Oznakowanie Spamu poprzez analizę wzorów protokołów
W ostatnich tygodniach VB2014 (the 24th Virus Bulletin International Conference) opublikujemy badania, które będą prezentowane podczas wydarzenia. Dziś chcemy omówić temat „Oznakowanie spamu poprzez analizę wzorów protokołów” przedstawiony przez Andrei Husanu i Alexandru Trifan z firmy Bitdefender.
Andrei Husanu i Alexandru Trifan pokazali czego może nas nauczyć rozmiar pakietów TCP.
Jedną z wielu technik, które zastosowano w celu walki ze spamem jest spojrzenie na ruch w sieci TCP/IP i użycie go do określenia źródła wiadomości. Jeżeli na przykład taki „odcisk palców” w sieci TCP/IP sugeruje, że e-mail został wysłany z systemu Windows XP, jest bardzo mało prawdopodobne, by był on uprawnionym nadawcą. Pozwala to filtrom antyspamowym urwać połączenie bez sprawdzenia zawartości wiadomości e-mail, a nawet ustalić, czy połączenie jest na czarnej liście adresów IP.
W swoim artykule Andrei i Alexandru pokazują inne spojrzenie na ruch w sieci internetowej stworzony przez nadawców wiadomości e-mail. Analizują drogę, na której dane SMTP są podzielone na segmenty TCP/IP i starają się sprawdzić wzorce, które mogą sugerować, że nadawca jest spamerem.
Ruch TCP jest dzielony na wiele pakietów IP, a wielkość tych pakietów jest zwykle określana przez maksymalną wielkość segmentu, który może zostać przesłany pomiędzy dwoma końcami połączenia sieciowego. Jednak, w niektórych przypadkach, dane idące drogą SMTP są również podzielone, co może mówić coś interesującego na temat nadawcy wiadomości e-mail.
Typowym dla niektórych spamerów jest to, że wysyłają do każdego odbiorcy ten sam blok danych, ale z innym nagłówkiem From dołączonym do niego. Ten nagłówek From jest następnie wysyłany jako oddzielne paczki małej i zazwyczaj zmiennej wielkości. Innym przykładem jest e-mail wysłany z urządzeń korzystających z połączeń komórkowych (które w przypadku bezpośredniego połączenia z serwerem pocztowym odbiorcy, jest rzadko uzasadnione). Tutaj typowym wzorem jest wielkość pakietów, która może się zmieniać.
Dobre badania spamu są bardzo rzadko robione, przynajmniej jeżeli chodzi o ostatnie pół dekady. Dlatego czytanie artykułu Andrei i Alexandru jest dużą przyjemnością.
Czy badania te będą stosowane w filtrach antyspamowych, oraz czy będzie to prowadzić do poprawy istniejących technologii? – Nie jestem w stanie odpowiedzieć na te pytania, ale myślę, że technologia może mieć aplikacje poza technologią antyspamową również. Dzięki temu może będzie w stanie w wiarygodny sposób odróżnić ludzi od komputerów i pomóc w ochronie wielu obszarów cyberświata.
Nadesłał:
Marken
|