的分析电子邮件的多关键词匹配算法.docVIP

分析电子邮件的多关键词匹配算法1 谭建龙 白硕 张鑫 沙赢 中国科学院计算技术研究所 北京 2704信箱，100080 E-mail: tan@ sbai@ shaying@ zhangx@ 摘要：本文第一次提出了一种直接扫描电子邮件内容的多关键词匹配算法。一般情况下，邮件文本是基于Base64编码的，由于Base64编码是前后相关的，所以需要特殊的处理。新算法在不进行Base64解码情况下，直接进行内容扫描。同时针对Base64编码结果是32位整型数据流的特性，新算法不是以8位为块,而是以32位为块进行匹配。通过和agrep和fgrep查找工具比较，新算法比解码－再检索的方法快，甚至比直接检索原始文本方法还快。 关键词：网络安全 信息监控 多关键词匹配 串匹配 电子邮件 Base64 StringMatching 1 引言 在网络信息监控和入侵监测系统中，目前广泛使用的是用固定关键词集合检索数据流的方法。检索系统对每个“网络数据流”进行扫描，丢弃许多原始数据，大大减少后续系统需要处理数据量。对于国家级别的信息监控来说，不但关键词规模有O（103）条，而且对需要处理O(G)的带宽。美国FBI的Carnivore【9】就是这样能分析Email内容的工具。 为了监测电子邮件、扫描邮件病毒，防范公司机密信息泄漏和拒绝垃圾邮件，安全系