Spampot基于分布式蜜罐的垃圾邮件捕获系统.pptxVIP

Spampot：基于分布式蜜罐的垃圾邮件捕获系统 清华大学计算机科学与技术系 郭军权 2012年7月 内容 邮件蜜罐技术介绍 Spampot系统的设计与特点 Spampot系统部署情况与数据分析 捕获数据情况统计 伪造或隐藏信息统计 典型测试邮件数据分析 僵尸网络的发现 下一步工作 邮件蜜罐技术介绍（一） 垃圾邮件（Spam）是描述未被请求的电子邮件的通用术语，巨大的商业利益驱动使垃圾邮件愈演愈烈。 目前，基于来源和基于内容的垃圾邮件过滤技术是两种非常有效的邮件过滤技术。为了能够有效过滤最新型的垃圾邮件，基于来源的垃圾邮件过滤方法需要不断更新黑名单地址库，而基于内容的过滤方法需要对新型垃圾邮件样本进行学习。 邮件蜜罐技术介绍（二） 黑名单技术的广泛应用，使得Spammer更倾向于使用开放中继（Open Relay）与开放代理（Open Proxy），来伪造发件人和隐藏真实的源IP地址信息，千方百计地改变邮件特征，突破邮件过滤技术的拦截和逃避追踪。 Spammer 受害用户 邮件蜜罐技术介绍（三） 理解垃圾邮件发送者的行为特征（Spammer behavior）是与垃圾邮件做长期斗争的关键一步。如何收集大量的垃圾邮件，是研究垃圾邮件发送者行为的首要任务。 传统的垃圾邮件收集方法难以及时搜集最新型的垃圾邮件样本。 邮件蜜罐技术以其主动防御特性受到越来越多的关注。 内容 反垃圾邮件及邮件蜜罐技术介绍 Spampot系统的设计与特点 Spampot系统部署情况与数据分析 捕获数据情况统计 伪造或隐藏信息统计 典型测试邮件数据分析 僵尸网络的发现 下一步工作 Spampot系统 Spampot系统是一个集成了开放中继与开放代理的分布式垃圾邮件蜜罐系统，建立了新型垃圾邮件样本库、垃圾邮件发送者源IP地址等黑名单库。 系统主要由蜜罐客户端和中心服务器端两部分组成。系统总体框架如下图所示。 Spampot系统框架设计与部署 Spampot系统的设计特点 Spampot系统的设计和部署有3个特色创新点： （1）开放中继蜜罐与开放代理蜜罐的集成； （2）针对Spammer和反垃圾邮件组织对Open Proxy、Open Relay的测试邮件，采用不同的应对策略； （3）Spampot蜜罐客户端的分布式部署使得数据采集更全面，而Spampot中心服务器的集中部署，使数据的存储和邮件的转发集中控制，最大限度的降低蜜罐系统带来的各种风险。 Spampot系统难点 解决了垃圾邮件蜜罐设计、实现、部署方面的几个难点： （1）如何诱骗Spammer，使其发现并使用Spampot系统发送大量垃圾邮件。 （2）Spampot系统如何防止被Spammer滥用。 （3）如何防止Spampot系统的IP地址被黑名单组织或邮件服务商列入黑名单。 内容 反垃圾邮件及邮件蜜罐技术介绍 Spampot系统的设计与特点 Spampot系统部署情况与数据分析 捕获数据情况统计 伪造或隐藏信息统计 典型测试邮件数据分析 僵尸网络的发现 下一步工作 Spampot部署情况 清华大学网络与信息安全实验室分别在教育网（CERNET）、清华大学、北京大学、北京网通和美国租用主机共部署了7个Spampot邮件蜜罐客户端，部署以来，记录了来自2,138个IP地址的546,001次的开放中继和开发代理扫描行为，并捕获了发往71万个目的邮箱的103,499份垃圾邮件样本。 垃圾邮件发送源情况 垃圾邮件发送源情况 捕获攻击数据情况统计 数据类型 数量 SMTP连接数量 172,099 协议比例 （Open Relay/HTTP Proxy/SOCKS） 1.3%/46.1%/52.4% 请求转发邮件的连接数量 103,499 恶意源IP地址数量 2,138 邮件的收件人次数 944,919 不同的收件人数量 718,849 不同的目标域名数量 3,447 捕获数据情况统计 捕获数据情况统计 接收邮件的域名情况 1、80.5%的域名仅接收了一封邮件。 2、97.5%的域名接收邮件少于10份; 3、超过100封的域名仅有21个，占总域名的0.6%。 4、有三个域名.tw、和接收了95.76%的邮件。 Spammer伪造或隐藏信息统计 伪造或隐藏信息类型 比例（百分百） 伪造发件人源IP地址 69.5 伪造发件人邮件地址 40.7 伪造或隐藏收件人邮件地址 80.7 邮件正文使用网页 88.9 邮件中使用编码的URL 70.2 邮件中使用图片传递信息 2.7 经过大量的数据分析发现，Spammer使用了各种伪装与混淆技术手段来改变垃圾邮件的特征。 邮件源发送的邮件数量分类 从每个垃圾邮件源发送的邮件数量来看，可以将Spammer分为两类： 发送巨量邮件的Spammer，它在一段较短的时间内通过一个主