基于数据分析的邮件系统安全.docVIP

基于数据分析的邮件系统安全 　　【 摘 要 】 邮件系统作为大多政府、学校、企业等机构的重要通信方式，同时也面临着各种被攻击的风险。论文结合针对邮件系统常见攻击行为和方式，基于流量监控和数据协议分析方法，从OSI七层协议分析邮件系统攻击行为和安全性。 　　【 关键词 】 邮件安全；协议分析；攻击行为 　　【 Abstract 】 The e-mail system， as an important communication approach of most government， universities， companies and etc.， always faces the risk of being attacked. Thus， this study focusing on the common and primary e-mail attach behavior and manner， using traffic monitoring and data protocol analysis method， analyzed the e-mail system attach behavior and security through OSI seven-layer protocol. 　　【 Keywords 】 e-mail security； protocol analysis； network attacks 　　1 引言 　　邮件系统因其架构特点，使用人员分散，所以针对邮件业务的攻击可以直接选择邮件服务器，也可以选择使用邮件的用户。常见针对邮件业务的攻击包括暴力破解、仿冒监听、端口扫描、爬虫攻击、漏洞扫描、泛洪攻击、钓鱼邮件、邮件炸弹、垃圾邮件、管理权限的攻击等等。攻击的最终目的是获取部分甚至全部用户的邮件通信内容、目标核心数据库等。针对邮件系统的各种攻击行为和不安全因素，通过监控数据流量的各种通信协议基本可以识别各种攻击行为、判定不安全因素。为更加准确识别邮件攻击行为和快速建立分析模型，我们把邮件通信协议和常见邮件攻击协议建立OSI七层网络模型，分别在物理层、链路层、网络层、传输层、会话层、表示层、应用层提取分析方法，最终进行联动判断。 　　2 邮件系统安全概述 　　邮件通信常见协议有SMTP、POP3、IMAP、HTTP、SMTPS、POP3S、IMAPS、HTTPS。针对常见邮件协议和其他可能会被攻击的协议，基于OSI七层模型，分析内容如表1所示。 　　3 SMTP/POP3/IMAP/HTTP协议分析 　　3.1 端口合理性 　　SMTP/POP3/IMAP/HTTP协议端口分别为TCP25（587）/110/143/80，前4个端口均为邮件服务器所开端口，其它办公机器、服务器因不提供邮件业务，一般情况下不应开放这4个端口，如在其通信数据中发现TCP25（587）/110/143数据，可能为扫描等探测行为数据。 　　3.2 IP地址合理性 　　邮件服务器属于机构内部通信系统，原则上仅为内部员工使用。员工使用邮件系统一般在4个地理位置：机构内部、家庭、出差和移动终端，使用邮件通信的IP地址应在这4个范围内。由于邮件通信仅靠用户名、口令进行认证，无法从IP地址的合理性就能确认为攻击行为。如发现有可疑IP地址，需进一步和用户是否出差、是否使用VPN、邮件代收转发等行为综合判断。结合社会工程学、邮件常见攻击行为，有三种情况为攻击行为可能性较大：（1）一段时间内多个IP地址登录同一邮箱；（2）某IP地址（段）经长时间监控发现只有收邮件行为，无发邮件行为；（3）某IP地址登录邮箱后下载大量邮件。 　　3.3 认证过程合理性 　　邮箱认证一般都是基于邮箱名、口令进行认证，正常情况用户登录认证一般是一个IP登录一个邮箱、输入一次口令（如有输错，可能会输入几次）即可。常见非法认证过程包括三种情况：（1）同一IP地址登录多个员工邮箱（机构内部网络出口除外）；（2）猜试口令；（3）爆破口令。 　　能够识别非法认证的基础在于掌握POP3/SMTP/IMAP/HTTP协议正常认证数据格式。通过掌握常见正常认证数据格式后，就可以通过IP地址、认证输入信息、登录次数等进行综合判断认证过程是否合理，是否为攻击行为。 　　3.4 通信过程是否完整 　　邮件通信完整过程一般为：登录邮箱、收发邮件、退出登录，如果邮箱中无新邮件，可能无“收发邮件”过程。如果在通信数据中发现无登录过程、登录不成功、登陆后有其他非正常动作等均为异常行为，需进一步分析判断是否为攻击行为。 　　3.5 口令安全性 　　网络攻击一般从防范较弱的用户入手，所以仅仅保证服务器安全是不够的，应尽量保证所有使用邮件的用户安全。