本發(fā)明屬于辦公自動(dòng)化�,具體涉及一種基于頻域與語(yǔ)義分析的電子郵件安全檢測(cè)方法及系統(tǒng)�����、電子設(shè)備�、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)���。
背景技術(shù):
1��、在辦公自動(dòng)化系統(tǒng)中�����,電子郵件作為核心通信工具�,其安全性直接關(guān)系到企業(yè)商業(yè)數(shù)據(jù)的保護(hù)。現(xiàn)有技術(shù)中���,電子郵件的安全管理主要依賴(lài)內(nèi)容過(guò)濾��、規(guī)則引擎或傳統(tǒng)加密手段����,但在應(yīng)對(duì)高級(jí)威脅(如隱寫(xiě)術(shù)攻擊)時(shí)存在明顯不足:
2����、1.隱寫(xiě)檢測(cè)能力弱:現(xiàn)有系統(tǒng)多基于空域分析(如lsb隱寫(xiě)檢測(cè)),檢測(cè)
3���、率低(如ucid數(shù)據(jù)集驗(yàn)證僅為25%)��,難以有效識(shí)別頻域隱寫(xiě)數(shù)據(jù)��。
4���、2.協(xié)議層語(yǔ)義解析不足:smtp流量分析多局限于協(xié)議合規(guī)性檢查����,缺乏對(duì)
5�����、tls加密流量的深度語(yǔ)義解析��,無(wú)法實(shí)時(shí)攔截敏感詞外發(fā)行為�����。
6�、3.響應(yīng)機(jī)制孤立且延遲高:傳統(tǒng)方案依賴(lài)軟件處理�,檢測(cè)結(jié)果與告警動(dòng)作
7、缺乏動(dòng)態(tài)聯(lián)動(dòng)�����,攔截延遲高達(dá)15秒����。例如,即使檢測(cè)到異常,告警觸發(fā)��、郵件阻斷����、日志記錄等環(huán)節(jié)需人工介入或逐級(jí)處理,無(wú)法實(shí)現(xiàn)多級(jí)自動(dòng)化響應(yīng)��,且告警日志與安全事件管理系統(tǒng)同步效率低�,導(dǎo)致威脅處置滯后。
8�、4.硬件加速支持薄弱:現(xiàn)有報(bào)警機(jī)制難以利用fpga/dpdk等硬件加速技術(shù),
9���、無(wú)法滿(mǎn)足辦公自動(dòng)化場(chǎng)景下對(duì)實(shí)時(shí)性的嚴(yán)苛要求(如毫秒級(jí)響應(yīng))��。
10�����、因此���,亟需一種結(jié)合頻域分析、協(xié)議層語(yǔ)義分析與高效聯(lián)動(dòng)告警機(jī)制的技術(shù)方案���,以提升辦公自動(dòng)化系統(tǒng)的郵件安全防護(hù)能力��,實(shí)現(xiàn)檢測(cè)��、阻斷����、日志同步的一體化實(shí)時(shí)響應(yīng)。
技術(shù)實(shí)現(xiàn)思路
1�、本發(fā)明的發(fā)明目的在于提供一種基于頻域與語(yǔ)義分析的郵件安全檢測(cè)方法及系統(tǒng)、電子設(shè)備����、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)�,以解決自動(dòng)化辦公環(huán)境下的郵件安全問(wèn)題。
2����、本發(fā)明提供了基于頻域與語(yǔ)義分析的郵件安全檢測(cè)方法,該方法包括以下步驟:
3�����、步驟1:獲取待檢測(cè)的郵件����,對(duì)其附件中的圖像進(jìn)行預(yù)處理操作��;
4�����、步驟2:對(duì)預(yù)處理后的圖像執(zhí)行分塊操作��,然后對(duì)每個(gè)分塊進(jìn)行dct變換�,生成對(duì)應(yīng)的dct系數(shù)矩陣����;
5、步驟3:根據(jù)dct系數(shù)矩陣����,分別計(jì)算每個(gè)分塊對(duì)應(yīng)的高頻分量熵值;根據(jù)值確定該郵件的隱寫(xiě)嫌疑檢測(cè)結(jié)果�;
6、步驟4:?基于隱寫(xiě)嫌疑檢測(cè)結(jié)果�,觸發(fā)對(duì)該郵件的smtp流量語(yǔ)義分析,得到綜合風(fēng)險(xiǎn)評(píng)分�����;所述步驟4具體包括:
7、步驟4.1:解密tls流量并提取對(duì)應(yīng)的明文����;
8、步驟4.2:敏感詞實(shí)時(shí)匹配�,得到敏感詞評(píng)分;
9��、步驟4.3:語(yǔ)義關(guān)聯(lián)分析�,得到語(yǔ)義評(píng)分;
10���、步驟4.4:基于敏感詞評(píng)分與語(yǔ)義評(píng)分生成綜合風(fēng)險(xiǎn)評(píng)分
11��、����;
12�����、步驟5:?基于綜合風(fēng)險(xiǎn)評(píng)分�����,觸發(fā)多級(jí)告警的聯(lián)動(dòng)機(jī)制�����;其具體判斷規(guī)則為:當(dāng)≥0.9時(shí)����,觸發(fā)一級(jí)告警,立即阻斷郵件���、聲光報(bào)警�、通知中心臺(tái)����;當(dāng)0.75≤<0.9時(shí),觸發(fā)二級(jí)告警����,延遲500ms二次驗(yàn)證,確認(rèn)后記錄日志����,提示管理員;當(dāng)<0.75時(shí)�����,觸發(fā)三級(jí)告警,僅記錄日志���,供管理員人工審核�。
13�、如上所述的基于頻域與語(yǔ)義分析的郵件安全檢測(cè)方法,進(jìn)一步優(yōu)選為�����,所述步驟1中的預(yù)處理操作具體為對(duì)圖像進(jìn)行灰度處理�。
14、如上所述的基于頻域與語(yǔ)義分析的郵件安全檢測(cè)方法�,進(jìn)一步優(yōu)選為,所述步驟2的實(shí)現(xiàn)具體包括以下步驟:
15�����、首先�����,針對(duì)灰度化處理后的圖像進(jìn)行8×8分塊處理�����;然后�����,對(duì)每個(gè)8×8分塊進(jìn)行二維離散余弦變換dct�����,生成對(duì)應(yīng)的8×8?dct系數(shù)矩陣�����。
16��、如上所述的基于頻域與語(yǔ)義分析的郵件安全檢測(cè)方法��,進(jìn)一步優(yōu)選為���,所述步驟3的實(shí)現(xiàn)具體包括以下步驟:
17���、步驟3.1:進(jìn)行高頻分量選取:在8×8?dct系數(shù)矩陣中,定義高頻分量為位于矩陣右下角的20個(gè)系數(shù)���;
18�、步驟3.2:計(jì)算概率分布:統(tǒng)計(jì)每個(gè)分塊高頻分量的歸一化概率分布��;
19����、步驟3.3:根據(jù)步驟3.2得到的概率分布,計(jì)算得到分塊的高頻分量的熵值��;
20�����、步驟3.4:基于分塊的高頻分量的熵值統(tǒng)計(jì)異常分塊的數(shù)量���,基于該異常分塊的數(shù)量判定該郵件是否存在隱寫(xiě)嫌疑��。
21����、如上所述的基于頻域與語(yǔ)義分析的郵件安全檢測(cè)方法���,進(jìn)一步優(yōu)選為����,所述步驟4.2中的敏感詞評(píng)分的計(jì)算公式為:
22�、
23、其中����,為命中的敏感詞對(duì)應(yīng)的權(quán)重;為命中的敏感詞的總數(shù)量�;分片總數(shù)為將完整的smtp郵件數(shù)據(jù)按邏輯或固定大小分割為多個(gè)獨(dú)立處理單元的總數(shù)。
24����、如上所述的基于頻域與語(yǔ)義分析的郵件安全檢測(cè)方法,進(jìn)一步優(yōu)選為��,所述步驟4.3具體包括:首先�����,采用輕量化bert-tiny模型對(duì)郵件正文進(jìn)行二分類(lèi)任務(wù)�,輸出概率值,表示該郵件為異常外發(fā)的置信度���,其中����;其次,進(jìn)行上下文檢測(cè)����,若正文描述為“常規(guī)報(bào)告”,但附件為加密壓縮包����,則進(jìn)行矛盾標(biāo)記,若同一收件人短時(shí)間內(nèi)接收多封含敏感詞的郵件���,則進(jìn)行異常標(biāo)記�����;最后�,進(jìn)行語(yǔ)義評(píng)分����,當(dāng)出現(xiàn)矛盾或異常標(biāo)記時(shí),對(duì)進(jìn)行動(dòng)態(tài)加權(quán)����,得到語(yǔ)義評(píng)分��,其動(dòng)態(tài)加權(quán)公式為:
25���、
26����、其中,為加權(quán)系數(shù)����,能夠根據(jù)策略進(jìn)行動(dòng)態(tài)調(diào)整。
27�����、如上所述的基于頻域與語(yǔ)義分析的郵件安全檢測(cè)方法���,進(jìn)一步優(yōu)選為���,所述步驟5中的二次驗(yàn)證具體包括以下步驟:
28、步驟5.1:設(shè)置延遲窗口并進(jìn)行數(shù)據(jù)緩存�;
29��、步驟5.2:多模態(tài)深度關(guān)聯(lián)分析:在該子步驟中采用頻域-語(yǔ)義交叉驗(yàn)證以及行為畫(huà)像匹配驗(yàn)證兩種方式結(jié)合進(jìn)行深度關(guān)聯(lián)分析��;
30����、步驟5.3:動(dòng)態(tài)修正評(píng)分與決策:評(píng)分修正規(guī)則為:
31��、
32����、基于修正后的評(píng)分進(jìn)行告警升級(jí)/降級(jí)。
33��、本發(fā)明還公開(kāi)了一種基于頻域與語(yǔ)義分析的郵件安全檢測(cè)系統(tǒng)�,該系統(tǒng)執(zhí)行上述的基于頻域與語(yǔ)義分析的郵件安全檢測(cè)方法,該系統(tǒng)具體包括:
34�、預(yù)處理模塊:用于獲取待檢測(cè)的郵件,對(duì)其附件中的圖像進(jìn)行預(yù)處理操作�����;
35���、dct系數(shù)矩陣生成模塊:用于對(duì)預(yù)處理后的圖像執(zhí)行分塊操作���,然后對(duì)每個(gè)分塊進(jìn)行dct變換�,生成對(duì)應(yīng)的dct系數(shù)矩陣��;
36��、隱寫(xiě)嫌疑檢測(cè)模塊:用于根據(jù)dct系數(shù)矩陣�����,分別計(jì)算每個(gè)分塊對(duì)應(yīng)的高頻分量熵值�����;根據(jù)值確定該郵件的隱寫(xiě)嫌疑檢測(cè)結(jié)果����;
37�、語(yǔ)義分析模塊:用于基于隱寫(xiě)嫌疑檢測(cè)結(jié)果,觸發(fā)對(duì)該郵件的smtp流量語(yǔ)義分析����,得到綜合風(fēng)險(xiǎn)評(píng)分;
38�、多級(jí)告警聯(lián)動(dòng)機(jī)制:用于基于綜合風(fēng)險(xiǎn)評(píng)分�����,觸發(fā)多級(jí)告警����。
39��、本發(fā)明還公開(kāi)了一種電子設(shè)備��,包括一個(gè)或多個(gè)處理器�����;存儲(chǔ)裝置����,用于存儲(chǔ)一個(gè)或多?個(gè)計(jì)算機(jī)程序,當(dāng)所述一個(gè)或多個(gè)計(jì)算機(jī)程序被所述一個(gè)或多個(gè)處理器執(zhí)行時(shí)���,使得所述電子設(shè)備實(shí)現(xiàn)上述的基于頻域與語(yǔ)義分析的郵件安全檢測(cè)方法����。
40����、本發(fā)明還公開(kāi)了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)���,其上存儲(chǔ)有計(jì)算機(jī)程序,當(dāng)所述計(jì)算機(jī)程序被電子設(shè)備的處理器執(zhí)行時(shí)�����,使電子設(shè)備執(zhí)行上述的基于頻域與語(yǔ)義分析的郵件安全檢測(cè)方法�����。
41�����、本發(fā)明的有益效果是:本發(fā)明通過(guò)獲取待檢測(cè)的郵件��,對(duì)其附件中的圖像進(jìn)行預(yù)處理操作����;對(duì)預(yù)處理后的圖像執(zhí)行分塊操作��,然后對(duì)每個(gè)分塊進(jìn)行dct變換���,生成對(duì)應(yīng)的dct系數(shù)矩陣�;根據(jù)dct系數(shù)矩陣,分別計(jì)算每個(gè)分塊對(duì)應(yīng)的高頻分量熵值����;根據(jù)值確定該郵件的隱寫(xiě)嫌疑檢測(cè)結(jié)果;基于隱寫(xiě)嫌疑檢測(cè)結(jié)果�,觸發(fā)對(duì)該郵件的smtp流量語(yǔ)義分析,得到綜合風(fēng)險(xiǎn)評(píng)分��;基于綜合風(fēng)險(xiǎn)評(píng)分���,觸發(fā)多級(jí)告警的聯(lián)動(dòng)機(jī)制�。本發(fā)明通過(guò)頻域與語(yǔ)義雙模態(tài)深度協(xié)同���、硬件加速架構(gòu)創(chuàng)新及多級(jí)告警聯(lián)動(dòng)設(shè)計(jì)����,實(shí)現(xiàn)了高檢測(cè)率��、低延遲�����、強(qiáng)適應(yīng)性的數(shù)據(jù)竊取防護(hù)效果,為企業(yè)級(jí)網(wǎng)絡(luò)安全提供了可靠的技術(shù)保障���。