薛海偉，田崢，田建偉，漆文輝

(國網(wǎng)湖南省電力公司電力科學研究院，湖南 長沙 410007)

郵件敏感字過濾系統(tǒng)研究與實現(xiàn)

薛海偉，田崢，田建偉，漆文輝

(國網(wǎng)湖南省電力公司電力科學研究院，湖南 長沙 410007)

文中研究一套能夠識別關鍵字，并在用戶發(fā)送數(shù)據(jù)時，能夠自動阻斷郵件的關鍵字過濾系統(tǒng)。該系統(tǒng)基于C/S模式的分層框架結構進行架構設計，采用多層邏輯處理層體系結構，能在對用戶透明的情況下，自動阻斷含有敏感關鍵字的郵件。實驗結果表明該系統(tǒng)能夠有效阻止含有敏感關鍵字的郵件。

數(shù)據(jù)包過濾；郵件系統(tǒng)；數(shù)據(jù)泄密

電子郵件 (E-mail)已經(jīng)成為互聯(lián)網(wǎng)上最基本的通訊工具。E-mail不僅支持簡單的文本傳輸，采用MIME(Multipurpose Internet Mail Extensions)技術規(guī)范后，同時也支持二進制文件、視頻、音頻數(shù)據(jù)傳輸。E-mail因其方便、快捷、信息多樣等特點，廣泛應用于政府、學校以及其他企事業(yè)單位。

E-mail在給人們帶來方便的同時，也帶來了諸多安全問題。其中E-mail泄密就是其中一個很重要的問題。由于E-mail的方便性，企業(yè)員工只要能夠接入網(wǎng)絡，就可以很方便的收發(fā)郵件?；蛴幸?、或無意，企事業(yè)單位的數(shù)據(jù)隨時隨地面臨著郵件數(shù)據(jù)泄露的危險，這主要體現(xiàn)在以下幾個方面:

(1)E-mail本身就是一條泄密通道

E-mail系統(tǒng)中內(nèi)部惡意用戶可主動使用郵件系統(tǒng)發(fā)送敏感信息到外部網(wǎng)絡，造成泄密；E-mail系統(tǒng)中普通用戶可能因為疏忽而 “不小心”發(fā)送敏感郵件至外部網(wǎng)絡，造成泄密。此外，郵件因為便捷性及普遍性，通常不會被防火墻攔截，因此大多數(shù)木馬會使用郵件方式盜取用戶的敏感信息。

(2)E-mail的存儲范圍難以控制

與普通的郵件不同，E-mail的收發(fā)雙方都會存儲E-mail至郵件服務器，即使E-mail用戶刪除了本地郵件，服務器上仍然存有E-mail數(shù)據(jù)。因此，如果用戶對服務器沒有控制權、或者郵件服務器遭到入侵，那么敏感數(shù)據(jù)很容易遭到泄露。此外，由于E-mail的便捷性，用戶很容易因為轉(zhuǎn)發(fā)功能，而把敏感信息發(fā)送到外部網(wǎng)絡。

(3)E-mail數(shù)據(jù)容易在傳輸過程被截獲

E-mail數(shù)據(jù)在網(wǎng)絡中默認是明文傳輸，因此用戶的數(shù)據(jù)很容易因為 “監(jiān)聽”被惡意用戶盜取。即使使用了Secure Sockets Layer(SSL)對E-mail進行加密傳輸，也只能保證用戶到郵件服務器之間的數(shù)據(jù)傳輸不能被監(jiān)聽，而郵件服務器之間的數(shù)據(jù)傳輸仍然使用明文數(shù)據(jù)。因此敏感信息在郵件傳輸過程中容易被截獲。

當前使用電子郵件的方法有兩種:通過客戶端(例如Foxmail)、通過瀏覽器 (例如IE瀏覽器)。這兩種方法中用戶發(fā)送的數(shù)據(jù)，都是由操作系統(tǒng)組裝成網(wǎng)絡數(shù)據(jù)包，通過網(wǎng)絡發(fā)送至外部郵件服務器。目前國內(nèi)外對互聯(lián)網(wǎng)數(shù)據(jù)過濾的方法主要是通過在互聯(lián)網(wǎng)出口部署攔截設備〔1－2〕，這種方法對于用戶較多，附件較大的郵件系統(tǒng)，無法實現(xiàn)實時阻斷。通過對當前業(yè)內(nèi)行為上網(wǎng)設備的調(diào)研中發(fā)現(xiàn)，上網(wǎng)行為審計設備通常部署在網(wǎng)絡出口處，攔截含有敏感信息的數(shù)據(jù)。由于網(wǎng)絡出口數(shù)據(jù)流量大，帶寬要求高，因此對設備的性能要求也高。當前這種方法可以對郵件的內(nèi)容進行實時攔截，但對郵件的附件由于需要進行數(shù)據(jù)緩存、數(shù)據(jù)包拼接等操作，現(xiàn)有硬件設備無法滿足網(wǎng)絡性能需求，因此只能進行審計，無法實時攔截〔3－4〕，并且在一些特殊情況下郵件內(nèi)容攔截也可能發(fā)生遺漏〔5〕，導致攔截失效。此外，當郵件被攔截時，用戶無法得到郵件發(fā)送失敗的原因。文獻 〔6〕給出了一種實時的郵件過濾方法，在郵件服務器上對用戶發(fā)送的數(shù)據(jù)進行指紋識別，判斷郵件內(nèi)容是否存在敏感信息。當郵件系統(tǒng)的用戶數(shù)量較少時，該方法可以做到實時過濾，但是當用戶數(shù)量很大時，將會嚴重影響郵件服務器的性能，導致用戶無法及時收發(fā)郵件；此外這種方法需要在郵件服務器端對郵件系統(tǒng)進行二次開發(fā)，因此需要郵件服務提供商的支持和配合才能部署系統(tǒng)，對于現(xiàn)成的郵件系統(tǒng)，應用難度較大。

針對上述問題，文中提出一種基于C/S模式的郵件過濾系統(tǒng)。文中通過對主流社會郵箱 (包括網(wǎng)易、新浪、騰訊、搜狐)的郵件發(fā)送流程進行研究，分析這些郵箱的傳輸協(xié)議，以及常見附件(如doc，docx，rar等)的數(shù)據(jù)格式，最終在用戶的主機上部署郵件攔截客戶端。當用戶發(fā)送郵件時，直接在客戶端上進行郵件內(nèi)容和附件的敏感字匹配，如果匹配成功，提示用戶被發(fā)送郵件或附件含有敏感詞，不能進行發(fā)送，用戶發(fā)送的數(shù)據(jù)會在客戶端處被丟棄，郵件數(shù)據(jù)不會進入傳輸網(wǎng)絡。文中設計的郵件過濾系統(tǒng)，可以對郵件的正文、郵件的標題、附件名稱、附件內(nèi)容進行實時攔截，且對用戶透明。

1 郵件關鍵字過濾系統(tǒng)

敏感郵件關鍵字過濾系統(tǒng)的基本原理是，用戶發(fā)送郵件時，通過windows提供的系統(tǒng)調(diào)用接口來捕獲用戶的發(fā)送操作，在郵件發(fā)送之前，對郵件的標題、正文、附件進行關鍵字匹配。如果匹配成功，表明郵件含有敏感關鍵字，進而根據(jù)系統(tǒng)策略處理；如果沒有匹配成功，表明用戶發(fā)送的郵件不包含敏感關鍵字，可直接放行。

1.1 系統(tǒng)架構

敏感郵件關鍵字過濾系統(tǒng)是一種基于C/S架構的郵件過濾系統(tǒng)。其系統(tǒng)架構如圖1所示。其中服務器和客戶端的主要功能如下:

(1)服務器端:全局策略配置，可通過服務器配置整個系統(tǒng)的敏感關鍵字，以及發(fā)現(xiàn)關鍵字時執(zhí)行的安全動作 (如，阻斷、報警、審計等)；策略下發(fā)，通過服務器可將全局的策略下發(fā)至客戶端，并使之生效；客戶端認證，可通過服務器對每個客戶端的身份信息進行認證。

(2)客戶端:郵件攔截，通過LSP模塊對用戶發(fā)送的郵件進行攔截；郵件內(nèi)容過濾，通過敏感字檢測模塊，對LSP攔截到的郵件數(shù)據(jù)進行多關鍵字搜索，以確定郵件是否包含敏感關鍵字；策略實施，根據(jù)敏感字檢測模塊的搜索結果，實施服務器下發(fā)的策略，以決定是否對用戶發(fā)送的郵件進行放行；策略更新，策略服務模塊完成策略更新操作，根據(jù)服務器下發(fā)的策略執(zhí)行更新，以實時調(diào)整客戶的安全策略；用戶配置，用戶可通過用戶界面對客戶端進行自定義配置，例如可以額外添加系統(tǒng)關鍵字之外的敏感關鍵字。

圖1中的實線是發(fā)送郵件的數(shù)據(jù)流。在Windows平臺下，用戶通過瀏覽器或者郵件客戶端發(fā)送郵件時，首先會調(diào)用操作系統(tǒng)的分層服務提供商 (Layered Service Provider，LSP)模塊，該模塊會對用戶發(fā)送郵件的標題、正文以及附件名稱進行過濾，當發(fā)現(xiàn)含有敏感關鍵字時，則會阻斷用戶的發(fā)送操作，并通過策略服務模塊向用戶界面發(fā)送提示消息，提示用戶郵件被攔截。當用戶發(fā)送附件時，最終會被運行在內(nèi)核層的文件過濾驅(qū)動捕獲，文件過濾驅(qū)動模塊通過敏感字檢測模塊判斷附件是否包含關鍵字，進而決策是否允許文件讀取操作。當禁止文件讀取操作時，系統(tǒng)將通過內(nèi)核層的通信代理模塊以及用戶層的策略服務器模塊給用戶的界面發(fā)送提示消息，提示用戶附件含有關鍵字，禁止發(fā)送。

圖1中的虛線是原型系統(tǒng)的控制流。在服務器端可以通過策略配置終端配置系統(tǒng)的關鍵字，這些關鍵字將通過服務器端的策略下發(fā)模塊發(fā)送至客戶端的策略服務模塊。客戶端的策略服務模塊收到關鍵字時，便會更新內(nèi)核層的敏感字檢測模塊以及LSP中的敏感字檢測模塊。當LSP、文件過濾驅(qū)動檢測到郵件發(fā)送請求時，便會利用這些模塊進行敏感字檢測。當發(fā)現(xiàn)關鍵字時，就會阻斷用戶的發(fā)送操作，并利用控制流信道向用戶界面發(fā)送消息，提示用戶發(fā)現(xiàn)關鍵字。

圖1 敏感郵件關鍵字過濾系統(tǒng)架構

敏感郵件關鍵字過濾系統(tǒng)共分為8個模塊: LSP過濾模塊、文件過濾驅(qū)動模塊、策略服務模塊、通信代理模塊、敏感字檢測模塊、策略下發(fā)通信模塊、服務器策略配置界面、用戶界面。這些模塊的功能如下:

LSP過濾模塊:在客戶端捕獲系統(tǒng)中所有使用網(wǎng)絡發(fā)送的數(shù)據(jù)包，這些數(shù)據(jù)包包括本地使用瀏覽器發(fā)送郵件的數(shù)據(jù)包，也包括其它的應用程序發(fā)送的數(shù)據(jù)包。LSP分析這些數(shù)據(jù)包，并截取與郵件相關的數(shù)據(jù)包，放行其它數(shù)據(jù)包。在截取郵件相關的數(shù)據(jù)包后，LSP將分析這些數(shù)據(jù)包，辨別數(shù)據(jù)包所使用協(xié)議，進而判斷數(shù)據(jù)包發(fā)送的是郵件標題，還是郵件的正文，還是附件。如果是附件，LSP過濾模塊將進一步提取附件的文件名稱。最后，LSP過濾模塊會將捕獲的數(shù)據(jù)包，以及數(shù)據(jù)包協(xié)議分析結果送至策略服務模塊進行進一步處理，并根據(jù)策略服務模塊的處理結果，依照系統(tǒng)的策略決定是否放行數(shù)據(jù)包。

策略服務模塊:策略服務模塊在收到LSP過濾模塊捕獲的數(shù)據(jù)包以及協(xié)議分析結果后對數(shù)據(jù)包進行進一步處理。

如果數(shù)據(jù)包內(nèi)容是郵件正文或者標題，則直接調(diào)用敏感字檢測模塊，判斷所發(fā)送的數(shù)據(jù)包是否包含敏感字，并將結果反饋給LSP過濾模塊。如果包含敏感字，策略服務模塊同時會通知客戶端用戶界面模塊提示用戶所發(fā)送的郵件含有敏感字，并通知服務器以審計記錄。

如果數(shù)據(jù)包發(fā)送的是郵件附件，由于附件通常很大，一個數(shù)據(jù)包無法容納整個附件，因此對單個數(shù)據(jù)包的敏感字檢測并不能判斷郵件附件是否包含敏感關鍵字，尤其是當郵件附件是壓縮格式時，只有收集齊所有數(shù)據(jù)包才能對附件進行解壓縮，進而判定附件是否存在敏感字。而對于容量很大的附件，緩存數(shù)據(jù)包的方式會嚴重影響系統(tǒng)效率，并且消耗大量系統(tǒng)資源。針對這一問題，文中采用的方法是，當發(fā)送附件時，LSP過濾模塊只攔截第一個數(shù)據(jù)包，并解析出附件的文件名，策略服務模塊使用該文件名向文件過濾驅(qū)動查詢文件的路徑名，得到文件路徑名后，策略服務模塊將使用敏感字檢測模塊直接對磁盤上的文件進行關鍵字匹配，如果沒有發(fā)現(xiàn)敏感字，則放行此后的數(shù)據(jù)包，如果有敏感字，則阻斷這個數(shù)據(jù)包。由于郵件協(xié)議中，包含文件名的第一個數(shù)據(jù)包如果沒有發(fā)送成功，后面的包也不會被發(fā)送，因此只需阻止第一個數(shù)據(jù)包的發(fā)送就可以阻斷郵件附件的發(fā)送操作。

文件過濾驅(qū)動模塊:通過瀏覽器發(fā)送郵件過程中，發(fā)送附件的相關信息記錄在發(fā)送的數(shù)據(jù)包中。但是這些數(shù)據(jù)包只記錄了發(fā)送附件的名稱，并沒有記錄所發(fā)送附件在本地磁盤上的路徑名。要想直接對磁盤上的附件進行關鍵字過濾，就需要獲取所發(fā)送附件的本地磁盤路徑名。文件過濾驅(qū)動會緩存瀏覽器最近訪問的文件路徑名至操作系統(tǒng)內(nèi)核中，當瀏覽器發(fā)送附件時，策略服務模塊會分析所發(fā)送附件的文件名，將文件名發(fā)送至文件過濾驅(qū)動模塊，文件過濾驅(qū)動模塊返回文件名的全路徑名稱。

通信代理模塊:操作系統(tǒng)內(nèi)核無法直接與用戶層的應用程序通信，通信代理模塊的功能是，在內(nèi)核層與應用層的程序中建立起一條通信管道，用于文件過濾驅(qū)動與策略服務模塊之間的數(shù)據(jù)通信。

策略下發(fā)模塊:運行在服務器端，監(jiān)聽一個特定的TCP端口，等待客戶端連接。客戶端的策略服務模塊啟動后，將主動連接至服務器，服務器的策略下發(fā)模塊則將系統(tǒng)策略實時發(fā)送至客戶端。同時策略下發(fā)模塊會根據(jù)客戶端發(fā)送過來的數(shù)據(jù)，進行客戶端身份驗證以及軟件有效性驗證。

用戶界面:用戶端的界面有兩個功能:第一，當用戶發(fā)送的郵件含有敏感字時，界面會彈出警示信息，提醒用戶；第二，用戶可以通過該界面查看系統(tǒng)已有策略以及敏感字，也可以通過該界面添加用戶自定義敏感字。

服務器策略配置界面:服務器端用于控制全局策略的用戶交互界面。

1.2 系統(tǒng)實現(xiàn)

文中在Windows平臺下實現(xiàn)了一個敏感郵件關鍵字過濾原型系統(tǒng)，其中:1)LSP過濾模塊采用了Windows服務提供接口 (SPI)技術實現(xiàn)，該模塊以DLL的形式存在，并在程序啟動時自動加載。2)策略服務模塊和服務器端的策略下發(fā)模塊采用Windows服務技術實現(xiàn)，以Windows Service的形式存在，當系統(tǒng)啟動時該服務將自動開啟。3)文件過濾驅(qū)動采用Windows驅(qū)動技術，以磁盤驅(qū)動程序的形式存在，并在系統(tǒng)啟動時自動加載到操作系統(tǒng)內(nèi)核。4)敏感字檢測模塊以Windows靜態(tài)鏈接庫的方式存在，直接在代碼中調(diào)用該模塊即可。5)客戶端用戶界面和服務器端用戶界面采用開源的圖形界面庫QT實現(xiàn)。

整個工程使用C＋＋語言開發(fā)，共計代碼13K行。LSP過濾模塊的實現(xiàn)流程圖如圖2所示。

Capture單元負責捕獲數(shù)據(jù)包，并將捕獲的數(shù)據(jù)包交由E-mail單元；E-mail單元負責分析數(shù)據(jù)包是否是包含E-mail信息的數(shù)據(jù)包，如果不是E-mail數(shù)據(jù)包，則直接將數(shù)據(jù)包交給Pass Through單元，如果是，則將數(shù)據(jù)包交給 Analysis單元；Analysis單元對數(shù)據(jù)包的協(xié)議進行分析，并將協(xié)議分析結果連同數(shù)據(jù)包一起交由策略服務模塊；策略服務模塊會分析被發(fā)送的數(shù)據(jù)是否包含敏感字，并返回敏感字的個數(shù)至Hits單元；Hits單元根據(jù)策略服務模塊的返回值判斷數(shù)據(jù)含有關鍵字的個數(shù)，如果含有關鍵字的個數(shù)大于零，在默認系統(tǒng)策略下，系統(tǒng)會直接丟棄數(shù)據(jù)包，禁止用戶發(fā)送，否則將數(shù)據(jù)包交由Pass Through單元放行數(shù)據(jù)包。

策略服務模塊的實現(xiàn)流程圖如圖3所示。Load單元負責從LSP過濾模塊接收數(shù)據(jù)包和數(shù)據(jù)包協(xié)議分析結果；Attachment單元從數(shù)據(jù)包協(xié)議分析結果中判斷數(shù)據(jù)包是否在發(fā)送附件，如果是則交由文件過濾驅(qū)動模塊處理，如果不是，則直接交由Analysis單元處理；文件過濾驅(qū)動模塊會返回文件的全路徑名，并交由 Analysis單元處理；Analysis單元根據(jù)數(shù)據(jù)包類型，調(diào)用敏感字檢測模塊檢測數(shù)據(jù)包是否含有敏感字，并將結果交由Return單元處理；Return單元直接返回結果給LSP過濾模塊。

2 總結

文中研究并實現(xiàn)一套能夠識別敏感關鍵字，并在用戶發(fā)送郵件時，能夠自動阻斷敏感郵件的系統(tǒng)。文中的主要研究成果包括:

1)網(wǎng)絡數(shù)據(jù)捕獲技術研究:文中研究了在對用戶透明的情況下 (用戶感知不到系統(tǒng)的存在，目的是為了提高用戶體驗)，對用戶發(fā)送的網(wǎng)絡數(shù)據(jù)進行捕獲的相關技術。

2)郵件附件關鍵字搜索技術研究:郵件附件通常是rar，zip，docx等壓縮格式的文件，并且郵件附件通常由多個數(shù)據(jù)包發(fā)送，因此當前基于包過濾的方法無法實現(xiàn)對郵件附件的關鍵字搜索，文中提出并實現(xiàn)了一種基于文件過濾驅(qū)動程序的方法對文件附件的內(nèi)容過濾。

文中最后實現(xiàn)了一個郵件敏感字過濾原型系統(tǒng)，測試結果表明該系統(tǒng)能夠有效地阻止用戶發(fā)送含有指定敏感字的郵件。

〔1〕柳岸，龍雅琴，古樂野.基于包過濾技術的網(wǎng)絡安全的研究〔J〕.計算機應用，2006，26(9):2 160-2 161.

〔2〕陳志賢。垃圾郵件過濾技術研究綜述 〔J〕.計算機應用研究，2009，26(5):1 612-1 615.

〔3〕程衛(wèi)華，尤晉元.基于內(nèi)容過濾的反垃圾郵件系統(tǒng)的設計與實現(xiàn) 〔J〕.安徽大學學報 (自然科學版)，2007，31(3): 30-33.

〔4〕高良誠，侯整風.客戶端垃圾郵件過濾系統(tǒng) 〔J〕.安徽建筑工業(yè)學院學報 (自然科學版)，2008，16(4):73-76.

〔5〕趙靜，劉培玉，許明英.郵件過濾中特征選擇方法的性能評價與分析 〔J〕.計算機應用研究，2012，29(2):693-697.

〔6〕AGARWAL A，GAIKWAD M，GARG K，et al.Robust data leakage and E-mail filtering system 〔C〕.//2012 International Conference on Computing，Electronics and Electrical Technologies (ICCEET).IEEE，2012:1 032-1 035.

Research and implementation on e-mail sensitive data monitoring system

XUE Hai-wei，TIAN Zhen，TIAN Jian-wei，QI Wen-hui
(State Grid Hunan Electric Power Corporation Research Institute，Changsha 410007，China)

In this paper，an E-mail filter system is implemented，which can automatically prevent sending operation when E-mail data contain specific keywords.The system is based on C/S framework which adopts multi-layer logic processing layer structure，and can automatically block user's E-mail containing sensitive data.The experimental results show that the system can effectively prevent sensitive E-mail.

Packet filter；E-mail system；data leaking

10.3969/j.issn.1008-0198.2015.02.004

TP302.7；TP393.08

B

1008-0198(2015)02-0013-04

2014-09-17 改回日期:2015-01-05