基于蜜罐系統的垃圾郵件采集技術研究

宋士超

中國人民公安大學 北京 100038

0 引言

眾所周知，隨著互聯網技術的快速發(fā)展，垃圾郵件日益泛濫，這不僅增加互聯網的負擔，浪費了帶寬資源，而且嚴重影響社會穩(wěn)定和個人信息安全。在我國電子郵箱用戶平均每周收到的垃圾郵件數目為16.7封，其中垃圾郵件所占比例為 35.6%。如何有效的抑制垃圾郵件的傳播，成為當前研究的重點。當前電子郵件過濾技術采用基于規(guī)則和基于統計的過濾方法，這兩種技術在執(zhí)行時需要對大規(guī)模的樣本知識庫進行學習。然而，現有郵件樣本庫內容單一、更新速度慢、實時更新性差、覆蓋范圍局限，這直接制約著對垃圾郵件過濾準確性和效率，因此，增強郵件采集庫數據量與更新速率，成為打擊垃圾郵件的前提條件。為了解決上述問題，本文對垃圾郵件樣本采集方法做了深入研究，提出了基于蜜罐系統的垃圾郵件采集技術。

1 蜜罐技術

蜜罐技術是指在計算機系統中，利用虛擬網絡服務或者自身存在漏洞的操作系統引誘攻擊者對系統進行攻擊和入侵，從而獲得系統攻擊者攻擊目的以及攻擊手段的技術。同時，蜜罐技術還具有混淆攻擊者攻擊目標的能力，保證真實服務主機的正常運行。根據蜜罐部署方式不同，蜜罐系統分為高交互蜜罐和低交互蜜罐兩種。

1.1 高交互蜜罐

高交互蜜罐是部署在真實主機上提供真實操作系統及網絡服務，為黑客提供了一個開放的攻擊平臺。對于高交互蜜罐主機來說，它除了運行系統上的正常守護進程或服務外，不運行任何操作也不產生任何網絡流量。這樣任何與高交互蜜罐進行的交互活動都是可疑的，安全管理員更具這些信息掌握黑客攻擊方式、攻擊工具以及發(fā)現系統漏洞。高交互蜜罐缺點主要是成本高、信息維護量大、風險高。

1.2 低交互蜜罐

低交互蜜罐通常安裝在一臺主機中，通過模擬操作系統、網絡服務、系統漏洞等，使得攻擊者能夠探測到虛擬蜜罐主機并與其進行有效的系統交互。對于低交互蜜罐來說，由于它是通過模擬網絡協議棧實現服務模擬，因此其具有更小的機會被攻陷，同時可以模擬虛擬網絡拓撲結構，使蜜罐系統更加真實可信。

2 郵件采集原理

2.1 郵件開放轉發(fā)

簡單郵件傳輸協議(SMTP)是提供可靠且高效的電子郵件傳輸的應用層協議。在郵件通信的過程中，SMTP客戶端向SMTP服務器端發(fā)送郵件傳送請求，當郵件服務器允許接收郵件，郵件就會成功發(fā)送。對于接收郵件的服務器來說，它可能是最終郵件服務器、也可能是中轉郵件服務器。

中轉郵件服務器按照郵件轉發(fā)過程中是否需要認證分為Open Relay和選擇轉發(fā)兩種。開放轉發(fā)郵件服務器可以將所有收集到的電子郵件轉達到郵件的目的地之中；選擇轉發(fā)郵件服務器只對通過認證的郵件進行轉發(fā)，認證方式分為基于IP地址和基于密鑰兩種。

垃圾郵件傳播通常借助Open Relay技術，垃圾郵件發(fā)送方通過對配置成Open Relay郵件服務器進行主動探測。一旦發(fā)現具有開放轉發(fā)服務器，就會借助該服務器向其目標郵件地址發(fā)送大量垃圾郵件。

2.2 開放代理

代理技術主要是解決IP地質資源不足、網絡無法直接訪問等問題。當客戶端通過代理服務器訪問網絡時，客戶端和代理服務器首先建立連接，客戶端向代理服務器發(fā)送數據請求，然后，服務器端將收到請求轉發(fā)到目的網站中。當客戶端收到請求后，就將響應內容通過代理服務器轉發(fā)給客戶端。通常在客戶端與代理服務器通信時需要用戶認證，只有通過認證的用戶才有權通過代理服務器訪問其他站點。但是有些不需要經過驗證的代理服務器，通常稱為開放代理服務器。由于開放代理服務器具有隱藏自身真實地址信息特征，它常常垃圾郵件發(fā)送者探測的重要目標，通過探測到的開放代理服務器轉發(fā)電子郵件。

3 基于蜜罐系統的郵件采集模型

郵件采集模型的基本思想是通過 Honeyd蜜罐配置生成器構建虛擬網絡拓撲結構，并將虛擬郵件和虛擬代理服務部署在蜜罐環(huán)境中，同時對 Honeyd日志記錄存儲到系統中。當訪問者對蜜罐系統探測時，虛擬郵件和代理服務器會主動對請求進行響應，使訪問者能夠發(fā)現蜜罐主機所開放的網絡服務，吸引訪問者與蜜罐進行通信。當訪問者利用虛擬郵件系統或代理服務器發(fā)送郵件時，虛擬蜜罐服務器會將收到的郵件發(fā)送轉發(fā)到郵件采集庫中。最后，管理員通過控制中心對采集到的郵件進行郵件分類及郵件特征提取(如圖1)。

圖1 基于蜜罐系統的郵件采集模型

系統實現基本原理：

(1) Honeyd蜜罐技術，Honeyd支持IP協議簇，根據在蜜罐上配置的網絡服務，響應網絡請求。當網絡服務器發(fā)送響應數據包時，Honeyd的個性化引擎會產生與所配置操作系統相匹配的網絡行為，這樣使得請求發(fā)送者認為在同真實服務器通信。對于 Honeyd蜜罐系統來說，它只通過模擬網絡堆棧并不提供真實服務，所以系統安全性較高，即使模擬的網絡服務被攻陷，也無法占用系統資源對主機的完全控制。同時，Honeyd日志模塊可以記錄所有網絡活動，包括報告所有請求嘗試、完成連接數、請求源地址、目的地址、協議端口號等，為分析電子郵件發(fā)送方提供必要信息。

(2) 虛擬郵件服務器通過不斷監(jiān)聽郵件服務器開放端口，主動對郵件發(fā)送請求進行響應。通常對于垃圾郵件發(fā)送方在發(fā)送垃圾郵件之前，都會檢測該郵件服務器是否滿足郵件轉發(fā)功能，通過發(fā)送一份給自己的郵件來探測郵件服務器。因此，該虛擬郵件服務器在轉發(fā)郵件時，對于同一 IP地址發(fā)送的郵件只允許第一份電子郵件轉發(fā)到真實郵件服務器之中，其他郵件都重定向到郵件采集庫中。

(3) 虛擬代理服務部署在蜜罐系統中，允許客戶端不經過認證就能登錄到代理服務器。當客戶端向代理發(fā)送協商請求信息時，代理服務器對請求進行響應，誘導客戶端通過代理服務器進行通信。該代理服務器只對郵件請求信息進行代理，同時將客戶端發(fā)送的郵件通過虛擬郵件服務器轉發(fā)到郵件采集庫中。

(4) 郵件采集控制中心主要完成電子郵件解碼及郵件特征提取，附件管理等。電子郵件采用MIME規(guī)范，由郵件頭和郵件體兩部分組成。郵件頭部包括發(fā)件人、收件人、主題、日期等重要內容。郵件體是用戶發(fā)送郵件主要內容，由文本內容和附件組成。常見的簡單類型有 Text/Plain(純文本)和Text/Html(超文本)。對于Multipart類型，它用于表達MIME組合消息，是 MIME協議的重要類型。它分為三種類型：Multipart/Mixed、Multipart/Related 和 Multipart/Alternative。Multipart子類型之間定義各自的Boundary屬性，用于分段標記。因此，在郵件解析過程中，通過對郵件內容各部分解析實現對郵件分類管理、特征提取。

4 系統部署

在實驗室中部署蜜罐環(huán)境，并搭建郵件采集系統作為試驗平臺。蜜罐環(huán)境包括虛擬郵件服務器、虛擬代理服務器。同時將蜜罐部署主機中部署郵件采集庫，用于對郵件內容的采集。具體過程：①將虛擬郵件服務器部署在模擬操作系統環(huán)境為Windows2003Server主機中，監(jiān)聽TCP/25端口，并將該郵件服務器收到的郵件重定向到郵件采集庫中。②將虛擬代理服務器部署在模擬操作系統環(huán)境為Linux的主機中，服務器監(jiān)聽 TCP/80端口，代理服務器將收到的對于郵件發(fā)送請求轉發(fā)到所部署的虛擬郵件服務器中。③啟動 Honeyd日志記錄，將互聯網中所有同蜜罐系統進行交互的數據流量的源地址、目的地址、正在使用協議和端口信息記錄到郵件采集信息庫中(如圖2)。

圖2 Honeyd蜜罐配置環(huán)境

5 實驗及分析

在系統部署蜜罐環(huán)境后，用戶可以通過telnet方式登錄虛擬郵件系統，并完成發(fā)送郵件所要完成命令，如HELO、MAIL 、DATA等命令，實現用戶對開放轉發(fā)郵件服務器的測試。當用戶使用telnet方式登錄虛擬代理服務器發(fā)送垃圾郵件時，可以實現轉發(fā)電子郵件到郵件采集庫中。對于通過這兩種方式采集到的電子郵件，郵件控制中心可以對郵件進行綜合分析，實現郵件特征提取及附件管理。

6 結束語

本文在現有蜜罐技術基礎上提出了垃圾郵件采集新方法，一方面，該采集方法不僅便于虛擬服務器廣泛部署，而且可以節(jié)省部署真實郵件服務器帶來的高成本。另一方面，這種郵件采集方式比傳統通過捕獲數據包方式收集電子郵件的方法，更具有覆蓋面廣、收集方式多樣、郵件完整性好的特點。總之，這種郵件采集方式有效的解決了現有郵件樣本庫內容單一、更新速度慢、實時更新性差、覆蓋范圍局限，為提高郵件過濾的準確性和效率提供了必要的數據支持。

今后該系統需要進一步完善的工作是：提高蜜罐系統隱藏性和仿真性，防止攻擊者發(fā)現正在通信的服務器為虛擬服務器。

[1]李建,劉克勝,揭攝.一種獲取電子郵件的“蜜罐”系統研究[J].安徽電子信息職業(yè)技術學院學報.2004.

[2]肖道舉,李寧,陳曉蘇,熊兵.基于網絡數據包的郵件信息獲取技術研究[J].微計算機信息.2007.

[3]張浩軍,李景峰等.虛擬蜜罐:從僵尸網絡追蹤入侵檢測[M].北京:中國水利水電出版社.2011.

[4]胡文,黃皓.蜜罐重定向機制的設計與實現[J].微計算機信息.2006.