基于蜜罐系統(tǒng)的垃圾郵件采集技術(shù)研究

宋士超

中國(guó)人民公安大學(xué) 北京 100038

0 引言

眾所周知，隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，垃圾郵件日益泛濫，這不僅增加互聯(lián)網(wǎng)的負(fù)擔(dān)，浪費(fèi)了帶寬資源，而且嚴(yán)重影響社會(huì)穩(wěn)定和個(gè)人信息安全。在我國(guó)電子郵箱用戶平均每周收到的垃圾郵件數(shù)目為16.7封，其中垃圾郵件所占比例為 35.6%。如何有效的抑制垃圾郵件的傳播，成為當(dāng)前研究的重點(diǎn)。當(dāng)前電子郵件過(guò)濾技術(shù)采用基于規(guī)則和基于統(tǒng)計(jì)的過(guò)濾方法，這兩種技術(shù)在執(zhí)行時(shí)需要對(duì)大規(guī)模的樣本知識(shí)庫(kù)進(jìn)行學(xué)習(xí)。然而，現(xiàn)有郵件樣本庫(kù)內(nèi)容單一、更新速度慢、實(shí)時(shí)更新性差、覆蓋范圍局限，這直接制約著對(duì)垃圾郵件過(guò)濾準(zhǔn)確性和效率，因此，增強(qiáng)郵件采集庫(kù)數(shù)據(jù)量與更新速率，成為打擊垃圾郵件的前提條件。為了解決上述問(wèn)題，本文對(duì)垃圾郵件樣本采集方法做了深入研究，提出了基于蜜罐系統(tǒng)的垃圾郵件采集技術(shù)。

1 蜜罐技術(shù)

蜜罐技術(shù)是指在計(jì)算機(jī)系統(tǒng)中，利用虛擬網(wǎng)絡(luò)服務(wù)或者自身存在漏洞的操作系統(tǒng)引誘攻擊者對(duì)系統(tǒng)進(jìn)行攻擊和入侵，從而獲得系統(tǒng)攻擊者攻擊目的以及攻擊手段的技術(shù)。同時(shí)，蜜罐技術(shù)還具有混淆攻擊者攻擊目標(biāo)的能力，保證真實(shí)服務(wù)主機(jī)的正常運(yùn)行。根據(jù)蜜罐部署方式不同，蜜罐系統(tǒng)分為高交互蜜罐和低交互蜜罐兩種。

1.1 高交互蜜罐

高交互蜜罐是部署在真實(shí)主機(jī)上提供真實(shí)操作系統(tǒng)及網(wǎng)絡(luò)服務(wù)，為黑客提供了一個(gè)開(kāi)放的攻擊平臺(tái)。對(duì)于高交互蜜罐主機(jī)來(lái)說(shuō)，它除了運(yùn)行系統(tǒng)上的正常守護(hù)進(jìn)程或服務(wù)外，不運(yùn)行任何操作也不產(chǎn)生任何網(wǎng)絡(luò)流量。這樣任何與高交互蜜罐進(jìn)行的交互活動(dòng)都是可疑的，安全管理員更具這些信息掌握黑客攻擊方式、攻擊工具以及發(fā)現(xiàn)系統(tǒng)漏洞。高交互蜜罐缺點(diǎn)主要是成本高、信息維護(hù)量大、風(fēng)險(xiǎn)高。

1.2 低交互蜜罐

低交互蜜罐通常安裝在一臺(tái)主機(jī)中，通過(guò)模擬操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、系統(tǒng)漏洞等，使得攻擊者能夠探測(cè)到虛擬蜜罐主機(jī)并與其進(jìn)行有效的系統(tǒng)交互。對(duì)于低交互蜜罐來(lái)說(shuō)，由于它是通過(guò)模擬網(wǎng)絡(luò)協(xié)議棧實(shí)現(xiàn)服務(wù)模擬，因此其具有更小的機(jī)會(huì)被攻陷，同時(shí)可以模擬虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使蜜罐系統(tǒng)更加真實(shí)可信。

2 郵件采集原理

2.1 郵件開(kāi)放轉(zhuǎn)發(fā)

簡(jiǎn)單郵件傳輸協(xié)議(SMTP)是提供可靠且高效的電子郵件傳輸?shù)膽?yīng)用層協(xié)議。在郵件通信的過(guò)程中，SMTP客戶端向SMTP服務(wù)器端發(fā)送郵件傳送請(qǐng)求，當(dāng)郵件服務(wù)器允許接收郵件，郵件就會(huì)成功發(fā)送。對(duì)于接收郵件的服務(wù)器來(lái)說(shuō)，它可能是最終郵件服務(wù)器、也可能是中轉(zhuǎn)郵件服務(wù)器。

中轉(zhuǎn)郵件服務(wù)器按照郵件轉(zhuǎn)發(fā)過(guò)程中是否需要認(rèn)證分為Open Relay和選擇轉(zhuǎn)發(fā)兩種。開(kāi)放轉(zhuǎn)發(fā)郵件服務(wù)器可以將所有收集到的電子郵件轉(zhuǎn)達(dá)到郵件的目的地之中；選擇轉(zhuǎn)發(fā)郵件服務(wù)器只對(duì)通過(guò)認(rèn)證的郵件進(jìn)行轉(zhuǎn)發(fā)，認(rèn)證方式分為基于IP地址和基于密鑰兩種。

垃圾郵件傳播通常借助Open Relay技術(shù)，垃圾郵件發(fā)送方通過(guò)對(duì)配置成Open Relay郵件服務(wù)器進(jìn)行主動(dòng)探測(cè)。一旦發(fā)現(xiàn)具有開(kāi)放轉(zhuǎn)發(fā)服務(wù)器，就會(huì)借助該服務(wù)器向其目標(biāo)郵件地址發(fā)送大量垃圾郵件。

2.2 開(kāi)放代理

代理技術(shù)主要是解決IP地質(zhì)資源不足、網(wǎng)絡(luò)無(wú)法直接訪問(wèn)等問(wèn)題。當(dāng)客戶端通過(guò)代理服務(wù)器訪問(wèn)網(wǎng)絡(luò)時(shí)，客戶端和代理服務(wù)器首先建立連接，客戶端向代理服務(wù)器發(fā)送數(shù)據(jù)請(qǐng)求，然后，服務(wù)器端將收到請(qǐng)求轉(zhuǎn)發(fā)到目的網(wǎng)站中。當(dāng)客戶端收到請(qǐng)求后，就將響應(yīng)內(nèi)容通過(guò)代理服務(wù)器轉(zhuǎn)發(fā)給客戶端。通常在客戶端與代理服務(wù)器通信時(shí)需要用戶認(rèn)證，只有通過(guò)認(rèn)證的用戶才有權(quán)通過(guò)代理服務(wù)器訪問(wèn)其他站點(diǎn)。但是有些不需要經(jīng)過(guò)驗(yàn)證的代理服務(wù)器，通常稱為開(kāi)放代理服務(wù)器。由于開(kāi)放代理服務(wù)器具有隱藏自身真實(shí)地址信息特征，它常常垃圾郵件發(fā)送者探測(cè)的重要目標(biāo)，通過(guò)探測(cè)到的開(kāi)放代理服務(wù)器轉(zhuǎn)發(fā)電子郵件。

3 基于蜜罐系統(tǒng)的郵件采集模型

郵件采集模型的基本思想是通過(guò) Honeyd蜜罐配置生成器構(gòu)建虛擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并將虛擬郵件和虛擬代理服務(wù)部署在蜜罐環(huán)境中，同時(shí)對(duì) Honeyd日志記錄存儲(chǔ)到系統(tǒng)中。當(dāng)訪問(wèn)者對(duì)蜜罐系統(tǒng)探測(cè)時(shí)，虛擬郵件和代理服務(wù)器會(huì)主動(dòng)對(duì)請(qǐng)求進(jìn)行響應(yīng)，使訪問(wèn)者能夠發(fā)現(xiàn)蜜罐主機(jī)所開(kāi)放的網(wǎng)絡(luò)服務(wù)，吸引訪問(wèn)者與蜜罐進(jìn)行通信。當(dāng)訪問(wèn)者利用虛擬郵件系統(tǒng)或代理服務(wù)器發(fā)送郵件時(shí)，虛擬蜜罐服務(wù)器會(huì)將收到的郵件發(fā)送轉(zhuǎn)發(fā)到郵件采集庫(kù)中。最后，管理員通過(guò)控制中心對(duì)采集到的郵件進(jìn)行郵件分類及郵件特征提取(如圖1)。

圖1 基于蜜罐系統(tǒng)的郵件采集模型

系統(tǒng)實(shí)現(xiàn)基本原理：

(1) Honeyd蜜罐技術(shù)，Honeyd支持IP協(xié)議簇，根據(jù)在蜜罐上配置的網(wǎng)絡(luò)服務(wù)，響應(yīng)網(wǎng)絡(luò)請(qǐng)求。當(dāng)網(wǎng)絡(luò)服務(wù)器發(fā)送響應(yīng)數(shù)據(jù)包時(shí)，Honeyd的個(gè)性化引擎會(huì)產(chǎn)生與所配置操作系統(tǒng)相匹配的網(wǎng)絡(luò)行為，這樣使得請(qǐng)求發(fā)送者認(rèn)為在同真實(shí)服務(wù)器通信。對(duì)于 Honeyd蜜罐系統(tǒng)來(lái)說(shuō)，它只通過(guò)模擬網(wǎng)絡(luò)堆棧并不提供真實(shí)服務(wù)，所以系統(tǒng)安全性較高，即使模擬的網(wǎng)絡(luò)服務(wù)被攻陷，也無(wú)法占用系統(tǒng)資源對(duì)主機(jī)的完全控制。同時(shí)，Honeyd日志模塊可以記錄所有網(wǎng)絡(luò)活動(dòng)，包括報(bào)告所有請(qǐng)求嘗試、完成連接數(shù)、請(qǐng)求源地址、目的地址、協(xié)議端口號(hào)等，為分析電子郵件發(fā)送方提供必要信息。

(2) 虛擬郵件服務(wù)器通過(guò)不斷監(jiān)聽(tīng)郵件服務(wù)器開(kāi)放端口，主動(dòng)對(duì)郵件發(fā)送請(qǐng)求進(jìn)行響應(yīng)。通常對(duì)于垃圾郵件發(fā)送方在發(fā)送垃圾郵件之前，都會(huì)檢測(cè)該郵件服務(wù)器是否滿足郵件轉(zhuǎn)發(fā)功能，通過(guò)發(fā)送一份給自己的郵件來(lái)探測(cè)郵件服務(wù)器。因此，該虛擬郵件服務(wù)器在轉(zhuǎn)發(fā)郵件時(shí)，對(duì)于同一 IP地址發(fā)送的郵件只允許第一份電子郵件轉(zhuǎn)發(fā)到真實(shí)郵件服務(wù)器之中，其他郵件都重定向到郵件采集庫(kù)中。

(3) 虛擬代理服務(wù)部署在蜜罐系統(tǒng)中，允許客戶端不經(jīng)過(guò)認(rèn)證就能登錄到代理服務(wù)器。當(dāng)客戶端向代理發(fā)送協(xié)商請(qǐng)求信息時(shí)，代理服務(wù)器對(duì)請(qǐng)求進(jìn)行響應(yīng)，誘導(dǎo)客戶端通過(guò)代理服務(wù)器進(jìn)行通信。該代理服務(wù)器只對(duì)郵件請(qǐng)求信息進(jìn)行代理，同時(shí)將客戶端發(fā)送的郵件通過(guò)虛擬郵件服務(wù)器轉(zhuǎn)發(fā)到郵件采集庫(kù)中。

(4) 郵件采集控制中心主要完成電子郵件解碼及郵件特征提取，附件管理等。電子郵件采用MIME規(guī)范，由郵件頭和郵件體兩部分組成。郵件頭部包括發(fā)件人、收件人、主題、日期等重要內(nèi)容。郵件體是用戶發(fā)送郵件主要內(nèi)容，由文本內(nèi)容和附件組成。常見(jiàn)的簡(jiǎn)單類型有 Text/Plain(純文本)和Text/Html(超文本)。對(duì)于Multipart類型，它用于表達(dá)MIME組合消息，是 MIME協(xié)議的重要類型。它分為三種類型：Multipart/Mixed、Multipart/Related 和 Multipart/Alternative。Multipart子類型之間定義各自的Boundary屬性，用于分段標(biāo)記。因此，在郵件解析過(guò)程中，通過(guò)對(duì)郵件內(nèi)容各部分解析實(shí)現(xiàn)對(duì)郵件分類管理、特征提取。

4 系統(tǒng)部署

在實(shí)驗(yàn)室中部署蜜罐環(huán)境，并搭建郵件采集系統(tǒng)作為試驗(yàn)平臺(tái)。蜜罐環(huán)境包括虛擬郵件服務(wù)器、虛擬代理服務(wù)器。同時(shí)將蜜罐部署主機(jī)中部署郵件采集庫(kù)，用于對(duì)郵件內(nèi)容的采集。具體過(guò)程：①將虛擬郵件服務(wù)器部署在模擬操作系統(tǒng)環(huán)境為Windows2003Server主機(jī)中，監(jiān)聽(tīng)TCP/25端口，并將該郵件服務(wù)器收到的郵件重定向到郵件采集庫(kù)中。②將虛擬代理服務(wù)器部署在模擬操作系統(tǒng)環(huán)境為L(zhǎng)inux的主機(jī)中，服務(wù)器監(jiān)聽(tīng) TCP/80端口，代理服務(wù)器將收到的對(duì)于郵件發(fā)送請(qǐng)求轉(zhuǎn)發(fā)到所部署的虛擬郵件服務(wù)器中。③啟動(dòng) Honeyd日志記錄，將互聯(lián)網(wǎng)中所有同蜜罐系統(tǒng)進(jìn)行交互的數(shù)據(jù)流量的源地址、目的地址、正在使用協(xié)議和端口信息記錄到郵件采集信息庫(kù)中(如圖2)。

圖2 Honeyd蜜罐配置環(huán)境

5 實(shí)驗(yàn)及分析

在系統(tǒng)部署蜜罐環(huán)境后，用戶可以通過(guò)telnet方式登錄虛擬郵件系統(tǒng)，并完成發(fā)送郵件所要完成命令，如HELO、MAIL 、DATA等命令，實(shí)現(xiàn)用戶對(duì)開(kāi)放轉(zhuǎn)發(fā)郵件服務(wù)器的測(cè)試。當(dāng)用戶使用telnet方式登錄虛擬代理服務(wù)器發(fā)送垃圾郵件時(shí)，可以實(shí)現(xiàn)轉(zhuǎn)發(fā)電子郵件到郵件采集庫(kù)中。對(duì)于通過(guò)這兩種方式采集到的電子郵件，郵件控制中心可以對(duì)郵件進(jìn)行綜合分析，實(shí)現(xiàn)郵件特征提取及附件管理。

6 結(jié)束語(yǔ)

本文在現(xiàn)有蜜罐技術(shù)基礎(chǔ)上提出了垃圾郵件采集新方法，一方面，該采集方法不僅便于虛擬服務(wù)器廣泛部署，而且可以節(jié)省部署真實(shí)郵件服務(wù)器帶來(lái)的高成本。另一方面，這種郵件采集方式比傳統(tǒng)通過(guò)捕獲數(shù)據(jù)包方式收集電子郵件的方法，更具有覆蓋面廣、收集方式多樣、郵件完整性好的特點(diǎn)?？傊?，這種郵件采集方式有效的解決了現(xiàn)有郵件樣本庫(kù)內(nèi)容單一、更新速度慢、實(shí)時(shí)更新性差、覆蓋范圍局限，為提高郵件過(guò)濾的準(zhǔn)確性和效率提供了必要的數(shù)據(jù)支持。

今后該系統(tǒng)需要進(jìn)一步完善的工作是：提高蜜罐系統(tǒng)隱藏性和仿真性，防止攻擊者發(fā)現(xiàn)正在通信的服務(wù)器為虛擬服務(wù)器。

[1]李建,劉克勝,揭攝.一種獲取電子郵件的“蜜罐”系統(tǒng)研究[J].安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報(bào).2004.

[2]肖道舉,李寧,陳曉蘇,熊兵.基于網(wǎng)絡(luò)數(shù)據(jù)包的郵件信息獲取技術(shù)研究[J].微計(jì)算機(jī)信息.2007.

[3]張浩軍,李景峰等.虛擬蜜罐:從僵尸網(wǎng)絡(luò)追蹤入侵檢測(cè)[M].北京:中國(guó)水利水電出版社.2011.

[4]胡文,黃皓.蜜罐重定向機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)[J].微計(jì)算機(jī)信息.2006.