Oznakowanie Spamu poprzez analizę wzorów protokołów


Oznakowanie Spamu poprzez analizę wzorów protokołów
2014-09-02
W ostatnich tygodniach VB2014 (the 24th Virus Bulletin International Conference) opublikujemy badania, które będą prezentowane podczas wydarzenia. Dziś chcemy omówić temat „Oznakowanie spamu poprzez analizę wzorów protokołów” przedstawiony przez Andrei Husanu i Alexandru Trifan z firmy Bitdefender.

Andrei Husanu i Alexandru Trifan pokazali czego może nas nauczyć rozmiar pakietów TCP.

Jedną z wielu technik, które zastosowano w celu walki ze spamem jest spojrzenie na ruch w sieci TCP/IP i użycie go do określenia źródła wiadomości. Jeżeli na przykład taki „odcisk palców”  w sieci TCP/IP sugeruje, że e-mail został wysłany z systemu Windows XP, jest bardzo mało prawdopodobne, by był on uprawnionym nadawcą. Pozwala to filtrom antyspamowym urwać połączenie bez sprawdzenia zawartości wiadomości e-mail, a nawet  ustalić, czy połączenie jest na czarnej liście adresów IP.

W swoim artykule Andrei i Alexandru pokazują inne spojrzenie na ruch w sieci internetowej stworzony przez nadawców wiadomości e-mail. Analizują drogę, na której dane SMTP są podzielone na segmenty TCP/IP  i starają się sprawdzić wzorce, które mogą sugerować, że nadawca jest spamerem.

Ruch TCP  jest dzielony na wiele pakietów IP, a wielkość tych pakietów jest zwykle określana przez maksymalną wielkość segmentu, który może zostać przesłany pomiędzy dwoma końcami połączenia sieciowego. Jednak, w niektórych przypadkach, dane idące drogą SMTP  są również podzielone, co może mówić coś interesującego na temat nadawcy wiadomości e-mail.

Typowym dla niektórych spamerów jest to, że wysyłają do każdego odbiorcy ten sam blok danych, ale z innym nagłówkiem From dołączonym do niego. Ten nagłówek From jest następnie wysyłany jako oddzielne paczki małej i zazwyczaj zmiennej wielkości. Innym przykładem jest e-mail wysłany z urządzeń korzystających z połączeń komórkowych (które w przypadku bezpośredniego połączenia z serwerem pocztowym odbiorcy, jest rzadko uzasadnione). Tutaj typowym wzorem jest wielkość pakietów, która może się zmieniać.

Dobre badania spamu są bardzo rzadko robione, przynajmniej jeżeli chodzi o ostatnie pół dekady.  Dlatego czytanie artykułu Andrei i Alexandru  jest dużą przyjemnością.

Czy badania te będą stosowane w filtrach antyspamowych, oraz czy będzie to prowadzić do poprawy istniejących technologii? – Nie jestem w stanie odpowiedzieć na te pytania, ale myślę, że technologia może mieć aplikacje poza technologią antyspamową również. Dzięki temu może będzie w stanie w wiarygodny sposób odróżnić ludzi od komputerów i pomóc w ochronie wielu obszarów cyberświata. 

Nadesłał:

Marken

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl