[发明专利]一种基于多模匹配的电力敏感邮件实时检测方法

权利要求书

1.一种基于多模匹配的电力敏感邮件实时检测方法，其特征在于，包括如下步骤：

步骤S1：对PC机所发送的电子邮件进行实时解析，提取出邮件信息；

步骤S2：用事先设定的电力敏感关键字对多模匹配引擎进行初始化；

步骤S3：将步骤S1所提取的邮件信息转化成二进制字节流，输入到步骤S2所述多模匹配引擎中，进行电力敏感关键字的匹配；

步骤S4：根据匹配结果判断该邮件是否为电力敏感邮件，如果该邮件是电力敏感邮件，则通过邮件拦截模块对该邮件进行实时拦截，并通过预警模块发出告警信息；否则，正常发送该邮件。

2.根据权利要求1所述一种基于多模匹配的电力敏感邮件检测方法，其特征在于：步骤S1所述邮件信息，包括邮件的标题和正文，以及邮件附件的标题和内容；所述邮件附件的格式是：文本文档、ZIP/RAR压缩文档、Office办公文档、WPS办公文档和PDF文档中的一种或多种。

3.根据权利要求1所述一种基于多模匹配的电力敏感邮件检测方法，其特征在于：步骤S2所述电力敏感关键字，是由用户自定义的文本字符串，文本字符串为中文、英文或中英文混合模式的字符串。

4.根据权利要求1所述一种基于多模匹配的电力敏感邮件检测方法，其特征在于：步骤S2所述多模匹配引擎，是基于Wu-Manber多模匹配方法，采用二进制流的匹配方式，用以在邮件信息中查找电力敏感关键字出现的频率和位置。

5.根据权利要求4所述一种基于多模匹配的电力敏感邮件检测方法，其特征在于：步骤S2所述多模匹配引擎的初始化方法，是将电力敏感关键字的三种不同二进制编码格式作为三种不同的模式串，同时参与对多模匹配引擎的预处理过程，所述的三种二进制编码格式为GB2312、Unicode和UTF-8。

6.根据权利要求5所述一种基于多模匹配的电力敏感邮件检测方法，其特征在于：所述的对多模匹配引擎的预处理过程，是通过扫描由所有电力敏感关键字三种不同编码格式所形成的模式串集合Patterns，分别构建转移表SHIFT，哈希表HASH和前缀表PREFIX三张表。

7.根据权利要求6所述一种基于多模匹配的电力敏感邮件检测方法，其特征在于：在将Unicode二进制编码格式作为模式串时，构建一个包含一个字符串指针变量和一个表示该字符串长度变量的结构体，在扫描时通过该结构体来判断是否达到模式串的末尾。

8.根据权利要求1所述一种基于多模匹配的电力敏感邮件检测方法，其特征在于：步骤S3所述对邮件信息进行电力敏感关键字匹配的方法，是将邮件标题、正文，以及邮件附件的标题和内容转换成二进制字节流的形式，并作为步骤S2所述多模匹配引擎的输入，而多模匹配引擎的输出结果即为邮件信息中包含电力敏感关键字的频率及位置。

9.根据权利要求1所述一种基于多模匹配的电力敏感邮件检测方法，其特征在于：步骤S4所述电力敏感邮件判断，是根据多模匹配引擎的匹配结果来进行判断，如果邮件信息中存在1个或以上的电力敏感关键字，则判断为电力敏感邮件，否则，为正常邮件。