残缺邮件与完整邮件分离技术的研究.pdfVIP

NetSec2004 会议论文 残缺邮件与完整邮件分离技术的研究 张宇 刘挺 （哈尔滨工业大学，哈尔滨 150001） 摘 要：为了保障网络上信息的安全性，需要对网络中的邮件进行检测、封堵和拦截，在此过程中，会产生大量的 残缺邮件，这样会导致后续工作的分析负担加重。为了准确地对残缺邮件进行识别，本文在对 RFC 规范中对邮件格 式规范的分析的基础上，介绍了一种残缺邮件的识别方法，并进行了大量的实验，最后给出了实验结果及分析。 关键词：检测；封堵；残缺邮件； 中图分类号：TP393.098 1 引言 随着互联网应用的普及，电子邮件已逐渐成为现代社会通信的主要手段之一。但随之而来也产生了一些 安全性的问题，其中之一就是大量垃圾邮件的泛滥，这是目前世界各国所面对的一个共性问题。通过对网络 中的邮件进行监测和封堵，可以减少网络中群发邮件的数量。但是在此过程中，在拦截模块对邮件数据包进 行处理时，该数据包也同时进入了监测模块。这样对于一个垃圾邮件而言，在拦截指令发送之前所传送的邮 件数据包已经被监测模块所捕获，虽然后续的邮件内容已被拦截，但监测模块仍会将捕获到的内容进行还原， 由此导致监测模块还原所形成电子邮件将是残缺的。 残缺邮件与完整邮件混杂在一起，使得群发垃圾邮件自动发现算法的分析负担加重，性能下降，并容易 导致误判率的提高。为此需要进行有效的分离操作，将残缺邮件从分析目标集合中去除，以提高监测模块的 分析能力。 本文的组织如下，首先介绍了 RFC 中关于邮件的规范的定义，在此规范的基础上，本文的第三部分详细 介绍了残缺邮件与完整邮件分离的思路，第四部分给出了实验结果和性能测试结果。最后是本文的结论和下 一步的工作。 2 邮件的格式 [1] 根据RFC821 （Simple mail transfer protocol ） 、RFC822 （Standard for the Format of ARPA Internet Text [2] Messages ） 、RFC1521 （Mechanisms for Specifying and Describing the Format of Internet Message Bodies） [3]和RFC1522 （MIME (Multipurpose Internet Mail Extensions) Part Two: Message Header Extensions for Non-ASCII Text ）[4]中关于邮件规范的描述，我们对邮件的格式进行了详细的分析。 在 RFC 规范中，对邮件的格式进行了定义，包括邮件的字符集、邮件传送采用的协议、邮件头的格式等等。 邮件的书写格式和内容多种多样，有的邮件采用的是 HTML 格式书写的，有的邮件则是一般的文本方式，有的 带附件，有的不带附件……。这样，如何区分一个邮件是完整的还是残缺的呢？在 RFC 的关于邮件的规范中， 对邮件头的格式有着很详细的定义。本文中所采用的方法就主要是根据邮件头中 Content-type 的信息来进行判断 的。 由于邮件格式的多样性，RFC1521 种对 MIME 的邮件进行了详尽的定义和说明。邮件的头部包含邮件的发 送者地址、邮件接收者地址、邮件的主题、邮件内容的类型 （Content-type ）等信息。由于邮件是否完整主要是看 邮件的内容是否完整，这样判断过程中发送者地址、接收者地址、邮件的主题等信息的利用价值不大。下面简要 介绍一下 Content-type 的定义和说明。 Text Content Type 这种类型的邮件中，邮件的内容是以文本的形式进行发送的，也是缺省的类型。该类型有两种主要的字类型， NetSec2004 会议论文 一种是“text/plain ”，另一种是“text/html ”。在“text/plain ”中，邮件的正文是以非格式化文本的方式表达的； “text/html ”中，邮件的正文是以格式化文本进行表达的。