基于登录行为分析的失陷邮箱检测技术研究.pdf
《基于登录行为分析的失陷邮箱检测技术研究.pdf》由会员分享,可在线阅读,更多相关《基于登录行为分析的失陷邮箱检测技术研究.pdf(11页珍藏版)》请在咨信网上搜索。
1、收稿日期:网络出版时间:基金项目:中国科学院青年创新促进会();国家自然科学基金();中国科学院战略性先导科技专项项目(X D C );中国科学院网络测评技术重点实验室和网络安全防护技术北京市重点实验室资助作者简介:赵建军(),男,中国科学院大学博士研究生,E m a i l:z h a o j i a n j u n i i e a c c n汪旭童(),男,中国科学院大学博士研究生,E m a i l:w a n g x u t o n g i i e a c c n崔翔(),男,研究员,E m a i l:c u i x m a i l z g c l a b e d u c n通信作者
2、:刘奇旭(),男,研究员,E m a i l:l i u q i x u i i e a c c n网络出版地址:h t t p s:/k n s c n k i n e t/k c m s/d e t a i l/T N h t m ld o i 敭 j 敭i s s n 敭 敭 敭 基于登录行为分析的失陷邮箱检测技术研究赵 建 军,汪 旭 童,崔翔,刘 奇 旭,(中国科学院 信息工程研究所,北京 ;中国科学院大学 网络空间安全学院,北京 ;中关村实验室,北京 )摘要:发现失陷邮箱在安全运维、溯源取证工作中面临多种困难,例如,所依赖的威胁情报数据不充分、待分析的数据规模庞大、难以向邮箱所有者
3、确认等.针对上述问题,提出了一种仅使用登录日志作为数据源且不依赖任何标记样本的失陷邮箱检测方法.首先,归纳针对邮箱账户的攻击手段,提炼出邮箱失陷模型.其次,基于所提出的邮箱失陷模型,从空间和时间的角度刻画攻击者在入侵邮箱账户时所暴露出的空间相似性和时间同步性.在利用空间相似性检测失陷邮箱时,使用图来描述邮箱之间的空间距离,再将空间距离相近的邮箱划分至同一社区,并根据社区规模来评价邮箱失陷的可能性;在利用时间同步性检测失陷邮箱时,提出一种异常登录行为的描述方法,并通过比较多个邮箱的异常行为是否集中在一定时期内来评价邮箱失陷的可能性.最后,根据失陷可能性输出一个排序的邮箱列表为分析人员提供优先级参
4、考.实验结果表明,所提出的方法能够在降低约 工作量的情况下检测出约 的失陷邮箱,检测效果好于同类研究,且具备发现未知攻击者和未公开恶意I P地址的能力.关键词:失陷邮箱检测;时空分析;网络攻击溯源中图分类号:T N 文献标识码:A文章编号:()D e t e c t i n gc o m p r o m i s e de m a i l a c c o u n t sv i as p a t i o t e m p o r a l l o g i nb e h a v i o ra n a l y s i sZHA OJ i a n j u n WANGX u t o n g C U IX i
5、 a n g L I UQ i x u 敭 I n s t i t u t eo f I n f o r m a t i o nE n g i n e e r i n g C h i n e s eA c a d e m yo fS c i e n c e s B e i j i n g C h i n a 敭 S c h o o l o fC y b e rS e c u r i t y U n i v e r s i t yo fC h i n e s eA c a d e m yo fS c i e n c e s B e i j i n g C h i n a 敭 Z h o n g
6、g u a n c u nL a b o r a t o r y B e i j i n g C h i n a A b s t r a c t C o m p r o m i s e de m a i l a c c o u n t sd e t e c t i o nf a c e sv a r i o u sc h a l l e n g e s i nt h es y s t e ma d m i n i s t r a t i o na n da t t a c kf o r e n s i c s s u c ha st h el a c ko ft h r e a ti n t
7、e l l i g e n c e al a r g ea m o u n to fd a t at ob ea n a l y z e d a n dt h ed i f f i c u l t yw i t hd i r e c tc o n f i r m a t i o n w i t ht h ee m a i lo w n e r s 敭 T oa d d r e s st h ea b o v ep r o b l e m s t h i sp a p e rp r o p o s e sac o m p r o m i s e de m a i la c c o u n t s
8、d e t e c t i o n m e t h o du s i n go n l yl o g i nl o g sw i t h o u tr e l y i n go na n yl a b e l e ds a m p l e s 敭 F i r s t t h i sp a p e r s u mm a r i z e s t h e a t t a c k f e a t u r e s a n dp r o p o s e s a ne m a i l a c c o u n t s c o m p r o m i s em o d e l 敭 S e c o n d b a
9、 s e do nt h ee m a i l a c c o u n t sc o m p r o m i s em o d e l t h i sp a p e r c h a r a c t e r i z e s t h es p a t i a l s i m i l a r i t ya n dt e m p o r a l s y n c h r o n i z a t i o nw h e n i n v a d i n gt h ee m a i l a c c o u n t s 敭 Wh e nu s i n gt h es p a t i a l s i m i l a
10、 r i t yt od e t e c tt h ec o m p r o m i s e de m a i l a c c o u n t s t h i sp a p e ru s e sg r a p h s t oc o n s t r u c t t h e s p a t i a l d i s t a n c e sb e t w e e na c c o u n t s 年月第 卷第期西安电子科技大学学报J OURNA LO FX I D I ANUN I V ER S I TYA u g V o l N o h t t p:/j o u r n a l x i d i a
11、n e d u c n/x d x ba n dt h e n t h ea c c o u n t s w i t has i m i l a rs p a t i a ld i s t a n c ea r eg r o u p e di n t ot h es a m ec o mm u n i t y a n dt h ep o s s i b i l i t yo f a c c o u n t sc o m p r o m i s i n g i se v a l u a t e da c c o r d i n gt o t h e c o mm u n i t ys i z e
12、 敭 W h e nu s i n gt h e t e m p o r a ls y n c h r o n i z a t i o nt od e t e c tt h ec o m p r o m i s e de m a i la c c o u n t s t h i sp a p e rp r o p o s e sa m e t r i ct od e s c r i b et h ea b n o r m a l l o g i nb e h a v i o r sa n de v a l u a t e st h ep o s s i b i l i t yo fc o m
13、p r o m i s eb yc h e c k i n gi fo t h e ra c c o u n t sh a v es i m i l a ra b n o r m a lb e h a v i o r s i nt h e s a m ep e r i o d 敭 F i n a l l y a s o r t e d l i s t o f e m a i l a c c o u n t s i so u t p u t t e d t op r o v i d ep r i o r i t yr e f e r e n c e f o r a n a l y s t s a
14、 c c o r d i n g t o t h ep o s s i b i l i t yo f c o m p r o m i s e 敭 E x p e r i m e n t a l r e s u l t s s h o wt h a t t h em e t h o dp r o p o s e d i n t h i sp a p e r c a nd e t e c t a b o u t o f t h e c o m p r o m i s e de m a i l a c c o u n t sw i t h w o r k l o a dr e d u c e d a
15、 n dt h ed e t e c t i o ne f f e c t i sb e t t e r t h a nt h a t o f t h e s i m i l a r s t u d i e s 敭 A d d i t i o n a l l y t h ed e t e c t i o nm e t h o dc a nd i s c o v e r t h eu n k n o w na t t a c k e r sa n dt h eu n d i s c l o s e dm a l i c i o u s I Pa d d r e s s e s 敭K e yW o
16、 r d s c o m p r o m i s e de m a i l d e t e c t i o n s p a t i o t e m p o r a l a n a l y s i s c y b e ra t t a c ka t t r i b u t i o n 引言电子邮件是现代企业办公环境中必不可少的工具之一.邮件往来能够反映出一个企业的人员结构,邮件内容能够反映出员工的工作内容,这些正是攻击者渴望获取的情报.近年来,高级持续性威胁(A d v a n c e dP e r s i s t e n tT h r e a t,A P T)组织活动日益猖獗,邮箱是其窃取情报
17、、横向移动的首要目标之一.在AT T&C K矩阵中,使用电子邮箱相关技战法的A P T组织共 余个,超过总数的.此外,不断泄露的用户数据也为攻击者提供了大量的邮箱账号和密码.除被公开的数据外,还有更多的数据正在黑市和暗网中被攻击者收集、交换和交易,这就导致大量邮箱处于随时可被攻击者接管的风险之中.攻击者可以通过失陷邮箱来窃取用户甚至企业的工作内容和成果,或者根据人际关系来进行横向移动钓鱼攻击.失陷账号存在时间越长,对企业和组织的危害越大,因此及时发现这类失陷账号尤为重要.目前,学术界关于电子邮件的研究大多集中在垃圾邮件、钓鱼邮件的检测和过滤上 .垃圾邮件、钓鱼邮件检测和失陷邮箱发现是在同一场景
18、下的两个不同方向.垃圾邮件、钓鱼邮件的检测侧重对邮件内容的检测,重点关注实时防御能力;失陷邮箱发现则是侧重对失陷结果的检测,重点支撑损失评估和溯源取证相关工作.文中涉及的研究侧重后者.在失陷邮箱发现的相关研究中,大多数检测方法都是面向具体的一种攻击过程(如鱼叉钓鱼、暴力破解、横向移动等).例如,年,HU等参考社交网络领域相关技术,采用社交关系图拓扑分析的方法,借鉴并改进出度、P a g e r a n k等个指标对邮件往来关系进行评价.基于邮箱收发日志,将邮件往来关系异常的账户判定为失陷账户,该方法的平均准确度约为.年,HO等使用邮件样本、网络日志(HT T P日志)、邮箱登录日志作为分析数据
19、,基于发件人信誉和邮件中统一资源定位系统(U n i f o r m R e s o u r c eL o c a t o r,UR L)的域名信誉对邮件可疑程度进行评价,通过比对HT T P日志,追踪用户访问钓鱼链接并输入账户口令的情况来确认邮箱是否失陷.年,杨加等提出一种面向校园网场景下的失陷邮箱检测方法.该方法分析邮箱登录日志,使用登录频率阈值确定暴力猜解源I P地址,通过对账号和I P地址对应关系的熵值进行聚类,将恶意I P地址归为同一组织.同时,该方法通过对I P地址地理位置变化及异常时间登录次数设定阈值来发现异常登录行为.检测横向移动钓鱼邮件的方法同样能够用来检测失陷邮箱,但前提是
20、攻击者存在发件行为,如果攻击者的目的只是窃取邮件,那么就无法检测到此类失陷邮箱.年,HO等 结合文献 和文献 的方法,使用随机森林来分类邮件是否为横向移动钓鱼邮件.该方法使用组特征:邮件接收人相似性、发件人信誉和UR L信誉.通过分析多个恶意邮件发件人是否存在因果关系来推测攻击是否成功.除邮箱账号外,其他形式的在线网络服务也会面临账号失陷的威胁.社交网络的兴起和不断发展,吸引了大量关注和资金.攻击者对社交网络的非法使用能够为其带来丰厚的利益,如滥发广告、售卖热搜和点赞等.这些获取利益的方式都需要大量账号的支持,因此催生了各种针对社交网络用户账号的攻击,例如恶意注册、账号劫持、暴力猜解等.目前,
21、学术界已经存在有关防御此类攻击的技术研究 ,其思路和方法也能够扩展到失陷邮箱的检测中.第期赵建军等:基于登录行为分析的失陷邮箱检测技术研究h t t p:/j o u r n a l x i d i a n e d u c n/x d x b攻击者在窃取邮件内容或发送横向移动钓鱼邮件时,必然首先通过P O P、I MA P、S MT P或者W e b m a i l等方式登录邮箱,即在失陷邮箱的登录行为中必然存在除邮箱所有者以外的登录行为(可疑登录行为).若可疑登录行为可被提取和比较,则可在多个邮箱之间纵向对比其相似性.当可疑登录行为在多个邮箱账户内出现且相似时,可以依据其共性来发现同一批失陷
22、的邮箱群,并关联到攻击者.因此文中的研究重点是寻找攻击行为共性可能出现的方面,以及如何利用该共性检测失陷邮箱.登录行为的时空分析邮箱的登录日志能够反映出邮箱的登录行为.最基本的,登录日志应包含邮箱地址、登录I P地址和登录时间等.其中I P地址属于空间属性,其相关的特征有归属城市、经纬度等;登录时间属于时间属性.当登录日志的记录时间足够长且信息足够充分时,统计特征会暴露出攻击者在入侵多个失陷邮箱时的共性,将从时间和空间的角度来研究该共性的刻画方法.邮箱失陷模型将邮箱账号作为目标的攻击者主要可分为两类:以窃取信息、投递木马为主要目标的A P T组织和以获取收益为主的互联网黑产.二者在实施攻击时的
23、共同点是:在一定时期内,将某个企业或组织的所有邮箱账户均视为目标.前者以任务为驱动,即在攻击任务开始后一段时间内,以期获得尽可能多的邮箱账号来窃取目标企业或者组织的工作内容和人员架构.后者以数据为驱动,即在其获取新的泄露数据后,立即对邮箱账号和密码进行验证,储备为其攻击资源.基于此类攻击场景,给出邮箱失陷模型,如图所示.在该模型中,多个攻击者可能同时针对同一批目标,且每个攻击者可能使用一个或多个I P地址来实施攻击,因此难以仅通过I P地址来关联攻击行为.为解决这个问题,将登录行为的两个属性(登录地址和登录时间)作为分析和关联对象,即通过分析各邮箱中异常的一个或多个I P地址是否具备地理位置的
24、空间相似性或登录时间的同步性来确定邮箱是否失陷.图邮箱失陷模型 攻击行为的空间相似性攻击者为了防止自己被溯源,几乎不会使用自身所处的网络作为攻击出口.公有的云服务器由于其易于获取、可随时丢弃的特点,成为攻击者首选的攻击设施.此类云服务器以虚拟机的形式在使用时即时创建,在用户弃用时彻底删除,几乎不会留下任何操作痕迹,并且相比于个人终端肉鸡、物联网僵尸节点等具备更好的可操作性和稳定性.目前国内外常见云服务提供商都在常见的大型数据中心(如位于香港、新加坡、东京等地)提供可选节点.对于国内的组织和企业来说,来自这些位置的登录行为是比较可疑的.例外的是,用户自身配置了境外的代理服务器来登录邮箱,但在文中
25、所针对的攻击模型中,这种行为难以造成多个账号的异常具有同步性.笔者采用的空间相似性的判定思路是:假设邮箱i和邮箱j的常用登录位置(可信)接近,且邮箱i和邮箱j的非常用登录位置(可疑)也接近,认为邮箱i和邮箱j具备空间相似性.常用地特征用来将邮箱关联到一个企业或组织,尤其是当日志数据中的邮箱地址是匿名地址时,难以确定哪些邮箱属于同一个企业或组织,这时常用地特征显得更加重要;异常地特征用来将攻击者所使用的一个或多个I P关联到同一个组织.当一批待分析的日志数据中,大量邮箱具备相近的常用地和异常地,即这些邮箱属于同一个企业或组织且均被若干地理位置邻近的I P地址登录过时,满足所述的邮箱失陷模型,这些
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 登录 行为 分析 失陷 邮箱 检测 技术研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。