電子郵件欺騙的檢測與識別

楊光宇 蘆雅歌 莫德銘 葉海天 翟繼強

摘要：電子郵件欺騙是最常見的電子郵件攻擊類型，其攻擊及檢測是電子郵件取證研究中一個具有挑戰性的問題。提出利用內存取證技術來獲取瀏覽器的實時進程提取電子郵件頭進行分析，采用Message-ID檢測，結合nslookup查詢提取MX記錄來檢測和識別用戶收到的偽造電子郵件。實驗測試和分析結果表明，可以有效檢測電子郵件欺騙，精度高、誤報少，并且不會中斷機器的常規操作。

關鍵詞：電子郵件欺騙；內存取證；Message-ID；MX記錄

中圖分類號：TP393文獻標志碼：A文章編號：1008-1739（2021）17-57-4

0引言

在如今的數字時代，無論是在官方還是個人互動中，電子郵件都是日常交流的重要組成部分。電子郵件的保護和安全是一個具有挑戰性的命題[1]，因為簡單郵件傳輸協議（SMTP）用于在郵件服務器之間進行郵件傳輸，傳統上是不安全的，所以電子郵件容易受到主動形式和被動形式的攻擊。電子郵件欺騙是最常見的電子郵件攻擊類型，通過操縱發件人的電子郵件地址來創建偽造郵件的過程，使得收件人誤認為原始電子郵件來自真正的發件人。

目前，研究人員已經提出了各種方法來應對電子郵件欺騙帶來的挑戰，其中包括對電子郵件頭字段的時間和日期分析[2-3]、郵件內容分析[4]、欺騙對策技術、基于SSL協議的反欺騙應用[5]及電子郵件跟蹤器等。

本文提出的系統利用內存取證技術，通過獲取測試機上正在運行的瀏覽器進程，并提取電子郵件頭進行分析，采用Message-ID檢測，結合nslookup查詢提取MX記錄匹配來檢測和識別電子郵件欺騙攻擊。

1內存取證技術

內存取證作為計算機取證科學的重要分支，是指從計算機物理內存和頁面交換文件中查找、提取、分析易失性內存數據，是對傳統基于文件系統取證的重要補充，是對抗網絡攻擊或網絡犯罪的有力武器[6]。在內存取證之前，需先對操作系統內存進行轉儲，獲取到的重要數據可作為證據，幫助取證分析人員偵破網絡犯罪或其他形式的網絡攻擊[7]。

將內存取證技術應用于電子郵件欺騙的檢測[8]，獲取客戶端的內存轉儲來分析和識別偽造的電子郵件[9]，這種方法確實保證了不可否認性，但是依賴于內存大小。如果測試系統的內存很大，整個過程需要大量的時間、存儲空間和其他資源來完成任務。故提出的方法只能獲取瀏覽器的進程，而不是完整的內存轉儲，減少了獲取時間、存儲需求和系統資源的利用率，由于該方法不涉及完整的內存轉儲，因此獨立于硬件。

2設計與實現

本文提出的方法是定期在用戶計算機上監測，當用戶打開收件箱查看電子郵件，會導致電子郵件被加載到計算機內存中。從實時內存中獲取所有當前運行的瀏覽器進程，并提取電子郵件頭，將提取的頭字段進行匹配，以識別真正的和偽造的電子郵件。創建一個日志文件，其中包含所有已識別的偽造電子郵件列表。

2.1工作流程

系統工作操作步驟如下：

①用戶打開電子郵件閱讀，電子郵件被加載到內存中。

②在實時內存中獲取所有與瀏覽器相關聯的進程，并保存在輔助存儲器中。

③STRINGS64的運行是為了掃描和提取ASCII和UNICODE字符串。

④文件經過過濾，提取出郵件頭，存儲在一個單獨的文件中。

⑤文件頭用作算法中的輸入數據集，以檢測偽造電子郵件。

⑥所有檢測到的偽造電子郵件都將作為記錄存儲在單獨的日志文件中。

2.2提取電子郵件頭

2.2.1獲取實時進程

使用Magnets Process Capturing工具捕獲與電子郵件相關的實時進程。該工具易于安裝、運行速度快、獲取的進程規模小、易于存儲在輔助設備上，可以選擇在設定的時間間隔獲取指定的進程。由于很難從所有瀏覽器運行的進程中識別出確切的進程，所以選擇獲取所有當前運行的瀏覽器進程。

2.2.2提取郵件頭

利用Microsoft Strings64工具掃描獲取進程轉儲文件，并將默認長度為3個或更多字符的ASCII和UNICODE字符串作為輸出，存儲在一個文件中。然后，通過Findstr Search命令從上述步驟的輸出文件中提取郵件頭，并將該數據作為檢測電子郵件欺騙算法的輸入。

2.3檢測算法

通過電子郵件的通信遵循RFC 822的標準格式，電子郵件中的任何欺騙攻擊檢測都是基于對電子郵件頭的分析，常見且重要的郵件頭字段如表1所示。

為了正確檢測偽造電子郵件，采用了以下檢測方法：

①Message-ID檢測：從郵件頭中選擇From和Message-ID這2個基本的頭字段。然后將Message-ID字段的域名與From字段的域名進行比較。該匹配對于建立電子郵件的完整性和真實性至關重要，兩字段域名互相匹配如圖1所示，兩字段域名不匹配如圖2所示。

②MX記錄匹配：當一封真正的電子郵件Form字段域和Message-ID域匹配失敗時，基于Message-ID的方法就會失敗。通過實驗測試發現，向電子郵件服務提供商雇傭或外包電子郵件服務的組織在Message-ID匹配方面失敗。比如G-suite，如果一個組織通過Google切換到G-suite，其郵件仍然會保留其父組織的域，但是由發送郵件的服務器生成的Message-ID會有Google域。當此域名與發件人域名相比較時，將顯示為一封偽造的真實電子郵件。通過使用基于MX記錄的匹配，克服了這種基于Message-ID檢測的局限性。

MX記錄將電子郵件定向到郵件服務器。DNS中存在的資源記錄用于指定郵件服務器，該服務器將負責接收特定域的電子郵件。這些信息可以通過向DNS進行正向nslookup查詢并存儲MX記錄以進行域名匹配來提取。從域名系統獲取的典型MX記錄如圖3所示。

由于從MX記錄中獲得的域名不能被操縱，而是從DNS服務器上獲取的，所以可以視為一個可靠的信息來源。

本文提出的算法首先讀取進程轉儲的頭文件，提取并比較From和Message-ID字段，以驗證二者是否具有相同的域名。如果域名匹配，則認為是真實郵件。如果不是，則進行nslookup查詢從DNS服務器獲取MX記錄，MX記錄中的域名與Message-ID字段的域相匹配。如果匹配成功，認為這是一封真正的電子郵件；如果匹配失敗，就確認是該偽造的電子郵件并將From和Message-ID值寫入一個單獨的日志文件。

為了進一步加快檢測過程并減少獲取記錄的時間延遲，維護了MX記錄的本地數據庫。該算法首先向本地數據庫查詢MX記錄，如果沒有找到，則查詢域名系統，并將該值存儲在本地數據庫中。

3實驗測試與分析

3.1實驗環境

實驗在Windows10操作系統上使用Chrome瀏覽器來完成，硬件配置如表2所示。

測試中用戶同時收到了真偽2種類型的電子郵件，從常見和流行的電子郵件應用發送了真實的電子郵件，通過提供匿名電子郵件服務網站向我的電子郵件ID發送了偽造的電子郵件。真實的郵件由Gamil，Yahoo，Rediffmail三種流行的電子郵件服務發送，偽造的電子郵件由Anonymailer發送。

3.2性能測試

通過Accuracy和F1-Score兩個指標來評估本文提出方法的性能，參數包括郵件的真陽性（TP）、真陰性（TN）、假陽性（FP）和假陰性（FN）。

使用3個案例場景進行測試，案例1發送了所有真實的電子郵件；案例2發送了所有偽造的電子郵件；案例3發送了二者都包含的混合郵件。對于這3種情況，本文提出方法的性能指標分析如表3所示。

由表3可以看到，本文方法在真偽郵件各占比50%的情況下Accuracy和F1-Score分別為98.04%和99.01%，說明準確率還是非常高的，當全部為欺騙郵件時，Accuracy和F1-Score分別為96.15%和99.01%，說明誤報率比較低。

3.3開銷分析

開銷分析是通過考慮系統資源利用率、處理開銷和時間來進行的，測試數據包括中央處理器利用率、內存利用率和磁盤利用率的平均值，以及程序執行過程中所用的時間，如圖4所示。

由圖4可以看到，從獲取進程內存轉儲到檢測電子郵件欺騙并將其保存到日志文件的整個過程大約需要1 min，而相關的資源開銷比較低。

4結束語

內存取證技術保證了用戶在物理內存中的操作得以復現，本文利用內存取證技術來獲取瀏覽器的實時進程，提取電子郵件頭進行分析，采用Message-ID檢測，結合nslookup查詢提取MX記錄來檢測和識別電子郵件欺騙。實驗測試和分析結果表明，本文方法可以有效檢測電子郵件欺騙，精度高、誤報少，而開銷、資源消耗和對用戶系統正常運行的干擾小，并且不會中斷機器的常規操作。

本文方法只在基于網絡的電子郵件系統上測試了電子郵件欺騙，未來的工作將是擴展和包括電子郵件客戶端應用程序，如Outlook和Thunderbird的檢測。另外，為了進一步減少檢測時間，需要識別與電子郵件相關的瀏覽器的確切過程。

參考文獻

[1]張如旭.2021電子郵件安全的五大趨勢[J].計算機與網絡， 2021，47（1）：52-53.

[2] KOVEN J， BERTINI E， DUBOIS L，et al. InVest：Intelligent Visual Email Search and Triage[J]. Digtial Investigation， 2016，18（6）： S138-S148.

[3] SZDE Y. Covert Communication by Means of Email Spam： A Challenge for Digital Investigation[J]. Digtial Investigation， 2015，13（6）：72-79.

[4]劉奇偉.電子郵件真實性技術分析[J].計算機與網絡， 2015，41（2）：70-72.

[5] HU Hang， PENG Peng， WANG Gang. Towards Understanding the Adoption of Anti-spoofing Protocols in Email Systems[C]//Proceedings of 2018 IEEE Cyber Security Development Conference. Cambridge： IEEE， 2018：94-101.

[6]張瑜，劉慶中，李濤，等.內存取證研究與進展[J].軟件學報， 2015，26（5）：1151-1172.

[7] RAYMOND L. A Multidisciplinary Digital Forensic Investigation Process Model[J]. Business Horizons， 2016，59（6）：593-604.

[8] PARRA B， VEGETTI M ，LEONE H. Advances in the Application of Ontologies in the Area of Digtial Forensic Electronic Mail[J]. IEEE Latin America Transactions，2019，17（10）：1694-1705.

[9] JAY K， CRISTIAN F，HOSSEIN S. Lessons Learned Developing a Visual Analytics Solution for Investigative Analysis of Scamming Activities[J].IEEE Transactions on Visualization and Computer Graphics，2019，25（1）： 225-234.