Een betere manier om spam te verwijderen

Nieuwe software die is ontwikkeld door het Georgia Institute for Technology kan spam identificeren voordat deze de mailserver bereikt. Het systeem, bekend als SNARE (Spatio-temporal Network-level Automatic Reputation Engine), beoordeelt elke inkomende e-mail op basis van een reeks nieuwe criteria die uit een enkel gegevenspakket kunnen worden afgeleid. De betrokken onderzoekers zeggen dat het geautomatiseerde systeem het netwerk minder belast en de noodzaak voor menselijke tussenkomst minimaliseert, terwijl het dezelfde nauwkeurigheid bereikt als traditionele spamfilters.





Spam scheiden van legitieme e-mail, ook wel ham genoemd, is niet eenvoudig. Dat komt deels door het enorme aantal berichten dat moet worden verwerkt en deels door e-mailverwachtingen: gebruikers willen dat hun e-mail minuten, zo niet seconden nadat deze is verzonden, aankomt. Het analyseren van de inhoud van elke e-mail is misschien een betrouwbare methode om spam te identificeren, maar het duurt te lang, zegt Nick Feamster , een assistent-professor bij Georgia Tech die toezicht hield op het SNARE-onderzoek. Spam ongefilterd in onze inbox laten stromen is ook geen verstandige optie. Volgens een verslag doen van vrijgegeven door het e-mailbeveiligingsbedrijf MessageLabs , spam was goed voor 90,4 procent van alle e-mail die in juni werd verzonden.

Als je je geen zorgen maakt over spam, raad ik je aan om je spamfilter ongeveer een uur uit te zetten en te kijken wat er gebeurt, zegt Sven Krasser, senior director datamining-onderzoek bij McAfee. Het bedrijf Santa Clara, CA, leverde ruwe gegevens voor analyse door het Georgia Tech-team.

Het team analyseerde 25 miljoen e-mails verzameld door TrustedSource.org , een online service die door McAfee is ontwikkeld om gegevens over trends in spam en malware te verzamelen. Met behulp van deze gegevens ontdekten de Georgia Tech-onderzoekers verschillende kenmerken die konden worden afgeleid uit een enkel gegevenspakket en die konden worden gebruikt om ongewenste e-mail efficiënt te identificeren. Uit hun onderzoek bleek bijvoorbeeld dat ham meestal afkomstig is van computers met veel kanalen of poorten die openstaan ​​voor communicatie. Bots, geautomatiseerde systemen die vaak worden gebruikt om stapels spam te verzenden, hebben de neiging om alleen de e-mailpoort open te houden, ook wel bekend als de Simple Mail Transfer Protocol-poort.

Bovendien ontdekten de onderzoekers dat door de geodetische afstand tussen de Internet Protocol (IP)-adressen van de zender en ontvanger te plotten, gemeten op het gebogen oppervlak van de aarde, ze konden bepalen of het bericht rommel was. (Net zoals elk huis een straatadres heeft, heeft elke computer op internet een IP-adres en dat adres kan worden toegewezen aan een geografisch gebied.) Spam, zo ontdekten de onderzoekers, gaat meestal verder dan ham. Spammers hebben ook vaak IP-adressen die numeriek dicht bij die van andere spammers liggen.

Dean Malmgren, een promovendus aan de Northwestern University wiens werk onder meer bestaat uit het identificeren van nieuwe methoden voor het identificeren van spam, zegt dat hij het onderzoek interessant vindt. Maar hij vraagt ​​zich af hoe robuust SNARE zal zijn als de methodologie ervan eenmaal algemeen bekend is. IP-adressen, merkt hij op, zijn gemakkelijk te vervalsen. Dus als spammers lucht krijgen van hoe SNARE werkt, kunnen ze bijvoorbeeld een nep-IP-adres gebruiken dat dicht bij dat van de ontvanger ligt.

De Georgia Tech-onderzoekers keken ook naar het autonome servernummer (AS) dat bij een e-mail hoort. (Aan elk onafhankelijk beheerd netwerk wordt een AS-nummer toegewezen, of het nu een internetprovider of een campusnetwerk is.) Omdat ze wisten dat een aanzienlijk percentage van de spam afkomstig is van een handvol autonome servernummers, besloten de onderzoekers dat kenmerk te integreren in SNARE, te.

Het eindresultaat was een systeem dat 70 procent van de tijd spam kon detecteren, met een percentage valse positieven van 0,3 procent. Feamster zegt dat dit vergelijkbaar is met bestaande spamfilters, maar merkt op dat het proces bij gebruik in combinatie met bestaande systemen veel efficiënter zou moeten zijn.

Beschouw SNARE als een eerste verdedigingslinie, zegt Shuang Hao , een promovendus in computerwetenschappen aan het Georgia Institute of Technology en een SNARE-onderzoeker. Elk van de kenmerken in het SNARE-systeem draagt ​​bij aan de algehele score van een e-mail. Tot nu toe is SNARE alleen geïmplementeerd in een onderzoeksomgeving, maar als het in een bedrijfsomgeving wordt gebruikt, zou de netwerkbeheerder regels kunnen stellen over wat er met e-mail gebeurt op basis van de SNARE-score. E-mail die slecht scoort, kan bijvoorbeeld worden verwijderd voordat deze de mailserver bereikt. Hao zegt dat dit aanzienlijke middelen kan besparen, omdat veel bedrijven een beleid hebben dat vereist dat ze een kopie bewaren van elke e-mail die op de server terechtkomt, of het nu rommel is of niet. Berichten met matige scores kunnen verder worden beoordeeld door traditionele inhoudsfilters.

Hao helpt Yahoo momenteel om zijn spamfilter te verbeteren op basis van wat hij heeft geleerd bij het ontwikkelen van SNARE. Hij zegt dat ook Cisco interesse heeft getoond in het werk.

Het is vrij slim in de manier waarop ze een heleboel gegevens combineren die goedkoop in gebruik zijn, zegt John Levine , voorzitter van de Coalitie tegen ongevraagde commerciële e-mail en een senior technisch adviseur van de Messaging Anti-Misbruik Werkgroep , een consortium van bedrijven die zich bezighouden met de bestrijding van spam. Aan de andere kant vind ik sommige van hun conclusies een beetje te optimistisch. Spammers zijn niet dom; elke keer dat je een populair schema hebt [voor het identificeren van spam], zullen ze het omzeilen.

Het onderzoeksteam zal hun werk over SNARE presenteren op de Usenix Security Conference volgende maand in Montreal. In de toekomst hoopt Feamster hun bevindingen toe te passen op andere computerbeveiligingsproblemen, zoals phishing-e-mails, waarbij de afzender zich voordoet als een vertrouwde instelling om ontvangers te misleiden om hun wachtwoorden vrij te geven.

zich verstoppen