THE E-MAIL HONEYPOT SYSTEM–CONCEPT,IMPLEMENTATION AND .pptVIP

THE E-MAIL HONEYPOT SYSTEM –CONCEPT, IMPLEMENTATION AND FIELD TEST RESULTS 作者：Rathgeb, EP Hoffstadt, D 出處： Second International Conference on the Digital Society 年份：2008 報告人：葉志鴻 OUTLINE Abstract Introduction and motivation Concept and implementation of the EHS Experiences from a long term field test Conclusion and outlook * ABSTRACT 在實驗中實作” “E-Mail Honeypot System”(EHS)電子郵件的蜜罐系統。 目的希望對垃圾郵件能夠自動接收、分類、分析和存檔。 進行實驗來驗證EHS的可行性，並對垃圾郵件進行分析與反制。 * HONEYPOT Honeypot(蜜罐)?通常是指一種誘捕系統，可以對未經授權或非法的存取進行偵測、誘捕或反制。 Honeypot可以是任何的資訊系統資源，如：伺服器、工作站、印表機及路由器或其他網路設備等。 使用Honeypot的目的大概如下 早期預警 偵測新型威脅 了解敵人攻擊手法 深層防禦 電腦犯罪取證 * INTRODUCTION AND MOTIVATION(1/2) 電子郵件在現今的企業與個人使用，已是重要的通訊方式。 根據賽門鐵克在數個國家研究中指出，約有六成以上的電子郵件是垃圾郵件。 大多垃圾郵件有詐騙或破壞電腦資料的企圖，因此觀察垃圾郵件的活動，能夠將其反制。 * INTRODUCTION AND MOTIVATION(2/2) 因此研究建立了自動化的收集、分類、分析垃圾郵件的系統。 該系統能夠在無人的操作中，長時間的運作，並且不造成安全上的疑慮。 * CONCEPT AND IMPLEMENTATION OF THE EHS 基本的想法是利用不同的方法，在網路上公開提供一個郵件伺服器，然後利用郵件伺服器來收集轉寄郵件與垃圾郵件，並儲存、自動分析。 接著進一步的分析、檢查、測試郵件裡包含的本文、超連結、附加檔案等(但不包含圖片)，並將分析出的資訊加入到資料庫中。 * 系統架構 * 圖1：E-Mail Honeypot System 圖1講解 EHS執行在一台安裝LINUX的標準PC裡，並連結工用的防火牆，且只打開SMPT接收(25PORT)、發送用的DNS(53PORT)、遠端管理(22PORT)。 虛擬蜜罐系統則用VMWARE安裝XP PRO SP2 因為這是大多數惡意軟體攻擊的對象。 虛擬蜜罐在一個虛擬的子網路下，並連接到LINUX的虛擬接口，並使用iptables防火牆防止可能的攻擊。 虛擬蜜罐的主要功能是自動開啟垃圾郵件的內容，發現以前未知的惡意軟體。 虛擬蜜罐可以藉由EHS系統反應來管理，進行開起、關閉、還原等等。 * 郵件接收的流程 收到信件後會轉發到Amavisd進行掃描，並觸發SpamAssassin模組進行過濾分類。 在這過程中會經由?Sophos和BitDefender兩種防毒程式的掃描。 藉由IMAP協定中的IMAP資料夾作為緩衝區。 * 圖2：郵件在EHS中的評估流程 郵件的評估流程 * 圖2說明 一但郵件被選進來進行評估，第一部會進行提取信件的標題、檢查是否帶有病毒，並建立一個新的數據儲存在DB中。 接著會檢查是否有附件，假如有便執行病毒掃描，假如有便會將其訊息儲存在DB中。 最後會掃描檢查超連結，並將結果儲存在BD中以供下次比對用。 * EXPERIENCES FROM A LONG TERM FIELD TEST 研究從2005年12月25日開始到2007年1月10日結束。 約在2005/12/26發布電子郵件的地址，開始收到信件約是在2006/1/19，郵件從每天約10封道每天120封。 * 圖3：實驗中每天所接收到的信件 郵件分類 實驗期間共收到19,242封郵件，並分析郵件內容分類成下表1。 * 表1：郵件分類詳情 Ham：垃圾郵件一種，請求寄件的徵求信 Phishing：釣魚郵件 Malware：惡意軟體 TOP 5 垃圾郵件來源帳戶 經過分析後最多垃圾郵件的來源帳戶如表2 * 表2：垃圾郵件最多的來源帳戶名稱 垃圾郵件的起源伺服器 起源伺服器的列表 * 實驗分析 分析過這些垃圾郵件的來源後，發現許多垃圾郵件的來源伺服器、帳戶等等都是偽造的。 4151郵件使用動態 IP地址電子郵件伺服器。 推斷可能這些動態IP是殭屍網路中的被感染蠕蟲的電腦。 * 垃圾郵