面向异常行为的邮件访问控制网关的设计与实现

doi:10.12267/j.issn.2096-5931.2024.08.007

信息通信技术与政策 ›› 2024, Vol. 50 ›› Issue (8): 46-54.doi: 10.12267/j.issn.2096-5931.2024.08.007

面向异常行为的邮件访问控制网关的设计与实现

Design and implementation of email access control gateway for abnormal behavior

周林志¹^,², 陈晨², 郑浩然², 时轶¹, 邢家鸣¹^,³, 林峰旭¹^,²

1.北京航空航天大学网络信息中心,北京 100191
2.北京航空航天大学网络空间安全学院,北京 100191
3.北京航空航天大学软件学院,北京 100191

收稿日期:2024-06-24 出版日期:2024-08-25 发布日期:2024-09-29
作者简介:
周林志, 北京航空航天大学网络信息中心副主任,主要研究方向为教育管理信息化、网络信息安全等
陈晨, 北京航空航天大学网络空间安全学院网络安全专业博士研究生在读,主要研究方向为网络信息安全
郑浩然, 北京航空航天大学网络空间安全学院网络安全专业硕士研究生在读,主要研究方向为网络信息安全
时轶, 北京航空航天大学网络信息中心工程师,主要研究方向为邮件安全
邢家鸣, 北京航空航天大学网络信息中心工程师,主要研究方向为网络信息安全
林峰旭, 北京航空航天大学网络信息中心校园数据室主任,主要研究方向为管理信息化和网络信息安全

ZHOU Linzhi¹^,², CHEN Chen², ZHENG Haoran², SHI Yi¹, XING Jiaming¹^,³, LIN Fengxu¹^,²

1. Network Information Center, Beihang University, Beijing 100191, China
2. School of Cyber Science and Technology, Beihang University, Beijing 100191, China
3. School of Software, Beihang University, Beijing 100191, China

Received:2024-06-24 Online:2024-08-25 Published:2024-09-29

摘要/Abstract

摘要：

高校邮件系统平均每月面临数万次的暴力破解认证攻击,攻击者会使用简单邮件传输协议(Simple Mail Transfer Protocal,SMTP)认证的方式对高校师生邮件账号进行暴力破解认证,尤其是分布式暴力破解和低频慢速暴力破解难以识别检测,是导致邮件服务器面临资源消耗及账户安全问题的巨大威胁。因此,有必要设计一种面向异常行为的邮件访问控制网关,通过分析邮件日志捕获异常攻击行为,动态阻断恶意互联网协议(Internet Protocal,IP)攻击。测试结果表明,该网关通过分析邮件日志、抽取安全事件、捕获异常行为特征,构建了特征规则;基于漏桶算法捕获低频、分布式暴力破解的恶意IP,联动防火墙实现了对恶意IP的动态封禁及解除;设计、实现访问控制网关并应用于校园网,成功阻断了62%的攻击流量。

关键词: 邮件网关, 访问控制系统, 日志分析, 异常检测

Abstract:

On average, university email systems face tens of thousands of brute force authentication attacks every month. Attackers will use the SMTP protocol authentication method to perform brute force authentication on email accounts of university teachers and students. Especially, it is difficult to identify and detect distributed brute force attacks and low-frequency slow brute force attacks, which is a huge threat to the resource consumption and account security of the mail server.Therefore, it is necessary to design a mail access control gateway for abnormal behavior, which can dynamically block malicious IP addresses by analyzing mail logs to capture abnormal attacks. The test results indicate that the gateway has constructed feature rules by analyzing email logs, extracting security events, and capturing abnormal behavior characteristics; based on the leaky bucket algorithm,low-frequency and distributed brute force attacking malicious IPs are captured, and dynamic blocking and lifting of malicious IPs are achieved through linkage with firewalls; designed and implemented an access control gateway and applied it to the campus network, successfully blocking 62% of attack traffic.

Key words: email gateway, access control system, log analysis, abnormal detection

中图分类号:

周林志, 陈晨, 郑浩然, 时轶, 邢家鸣, 林峰旭. 面向异常行为的邮件访问控制网关的设计与实现[J]. 信息通信技术与政策, 2024, 50(8): 46-54.

ZHOU Linzhi, CHEN Chen, ZHENG Haoran, SHI Yi, XING Jiaming, LIN Fengxu. Design and implementation of email access control gateway for abnormal behavior[J]. Information and Communications Technology and Policy, 2024, 50(8): 46-54.

导出引用管理器 EndNote|Ris|BibTeX

链接本文:

http://ictp.caict.ac.cn/CN/10.12267/j.issn.2096-5931.2024.08.007

http://ictp.caict.ac.cn/CN/Y2024/V50/I8/46

图/表 13

参考文献 7

[1]	CACTER邮件安全. 直播回顾:大咖圆桌论坛共商筑牢校园安全屏障[EB/OL]. (2022-05-19)[2024-06-24]. https://mp.weixin.qq.com/s/u0xWmcRLJiBtCMQOl7ye-A.
[2]	Coremail. Coremail聚焦高校邮箱盗号问题,筑牢安全墙[EB/OL]. (2022-05-25)[2024-06-24]. https://mp.weixin.qq.com/s/A-n4kGJteBQv_pBQb50-0g.
[3]	杨海明. 浅析电子邮件的安全[J]. 办公自动化, 2022, 27(8):53-55.
[4]	郑先伟. 钓鱼邮件攻击更具针对性!高校需防范[J]. 中国教育网络, 2020(12):25.
[5]	NARAYANAN A, SHMATIKOV V. Fast dictionary attacks on passwords using time-space tradeoff[C]// Proceedings of the 12th ACM Conference on Computer and Communications Security, CCS 2005, Alexandria: ACM Press, 2005: 364-372.
[6]	DEV J A. On the imminent advent of botnet powered cracking[C]// 2016 IEEE 2nd International Conference on Collaboration and Internet Computing (CIC). Pittsburgh: IEEE Press, 2016: 188-195.
[7]	CrowdSec. Crowdsec introduction[EB/OL]. 2024[2024-06-24]. https://docs.crowdsec.net/docs/scenarios/intro/.

工具功能	需求
日志读取	工具能对SMTP日志进行实时读取
日志过滤分析	工具能针对各种日志,获取登录出错尝试的IP、账户名、IP尝试次数信息
场景匹配	工具能通过获取日志信息,进行场景匹配:IP对SMTP登录次数超过限制,IP SMTP登录尝试的账户数超过限制
IP黑名单生成	工具能对符合场景的IP生成黑名单
对黑名单进行限制	工具通过ipset/iptables机制,对黑名单中IP在一段时间内进行邮件相关端口访问限制
黑名单“增删改查”	工具能对黑名单中的限制IP进行手动新增、删除、修改,并且能查指定IP是否被限制、哪些IP被限制、限制起始时间、终止时间等
前端界面显示	界面显示当前封禁IP列表、近两周封禁IP、各种场景下封禁的IP数量变化图、封禁IP属地地图、数据库前端查询等

工具功能	需求
日志读取	工具能对SMTP日志进行实时读取
日志过滤分析	工具能针对各种日志,获取登录出错尝试的IP、账户名、IP尝试次数信息
场景匹配	工具能通过获取日志信息,进行场景匹配:IP对SMTP登录次数超过限制,IP SMTP登录尝试的账户数超过限制
IP黑名单生成	工具能对符合场景的IP生成黑名单
对黑名单进行限制	工具通过ipset/iptables机制,对黑名单中IP在一段时间内进行邮件相关端口访问限制
黑名单“增删改查”	工具能对黑名单中的限制IP进行手动新增、删除、修改,并且能查指定IP是否被限制、哪些IP被限制、限制起始时间、终止时间等
前端界面显示	界面显示当前封禁IP列表、近两周封禁IP、各种场景下封禁的IP数量变化图、封禁IP属地地图、数据库前端查询等

工具功能	需求
基于DPDK ACL对IPv4 数据包在规则集上进行匹配	支持 100 K+ 规则支持五元组匹配,支持通配匹配
数据包过滤与转发	对非IPv4数据包直接进行转发对没有匹配封禁规则的IPv4数据包进行转发丢弃匹配封禁规则的IPv4数据包对邮件系统数据包进行线速处理
规则管理	从文件加载规则集获取当前使用的规则信息删除一条规则(根据规则ID删除) 手动添加单条规则规则自动过期
前端控制	显示当前系统使用的规则,规则检索添加单条规则删除单条规则从规则文件批量导入规则
性能需求	100 K规则,单核3 Gbit/s不发生丢包在线规则更新不发生丢包

工具功能	需求
基于DPDK ACL对IPv4 数据包在规则集上进行匹配	支持 100 K+ 规则支持五元组匹配,支持通配匹配
数据包过滤与转发	对非IPv4数据包直接进行转发对没有匹配封禁规则的IPv4数据包进行转发丢弃匹配封禁规则的IPv4数据包对邮件系统数据包进行线速处理
规则管理	从文件加载规则集获取当前使用的规则信息删除一条规则(根据规则ID删除) 手动添加单条规则规则自动过期
前端控制	显示当前系统使用的规则,规则检索添加单条规则删除单条规则从规则文件批量导入规则
性能需求	100 K规则,单核3 Gbit/s不发生丢包在线规则更新不发生丢包

日志生产速率	CPU占用率	内存占用率
无日志输入	0.0%~0.7%	0.1%~0.2%
SMTP:40条/s;IMAP:100条/s;POP3:20条/s	2.7%~4.3%	0.2%
SMTP:60条/s;IMAP:150条/s;POP3:30条/s	4.7%~6.6%	0.2%
SMTP:80条/s;IMAP:200条/s;POP3:40条/s	6.3%~7.3%	0.2%
SMTP:120条/s;IMAP:300条/s;POP3:60条/s	7.6%~9.7%	0.2%
SMTP:200条/s;IMAP:500条/s;POP3:100条/s	12.0%~14.7%	0.2%

面向异常行为的邮件访问控制网关的设计与实现

Design and implementation of email access control gateway for abnormal behavior

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 13

参考文献 7

相关文章 1

编辑推荐

Metrics

本文评价

邮件服务器	单核CPU利用率	内存利用率
1	2.0%~5.9%	0.2%
2	3.0%~5.9%	0.2%

邮件服务器	单核CPU利用率	内存利用率
1	2.0%~5.9%	0.2%
2	3.0%~5.9%	0.2%