本發(fā)明屬于辦公自動化�,具體涉及一種基于頻域與語義分析的電子郵件安全檢測方法及系統(tǒng)�����、電子設(shè)備����、計算機(jī)可讀存儲介質(zhì)�����。
背景技術(shù):
1��、在辦公自動化系統(tǒng)中��,電子郵件作為核心通信工具�����,其安全性直接關(guān)系到企業(yè)商業(yè)數(shù)據(jù)的保護(hù)?�,F(xiàn)有技術(shù)中����,電子郵件的安全管理主要依賴內(nèi)容過濾、規(guī)則引擎或傳統(tǒng)加密手段��,但在應(yīng)對高級威脅(如隱寫術(shù)攻擊)時存在明顯不足:
2���、1.隱寫檢測能力弱:現(xiàn)有系統(tǒng)多基于空域分析(如lsb隱寫檢測)�,檢測
3���、率低(如ucid數(shù)據(jù)集驗(yàn)證僅為25%)��,難以有效識別頻域隱寫數(shù)據(jù)��。
4�����、2.協(xié)議層語義解析不足:smtp流量分析多局限于協(xié)議合規(guī)性檢查�����,缺乏對
5���、tls加密流量的深度語義解析�,無法實(shí)時攔截敏感詞外發(fā)行為��。
6��、3.響應(yīng)機(jī)制孤立且延遲高:傳統(tǒng)方案依賴軟件處理����,檢測結(jié)果與告警動作
7、缺乏動態(tài)聯(lián)動�,攔截延遲高達(dá)15秒。例如��,即使檢測到異常�,告警觸發(fā)、郵件阻斷�����、日志記錄等環(huán)節(jié)需人工介入或逐級處理�����,無法實(shí)現(xiàn)多級自動化響應(yīng)���,且告警日志與安全事件管理系統(tǒng)同步效率低�,導(dǎo)致威脅處置滯后。
8�����、4.硬件加速支持薄弱:現(xiàn)有報警機(jī)制難以利用fpga/dpdk等硬件加速技術(shù)����,
9�����、無法滿足辦公自動化場景下對實(shí)時性的嚴(yán)苛要求(如毫秒級響應(yīng))��。
10�����、因此�,亟需一種結(jié)合頻域分析、協(xié)議層語義分析與高效聯(lián)動告警機(jī)制的技術(shù)方案����,以提升辦公自動化系統(tǒng)的郵件安全防護(hù)能力,實(shí)現(xiàn)檢測�����、阻斷、日志同步的一體化實(shí)時響應(yīng)����。
技術(shù)實(shí)現(xiàn)思路
1、本發(fā)明的發(fā)明目的在于提供一種基于頻域與語義分析的郵件安全檢測方法及系統(tǒng)�����、電子設(shè)備�����、計算機(jī)可讀存儲介質(zhì)�����,以解決自動化辦公環(huán)境下的郵件安全問題�。
2、本發(fā)明提供了基于頻域與語義分析的郵件安全檢測方法��,該方法包括以下步驟:
3���、步驟1:獲取待檢測的郵件�����,對其附件中的圖像進(jìn)行預(yù)處理操作�����;
4��、步驟2:對預(yù)處理后的圖像執(zhí)行分塊操作�,然后對每個分塊進(jìn)行dct變換�����,生成對應(yīng)的dct系數(shù)矩陣��;
5����、步驟3:根據(jù)dct系數(shù)矩陣,分別計算每個分塊對應(yīng)的高頻分量熵值��;根據(jù)值確定該郵件的隱寫嫌疑檢測結(jié)果��;
6����、步驟4:?基于隱寫嫌疑檢測結(jié)果�,觸發(fā)對該郵件的smtp流量語義分析��,得到綜合風(fēng)險評分����;所述步驟4具體包括:
7、步驟4.1:解密tls流量并提取對應(yīng)的明文����;
8、步驟4.2:敏感詞實(shí)時匹配���,得到敏感詞評分�;
9���、步驟4.3:語義關(guān)聯(lián)分析�,得到語義評分�;
10、步驟4.4:基于敏感詞評分與語義評分生成綜合風(fēng)險評分
11�、;
12、步驟5:?基于綜合風(fēng)險評分����,觸發(fā)多級告警的聯(lián)動機(jī)制;其具體判斷規(guī)則為:當(dāng)≥0.9時�,觸發(fā)一級告警,立即阻斷郵件��、聲光報警�、通知中心臺;當(dāng)0.75≤<0.9時�,觸發(fā)二級告警,延遲500ms二次驗(yàn)證���,確認(rèn)后記錄日志,提示管理員�;當(dāng)<0.75時,觸發(fā)三級告警��,僅記錄日志����,供管理員人工審核。
13����、如上所述的基于頻域與語義分析的郵件安全檢測方法����,進(jìn)一步優(yōu)選為�����,所述步驟1中的預(yù)處理操作具體為對圖像進(jìn)行灰度處理�。
14、如上所述的基于頻域與語義分析的郵件安全檢測方法����,進(jìn)一步優(yōu)選為,所述步驟2的實(shí)現(xiàn)具體包括以下步驟:
15��、首先���,針對灰度化處理后的圖像進(jìn)行8×8分塊處理��;然后���,對每個8×8分塊進(jìn)行二維離散余弦變換dct,生成對應(yīng)的8×8?dct系數(shù)矩陣���。
16���、如上所述的基于頻域與語義分析的郵件安全檢測方法��,進(jìn)一步優(yōu)選為����,所述步驟3的實(shí)現(xiàn)具體包括以下步驟:
17�����、步驟3.1:進(jìn)行高頻分量選?���。涸?×8?dct系數(shù)矩陣中,定義高頻分量為位于矩陣右下角的20個系數(shù)��;
18�����、步驟3.2:計算概率分布:統(tǒng)計每個分塊高頻分量的歸一化概率分布��;
19����、步驟3.3:根據(jù)步驟3.2得到的概率分布,計算得到分塊的高頻分量的熵值�;
20、步驟3.4:基于分塊的高頻分量的熵值統(tǒng)計異常分塊的數(shù)量�����,基于該異常分塊的數(shù)量判定該郵件是否存在隱寫嫌疑����。
21、如上所述的基于頻域與語義分析的郵件安全檢測方法���,進(jìn)一步優(yōu)選為��,所述步驟4.2中的敏感詞評分的計算公式為:
22����、
23�、其中,為命中的敏感詞對應(yīng)的權(quán)重�����;為命中的敏感詞的總數(shù)量;分片總數(shù)為將完整的smtp郵件數(shù)據(jù)按邏輯或固定大小分割為多個獨(dú)立處理單元的總數(shù)�。
24、如上所述的基于頻域與語義分析的郵件安全檢測方法�,進(jìn)一步優(yōu)選為,所述步驟4.3具體包括:首先�����,采用輕量化bert-tiny模型對郵件正文進(jìn)行二分類任務(wù)����,輸出概率值,表示該郵件為異常外發(fā)的置信度�����,其中���;其次���,進(jìn)行上下文檢測,若正文描述為“常規(guī)報告”��,但附件為加密壓縮包��,則進(jìn)行矛盾標(biāo)記��,若同一收件人短時間內(nèi)接收多封含敏感詞的郵件��,則進(jìn)行異常標(biāo)記�����;最后�����,進(jìn)行語義評分����,當(dāng)出現(xiàn)矛盾或異常標(biāo)記時,對進(jìn)行動態(tài)加權(quán)�����,得到語義評分��,其動態(tài)加權(quán)公式為:
25�、
26、其中���,為加權(quán)系數(shù)���,能夠根據(jù)策略進(jìn)行動態(tài)調(diào)整��。
27�、如上所述的基于頻域與語義分析的郵件安全檢測方法����,進(jìn)一步優(yōu)選為,所述步驟5中的二次驗(yàn)證具體包括以下步驟:
28��、步驟5.1:設(shè)置延遲窗口并進(jìn)行數(shù)據(jù)緩存�����;
29����、步驟5.2:多模態(tài)深度關(guān)聯(lián)分析:在該子步驟中采用頻域-語義交叉驗(yàn)證以及行為畫像匹配驗(yàn)證兩種方式結(jié)合進(jìn)行深度關(guān)聯(lián)分析;
30���、步驟5.3:動態(tài)修正評分與決策:評分修正規(guī)則為:
31���、
32����、基于修正后的評分進(jìn)行告警升級/降級�����。
33����、本發(fā)明還公開了一種基于頻域與語義分析的郵件安全檢測系統(tǒng)�,該系統(tǒng)執(zhí)行上述的基于頻域與語義分析的郵件安全檢測方法,該系統(tǒng)具體包括:
34����、預(yù)處理模塊:用于獲取待檢測的郵件,對其附件中的圖像進(jìn)行預(yù)處理操作�����;
35��、dct系數(shù)矩陣生成模塊:用于對預(yù)處理后的圖像執(zhí)行分塊操作��,然后對每個分塊進(jìn)行dct變換���,生成對應(yīng)的dct系數(shù)矩陣�;
36、隱寫嫌疑檢測模塊:用于根據(jù)dct系數(shù)矩陣����,分別計算每個分塊對應(yīng)的高頻分量熵值;根據(jù)值確定該郵件的隱寫嫌疑檢測結(jié)果����;
37、語義分析模塊:用于基于隱寫嫌疑檢測結(jié)果����,觸發(fā)對該郵件的smtp流量語義分析,得到綜合風(fēng)險評分�����;
38��、多級告警聯(lián)動機(jī)制:用于基于綜合風(fēng)險評分��,觸發(fā)多級告警�����。
39、本發(fā)明還公開了一種電子設(shè)備����,包括一個或多個處理器;存儲裝置�����,用于存儲一個或多?個計算機(jī)程序���,當(dāng)所述一個或多個計算機(jī)程序被所述一個或多個處理器執(zhí)行時,使得所述電子設(shè)備實(shí)現(xiàn)上述的基于頻域與語義分析的郵件安全檢測方法�����。
40��、本發(fā)明還公開了一種計算機(jī)可讀存儲介質(zhì)�����,其上存儲有計算機(jī)程序��,當(dāng)所述計算機(jī)程序被電子設(shè)備的處理器執(zhí)行時,使電子設(shè)備執(zhí)行上述的基于頻域與語義分析的郵件安全檢測方法����。
41、本發(fā)明的有益效果是:本發(fā)明通過獲取待檢測的郵件����,對其附件中的圖像進(jìn)行預(yù)處理操作;對預(yù)處理后的圖像執(zhí)行分塊操作���,然后對每個分塊進(jìn)行dct變換����,生成對應(yīng)的dct系數(shù)矩陣����;根據(jù)dct系數(shù)矩陣,分別計算每個分塊對應(yīng)的高頻分量熵值�����;根據(jù)值確定該郵件的隱寫嫌疑檢測結(jié)果����;基于隱寫嫌疑檢測結(jié)果��,觸發(fā)對該郵件的smtp流量語義分析�����,得到綜合風(fēng)險評分�����;基于綜合風(fēng)險評分���,觸發(fā)多級告警的聯(lián)動機(jī)制����。本發(fā)明通過頻域與語義雙模態(tài)深度協(xié)同、硬件加速架構(gòu)創(chuàng)新及多級告警聯(lián)動設(shè)計��,實(shí)現(xiàn)了高檢測率�����、低延遲�、強(qiáng)適應(yīng)性的數(shù)據(jù)竊取防護(hù)效果,為企業(yè)級網(wǎng)絡(luò)安全提供了可靠的技術(shù)保障�����。