专利名称:电子邮件用户行为监测方法和装置的制作方法
技术领域:
本发明涉及针对标准邮件协议改造及优化技术,尤其是一种在Linux平台下,实现服务器对用户行为实时监测的方法及装置。
背景技术:
现代通信网络中,电子邮件是一种最普遍、最易用的通信方式。随着网络、多媒体等技术的日益加深,电子邮件也从最初仅能发送文字资料发展成为可以附加图文资料,甚至音频、程序等各种文件。与此同时,针对邮件服务器的网络安全问题也随着互联网的普及而衍生出来。当前常用的电子邮件协议主要有SMTP、P0P3、IMAP4等,它们都隶属于TCP/IP 协议簇,在默认状态下,分别通过TCP端口 25、110和143建立连接,在RFC (Request For Comments)文档中,这些标准协议有更详细的规定,以下进行简要说明1)、SMTP 协议SMTP (Simple Mail Transfer Protocol)协议,即简单邮件传输协议。它是一组用于从源地址到目的地址传输邮件的规范,通过它来控制邮件的中转方式。SMTP协议属于 TCP/IP协议簇,它帮助每台计算机在发送或中转邮件时找到下一个目的地。SMTP服务器就是遵循SMTP协议的发送邮件服务器。SMTP认证,简单地说就是要求必须在提供了账户名和密码之后才可以登录SMTP服务器,这就使得那些垃圾邮件的散播者无可乘之机。增加SMTP 认证的目的是为了使用户避免受到垃圾邮件的侵扰。2)、POP 协议POP (Post Office Protocol)协议,S卩邮局协议,负责从邮件服务器中检索电子邮件。它要求邮件服务器完成下面几种任务之一从邮件服务器中检索邮件并从服务器中删除这个邮件;从邮件服务器中检索邮件但不删除该邮件;不检索邮件,只是询问是否有新邮件到达。POP协议支持多用途网际邮件扩展协议(Multipurpose Internet Mail Extensions),该协议允许用户在电子邮件上附带二进制文件,如文字处理文件和电子表格文件等,实际上这样就可以传输任何格式的文件了,包括图片和声音文件等。在用户阅读邮件时,POP命令所有的邮件信息立即下载到用户的计算机上,不在服务器上保留。3)、IMAP 协议IMAPdnternet Mail Access Protocol)协议,即互联网信息访问协议,是一种优于POP的新协议。和POP—样,IMAP也能下载邮件、从服务器中删除邮件或询问是否有新邮件,但IMAP克服了 POP的一些缺点。例如,它可以决定客户机请求邮件服务器提交所收到邮件的方式,请求邮件服务器只下载所选中的邮件而不是全部邮件。客户机可先阅读邮件信息的标题和发送者的名字再决定是否下载这个邮件。通过用户的客户机电子邮件程序,IMAP可让用户在服务器上创建并管理邮件文件夹或邮箱、删除邮件、查询某封邮件的一部分或全部内容,完成所有这些工作时都不需要把邮件从服务器下载到用户的个人计算机上。
hternet上传送电子邮件是通过一套称为邮件服务器的程序进行硬件管理并储存的。与个人计算机不同,这些邮件服务器及其程序必须每天M小时不停地运行,否则就不能收发邮件了。简单邮件传输协议SMTP和邮局协议POP是负责用客户机/服务器模式发送和检索电子邮件的协议。用户计算机上运行的电子邮件客户机程序请求邮件服务器进行邮件传输,邮件服务器采用简单邮件传输协议标准。很多邮件传输工具,如outlook express, fox mail等,都遵守SMTP标准并用这个协议向邮件服务器发送邮件。SMTP协议规定了邮件信息的具体格式和邮件的管理方式。但是,电子邮件协议制定的目的是方便用户使用、简单快捷的发送文字信息,并未考虑到会出现如此繁多的安全问题。随着互联网的普及和IT技术日新月异的发展,网络攻击技术和攻击工具有了新的发展趋势,使借助hternet运行业务的机构面临着前所未有的风险,通常针对邮件服务器的攻击分为两类1)、口令攻击口令攻击主要有两种方法,穷举法和猜测法。穷举法是一种不停使用密码进行登录,直到尝试成功的方法;而猜测法其实是穷举法的一种特殊形式,根据所获得的简单信息,猜测出密码大概内容,之后使用简单穷举获得密码。通常用户的危险口令有用户名、用户名变形、生日、常用英文单词、5位以下长度的口令、无口令和默认口令。2)、电子邮件攻击攻击者能使用一些邮件炸弹软件或CGI (Common Gateway hterface,通用网关接口)程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,更有可能造成邮件系统对于正常的工作反映缓慢, 甚至瘫痪。相对于其他的攻击手段来说,这种攻击方法简单、见效快。口令攻击的最终目的无非是获取邮箱内信息或者是将该邮箱作为垃圾邮件的发送基站,不停对外发送垃圾邮件;而电子邮件攻击的最终目的是使某个邮箱完全瘫痪,无法正常使用。针对利用电子邮件炸弹进行的攻击,现有的邮件服务器通过过滤、自动回信等功能已经进行了有效的防御。但是对于口令攻击仍没有很好的防御手段,由于不可能阻止用户输入密码登录时出现错误、也不能保证所有登录用户均为正常用户,即攻击者在攻陷用户密码后,可能使用一些程序,自动获取邮件信息,或者利用工具和已破解的邮箱自动进行垃圾邮件的发送等行为。
发明内容
本发明所要解决的技术问题之一是需要提供一种基于Linux平台的用户行为实时监测的方法及安全邮件服务器系统。该方法提供了一种针对用户行为进行记录并进行分析的手段,使用该方法优化的邮件服务器系统,有效的进行了针对口令攻击的防御,提高了邮件系统和用户信息的安全性。为了解决上述技术问题,本发明提供了一种电子邮件用户行为监测方法,其特征在于,包括以下步骤接收用户的与电子邮件相关的操作信息并分析得到所述操作信息中的命令码,过滤命令码不符合电子邮件协议的所述操作信息;根据命令码对符合电子邮件协议的所述命令码的操作信息进行分类,并记录操作信息来源的IP地址;根据所述操作信息的类型,利用接收操作信息的历史记录,找出具有危险性的操作信息;对于具有危险性的所述操作信息,确定发送所述操作信息的IP地址和用户信息以进行相应的安全处理。进一步,在该方法中,所述过滤具体为丢弃命令码不符合所述电子邮件协议的的操作信息,并继续监听端口以获取新的命令码,对于保留符合所述协议的命令码的操作信息以进行后续处理。进一步,在该方法中,将所述操作信息进行分类包括将所述操作信息分类为针对用户及用户登录密码的操作信息和针对用户邮件的操作信息。进一步,在该方法中,所述判断具体为基于所述历史记录判断距离当前预设时间段内,已经重复接收到与所述操作信息一致的操作信息的次数是否超过可接受或者设定的次数的上限;其中,在两条操作信息的命令码相同且发送用户相同时,则将这两条操作信息确认为相一致。进一步,在该方法中,对于针对用户及用户登录密码的操作,判断是否对同一用户的密码进行多次输入、是否对多用户进行多次输入和/或是否对用户名进行多次输入;对于针对用户邮件的操作,判断是否对同一用户或多个用户的进行预设时间段内大量发送邮件的操作,和/或预设时间内大量读取、下载邮件的操作。进一步,在该方法中,相应的安全处理为对于针对用户及用户登录密码的操作, 对操作来源的IP地址进行预设时间的或者永久的封杀;对与针对用户邮件的操作,暂停该用户的使用,等待管理员重新激活该用户。进一步,在该方法中,进一步包括对不存在危险性的所述操作,进行正常的用户操作。本发明还提供一种电子邮件用户行为监测装置,其特征在于,包括以下模块命令码接收模块,用于接收用户的与电子邮件相关的操作信息并分析得到所述操作信息中的命令码,过滤命令码不符合电子邮件协议的所述操作信息;命令码分类模块,用于根据命令码对符合电子邮件协议的所述命令码的操作信息进行分类,并记录操作信息来源的IP地址; 危险性判断模块,用于根据所述操作信息的类型,利用接收操作信息的历史记录,找出具有危险性的操作信息;安全处理模块,用于对于具有危险性的所述操作信息,确定发送所述操作信息的IP地址和用户信息以进行相应的安全处理。进一步,在该装置中,所述安全处理模块进行所述安全处理具体为对于针对用户及用户登录密码的操作信息,对操作来源的IP地址进行预设时间的或者永久的封杀;对与针对用户邮件的操作信息,暂停操作来源用户的使用,等待管理员重新激活该用户。进一步,在该装置中,所述安全处理模块对不存在危险性的所述操作信息,允许操作来源进行正常的用户操作。与现有技术相比,本发明至少具有以下优点本发明基于电子邮件标准协议提供了一种用于Linux的邮件服务器的针对用户行为的实时监测的方法,并且根据该方法优化的安全邮件服务器,有效地弥补了现有邮件协议在针对口令攻击方面的不足,提高了系统的安全性,减少了防御网络攻击所带来的时间、成本和人力的支出。此外,在本发明中,命令码数据库中存储的是针对端口发送过来的命令码操作次数,无论是通过前台页面还是直接发送底层命令码,都必须经过端口发送命令,故无论攻击者使用怎样的方式,都无法绕过该步骤。另外,直接记录端口命令码次数,并进行风险判断, 与用户密码数据库进行比对校验相比,仅记录端口信息会极大的提高验证效率,一旦命令码数据库中记录的信息次数达到上限,则认为存在风险,不必等待用户密码数据库比对校验的结果。此外,利用本发明进行用户登录后安全防御,解决了现有技术无法针对登录后的账户进行安全保障的缺陷,提高了系统的安全性。可以在登录之后,进行第二次安全防御, 极大的提高了系统的安全性。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中图1为根据本发明实施例一的电子邮件用户行为监测方法的流程图;图2为根据本发明实施例二的电子邮件用户行为监测装置的结构示意图。
具体实施例方式以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合, 所形成的技术方案均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。实施例一
图1为根据本发明实施例一的电子邮件用户行为监测方法的流程图,箭头方向表示实现该方法的操作流程。下面参照图1详细说明该方法的各步骤。 步骤Sl 10,打开监听端口,准备接收用户的连接和命令码。电子邮件服务器将监听端口打开,准备接收用户的连接以及用户的与电子邮件相关的操作信息(下文均简称操作),并分析得到用户的操作中的命令码,用户的操作包括登录请求或操作请求。步骤S120,接收命令码,过滤不符合协议的命令码。接收用户的操作,获取操作中的命令码,根据邮件标准协议过滤掉不符合规范的命令码,接收符合协议规范的命令码。具体的,根据标准SMTP、P0P3、IMAP协议,对服务器监听端口获取的命令码进行第一次过滤,对于不符合协议规范的进行丢弃,并继续监听端口以获取新的命令码,对于符合协议规范的则进行接收和保留,以等待后续处理。以登录IMAP的命令码为例,正确格式为<TAG>L0GIN USERiDOMAIN PASSWORD
7
如果获取的命令码格式出现错误,则直接丢弃该操作请求。此处出现错误的操作请求,实际上是指不符合相应RFC (Request For Comments)协议规范的命令码。步骤S130,对符合协议的命令码进行分类并记录,并记录操作来源IP地址。在本步骤中,获取并记录发送命令码IP地址信息和命令码所操作的用户,并分析命令码的操作类型。此外,还可以记录密码信息、操作命令、输入次数和时间间隔等信息。标准邮件协议创立只是为了满足使用者对电子邮件的收发需求,并未将操作的用户、来源IP地址以及操作的信息单独记录,本实施例中将这些信息记录下来,目的是为了下一步进行校对,以及最后对存在风险的用户和源IP地址进行处理。对于源地址所发送的命令码操作进行分类,命令码操作的具体的分类方法将在后续步骤中进行详细说明。根据操作类型分为以下两类类型1 针对用户及用户登录密码的操作;类型2 针对用户邮件的操作。其中类型1主要是为了记录某一源IP地址,是否对同一用户的密码进行多次输入,或者是否对多用户进行多次输入,以及是否对用户名进行多次输入。一旦发现存在以上几种情况,即可能是存在危险性的操作,但此处仅仅作为分类并记录操作,并未对发起操作的源IP地址进行处理。其中类型2主要是为了记录某一源IP地址,是否对同一用户或多个用户的进行短时间大量发送邮件的操作,以及短时间内大量读取、下载邮件的操作等。同样,一旦发现存在以上几种情况,即可能是存在风险的操作,此处也仅作为分类和记录。步骤S140,根据操作的类型,利用操作的历史记录进行判断,找出具有危险性的操作。其中,本步骤用于将步骤S130中分类的操作,利用接收操作的历史记录进行判断,以找出具有危险性的操作。优选的,可利用命令码数据库中的与操作的历史记录有关的内容进行判断,找出具有危险性的操作。具体的,基于历史记录判断距离当前预设时间段内,已经重复接收到与该操作信息相一致的操作信息的次数是否超过可接受或者设定的次数的上限,其中,在两条操作信息的命令码相同且发送用户相同时,则将这两条操作信息确认为相一致。以下将分别对命令码数据库及分类操作进行说明。首先,对于命令码分析数据库的建立,该数据库记录的内容应当是符合协议标准的合法命令码,用于与服务器端口获得的符合语法规则的命令码进行对比校验,并且记录步骤S130中分类后操作的操作次数以及时间间隔。对于命令码操作的分类,类型1属于针对用户名和用户登录密码试探的操作,比如,源IP地址对邮件服务器发送以下命令码针对P0P3协议USER USERiDOMAINPASS PASSWORD针对IMAP协议<TAG>L0GIN USERiDOMAIN PASSWORD针对SMTP协议
HELO DOMAINEHLO DOMAINAUTH LOGIN在命令码数据库中同时记录从近期首次登录起,一共尝试失败的次数,如果超过可接受或者设定的次数的上限,即归为危险性操作。类型2属于针对邮箱和邮件内容的操作,以下将列举若干典型事例进行说明。
比如使用SMTP协议发送邮件频繁发送邮件的操作MAIL FROM :<userlidomain. com>RCPT TO :<user2idomain. com>DATA或者针对P0P3协议频繁的删除邮件DELE<SEQ-NUM>频繁的读取邮件RETR<SEQ-NUM> 针对IMAP协议的操作频繁的状态改变,状态改变标示着邮件被操作<TAG>ST0RE<SEQ-NUM>+/-FLAGS (STATUS)在命令码数据库中同时记录操作次数,如果操作次数达到可接受或者设定的次数的上限,即归为危险性操作。步骤S150,对于具有危险性的用户操作,找出发送操作的命令码的IP地址和用户信息,针对不同的操作进行相应的安全处理。在本步骤中,根据步骤S140中记录的操作类型、多次相同操作的时间间隔、相同操作的操作次数,来评估出是否属于存在风险的操作,比如预设时间内多次试验用户名密码、预设时间内大量发送邮件等操作,基本可以定性为危险操作。以上情况的存在说明有用户和密码被人恶意试探,属于黑客攻击邮件服务器的一种方法;而大量邮件在预设时间发送,有可能是因为邮件用户名、密码已经被攻破,有人使用本邮箱发送垃圾信息给其他邮件服务器,这样的如果不处理,最终将导致邮箱的域名被封杀。对于上述两例危险操作,可以有以下安全处理方法1)、对于类型1的操作,例如多次试探用户名密码的操作,服务器可以采取封杀源 IP的操作,对操作来源的IP地址进行预设时间的或者永久的封杀;2)、对于类型2的操作,例如被利用发送垃圾邮件的情况,可以暂停该用户的使
用,等待管理员重新激活该用户。步骤S160,对不存在危险性的用户操作,允许操作来源进行正常的用户操作。对于经过与命令码数据库对比后,确定为不存在危险性的用户操作,按照用户的操作类型,进行正常的登录和/或收发邮件操作。实施例二图2为根据本发明实施例二的电子邮件用户行为监测装置的结构示意图,下面根
9据图2详细说明该装置的组成。该装置主要包括以下各模块命令码接收模块,用于接收与电子邮件用户的操作相关的命令码,并过滤不符合电子邮件协议的命令码。该模块用于接收用户的操作,获取操作中的命令码,根据邮件标准协议过滤掉不符合规范的命令码,接收符合协议规范的命令码。具体的,根据标准SMTP、 P0P3、IMAP协议,对服务器监听端口获取的命令码进行第一次过滤,对于不符合协议规范的直接丢弃,并继续监听端口以获取新的命令码,对于符合协议规范的则进行接收等待下一步处理。命令码分类模块,用于对符合电子邮件协议的命令码的操作进行分类,并记录操作来源的IP地址。该模块获取并记录发送命令码IP地址信息和命令码所操作的用户,并分析命令码的操作类型。此外,还可以记录密码信息、操作命令、输入次数和时间间隔等信息。操作类型分为以下两类类型1 针对用户及用户登录密码的操作;类型2 针对用户邮件的操作。危险性判断模块,用于根据所述操作的类型,利用命令码数据库中的内容进行判断,找出具有危险性的操作。该模块根据记录的操作类型、多次相同操作的时间间隔、相同操作的操作次数,来评估出是否属于存在风险的操作,比如短时间内多次试验用户名密码、 短时间内大量发送邮件等操作,基本可以定性为危险操作。以上情况的存在说明有用户和密码被人恶意试探,属于黑客攻击邮件服务器的一种方法;而大量邮件在短时间发送,有可能是因为邮件用户名、密码已经被攻破,有人使用本邮箱发送垃圾信息给其他邮件服务器, 这样的如果不处理,最终将导致邮箱的域名被封杀。安全处理模块,用于对于具有危险性的所述操作,找出发送所述操作的命令码的 IP地址和用户,进行相应的安全处理。该模块对于上述两例危险操作,可以有以下安全处理方法1)、对于类型1的操作,例如多次试探用户名密码的操作,服务器可以采取封杀源 IP的操作,对操作来源的IP地址进行短期的或者永久的封杀;2)、对于类型2的操作,例如被利用发送垃圾邮件的情况,可以暂停该用户的使
用,等待管理员重新激活该用户。对于经过与命令码数据库对比后,确定为不存在危险性的用户操作,按照用户的操作类型,进行正常的登录和/或收发邮件操作。相对于现有的邮件收发机制,本发明的电子邮件用户行为监测方法和装置有效的解决了针对用户口令的攻击,并防止了系统成为垃圾邮件发送站的情况,最终应用以上方法优化的底层基于Linux的安全邮件服务器产品,在用户密码和信息安全性上得到了有效的提升。本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。 虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化, 但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
权利要求
1.一种电子邮件用户行为监测方法,其特征在于,包括以下步骤接收用户的与电子邮件相关的操作信息并分析得到所述操作信息中的命令码,过滤命令码不符合电子邮件协议的所述操作信息;根据命令码对符合电子邮件协议的所述命令码的操作信息进行分类,并记录操作信息来源的IP地址;根据所述操作信息的类型,利用接收操作信息的历史记录,找出具有危险性的操作信息;对于具有危险性的所述操作信息,确定发送所述操作信息的IP地址和用户信息以进行相应的安全处理。
2.根据权利要求1所述的方法,其特征在于,所述过滤具体为丢弃命令码不符合所述电子邮件协议的的操作信息,并继续监听端口以获取新的命令码,对于保留符合所述协议的命令码的操作信息以进行后续处理。
3.根据权利要求1所述的方法,其特征在于,将所述操作信息进行分类包括将所述操作信息分类为针对用户及用户登录密码的操作信息和针对用户邮件的操作信息。
4.根据权利要求3所述的方法,其特征在于,所述判断具体为基于所述历史记录判断距离当前预设时间段内,已经重复接收到与所述操作信息一致的操作信息的次数是否超过可接受或者设定的次数的上限;其中,在两条操作信息的命令码相同且发送用户相同时,则将这两条操作信息确认为相一致。
5.根据权利要求4所述的方法,其特征在于,对于针对用户及用户登录密码的操作,判断是否对同一用户的密码进行多次输入、是否对多用户进行多次输入和/或是否对用户名进行多次输入;对于针对用户邮件的操作,判断是否对同一用户或多个用户的进行预设时间段内大量发送邮件的操作,和/或预设时间内大量读取、下载邮件的操作。
6.根据权利要求3所述的方法,其特征在于,相应的安全处理为对于针对用户及用户登录密码的操作,对操作来源的IP地址进行预设时间的或者永久的封杀;对与针对用户邮件的操作,暂停该用户的使用,等待管理员重新激活该用户。
7.根据权利要求1所述的方法,其特征在于,进一步包括 对不存在危险性的所述操作,进行正常的用户操作。
8.一种电子邮件用户行为监测装置,其特征在于,包括以下模块命令码接收模块,用于接收用户的与电子邮件相关的操作信息并分析得到所述操作信息中的命令码,过滤命令码不符合电子邮件协议的所述操作信息;命令码分类模块,用于根据命令码对符合电子邮件协议的所述命令码的操作信息进行分类,并记录操作信息来源的IP地址;危险性判断模块,用于根据所述操作信息的类型,利用接收操作信息的历史记录,找出具有危险性的操作信息;安全处理模块,用于对于具有危险性的所述操作信息,确定发送所述操作信息的IP地址和用户信息以进行相应的安全处理。
9.根据权利要求8所述的装置,其特征在于,所述安全处理模块进行所述安全处理具体为对于针对用户及用户登录密码的操作信息,对操作来源的IP地址进行预设时间的或者永久的封杀;对与针对用户邮件的操作信息,暂停操作来源用户的使用,等待管理员重新激活该用户。
10.根据权利要求8所述的装置,其特征在于,所述安全处理模块对不存在危险性的所述操作信息,允许操作来源进行正常的用户操作。
全文摘要
本发明公开了一种电子邮件用户行为监测方法和装置,所述方法包括以下步骤接收用户的与电子邮件相关的操作信息并分析得到所述操作信息中的命令码,过滤命令码不符合电子邮件协议的所述操作信息;根据命令码对符合电子邮件协议的所述命令码的操作信息进行分类,并记录操作信息来源的IP地址;根据所述操作信息的类型,利用接收操作信息的历史记录,找出具有危险性的操作信息;对于具有危险性的所述操作信息,确定发送所述操作信息的IP地址和用户信息以进行相应的安全处理。本发明有效地弥补了现有邮件协议在针对口令攻击方面的不足,提高了系统的安全性,减少了防御网络攻击所带来的时间、成本和人力的支出。
文档编号H04L12/58GK102404341SQ201110434480
公开日2012年4月4日 申请日期2011年12月22日 优先权日2011年12月22日
发明者兰雨晴, 夏颖, 张永军, 王林, 甄东宇 申请人:中标软件有限公司