宋士超

中國人民公安大學 北京 100038

0 引言

眾所周知，隨著互聯(lián)網(wǎng)技術的快速發(fā)展，垃圾郵件日益泛濫，這不僅增加互聯(lián)網(wǎng)的負擔，浪費了帶寬資源，而且嚴重影響社會穩(wěn)定和個人信息安全。在我國電子郵箱用戶平均每周收到的垃圾郵件數(shù)目為16.7封，其中垃圾郵件所占比例為 35.6%。如何有效的抑制垃圾郵件的傳播，成為當前研究的重點。當前電子郵件過濾技術采用基于規(guī)則和基于統(tǒng)計的過濾方法，這兩種技術在執(zhí)行時需要對大規(guī)模的樣本知識庫進行學習。然而，現(xiàn)有郵件樣本庫內(nèi)容單一、更新速度慢、實時更新性差、覆蓋范圍局限，這直接制約著對垃圾郵件過濾準確性和效率，因此，增強郵件采集庫數(shù)據(jù)量與更新速率，成為打擊垃圾郵件的前提條件。為了解決上述問題，本文對垃圾郵件樣本采集方法做了深入研究，提出了基于蜜罐系統(tǒng)的垃圾郵件采集技術。

1 蜜罐技術

蜜罐技術是指在計算機系統(tǒng)中，利用虛擬網(wǎng)絡服務或者自身存在漏洞的操作系統(tǒng)引誘攻擊者對系統(tǒng)進行攻擊和入侵，從而獲得系統(tǒng)攻擊者攻擊目的以及攻擊手段的技術。同時，蜜罐技術還具有混淆攻擊者攻擊目標的能力，保證真實服務主機的正常運行。根據(jù)蜜罐部署方式不同，蜜罐系統(tǒng)分為高交互蜜罐和低交互蜜罐兩種。

1.1 高交互蜜罐

高交互蜜罐是部署在真實主機上提供真實操作系統(tǒng)及網(wǎng)絡服務，為黑客提供了一個開放的攻擊平臺。對于高交互蜜罐主機來說，它除了運行系統(tǒng)上的正常守護進程或服務外，不運行任何操作也不產(chǎn)生任何網(wǎng)絡流量。這樣任何與高交互蜜罐進行的交互活動都是可疑的，安全管理員更具這些信息掌握黑客攻擊方式、攻擊工具以及發(fā)現(xiàn)系統(tǒng)漏洞。高交互蜜罐缺點主要是成本高、信息維護量大、風險高。

1.2 低交互蜜罐

低交互蜜罐通常安裝在一臺主機中，通過模擬操作系統(tǒng)、網(wǎng)絡服務、系統(tǒng)漏洞等，使得攻擊者能夠探測到虛擬蜜罐主機并與其進行有效的系統(tǒng)交互。對于低交互蜜罐來說，由于它是通過模擬網(wǎng)絡協(xié)議棧實現(xiàn)服務模擬，因此其具有更小的機會被攻陷，同時可以模擬虛擬網(wǎng)絡拓撲結構，使蜜罐系統(tǒng)更加真實可信。

2 郵件采集原理

2.1 郵件開放轉發(fā)

簡單郵件傳輸協(xié)議(SMTP)是提供可靠且高效的電子郵件傳輸?shù)膽脤訁f(xié)議。在郵件通信的過程中，SMTP客戶端向SMTP服務器端發(fā)送郵件傳送請求，當郵件服務器允許接收郵件，郵件就會成功發(fā)送。對于接收郵件的服務器來說，它可能是最終郵件服務器、也可能是中轉郵件服務器。

中轉郵件服務器按照郵件轉發(fā)過程中是否需要認證分為Open Relay和選擇轉發(fā)兩種。開放轉發(fā)郵件服務器可以將所有收集到的電子郵件轉達到郵件的目的地之中；選擇轉發(fā)郵件服務器只對通過認證的郵件進行轉發(fā)，認證方式分為基于IP地址和基于密鑰兩種。

垃圾郵件傳播通常借助Open Relay技術，垃圾郵件發(fā)送方通過對配置成Open Relay郵件服務器進行主動探測。一旦發(fā)現(xiàn)具有開放轉發(fā)服務器，就會借助該服務器向其目標郵件地址發(fā)送大量垃圾郵件。

2.2 開放代理

代理技術主要是解決IP地質(zhì)資源不足、網(wǎng)絡無法直接訪問等問題。當客戶端通過代理服務器訪問網(wǎng)絡時，客戶端和代理服務器首先建立連接，客戶端向代理服務器發(fā)送數(shù)據(jù)請求，然后，服務器端將收到請求轉發(fā)到目的網(wǎng)站中。當客戶端收到請求后，就將響應內(nèi)容通過代理服務器轉發(fā)給客戶端。通常在客戶端與代理服務器通信時需要用戶認證，只有通過認證的用戶才有權通過代理服務器訪問其他站點。但是有些不需要經(jīng)過驗證的代理服務器，通常稱為開放代理服務器。由于開放代理服務器具有隱藏自身真實地址信息特征，它常常垃圾郵件發(fā)送者探測的重要目標，通過探測到的開放代理服務器轉發(fā)電子郵件。

3 基于蜜罐系統(tǒng)的郵件采集模型

郵件采集模型的基本思想是通過 Honeyd蜜罐配置生成器構建虛擬網(wǎng)絡拓撲結構，并將虛擬郵件和虛擬代理服務部署在蜜罐環(huán)境中，同時對 Honeyd日志記錄存儲到系統(tǒng)中。當訪問者對蜜罐系統(tǒng)探測時，虛擬郵件和代理服務器會主動對請求進行響應，使訪問者能夠發(fā)現(xiàn)蜜罐主機所開放的網(wǎng)絡服務，吸引訪問者與蜜罐進行通信。當訪問者利用虛擬郵件系統(tǒng)或代理服務器發(fā)送郵件時，虛擬蜜罐服務器會將收到的郵件發(fā)送轉發(fā)到郵件采集庫中。最后，管理員通過控制中心對采集到的郵件進行郵件分類及郵件特征提取(如圖1)。

圖1 基于蜜罐系統(tǒng)的郵件采集模型

系統(tǒng)實現(xiàn)基本原理：

(1) Honeyd蜜罐技術，Honeyd支持IP協(xié)議簇，根據(jù)在蜜罐上配置的網(wǎng)絡服務，響應網(wǎng)絡請求。當網(wǎng)絡服務器發(fā)送響應數(shù)據(jù)包時，Honeyd的個性化引擎會產(chǎn)生與所配置操作系統(tǒng)相匹配的網(wǎng)絡行為，這樣使得請求發(fā)送者認為在同真實服務器通信。對于 Honeyd蜜罐系統(tǒng)來說，它只通過模擬網(wǎng)絡堆棧并不提供真實服務，所以系統(tǒng)安全性較高，即使模擬的網(wǎng)絡服務被攻陷，也無法占用系統(tǒng)資源對主機的完全控制。同時，Honeyd日志模塊可以記錄所有網(wǎng)絡活動，包括報告所有請求嘗試、完成連接數(shù)、請求源地址、目的地址、協(xié)議端口號等，為分析電子郵件發(fā)送方提供必要信息。

(2) 虛擬郵件服務器通過不斷監(jiān)聽郵件服務器開放端口，主動對郵件發(fā)送請求進行響應。通常對于垃圾郵件發(fā)送方在發(fā)送垃圾郵件之前，都會檢測該郵件服務器是否滿足郵件轉發(fā)功能，通過發(fā)送一份給自己的郵件來探測郵件服務器。因此，該虛擬郵件服務器在轉發(fā)郵件時，對于同一 IP地址發(fā)送的郵件只允許第一份電子郵件轉發(fā)到真實郵件服務器之中，其他郵件都重定向到郵件采集庫中。

(3) 虛擬代理服務部署在蜜罐系統(tǒng)中，允許客戶端不經(jīng)過認證就能登錄到代理服務器。當客戶端向代理發(fā)送協(xié)商請求信息時，代理服務器對請求進行響應，誘導客戶端通過代理服務器進行通信。該代理服務器只對郵件請求信息進行代理，同時將客戶端發(fā)送的郵件通過虛擬郵件服務器轉發(fā)到郵件采集庫中。

(4) 郵件采集控制中心主要完成電子郵件解碼及郵件特征提取，附件管理等。電子郵件采用MIME規(guī)范，由郵件頭和郵件體兩部分組成。郵件頭部包括發(fā)件人、收件人、主題、日期等重要內(nèi)容。郵件體是用戶發(fā)送郵件主要內(nèi)容，由文本內(nèi)容和附件組成。常見的簡單類型有 Text/Plain(純文本)和Text/Html(超文本)。對于Multipart類型，它用于表達MIME組合消息，是 MIME協(xié)議的重要類型。它分為三種類型：Multipart/Mixed、Multipart/Related 和 Multipart/Alternative。Multipart子類型之間定義各自的Boundary屬性，用于分段標記。因此，在郵件解析過程中，通過對郵件內(nèi)容各部分解析實現(xiàn)對郵件分類管理、特征提取。

4 系統(tǒng)部署

在實驗室中部署蜜罐環(huán)境，并搭建郵件采集系統(tǒng)作為試驗平臺。蜜罐環(huán)境包括虛擬郵件服務器、虛擬代理服務器。同時將蜜罐部署主機中部署郵件采集庫，用于對郵件內(nèi)容的采集。具體過程：①將虛擬郵件服務器部署在模擬操作系統(tǒng)環(huán)境為Windows2003Server主機中，監(jiān)聽TCP/25端口，并將該郵件服務器收到的郵件重定向到郵件采集庫中。②將虛擬代理服務器部署在模擬操作系統(tǒng)環(huán)境為Linux的主機中，服務器監(jiān)聽 TCP/80端口，代理服務器將收到的對于郵件發(fā)送請求轉發(fā)到所部署的虛擬郵件服務器中。③啟動 Honeyd日志記錄，將互聯(lián)網(wǎng)中所有同蜜罐系統(tǒng)進行交互的數(shù)據(jù)流量的源地址、目的地址、正在使用協(xié)議和端口信息記錄到郵件采集信息庫中(如圖2)。

圖2 Honeyd蜜罐配置環(huán)境

5 實驗及分析

在系統(tǒng)部署蜜罐環(huán)境后，用戶可以通過telnet方式登錄虛擬郵件系統(tǒng)，并完成發(fā)送郵件所要完成命令，如HELO、MAIL 、DATA等命令，實現(xiàn)用戶對開放轉發(fā)郵件服務器的測試。當用戶使用telnet方式登錄虛擬代理服務器發(fā)送垃圾郵件時，可以實現(xiàn)轉發(fā)電子郵件到郵件采集庫中。對于通過這兩種方式采集到的電子郵件，郵件控制中心可以對郵件進行綜合分析，實現(xiàn)郵件特征提取及附件管理。

6 結束語

本文在現(xiàn)有蜜罐技術基礎上提出了垃圾郵件采集新方法，一方面，該采集方法不僅便于虛擬服務器廣泛部署，而且可以節(jié)省部署真實郵件服務器帶來的高成本。另一方面，這種郵件采集方式比傳統(tǒng)通過捕獲數(shù)據(jù)包方式收集電子郵件的方法，更具有覆蓋面廣、收集方式多樣、郵件完整性好的特點?？傊?，這種郵件采集方式有效的解決了現(xiàn)有郵件樣本庫內(nèi)容單一、更新速度慢、實時更新性差、覆蓋范圍局限，為提高郵件過濾的準確性和效率提供了必要的數(shù)據(jù)支持。

今后該系統(tǒng)需要進一步完善的工作是：提高蜜罐系統(tǒng)隱藏性和仿真性，防止攻擊者發(fā)現(xiàn)正在通信的服務器為虛擬服務器。

[1]李建,劉克勝,揭攝.一種獲取電子郵件的“蜜罐”系統(tǒng)研究[J].安徽電子信息職業(yè)技術學院學報.2004.

[2]肖道舉,李寧,陳曉蘇,熊兵.基于網(wǎng)絡數(shù)據(jù)包的郵件信息獲取技術研究[J].微計算機信息.2007.

[3]張浩軍,李景峰等.虛擬蜜罐:從僵尸網(wǎng)絡追蹤入侵檢測[M].北京:中國水利水電出版社.2011.

[4]胡文,黃皓.蜜罐重定向機制的設計與實現(xiàn)[J].微計算機信息.2006.