国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種異常郵件檢測系統(tǒng)及方法

      文檔序號:7694053閱讀:208來源:國知局
      專利名稱:一種異常郵件檢測系統(tǒng)及方法
      技術(shù)領域
      本發(fā)明涉及電子郵件通信領域,尤其涉及一種異常郵件檢測方法及系統(tǒng)。
      背景技術(shù)
      異常流量通常是指在網(wǎng)絡上承載的非運營商或者用戶所期望的各種流 量。對于提供互聯(lián)網(wǎng)服務的運營商,對網(wǎng)絡性能和功能造成影響和沖擊的流
      量都可以被認為是異常流量,其中包括濫用帶寬資源的網(wǎng)絡應用(例如p2p 應用和群發(fā)垃圾郵件)、DoS (Denial of Service,拒絕服務)/DDoS (Distributed Denial of Service,分布式拒絕服務)攻擊流量、不遵守互 聯(lián)網(wǎng)協(xié)議規(guī)范的無意義流量以及重大社會事件所引起的突發(fā)流量等。
      近期,在各種異常流量中濫用SMTP (Simple Mail Transfer Protocol, 簡單郵件傳輸協(xié)議)的流量(即含異常郵件的流量)所占比例顯著上升,危 害越來越大。SMTP協(xié)議本身是一個簡化的郵件遞交協(xié)議,易用、開放和基于 信任的設計理念使其成為當今最重要的通信方式,但是也為不法分子制造垃 圾郵件、蠕蟲病毒、網(wǎng)絡攻擊等異常流量提供了方便。因而,針對互聯(lián)網(wǎng)宏 觀網(wǎng)絡安全的要求,需要設計一種異常郵件檢測方法,能夠在骨干網(wǎng)或局域 網(wǎng)層面實時發(fā)現(xiàn)郵件流量中的異常郵件,在大規(guī)模安全事件爆發(fā)時進行快速 有效的防御。
      在通常情況下有如下四種原因?qū)е锣]件流量中含有異常郵件 原因1,垃圾郵件。垃圾郵件發(fā)送者為保證自身的經(jīng)濟利益使用專門的 工具操作垃圾郵件。此類工具通常不會嚴格遵守SMTP協(xié)議而集成某些特殊的 功能(如自動生成大量隨機郵件地址、偽造發(fā)送者所屬網(wǎng)域信息、內(nèi)建SMTP 引擎和使用原始套結(jié)字進行網(wǎng)絡通信),并將特殊的值寫入應用層協(xié)議的字 段。
      原因2,郵件蠕蟲。郵件蠕蟲在爆發(fā)時,局域網(wǎng)內(nèi)失敗的DNS(域名解析) 査詢流量和失敗的SMTP連接數(shù)目急劇增加,此類現(xiàn)象與網(wǎng)絡正常運行時形成顯著區(qū)別。
      原因3,惡意攻擊。例如,掃描網(wǎng)域內(nèi)郵件服務器,收集郵件服務器上
      的用戶郵件地址列表,產(chǎn)生字典攻擊;攻擊者主動建立大量空SMTP會話,對 郵件服務器形成DD0S攻擊;使用虛假用戶地址冒充受害郵件網(wǎng)域向大量郵件 服務器發(fā)送郵件等。
      原因4,逃避手段。 一些發(fā)送者使用數(shù)據(jù)分片,數(shù)據(jù)分包策略逃避過濾 系統(tǒng)檢測;為了對抗延遲技術(shù),提高吞吐率,發(fā)送者將所有命令甚至郵件正 文都放在一個IP包中發(fā)送,因此一次郵件會話中IP包的數(shù)目,每個IP包的 長度同正常IP包有明顯區(qū)別。
      目前,研究者提出了一些異常郵件檢測技術(shù),較為常見的如特征識別法 和歷史行為分析法。
      特征識別技術(shù)通過建立"異常郵件特征庫"的方法來阻止異常郵件,通 過對郵件的負載部分進行對比檢測,從而發(fā)現(xiàn)蠕蟲病毒的特征碼和郵件攻擊, 進而對異常郵件進行過濾。
      歷史行為分析法通過統(tǒng)計發(fā)送郵件服務器的歷史發(fā)送情況,可以預測以
      后其發(fā)送異常郵件的概率,并得到如下模型
      其中i為發(fā)送服務器的IP地址,&。。rf, A^,為服務器i發(fā)送的異常郵件和所
      有郵件的數(shù)目,二者的比值A為其發(fā)送合法郵件的概率。定義一個門限值r,
      如果A〉r則說明該服務器發(fā)送合法郵件的可能性較大,反之則說明該服務器
      發(fā)送異常郵件的比率較高。
      現(xiàn)有異常郵件檢測技術(shù)主要用于局域網(wǎng)環(huán)境,且主要是對郵件服務器上 的靜態(tài)郵件文本或日志信息進行離線統(tǒng)計和分析,僅能檢測完整的郵件會話, 實時性能差。此外,這些技術(shù)忽略了數(shù)據(jù)的網(wǎng)絡屬性和協(xié)議自身的特點,檢 測參數(shù)由管理人員制定,不適合于骨干網(wǎng)絡中異常郵件的檢測。

      發(fā)明內(nèi)容
      為解決上述問題,本發(fā)明提供一種基于命令報文的異常郵件檢測系統(tǒng)及方法,其目的在于,實現(xiàn)在骨干網(wǎng)或局域網(wǎng)上實時檢測出異常郵件。 本發(fā)明公開了一種異常郵件檢測系統(tǒng),包括
      狀態(tài)機生成模塊,用于依據(jù)郵件協(xié)議設置郵件通信過程的狀態(tài)機,所述 狀態(tài)機包括郵件通信過程中所處的狀態(tài),驅(qū)動所述狀態(tài)切換的事件及用于記 錄屬性的信息的狀態(tài)變量;為郵件會話創(chuàng)建對應狀態(tài)機實例,并使用所述狀
      態(tài)機實例對應的狀態(tài)變量實時記錄所述郵件會話的屬性信息;
      屬性檢測模塊,用于設置所述屬性對應的檢測標準,判斷所述狀態(tài)機實 例對應的狀態(tài)變量中的屬性信息是否符合對應的檢測標準,如果符合,則所 述屬性信息對應的郵件為異常郵件。
      所述系統(tǒng)還包括過濾模塊和監(jiān)控模塊,所述檢測標準包括嚴重檢測標準 和/或普通檢測標準,
      所述屬性檢測模塊,還用于在確定所述屬性信息對應的郵件為異常郵件 時,檢査被符合的所述檢測標準是否包含嚴重檢測標準,如果包含,則所述
      異常郵件為嚴重異常郵件,否則,所述異常郵件為普通異常郵件;
      所述過濾模塊,用于阻斷所述嚴重異常郵件所在郵件會話的發(fā)送郵件服 務器和接收郵件服務器間的連接;
      所述監(jiān)控模塊,用于記錄所述普通異常郵件的信息,以進行監(jiān)控操作。 所述屬性進一步包括網(wǎng)絡屬性和協(xié)議屬性,所述屬性檢測模塊進一步包 括網(wǎng)絡屬性檢測模塊和協(xié)議屬性檢測模塊,
      所述網(wǎng)絡屬性檢測模塊,用于設置所述網(wǎng)絡屬性對應的檢測標準,判斷 所述狀態(tài)機實例對應的狀態(tài)變量中的網(wǎng)絡屬性信息是否符合對應的檢測標 準,如果符合,則所述網(wǎng)絡屬性信息對應的郵件為異常郵件;在確定所述網(wǎng) 絡屬性信息對應的郵件為異常郵件時,檢査被符合的所述檢測標準是否包含 嚴重檢測標準,如果包含,則所述異常郵件為嚴重異常郵件,否則,所述異 常郵件為普通異常郵件;
      所述協(xié)議屬性檢測模塊,用于設置所述協(xié)議屬性對應的檢測標準,判斷 所述狀態(tài)機實例對應的狀態(tài)變量中的協(xié)議屬性信息是否符合對應的檢測標 準,如果符合,則所述協(xié)議屬性信息對應的郵件為異常郵件;在確定所述協(xié) 議屬性信息對應的郵件為異常郵件時,檢查被符合的所述檢測標準是否包含 嚴重檢測標準,如果包含,則所述異常郵件為嚴重異常郵件,否則,所述異常郵件為普通異常郵件。
      所述郵件協(xié)議為簡單郵件傳輸協(xié)議或擴展簡單郵件傳輸協(xié)議。所述網(wǎng)絡 屬性包括命令負載長度,所述命令包括發(fā)件人命令、數(shù)據(jù)命令、復位命令 和退出命令;
      所述命令負載長度屬性對應的嚴重檢測標準包括
      所述發(fā)件人命令的長度小于正常范圍的最小值,并且所述發(fā)件人命令中 發(fā)件人地址不為所述郵件協(xié)議規(guī)定的錯誤通告郵件中的發(fā)件人地址形式,所 述正常范圍為[max("-25,/)," + 25],其中/、"和<5分別為所述發(fā)件人命令長度 的最小值、期望值和標準差值;
      所述數(shù)據(jù)命令、復位命令和退出命令的長度小于正常值6個字節(jié);
      所述數(shù)據(jù)命令長度大于所述正常值;
      所述命令負載長度屬性對應的普通檢測標準包括
      所述發(fā)件人命令的長度大于所述正常范圍;
      所述復位命令和退出命令的長度大于所述正常值。
      所述系統(tǒng)還包括參數(shù)配置模塊,
      所述參數(shù)配置模塊,用于設置所述發(fā)件人命令長度的最小值、期望值和 標準差值。
      所述網(wǎng)絡屬性包括發(fā)件人地址;
      所述發(fā)件人地址屬性對應的嚴重檢測標準為同一郵件會話中至少存在兩 封郵件的發(fā)件人地址不屬于同一網(wǎng)域。
      所述協(xié)議屬性包括事件,所述事件包括由于接收報文所觸發(fā)的命令事件 和由于未接收數(shù)據(jù)時長超過設置時長而觸發(fā)的超時事件;
      所述狀態(tài)機包括信封狀態(tài),所述信封狀態(tài)表示已接收到發(fā)件人和收件人
      <會自. i 口必;
      所述事件屬性對應的嚴重檢測標準包括,在所述信封狀態(tài)下接收到發(fā)件 人命令;
      所述事件屬性對應的普通檢測標準包括 產(chǎn)生超時事件;
      所述命令事件產(chǎn)生時所處的狀態(tài)不符合所述郵件協(xié)議的規(guī)定,并且未在 所述信封狀態(tài)下接收到發(fā)件人命令。本發(fā)明還公開了一種異常郵件檢測方法,包括
      步驟1,依據(jù)郵件協(xié)議設置郵件通信過程的狀態(tài)機,所述狀態(tài)機包括郵 件通信過程中所處的狀態(tài),驅(qū)動所述狀態(tài)切換的事件及用于記錄屬性的信息 的狀態(tài)變量,設置所述屬性對應的檢測標準;
      步驟2,為郵件會話創(chuàng)建對應狀態(tài)機實例,并使用所述狀態(tài)機實例對應 的狀態(tài)變量實時記錄所述郵件會話的屬性信息;
      步驟3,判斷所述狀態(tài)機實例對應的狀態(tài)變量中的屬性信息是否符合對 應的檢測標準,如果符合,則所述屬性信息對應的郵件為異常郵件。
      所述檢測標準包括嚴重檢測標準和/或普通檢測標準,
      所述步驟3還包括,在確定所述屬性信息對應的郵件為異常郵件時,檢 査被符合的所述檢測標準是否包含嚴重檢測標準,如果包含,則所述異常郵 件為嚴重異常郵件,否則,所述異常郵件為普通異常郵件;
      步驟101,阻斷所述嚴重異常郵件所在郵件會話的發(fā)送郵件服務器和接 收郵件服務器間的連接;
      步驟102,記錄所述普通異常郵件的信息,以進行監(jiān)控操作。
      所述郵件協(xié)議為簡單郵件傳輸協(xié)議或擴展簡單郵件傳輸協(xié)議。
      所述屬性包括命令負載長度,所述命令包括發(fā)件人命令、數(shù)據(jù)命令、 復位命令和退出命令;
      所述命令負載長度屬性對應的嚴重檢測標準包括
      所述發(fā)件人命令的長度小于正常范圍的最小值,并且所述發(fā)件人命令中 發(fā)件人地址不為所述郵件協(xié)議規(guī)定的錯誤通告郵件中的發(fā)件人地址形式;, 所述正常范圍為[max("-25,/)," + 2S],其中/、"和5分別為所述發(fā)件人命令長 度的最小值、期望值和標準差值;
      所述數(shù)據(jù)命令、復位命令和退出命令的長度小于正常值6個字節(jié);
      所述數(shù)據(jù)命令長度大于所述正常值;
      所述命令負載長度屬性對應的普通檢測標準包括
      所述發(fā)件人命令的長度大于所述正常范圍;
      所述復位命令和退出命令的長度大于所述正常值。
      所述步驟1還包括
      步驟131,設置所述發(fā)件人命令長度的最小值、期望值和標準差值。所述屬性包括發(fā)件人地址;
      所述發(fā)件人地址屬性對應的嚴重檢測標準為同一郵件會話中至少存在兩 封郵件的發(fā)件人地址不屬于同一網(wǎng)域。
      所述屬性包括事件,所述事件包括由于接收報文所觸發(fā)的命令事件和由
      于未接收數(shù)據(jù)時長超過設置時長而觸發(fā)的超時事件;
      所述狀態(tài)機包括信封狀態(tài),所述信封狀態(tài)表示已接收到發(fā)件人和收件人 ,自.
      所述事件屬性對應的嚴重檢測標準包括,在所述信封狀態(tài)下接收到發(fā)件 人命令;
      所述事件屬性對應的普通檢測標準包括 產(chǎn)生超時事件;
      所述命令事件產(chǎn)生時所處的狀態(tài)不符合所述郵件協(xié)議的規(guī)定,并且未在 所述信封狀態(tài)下接收到發(fā)件人命令。
      本發(fā)明的有益效果在于,能夠應用郵件的網(wǎng)絡屬性和協(xié)議屬性實時地檢 測出局域網(wǎng)和骨干網(wǎng)中的異常郵件,且不侵犯用戶隱私,并對異常郵件進行 分類,阻斷嚴重異常的郵件會話,監(jiān)控普通異常的郵件,從而通過減少異常 郵件提高郵件服務器的性能,并在大規(guī)模安全事件爆發(fā)時進行快速有效的防 御。


      圖l是本發(fā)明系統(tǒng)的結(jié)構(gòu)圖2是本發(fā)明狀態(tài)機的示意圖3是本發(fā)明方法的流程圖。
      具體實施例方式
      下面結(jié)合附圖,對本發(fā)明做進一步的詳細描述。
      本發(fā)明的系統(tǒng)結(jié)構(gòu)如圖1所示,包括狀態(tài)機生成模塊101、屬性檢測模 塊102、過濾模塊103和監(jiān)控模塊104,參數(shù)配置模塊105,屬性檢測模塊102 進一步包括網(wǎng)絡屬性檢測模塊121和協(xié)議屬性檢測模塊122。狀態(tài)機生成模塊101,用于依據(jù)郵件協(xié)議設置郵件通信過程的狀態(tài)機, 所述狀態(tài)機包括郵件通信過程中所處的狀態(tài),驅(qū)動所述狀態(tài)切換的事件及用 于記錄屬性的信息的狀態(tài)變量;為郵件會話創(chuàng)建對應狀態(tài)機實例,并使用所
      述狀態(tài)機實例對應的狀態(tài)變量實時記錄所述郵件會話的屬性信息。
      狀態(tài)機同郵件協(xié)議相對應,包括狀態(tài)、事件和狀態(tài)變量,用來模擬處理 協(xié)議報文的過程。
      狀態(tài),表示在整個郵件通信過程中所處的不同階段;
      事件,為使狀態(tài)機發(fā)生狀態(tài)轉(zhuǎn)移的操作,由郵件通信過程中的接收報文 觸發(fā)的事件為命令事件,由于未接收到報文的時長超過設置時長而觸發(fā)的事 件為超時事件;
      狀態(tài)變量,用于記錄屬性的信息和操作應用項目的信息,屬性為用于進 行異常判斷的項目,操作應用項目為在過濾或監(jiān)控操作中的應用信息,包括 發(fā)送郵件服務器和接收郵件服務器的IP地址和端口。屬性進一步包括網(wǎng)絡屬 性和協(xié)議屬性,網(wǎng)絡屬性包括收件人地址屬性、發(fā)件人地址屬性、命令長度 屬性,協(xié)議屬性包括事件屬性,事件包括超時事件和命令事件。
      網(wǎng)絡屬性,是同郵件命令有關的屬性,該屬性只在網(wǎng)絡中可見,終端無 法獲得該屬性,所述郵件命令是郵件通信時在接收郵件服務器和發(fā)送郵件服 務器間交互的命令,包括,招呼命令(HEL0)、發(fā)件人命令(MAIL FROM)、 收件人命令(RCPTT0)、數(shù)據(jù)命令(DATA)、復位命令(RSET)和退出命令 (QUIT);
      協(xié)議屬性,是同SMTP或擴展SMTP協(xié)議相關的屬性。
      每個郵件會話對應于屬性和操作應用項目具有自己的屬性信息和操作應 用信息,使用郵件會話對應的狀態(tài)變量進行記錄。狀態(tài)機生成模塊101生成 的狀態(tài)機如圖2所示。
      本實施例的郵件協(xié)議為SMTP協(xié)議或擴展SMTP協(xié)議。狀態(tài)機包含如下6 個狀態(tài)初始狀態(tài)(INIT)、建立狀態(tài)(HEL0)、信封狀態(tài)(ENVELOPE)、 數(shù)據(jù)狀態(tài)(DATA)、文本狀態(tài)(TEXT)和完成狀態(tài)(DONE)。
      初始狀態(tài),表示郵件會話開始,在初始狀態(tài)接收報文,觸發(fā)命令事件, 如果接收到招呼命令,狀態(tài)轉(zhuǎn)移到建立狀態(tài);
      建立狀態(tài),表示接收郵件服務器收到發(fā)送郵件服務器發(fā)送的招呼命令,準備接收新郵件,在建立狀態(tài)接收報文,觸發(fā)命令事件,如果接收到發(fā)件人 命令和收件人命令,狀態(tài)轉(zhuǎn)移到信封狀態(tài);
      信封狀態(tài),表示已經(jīng)接收到發(fā)件人和收件人信息,在信封狀態(tài)接收報文, 觸發(fā)命令事件,如果接收到數(shù)據(jù)命令,狀態(tài)轉(zhuǎn)移到數(shù)據(jù)狀態(tài),如果接收到復 位命令,狀態(tài)轉(zhuǎn)移到建立狀態(tài);
      數(shù)據(jù)狀態(tài),表示接收郵件服務器成功接收數(shù)據(jù)命令,準備接收信頭內(nèi)容, 信頭內(nèi)容在數(shù)據(jù)命令后正文前發(fā)送并且終端可見,在數(shù)據(jù)狀態(tài)接收報文,觸
      發(fā)命令事件,如果接收到邊界命令(Border),狀態(tài)轉(zhuǎn)移到文本狀態(tài);
      文本狀態(tài),表示接收郵件服務器準備接收郵件正文,在文本狀態(tài)接收報 文,觸發(fā)命令事件,接收到郵件正文直到接收到發(fā)送郵件服務器發(fā)送的結(jié)束 命令(DOT),接收郵件正文完成,狀態(tài)轉(zhuǎn)移到建立狀態(tài),表示當前郵件處理 結(jié)束;
      完成狀態(tài),表示郵件會話結(jié)束,由于在設置的時長內(nèi)沒有接收到數(shù)據(jù)而 觸發(fā)超時事件時,狀態(tài)機由當前所處的狀態(tài)轉(zhuǎn)移到完成狀態(tài),在建立狀態(tài)或 信封狀態(tài)接收報文,觸發(fā)命令事件,在接收到退出命令后,狀態(tài)轉(zhuǎn)移到完成 狀態(tài)。
      對報文解析過程為,接收報文,觸發(fā)命令事件,對報文負載部分逐行解 析,獲得報文中命令。
      狀態(tài)機的狀態(tài)變量包括信封變量、地址變量、命令長度變量、命令事 件變量和超時事件變量。
      信封變量,對應于當前郵件的收件人地址屬性和發(fā)件地址屬性,如果郵 件會話中包含多封郵件,此變量還應包含第一封郵件的收件人地址屬性和發(fā) 件人地址屬性,使用鏈表存儲方式,用于記錄第一封郵件和當前郵件的收件 人和發(fā)件人的地址信息,在建立狀態(tài)轉(zhuǎn)換到信封狀態(tài)時添加屬性信息;
      地址變量,對應于地址操作應用項目,用于記錄發(fā)送郵件服務器和接收 郵件服務器的IP地址和端口 ,在初始狀態(tài)轉(zhuǎn)換到建立狀態(tài)時記錄;
      命令長度變量,對應于命令長度屬性,包括4個數(shù)值變量分別記錄發(fā)件 人命令、數(shù)據(jù)命令、復位命令和退出命令的負載長度,在接收發(fā)件人命令、 數(shù)據(jù)命令、復位命令或退出命令時更新對應數(shù)值變量的記錄;
      命令事件變量,對應于命令事件屬性,用于記錄命令事件產(chǎn)生的狀態(tài)和接收的命令,在接收報文觸發(fā)命令事件時更新記錄;
      超時事件變量,對應于超時事件屬性,用于記錄超時事件產(chǎn)生的狀態(tài), 在超時事件產(chǎn)生時更新記錄。
      狀態(tài)機生成模塊101在初始確定狀態(tài)機,為每個郵件會話生成一個狀態(tài) 機實例,并將狀態(tài)機實例對應的狀態(tài)變量加入到會話描述信息表中,用散列 表形式存儲,其中郵件會話的接收郵件服務器和發(fā)送郵件服務器的IP地址和 端口所組成的四元組信息作為狀態(tài)機實例的索引。狀態(tài)機實例對應的狀態(tài)變 量用于實時記錄郵件會話過程中的屬性信息和操作應用信息。
      狀態(tài)機實例初始時,處于初始狀態(tài),在事件產(chǎn)生時進行狀態(tài)轉(zhuǎn)移。例如, 在信封狀態(tài)時,接收到數(shù)據(jù)命令,則狀態(tài)轉(zhuǎn)移到數(shù)據(jù)狀態(tài),并更新命令長度 變量和命令事件變量,將命令長度變量中的數(shù)據(jù)命令負載長度更新為該數(shù)據(jù) 命令的負載長度,將命令事件變量中事件產(chǎn)生的狀態(tài)更新為信封狀態(tài),接收 的命令更新為數(shù)據(jù)命令。
      當狀態(tài)機實例在信封狀態(tài),接收到復位命令,轉(zhuǎn)移到建立狀態(tài)時,丟棄 狀態(tài)變量的所有歷史信息;當狀態(tài)機實例轉(zhuǎn)移到完成狀態(tài)時,將狀態(tài)變量信 息寫入日志,從描述信息列表中清除相應的狀態(tài)變量,并釋放所有相關資源。
      在狀態(tài)機生成模塊101接收報文,進行完報文解析并完成狀態(tài)變量更新 后,通知屬性檢測模塊102被更新的狀態(tài)變量。
      屬性檢測模塊102包括網(wǎng)絡屬性檢測模塊121和協(xié)議屬性檢測模塊122。
      網(wǎng)絡屬性檢測模塊121,用于設置網(wǎng)絡屬性對應的檢測標準,檢測標準 包括嚴重檢測標準和普通檢測標準,判斷狀態(tài)變量中的網(wǎng)絡屬性信息是否符 合所述檢測標準,如果都不符合,則當前網(wǎng)絡屬性信息對應的郵件為正常郵 件,否則,為異常郵件,并判斷符合的檢測標準中是否包括嚴重檢測標準, 如果包括,則郵件為嚴重異常郵件,如果只包含普通檢測標準,則為普通異 常郵件。
      網(wǎng)絡屬性包括命令負載長度和發(fā)件人地址,在初始時,設置網(wǎng)絡屬性的 檢測標準。
      命令負載長度屬性的嚴重檢測標準為,
      標準l,發(fā)件人命令的長度小于正常范圍[max("-25,/)," + 25],其中/、" 和S分別為所述發(fā)件人命令長度的最小值、期望值和標準差值,該正常范圍
      14中參數(shù)值與系統(tǒng)實施時所處的網(wǎng)絡環(huán)境相關, 一般通過大樣本數(shù)據(jù)的統(tǒng)計獲 得,可由參數(shù)配置模塊105動態(tài)設置,網(wǎng)絡屬性檢測模塊121在檢測發(fā)件人 命令長度之前重新讀取所述參數(shù),并且所述發(fā)件人命令中發(fā)件人地址不為郵 件協(xié)議規(guī)定的錯誤通告郵件中的發(fā)件人地址形式,發(fā)件人為
      postmast@domain或administrator@domain的由IM牛為錯誤通告由[H牛; 標準2,數(shù)據(jù)命令、復位命令和退出命令的長度小于6個字節(jié); 標準3,數(shù)據(jù)命令長度大于6個字節(jié);
      標準1中,如果發(fā)件人地址形如abgsh@,則此郵件為地址不規(guī)范郵件; 如果發(fā)件人地址不是形如abgsM,則此郵件為報文拆分發(fā)送郵件,該兩種情 況被劃為嚴重異常。
      在標準2中,數(shù)據(jù)命令、復位命令和退出命令的長度小于正常值6個字 節(jié),則此郵件為報文拆分發(fā)送郵件,該種情況被劃為嚴重異常。
      在標準3中,數(shù)據(jù)命令長度大于正常值6個字節(jié),則此郵件為不遵守郵 件協(xié)議的郵件,該種情況被劃為嚴重異常。
      普通檢測標準為,
      標準4,發(fā)件人命令的長度大于所述正常范圍[max("-25,/)," + 25];
      標準5,復位命令和退出命令的長度大于正常值6個字節(jié)。
      讀取發(fā)件人地址變量和命令長度變量中被更新的數(shù)值變量,判斷被更新 的數(shù)值變量的數(shù)值和發(fā)件人地址變量是否符合對應的命令負載長度屬性的檢 測標準,如果符合其中任何一項,則當前進行通信的郵件為異常郵件,如果 都不符合,貝lj當前進行通信的郵件為正常郵件。如果當前進行通信的郵件為 異常郵件,則判斷符合的檢測標準中是否包含嚴重檢測標準,如果包含,則 對應的郵件為嚴重異常郵件,通知過濾模塊103進行過濾處理,而不再進行 發(fā)件人地址屬性對應的更新的狀態(tài)變量同對應的檢測標準的比較,如果不包 含,則為普通異常郵件,進行發(fā)件人地址屬性對應的更新的狀態(tài)變量同對應 的檢測標準的比較。
      發(fā)件人地址屬性的檢測標準為同一所述郵件會話中至少有兩封郵件的發(fā) 件人地址不屬于同一網(wǎng)域,并且該檢測標準為嚴重檢測標準。如果郵件會話 中含有多封郵件,當前郵件非第一封郵件。
      讀取被更新的當前郵件信封變量,獲取當前郵件的發(fā)件地址,比較信封中當前郵件的發(fā)件人地址和第一封郵件的發(fā)件人地址,是否符合該檢測標準, 如果符合,則郵件會話中的所有郵件為異常郵件,并且由于該檢測標準為嚴 重檢測標準,所以此異常郵件為嚴重異常郵件,通知過濾模塊103進行過濾 處理,協(xié)議屬性檢測模塊122不進行檢測;如果不符合,則將檢測結(jié)果通知
      協(xié)議屬性檢測模塊122,并且通知協(xié)議屬性檢測模塊122開始進行檢測。
      協(xié)議屬性檢測模塊122,用于設置所述協(xié)議屬性對應的檢測標準,該檢 測標準包括嚴重檢測標準和普通檢測標準,判斷所述狀態(tài)變量中的協(xié)議屬性 信息是否符合所述檢測標準,如果都不符合,則當前協(xié)議屬性信息對應的郵 件為正常郵件,否則,當前協(xié)議屬性信息對應的郵件為異常郵件,并判斷符 合的檢測標準中是否包括嚴重檢測標準,如果包括,則郵件為嚴重異常郵件。 協(xié)議屬性包括事件屬性,事件包括超時事件和命令事件。 超時事件,由于未接收到報文的時長超過設置時長而觸發(fā)的事件為超時 事件,產(chǎn)生超時事件原因可能為,攻擊者發(fā)出大量招呼命令(HEL0),進行 HELO攻擊或SMTP端口掃描行為,用以消耗服務器或網(wǎng)絡帶寬資源,產(chǎn)生大 量不完整會話,此種原因下,狀態(tài)機在結(jié)束前處于HELO狀態(tài);網(wǎng)絡擁塞、網(wǎng) 絡故障或無效事件引發(fā)的會話中止;在骨干網(wǎng)鏈路捕包過程中,發(fā)生郵件報 文丟失現(xiàn)象。后兩種原因引發(fā)超時事件時狀態(tài)機在結(jié)束前可能處于除完成狀 態(tài)外的任何狀態(tài)。
      命令事件,由于郵件通信過程中接收報文而觸發(fā)的事件為命令事件,如 果命令產(chǎn)生在同SMTP協(xié)議規(guī)定不一致的上下文環(huán)境中,則觸發(fā)的命令事件為 無效事件。例如,在信封狀態(tài)接收到發(fā)件人命令,在數(shù)據(jù)狀態(tài)接收到復位或 退出命令,在文本狀態(tài)接收到復位或退出命令。在發(fā)生無效事件時,郵件服 務器不能正確解析接收的命令。盡管產(chǎn)生無效事件不會對接收服務器造成影 響,但不符合郵件協(xié)議的網(wǎng)絡數(shù)據(jù)是無意義流量,造成網(wǎng)絡帶寬資源浪費, 所以將產(chǎn)生無效事件的郵件定為異常郵件。
      在初始時,設置協(xié)議屬性的檢測標準,包括嚴重檢測標準和普通檢測標準。
      嚴重檢測標準為,在信封狀態(tài)下接收到發(fā)件人命令。在信封狀態(tài)下接收 到發(fā)件人命令,則此郵件為配置錯誤服務器發(fā)出的郵件,所以該種情況被劃 為嚴重異常。普通檢測標準為 產(chǎn)生超時事件;
      命令事件產(chǎn)生的狀態(tài)不符合郵件協(xié)議規(guī)定,并且不屬于上述嚴重檢測標 準,即未在信封狀態(tài)下接收到發(fā)件人命令。
      讀取更新的協(xié)議屬性對應狀態(tài)變量,同檢測標準進行比較,以判定當前 進行通信的郵件是否為異常郵件,如果進行通信的郵件為異常郵件,則判斷 是否符合所述嚴重檢測標準,如果符合,則為嚴重異常,通過過濾模塊103 進行過濾,否則,依據(jù)網(wǎng)絡屬性檢測模塊121和協(xié)議屬性檢測模塊122的檢
      査結(jié)果,確定是否為普通異常郵件,如果是,則通過監(jiān)控模塊104進行監(jiān)控。
      檢査被更新的狀態(tài)變量是否包含超時事件變量,如果超時事件變量被更
      新,則當前進行通信的郵件為異常郵件;讀取被更新的命令事件變量,檢査
      命令事件變量中記錄的命令發(fā)生狀態(tài)是否符合郵件協(xié)議規(guī)定,如果不符合,
      則進行通信的郵件為異常郵件;檢查命令事件變量中記錄的命令發(fā)生狀態(tài)是 否為在信封狀態(tài)下接收到發(fā)件人命令,如果是,則符合嚴重檢測標準,為嚴 重異常郵件,否則,為普通異常郵件。
      上述實施例中的網(wǎng)絡屬性檢測模塊和協(xié)議屬性檢測模塊的啟動順序可以 調(diào)換。先啟動協(xié)議屬性檢測模塊進行檢測,如果通過檢測確定郵件為嚴重異 常郵件,則通知過濾模塊進行過濾處理,網(wǎng)絡屬性檢測模塊不進行檢測;否 則,將檢測結(jié)果通知網(wǎng)絡屬性檢測模塊,并且通知網(wǎng)絡屬性檢測模塊開始進 行檢測。
      過濾模塊103,用于阻斷所述嚴重異常郵件所在郵件會話的發(fā)送端和接收 端間的連接。
      獲得屬性檢測模塊102的通知后,讀取地址變量中記錄的發(fā)送郵件服務 器和接收郵件服務器的IP地址和端口分別向發(fā)送郵件服務器和接收郵件服 務器發(fā)送偽造的IP報文,提前中止該郵件的傳輸。
      對于處于發(fā)件人命令發(fā)送階段的郵件,向發(fā)送郵件服務器發(fā)送含5xx命 令的IP報文(根據(jù)SMTP協(xié)議,551命令表明接收郵件服務器上無此用戶), 對接收郵件服務器發(fā)送復位報文,切斷此次連接。
      對于處于郵件用戶數(shù)據(jù)發(fā)送階段的郵件,同時向發(fā)送郵件服務器和接收 郵件服務器發(fā)送復位報文,切斷此次連接。通常,為保證較高的吞吐率,垃圾郵件發(fā)送者或攻擊者對發(fā)送失敗的郵 件不會進行重傳嘗試,因此采用上述方法可有效減少垃圾郵件。
      監(jiān)控模塊104,用于記錄所述普通異常郵件的信息,以進行監(jiān)控操作。
      獲得屬性檢測模塊102的通知后,監(jiān)控模塊104開始對該郵件迸行監(jiān)控。 例如,記錄郵件的歷史信息,通過超時事件變量發(fā)現(xiàn)在建立狀態(tài)上發(fā)生的超 時事件超過預設數(shù)值,則認為網(wǎng)絡中存在HELO攻擊。
      參數(shù)配置模塊105,用于動態(tài)設置屬性檢測模塊102中使用的系統(tǒng)參數(shù)。
      參數(shù)配置模塊105建立并維護一張系統(tǒng)參數(shù)表,由管理人員通過對流量 數(shù)據(jù)進行統(tǒng)計,發(fā)現(xiàn)網(wǎng)絡屬性檢測模塊121中使用的/、"和S的值,其中/、 "和S分別為發(fā)件人命令長度的最小值、期望值和標準差值。發(fā)生變化時,通 過參數(shù)配置模塊105可實時更新上述參數(shù),網(wǎng)絡屬性檢測模塊121在檢測發(fā) 件人命令長度之前都會重新讀取所述參數(shù)。
      本發(fā)明方法如圖3所示,包括
      步驟S301,依據(jù)郵件協(xié)議設置郵件通信過程的狀態(tài)機,狀態(tài)機包括狀態(tài)、 事件和狀態(tài)變量,本實施例的狀態(tài)機如圖2所示,并設置狀態(tài)變量記錄的屬 性對應的檢測標準,檢測標準包括嚴重檢測標準和普通檢測標準。
      狀態(tài)變量包括信封變量、地址變量、命令長度變量、命令事件變量和 超時事件變量。
      信封變量,對應于當前郵件的收件人地址屬性和發(fā)件地址屬性,如果郵 件會話中包含多封郵件,此變量還應包含第一封郵件的收件人地址屬性和發(fā) 件人地址屬性,使用鏈表存儲方式,用于記錄收件人和發(fā)件人的地址信息, 在建立狀態(tài)轉(zhuǎn)換到信封狀態(tài)時添加屬性信息;
      地址變量,對應于地址操作應用項目,用于記錄發(fā)送郵件服務器和接收 郵件服務器的IP地址和端口,在初始狀態(tài)轉(zhuǎn)換到建立狀態(tài)時記錄;
      命令長度變量,對應于命令長度屬性,包括4個數(shù)值變量分別記錄發(fā)件 人命令、數(shù)據(jù)命令、復位命令和退出命令的負載長度,在接收發(fā)件人命令、 數(shù)據(jù)命令、復位命令或退出命令時更新對應數(shù)值變量的記錄;
      命令事件變量,對應于命令事件屬性,用于記錄命令事件產(chǎn)生的狀態(tài)和 接收的命令,在接收報文觸發(fā)命令事件時更新記錄;
      超時事件變量,對應于超時事件屬性,用于記錄超時事件產(chǎn)生的狀態(tài),在超時事件產(chǎn)生時更新記錄。
      命令負載長度屬性的嚴重檢測標準為,
      標準l,發(fā)件人命令的長度小于正常范圍[max("-25,/),M + 25],其中/、" 和S分別為所述發(fā)件人命令長度的最小值、期望值和標準差值,所述正常范 圍的參數(shù)與系統(tǒng)實施時所處的網(wǎng)絡環(huán)境相關, 一般通過大樣本數(shù)據(jù)的統(tǒng)計獲 得,可動態(tài)設置,系統(tǒng)在檢測發(fā)件人命令長度之前都會重新讀取這些參數(shù)。 并且所述發(fā)件人命令中發(fā)件人地址不為郵件協(xié)議規(guī)定的錯誤通告郵件中的發(fā) 件人地址形式,發(fā)件人為postmast@domain或administrator@domain的由P件 為錯誤通告郵件;
      標準2,數(shù)據(jù)命令、復位命令和退出命令的長度小于6個字節(jié);
      標準3,數(shù)據(jù)命令長度大于6個字節(jié);
      標準1中,如果發(fā)件人地址形如abgsh@,則此郵件為地址不規(guī)范郵件; 如果發(fā)件人地址不是形如abgsh@,則此郵件為報文拆分發(fā)送郵件,該兩種情 況被劃為嚴重異常。
      在標準2中,數(shù)據(jù)命令、復位命令和退出命令的長度小于正常值6個字 節(jié),則此郵件為報文拆分發(fā)送郵件,該種情況被劃為嚴重異常。
      在標準3中,數(shù)據(jù)命令長度大于正常值6個字節(jié),則此郵件為不遵守郵 件協(xié)議的郵件,該種情況被劃為嚴重異常。
      命令負載長度屬性的普通檢測標準為,
      標準4,發(fā)件人命令的長度大于所述正常范圍[max(" - 25,/)," + 25];
      標準5,復位命令和退出命令的長度大于正常值6個字節(jié)。
      發(fā)件人地址屬性的檢測標準為同一所述郵件會話中至少兩封郵件的發(fā)件 人地址不屬于同一網(wǎng)域,并且該檢測標準為嚴重檢測標準。
      事件屬性的嚴重檢測標準為,在信封狀態(tài)下接收到發(fā)件人命令。在信封 狀態(tài)下接收到發(fā)件人命令,則此郵件為配置錯誤服務器發(fā)出的郵件,所以該 種情況被劃為嚴重異常。
      事件屬性的普通檢測標準為
      產(chǎn)生超時事件;
      命令事件產(chǎn)生的狀態(tài)不符合郵件協(xié)議規(guī)定,并且未在信封狀態(tài)下接收到 發(fā)件人命令。步驟S302,為郵件會話創(chuàng)建對應狀態(tài)機實例,狀態(tài)機實例處于初始狀態(tài)。 步驟S303,接收到報文觸發(fā)命令事件或由于在設置的時間內(nèi)未接收到報
      文產(chǎn)生超時事件,更新對應狀態(tài)變量記錄的屬性信息。
      步驟S304,判斷當前會話是否結(jié)束,如果結(jié)束,則執(zhí)行歩驟S310;否則
      執(zhí)行步驟S305。
      步驟S305,判斷當前郵件是否結(jié)束,如果結(jié)束,則等待處理下一封郵件, 執(zhí)行步驟S303;否則執(zhí)行步驟S306。
      步驟S306,逐條讀取更新的狀態(tài)變量,判斷更新狀態(tài)變量中記錄的屬性 信息是否符合對應檢測標準,如果存在符合檢測標準的屬性信息,則所述屬 性信息對應的郵件為異常郵件,執(zhí)行步驟S307,如果更新狀態(tài)變量中的屬性 信息對檢測標準都不符合,則執(zhí)行步驟S303。
      步驟S307,判斷被符合的檢測標準中是否包括嚴重檢測標準,如果包含, 則執(zhí)行步驟S308,否則執(zhí)行步驟S309。
      步驟S308,阻斷所述嚴重異常郵件所在郵件會話的發(fā)送郵件服務器和接 收郵件服務器間的連接,以進行過濾。
      應用地址變量中記錄的發(fā)送郵件服務器和接收郵件服務器的IP地址和 端口分別向發(fā)送郵件服務器和接收郵件服務器發(fā)送偽造的IP報文,提前中止 該郵件的傳輸。
      對于處于發(fā)件人命令發(fā)送階段的郵件,向發(fā)送郵件服務器發(fā)送含5xx命 令的IP報文(根據(jù)SMTP協(xié)議,551命令表明接收郵件服務器上無此用戶), 對接收郵件服務器發(fā)送復位報文,切斷此次連接。
      對于處于郵件用戶數(shù)據(jù)發(fā)送階段的郵件,同時向發(fā)送郵件服務器和接收 郵件服務器發(fā)送復位報文,切斷此次連接。
      步驟S309,記錄所述普通異常郵件的信息,以進行監(jiān)控操作。
      例如,記錄郵件的歷史信息,通過超時事件變量發(fā)現(xiàn)在建立狀態(tài)上發(fā)生 的超時事件超過預設數(shù)值,則認為網(wǎng)絡中存在HELO攻擊。
      步驟S310,結(jié)束,釋放系統(tǒng)所占用資源。
      本領域的技術(shù)人員在不脫離權(quán)利要求書確定的本發(fā)明的精神和范圍的條 件下,還可以對以上內(nèi)容進行各種各樣的修改。因此本發(fā)明的范圍并不僅限 于以上的說明,而是由權(quán)利要求書的范圍來確定的。
      權(quán)利要求
      1.一種異常郵件檢測系統(tǒng),其特征在于,包括狀態(tài)機生成模塊,用于依據(jù)郵件協(xié)議設置郵件通信過程的狀態(tài)機,所述狀態(tài)機包括郵件通信過程中所處的狀態(tài),驅(qū)動所述狀態(tài)切換的事件及用于記錄屬性的信息的狀態(tài)變量;為郵件會話創(chuàng)建對應狀態(tài)機實例,并使用所述狀態(tài)機實例對應的狀態(tài)變量實時記錄所述郵件會話的屬性信息;屬性檢測模塊,用于設置所述屬性對應的檢測標準,判斷所述狀態(tài)機實例對應的狀態(tài)變量中的屬性信息是否符合對應的檢測標準,如果符合,則所述屬性信息對應的郵件為異常郵件。
      2. 如權(quán)利要求1所述的異常郵件檢測系統(tǒng),其特征在于,所述系統(tǒng)還包 括過濾模塊和監(jiān)控模塊,所述檢測標準包括嚴重檢測標準和/或普通檢測標 準,所述屬性檢測模塊,還用于在確定所述屬性信息對應的郵件為異常郵件 時,檢査被符合的所述檢測標準是否包含嚴重檢測標準,如果包含,則所述 異常郵件為嚴重異常郵件,否則,所述異常郵件為普通異常郵件;所述過濾模塊,用于阻斷所述嚴重異常郵件所在郵件會話的發(fā)送郵件服 務器和接收郵件服務器間的連接;所述監(jiān)控模塊,用于記錄所述普通異常郵件的信息,以進行監(jiān)控操作。
      3. 如權(quán)利要求2所述的異常郵件檢測系統(tǒng),其特征在于,所述屬性進一 步包括網(wǎng)絡屬性和協(xié)議屬性,所述屬性檢測模塊進一步包括網(wǎng)絡屬性檢測模 塊和協(xié)議屬性檢測模塊,所述網(wǎng)絡屬性檢測模塊,用于設置所述網(wǎng)絡屬性對應的檢測標準,判斷 所述狀態(tài)機實例對應的狀態(tài)變量中的網(wǎng)絡屬性信息是否符合對應的檢測標 準,如果符合,則所述網(wǎng)絡屬性信息對應的郵件為異常郵件;在確定所述網(wǎng) 絡屬性信息對應的郵件為異常郵件時,檢査被符合的所述檢測標準是否包含 嚴重檢測標準,如果包含,則所述異常郵件為嚴重異常郵件,否則,所述異 常郵件為普通異常郵件;所述協(xié)議屬性檢測模塊,用于設置所述協(xié)議屬性對應的檢測標準,判斷 所述狀態(tài)機實例對應的狀態(tài)變量中的協(xié)議屬性信息是否符合對應的檢測標準,如果符合,則所述協(xié)議屬性信息對應的郵件為異常郵件;在確定所述協(xié)議屬性信息對應的郵件為異常郵件時,檢查被符合的所述檢測標準是否包含 嚴重檢測標準,如果包含,則所述異常郵件為嚴重異常郵件,否則,所述異 常郵件為普通異常郵件。
      4. 如權(quán)利要求3所述的異常郵件檢測系統(tǒng),其特征在于,所述郵件協(xié)議 為簡單郵件傳輸協(xié)議或擴展簡單郵件傳輸協(xié)議。
      5. 如權(quán)利要求4所述的異常郵件檢測系統(tǒng),其特征在于, 所述網(wǎng)絡屬性包括命令負載長度,所述命令包括發(fā)件人命令、數(shù)據(jù)命令、復位命令和退出命令;所述命令負載長度屬性對應的嚴重檢測標準包括所述發(fā)件人命令的長度小于正常范圍的最小值,并且所述發(fā)件人命令中 發(fā)件人地址不為所述郵件協(xié)議規(guī)定的錯誤通告郵件中的發(fā)件人地址形式,所述正常范圍為[max("-25,/)," + 25],其中/、"和5分別為所述發(fā)件人命令長度 的最小值、期望值和標準差值;所述數(shù)據(jù)命令、復位命令和退出命令的長度小于正常值6個字節(jié);所述數(shù)據(jù)命令長度大于所述正常值;所述命令負載長度屬性對應的普通檢測標準包括所述發(fā)件人命令的長度大于所述正常范圍;所述復位命令和退出命令的長度大于所述正常值。
      6. 如權(quán)利要求5所述的異常郵件檢測系統(tǒng),其特征在于,所述系統(tǒng)還包 括參數(shù)配置模塊,所述參數(shù)配置模塊,用于設置所述發(fā)件人命令長度的最小值、期望值和 標準差值。
      7. 如權(quán)利要求4所述的異常郵件檢測系統(tǒng),其特征在于, 所述網(wǎng)絡屬性包括發(fā)件人地址;所述發(fā)件人地址屬性對應的嚴重檢測標準為同一郵件會話中至少存在兩 封郵件的發(fā)件人地址不屬于同一網(wǎng)域。
      8. 如權(quán)利要求4所述的異常郵件檢測系統(tǒng),其特征在于, 所述協(xié)議屬性包括事件,所述事件包括由于接收報文所觸發(fā)的命令事件和由于未接收數(shù)據(jù)時長超過設置時長而觸發(fā)的超時事件;所述狀態(tài)機包括信封狀態(tài),所述信封狀態(tài)表示已接收到發(fā)件人和收件人樣自.I Ft 'K、;所述事件屬性對應的嚴重檢測標準包括,在所述信封狀態(tài)下接收到發(fā)件 人命令;所述事件屬性對應的普通檢測標準包括 產(chǎn)生超時事件;所述命令事件產(chǎn)生時所處的狀態(tài)不符合所述郵件協(xié)議的規(guī)定,并且未在 所述信封狀態(tài)下接收到發(fā)件人命令。
      9. 一種異常郵件檢測方法,其特征在于,包括步驟1,依據(jù)郵件協(xié)議設置郵件通信過程的狀態(tài)機,所述狀態(tài)機包括郵 件通信過程中所處的狀態(tài),驅(qū)動所述狀態(tài)切換的事件及用于記錄屬性的信息 的狀態(tài)變量,設置所述屬性對應的檢測標準;步驟2,為郵件會話創(chuàng)建對應狀態(tài)機實例,并使用所述狀態(tài)機實例對應 的狀態(tài)變量實時記錄所述郵件會話的屬性信息;步驟3,判斷所述狀態(tài)機實例對應的狀態(tài)變量中的屬性信息是否符合對 應的檢測標準,如果符合,則所述屬性信息對應的郵件為異常郵件。
      10. 如權(quán)利要求9所述的異常郵件檢測方法,其特征在于,所述檢測標 準包括嚴重檢測標準和/或普通檢測標準,所述步驟3還包括,在確定所述屬性信息對應的郵件為異常郵件時,檢 査被符合的所述檢測標準是否包含嚴重檢測標準,如果包含,則所述異常郵 件為嚴重異常郵件,否則,所述異常郵件為普通異常郵件;步驟101,阻斷所述嚴重異常郵件所在郵件會話的發(fā)送郵件服務器和接 收郵件服務器間的連接;步驟102,記錄所述普通異常郵件的信息,以進行監(jiān)控操作。
      11. 如權(quán)利要求10所述的異常郵件檢測方法,其特征在于,所述郵件協(xié) 議為簡單郵件傳輸協(xié)議或擴展簡單郵件傳輸協(xié)議。
      12. 如權(quán)利要求11所述的異常郵件檢測方法,其特征在于, 所述屬性包括命令負載長度,所述命令包括發(fā)件人命令、數(shù)據(jù)命令、復位命令和退出命令;所述命令負載長度屬性對應的嚴重檢測標準包括所述發(fā)件人命令的長度小于正常范圍的最小值,并且所述發(fā)件人命令中 發(fā)件人地址不為所述郵件協(xié)議規(guī)定的錯誤通告郵件中的發(fā)件人地址形式;, 所述正常范圍為[max("-25,/)," + 25],其中/、"和《5分別為所述發(fā)件人命令長 度的最小值、期望值和標準差值;所述數(shù)據(jù)命令、復位命令和退出命令的長度小于正常值6個字節(jié);所述數(shù)據(jù)命令長度大于所述正常值;所述命令負載長度屬性對應的普通檢測標準包括所述發(fā)件人命令的長度大于所述正常范圍;所述復位命令和退出命令的長度大于所述正常值。
      13. 如權(quán)利要求12所述的異常郵件檢測方法,其特征在于,所述步驟1 還包括步驟131,設置所述發(fā)件人命令長度的最小值、期望值和標準差值。
      14. 如權(quán)利要求11所述的異常郵件檢測方法,其特征在于, 所述屬性包括發(fā)件人地址;所述發(fā)件人地址屬性對應的嚴重檢測標準為同一郵件會話中至少存在兩 封郵件的發(fā)件人地址不屬于同 一 網(wǎng)域。
      15. 如權(quán)利要求11所述的異常郵件檢測方法,其特征在于, 所述屬性包括事件,所述事件包括由于接收報文所觸發(fā)的命令事件和由于未接收數(shù)據(jù)時長超過設置時長而觸發(fā)的超時事件;所述狀態(tài)機包括信封狀態(tài),所述信封狀態(tài)表示已接收到發(fā)件人和收件人 信息;所述事件屬性對應的嚴重檢測標準包括,在所述信封狀態(tài)下接收到發(fā)件 人命令;所述事件屬性對應的普通檢測標準包括 產(chǎn)生超時事件;所述命令事件產(chǎn)生時所處的狀態(tài)不符合所述郵件協(xié)議的規(guī)定,并且未在 所述信封狀態(tài)下接收到發(fā)件人命令。
      全文摘要
      本發(fā)明涉及一種異常郵件檢測系統(tǒng)及方法,所述系統(tǒng)包括狀態(tài)機生成模塊,用于依據(jù)郵件協(xié)議設置郵件通信過程的狀態(tài)機,所述狀態(tài)機包括郵件通信過程中所處的狀態(tài),驅(qū)動所述狀態(tài)切換的事件及用于記錄屬性的信息的狀態(tài)變量;為郵件會話創(chuàng)建對應狀態(tài)機實例,并使用所述狀態(tài)機實例對應的狀態(tài)變量實時記錄所述郵件會話的屬性信息;屬性檢測模塊,用于設置所述屬性對應的檢測標準,判斷所述狀態(tài)機實例對應的狀態(tài)變量中的屬性信息是否符合對應的檢測標準,如果符合,則所述屬性信息對應的郵件為異常郵件。從而,實現(xiàn)在骨干網(wǎng)或局域網(wǎng)上實時檢測出異常郵件,以協(xié)助防御大規(guī)模安全事件爆發(fā)。
      文檔編號H04L9/36GK101316172SQ200810106339
      公開日2008年12月3日 申請日期2008年5月12日 優(yōu)先權(quán)日2008年5月12日
      發(fā)明者吳樹興, 尼 張, 范 張, 張智江, 方濱興 申請人:中國聯(lián)合通信有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1