電子郵件欺騙的檢測與識別

楊光宇 蘆雅歌 莫德銘 葉海天 翟繼強(qiáng)

摘要：電子郵件欺騙是最常見的電子郵件攻擊類型，其攻擊及檢測是電子郵件取證研究中一個具有挑戰(zhàn)性的問題。提出利用內(nèi)存取證技術(shù)來獲取瀏覽器的實(shí)時進(jìn)程提取電子郵件頭進(jìn)行分析，采用Message-ID檢測，結(jié)合nslookup查詢提取MX記錄來檢測和識別用戶收到的偽造電子郵件。實(shí)驗(yàn)測試和分析結(jié)果表明，可以有效檢測電子郵件欺騙，精度高、誤報少，并且不會中斷機(jī)器的常規(guī)操作。

關(guān)鍵詞：電子郵件欺騙；內(nèi)存取證；Message-ID；MX記錄

中圖分類號：TP393文獻(xiàn)標(biāo)志碼：A文章編號：1008-1739（2021）17-57-4

0引言

在如今的數(shù)字時代，無論是在官方還是個人互動中，電子郵件都是日常交流的重要組成部分。電子郵件的保護(hù)和安全是一個具有挑戰(zhàn)性的命題[1]，因?yàn)楹唵梧]件傳輸協(xié)議（SMTP）用于在郵件服務(wù)器之間進(jìn)行郵件傳輸，傳統(tǒng)上是不安全的，所以電子郵件容易受到主動形式和被動形式的攻擊。電子郵件欺騙是最常見的電子郵件攻擊類型，通過操縱發(fā)件人的電子郵件地址來創(chuàng)建偽造郵件的過程，使得收件人誤認(rèn)為原始電子郵件來自真正的發(fā)件人。

目前，研究人員已經(jīng)提出了各種方法來應(yīng)對電子郵件欺騙帶來的挑戰(zhàn)，其中包括對電子郵件頭字段的時間和日期分析[2-3]、郵件內(nèi)容分析[4]、欺騙對策技術(shù)、基于SSL協(xié)議的反欺騙應(yīng)用[5]及電子郵件跟蹤器等。

本文提出的系統(tǒng)利用內(nèi)存取證技術(shù)，通過獲取測試機(jī)上正在運(yùn)行的瀏覽器進(jìn)程，并提取電子郵件頭進(jìn)行分析，采用Message-ID檢測，結(jié)合nslookup查詢提取MX記錄匹配來檢測和識別電子郵件欺騙攻擊。

1內(nèi)存取證技術(shù)

內(nèi)存取證作為計算機(jī)取證科學(xué)的重要分支，是指從計算機(jī)物理內(nèi)存和頁面交換文件中查找、提取、分析易失性內(nèi)存數(shù)據(jù)，是對傳統(tǒng)基于文件系統(tǒng)取證的重要補(bǔ)充，是對抗網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)犯罪的有力武器[6]。在內(nèi)存取證之前，需先對操作系統(tǒng)內(nèi)存進(jìn)行轉(zhuǎn)儲，獲取到的重要數(shù)據(jù)可作為證據(jù)，幫助取證分析人員偵破網(wǎng)絡(luò)犯罪或其他形式的網(wǎng)絡(luò)攻擊[7]。

將內(nèi)存取證技術(shù)應(yīng)用于電子郵件欺騙的檢測[8]，獲取客戶端的內(nèi)存轉(zhuǎn)儲來分析和識別偽造的電子郵件[9]，這種方法確實(shí)保證了不可否認(rèn)性，但是依賴于內(nèi)存大小。如果測試系統(tǒng)的內(nèi)存很大，整個過程需要大量的時間、存儲空間和其他資源來完成任務(wù)。故提出的方法只能獲取瀏覽器的進(jìn)程，而不是完整的內(nèi)存轉(zhuǎn)儲，減少了獲取時間、存儲需求和系統(tǒng)資源的利用率，由于該方法不涉及完整的內(nèi)存轉(zhuǎn)儲，因此獨(dú)立于硬件。

2設(shè)計與實(shí)現(xiàn)

本文提出的方法是定期在用戶計算機(jī)上監(jiān)測，當(dāng)用戶打開收件箱查看電子郵件，會導(dǎo)致電子郵件被加載到計算機(jī)內(nèi)存中。從實(shí)時內(nèi)存中獲取所有當(dāng)前運(yùn)行的瀏覽器進(jìn)程，并提取電子郵件頭，將提取的頭字段進(jìn)行匹配，以識別真正的和偽造的電子郵件。創(chuàng)建一個日志文件，其中包含所有已識別的偽造電子郵件列表。

2.1工作流程

系統(tǒng)工作操作步驟如下：

①用戶打開電子郵件閱讀，電子郵件被加載到內(nèi)存中。

②在實(shí)時內(nèi)存中獲取所有與瀏覽器相關(guān)聯(lián)的進(jìn)程，并保存在輔助存儲器中。

③STRINGS64的運(yùn)行是為了掃描和提取ASCII和UNICODE字符串。

④文件經(jīng)過過濾，提取出郵件頭，存儲在一個單獨(dú)的文件中。

⑤文件頭用作算法中的輸入數(shù)據(jù)集，以檢測偽造電子郵件。

⑥所有檢測到的偽造電子郵件都將作為記錄存儲在單獨(dú)的日志文件中。

2.2提取電子郵件頭

2.2.1獲取實(shí)時進(jìn)程

使用Magnets Process Capturing工具捕獲與電子郵件相關(guān)的實(shí)時進(jìn)程。該工具易于安裝、運(yùn)行速度快、獲取的進(jìn)程規(guī)模小、易于存儲在輔助設(shè)備上，可以選擇在設(shè)定的時間間隔獲取指定的進(jìn)程。由于很難從所有瀏覽器運(yùn)行的進(jìn)程中識別出確切的進(jìn)程，所以選擇獲取所有當(dāng)前運(yùn)行的瀏覽器進(jìn)程。

2.2.2提取郵件頭

利用Microsoft Strings64工具掃描獲取進(jìn)程轉(zhuǎn)儲文件，并將默認(rèn)長度為3個或更多字符的ASCII和UNICODE字符串作為輸出，存儲在一個文件中。然后，通過Findstr Search命令從上述步驟的輸出文件中提取郵件頭，并將該數(shù)據(jù)作為檢測電子郵件欺騙算法的輸入。

2.3檢測算法

通過電子郵件的通信遵循RFC 822的標(biāo)準(zhǔn)格式，電子郵件中的任何欺騙攻擊檢測都是基于對電子郵件頭的分析，常見且重要的郵件頭字段如表1所示。

為了正確檢測偽造電子郵件，采用了以下檢測方法：

①M(fèi)essage-ID檢測：從郵件頭中選擇From和Message-ID這2個基本的頭字段。然后將Message-ID字段的域名與From字段的域名進(jìn)行比較。該匹配對于建立電子郵件的完整性和真實(shí)性至關(guān)重要，兩字段域名互相匹配如圖1所示，兩字段域名不匹配如圖2所示。

②MX記錄匹配：當(dāng)一封真正的電子郵件Form字段域和Message-ID域匹配失敗時，基于Message-ID的方法就會失敗。通過實(shí)驗(yàn)測試發(fā)現(xiàn)，向電子郵件服務(wù)提供商雇傭或外包電子郵件服務(wù)的組織在Message-ID匹配方面失敗。比如G-suite，如果一個組織通過Google切換到G-suite，其郵件仍然會保留其父組織的域，但是由發(fā)送郵件的服務(wù)器生成的Message-ID會有Google域。當(dāng)此域名與發(fā)件人域名相比較時，將顯示為一封偽造的真實(shí)電子郵件。通過使用基于MX記錄的匹配，克服了這種基于Message-ID檢測的局限性。

MX記錄將電子郵件定向到郵件服務(wù)器。DNS中存在的資源記錄用于指定郵件服務(wù)器，該服務(wù)器將負(fù)責(zé)接收特定域的電子郵件。這些信息可以通過向DNS進(jìn)行正向nslookup查詢并存儲MX記錄以進(jìn)行域名匹配來提取。從域名系統(tǒng)獲取的典型MX記錄如圖3所示。

由于從MX記錄中獲得的域名不能被操縱，而是從DNS服務(wù)器上獲取的，所以可以視為一個可靠的信息來源。

本文提出的算法首先讀取進(jìn)程轉(zhuǎn)儲的頭文件，提取并比較From和Message-ID字段，以驗(yàn)證二者是否具有相同的域名。如果域名匹配，則認(rèn)為是真實(shí)郵件。如果不是，則進(jìn)行nslookup查詢從DNS服務(wù)器獲取MX記錄，MX記錄中的域名與Message-ID字段的域相匹配。如果匹配成功，認(rèn)為這是一封真正的電子郵件；如果匹配失敗，就確認(rèn)是該偽造的電子郵件并將From和Message-ID值寫入一個單獨(dú)的日志文件。

為了進(jìn)一步加快檢測過程并減少獲取記錄的時間延遲，維護(hù)了MX記錄的本地數(shù)據(jù)庫。該算法首先向本地數(shù)據(jù)庫查詢MX記錄，如果沒有找到，則查詢域名系統(tǒng)，并將該值存儲在本地數(shù)據(jù)庫中。

3實(shí)驗(yàn)測試與分析

3.1實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)在Windows10操作系統(tǒng)上使用Chrome瀏覽器來完成，硬件配置如表2所示。

測試中用戶同時收到了真?zhèn)?種類型的電子郵件，從常見和流行的電子郵件應(yīng)用發(fā)送了真實(shí)的電子郵件，通過提供匿名電子郵件服務(wù)網(wǎng)站向我的電子郵件ID發(fā)送了偽造的電子郵件。真實(shí)的郵件由Gamil，Yahoo，Rediffmail三種流行的電子郵件服務(wù)發(fā)送，偽造的電子郵件由Anonymailer發(fā)送。

3.2性能測試

通過Accuracy和F1-Score兩個指標(biāo)來評估本文提出方法的性能，參數(shù)包括郵件的真陽性（TP）、真陰性（TN）、假陽性（FP）和假陰性（FN）。

使用3個案例場景進(jìn)行測試，案例1發(fā)送了所有真實(shí)的電子郵件；案例2發(fā)送了所有偽造的電子郵件；案例3發(fā)送了二者都包含的混合郵件。對于這3種情況，本文提出方法的性能指標(biāo)分析如表3所示。

由表3可以看到，本文方法在真?zhèn)梧]件各占比50%的情況下Accuracy和F1-Score分別為98.04%和99.01%，說明準(zhǔn)確率還是非常高的，當(dāng)全部為欺騙郵件時，Accuracy和F1-Score分別為96.15%和99.01%，說明誤報率比較低。

3.3開銷分析

開銷分析是通過考慮系統(tǒng)資源利用率、處理開銷和時間來進(jìn)行的，測試數(shù)據(jù)包括中央處理器利用率、內(nèi)存利用率和磁盤利用率的平均值，以及程序執(zhí)行過程中所用的時間，如圖4所示。

由圖4可以看到，從獲取進(jìn)程內(nèi)存轉(zhuǎn)儲到檢測電子郵件欺騙并將其保存到日志文件的整個過程大約需要1 min，而相關(guān)的資源開銷比較低。

4結(jié)束語

內(nèi)存取證技術(shù)保證了用戶在物理內(nèi)存中的操作得以復(fù)現(xiàn)，本文利用內(nèi)存取證技術(shù)來獲取瀏覽器的實(shí)時進(jìn)程，提取電子郵件頭進(jìn)行分析，采用Message-ID檢測，結(jié)合nslookup查詢提取MX記錄來檢測和識別電子郵件欺騙。實(shí)驗(yàn)測試和分析結(jié)果表明，本文方法可以有效檢測電子郵件欺騙，精度高、誤報少，而開銷、資源消耗和對用戶系統(tǒng)正常運(yùn)行的干擾小，并且不會中斷機(jī)器的常規(guī)操作。

本文方法只在基于網(wǎng)絡(luò)的電子郵件系統(tǒng)上測試了電子郵件欺騙，未來的工作將是擴(kuò)展和包括電子郵件客戶端應(yīng)用程序，如Outlook和Thunderbird的檢測。另外，為了進(jìn)一步減少檢測時間，需要識別與電子郵件相關(guān)的瀏覽器的確切過程。

參考文獻(xiàn)

[1]張如旭.2021電子郵件安全的五大趨勢[J].計算機(jī)與網(wǎng)絡(luò)， 2021，47（1）：52-53.

[2] KOVEN J， BERTINI E， DUBOIS L，et al. InVest：Intelligent Visual Email Search and Triage[J]. Digtial Investigation， 2016，18（6）： S138-S148.

[3] SZDE Y. Covert Communication by Means of Email Spam： A Challenge for Digital Investigation[J]. Digtial Investigation， 2015，13（6）：72-79.

[4]劉奇?zhèn)?電子郵件真實(shí)性技術(shù)分析[J].計算機(jī)與網(wǎng)絡(luò)， 2015，41（2）：70-72.

[5] HU Hang， PENG Peng， WANG Gang. Towards Understanding the Adoption of Anti-spoofing Protocols in Email Systems[C]//Proceedings of 2018 IEEE Cyber Security Development Conference. Cambridge： IEEE， 2018：94-101.

[6]張瑜，劉慶中，李濤，等.內(nèi)存取證研究與進(jìn)展[J].軟件學(xué)報， 2015，26（5）：1151-1172.

[7] RAYMOND L. A Multidisciplinary Digital Forensic Investigation Process Model[J]. Business Horizons， 2016，59（6）：593-604.

[8] PARRA B， VEGETTI M ，LEONE H. Advances in the Application of Ontologies in the Area of Digtial Forensic Electronic Mail[J]. IEEE Latin America Transactions，2019，17（10）：1694-1705.

[9] JAY K， CRISTIAN F，HOSSEIN S. Lessons Learned Developing a Visual Analytics Solution for Investigative Analysis of Scamming Activities[J].IEEE Transactions on Visualization and Computer Graphics，2019，25（1）： 225-234.