Główne metody wykrywania
Główne metody wykrywania
włamań są następujące:
włamań są następujące:
Wykrywanie sygnatur
Wykrywanie sygnatur
ruchu
ruchu
•
Metoda stosowana do pewnych form ataków,
Metoda stosowana do pewnych form ataków,
polegająca na porównywaniu sygnatur"
polegająca na porównywaniu sygnatur"
ataku z ruchem. Poszukuje się wzorców
ataku z ruchem. Poszukuje się wzorców
ataków jedynie w takich fragmentach ruchu,
ataków jedynie w takich fragmentach ruchu,
gdzie mogą się one znajdować, co pozwala
gdzie mogą się one znajdować, co pozwala
zrezygnować z przegląda nia całego
zrezygnować z przegląda nia całego
strumienia. Wszystkie sygnatury są dostępne
strumienia. Wszystkie sygnatury są dostępne
z graficznego inter fejsu użytkownika, który
z graficznego inter fejsu użytkownika, który
umożliwia również edycję nowych sygnatur
umożliwia również edycję nowych sygnatur
lub mo dyfikację już istniejących.
lub mo dyfikację już istniejących.
Wykrywanie anomalii
Wykrywanie anomalii
protokotowych
protokotowych
Metoda stosowna do identyfikacji
Metoda stosowna do identyfikacji
ataków metodą
ataków metodą
wyszukiwania odchyleń od protokołów
wyszukiwania odchyleń od protokołów
stanowiących podstawę normalnego
stanowiących podstawę normalnego
ruchu. Zasadniczo metoda ta
ruchu. Zasadniczo metoda ta
weryfikuje ruch, opierając się na
weryfikuje ruch, opierając się na
opublikowanych specyfikacjach
opublikowanych specyfikacjach
protoko łów, wyszukując niewłaściwe
protoko łów, wyszukując niewłaściwe
stosowanie protokołów
stosowanie protokołów
komunikacyjnych.
komunikacyjnych.
Wykrywanie tylnych
Wykrywanie tylnych
furtek
furtek
•
Identyfikacja i zabez pieczenie przed atakami
Identyfikacja i zabez pieczenie przed atakami
przez „tylne furtki". Ataki tego typu pozwalają
przez „tylne furtki". Ataki tego typu pozwalają
zazwy czaj na przejęcie kontroli nad całym
zazwy czaj na przejęcie kontroli nad całym
systemem lub aplikacją. Tylne furtki po zostawiane
systemem lub aplikacją. Tylne furtki po zostawiane
są często przez projektantów systemów, którzy
są często przez projektantów systemów, którzy
używali ich na etapie uruchamiania, lub też są
używali ich na etapie uruchamiania, lub też są
instalowane przez trojany dostające się do sieci.
instalowane przez trojany dostające się do sieci.
Identyfikuje się unikatowe charakterystyki
Identyfikuje się unikatowe charakterystyki
interaktywnego ruchu po między systemem a
interaktywnego ruchu po między systemem a
atakującym (różnorodne komendy systemowe) i
atakującym (różnorodne komendy systemowe) i
uaktyw nia alarm z chwilą napotkania
uaktyw nia alarm z chwilą napotkania
niespodziewanej aktywności.
niespodziewanej aktywności.
Wykrywanie anomalii w
Wykrywanie anomalii w
ruchu
ruchu
•
Wykrywanie ataków, które nie zawierają się w
Wykrywanie ataków, które nie zawierają się w
pojedynczej sesji, lecz wymagają kilku po łączeń.
pojedynczej sesji, lecz wymagają kilku po łączeń.
Często są to misje rozpoznawcze, zbierające
Często są to misje rozpoznawcze, zbierające
informacje o sieci dla przeprowadzenia przyszłych
informacje o sieci dla przeprowadzenia przyszłych
ataków. Wykrywanie anomalii w ruchu pozwala na
ataków. Wykrywanie anomalii w ruchu pozwala na
identyfikację takiej aktywności przez
identyfikację takiej aktywności przez
porównywanie ruchu wejściowego z wzorcami
porównywanie ruchu wejściowego z wzorcami
ruchu normalnego. Pozwala to na wykrycie prób
ruchu normalnego. Pozwala to na wykrycie prób
włamań składa jących się z wielu połączeń.
włamań składa jących się z wielu połączeń.
Sondowanie sieci i skanowanie portów to wła śnie
Sondowanie sieci i skanowanie portów to wła śnie
przykłady tego typu ataków.
przykłady tego typu ataków.
Pułapki sieciowe
Pułapki sieciowe
•
Symulowanie nieistniejącej usługi
Symulowanie nieistniejącej usługi
polegające na wysyłaniu fałszywej
polegające na wysyłaniu fałszywej
informacji do napastnika próbującego
informacji do napastnika próbującego
sondować sieć. Każda próba
sondować sieć. Każda próba
połączenia się z taką usługą jest uwa
połączenia się z taką usługą jest uwa
żana za próbę hakerską, ponieważ w
żana za próbę hakerską, ponieważ w
rzeczywistości usługa taka nie
rzeczywistości usługa taka nie
istnieje w systemie.
istnieje w systemie.
Wykrywanie hybrydowe
Wykrywanie hybrydowe
•
Zapewniające skoordynowane stosowanie wie lu
Zapewniające skoordynowane stosowanie wie lu
metod wykrywania w celu zwiększenia szansy
metod wykrywania w celu zwiększenia szansy
identyfikacji ataku. Zbiera dodatkowe informacje
identyfikacji ataku. Zbiera dodatkowe informacje
o działaniach szkodliwych, prowadząc: behawioral
o działaniach szkodliwych, prowadząc: behawioral
ny monitoring ruchu, śledzenie stanów
ny monitoring ruchu, śledzenie stanów
protokołowych i reasemblację pa kietów IP Z kolei
protokołowych i reasemblację pa kietów IP Z kolei
analiza korelacji statystycznych pozwala oceniać
analiza korelacji statystycznych pozwala oceniać
zagrego wane zdarzenia pod kątem właściwej
zagrego wane zdarzenia pod kątem właściwej
identyfikacji potencjalnych ataków i
identyfikacji potencjalnych ataków i
uszeregowania ich pod względem ważności,
uszeregowania ich pod względem ważności,
minimalizując przy tym moż liwość fałszywych
minimalizując przy tym moż liwość fałszywych
alarmów.
alarmów.
Reasemblacja ruchu IP
Reasemblacja ruchu IP
•
Rozpoznawanie fragmentowanych
Rozpoznawanie fragmentowanych
pakietów IP i wykonywanie
pakietów IP i wykonywanie
rekonstrukcji od warstwy 3 do 7.
rekonstrukcji od warstwy 3 do 7.
Sensor wykonuje reasembla cję
Sensor wykonuje reasembla cję
spójną ze stosem IP
spójną ze stosem IP
Wykrywanie ataków
Wykrywanie ataków
zanurzonych
zanurzonych
•
Jedną z taktyk używanych przez na pastników
Jedną z taktyk używanych przez na pastników
w celu zmniejszenia prawdopodobieństwa
w celu zmniejszenia prawdopodobieństwa
namierzenia jest ukrycie prawdziwego ataku
namierzenia jest ukrycie prawdziwego ataku
w potoku pakietów, np. typu DoS. Można tym
w potoku pakietów, np. typu DoS. Można tym
łatwo wprowadzić w błąd tradycyjnie
łatwo wprowadzić w błąd tradycyjnie
działające IDS. Ich sensory mogą przepuścić
działające IDS. Ich sensory mogą przepuścić
rozproszone pakiety składające się na realny
rozproszone pakiety składające się na realny
atak. W potoku innych pakietów można
atak. W potoku innych pakietów można
ukryć pakiety stworzone do ataku.
ukryć pakiety stworzone do ataku.
Behawioralny monitoring
Behawioralny monitoring
ruchu
ruchu
•
Metoda licznika statystycznego lub
Metoda licznika statystycznego lub
częstotliwościowego do dokładnego
częstotliwościowego do dokładnego
identyfikowania formy ruchu wskazująca, że
identyfikowania formy ruchu wskazująca, że
jest to DoS lub atak metodą potoku pakietów.
jest to DoS lub atak metodą potoku pakietów.
Metoda uwzględnia mechanizm samo
Metoda uwzględnia mechanizm samo
strojenia do rozpoznawania różnych
strojenia do rozpoznawania różnych
środowisk, a nawet różnych typów organizacji
środowisk, a nawet różnych typów organizacji
wewnętrznej ISP Dopuszczalne formy poszcze
wewnętrznej ISP Dopuszczalne formy poszcze
gólnych typów zdarzeń w jednej lokalizacji
gólnych typów zdarzeń w jednej lokalizacji
mogą być uważane za atak po tokowy w innej.
mogą być uważane za atak po tokowy w innej.
•
Do tradycyjnych systemów Host IDS
Do tradycyjnych systemów Host IDS
doszły produkty typu
doszły produkty typu
File
File
IntegrityAs- sesment
IntegrityAs- sesment
,
,
monitorujące stan plików
monitorujące stan plików
systemowych i aplikacyjnych, a także
systemowych i aplikacyjnych, a także
re jestrów systemowych. Trzecim
re jestrów systemowych. Trzecim
typem są produkty
typem są produkty
Intrusion
Intrusion
Prevention Sys tems
Prevention Sys tems
(IPS).
(IPS).
Ewolucja systemów
Ewolucja systemów
wykrywania włamań
wykrywania włamań
•
Identyfikacja pasywna
Identyfikacja pasywna
wykorzystuje
wykorzystuje
informacje związane z systemami
informacje związane z systemami
funkcjonującymi w hostach będących
funkcjonującymi w hostach będących
celem ataku w sieci. IDS zbiera dane o
celem ataku w sieci. IDS zbiera dane o
systemie operacyjnym, usługach i
systemie operacyjnym, usługach i
niektórych aplikacjach pracujące na
niektórych aplikacjach pracujące na
hoście, a następnie używa tej informacji
hoście, a następnie używa tej informacji
do ograniczania fałszywych rozpoznań.
do ograniczania fałszywych rozpoznań.
•
Identyfikacja pasywna działa na
Identyfikacja pasywna działa na
zasadzie porównywania kluczowych in
zasadzie porównywania kluczowych in
formacji nagłówkowych TCP i IF?
formacji nagłówkowych TCP i IF?
otrzymanych z hosta źródłowego, z
otrzymanych z hosta źródłowego, z
bazą da nych sygnatur specyficznych dla
bazą da nych sygnatur specyficznych dla
danego hosta docelowego. Najbardziej
danego hosta docelowego. Najbardziej
po pularne identyfikatory z nagłówka to:
po pularne identyfikatory z nagłówka to:
rozmiar okna, czas „życia" pakietu, bit
rozmiar okna, czas „życia" pakietu, bit
DF i całkowita długość pakietu:
DF i całkowita długość pakietu:
-Czas „życia"
-Czas „życia"
pakietu
pakietu
jest kolejnym parame
jest kolejnym parame
trem, który zapewnia użyteczną
trem, który zapewnia użyteczną
charakterystykę systemu operacyjnego
charakterystykę systemu operacyjnego
hosta.
hosta.
-
-
Długość całkowita
Długość całkowita
określa długość całego
określa długość całego
pakietu wraz z nagłówkiem IP i zawartością i
pakietu wraz z nagłówkiem IP i zawartością i
jest informacją z dużym przybliżeniem
jest informacją z dużym przybliżeniem
identyfikującą system - niektóre systemy
identyfikującą system - niektóre systemy
operacyjne mogą być rozpoznane na
operacyjne mogą być rozpoznane na
podstawie domyślnej długości pakietów SYN i
podstawie domyślnej długości pakietów SYN i
SYNACK. Długości te dla poszczególnych
SYNACK. Długości te dla poszczególnych
systemów operacyjnych wynoszą:
systemów operacyjnych wynoszą:
Linux
Linux
- 60,
- 60,
Solaris - 44 i Windows 2000 - 48.
Solaris - 44 i Windows 2000 - 48.
-Rozmiar okna
-Rozmiar okna
określa rozmiar bufora
określa rozmiar bufora
pakietów wchodzących. System operacyjny
pakietów wchodzących. System operacyjny
ustawia ten parametr zazwyczaj na począt ku
ustawia ten parametr zazwyczaj na począt ku
sesji TCP Większość systemów operacyjnych
sesji TCP Większość systemów operacyjnych
typu Unix, takich jak
typu Unix, takich jak
Linux
Linux
czy Solaris,
czy Solaris,
utrzymuje stały rozmiar okna na czas trwania
utrzymuje stały rozmiar okna na czas trwania
sesji TCP natomiast system operacyjny
sesji TCP natomiast system operacyjny
Windows zmienia rozmiar okna w czasie
Windows zmienia rozmiar okna w czasie
trwania sesji.
trwania sesji.
Zintegrowana ochrona przed
Zintegrowana ochrona przed
intruzami
intruzami
•
Hakerom nie brakuje pomysłów w wymyślaniu coraz bardziej
Hakerom nie brakuje pomysłów w wymyślaniu coraz bardziej
złożonych ata ków, lepiej przystosowanych do obchodzenia
złożonych ata ków, lepiej przystosowanych do obchodzenia
środków ochrony obwodowej. Sieciowe IDS okazują się
środków ochrony obwodowej. Sieciowe IDS okazują się
niewystarczają cym środkiem monitorowania takich zagrożeń.
niewystarczają cym środkiem monitorowania takich zagrożeń.
Kluczowym elementem zinte growanej strategii ochrony jest
Kluczowym elementem zinte growanej strategii ochrony jest
uzupełnianie sieciowych IDS hostowymi IDS (Host IDS-HIDS).
uzupełnianie sieciowych IDS hostowymi IDS (Host IDS-HIDS).
•
Ten typ oprogramowania wykrywania wtargnięć jest instalowany
Ten typ oprogramowania wykrywania wtargnięć jest instalowany
przede - wszystkim na serwerach, ale także można go
przede - wszystkim na serwerach, ale także można go
zainstalować na desktopach i lap topach. Oprogramowanie Host
zainstalować na desktopach i lap topach. Oprogramowanie Host
IDS jest ostatnią linią obrony przed atakami osiągającymi te
IDS jest ostatnią linią obrony przed atakami osiągającymi te
punkty końcowe sieci.
punkty końcowe sieci.
•
Moduły agentów HIDS powinny być wdrażane na krytycznych
Moduły agentów HIDS powinny być wdrażane na krytycznych
dla działa nia biznesu serwerach. Są to zazwyczaj serwery
dla działa nia biznesu serwerach. Są to zazwyczaj serwery
infrastruktury sieciowej, ser wery infrastruktury biznesowej i
infrastruktury sieciowej, ser wery infrastruktury biznesowej i
serwery zawierające informacje o klientach i treść stanowiącą
serwery zawierające informacje o klientach i treść stanowiącą
własność intelektualną firmy.
własność intelektualną firmy.
Sieciowe IDS jako narzędzia
Sieciowe IDS jako narzędzia
analityczne
analityczne
•
Sieciowe systemy wykrywania włamań IDS (
Sieciowe systemy wykrywania włamań IDS (
Intrusion Detection Systems)
Intrusion Detection Systems)
za
za
czynają znajdować nową niszę - narzędzi analitycznych, pozwalających na wgląd
czynają znajdować nową niszę - narzędzi analitycznych, pozwalających na wgląd
do sieci i zrozumienie tego, co się w niej dzieje w obszarze bezpie czeństwa.
do sieci i zrozumienie tego, co się w niej dzieje w obszarze bezpie czeństwa.
Oferują możliwość śledzenia i wykrywania tego, jak, kiedy i gdzie sieć była
Oferują możliwość śledzenia i wykrywania tego, jak, kiedy i gdzie sieć była
atakowana.
atakowana.
•
Sieciowe IDS mogą być dla analityków ochrony tym, czym analizatory protokołów
Sieciowe IDS mogą być dla analityków ochrony tym, czym analizatory protokołów
dla zarządców sieci: narzędziami do wglądu w sieć, wspomaga jącymi rozpoznanie
dla zarządców sieci: narzędziami do wglądu w sieć, wspomaga jącymi rozpoznanie
co się w niej dzieje z punktu widzenia bezpieczeństwa.
co się w niej dzieje z punktu widzenia bezpieczeństwa.
•
IDS to pasywne sensory do wykrywania ataków, naruszeń reguł polityki
IDS to pasywne sensory do wykrywania ataków, naruszeń reguł polityki
bezpieczeństwa, złych zachowań i złych ustawień konfiguracyjnych związa nych z
bezpieczeństwa, złych zachowań i złych ustawień konfiguracyjnych związa nych z
bezpieczeństwem.
bezpieczeństwem.
•
Pomyślna implementacja sieciowych IDS zależy od trzech krytycznych czynników:
Pomyślna implementacja sieciowych IDS zależy od trzech krytycznych czynników:
•
Świadomej polityki bezpieczeństwa. Sieciowy IDS nie wykryje podej rzanych
Świadomej polityki bezpieczeństwa. Sieciowy IDS nie wykryje podej rzanych
zachowań dopóty, dopóki nie zostanie zdefiniowane co jest, a co nie jest
zachowań dopóty, dopóki nie zostanie zdefiniowane co jest, a co nie jest
dozwolone w sieci.
dozwolone w sieci.
•
« Świadomość powiązania z siecią - produkty IDS nie nadają się do auto matycznej
« Świadomość powiązania z siecią - produkty IDS nie nadają się do auto matycznej
klasyfikacji ataków na podstawie systemu, który został zaatakowany. Klasycznym
klasyfikacji ataków na podstawie systemu, który został zaatakowany. Klasycznym
przykładem tego jest atak związany wyłącznie z systemem Windows na uniksowy
przykładem tego jest atak związany wyłącznie z systemem Windows na uniksowy
serwer webowy. Dla sieciowych IDS dane są wtedy użyteczne, je żeli wiadomo jakie
serwer webowy. Dla sieciowych IDS dane są wtedy użyteczne, je żeli wiadomo jakie
zasoby są w sieci i jak wygląda ruch normalny i poprawny.
zasoby są w sieci i jak wygląda ruch normalny i poprawny.
•
Architektura IDS - użyteczność IDS zależy od implementowania ich w sposób, który
Architektura IDS - użyteczność IDS zależy od implementowania ich w sposób, który
zapewni uzyskiwanie użytecznej informacji. Oznacza to, że konieczne jest
zapewni uzyskiwanie użytecznej informacji. Oznacza to, że konieczne jest
zaprojektowanie lokalizacji sensorów i technologii wykrywają cej wg wiedzy o
zaprojektowanie lokalizacji sensorów i technologii wykrywają cej wg wiedzy o
polityce bezpieczeństwa i zasobach sieciowych.
polityce bezpieczeństwa i zasobach sieciowych.
Kontrola zawartości poczty
Kontrola zawartości poczty
elektronicznej
elektronicznej
•
Poczta elektroniczna to niezwykle istotna aplikacja biznesu, problemem jest jednak
Poczta elektroniczna to niezwykle istotna aplikacja biznesu, problemem jest jednak
niepożądana zawartość przesyłek pocztowych. Zarządzanie zawar tością poczty
niepożądana zawartość przesyłek pocztowych. Zarządzanie zawar tością poczty
elektronicznej umożliwia sprawdzanie i kontrolowanie dystry bucji poczty na podstawie
elektronicznej umożliwia sprawdzanie i kontrolowanie dystry bucji poczty na podstawie
zawartości przesyłek pocztowych. Są do tego przeznaczone specjalne programy. Poczta
zawartości przesyłek pocztowych. Są do tego przeznaczone specjalne programy. Poczta
elektroniczna może być nośnikiem niepożądanych treści - za równo szkodliwych (wirusy),
elektroniczna może być nośnikiem niepożądanych treści - za równo szkodliwych (wirusy),
jak i niepożądanych (spam) - czy też kanałem ujawniania informacji poufnych. Do
jak i niepożądanych (spam) - czy też kanałem ujawniania informacji poufnych. Do
wymuszania pewnych reguł polityki, określających, co jest dozwolone w obiegu poczty
wymuszania pewnych reguł polityki, określających, co jest dozwolone w obiegu poczty
elektronicznej, służą pro gramy do zarządzania zawartością poczty.
elektronicznej, służą pro gramy do zarządzania zawartością poczty.
•
Programy te sprawdzają i kontrolują dystrybucję poczty elektronicznej na podstawie
Programy te sprawdzają i kontrolują dystrybucję poczty elektronicznej na podstawie
treści przesyłek pocztowych. Do kontrolowania stosuje się słowa kluczowe. Proste
treści przesyłek pocztowych. Do kontrolowania stosuje się słowa kluczowe. Proste
wykrywanie poszczególnych słów kluczowych w treści może jednak spowodować
wykrywanie poszczególnych słów kluczowych w treści może jednak spowodować
zablokowanie istotnej przesyłki poczto wej - zarówno wejściowej (nieprzekazanie do
zablokowanie istotnej przesyłki poczto wej - zarówno wejściowej (nieprzekazanie do
adresata), jak i wyjściowej (blokada wysyłki). Dlatego też zazwyczaj stosuje się
adresata), jak i wyjściowej (blokada wysyłki). Dlatego też zazwyczaj stosuje się
kontekstowe wyszuki wanie słów kluczowych. Programy umożliwiają tworzenie słowników
kontekstowe wyszuki wanie słów kluczowych. Programy umożliwiają tworzenie słowników
zawie rających poszczególne wyrazy, łańcuchy znaków oraz frazy.
zawie rających poszczególne wyrazy, łańcuchy znaków oraz frazy.
•
Stosowane rozwiązania pozwalają na izolowanie przesyłek naruszają cych standardy,
Stosowane rozwiązania pozwalają na izolowanie przesyłek naruszają cych standardy,
dając zarządcy systemu możliwość określenia, jaka ak cja ma być podjęta w odniesieniu
dając zarządcy systemu możliwość określenia, jaka ak cja ma być podjęta w odniesieniu
do takiej poczty. Poza przesłaniem - pocztą elektroniczną - powiadomienia do nadawcy i
do takiej poczty. Poza przesłaniem - pocztą elektroniczną - powiadomienia do nadawcy i
zarządzającego sys temem, generowane są alarmy z dostosowywaną treścią, np.
zarządzającego sys temem, generowane są alarmy z dostosowywaną treścią, np.
„wykryto wirusa", a do dziennika zdarzeń aplikacji pocztowej jest przesyłana od powiednia
„wykryto wirusa", a do dziennika zdarzeń aplikacji pocztowej jest przesyłana od powiednia
informacja.
informacja.
•
Do obsługi spamu wykorzystuje się m.in. Realtime Blackhole List (li sta ośrodków
Do obsługi spamu wykorzystuje się m.in. Realtime Blackhole List (li sta ośrodków
dystrybuujących spam), dopuszczając jednocześnie tworze nie własnych list domen i
dystrybuujących spam), dopuszczając jednocześnie tworze nie własnych list domen i
ośrodków „spamotwórczych". Sprawdza się tak że pewne charakterystyczne informacje,
ośrodków „spamotwórczych". Sprawdza się tak że pewne charakterystyczne informacje,
takie jak liczba odbiorców zawarta w przesyłce, oraz - przez zwrotne sprawdzanie DNS -
takie jak liczba odbiorców zawarta w przesyłce, oraz - przez zwrotne sprawdzanie DNS -
czy podany nadawca jest prawdziwy. Do wykrywaniu spamu służą też filtry statystyczne.
czy podany nadawca jest prawdziwy. Do wykrywaniu spamu służą też filtry statystyczne.
Spam
Spam
•
Mianem spamu określa się niepożądane przesyłki poczty
Mianem spamu określa się niepożądane przesyłki poczty
elektronicznej, do starczane najczęściej w ramach tzw.
elektronicznej, do starczane najczęściej w ramach tzw.
marketingu bezpośredniego. Pierwszą przesyłkę poczty
marketingu bezpośredniego. Pierwszą przesyłkę poczty
elektronicznej sklasyfikowano jako spam w roku 1994. Do
elektronicznej sklasyfikowano jako spam w roku 1994. Do
tyczył on promocji loterii w Stanach Zjednoczonych. Od
tyczył on promocji loterii w Stanach Zjednoczonych. Od
tamtej pory spam przeszedł znaczną ewolucję. W miarę
tamtej pory spam przeszedł znaczną ewolucję. W miarę
upowszechniania poczty elektronicznej stał się poważnym
upowszechniania poczty elektronicznej stał się poważnym
problemem biznesowym Spam to duże utrapienie zarówno
problemem biznesowym Spam to duże utrapienie zarówno
dla użytkowników indywidualnych, jak i dużych organizacji.
dla użytkowników indywidualnych, jak i dużych organizacji.
W miarę wzrastania liczby spamu, rośnie też czas po
W miarę wzrastania liczby spamu, rośnie też czas po
święcany na przeglądanie poczty i wykreślanie spamu, nie
święcany na przeglądanie poczty i wykreślanie spamu, nie
wspominając już o zajmowaniu pasma w sieci czy pamięci
wspominając już o zajmowaniu pasma w sieci czy pamięci
serwerów pocztowych.
serwerów pocztowych.
Filtrowanie spamu
Filtrowanie spamu
•
Do walki ze spamem w sieciach
Do walki ze spamem w sieciach
przedsiębiorstw stosuje się dedykowane
przedsiębiorstw stosuje się dedykowane
bramy filtrujące, umieszczane
bramy filtrujące, umieszczane
zazwyczaj pomiędzy zaporą ogniową a
zazwyczaj pomiędzy zaporą ogniową a
ser werem poczty elektronicznej, i usługi
ser werem poczty elektronicznej, i usługi
filtrowania antyspamowego poza sie cią
filtrowania antyspamowego poza sie cią
korporacyjną - na bramie internetowej.
korporacyjną - na bramie internetowej.
Brama może mieć formę opro
Brama może mieć formę opro
gramowania lub urządzenia.
gramowania lub urządzenia.
Strojenie efektywności
Strojenie efektywności
filtra
filtra
•
Wysoka czułość filtra w sposób naturalny zwiększa
Wysoka czułość filtra w sposób naturalny zwiększa
wskaźnik fałszywych roz poznań. Podobnie niski
wskaźnik fałszywych roz poznań. Podobnie niski
wskaźnik fałszywych rozpoznań jest związany zazwy
wskaźnik fałszywych rozpoznań jest związany zazwy
czaj z obniżonym wskaźnikiem rozpoznań właściwych.
czaj z obniżonym wskaźnikiem rozpoznań właściwych.
•
Większość produktów antyspamowych można
Większość produktów antyspamowych można
dostroić, zwiększając czułość i zmniejszając liczbę
dostroić, zwiększając czułość i zmniejszając liczbę
fałszywych rozpoznań. Są dwa podstawowe sposoby
fałszywych rozpoznań. Są dwa podstawowe sposoby
strojenia filtrów pocztowych. Pierwszy to progi
strojenia filtrów pocztowych. Pierwszy to progi
określające, co jest spamem. Najlepsze produkty
określające, co jest spamem. Najlepsze produkty
oferują całą serię poziomów, często wyraża nych w
oferują całą serię poziomów, często wyraża nych w
procentach, określających prawdopodobieństwo, że
procentach, określających prawdopodobieństwo, że
wiadomość jest spamem.
wiadomość jest spamem.
Pozyskiwanie adresów do
Pozyskiwanie adresów do
spamu
spamu
•
Do masowego rozsyłania wiadomości są niezbędne
Do masowego rozsyłania wiadomości są niezbędne
zbiory adresów, pod któ re przesyłki mają być
zbiory adresów, pod któ re przesyłki mają być
dostarczane. Spamerzy mają do dyspozycji wiele na
dostarczane. Spamerzy mają do dyspozycji wiele na
rzędzi umożliwiających zdobycie nowych adresów.
rzędzi umożliwiających zdobycie nowych adresów.
•
W Internecie można znaleźć narzędzia do
W Internecie można znaleźć narzędzia do
automatycznego pobierania adresów poczty
automatycznego pobierania adresów poczty
elektronicznej ze stron webowych, plików
elektronicznej ze stron webowych, plików
tekstowych i in nych źródeł dostępnych online.
tekstowych i in nych źródeł dostępnych online.
Narzędzia te pozwalają na zarządzanie lista mi
Narzędzia te pozwalają na zarządzanie lista mi
zgromadzonych adresów pocztowych, eliminując
zgromadzonych adresów pocztowych, eliminując
duplikaty, personalizu jąc wiadomości i wykonując
duplikaty, personalizu jąc wiadomości i wykonując
inne funkcje.
inne funkcje.
Techniki identyfikacji
Techniki identyfikacji
spamu
spamu
•
Walka ze spamem jest procesem ciągłym. W miarę
Walka ze spamem jest procesem ciągłym. W miarę
pojawiania się no wych technik filtrowania spamerzy starają
pojawiania się no wych technik filtrowania spamerzy starają
się wynaleźć sposoby ich obej ścia. Podstawowe metody
się wynaleźć sposoby ich obej ścia. Podstawowe metody
wykrywania spamu są następujące:
wykrywania spamu są następujące:
•
Domenowe czarne i białe listy nadawców.
Domenowe czarne i białe listy nadawców.
•
Rozproszone czarne listy nadawców.
Rozproszone czarne listy nadawców.
•
Motory heurystyczne.
Motory heurystyczne.
•
Motory klasyfikacji statystycznej.
Motory klasyfikacji statystycznej.
•
Sieci neuronowe.
Sieci neuronowe.
•
Metoda sum kontrolnych.
Metoda sum kontrolnych.
•
Przynęty.
Przynęty.
•
Sieci
Sieci
peer-to-peer.
peer-to-peer.
•
Poczta uwierzytelniana.
Poczta uwierzytelniana.
Domenowe czarne i białe
Domenowe czarne i białe
listy nadawców
listy nadawców
•
To podstawowa forma blo kowania spamu.
To podstawowa forma blo kowania spamu.
Administrator domeny wpisuje na tzw.
Administrator domeny wpisuje na tzw.
czarną listę adre sy wszystkich znanych
czarną listę adre sy wszystkich znanych
nadawców spamu. Przesyłki pocztowe
nadawców spamu. Przesyłki pocztowe
przycho dzące spod adresów znajdujących
przycho dzące spod adresów znajdujących
się na tej liście są uznawane za spam.
się na tej liście są uznawane za spam.
•
Chcąc z kolei zapewnić odbiór poczty od
Chcąc z kolei zapewnić odbiór poczty od
pewnych nadawców, two rzy się tzw. białą
pewnych nadawców, two rzy się tzw. białą
listę zawierającą adresy, spod których
listę zawierającą adresy, spod których
przesyłki będą za wsze przekazywane.
przesyłki będą za wsze przekazywane.
Rozproszone czarne listy
Rozproszone czarne listy
•
to listy aa poziomie Internetu. Stanowią katalog
to listy aa poziomie Internetu. Stanowią katalog
znanych adresów spamerów oraz domen i są
znanych adresów spamerów oraz domen i są
publikowane w sieci - bezpłatnie lub w płatnej
publikowane w sieci - bezpłatnie lub w płatnej
subskrypcji (np.
subskrypcji (np.
Mail Abuse Preven tion System
Mail Abuse Preven tion System
-MAPS).
-MAPS).
•
Wiele organizacji uważa te listy za bardzo
Wiele organizacji uważa te listy za bardzo
użyteczne. Jednak może się zdarzyć, że przez
użyteczne. Jednak może się zdarzyć, że przez
pomyłkę znajdą się na nich legalni nadawcy
pomyłkę znajdą się na nich legalni nadawcy
poczty. Z tych powodów mogą cechować się
poczty. Z tych powodów mogą cechować się
wysokim wskaźnikiem fałszywych rozpoznań, co
wysokim wskaźnikiem fałszywych rozpoznań, co
często kończy się zrezygnowaniem z ich
często kończy się zrezygnowaniem z ich
stosowania
stosowania
Motory heurystyczne
Motory heurystyczne
•
Do niedawna motory heurystyczne były naj bardziej
Do niedawna motory heurystyczne były naj bardziej
efektywną metodą identyfikowania spamu.
efektywną metodą identyfikowania spamu.
Posługują się one zbiorem reguł służących do
Posługują się one zbiorem reguł służących do
analizowania wiadomości pocztowych pod kątem
analizowania wiadomości pocztowych pod kątem
cech charakterystycznych dla spamu (np. obecność
cech charakterystycznych dla spamu (np. obecność
fraz typu „zo stań bogatym" czy „nadzwyczajna
fraz typu „zo stań bogatym" czy „nadzwyczajna
okazja"). Dobry motor heurystyczny może zawierać
okazja"). Dobry motor heurystyczny może zawierać
setki lub tysiące takich reguł, często powiązanych z
setki lub tysiące takich reguł, często powiązanych z
od powiednią punktacją - powiększaną z każdym
od powiednią punktacją - powiększaną z każdym
wykryciem cechy „spa- mopodobnej". Motory
wykryciem cechy „spa- mopodobnej". Motory
heurystyczne opierają się na systemie punktacji: im
heurystyczne opierają się na systemie punktacji: im
więcej charakterystyk spamowych w wiadomości,
więcej charakterystyk spamowych w wiadomości,
tym wyższa punk tacja i tym większe
tym wyższa punk tacja i tym większe
prawdopodobieństwo, że jest to spam.
prawdopodobieństwo, że jest to spam.
Motory klasyfikacji
Motory klasyfikacji
statystycznej
statystycznej
•
Najbardziej obiecującą metodą walki ze spamem
Najbardziej obiecującą metodą walki ze spamem
stają się metody statystyczne. Klasyfikacja
stają się metody statystyczne. Klasyfikacja
statystyczna jest dostępna w różnych formach.
statystyczna jest dostępna w różnych formach.
Najbardziej rozpowszechnioną dzisiaj metodą są
Najbardziej rozpowszechnioną dzisiaj metodą są
filtry Bayesa. Ten typ filtrów oparto na
filtry Bayesa. Ten typ filtrów oparto na
teoretycznych podsta wach opracowanych przez
teoretycznych podsta wach opracowanych przez
XVIII-wiecznego matematyka brytyjskiego
XVIII-wiecznego matematyka brytyjskiego
Thomasa Bayesa. Prawdopodobieństwo, że
Thomasa Bayesa. Prawdopodobieństwo, że
wiadomość jest spamem, jest wyliczane na
wiadomość jest spamem, jest wyliczane na
podstawie pewnych wartości liczbowych
podstawie pewnych wartości liczbowych
przydziela nych poszczególnym słowom
przydziela nych poszczególnym słowom
wiadomości.
wiadomości.
Sieci neuronowe
Sieci neuronowe
•
Kreatywna adaptacja metod statystycznych elimi nuje
Kreatywna adaptacja metod statystycznych elimi nuje
konieczność instalowania oprogramowania po stronie
konieczność instalowania oprogramowania po stronie
klienckiej.
klienckiej.
•
Sieci neuronowe oparte na algorytmach sztucznej
Sieci neuronowe oparte na algorytmach sztucznej
inteligencji są po dobne w działaniu do filtrowania za
inteligencji są po dobne w działaniu do filtrowania za
pomocą metod statystycznych (Baye sa) - oprogramowanie
pomocą metod statystycznych (Baye sa) - oprogramowanie
uczy się rozpoznawania nowego spamu. Jednak
uczy się rozpoznawania nowego spamu. Jednak
oprogramowanie to rezyduje w ośrodkach dostawców
oprogramowanie to rezyduje w ośrodkach dostawców
filtrów, a nie na klientach użytkowników. Wsad poczty
filtrów, a nie na klientach użytkowników. Wsad poczty
elektronicznej, używany do uczenia sieci neuronowych,
elektronicznej, używany do uczenia sieci neuronowych,
przychodzi z tysięcy fałszywych skrzynek pocztowych
przychodzi z tysięcy fałszywych skrzynek pocztowych
założonych przez dostawców w celu wychwytywania
założonych przez dostawców w celu wychwytywania
spamu. Sprawdzanie olbrzymiej liczby wiadomości pozwala
spamu. Sprawdzanie olbrzymiej liczby wiadomości pozwala
uczącej się maszynie stale nadą żać za trikami spamerów.
uczącej się maszynie stale nadą żać za trikami spamerów.
Metoda sum kontrolnych
Metoda sum kontrolnych
•
Polega na używaniu techniki stosowanej także
Polega na używaniu techniki stosowanej także
przy wykrywaniu wirusów. Z każdej wiadomości
przy wykrywaniu wirusów. Z każdej wiadomości
pocztowej jest two rzona suma kontrolna (swoisty
pocztowej jest two rzona suma kontrolna (swoisty
„odcisk palca"), którą umieszcza się w bazie
„odcisk palca"), którą umieszcza się w bazie
danych. W przypadku tej metody kluczowa jest
danych. W przypadku tej metody kluczowa jest
powtarzalność. Jeżeli w bazie danych znajduje się
powtarzalność. Jeżeli w bazie danych znajduje się
duża liczba takich samych lub podob nych tzw.
duża liczba takich samych lub podob nych tzw.
odcisków palca, oznacza to, że reprezentują one
odcisków palca, oznacza to, że reprezentują one
spam. Jedynie spam, który jest wysyłany dużymi
spam. Jedynie spam, który jest wysyłany dużymi
partiami, czasami w liczbie milionów, będzie
partiami, czasami w liczbie milionów, będzie
generował z dużą częstotliwością te same sumy
generował z dużą częstotliwością te same sumy
kontrolne.
kontrolne.
Przynęty
Przynęty
•
To metoda klasyfikacji wiadomości przez
To metoda klasyfikacji wiadomości przez
firmę specjalizu jącą się w zwalczaniu
firmę specjalizu jącą się w zwalczaniu
spamu. Polega na zakładaniu w Internecie
spamu. Polega na zakładaniu w Internecie
atrap skrzynek pocztowych (przynęt).
atrap skrzynek pocztowych (przynęt).
Jedynym ich przeznaczeniem jest przy
Jedynym ich przeznaczeniem jest przy
ciąganie spamu. Poczta, która przychodzi
ciąganie spamu. Poczta, która przychodzi
pod te adresy, jest rejestrowa na w bazie
pod te adresy, jest rejestrowa na w bazie
danych. Firma używająca pułapek zapewnia
danych. Firma używająca pułapek zapewnia
następnie swoim klientom usługę, która
następnie swoim klientom usługę, która
porównuje całą pocztę wchodzącą klienta z
porównuje całą pocztę wchodzącą klienta z
bazą danych spamu przechwyconego przez
bazą danych spamu przechwyconego przez
pułapki.
pułapki.