統(tǒng)效率，并且消耗大量系統(tǒng)資源。針對這一問題，文中采用的方法是，當發(fā)送附件時，LSP過濾模塊只攔截第一個數據包，并解析出附件的文件名，策略服務模塊使用該文件名向文件過濾驅動查詢文件的路徑名，得到文件路徑名后，策略服務模塊將使用敏感字檢測模塊直接對磁盤上的文件進行關鍵字匹配，如果沒有發(fā)現敏感字，則放行此后的數據包，如果有敏感字，則阻斷這個數據包。由于郵件協議中，包含文件名的第一個數據包如果沒有發(fā)送成功，后面的包也不會被發(fā)送，因此只需阻止第一個數據包的發(fā)送就可以阻斷郵件附件的發(fā)送操作。

文件過濾驅動模塊:通過瀏覽器發(fā)送郵件過程中，發(fā)送附件的相關信息記錄在發(fā)送的數據包中。但是這些數據包只記錄了發(fā)送附件的名稱，并沒有記錄所發(fā)送附件在本地磁盤上的路徑名。要想直接對磁盤上的附件進行關鍵字過濾，就需要獲取所發(fā)送附件的本地磁盤路徑名。文件過濾驅動會緩存瀏覽器最近訪問的文件路徑名至操作系統(tǒng)內核中，當瀏覽器發(fā)送附件時，策略服務模塊會分析所發(fā)送附件的文件名，將文件名發(fā)送至文件過濾驅動模塊，文件過濾驅動模塊返回文件名的全路徑名稱。

通信代理模塊:操作系統(tǒng)內核無法直接與用戶層的應用程序通信，通信代理模塊的功能是，在內核層與應用層的程序中建立起一條通信管道，用于文件過濾驅動與策略服務模塊之間的數據通信。

策略下發(fā)模塊:運行在服務器端，監(jiān)聽一個特定的TCP端口，等待客戶端連接。客戶端的策略服務模塊啟動后，將主動連接至服務器，服務器的策略下發(fā)模塊則將系統(tǒng)策略實時發(fā)送至客戶端。同時策略下發(fā)模塊會根據客戶端發(fā)送過來的數據，進行客戶端身份驗證以及軟件有效性驗證。

用戶界面:用戶端的界面有兩個功能:第一，當用戶發(fā)送的郵件含有敏感字時，界面會彈出警示信息，提醒用戶；第二，用戶可以通過該界面查看系統(tǒng)已有策略以及敏感字，也可以通過該界面添加用戶自定義敏感字。

服務器策略配置界面:服務器端用于控制全局策略的用戶交互界面。

1.2 系統(tǒng)實現

文中在Windows平臺下實現了一個敏感郵件關鍵字過濾原型系統(tǒng)，其中:1)LSP過濾模塊采用了Windows服務提供接口 (SPI)技術實現，該模塊以DLL的形式存在，并在程序啟動時自動加載。2)策略服務模塊和服務器端的策略下發(fā)模塊采用Windows服務技術實現，以Windows Service的形式存在，當系統(tǒng)啟動時該服務將自動開啟。3)文件過濾驅動采用Windows驅動技術，以磁盤驅動程序的形式存在，并在系統(tǒng)啟動時自動加載到操作系統(tǒng)內核。4)敏感字檢測模塊以Windows靜態(tài)鏈接庫的方式存在，直接在代碼中調用該模塊即可。5)客戶端用戶界面和服務器端用戶界面采用開源的圖形界面庫QT實現。

整個工程使用C＋＋語言開發(fā)，共計代碼13K行。LSP過濾模塊的實現流程圖如圖2所示。

Capture單元負責捕獲數據包，并將捕獲的數據包交由E-mail單元；E-mail單元負責分析數據包是否是包含E-mail信息的數據包，如果不是E-mail數據包，則直接將數據包交給Pass Through單元，如果是，則將數據包交給 Analysis單元；Analysis單元對數據包的協議進行分析，并將協議分析結果連同數據包一起交由策略服務模塊；策略服務模塊會分析被發(fā)送的數據是否包含敏感字，并返回敏感字的個數至Hits單元；Hits單元根據策略服務模塊的返回值判斷數據含有關鍵字的個數，如果含有關鍵字的個數大于零，在默認系統(tǒng)策略下，系統(tǒng)會直接丟棄數據包，禁止用戶發(fā)送，否則將數據包交由Pass Through單元放行數據包。

策略服務模塊的實現流程圖如圖3所示。Load單元負責從LSP過濾模塊接收數據包和數據包協議分析結果；Attachment單元從數據包協議分析結果中判斷數據包是否在發(fā)送附件，如果是則交由文件過濾驅動模塊處理，如果不是，則直接交由Analysis單元處理；文件過濾驅動模塊會返回文件的全路徑名，并交由 Analysis單元處理；Analysis單元根據數據包類型，調用敏感字檢測模塊檢測數據包是否含有敏感字，并將結果交由Return單元處理；Return單元直接返回結果給LSP過濾模塊。

2 總結

文中研究并實現一套能夠識別敏感關鍵字，并在用戶發(fā)送郵件時，能夠自動阻斷敏感郵件的系統(tǒng)。文中的主要研究成果包括:

1)網絡數據捕獲技術研究:文中研究了在對用戶透明的情況下 (用戶感知不到系統(tǒng)的存在，目的是為了提高用戶體驗)，對用戶發(fā)送的網絡數據進行捕獲的相關技術。

2)郵件附件關鍵字搜索技術研究:郵件附件通常是rar，zip，docx等壓縮格式的文件，并且郵件附件通常由多個數據包發(fā)送，因此當前基于包過濾的方法無法實現對郵件附件的關鍵字搜索，文中提出并實現了一種基于文件過濾驅動程序的方法對文件附件的內容過濾。

文中最后實現了一個郵件敏感字過濾原型系統(tǒng)，測試結果表明該系統(tǒng)能夠有效地阻止用戶發(fā)送含有指定敏感字的郵件。

〔1〕柳岸，龍雅琴，古樂野.基于包過濾技術的網絡安全的研究〔J〕.計算機應用，2006，26(9):2 160-2 161.

〔2〕陳志賢。垃圾郵件過濾技術研究綜述 〔J〕.計算機應用研究，2009，26(5):1 612-1 615.

〔3〕程衛(wèi)華，尤晉元.基于內容過濾的反垃圾郵件系統(tǒng)的設計與實現 〔J〕.安徽大學學報 (自然科學版)，2007，31(3): 30-33.

〔4〕高良誠，侯整風.客戶端垃圾郵件過濾系統(tǒng) 〔J〕.安徽建筑工業(yè)學院學報 (自然科學版)，2008，16(4):73-76.

〔5〕趙靜，劉培玉，許明英.郵件過濾中特征選擇方法的性能評價與分析 〔J〕.計算機應用研究，2012，29(2):693-697.

〔6〕AGARWAL A，GAIKWAD M，GARG K，et al.Robust data leakage and E-mail filtering system 〔C〕.//2012 International Conference on Computing，Electronics and Electrical Technologies (ICCEET).IEEE，2012:1 032-1 035.

Research and implementation on e-mail sensitive data monitoring system

XUE Hai-wei，TIAN Zhen，TIAN Jian-wei，QI Wen-hui
(State Grid Hunan Electric Power Corporation Research Institute，Changsha 410007，China)

In this paper，an E-mail filter system is implemented，which can automatically prevent sending operation when E-mail data contain specific keywords.The system is based on C/S framework which adopts multi-layer logic processing layer structure，and can automatically block user's E-mail containing sensitive data.The experimental results show that the system can effectively prevent sensitive E-mail.

Packet filter；E-mail system；data leaking

10.3969/j.issn.1008-0198.2015.02.004

TP302.7；TP393.08

B

1008-0198(2015)02-0013-04

2014-09-17 改回日期:2015-01-05