问题描述

某政府单位按照等保要求部署了安全防御产品，但通过科来网络回溯分析系统对流量进行分析后发现邮箱服务器发起了大量对外网邮箱的邮件，发送邮件频率高。

分析结论

对存在相同行为的账号进行审查与分析，发现内网多个账号已被盗，需要对这些账号进行重置，并更新病毒库对全网机器进行杀毒，并对邮箱服务器进行升级。

价值

通过网络分析对网络流量中隐蔽的可疑行为进行发现和分析，并借助回溯分析回查评估过去一段时间的攻击影响和取证，制定针对性的防御策略，及时止损。当前网络安全是动态的，网络安保工作需从被动防御上升到主动防护。目前网络安全等级保护已进入2.0时代，网络全流量回溯分析技术是打造主动防御体系与等保2.0合规的技术手段。

分析过程

通过回溯分析对某天夜间的流量进行分析后发现夜间存在大量的Email流量，展开Email流量查看产生Email流量的通讯会话，发现均为邮箱服务器与公网地址的通讯。如图1、图2所示。

图1 展开Email流量查看

图2 展开Email流量查看

对这段邮箱服务器和外网地址的通讯内容进行还原，可见内部邮箱账号给外网邮箱发送邮件的过程，该行为发生在夜间且发送频率很高，邮件发送到多个外网邮箱，行为可疑。如图3所示。

图3 还原发送邮件过程

还原邮件内容，发现均为推广、赌博等广告邮件，由此确认该邮箱账号被盗。