趙建軍,汪旭童,崔 翔,劉奇旭

(1.中國科學(xué)院 信息工程研究所,北京 100089;2.中國科學(xué)院大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院,北京 100089;3.中關(guān)村實驗室,北京 100089)

1 引 言

電子郵件是現(xiàn)代企業(yè)辦公環(huán)境中必不可少的工具之一。郵件往來能夠反映出一個企業(yè)的人員結(jié)構(gòu),郵件內(nèi)容能夠反映出員工的工作內(nèi)容,這些正是攻擊者渴望獲取的情報。近年來,高級持續(xù)性威脅(Advanced Persistent Threat,APT)組織活動日益猖獗,郵箱是其竊取情報、橫向移動的首要目標(biāo)之一。在ATT&CK矩陣[1]中,使用電子郵箱相關(guān)技戰(zhàn)法的APT組織共20余個,超過總數(shù)的15%。此外,不斷泄露的用戶數(shù)據(jù)也為攻擊者提供了大量的郵箱賬號和密碼[2]。除被公開的數(shù)據(jù)外,還有更多的數(shù)據(jù)正在黑市和暗網(wǎng)中被攻擊者收集、交換和交易,這就導(dǎo)致大量郵箱處于隨時可被攻擊者接管的風(fēng)險之中。攻擊者可以通過失陷郵箱來竊取用戶甚至企業(yè)的工作內(nèi)容和成果,或者根據(jù)人際關(guān)系來進行橫向移動釣魚攻擊。失陷賬號存在時間越長,對企業(yè)和組織的危害越大,因此及時發(fā)現(xiàn)這類失陷賬號尤為重要。

目前,學(xué)術(shù)界關(guān)于電子郵件的研究大多集中在垃圾郵件、釣魚郵件的檢測和過濾上[3-6]。垃圾郵件、釣魚郵件檢測和失陷郵箱發(fā)現(xiàn)是在同一場景下的兩個不同方向。垃圾郵件、釣魚郵件的檢測側(cè)重對郵件內(nèi)容的檢測,重點關(guān)注實時防御能力;失陷郵箱發(fā)現(xiàn)則是側(cè)重對失陷結(jié)果的檢測,重點支撐損失評估和溯源取證相關(guān)工作。文中涉及的研究側(cè)重后者。

在失陷郵箱發(fā)現(xiàn)的相關(guān)研究中,大多數(shù)檢測方法都是面向具體的一種攻擊過程(如魚叉釣魚、暴力破解、橫向移動等)。例如,2016年,HU等[7]參考社交網(wǎng)絡(luò)領(lǐng)域相關(guān)技術(shù),采用社交關(guān)系圖拓?fù)浞治龅姆椒?借鑒并改進出度、Pagerank等5個指標(biāo)對郵件往來關(guān)系進行評價。基于郵箱收發(fā)日志,將郵件往來關(guān)系異常的賬戶判定為失陷賬戶,該方法的平均準(zhǔn)確度約為60%。2017年,HO等[8]使用郵件樣本、網(wǎng)絡(luò)日志(HTTP日志)、郵箱登錄日志作為分析數(shù)據(jù),基于發(fā)件人信譽和郵件中統(tǒng)一資源定位系統(tǒng)(Uniform Resource Locator,URL)的域名信譽對郵件可疑程度進行評價,通過比對HTTP日志,追蹤用戶訪問釣魚鏈接并輸入賬戶口令的情況來確認(rèn)郵箱是否失陷。2018年,楊加等[9]提出一種面向校園網(wǎng)場景下的失陷郵箱檢測方法。該方法分析郵箱登錄日志,使用登錄頻率閾值確定暴力猜解源IP地址,通過對賬號和IP地址對應(yīng)關(guān)系的熵值進行聚類,將惡意IP地址歸為同一組織。同時,該方法通過對IP地址地理位置變化及異常時間登錄次數(shù)設(shè)定閾值來發(fā)現(xiàn)異常登錄行為。檢測橫向移動釣魚郵件的方法同樣能夠用來檢測失陷郵箱,但前提是攻擊者存在發(fā)件行為,如果攻擊者的目的只是竊取郵件,那么就無法檢測到此類失陷郵箱。2019年,HO等[10]結(jié)合文獻[7]和文獻[8]的方法,使用隨機森林來分類郵件是否為橫向移動釣魚郵件。該方法使用3組特征:郵件接收人相似性、發(fā)件人信譽和URL信譽。通過分析多個惡意郵件發(fā)件人是否存在因果關(guān)系來推測攻擊是否成功。

除郵箱賬號外,其他形式的在線網(wǎng)絡(luò)服務(wù)也會面臨賬號失陷的威脅。社交網(wǎng)絡(luò)的興起和不斷發(fā)展,吸引了大量關(guān)注和資金。攻擊者對社交網(wǎng)絡(luò)的非法使用能夠為其帶來豐厚的利益,如濫發(fā)廣告、售賣熱搜和點贊等。這些獲取利益的方式都需要大量賬號的支持,因此催生了各種針對社交網(wǎng)絡(luò)用戶賬號的攻擊,例如惡意注冊、賬號劫持、暴力猜解等。目前,學(xué)術(shù)界已經(jīng)存在有關(guān)防御此類攻擊的技術(shù)研究[11-15],其思路和方法也能夠擴展到失陷郵箱的檢測中。

攻擊者在竊取郵件內(nèi)容或發(fā)送橫向移動釣魚郵件時,必然首先通過POP3、IMAP、SMTP或者Webmail等方式登錄郵箱,即在失陷郵箱的登錄行為中必然存在除郵箱所有者以外的登錄行為(可疑登錄行為)。若可疑登錄行為可被提取和比較,則可在多個郵箱之間縱向?qū)Ρ绕湎嗨菩?。?dāng)可疑登錄行為在多個郵箱賬戶內(nèi)出現(xiàn)且相似時,可以依據(jù)其共性來發(fā)現(xiàn)同一批失陷的郵箱群,并關(guān)聯(lián)到攻擊者。因此文中的研究重點是尋找攻擊行為共性可能出現(xiàn)的方面,以及如何利用該共性檢測失陷郵箱。

2 登錄行為的時空分析

郵箱的登錄日志能夠反映出郵箱的登錄行為。最基本的,登錄日志應(yīng)包含郵箱地址、登錄IP地址和登錄時間等。其中IP地址屬于空間屬性,其相關(guān)的特征有歸屬城市、經(jīng)緯度等;登錄時間屬于時間屬性。當(dāng)?shù)卿浫罩镜挠涗洉r間足夠長且信息足夠充分時,統(tǒng)計特征會暴露出攻擊者在入侵多個失陷郵箱時的共性,將從時間和空間的角度來研究該共性的刻畫方法。

2.1 郵箱失陷模型

將郵箱賬號作為目標(biāo)的攻擊者主要可分為兩類:以竊取信息、投遞木馬為主要目標(biāo)的APT組織和以獲取收益為主的互聯(lián)網(wǎng)黑產(chǎn)。二者在實施攻擊時的共同點是:在一定時期內(nèi),將某個企業(yè)或組織的所有郵箱賬戶均視為目標(biāo)。前者以任務(wù)為驅(qū)動,即在攻擊任務(wù)開始后一段時間內(nèi),以期獲得盡可能多的郵箱賬號來竊取目標(biāo)企業(yè)或者組織的工作內(nèi)容和人員架構(gòu)。后者以數(shù)據(jù)為驅(qū)動,即在其獲取新的泄露數(shù)據(jù)后,立即對郵箱賬號和密碼進行驗證,儲備為其攻擊資源。

基于此類攻擊場景,給出郵箱失陷模型,如圖1所示。在該模型中,多個攻擊者可能同時針對同一批目標(biāo),且每個攻擊者可能使用一個或多個IP地址來實施攻擊,因此難以僅通過IP地址來關(guān)聯(lián)攻擊行為。為解決這個問題,將登錄行為的兩個屬性(登錄地址和登錄時間)作為分析和關(guān)聯(lián)對象,即通過分析各郵箱中異常的一個或多個IP地址是否具備地理位置的空間相似性或登錄時間的同步性來確定郵箱是否失陷。

圖1 郵箱失陷模型

2.2 攻擊行為的空間相似性

攻擊者為了防止自己被溯源,幾乎不會使用自身所處的網(wǎng)絡(luò)作為攻擊出口。公有的云服務(wù)器由于其易于獲取、可隨時丟棄的特點,成為攻擊者首選的攻擊設(shè)施。此類云服務(wù)器以虛擬機的形式在使用時即時創(chuàng)建,在用戶棄用時徹底刪除,幾乎不會留下任何操作痕跡,并且相比于個人終端肉雞、物聯(lián)網(wǎng)僵尸節(jié)點等具備更好的可操作性和穩(wěn)定性。目前國內(nèi)外常見云服務(wù)提供商都在常見的大型數(shù)據(jù)中心(如位于香港、新加坡、東京等地)提供可選節(jié)點。對于國內(nèi)的組織和企業(yè)來說,來自這些位置的登錄行為是比較可疑的。例外的是,用戶自身配置了境外的代理服務(wù)器來登錄郵箱,但在文中所針對的攻擊模型中,這種行為難以造成多個賬號的異常具有同步性。

筆者采用的空間相似性的判定思路是:假設(shè)郵箱i和郵箱j的常用登錄位置(可信)接近,且郵箱i和郵箱j的非常用登錄位置(可疑)也接近,認(rèn)為郵箱i和郵箱j具備空間相似性。常用地特征用來將郵箱關(guān)聯(lián)到一個企業(yè)或組織,尤其是當(dāng)日志數(shù)據(jù)中的郵箱地址是匿名地址時,難以確定哪些郵箱屬于同一個企業(yè)或組織,這時常用地特征顯得更加重要;異常地特征用來將攻擊者所使用的一個或多個IP關(guān)聯(lián)到同一個組織。當(dāng)一批待分析的日志數(shù)據(jù)中,大量郵箱具備相近的常用地和異常地,即這些郵箱屬于同一個企業(yè)或組織且均被若干地理位置鄰近的IP地址登錄過時,滿足所述的郵箱失陷模型,這些郵箱存在失陷的可能。

2.2.1 空間相似性指標(biāo)

具體地,從郵箱登錄日志中提取某個郵箱賬號中登錄次數(shù)最多的IP地址記作該郵箱的常用IP地址,提取登錄次數(shù)最少的IP地址記作該郵箱的異常IP地址。通過計算兩個郵箱之間常用IP地址地理位置間的距離與異常IP地址地理位置間的距離之和,即可量化此兩個郵箱的空間相似性,具體計算為

s(i,j)=dis(fi,fj)+dis(ai,aj) ,

(1)

其中,s表示郵箱i和郵箱j的空間相似度計算函數(shù),dis表示兩個IP地址地理位置距離的計算函數(shù),fi和fj分別表示郵箱i和郵箱j中的常用IP地址,ai和aj分別表示郵箱i和郵箱j中的異常IP地址。在計算距離時,可使用IP地址地理位置數(shù)據(jù)庫獲取IP地址對應(yīng)的經(jīng)緯度,再根據(jù)經(jīng)緯度來計算兩個點的地理距離。

為使空間相似性指標(biāo)更加準(zhǔn)確,在提取常用地和異常地特征時,選取多個常用IP地址和異常IP地址。在計算時,首先列舉郵箱i的常用地IP地址到郵箱j的常用地IP地址的所有可能組合,其次分別計算所有距離并取最小值,對于異常地的計算與之類似。則此時郵箱i和郵箱j的空間相似度可以表示為

(2)

空間相似性指標(biāo)代表了兩個賬戶之間最相近的空間位置關(guān)系,該指標(biāo)越小,此兩個賬戶常用地IP地理位置越接近,且異常登錄IP地址地理位置也接近。選擇IP地址間的距離而不是直接根據(jù)IP地址歸屬城市來判斷空間相似度的原因在于,對于面積較小且較集中的城市群,地理位置鄰近的IP地址可能歸屬于不同的城市,導(dǎo)致無法將其關(guān)聯(lián)到同一類中,造成漏報。此外,經(jīng)緯度相對城市更加客觀,避免了IP信息數(shù)據(jù)庫中因“城市、區(qū)縣等”定義模糊帶來的影響。

當(dāng)若干郵箱兩兩之間的空間相似度都接近,且該郵箱群體的數(shù)量很多時,則可確定此郵箱群存在失陷可能。因此,對失陷郵箱群的檢測,可以通過劃分具有相近空間相似度的郵箱社區(qū)來實現(xiàn)。

2.2.2 圖構(gòu)建與社區(qū)劃分

將郵箱賬戶作為節(jié)點,將郵箱間的空間相似度作為節(jié)點間邊連接的依據(jù),可構(gòu)建一個圖來表示待分析郵箱之間的空間鄰近關(guān)系。具體地,在構(gòu)建圖時,引入一個閾值來確定兩個郵箱之間是否存在一條邊的連接。當(dāng)郵箱i和郵箱j的空間相似性指標(biāo)小于閾值時,此兩個郵箱之間連接一條邊,反之則不連接。閾值的確定會影響最終的結(jié)果,閾值過大時會引入較多誤報,閾值過小則會引起漏報。由于空間相似性指標(biāo)通過計算兩地間的距離得出,因此在設(shè)定閾值時需考慮登錄地點的偏離范圍。根據(jù)文獻[16]的統(tǒng)計,國內(nèi)主要城市的通勤空間半徑平均約為30 km,因此設(shè)定該閾值為30。

空間相似度圖G的構(gòu)建過程可以描述為

(3)

圖構(gòu)建完成后,使用Louvain算法對該圖進行社區(qū)劃分。Louvain算法是一種基于聚類的社區(qū)劃分算法,能夠快速有效地辨別有層次的社區(qū)結(jié)構(gòu)從而對大型網(wǎng)絡(luò)進行社區(qū)劃分,具有快速、準(zhǔn)確的特點,被認(rèn)為是性能最好的網(wǎng)絡(luò)或圖的發(fā)現(xiàn)算法之一[17]。與傳統(tǒng)的聚類方法(如k-means和基于密度的聚類)相比,社區(qū)劃分算法可以更靈活地選擇和調(diào)整距離指標(biāo),并可以通過控制節(jié)點間邊的連接來調(diào)節(jié)圖的規(guī)模,以達到更好的聚類效果。

2.2.3 異常排名與信譽機制

對于郵箱是否確實失陷的問題,只能通過向郵箱所有者親自確認(rèn)或者關(guān)聯(lián)威脅情報中的威脅標(biāo)識(Indicators of Compromise,IoCs)。但在實際工作中,向郵箱所有者確認(rèn)是不現(xiàn)實的,加之威脅情報又僅能披露部分惡意IP地址,使得對這一問題很難給出是和否的判斷。因此,從失陷郵箱檢測的目的性(評估損失、溯源攻擊)出發(fā),參考DAS[8]的思路,給出一個按失陷可能性排序的郵箱列表,當(dāng)工作人員需要調(diào)查取證時,可為其提供一個優(yōu)先級的參考。

經(jīng)過上述圖構(gòu)建和社區(qū)劃分后,可得到若干社區(qū),同一個社區(qū)內(nèi)的郵箱的空間行為都較為相似。參考上述郵箱失陷模型,被同一攻擊者入侵的郵箱賬號將會被劃分到同一個社區(qū)內(nèi);對于其他郵箱賬戶,其空間特征復(fù)雜多樣,沒有規(guī)律,使得這些賬戶呈現(xiàn)出分布于不同的社區(qū)且社區(qū)內(nèi)郵箱賬戶節(jié)點數(shù)較少的特點。因此可以依據(jù)社區(qū)規(guī)模對郵箱賬戶初步排序,即社區(qū)內(nèi)節(jié)點數(shù)越多,越符合郵箱失陷模型,該社區(qū)被入侵的可能性就越高。

對于社區(qū)內(nèi)的郵箱可疑度排序,引入了一個IP地址信譽評估機制。郵箱的常用IP地址和異常IP地址的信譽之差越大,說明該郵箱的常用IP地址越可信,異常IP地址越可疑,即該郵箱的排名應(yīng)處于更靠前的位置。涉及多個常用地和多個異常地時,先計算所有常用IP地址信譽的平均值,再與所有異常IP地址信譽的平均值做差。

在具體計算IP地址的信譽時,使用3個特征:登錄天數(shù)比率平均值FA、登錄次數(shù)比率平均值FB和登錄方式個數(shù)指數(shù)FC。僅當(dāng)一個IP地址登錄過較多郵箱數(shù)且在每個郵箱中都較活躍時,才具有較高的信譽值。反之,如果一個IP地址登錄過很多郵箱,但都不活躍,則較可疑。同時,一個IP地址被多個正常用戶使用時,登錄所用的協(xié)議更加隨機,因此特征FC數(shù)的值越大越可信。具體地,針對某一IP地址的登錄天數(shù)比率平均值的計算表示為

(4)

(5)

針對某一IP地址的登錄方式個數(shù)指數(shù)的計算表示為

FC(p)=0.1×2l-1,

(6)

其中,l表示登錄方式個數(shù)。

最終,針對某一IP地址的信譽r計算表示為

r(p)=log(FC(p)(FA(p)+FB(p))) 。

(7)

基于節(jié)點數(shù)量規(guī)模對社區(qū)可疑性進行排名,再輔以基于信譽機制的社區(qū)內(nèi)賬戶排名,最終得到一個按照可疑度排序的郵箱列表,為工作人員提供優(yōu)先級參考。

2.3 攻擊行為的時間同步性

基于節(jié)2.1中提及的郵箱失陷模型,攻擊者針對同一企業(yè)或組織的攻擊活動有可能集中在一段時期內(nèi)。遭到入侵的郵箱賬戶在此期間內(nèi)的登錄行為,會與之前后一定時期內(nèi)的行為存在差異,且該差異會同時出現(xiàn)在多個郵箱中。因此在該場景下的分析思路是,找到某個郵箱的與其他時間段登錄行為不同的時間段,并調(diào)查其他郵箱在該時間段內(nèi)是否也同樣存在異常。

2.3.1 IP地址變化頻率

當(dāng)郵箱賬戶只被其所有者登錄時,登錄IP地址的變化可能不劇烈,或變化頻率較穩(wěn)定。當(dāng)所有者和攻擊者同時登錄郵箱賬戶時,則可能會產(chǎn)生交替的登錄行為,導(dǎo)致該時期的頻率變化與以往不同,如圖2所示。

圖2 攻擊者和所有者交替登錄造成IP地址頻繁改變

對一段時期內(nèi)“登錄幾次后變化IP地址”這一指標(biāo)進行統(tǒng)計,可以得到一個序列用來描述該時期內(nèi)的IP變化情況,稱為“IP地址頻次描述序列”。以圖2為例,當(dāng)只有郵箱所有者登錄時,該序列可表示為[0,0,2,1,0,1],意為在這段時期內(nèi),登錄1次和登錄2次后改變IP地址的情況有0個,登錄3次后改變IP地址的情況有2個,登錄4次后改變IP地址的情況有1個,……,登錄次數(shù)超過5次后改變IP地址的情況有1個。而當(dāng)郵箱所有者和攻擊者同時登錄該郵箱賬戶時,該序列變?yōu)閇8,4,1,1,0,0],出現(xiàn)了巨大差異。在此例中,使用的統(tǒng)計頻次閾值為5,即將同一IP地址登錄次數(shù)超過5次的情況合并,因此序列的長度為統(tǒng)計頻次閾值+1。

考慮到現(xiàn)實場景中,郵箱所有者可能同時使用多個客戶端或者Webmail來登錄郵箱,自身存在客戶端之間的交替登錄行為,因此在計算IP地址頻次描述序列時,須按各登錄方式(協(xié)議)分別進行,最大程度降低自身行為帶來的干擾。

2.3.2 異常窗

將郵箱的登錄日志按照等時間段分割為N段,每個時間段稱為一個“窗”,則在統(tǒng)計完每段的IP地址變化頻率后,可得到一個長度為N×(統(tǒng)計頻次閾值+1)的二維序列?？紤]工作日與雙休日郵箱用戶的登錄頻率可能不同,將以周為單位來劃分統(tǒng)計時間段,即將窗大小設(shè)置為一周,將工作日與雙休日視作一個整體來統(tǒng)計。

在N個IP地址頻次描述序列中,若存在一個序列與其他序列存在較大差異,且其他序列又較為相似,則此時該序列異常,稱為“異常窗”,一個示例如圖3所示。示例中,t表示時間,縱坐標(biāo)表示同一IP地址的登錄頻次。

圖3 異常窗

檢測異常窗可以通過能夠檢測異常點的聚類算法來解決,使用DBScan算法。DBScan算法是一種基于密度的空間聚類算法,屬于無監(jiān)督聚類算法,該算法能夠?qū)⒕哂凶銐蛎芏鹊膮^(qū)域劃分為簇,并找出噪聲點(異常點)[18]。

DBScan有兩個關(guān)鍵參數(shù):社區(qū)最大半徑Epsilon和社區(qū)最小點數(shù)minPts。Epsilon決定了兩個點的距離小于多少時才會劃分到同一個簇。在文中的研究場景中,設(shè)定該值為所有點兩兩距離的平均值,避免該值設(shè)置過大導(dǎo)致無法發(fā)現(xiàn)異常點,或者該值設(shè)置過小導(dǎo)致異常點過多。在計算兩點之間的距離時,采用歐式距離度量。參數(shù)minPts設(shè)定為2(算法默認(rèn)值),表示在社區(qū)半徑內(nèi)至少有2個點時,視作一個簇。

相較于聚類結(jié)果,文中更加關(guān)注異常點。在聚類完成后,將異常點標(biāo)識為1,其他點標(biāo)識為0,即可得到一個長度為N的序列,例如[0,0,0,0,0,0,0,1,0,1,0,0,0,0,0,0,0],表示日志共劃分為17周,在第8周和第10周中,登錄行為出現(xiàn)異常。當(dāng)對所有郵箱進行檢測后,即可得知每周有哪些郵箱存在異常。

2.3.3 異常排名機制

登錄失陷郵箱的IP地址可能有多個,其中包含所有者和攻擊者的IP地址。為進一步篩選IP地址,文中定義如下規(guī)則來縮小范圍:假設(shè)郵箱i中第n周為異常周,對于本周登錄過該郵箱的一個IP地址a,當(dāng)a同樣登錄過郵箱j且當(dāng)周不是異常周,或a在除第n周外的其他周登錄過郵箱i且當(dāng)周不是異常周時,認(rèn)為該異常周不是由a造成的,因此在衡量失陷可能性時將a排除,不考慮a的影響。

若在多個異常周中都出現(xiàn)同一個IP地址,則這個IP地址較為可疑,且異常周的個數(shù)越多,可疑程度越大,也即與該IP地址關(guān)聯(lián)的郵箱的失陷可能性越大。因此,引入了一個指數(shù)形式的指標(biāo)(郵箱異常指數(shù))用來評價郵箱失陷的可能性。具體地,首先統(tǒng)計每個IP地址在所有郵箱的所有周內(nèi)的異常周個數(shù),由于統(tǒng)計范圍包含自身異常周,因此該計數(shù)≥1;其次,按式(8)計算指數(shù)和:

(8)

其中,m標(biāo)識郵箱異常指數(shù);i∈I,I為登錄過該郵箱且未被排除的IP地址集合;wi表示存在IP地址i的異常周的個數(shù)。

將一個異常周內(nèi)的所有郵箱的異常指數(shù)的和作為該異常周的異常指數(shù),便可對異常周進行排序。在排序異常周時,可將各種登錄方式(協(xié)議)的分析結(jié)果進行混合,以綜合判定異常情況。若異常周內(nèi)只有一個異常郵箱,則不對該異常周排序。當(dāng)一個郵箱同時出現(xiàn)在多個異常周時,取排名靠前的作為最終結(jié)果。

3 實驗與結(jié)果分析

3.1 數(shù)據(jù)集

文中使用的數(shù)據(jù)集由5個不同規(guī)模和起止日期的郵箱登錄日志組成,在對原始日志進行預(yù)處理后,提取登錄方式、登錄時間、登錄IP地址和郵箱賬號4個基本特征,其中登錄方式包括Web(通過登錄Webmail訪問郵箱)、POP3、IMAP和SMTP。為了消除DHCP客戶端造成的IP地址浮動,盡可能地減少郵箱所有者和攻擊者自身IP變化帶來的影響,除統(tǒng)計IP地址變化頻次外,在其他過程中將IP地址轉(zhuǎn)化為相應(yīng)的子網(wǎng)進行統(tǒng)計和分析。NUR等[19]的研究表明,互聯(lián)網(wǎng)中使用最頻繁的是/24子網(wǎng),因此在轉(zhuǎn)化時,將IP地址轉(zhuǎn)化為對應(yīng)的/24子網(wǎng)。數(shù)據(jù)集的總體情況如表1所示。

表1 數(shù)據(jù)集總體情況

3.2 實驗結(jié)果與分析

在沒有其他參考依據(jù)或無法向郵箱所有者確定的情況下,使用威脅情報中的IoCs來匹配可疑IP是一種常規(guī)做法。匹配時需要考慮到IoCs的滯后性和時效性,如果日志中的某個IP地址的登錄時間在相關(guān)IoCs發(fā)布時間之前,且不早于發(fā)布時間6個月前,則認(rèn)為該IP地址是惡意的。使用開源威脅情報Alienvault-OTX[20]作為參照,在匹配了5個數(shù)據(jù)集的所有IP地址(共299 844個)之后,均沒有IP地址被標(biāo)識為惡意。這一結(jié)果也反映出僅依賴威脅情報時的局限性。因此,將匹配范圍擴大,使用/24子網(wǎng)作為匹配范圍,即若登錄IP地址的同子網(wǎng)IP地址存在匹配結(jié)果,就將該/24子網(wǎng)視作惡意子網(wǎng)。匹配結(jié)果如表2所示,其中已對惡意子網(wǎng)進行匿名化處理。在統(tǒng)計惡意子網(wǎng)時,若惡意子網(wǎng)所在地區(qū)是郵箱賬號常用地,則認(rèn)為該結(jié)果是由于匹配范圍不準(zhǔn)確造成的,不進行統(tǒng)計。

從威脅情報匹配結(jié)果來看,數(shù)據(jù)集1和數(shù)據(jù)集5的失陷情況非常符合節(jié)2.1中提到的郵箱失陷模型,因此在驗證文中的分析方法時,將重點關(guān)注在此兩個數(shù)據(jù)集上的檢測結(jié)果。

3.2.1 時空分析結(jié)果

在對5個數(shù)據(jù)集分別按照上述時間和空間分析方法進行檢測并基于表2中的統(tǒng)計進行驗證后,空間相似性分析結(jié)果如表3所示,時間同步性檢測結(jié)果如表4所示。

表4 時間同步性分析結(jié)果

從空間相似性分析結(jié)果可以看出,所輸出的郵箱個數(shù),已經(jīng)較原始郵箱數(shù)有大幅縮減,并且在各數(shù)據(jù)集中排名靠前的社區(qū)內(nèi)均包含失陷的郵箱。在排名前5的社區(qū)中,除數(shù)據(jù)集4外,在其他數(shù)據(jù)集中的檢出率均達到了60%及以上,在數(shù)據(jù)集1中更是高達約78%。數(shù)據(jù)集4中的失陷郵箱未檢出是因為關(guān)聯(lián)的惡意IP地址相距較遠,不存在空間相似性,被排在了靠后的位置。筆者在對數(shù)據(jù)集1的檢出結(jié)果進行分析時發(fā)現(xiàn),所檢出的異常地均不屬于子網(wǎng)B,原因是子網(wǎng)B在其所登錄的郵箱中的登錄次數(shù)較多,在計算空間相似度時,該子網(wǎng)沒有被當(dāng)做異常地子網(wǎng)。

在時間同步性的檢測結(jié)果中,除數(shù)據(jù)集1中的最大異常周指數(shù)遠高于其他數(shù)據(jù)集外,在其他數(shù)據(jù)集上的表現(xiàn)均不理想。為研究其原因,筆者對所有惡意子網(wǎng)的行為進行了分析。在對每個惡意子網(wǎng)的登錄次數(shù)、登錄方式、登錄時間等進行分析后發(fā)現(xiàn),在所有的惡意子網(wǎng)中,只有數(shù)據(jù)集1中的子網(wǎng)B在其登錄過的每個郵箱中,都具有較多的登錄次數(shù)且都集中在6天內(nèi),這足以造成IP地址頻次描述序列的改變。因此在時間同步性檢測中,能夠成功檢測出該子網(wǎng)造成的失陷郵箱。在表4展示的結(jié)果中,排名第一的異常周即為子網(wǎng)B的活躍時間,其登錄過的每一個郵箱,均在本周內(nèi)出現(xiàn)異常。其他惡意子網(wǎng)的登錄次數(shù)普遍較少,均少于15次,難以造成IP地址頻次描述序列的異常,因此未能檢出。由于數(shù)據(jù)集1中的子網(wǎng)B和子網(wǎng)A在登錄方式、登錄頻率、目標(biāo)郵箱上均有不同,因此認(rèn)為此兩個惡意子網(wǎng)對應(yīng)2個攻擊者。

從上述結(jié)果可以看出,當(dāng)實際失陷情況符合節(jié)2.1中所述郵箱失陷模型時(數(shù)據(jù)集1和數(shù)據(jù)集5),文中提出的時間和空間兩個分析角度能夠成功檢出失陷郵箱并且具有互補性。若攻擊者在每個郵箱中的登錄次數(shù)較少,則雖登錄行為不足以引起IP頻次變化,但此時登錄IP會被判定為異常地,用空間分析方法能夠檢測出;反之,若登錄次數(shù)普遍較多,則雖登錄IP地址不會被判定為異常地,但郵箱所有者和攻擊者的交替登錄行為必然會改變IP地址變化頻次,此時可使用時間分析方法進行檢測。

3.2.2 對比分析

為驗證所提方法的先進性,將與DAS[8]在僅使用登錄日志時的表現(xiàn)進行比較。當(dāng)一次登錄事件發(fā)生時,DAS使用兩個特征:① 該登錄事件之前,從登錄IP地址對應(yīng)城市登錄過的用戶數(shù);② 該登錄事件之前,當(dāng)前用戶從IP地址對應(yīng)城市登錄過的次數(shù)。DAS的計分算法是:統(tǒng)計所有事件中,每一個特征值都高于當(dāng)前事件的事件個數(shù),最終以該事件個數(shù)作為得分并按降序排序輸出。由于DAS所輸出的是可疑的登錄事件排名而非郵箱排名,因此對DAS進行了部分修改。首先,將每個數(shù)據(jù)集中的前1/8數(shù)據(jù)作為DAS的啟動數(shù)據(jù);其次,將IP地址轉(zhuǎn)化為/24子網(wǎng);最后,將同一個郵箱的所有登錄事件中最可疑的5個登錄事件的得分的平均值,作為該郵箱的最終得分。這就相當(dāng)于對于真實失陷的郵箱,排除了異常不明顯的登錄行為,即相當(dāng)于優(yōu)化了DAS的檢測結(jié)果,使可能失陷的郵箱排在更靠前的位置。

為綜合評價所提出的空間和時間的分析結(jié)果,將由空間分析和時間分析所輸出的兩個郵箱列表交替合并為一個郵箱列表后,再與DAS進行比較。由于文中的檢測方法和DAS所輸出的郵箱賬戶的個數(shù)不同,考慮對比的合理性,設(shè)計了一種比較方法:選取兩種方法輸出的排名靠前的相同數(shù)量的郵箱列表進行比較,并以列表中的失陷郵箱的命中個數(shù)作為評價指標(biāo)。對應(yīng)于檢測方法在實際的應(yīng)用場景中,考慮分析成本和時間限制,假定安全分析人員在一定時間內(nèi)僅能人工分析部分郵箱賬戶,則此時在待分析對象中,應(yīng)盡可能多地包含可能失陷的郵箱。因此要求在文中與DAS所輸出的郵箱列表中,失陷郵箱應(yīng)盡可能排在靠前的位置。以數(shù)據(jù)中郵箱總數(shù)的10%、20%、30%作為負(fù)載限制分別統(tǒng)計文中方法和DAS的命中率后,結(jié)果如表5所示。

表5 文中方法與DAS命中率

從結(jié)果中可以看出,在待分析目標(biāo)郵箱規(guī)模相同時,文中的方法優(yōu)于DAS,尤其是在數(shù)據(jù)集1和數(shù)據(jù)集5中,文中的方法檢測出的失陷郵箱個數(shù)遠高于DAS。

3.2.3 未公開惡意子網(wǎng)檢測結(jié)果

除與公開的威脅情報進行匹配外,筆者對每個數(shù)據(jù)集中排名靠前的社區(qū)中的郵箱和異常指數(shù)較大的異常周內(nèi)的郵箱進行了人工分析。

分析發(fā)現(xiàn),在數(shù)據(jù)集1中排名第一的社區(qū)中,除惡意子網(wǎng)A外,還存在未公開的惡意子網(wǎng)N。惡意子網(wǎng)N在社區(qū)1中登錄過4個郵箱,在整個登錄日志中共登錄過8個郵箱。該子網(wǎng)登錄方式與惡意子網(wǎng)A相同,且在每個郵箱中的登錄次數(shù)均為1次,登錄行為與惡意子網(wǎng)A極為相似,因此筆者認(rèn)為,惡意子網(wǎng)N與惡意子網(wǎng)A屬于同一個攻擊者。

在數(shù)據(jù)集2中排名第一的社區(qū)中,存在未公開的惡意子網(wǎng)O,在社區(qū)1中登錄過6個郵箱,在整個登錄日志中共登錄過15個郵箱。登錄方式全部一致,且在每個郵箱登錄3次至4次后,就換到下一個郵箱。該行為疑似攻擊者使用自動化腳本批量驗證賬戶和密碼。

在數(shù)據(jù)集5中排名第一的社區(qū)中,存在未公開的惡意子網(wǎng)P,在社區(qū)1中登錄過3個郵箱,在整個登錄日志中共登錄過7個郵箱。該子網(wǎng)與惡意子網(wǎng)M地理位置、登錄方式相同,時間集中且行為相似,因此筆者認(rèn)為,惡意子網(wǎng)P與惡意子網(wǎng)M屬于同一個攻擊者。

在數(shù)據(jù)集5中排名第二的社區(qū)中,存在未公開的惡意子網(wǎng)Q,在社區(qū)1中登錄過4個郵箱,在整個登錄日志中共登錄過12個郵箱。該子網(wǎng)在每個郵箱中的登錄方式一致,登錄次數(shù)類似,且時間集中。但因其與惡意子網(wǎng)M、P的登錄方式不同,因此筆者認(rèn)為該惡意子網(wǎng)對應(yīng)另外一個攻擊者。

在數(shù)據(jù)集3中異常指數(shù)最大的異常周內(nèi),存在2個郵箱的異常指數(shù)超過1 000,且其登錄的IP地址存在交集,并幾乎在同一時間終止登錄行為,推測為這2個郵箱在失陷后被注銷。

3.3 實驗小結(jié)

對于活動不頻繁的郵箱賬戶入侵行為,攻擊者所使用的IP地址(子網(wǎng))被成功判定為異常登錄IP地址(子網(wǎng)),利用其空間相似性,成功將失陷的郵箱賬戶劃分到了同一社區(qū);對于登錄次數(shù)較多的賬戶入侵行為,攻擊者的登錄造成了IP地址變化頻率的劇烈波動,利用異常時間同步性,成功定位到了異常周。

綜合考慮空間和時間檢測結(jié)果時,以30%的負(fù)載為例,待分析郵箱共有2 084個,相比原始郵箱個數(shù)(6 975個)減少了4 891個,此時檢測結(jié)果中共包含114個失陷郵箱。對于安全分析人員而言,即在減少約70%工作量的情況下,能夠發(fā)現(xiàn)約60%的失陷郵箱,節(jié)省了大量時間。由于檢測結(jié)果中幾乎覆蓋了所有的惡意子網(wǎng),因此在更加理想的情況下,若分析人員能夠根據(jù)已發(fā)現(xiàn)的失陷郵箱,定位到惡意IP地址(子網(wǎng)),再根據(jù)該IP地址(子網(wǎng))關(guān)聯(lián)到所有被登錄過的失陷郵箱,則在同等工作量的情況下,能夠發(fā)現(xiàn)約98%的失陷郵箱。

此外,所提出的方法還檢測出已知攻擊者的未公開惡意子網(wǎng)2個,新發(fā)現(xiàn)攻擊者3個。

4 結(jié)束語

根據(jù)APT攻擊組織以及互聯(lián)網(wǎng)黑產(chǎn)等攻擊者在入侵郵箱賬戶時的行為特點,首先提出一個郵箱失陷模型,歸納了此類攻擊行為在利用受害者郵箱時具有共性。其次,針對該郵箱失陷模型,從空間和時間的角度分析登錄行為中存在的空間相似性和時間同步性,并設(shè)計了相應(yīng)的方法來檢測異常的登錄行為,最終輸出按照失陷可能性排序的郵箱列表,為安全研究人員在實地調(diào)查、取證時提供優(yōu)先級參考。為驗證方法有效性,在5個不同規(guī)模和起止日期的登錄日志數(shù)據(jù)集上進行實驗。結(jié)果表明,所提出的方法能夠成功檢測出失陷郵箱,檢測效果好于同類檢測系統(tǒng)DAS,并且具備發(fā)現(xiàn)未知惡意子網(wǎng)和攻擊者的能力。