面向异常行为的邮件访问控制网关的设计与实现
面向异常行为的邮件访问控制网关的设计与实现
高校邮件系统每月平均面临数万次暴力破解认证攻击,其中分布式暴力破解和低频慢速暴力破解难以识别检测,是导致邮件服务器面临资源消耗及账户安全问题的巨大威胁。因此,北京航空航天大学研究团队设计了一种面向异常行为的邮件访问控制网关,通过分析邮件日志捕获异常攻击行为,动态阻断恶意IP攻击。测试结果表明,该网关成功阻断了62%的攻击流量。
需求分析
随着网络技术的发展,暴力破解的手段也在不断发生着变化。不同于以往容易检测出的单个IP高频率暴力破解,攻击者能够利用自身控制的僵尸网络对目标邮件系统进行分布式暴力破解攻击,这会导致被检测到的暴力破解攻击来自不同IP,因此无法锁定、禁用。除此之外,攻击者还可以降低暴力破解频率,从而绕过检测系统的检测标准。
本文面向校园网设计的邮件访问控制网关系统,目的是阻断足够多的攻击,在最大限度上保证校园邮件系统的正常运行及邮件账户的安全性,因此检测低频和分布式暴力破解攻击是关键的需求。
系统设计
主机层访问控制
本文设计的邮件访问控制网关系统基于漏桶算法设计了恶意IP的检测机制。漏桶算法是将请求的IP或者用户名作为输入漏桶的元素,当元素溢出时则触发报警,判断恶意暴力破解行为并进行封禁。
主机层访问控制系统框架如图1所示,将SMTP日志数据源输入到功能模块,Parser日志解析器从日志中解析出登录出错的IP;将账户信息作为一次event输入到场景中进行匹配,当匹配的场景达到限制次数后,将IP限制信息(IP、封禁起始时间、封禁终止时间、匹配场景等)写入到数据库,再更改数据库中信息生成ipset黑名单,最后在iptables规则中让黑名单生效并对IP进行访问限制。系统界面模块展示当前封禁的IP、历史封禁IP的变化图、封禁IP属地图等可视化信息。
图1 主机层访问控制系统框架图
主机层访问控制系统工作流程如图2所示。
图2 主机层访问控制系统工作流程图
网关层访问控制
网关层访问控制系统框架如图3所示,整体分为硬件层、平台层、服务层。其中,硬件层为支持Intel公司数据平面开发套件(Data Plane Development Kit,DPDK)的网卡,主要使用Intel 82599网卡;平台层完成流量的过滤与转发,同时与前端进行交互,通过Zeek进行流量分析,能够自动识别频繁进行暴力破解的IP;服务层负责与用户进行交互,用户可以在此进行规则配置、日志查询。
图3 网关层访问控制系统框架图
系统部署与测试
系统部署环境
本文设计的邮件访问控制网关系统的部署环境要求如下:
- DPDK 版本:20.08
- 操作系统:Ubuntu 18.04
- CPU:>8 逻辑核心,每核心基准频率>1.5 GHz
- 内存:> 8 GB
- 网卡:2个10 GB接口网卡,需支持DPDK;1 GB接口网卡用于远程连接、前端通信
网关层访问控制系统测试
DPDK ACL规则编译性能测试结果如图9所示。可见,对10万个恶意IP进行数据结构生成所需的时间不到1 s,即可满足邮件系统的实际使用需要。
图9 DPDK ACL规则编译性能测试
主机层访问控制系统测试
系统部署后,对每日SMTP登录出错日志进行监控统计。其中,2022年6月14—16日的日志量有所增长是由数据库设置原因导致。系统保存历史告警过多会造成性能下降,在调整保存历史告警数后,性能恢复正常。
2022年5月24日在两台邮服务器均部署Crowdsec后,SMTP登录出错的日志量相对于部署前有明显下降。为了方便对比,本文分别选取2022年5月1—13日的SMTP Login Fail日志量及2022年6月1—13日的SMTP Login Fail日志量作为部署前后数据进行计算。此时,阻断率计算公式为
阻断率=部署后日均失败数量/(部署前日均失败数量-部署后日均失败数量)×100%
通过计算,可得最终阻断率为62%。由此可知,系统部署后成功阻断了62%的SMTP暴力破解登陆的攻击流量。
结束语
本文通过分析SMTP协议存在的缺陷,针对校园电子邮件系统低频和分布式暴力破解攻击行为设计了一种邮件访问控制网关系统,并将该系统部署于校园网内,利用真实邮件系统日志数据对系统进行测试验证,结果表明该系统可以有效地识别低频和分布式暴力破解行为,阻断了62%的攻击流量。该系统将在后续的工作中得到继续优化、完善,且将着力于威胁情报分析共享,以期为推动校园网络安全建设高质量发展作出更大贡献。