技术领域:
本发明涉及网络安全领域,特别是涉及一种与可管理交换机联动的信息网络异常邮件监测系统。
背景技术:
:
随着病毒、蠕虫、木马、后门和混合威胁的泛滥,应用层和网络层的安全威胁正变得司空见惯。传统防火墙只能阻止或允许特定ip地址和端口,能防护的东西相当有限,黑客已经研究出大量的方法来绕过防火墙策略,包括:利用端口扫描器发现防火墙开放的端口,攻击和探测程序通过防火墙开放的端口穿越防火墙。如msn、qq等工具均可通过80端口通信,softether等软件更可以将所有tcp/ip通讯封装成https数据包发送,使用传统的状态检测防火墙简直防不胜防。
对于企业而言,邮件通信就是大脑中枢神经,需要准确无误的把信息传达到每一个部门,而在传达过程中,重要的企业机密信息被泄露,或者传达错误了的信息,将会给企业带来难以挽回的损失。
然而,有的病毒会与邮件进行结合,以邮件的形式进行传输,由于邮件的隐蔽性比较强,一般的防火墙很难发现异常情况,当短时间内出现大量空邮件时,会造成堵塞,占用网络资源。
技术实现要素:
:
本发明所要解决的技术问题是:克服现有技术的不足,通过设置与交换机连通的网络联动系统平台,通过采集探针对邮件数据包进行抓包,并进行数据包拆分和分析,发现异常邮件,并进行提示,防止邮件传达错误或解决病毒性邮件传播的与可管理交换机联动的信息网络异常邮件监测系统。
本发明的技术方案是:一种与可管理交换机联动的信息网络异常邮件监测系统,其特征是:在网络节点中部署数据采集探针,对邮件数据包进行抓包,并把抓包输送到网络联动系统平台进行数据包拆分操作,获取抓包的相应信息,对相应信息进行核对,与预存信息不一致,网络联动系统平台将相应的信息标记异常,并把异常信息发送到交换机,由交换机阻断标记信息的路径,并在网络联动系统平台上进行显示。
进一步的,所述相应信息包括邮件主题、发件人帐号及发件人ip、收件人帐户及收件人ip、邮件发送时间。
进一步的,所述相应信息进行核对的具体步骤为:(1)、把获取的信息与数据中心中存储的发件人和收件人的账户及与对应的ip进行核对,当收件人账户与其ip无法对应或发件人账户与其ip无法对应时,则进行异常标记;(2)、把邮件主题中的词汇打乱重组,确定存在敏感词汇,若存在则进行异常标记;(3)、对信息进行二进制解码判断是否为病毒包,是则进行异常标记。
进一步的,所述信息被标记异常后,把异常信息的发件人ip和收件人ip传送到交换机,对其路径进行阻断。
进一步的,网络联动系统平台包括主机及显示器,其异常信息在显示器上进行显示,并显示异常原因。
本发明的有益效果是:
1、本发明通过设置与交换机连通的网络联动系统平台,通过采集探针对邮件数据包进行抓包,并进行数据包拆分和分析,发现异常邮件,并进行提示,防止邮件传达错误或解决病毒性邮件传播。
2、本发明邮件数据包进行精准分析,提取邮件主题、发件人帐号及发件人ip、收件人帐户及收件人ip、邮件发送时间等信息,并记录。可协助管理人员掌握网络中的邮件使用情况,是否存在邮件信息泄密事件;如果发生邮件泄密事件,可帮助管理员快速定位到泄密人员。提高了信息的安全性。
3、本发明发现网络中的病毒、攻击等威胁事件,发现威胁事件的源头,与交换机联动,阻断威胁事件的路径。弥补传统防火墙的不足,提供网络安全纵深防护。
附图说明:
图1为与可管理交换机联动的信息网络异常邮件监测系统的结构示意图。
具体实施方式:
实施例:参见图1,图中,a-网络联动系统平台,b-数据中心,c-防火墙,d-采集探针一,e-采集探针二。
与可管理交换机联动的信息网络异常邮件监测系统,通过设置与交换机连通的网络联动系统平台,通过采集探针对邮件数据包进行抓包,并进行数据包拆分和分析,发现异常邮件,并进行提示,防止邮件传达错误或解决病毒性邮件传播。
下面结合实施例对
本技术:
进行详细描述。
在网络节点中部署数据采集探针,对邮件数据包进行抓包,并把抓包输送到网络联动系统平台进行数据包拆分操作,获取抓包的相应信息,对相应信息进行核对,与预存信息不一致,网络联动系统平台将相应的信息标记异常,并把异常信息发送到交换机,由交换机阻断标记信息的路径,并在网络联动系统平台上进行显示。
相应信息包括邮件主题、发件人帐号及发件人ip、收件人帐户及收件人ip、邮件发送时间。
相应信息进行核对的具体步骤为:(1)、把获取的信息与数据中心中存储的发件人和收件人的账户及与对应的ip进行核对,当收件人账户与其ip无法对应或发件人账户与其ip无法对应时,则进行异常标记;(2)、把邮件主题中的词汇打乱重组,确定存在敏感词汇,若存在则进行异常标记;(3)、对信息进行二进制解码判断是否为病毒包,是则进行异常标记。
信息被标记异常后,把异常信息的发件人ip和收件人ip传送到交换机,对其路径进行阻断。网络联动系统平台包括主机及显示器,其异常信息在显示器上进行显示,并显示异常原因。
使用时,数据采集探针,对邮件数据包进行抓包,并把抓包输送到网络联动系统平台进行数据包拆分操作,首先对信息进行二进制解码判断是否为病毒包,是病毒包则进行异常标记,不是病毒包则获取邮件主题、发件人帐号及发件人ip、收件人帐户及收件人ip、邮件发送时间,把邮件主题中的词汇打乱重组,确定存在敏感词汇,若存在则进行异常标记,若不存在,则把获取的信息与数据中心中存储的发件人和收件人的账户及与对应的ip进行核对,当收件人账户与其ip无法对应或发件人账户与其ip无法对应时,则进行异常标记;被标记的信息和标记原因则通过网络联动系统平台进行显示。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
1.一种与可管理交换机联动的信息网络异常邮件监测系统,其特征是:在网络节点中部署数据采集探针,对邮件数据包进行抓包,并把抓包输送到网络联动系统平台进行数据包拆分操作,获取抓包的相应信息,对相应信息进行核对,与预存信息不一致,网络联动系统平台将相应的信息标记异常,并把异常信息发送到交换机,由交换机阻断标记信息的路径,并在网络联动系统平台上进行显示。
2.根据权利要求1所述的与可管理交换机联动的信息网络异常邮件监测系统,其特征是:所述相应信息包括邮件主题、发件人帐号及发件人ip、收件人帐户及收件人ip、邮件发送时间。
3.根据权利要求1所述的与可管理交换机联动的信息网络异常邮件监测系统,其特征是:所述相应信息进行核对的具体步骤为:(1)、把获取的信息与数据中心中存储的发件人和收件人的账户及与对应的ip进行核对,当收件人账户与其ip无法对应或发件人账户与其ip无法对应时,则进行异常标记;(2)、把邮件主题中的词汇打乱重组,确定存在敏感词汇,若存在则进行异常标记;(3)、对信息进行二进制解码判断是否为病毒包,是则进行异常标记。
4.根据权利要求1所述的与可管理交换机联动的信息网络异常邮件监测系统,其特征是:所述信息被标记异常后,把异常信息的发件人ip和收件人ip传送到交换机,对其路径进行阻断。
5.根据权利要求1所述的与可管理交换机联动的信息网络异常邮件监测系统,其特征是:网络联动系统平台包括主机及显示器,其异常信息在显示器上进行显示,并显示异常原因。