基于时间轮邮件数据还原、威胁检测与趋势行为分析方法与流程

本发明属于通信技术领域，特别涉及一种基于时间轮邮件数据还原、威胁检测与趋势行为分析方法。

背景技术：

随着网络互联网时代的日益深入、普及，对各种数据使用越来越广泛和数据安全越来越重视。信息化无处不在的高速发展及其便捷、高效、多样的信息传输手段，电子办公的普遍，成为了国际网络黑客、窃密手段、网络犯罪横行的平台，为国家和企事业单位信息保密安全工作带来巨大困难和挑战，尤其是近年来各种“勒索”病毒、木马、“钓鱼”邮件等攻击造成数据丢失、财产损失等，目前由于成本或装置不完善的情况下，在大部分场景下并没有对邮件进行威胁检测或者趋势行为分析，并发明通过基于时间轮环形缓冲能有效减少内存的重复分配释放，降低系统负载，从而快速邮件数据还原，对邮件进行威胁检测以及对可能发生威胁邮件的趋势行为进行分析的方法和流程。

技术实现要素：

为了解决这一问题，本发明提出了一种基于时间轮邮件数据还原、威胁检测与趋势行为分析方法，采用主动采集、实时统计，tcp会话流表管理，邮件数据提起还原，邮件内容以及附件威胁检测方法，以及可能发生威胁的行为态势检测分析。

一种基于时间轮邮件数据还原、威胁检测与趋势行为分析方法，包括以下步骤：

s1、采集邮件tcp数据，启动时间轮，建立tcp会话流表，进行tcp会话重组，其中，所述时间轮为一个个存储定时任务的环形缓冲，底层采用hash链表实现，hash链表中每一个元素可存放一个n对象，n为环形双向链表，在链表项n中封装了定时任务m；

所述步骤s1具体为：

解析采集到的每一帧数据为tcp数据时，按五元组信息计算哈希值存入对应的时间轮环形缓冲区，当任务时间轮数据包不超时且会话收到fin包时，删除tcp会话流表；

s2、加载邮件还原库，提取邮件数据；

s3、采用邮件安全网关和云端沙盒技术对邮件数据进行威胁检测，对检测结果中不存在威胁的邮件数据采用ceph非结构化数据存储，并采用hadoop分布式计算对ceph非结构化数据存储数据进行实时统计、告警并基于大数据对趋势行为进行分析和预测。

进一步地，所述步骤s2包括以下流程：

以挂在插件方式加载邮件还原库，提取邮件、附件、正文及敏感信息打包tlv数据形式。

进一步地，所述步骤s3包括以下流程：

s31、基于邮件安全网关和云端沙盒技术对邮件数据进行威胁检测，判断邮件数据是否存在威胁；

s32、当邮件数据不存在威胁时，对邮件数据采用ceph非结构化数据存储，并采用hadoop分布式计算对ceph非结构化数据存储数据进行实时统计、告警并基于大数据对趋势行为进行分析和预测。

进一步地，其特征在于，所述步骤s3还包括：

s33、当邮件数据存在威胁时，对邮件数据进行威胁统计、告警及隔离操作。

本发明的有益效果：本发明提供了一种基于时间轮邮件数据还原、威胁检测与趋势行为分析方法，通过基于时间轮环形缓冲能有效减少内存的重复分配释放，降低系统负载，从而快速邮件数据还原，对邮件进行威胁检测以及对可能发生威胁邮件的趋势行为进行分析。

附图说明

图1为本发明实施例提供的流程图。

具体实施方式

下面结合附图对本发明的实施例做进一步的说明。

请参阅图1，本发明提供的一种基于时间轮邮件数据还原、威胁检测与趋势行为分析方法，通过以下步骤实现：

s1、采集邮件tcp数据，启动时间轮，建立tcp会话流表，进行tcp会话重组，其中，时间轮(timingwheel)为一个个存储定时任务的环形缓冲(并发无锁散列hash)，底层采用hash链表实现，hash链表中每一个元素可存放一个n对象，n为环形双向链表，在链表项n中封装了定时任务m。

本实施例中，解析采集到的每一帧数据为tcp数据时，按五元组信息计算哈希值存入对应的时间轮环形缓冲区，当任务时间轮数据包不超时(时间轮计算平均的数据包到达时间，预测下一个数据到达时间)且会话收到fin包时，删除tcp会话流表。

本实施例中，若会话没有收到fin包，则邮件数据不完整，统计邮件不完整率。

s2、加载邮件还原库，提取邮件数据。

本实施例中，以挂在插件方式加载邮件还原库，提取附件、正文及敏感信息打包tlv数据形式。

本实施例中，若邮件数据无法还原或提取，则邮件数据不完整，统计邮件不完整率。

s3、采用邮件安全网关和云端沙盒技术对邮件数据进行威胁检测，对检测结果中不存在威胁的邮件数据采用ceph非结构化数据存储，并采用hadoop分布式计算对ceph非结构化数据存储数据进行实时统计、告警并基于大数据对趋势行为进行分析和预测。

本实施例中，步骤s3通过以下流程实现：

s31、基于邮件安全网关和云端沙盒技术对邮件数据进行威胁检测，判断邮件数据是否存在威胁；

s32、当邮件数据不存在威胁时，对邮件数据采用ceph非结构化数据存储，并采用hadoop分布式计算对ceph非结构化数据存储数据进行实时统计、告警并基于大数据对可能发生的趋势行为分析和预测。

s33、当邮件数据存在威胁时，对邮件数据进行威胁统计、告警及隔离操作。

本领域的普通技术人员将会意识到，这里的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。

技术特征：

技术总结
本发明提供了一种基于时间轮邮件数据还原、威胁检测与趋势行为分析方法，属于通信技术领域。本发明通过基于时间轮环形缓冲能有效减少内存的重复分配释放，降低系统负载，从而快速邮件数据还原，对邮件进行威胁检测以及对可能发生威胁邮件的趋势行为进行分析。

技术研发人员：汪俊贵
受保护的技术使用者：成都九洲电子信息系统股份有限公司
技术研发日：2018.12.21
技术公布日：2019.04.09