邮件系统风险分析与预警技术研究

1. 邮件系统发展

随着互联网的迅速发展和普及，电子邮件已经成为整个互联网行业的重要组成部分。据不完全统计，Internet上每天传送的电子邮件达数十亿份。特别是有关日常信息沟通、企业商务信息交流、政府网上公文流转等商务活动和管理决策的信息传递，已经成为企业信息化和电子政务的基础。

电子邮件传递与其他网络使用方式有着根本区别，它不是一种“端到端”的

服务，而是一种“存储转发式”的服务。这是电子邮件系统的核心，利用存储转发可进行非实时通信，属异步通信方式。邮件系统通常保存着个人、企业及政府部门的大量敏感信息。

随着互联网技术的发展，电子邮件系统日趋“开放化”，邮件服务器通常部署在开放区域，再加上WebMail的使用频率大大增加，基于电子邮件传输文件、图像的方式也越来越普遍，给人们的工作和生活提供了极大的便利。

2. 安全风险分析

然而，电子邮件带来便利的同时，不安全的因素也越来越多，电子邮件系统面临着越来越多的信息欺骗、机密泄露、病毒入侵等各种各样的安全风险：

• 首先，基于电子邮件的的信息欺骗行为不断增加，攻击者通常会利用邮件钓鱼、伪造邮件头、发件人等信息的方式，通过社会工程学的方式发起攻击；

• 其次，基于WebMail的漏洞攻击成为邮箱攻击的最常用手段，大量的邮箱跨站、SQL注入、邮箱挂马等漏洞往往成为攻击者的目标，一旦攻击成功，整个邮件系统权限将受到威胁；

• 另外，基于邮件附件传输恶意文件的行为是邮件系统最严重的风险，携带病毒、蠕虫、木马等恶意文件的邮件一旦通过邮件系统传输到内网，后果不堪设想。

  
  

随着黑客技术的发展，邮件系统渐渐成为APT攻击惯于利用的攻击入口，攻击者通过各种更为先进的攻击方式，向邮件系统发起攻击，然后再以邮件服务器为跳板向内网渗透，给邮件系统和内网安全带来了巨大的风险，但目前还没有一个非常好的技术能完全检测这些攻击。

3. 安全建设思路

鉴于邮件系统的重要性，以及存在的安全风险和可能受到的APT攻击行为，我们需要对整体邮件系统的所有流量进行有效监控和深度分析，第一时间发现威胁行为并作出预警，最大程度降低可能遭受的危害。

多层次、全维度的风险检测技术是针对邮件系统风险的最佳解决思路，通过对邮件系统流量进行全维度的深度解析，发现所有的WebMail行为、邮件头信息、邮件内容信息及邮件附件内容，再利用WebMail攻击检测技术、异常访问检测技术、社工行为检测技术、恶意文件分析技术、动态行为分析技术和云端高级分析技术实现多层次的攻击行为分析，有效检测所有已知和未知的邮件系统风险，并及时做出预警，将风险的危害降低到最小。

3.1.   WebMail攻击检测

基于WebMail的攻击通常包括通用漏洞利用、异常访问和未知漏洞利用，所以针对WebMail的攻击检测机制我们主要通过WebMail通用漏洞攻击检测、异常访问攻击检测和关联动态分析，实现WebMail的全方位攻击检测。

3.1.1. 通用漏洞攻击检测

WebMail通用漏洞通常包括：跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入、命令注入等攻击，针对这些攻击常见检测方式就是特征匹配，检测不够全面，所以在检测基于通用漏洞攻击时不能仅仅依靠特征库。

静态脚本解析技术也是针对WebMail通用漏洞检测非常有效的机制，我们通过对邮件头的结构的分析，分离smtp协议中 html部分代码，并解析html的dom对象，对关键的触发节点进行分析，并将代码执行的结果进行静态分析，非法植入到Header、Form 和URL中的脚本将被发现，以此来定位和分析是否存在利用WebMail通用漏洞发起的攻击行为。

3.1.2. 异常访问检测技术

针对基于HTTP的邮件报文，利用多种解码技术，深入分析协议报文中的Web地址、请求头、协议类型、URL格式及Cookies等信息，通过对所有报文头和内容进行合规性检测，发现各种非法的畸形数据包报文。

针对邮箱的异常访问检测还可以通过对邮箱账户、密码、访问频度等各个维度进行分析，定位恶意攻击者。通过自学习的方式建立一个邮箱地址和访问IP的关联库，当出现异常IP访问后，就发送告警信息通过自学习方式建立在正常情况下的访问频度记录、密码错误率记录。当出现超过自学习生成的阀值后，即认为出现恶意攻击。。

3.1.3. 关联动态分析技术

通过对所WebMail行为进行持续跟踪，从源IP、目的IP、时间等多个纬度分析一段时间内的多个web动作，针对所有动作进行关联分析，对动态分析结果进行模型化处理，发现各种隐蔽的、未知的攻击行为，确保全面的发现WebMail层面的邮件攻击行为。

3.2.   邮件社工行为检测

发件人欺骗、邮件头欺骗、邮件钓鱼等基于社会工程学的攻击也是邮件系统最常见的攻击方式。

3.2.1. 发件人欺骗分析技术

邮件社工行为攻击通常会利用伪造发件人信息，来获取被攻击者的信任，欺骗用户点击指定的链接或者文件，一旦用户点击那么将出现被植入木马的情况。针对发件人欺骗的行为进行分析，发现伪造发件人必须通过伪造邮件服务器的方式实现，我们可以通过绑定邮件服务器IP地址，对于所有绑定IP地址的邮件服务器进行判断，以此发现发件人欺骗的攻击行为。

3.2.2. 邮件头欺骗分析技术

邮件头通常包含了邮件在传递过程中的所有信息，包括原始发件人、SMTP服务器、POP3服务器等信息，一旦攻击者通过修改邮件头方式进行欺骗行为，那么邮件头信息中的原始发件人将出现和Mail From字段发件人信息不一致的情况，我们通过对邮件头信息的有效检测、分析和判断发现邮件头欺骗的攻击行为。

3.2.3. 邮件钓鱼分析技术

邮件钓鱼是邮件攻击的最普遍的攻击方式，这种方式非常易于发起攻击，但是一旦受到攻击将出现非常严重的后果。对于邮件钓鱼行为，可以通过对所有邮件传输过程中携带的URL链接进行分析，并对URL链接进行模拟点击操作，分析打开URL过程中传回的数据，发现各种邮件钓鱼的恶意行为。

3.3.   恶意附件攻击检测

邮件附件通常是攻击者利用恶意文件发起攻击常用的方式，恶意的邮件附件通常包含病毒、木马、蠕虫等等，危害非常严重。

3.3.1. 静态检测技术

针对基于邮件附件的恶意文件攻击行为，首先需要通过全面的特征库进行快速判断，但仅仅只是通过文件MD5值判断存在较多的误判，我们在特征检测中引入了静态检测技术，对于含有二进制代码的shellcode文件进行模拟执行，判断执行结果对于系统造成的影响，通过对行为的分析发现各种0day攻击。

3.3.2. 动态沙箱技术

动态沙箱检测技术是目前对各种隐蔽恶意文件分析最好的机制，由于完全模拟用户实际操作系统环境，可以深入发现文件在运行过程中所有对系统进行的操作，但是仅仅通过对系统造成影响来判断往往存在较多误报，我们同时采用的加权值的分析技术，对于不同影响系统的行为分别进行不同级别的赋值，以最终加权计算的分值来判断是否存在恶意文件，极大的降低了误报。

   

3.4.   云端高级分析技术

基于WebMail的攻击方式发展非常迅速，各种未知的攻击方式也不断出现，针对不断变化的攻击方式，我们可以通过接入云端，借助云端平台进行分析。云端采用集群化管理，并通过自动模拟的方式进行高级分析。在一些高级环境中，可通过专业工程师进行分析，获得更精确的结果。并将这些结果转化为检测规则，及时应对最新的各种攻击方式。

沙发                             

网络已经变得不安全了