基于蜜罐系统的垃圾邮件采集技术

2012.8

25

基于蜜罐系统的垃圾邮件

采集技术研究

宋士超

中国人民公安大学 北京 100038

摘要：当前垃圾邮件过滤技术主要采用基于内容和规则的过滤方式，对于这种过滤方式必须具有大规模的样本知识库才能提高邮件过滤的正确性。然而当前邮件样本知识库存在内容单一、实时性差、覆盖范围有限的特点，本文针对现有知识库不足提出了一种新型的基于蜜罐系统的垃圾邮件采集技术，通过在蜜罐环境中，配置开放转发邮件服务器、开放代理服务器实现垃圾邮件的有效采集，最后，在实验环境中对该采集系统进行了测试。

关键词：蜜罐系统；开放转发；采集系统

0 引言

众所周知，随着互联网技术的快速发展，垃圾邮件日益泛滥，这不仅增加互联网的负担，浪费了带宽资源，而且严重影响社会稳定和个人信息安全。在我国电子邮箱用户平均每周收到的垃圾邮件数目为16.7封，

其中垃圾邮件所占比例为35.6%。如何有效的抑制垃圾邮件的传播，成为当前研究的重点。当前电子邮件过滤技术采用基于规则和基于统计的过滤方法，这两种技术在执行时需要对大规模的样本知识库进行学习。然而，现有邮件样本库内容单一、更新速度慢、实时更新性差、覆盖范围局限，这直接制约着对垃圾邮件过滤准确性和效率，因此，增强邮件采集库数据量与更新速率，成为打击垃圾邮件的前提条件。为了解决上述问题，本文对垃圾邮件样本采集方法做了深入研究，提出了基于蜜罐系统的垃圾邮件采集技术。

1 蜜罐技术

蜜罐技术是指在计算机系统中，利用虚拟网络服务或者自身存在漏洞的操作系统引诱攻击者对系统进行攻击和入侵，从而获得系统攻击者攻击目的以及攻击手段的技术。同时，蜜罐技术还具有混淆攻击者攻击目标的能力，保证真实服务主机的正常运行。根据蜜罐部署方式不同，蜜罐系统分为高交互蜜罐和低交互蜜罐两种。

1.1 高交互蜜罐

高交互蜜罐是部署在真实主机上提供真实操作系统及网络服务，为黑客提供了一个开放的攻击平台。对于高交互蜜罐主机来说，它除了运行系统上的正常守护进程或服务外，不运行任何操作也不产生任何网络流量。这样任何与高交互蜜罐进行的交互活动都是可疑的，安全管理员更具这些信息掌握黑客攻击方式、攻击工具以及发现系统漏洞。高交互蜜罐缺点主要是成本高、信息维护量大、风险高。

1.2 低交互蜜罐

低交互蜜罐通常安装在一台主机中，通过模拟操作系统、网络服务、系统漏洞等，使得攻击者能够探测到虚拟蜜罐主机并与其进行有效的系统交互。对于低交互蜜罐来说，由于它是通过模拟网络协议栈实现服务模拟，因此其具有更小的机会被攻陷，同时可以模拟虚拟网络拓扑结构，使蜜罐系统更加真实可信。

2 邮件采集原理 2.1 邮件开放转发

简单邮件传输协议(SMTP)是提供可靠且高效的电子邮件传输的应用层协议。在邮件通信的过程中，SMTP 客户端向SMTP 服务器端发送邮件传送请求，当邮件服务器允许接收邮件，邮件就会成功发送。对于接收邮件的服务器来说，

2012.8

26它可能是最终邮件服务器、也可能是中转邮件服务器。

中转邮件服务器按照邮件转发过程中是否需要认证分为Open Relay 和选择转发两种。

开放转发邮件服务器可以将所有收集到的电子邮件转达到邮件的目的地之中；选择转发邮件服务器只对通过认证的邮件进行转发，认证方式分为基于IP 地址和基于密钥两种。

垃圾邮件传播通常借助Open Relay 技术，垃圾邮件发送方通过对配置成Open Relay 邮件服务器进行主动探测。一旦发现具有开放转发服务器，就会借助该服务器向其目标邮件地址发送大量垃圾邮件。

2.2 开放代理

代理技术主要是解决IP 地质资源不足、网络无法直接访问等问题。当客户端通过代理服务器访问网络时，客户端和代理服务器首先建立连接，客户端向代理服务器发送数据请求，然后，服务器端将收到请求转发到目的网站中。当客户端收到请求后，就将响应内容通过代理服务器转发给客户端。通常在客户端与代理服务器通信时需要用户认证，只有通过认证的用户才有权通过代理服务器访问其他站点。但是有些不需要经过验证的代理服务器，通常称为开放代理服务器。由于开放代理服务器具有隐藏自身真实地址信息特征，它常常垃圾邮件发送者探测的重要目标，通过探测到的开放代理服务器转发电子邮件。

3 基于蜜罐系统的邮件采集模型

邮件采集模型的基本思想是通过Honeyd 蜜罐配置生成器构建虚拟网络拓扑结构，并将虚拟邮件和虚拟代理服务部署在蜜罐环境中，同时对Honeyd 日志记录存储到系统中。当访问者对蜜罐系统探测时，虚拟邮件和代理服务器会主动对请求进行响应，使访问者能够发现蜜罐主机所开放的网络服务，吸引访问者与蜜罐进行通信。当访问者利用虚拟邮件系统或代理服务器发送邮件时，虚拟蜜罐服务器会将收到的邮件发送转发到邮件采集库中。最后，管理员通过控制中心对采集到的邮件进行邮件分类及邮件特征提取(如图1)。

图1 基于蜜罐系统的邮件采集模型

系统实现基本原理：

(1) Honeyd 蜜罐技术，Honeyd 支持IP 协议簇，根据在蜜罐上配置的网络服务，响应网络请求。当网络服务器发送响应数据包时，Honeyd 的个性化引擎会产生与所配置操作系统相匹配的网络行为，这样使得请求发送者认为在同真实服务器通信。对于Honeyd 蜜罐系统来说，它只通过模拟网络堆栈并不提供真实服务，所以系统安全性较高，即使模拟的网络服务被攻陷，也无法占用系统资源对主机的完全控制。同时，Honeyd 日志模块可以记录所有网络活动，包括报告所有请求尝试、完成连接数、请求源地址、目的地址、协议端口号等，为分析电子邮件发送方提供必要信息。

(2) 虚拟邮件服务器通过不断监听邮件服务器开放端口，主动对邮件发送请求进行响应。通常对于垃圾邮件发送方在发送垃圾邮件之前，都会检测该邮件服务器是否满足邮件转发功能，通过发送一份给自己的邮件来探测邮件服务器。因此，该虚拟邮件服务器在转发邮件时，对于同一IP 地址发送的邮件只允许第一份电子邮件转发到真实邮件服务器之中，其他邮件都重定向到邮件采集库中。

(3) 虚拟代理服务部署在蜜罐系统中，允许客户端不经过认证就能登录到代理服务器。当客户端向代理发送协商请求信息时，代理服务器对请求进行响应，诱导客户端通过代理服务器进行通信。该代理服务器只对邮件请求信息进行代理，同时将客户端发送的邮件通过虚拟邮件服务器转发到邮件采集库中。

(4) 邮件采集控制中心主要完成电子邮件解码及邮件特征提取，附件管理等。电子邮件采用MIME 规范，由邮件头和邮件体两部分组成。邮件头部包括发件人、收件人、主题、日期等重要内容。邮件体是用户发送邮件主要内容，由文本内容和附件组成。常见的简单类型有Text/Plain(纯文本)和

Text/Html(超文本)。对于Multipart 类型，它用于表达MIME 组合消息，是MIME 协议的重要类型。它分为三种类型：

Multipart/Mixed 、Multipart/Related 和Multipart/Alternative 。Multipart 子类型之间定义各自的Boundary 属性，用于分段标记。因此，在邮件解析过程中，通过对邮件内容各部分解析实现对邮件分类管理、特征提取。

4 系统部署

在实验室中部署蜜罐环境，并搭建邮件采集系统作为试

2012.8

27

验平台。蜜罐环境包括虚拟邮件服务器、虚拟代理服务器。同时将蜜罐部署主机中部署邮件采集库，用于对邮件内容的采集。具体过程：①将虚拟邮件服务器部署在模拟操作系统环境为Windows2003Server 主机中，监听TCP/25端口，并将该邮件服务器收到的邮件重定向到邮件采集库中。②将虚拟代理服务器部署在模拟操作系统环境为Linux 的主机中，服务器监听TCP/80端口，代理服务器将收到的对于邮件发送请求转发到所部署的虚拟邮件服务器中。③启动Honeyd 日志记录，将互联网中所有同蜜罐系统进行交互的数据流量的源地址、目的地址、正在使用协议和端口信息记录到邮件采集信息库中(如图2)。

图2 Honeyd 蜜罐配置环境

5 实验及分析

在系统部署蜜罐环境后，用户可以通过telnet 方式登录虚拟邮件系统，并完成发送邮件所要完成命令，如HELO 、

MAIL 、DATA 等命令，实现用户对开放转发邮件服务器的 测试。当用户使用telnet 方式登录虚拟代理服务器发送垃圾

邮件时，可以实现转发电子邮件到邮件采集库中。对于通过这两种方式采集到的电子邮件，邮件控制中心可以对邮件进行综合分析，实现邮件特征提取及附件管理。

6 结束语

本文在现有蜜罐技术基础上提出了垃圾邮件采集新方法，一方面，该采集方法不仅便于虚拟服务器广泛部署，而且可以节省部署真实邮件服务器带来的高成本。另一方面，这种邮件采集方式比传统通过捕获数据包方式收集电子邮件的方法，更具有覆盖面广、收集方式多样、邮件完整性好的特点。总之，这种邮件采集方式有效的解决了现有邮件样本库内容单一、更新速度慢、实时更新性差、覆盖范围局限，为提高邮件过滤的准确性和效率提供了必要的数据支持。

今后该系统需要进一步完善的工作是：提高蜜罐系统隐藏性和仿真性，防止攻击者发现正在通信的服务器为虚拟服务器。

参考文献

[1]李建,刘克胜,揭摄.一种获取电子邮件的“蜜罐”系统研究[J].安徽电子信息职业技术学院学报.2004. [2]肖道举,李宁,陈晓苏,熊兵.基于网络数据包的邮件信息获取技术研究[J].微计算机信息.2007.

[3]张浩军,李景峰等.虚拟蜜罐:从僵尸网络追踪入侵检测[M].北京:中国水利水电出版社.2011.

[4]胡文,黄皓.蜜罐重定向机制的设计与实现[J].微计算机信息.2006.

Research of spam acquisition technology based on the honeypot Song Shichao

Chinese People’s Public Security University,Beijing,100038,China

Abstract: Recently, the spam filtering technology, which mainly based on the rules of the content and filtration method for this kind of filtration method, must have a large of sample base to improve the correctness of the mail filtering. However, there exist some shortcomings of the current mail sample base, such as simplistic contents, bad real-time performance, limited coverage. This paper presents a new technology to acquisition mail through the honeypot environment. In the lab environment, we configure the open relay mail server and the open proxy server to acquisition the mail.

Keywords:Honeypot system;Open relay;Acquisit i on system