, ，，

(湖北大學(xué) 計(jì)算機(jī)與信息工程學(xué)院，武漢 430062)

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，有關(guān)信息安全的話題引起廣大人們的密切關(guān)注?，F(xiàn)今，人們對電子郵件的依賴程度日益增大，它已成為工作信息交換的主要渠道，使用最為廣泛的通信手段之一。同時(shí)，對電子郵件傳輸?shù)膶?shí)時(shí)性、可靠性和安全性的要求越來越高，據(jù)調(diào)查顯示，通過電子郵件致使機(jī)密資料誤入他手的情況仍保持很高的比重。特別是個(gè)人電子郵件，缺少保密技術(shù)，可能會給不法分子帶來可乘之機(jī)，給信息安全帶來了威脅與風(fēng)險(xiǎn)從而導(dǎo)致隱私文件信息的泄漏。

縱觀郵件研究領(lǐng)域，最受關(guān)注的是在郵件服務(wù)器端和客戶端對垃圾郵件的研究。服務(wù)器端主要采取黑名單技術(shù)[1]和郵件過濾技術(shù)。黑名單技術(shù)，就是將發(fā)送垃圾郵件的服務(wù)器的IP地址納入黑名單，來自這個(gè)IP地址的郵件發(fā)送請求都會被拒絕，包括正常郵件。郵件過濾技術(shù)是服務(wù)器在相關(guān)握手、連接指令中的會話數(shù)據(jù)進(jìn)行檢查，判斷是否符合過濾規(guī)則，是就直接終止該過程。很多時(shí)候郵件服務(wù)器非常繁忙，需頻繁發(fā)出查詢請求，對數(shù)據(jù)一一檢查將消耗大量的服務(wù)器資源?？蛻舳说泥]件過濾技術(shù)如基于貝葉斯決策的技術(shù)[2]、支持向量機(jī)[3]等方法?？蛻舳私邮锗]件將判斷的垃圾郵件單獨(dú)存放到一個(gè)郵箱。客戶端反垃圾技術(shù)處于起步階段，需要相關(guān)廠商不斷完善提高。在服務(wù)器和客戶端實(shí)現(xiàn)垃圾郵件的完全攔截不太現(xiàn)實(shí)。如何對垃圾郵件、病毒郵件、泄密郵件進(jìn)行準(zhǔn)確、實(shí)時(shí)過濾，保證網(wǎng)絡(luò)安全，成為郵件應(yīng)用中一個(gè)亟待解決的難題[4]。目前尚沒有在路由器端進(jìn)行防范的工作。針對密碼發(fā)送型郵件木馬進(jìn)行研究，提出在路由器端進(jìn)行郵件的攔截，以SMTP協(xié)議對應(yīng)的報(bào)文特征為依據(jù)，通過分析內(nèi)核態(tài)下數(shù)據(jù)報(bào)文的傳送方式，設(shè)計(jì)look_data()函數(shù)對數(shù)據(jù)包進(jìn)行捕獲，準(zhǔn)確提取出附件名，與隱私文件匹配，在郵件沒有到達(dá)服務(wù)器時(shí)，發(fā)現(xiàn)垃圾郵件，及時(shí)的攔截，避免危害的發(fā)生。

1 系統(tǒng)總體設(shè)計(jì)

在路由器端嵌入郵件攔截與放行程序思想的提出是一個(gè)新穎的方法，現(xiàn)在的路由器只是實(shí)現(xiàn)路由轉(zhuǎn)換作用，本文的設(shè)計(jì)是在路由器端進(jìn)行隱私信息的攔截，保護(hù)局域網(wǎng)內(nèi)的數(shù)據(jù)安全，具有重要的現(xiàn)實(shí)意義。核心思想是將設(shè)計(jì)的程序使用Netfilter加載到內(nèi)核，監(jiān)視電子郵件服務(wù)器的正常接收端口號25，即在郵件到達(dá)郵件服務(wù)器前監(jiān)視通過smtp掃描郵件分析數(shù)據(jù)幀。發(fā)送電子郵件到攔截模塊同樣是在SMTP協(xié)議下進(jìn)行，按順序?qū)﹄娮余]件進(jìn)行監(jiān)視，通過他匹配關(guān)鍵字過濾做初步攔截。然后放行的郵件數(shù)據(jù)幀正常的傳送出去，把初步安全的電子郵件發(fā)送到郵件服務(wù)器[5]。本設(shè)計(jì)是由報(bào)文處理和網(wǎng)絡(luò)數(shù)據(jù)包捕獲兩大模塊組成。

1.1 Netfilter框架原理

在linux下程序是以模塊的方式編寫運(yùn)行的，通過內(nèi)核的掛接命令將模塊嵌入內(nèi)核。Netfilter子系統(tǒng)提供了一個(gè)框架，可以對數(shù)據(jù)包執(zhí)行各種操作，如丟棄包，修改端口或地址等。Netfilter框架如下：

1)static int __init hook_init(void) 這是模塊初始化，在內(nèi)核建立模塊，注冊相應(yīng)的表；

2)static void __exit hook_exit(void)注銷函數(shù)，退出剛建立的模塊；

3)nf_hook_ops()在Netfilter中是一個(gè)非常重要的結(jié)構(gòu)，每個(gè)struct nf_hook_ops需要掛接到nf_hooks數(shù)組中的某個(gè)鏈表中才起作用，每個(gè)協(xié)議族的各種處理形成一個(gè)處理鏈表，鏈表上可以掛接多個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)是一個(gè)數(shù)據(jù)處理結(jié)構(gòu)(struct nf_hook_ops)，用來描述對數(shù)據(jù)包進(jìn)行如何處理。

這三個(gè)函數(shù)是編寫內(nèi)核模塊的必要函數(shù)，完成他們的編寫，加上自己編寫的目標(biāo)程序就可完成數(shù)據(jù)操作的框架。

Netfilter框架支持支持?jǐn)?shù)據(jù)包在網(wǎng)絡(luò)協(xié)議棧傳輸?shù)膾旖狱c(diǎn)上注冊回調(diào)函數(shù)，通過回調(diào)函數(shù)來執(zhí)行Netfilter子系統(tǒng)的各種操作任務(wù)。Netfilter子系統(tǒng)客隊(duì)數(shù)據(jù)包進(jìn)行選擇，鏈接跟蹤等。

1.2 網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊

要實(shí)現(xiàn)會話過程中數(shù)據(jù)包的過濾，首先要捕獲會話中所有數(shù)據(jù)包，然后通過分析和解析會話中的數(shù)據(jù)內(nèi)容。網(wǎng)絡(luò)數(shù)據(jù)包捕獲模塊是用Netfilter框架實(shí)現(xiàn)的，Netfilter框架支持?jǐn)?shù)據(jù)包在網(wǎng)絡(luò)協(xié)議棧傳輸?shù)膾旖狱c(diǎn)上注冊回調(diào)函數(shù)，通過回調(diào)函數(shù)來執(zhí)行Netfilter子系統(tǒng)的各種操作任務(wù)。Netfilter子系統(tǒng)可對數(shù)據(jù)包進(jìn)行選擇，鏈接跟蹤等。網(wǎng)絡(luò)中一個(gè)數(shù)據(jù)包通過Netfilter系統(tǒng)的流程如圖1所示。

圖1 數(shù)據(jù)包流程圖

流入的數(shù)據(jù)包第一個(gè)先到達(dá)掛接點(diǎn)NF_IP_PRE_ROUTING處進(jìn)行處理；對發(fā)往本地的數(shù)據(jù)進(jìn)入路由子系統(tǒng)，再到鉤子NF_LOCAL_IN, 處理后交給上層協(xié)議，對所有要轉(zhuǎn)發(fā)的數(shù)據(jù)包則路由到鉤子NF_IP_FORWARD處理；最后經(jīng)過鉤子NF_IP_POST_ROUTING處理再發(fā)送到網(wǎng)上[6]。內(nèi)核執(zhí)行到相關(guān)點(diǎn)時(shí)會觸發(fā)回調(diào)函數(shù)，根據(jù)回調(diào)函數(shù)的邏輯，對包含網(wǎng)絡(luò)協(xié)議棧的sk_buff結(jié)構(gòu)進(jìn)行操作。從而使函數(shù)作為內(nèi)核函數(shù)運(yùn)行在Linux系統(tǒng)中。本文所設(shè)計(jì)的static int hook_getdata()函數(shù)，實(shí)現(xiàn)數(shù)據(jù)包的判斷，從而獲取smtp郵件數(shù)據(jù)包。

1.3 報(bào)文處理模塊

對報(bào)文的分析往往是分析其特征，根據(jù)smtp郵件協(xié)議格式和smtp協(xié)議連接過程的解析，本文設(shè)計(jì)出static char *look_data(struct sk_buff *skb)函數(shù)，能準(zhǔn)確獲取smtp郵件內(nèi)容數(shù)據(jù)幀。報(bào)文獲取流程如圖2所示。

圖2 smtp郵件獲取流程圖

(1)報(bào)文獲取子模塊：報(bào)文獲取子模塊將非SMTP的報(bào)文直接發(fā)送，只將SMTP的報(bào)文接收交由E-mail攔截子模塊處理。對報(bào)文的處理分類規(guī)則為：

if (不是IP報(bào)文頭)

直接發(fā)送；

else

if(不是TCP報(bào)文頭)

直接發(fā)送；

else

if(端口不是25號)

直接發(fā)送；

else

接收，調(diào)用E-mail攔截子模塊進(jìn)行處理；

(2)E-mail攔截子模塊。

模塊功能說明：查看獲取報(bào)文內(nèi)容，并找到郵件附件名。定義 static char *look_data(struct sk_buff *skb)函數(shù)，查看smtp郵件內(nèi)容數(shù)據(jù)幀，

郵件附件名的獲取是通過本文所設(shè)計(jì)的int ViolentMatch(char *s, char *p)函數(shù)實(shí)現(xiàn)，采用的算法為多模式匹配算法，把獲取到的數(shù)據(jù)幀與上節(jié)所分析出的特征文件匹配。 匹配到則攔截?cái)?shù)據(jù)包，反之放行。

Netfilter中數(shù)據(jù)包的流向動作是根據(jù)處理函數(shù)的返回值決定：NF_ACCEPT，保留該數(shù)據(jù)包； NF_DROP，丟棄該數(shù)據(jù)包；NF_STOLEN，忘掉該數(shù)據(jù)包；NF_QUEUE將該數(shù)據(jù)包插入到用戶空間；NF_REPEAT，再次調(diào)用改hook函數(shù)。

2 關(guān)鍵技術(shù)

2.1 電子郵件傳輸協(xié)議

SMTP(Simple Mail Transfer Protocol)即簡單郵件傳輸協(xié)議，是一種提供可靠且有效電子郵件傳輸協(xié)議。它是一組用于由源地址到目的地址傳送郵件的規(guī)則，由它來控制信件的中轉(zhuǎn)方式。SMTP協(xié)議屬于TCP/IP協(xié)議簇，它幫助每臺計(jì)算機(jī)在發(fā)送或中轉(zhuǎn)信件時(shí)找到下一個(gè)目的地。

分析可知電子郵件的報(bào)文組成包括郵件頭和郵件體。 郵件頭主要包括：發(fā)件人(From)、收件人(To)、發(fā)送時(shí)間(Date)、主題字(Subject)等。郵件體：用戶所需發(fā)送的郵件內(nèi)容包括正文和附件。郵件信息每行是以(回車換行符)作為結(jié)束符，郵件內(nèi)容是以.CR>結(jié)束的。郵件解析主要從報(bào)文中提取發(fā)件人(From)、主題字(subject)、附件名(filename)、附件的內(nèi)容。這些信息的提取是通過報(bào)文中的字符串來發(fā)現(xiàn)的。例如：“filename=”附件名后,以開始，以.結(jié)束[7]。

SMTP以命令方式連接過程，如表1所示，根據(jù)客戶端發(fā)送的MAIL FROM,RCPT TO和DATA命令，我們就可以實(shí)現(xiàn)對一個(gè)郵件數(shù)據(jù)包的分解。

表1 SMTP郵件命令

2.2 基于特征分析的隱私文件

多數(shù)瀏覽器的都具有密碼記憶功能，第一次輸入密碼后會提示保存密碼，下次登錄時(shí)不用再次輸入密碼。雖然很方便，但不安全。這些數(shù)據(jù)都是保存在本地電腦上的，木馬可以找到目標(biāo)機(jī)中保存密碼的文件并通過郵件的形式將其發(fā)送出去。通過獲得被攻擊者瀏覽器配置文件中與這個(gè)自動保存密碼功能相關(guān)的文件，在其他電腦上面同樣的瀏覽器配置文件中覆蓋或替換一次就能獲得被攻擊者的密碼。本文通過在虛擬機(jī)中安裝了集中瀏覽器測試，成功找到了配置文件中和密碼相關(guān)的文件。文中定義此類文件為隱私文件。

當(dāng)前，瀏覽器只提供密碼存儲記憶功能以方便用戶使用，但沒有對此做隱私存儲保密機(jī)制，這方面的漏洞給攻擊者提供了竊取信息的方便之門。因此，web瀏覽器的配置文件中的帶有用戶名及密碼的隱私文件就成為黑客的攻擊目標(biāo)，一旦遭到竊取，將會給用戶帶來巨大的損失與危害[8]。通過參考大量國內(nèi)外有關(guān)瀏覽器隱私文件的存儲機(jī)制，通過特征分析，總結(jié)出個(gè)人電腦上運(yùn)用最多的瀏覽器及對應(yīng)的隱私文件如表2所示。

2.3 模式匹配

模式匹配的符號表示為：文本字符串T為待匹配的主串：(1)T1T2…Tn，其長度為n；(2)P為待匹配的模式串：P1P2…Pm，其長度為m，(m≤n)。在T中有一長度為m的字串：Ti-1Ti-2…Ti-s，使得Ti-j=Pj，j=1,2…m，i≤n-m。則模式串P在文本T中出現(xiàn)，即匹配。其原理就是從P和T的第一個(gè)字符開始匹配，每一次的匹配，主串T的起始位置為

表2 瀏覽器隱私文件對應(yīng)表

上一輪失配的位置，模式串P的位置仍是P的起始字符串開始匹配。根據(jù)模式串?dāng)?shù)量的不用又可以分為單模式匹配和多模式匹配兩類。

多模式匹配數(shù)學(xué)表示：已知模式串集合P={P1，P2，…PL}，對應(yīng)個(gè)數(shù)為L。其中Pi=Pi1Pi2…Piim， 1≤i≤L，長度為mi；模式主串T=t1t2…tn，長度為n，n≥mi。所有字符都從P中取出，其原理就是將P與T中所有字符對比，同時(shí)查找出P中所有匹配字符早T中的位置。

多模式匹配一次可對多個(gè)模式串進(jìn)行匹配，在很大程度上提高了檢測效率，單模式匹配一次只能匹配一個(gè)模式串，效率低，所以大多數(shù)情況下都會采用多模式匹配，文中所用的模式匹配為多模式匹配。其所需匹配的模式串P={ FormData3.dat，Login Data ，Web Data ，SafeBox0，logins.json key3.db，forms.dat，keychain.plist，UC Login Data.9}，主串為捕獲到的數(shù)據(jù)包信息。

3 實(shí)驗(yàn)過程和結(jié)果

使用一臺裝有l(wèi)inux操作系統(tǒng)的主機(jī)，搭建好Netfilter的運(yùn)行環(huán)境，將實(shí)驗(yàn)程序部署在linux上，進(jìn)入管理員權(quán)限，編寫Makefile文件，使用make命令編譯，將生成的.ko文件加載到內(nèi)核模塊，即可捕獲和處理通過路由器端的所有數(shù)據(jù)包。具體實(shí)現(xiàn)為先初始化Netfilter框架，建立鉤子，接收報(bào)文信息，篩選SMTP協(xié)議，判斷是否為郵件；然后對數(shù)據(jù)幀進(jìn)行單模式匹配，獲取郵件附件關(guān)鍵字(filename)；最后將獲得的關(guān)鍵字的附件名與特征表中的關(guān)鍵字匹配，若匹配則是郵件附件含有隱私文件將其攔截，反之放行。主要函數(shù)及其功能如下：

1)static int hook_getdata()函數(shù)，實(shí)現(xiàn)數(shù)據(jù)包的判斷，獲取smtp郵件數(shù)據(jù)包；

2)static char *look_data(struct sk_buff *skb)函數(shù)，獲取smtp郵件內(nèi)容數(shù)據(jù)幀；

3)int ViolentMatch(char *s, char *p)函數(shù)，把獲取到的數(shù)據(jù)幀與“filename=”匹配；

4)int getkeyword(char *str)函數(shù)，把上一步與“filename=”匹配到的后面的文件名提取出來。

5)int search(char *kw)函數(shù)，將提取到的文件名與不能傳出的隱私文件名作比較，匹配則攔截，反之放行。

在內(nèi)核態(tài)下能否正確的提取郵件數(shù)據(jù)是實(shí)驗(yàn)的關(guān)鍵，只有正確捕獲到郵件數(shù)據(jù)，才能提取到郵件附件名進(jìn)行檢測。在內(nèi)核態(tài)下捕獲的數(shù)據(jù)幀如圖3所示。圖4是用網(wǎng)絡(luò)抓包分析器wireshark抓的同一封郵件的數(shù)據(jù)包。內(nèi)核態(tài)下捕獲到的數(shù)據(jù)包和wireshark捕獲的數(shù)據(jù)包內(nèi)容一致。

圖3 內(nèi)核態(tài)下郵件數(shù)據(jù)幀

圖4 wireshark 郵件數(shù)據(jù)幀

郵件的攔截實(shí)驗(yàn)自2016年12月至今，進(jìn)行了多次實(shí)踐，圖5正常郵件發(fā)送的結(jié)果，可見能夠直接發(fā)送出去，圖7則是帶有禁止文件的郵件發(fā)送結(jié)果，該數(shù)據(jù)包被丟棄，不能通過路由器轉(zhuǎn)發(fā)出去。

圖5 正常郵件

圖6 含隱私文件郵件

實(shí)驗(yàn)證明，在路由器端使用文中提出的方法可以有效的攔截含有隱私文件郵件的發(fā)送，提高網(wǎng)絡(luò)安全。

4 結(jié)論

提出在路由器端進(jìn)行郵件攔截的新方法，不僅能及時(shí)攔截郵件，即在報(bào)文傳輸過程中攔截此時(shí)郵件并未到達(dá)服務(wù)器，并且對局域網(wǎng)內(nèi)部的所有連接的設(shè)備都能做到保護(hù)，這相對于客戶端和服務(wù)器端有不能比擬的優(yōu)勢。另外，所設(shè)計(jì)的程序占用內(nèi)存少(3.4 kb)，移植到路由器端并不會對路由器的性能有太大影響?？梢詮V泛應(yīng)用到中小型企業(yè)，家庭路由中，以減少不必要的損失，達(dá)到安全上網(wǎng)的目的。在郵件沒有傳送到郵件服務(wù)器時(shí)及時(shí)進(jìn)行攔截，

今后將設(shè)計(jì)思想對完成對其他傳輸協(xié)議和郵件內(nèi)容進(jìn)行分析，挖掘有害郵件的特征，建立特征數(shù)據(jù)庫，檢測更加復(fù)雜的郵件。

[1] 楊艷燕, 郭紅轉(zhuǎn), 路新華. 基于粗糙集的帶決策規(guī)則邊界的郵件過濾算法[J]. 計(jì)算機(jī)應(yīng)用研究, 2015,32 (1): 258-261.

[2] 王青松,魏如玉. 基于短語的貝葉斯中文垃圾郵件過濾方法[J]. 計(jì)算機(jī)科學(xué), 2016, 43(4): 256-259.

[3] 沈元輔, 沈躍伍. 基于多層grams的在線支持向量機(jī)的中文垃圾郵件過濾.[J]. 中文信息學(xué)報(bào), 2015, 29(1): 126-132.

[4] 王 斌, 潘文峰. 基于內(nèi)容的垃圾郵件過濾技術(shù)綜述[J]. 中文信息學(xué)報(bào), 2005, 19(5): 1-10.

[5] 樊全會. 基于CORBA的電子郵件安全研究與設(shè)計(jì)[J]. 軟件導(dǎo)刊, 2012, 11(1): 71-73.

[6] 胡希明,毛德操. LINUX內(nèi)核源代碼情景分析[M]．杭州：浙江大學(xué)出版社，2001.

[7] 成凱麗, 葉瑋瓊, 許 林. 基于SMTP-POP3協(xié)議的嵌入式遠(yuǎn)程控制設(shè)計(jì)與實(shí)現(xiàn)[J]. 湖南工業(yè)大學(xué)學(xué)報(bào), 2015(1): 88-92.

[8] 盧永強(qiáng), 方 勇, 方 昉, 等. 瀏覽器隱私信息存儲于保護(hù)技術(shù)研究[J]. 信息安全與通信保密, 2013(4): 84-85.

[9] Laclavík M, Dlugolinsky S, Seleng M, et al. Emails as graph: relation discovery in email archive[C].Proceedings of the 21st International Conference on World Wide Web. ACM, 2012: 841-846.

[10] Hu X, Liu H. Social status and role analysis of palin's email network[C].Proceedings of the 21st International Conference on World Wide Web. ACM, 2012: 531-532.

[11] 魏 慶. “電子郵件”泄密與防范[J]. 中國信息安全, 2014(4): 116-117.

[12] 李全剛, 時(shí)金橋, 秦志光, 等. 面向郵件網(wǎng)絡(luò)事件檢測的用戶行為模式挖掘[J]. 計(jì)算機(jī)學(xué)報(bào), 2014(5): 1135-1146.

[13] 曹建玲, 崔平付, 劉文朋, 等. 高吞吐http://59.68.64.61:8080/opac/量低時(shí)延太赫茲超高速無線網(wǎng)絡(luò)MAC接入?yún)f(xié)議[J]. 系統(tǒng)工程與電子技術(shù), 2016(3): 679-684.

[14] 張 海, 李彭軍, 李 宸. 基于Netfilter框架的計(jì)費(fèi)網(wǎng)關(guān)[J]. 計(jì)算機(jī)應(yīng)用, 2002,22(12): 116-118.

[15] 孫 彧, 胡 凱. 接入控制器中基于 Netfilter 的防范 DDOS 攻擊策略研究[J]. 光通信研究, 2013(5): 63-65.