Główne metody wykrywania
Główne metody wykrywania
włamań są następujące:
włamań są następujące:
Wykrywanie sygnatur
Wykrywanie sygnatur
ruchu
ruchu
•
Metoda stosowana do pewnych form
Metoda stosowana do pewnych form
ataków, polegająca na porównywaniu
ataków, polegająca na porównywaniu
sygnatur" ataku z ruchem. Poszukuje
sygnatur" ataku z ruchem. Poszukuje
się wzorców ataków jedynie w takich
się wzorców ataków jedynie w takich
fragmentach ruchu, gdzie mogą się
fragmentach ruchu, gdzie mogą się
one znajdować, co pozwala
one znajdować, co pozwala
zrezygnować z przegląda nia całego
zrezygnować z przegląda nia całego
strumienia.
strumienia.
Wykrywanie
Wykrywanie
anomalii
anomalii
protokotowych
protokotowych
Metoda stosowna do identyfikacji
Metoda stosowna do identyfikacji
ataków metodą
ataków metodą
wyszukiwania odchyleń od protokołów
wyszukiwania odchyleń od protokołów
stanowiących podstawę normalnego
stanowiących podstawę normalnego
ruchu. Zasadniczo metoda ta
ruchu. Zasadniczo metoda ta
weryfikuje ruch, opierając się na
weryfikuje ruch, opierając się na
opublikowanych specyfikacjach
opublikowanych specyfikacjach
protoko łów, wyszukując niewłaściwe
protoko łów, wyszukując niewłaściwe
stosowanie protokołów
stosowanie protokołów
komunikacyjnych.
komunikacyjnych.
Wykrywanie tylnych
Wykrywanie tylnych
furtek
furtek
•
Identyfikacja i zabez pieczenie przed
Identyfikacja i zabez pieczenie przed
atakami przez „tylne furtki". Ataki tego
atakami przez „tylne furtki". Ataki tego
typu pozwalają zazwy czaj na przejęcie
typu pozwalają zazwy czaj na przejęcie
kontroli nad całym systemem lub
kontroli nad całym systemem lub
aplikacją. Tylne furtki po zostawiane są
aplikacją. Tylne furtki po zostawiane są
często przez projektantów systemów,
często przez projektantów systemów,
którzy używali ich na etapie
którzy używali ich na etapie
uruchamiania, lub też są instalowane
uruchamiania, lub też są instalowane
przez trojany dostające się do sieci.
przez trojany dostające się do sieci.
Wykrywanie anomalii w
Wykrywanie anomalii w
ruchu
ruchu
•
Wykrywanie ataków, które nie zawierają
Wykrywanie ataków, które nie zawierają
się w pojedynczej sesji, lecz wymagają
się w pojedynczej sesji, lecz wymagają
kilku po łączeń. Często są to misje
kilku po łączeń. Często są to misje
rozpoznawcze, zbierające informacje o
rozpoznawcze, zbierające informacje o
sieci dla przeprowadzenia przyszłych
sieci dla przeprowadzenia przyszłych
ataków. Wykrywanie anomalii w ruchu
ataków. Wykrywanie anomalii w ruchu
pozwala na identyfikację takiej
pozwala na identyfikację takiej
aktywności przez porównywanie ruchu
aktywności przez porównywanie ruchu
wejściowego z wzorcami ruchu
wejściowego z wzorcami ruchu
normalnego.
normalnego.
Pułapki sieciowe
Pułapki sieciowe
•
Symulowanie nieistniejącej usługi
Symulowanie nieistniejącej usługi
polegające na wysyłaniu fałszywej
polegające na wysyłaniu fałszywej
informacji do napastnika próbującego
informacji do napastnika próbującego
sondować sieć. Każda próba
sondować sieć. Każda próba
połączenia się z taką usługą jest uwa
połączenia się z taką usługą jest uwa
żana za próbę hakerską, ponieważ w
żana za próbę hakerską, ponieważ w
rzeczywistości usługa taka nie
rzeczywistości usługa taka nie
istnieje w systemie.
istnieje w systemie.
Wykrywanie hybrydowe
Wykrywanie hybrydowe
•
Zapewniające skoordynowane stosowanie wie lu
Zapewniające skoordynowane stosowanie wie lu
metod wykrywania w celu zwiększenia szansy
metod wykrywania w celu zwiększenia szansy
identyfikacji ataku. Zbiera dodatkowe informacje
identyfikacji ataku. Zbiera dodatkowe informacje
o działaniach szkodliwych, prowadząc: behawioral
o działaniach szkodliwych, prowadząc: behawioral
ny monitoring ruchu, śledzenie stanów
ny monitoring ruchu, śledzenie stanów
protokołowych i reasemblację pa kietów IP Z kolei
protokołowych i reasemblację pa kietów IP Z kolei
analiza korelacji statystycznych pozwala oceniać
analiza korelacji statystycznych pozwala oceniać
zagrego wane zdarzenia pod kątem właściwej
zagrego wane zdarzenia pod kątem właściwej
identyfikacji potencjalnych ataków i
identyfikacji potencjalnych ataków i
uszeregowania ich pod względem ważności,
uszeregowania ich pod względem ważności,
minimalizując przy tym moż liwość fałszywych
minimalizując przy tym moż liwość fałszywych
alarmów.
alarmów.
Reasemblacja ruchu IP
Reasemblacja ruchu IP
•
Rozpoznawanie fragmentowanych
Rozpoznawanie fragmentowanych
pakietów IP i wykonywanie
pakietów IP i wykonywanie
rekonstrukcji od warstwy 3 do 7.
rekonstrukcji od warstwy 3 do 7.
Sensor wykonuje reasembla cję
Sensor wykonuje reasembla cję
spójną ze stosem IP
spójną ze stosem IP
Wykrywanie ataków
Wykrywanie ataków
zanurzonych
zanurzonych
•
Jedną z taktyk używanych przez na pastników
Jedną z taktyk używanych przez na pastników
w celu zmniejszenia prawdopodobieństwa
w celu zmniejszenia prawdopodobieństwa
namierzenia jest ukrycie prawdziwego ataku
namierzenia jest ukrycie prawdziwego ataku
w potoku pakietów, np. typu DoS. Można tym
w potoku pakietów, np. typu DoS. Można tym
łatwo wprowadzić w błąd tradycyjnie
łatwo wprowadzić w błąd tradycyjnie
działające IDS. Ich sensory mogą przepuścić
działające IDS. Ich sensory mogą przepuścić
rozproszone pakiety składające się na realny
rozproszone pakiety składające się na realny
atak. W potoku innych pakietów można ukryć
atak. W potoku innych pakietów można ukryć
pakiety stworzone do ataku.
pakiety stworzone do ataku.
Behawioralny monitoring
Behawioralny monitoring
ruchu
ruchu
•
Metoda licznika statystycznego lub
Metoda licznika statystycznego lub
częstotliwościowego do dokładnego
częstotliwościowego do dokładnego
identyfikowania formy ruchu wskazująca, że
identyfikowania formy ruchu wskazująca, że
jest to DoS lub atak metodą potoku pakietów.
jest to DoS lub atak metodą potoku pakietów.
Metoda uwzględnia mechanizm samo
Metoda uwzględnia mechanizm samo
strojenia do rozpoznawania różnych
strojenia do rozpoznawania różnych
środowisk, a nawet różnych typów organizacji
środowisk, a nawet różnych typów organizacji
wewnętrznej ISP Dopuszczalne formy poszcze
wewnętrznej ISP Dopuszczalne formy poszcze
gólnych typów zdarzeń w jednej lokalizacji
gólnych typów zdarzeń w jednej lokalizacji
mogą być uważane za atak po tokowy w innej.
mogą być uważane za atak po tokowy w innej.
•
Do tradycyjnych systemów Host IDS
Do tradycyjnych systemów Host IDS
doszły produkty typu
doszły produkty typu
File
File
IntegrityAs- sesment
IntegrityAs- sesment
,
,
monitorujące stan plików
monitorujące stan plików
systemowych i aplikacyjnych, a także
systemowych i aplikacyjnych, a także
re jestrów systemowych. Trzecim
re jestrów systemowych. Trzecim
typem są produkty
typem są produkty
Intrusion
Intrusion
Prevention Sys tems
Prevention Sys tems
(IPS).
(IPS).
Ewolucja systemów
Ewolucja systemów
wykrywania włamań
wykrywania włamań
•
Identyfikacja pasywna
Identyfikacja pasywna
wykorzystuje
wykorzystuje
informacje związane z systemami
informacje związane z systemami
funkcjonującymi w hostach będących
funkcjonującymi w hostach będących
celem ataku w sieci. IDS zbiera dane o
celem ataku w sieci. IDS zbiera dane o
systemie operacyjnym, usługach i
systemie operacyjnym, usługach i
niektórych aplikacjach pracujące na
niektórych aplikacjach pracujące na
hoście, a następnie używa tej informacji
hoście, a następnie używa tej informacji
do ograniczania fałszywych rozpoznań.
do ograniczania fałszywych rozpoznań.
•
Identyfikacja pasywna działa na
Identyfikacja pasywna działa na
zasadzie porównywania kluczowych in
zasadzie porównywania kluczowych in
formacji nagłówkowych TCP i IF?
formacji nagłówkowych TCP i IF?
otrzymanych z hosta źródłowego, z bazą
otrzymanych z hosta źródłowego, z bazą
da nych sygnatur specyficznych dla
da nych sygnatur specyficznych dla
danego hosta docelowego. Najbardziej
danego hosta docelowego. Najbardziej
po pularne identyfikatory z nagłówka to:
po pularne identyfikatory z nagłówka to:
rozmiar okna, czas „życia" pakietu, bit
rozmiar okna, czas „życia" pakietu, bit
DF i całkowita długość pakietu:
DF i całkowita długość pakietu:
-
-
Czas „życia" pakietu
Czas „życia" pakietu
jest kolejnym
jest kolejnym
parame trem, który zapewnia użyteczną
parame trem, który zapewnia użyteczną
charakterystykę systemu operacyjnego
charakterystykę systemu operacyjnego
hosta.
hosta.
-
-
Długość całkowita
Długość całkowita
określa długość całego
określa długość całego
pakietu wraz z nagłówkiem IP i zawartością
pakietu wraz z nagłówkiem IP i zawartością
i jest informacją z dużym przybliżeniem
i jest informacją z dużym przybliżeniem
identyfikującą system - niektóre systemy
identyfikującą system - niektóre systemy
operacyjne mogą być rozpoznane na
operacyjne mogą być rozpoznane na
podstawie domyślnej długości pakietów
podstawie domyślnej długości pakietów
SYN i SYNACK.
SYN i SYNACK.
-
-
Rozmiar okna
Rozmiar okna
określa rozmiar bufora
określa rozmiar bufora
pakietów wchodzących. System operacyjny
pakietów wchodzących. System operacyjny
ustawia ten parametr zazwyczaj na począt ku
ustawia ten parametr zazwyczaj na począt ku
sesji TCP Większość systemów operacyjnych
sesji TCP Większość systemów operacyjnych
typu Unix, takich jak
typu Unix, takich jak
Linux
Linux
czy Solaris,
czy Solaris,
utrzymuje stały rozmiar okna na czas trwania
utrzymuje stały rozmiar okna na czas trwania
sesji TCP natomiast system operacyjny
sesji TCP natomiast system operacyjny
Windows zmienia rozmiar okna w czasie
Windows zmienia rozmiar okna w czasie
trwania sesji.
trwania sesji.
Zintegrowana ochrona przed
Zintegrowana ochrona przed
intruzami
intruzami
•
Hakerom nie brakuje pomysłów w wymyślaniu
Hakerom nie brakuje pomysłów w wymyślaniu
coraz bardziej złożonych ata ków, lepiej
coraz bardziej złożonych ata ków, lepiej
przystosowanych do obchodzenia środków
przystosowanych do obchodzenia środków
ochrony obwodowej. Sieciowe IDS okazują się
ochrony obwodowej. Sieciowe IDS okazują się
niewystarczają cym środkiem monitorowania
niewystarczają cym środkiem monitorowania
takich zagrożeń.
takich zagrożeń.
•
Ten typ oprogramowania wykrywania wtargnięć
Ten typ oprogramowania wykrywania wtargnięć
jest instalowany przede - wszystkim na
jest instalowany przede - wszystkim na
serwerach, ale także można go zainstalować na
serwerach, ale także można go zainstalować na
desktopach i lap topach.
desktopach i lap topach.
•
Moduły agentów HIDS powinny być wdrażane na
Moduły agentów HIDS powinny być wdrażane na
krytycznych dla działa nia biznesu serwerach.
krytycznych dla działa nia biznesu serwerach.
Sieciowe IDS jako narzędzia
Sieciowe IDS jako narzędzia
analityczne
analityczne
•
Sieciowe systemy wykrywania włamań IDS (
Sieciowe systemy wykrywania włamań IDS (
Intrusion Detection
Intrusion Detection
Systems)
Systems)
za czynają znajdować nową niszę - narzędzi
za czynają znajdować nową niszę - narzędzi
analitycznych, pozwalających na wgląd do sieci i zrozumienie
analitycznych, pozwalających na wgląd do sieci i zrozumienie
tego, co się w niej dzieje w obszarze bezpie czeństwa.
tego, co się w niej dzieje w obszarze bezpie czeństwa.
•
IDS to pasywne sensory do wykrywania ataków, naruszeń reguł
IDS to pasywne sensory do wykrywania ataków, naruszeń reguł
polityki bezpieczeństwa, złych zachowań i złych ustawień
polityki bezpieczeństwa, złych zachowań i złych ustawień
konfiguracyjnych związa nych z bezpieczeństwem.
konfiguracyjnych związa nych z bezpieczeństwem.
•
Pomyślna implementacja sieciowych IDS zależy od trzech
Pomyślna implementacja sieciowych IDS zależy od trzech
krytycznych czynników:
krytycznych czynników:
•
Świadomej polityki bezpieczeństwa. Sieciowy IDS nie wykryje
Świadomej polityki bezpieczeństwa. Sieciowy IDS nie wykryje
podej rzanych zachowań dopóty, dopóki nie zostanie
podej rzanych zachowań dopóty, dopóki nie zostanie
zdefiniowane co jest, a co nie jest dozwolone w sieci.
zdefiniowane co jest, a co nie jest dozwolone w sieci.
•
« Świadomość powiązania z siecią - produkty IDS nie nadają się
« Świadomość powiązania z siecią - produkty IDS nie nadają się
do auto matycznej klasyfikacji ataków na podstawie systemu,
do auto matycznej klasyfikacji ataków na podstawie systemu,
który został zaatakowany.
który został zaatakowany.
•
Architektura IDS - użyteczność IDS zależy od implementowania
Architektura IDS - użyteczność IDS zależy od implementowania
ich w sposób, który zapewni uzyskiwanie użytecznej informacji.
ich w sposób, który zapewni uzyskiwanie użytecznej informacji.
Kontrola zawartości poczty
Kontrola zawartości poczty
elektronicznej
elektronicznej
•
Poczta elektroniczna to niezwykle istotna aplikacja biznesu,
Poczta elektroniczna to niezwykle istotna aplikacja biznesu,
problemem jest jednak niepożądana zawartość przesyłek
problemem jest jednak niepożądana zawartość przesyłek
pocztowych. Zarządzanie zawar tością poczty elektronicznej
pocztowych. Zarządzanie zawar tością poczty elektronicznej
umożliwia sprawdzanie i kontrolowanie dystry bucji poczty na
umożliwia sprawdzanie i kontrolowanie dystry bucji poczty na
podstawie zawartości przesyłek pocztowych. Są do tego
podstawie zawartości przesyłek pocztowych. Są do tego
przeznaczone specjalne programy.
przeznaczone specjalne programy.
•
Programy te sprawdzają i kontrolują dystrybucję poczty
Programy te sprawdzają i kontrolują dystrybucję poczty
elektronicznej na podstawie treści przesyłek pocztowych. Do
elektronicznej na podstawie treści przesyłek pocztowych. Do
kontrolowania stosuje się słowa kluczowe.
kontrolowania stosuje się słowa kluczowe.
•
Stosowane rozwiązania pozwalają na izolowanie przesyłek naruszają
Stosowane rozwiązania pozwalają na izolowanie przesyłek naruszają
cych standardy, dając zarządcy systemu możliwość określenia, jaka
cych standardy, dając zarządcy systemu możliwość określenia, jaka
ak cja ma być podjęta w odniesieniu do takiej poczty. Poza
ak cja ma być podjęta w odniesieniu do takiej poczty. Poza
przesłaniem - pocztą elektroniczną - powiadomienia do nadawcy i
przesłaniem - pocztą elektroniczną - powiadomienia do nadawcy i
zarządzającego sys temem, generowane są alarmy z dostosowywaną
zarządzającego sys temem, generowane są alarmy z dostosowywaną
treścią, np. „wykryto wirusa", a do dziennika zdarzeń aplikacji
treścią, np. „wykryto wirusa", a do dziennika zdarzeń aplikacji
pocztowej jest przesyłana od powiednia informacja.
pocztowej jest przesyłana od powiednia informacja.
•
Do obsługi spamu wykorzystuje się m.in. Realtime Blackhole List (li
Do obsługi spamu wykorzystuje się m.in. Realtime Blackhole List (li
sta ośrodków dystrybuujących spam), dopuszczając jednocześnie
sta ośrodków dystrybuujących spam), dopuszczając jednocześnie
tworze nie własnych list domen i ośrodków „spamotwórczych".
tworze nie własnych list domen i ośrodków „spamotwórczych".
Spam
Spam
•
Mianem spamu określa się niepożądane przesyłki poczty
Mianem spamu określa się niepożądane przesyłki poczty
elektronicznej, do starczane najczęściej w ramach tzw.
elektronicznej, do starczane najczęściej w ramach tzw.
marketingu bezpośredniego. Pierwszą przesyłkę poczty
marketingu bezpośredniego. Pierwszą przesyłkę poczty
elektronicznej sklasyfikowano jako spam w roku 1994. Do
elektronicznej sklasyfikowano jako spam w roku 1994. Do
tyczył on promocji loterii w Stanach Zjednoczonych. Od
tyczył on promocji loterii w Stanach Zjednoczonych. Od
tamtej pory spam przeszedł znaczną ewolucję. W miarę
tamtej pory spam przeszedł znaczną ewolucję. W miarę
upowszechniania poczty elektronicznej stał się poważnym
upowszechniania poczty elektronicznej stał się poważnym
problemem biznesowym Spam to duże utrapienie zarówno
problemem biznesowym Spam to duże utrapienie zarówno
dla użytkowników indywidualnych, jak i dużych organizacji.
dla użytkowników indywidualnych, jak i dużych organizacji.
W miarę wzrastania liczby spamu, rośnie też czas po
W miarę wzrastania liczby spamu, rośnie też czas po
święcany na przeglądanie poczty i wykreślanie spamu, nie
święcany na przeglądanie poczty i wykreślanie spamu, nie
wspominając już o zajmowaniu pasma w sieci czy pamięci
wspominając już o zajmowaniu pasma w sieci czy pamięci
serwerów pocztowych.
serwerów pocztowych.
Filtrowanie spamu
Filtrowanie spamu
•
Do walki ze spamem w sieciach
Do walki ze spamem w sieciach
przedsiębiorstw stosuje się dedykowane
przedsiębiorstw stosuje się dedykowane
bramy filtrujące, umieszczane zazwyczaj
bramy filtrujące, umieszczane zazwyczaj
pomiędzy zaporą ogniową a ser werem
pomiędzy zaporą ogniową a ser werem
poczty elektronicznej, i usługi filtrowania
poczty elektronicznej, i usługi filtrowania
antyspamowego poza sie cią
antyspamowego poza sie cią
korporacyjną - na bramie internetowej.
korporacyjną - na bramie internetowej.
Brama może mieć formę opro
Brama może mieć formę opro
gramowania lub urządzenia.
gramowania lub urządzenia.
Strojenie efektywności
Strojenie efektywności
filtra
filtra
•
Wysoka czułość filtra w sposób naturalny
Wysoka czułość filtra w sposób naturalny
zwiększa wskaźnik fałszywych roz poznań.
zwiększa wskaźnik fałszywych roz poznań.
Podobnie niski wskaźnik fałszywych rozpoznań
Podobnie niski wskaźnik fałszywych rozpoznań
jest związany zazwy czaj z obniżonym
jest związany zazwy czaj z obniżonym
wskaźnikiem rozpoznań właściwych.
wskaźnikiem rozpoznań właściwych.
•
Większość produktów antyspamowych można
Większość produktów antyspamowych można
dostroić, zwiększając czułość i zmniejszając
dostroić, zwiększając czułość i zmniejszając
liczbę fałszywych rozpoznań. Są dwa
liczbę fałszywych rozpoznań. Są dwa
podstawowe sposoby strojenia filtrów
podstawowe sposoby strojenia filtrów
pocztowych.
pocztowych.
Pozyskiwanie adresów do
Pozyskiwanie adresów do
spamu
spamu
•
Do masowego rozsyłania wiadomości są niezbędne
Do masowego rozsyłania wiadomości są niezbędne
zbiory adresów, pod któ re przesyłki mają być
zbiory adresów, pod któ re przesyłki mają być
dostarczane. Spamerzy mają do dyspozycji wiele na
dostarczane. Spamerzy mają do dyspozycji wiele na
rzędzi umożliwiających zdobycie nowych adresów.
rzędzi umożliwiających zdobycie nowych adresów.
•
W Internecie można znaleźć narzędzia do
W Internecie można znaleźć narzędzia do
automatycznego pobierania adresów poczty
automatycznego pobierania adresów poczty
elektronicznej ze stron webowych, plików
elektronicznej ze stron webowych, plików
tekstowych i in nych źródeł dostępnych online.
tekstowych i in nych źródeł dostępnych online.
Narzędzia te pozwalają na zarządzanie lista mi
Narzędzia te pozwalają na zarządzanie lista mi
zgromadzonych adresów pocztowych, eliminując
zgromadzonych adresów pocztowych, eliminując
duplikaty, personalizu jąc wiadomości i wykonując
duplikaty, personalizu jąc wiadomości i wykonując
inne funkcje.
inne funkcje.
Techniki identyfikacji
Techniki identyfikacji
spamu
spamu
•
Walka ze spamem jest procesem ciągłym. W miarę
Walka ze spamem jest procesem ciągłym. W miarę
pojawiania się no wych technik filtrowania spamerzy starają
pojawiania się no wych technik filtrowania spamerzy starają
się wynaleźć sposoby ich obej ścia. Podstawowe metody
się wynaleźć sposoby ich obej ścia. Podstawowe metody
wykrywania spamu są następujące:
wykrywania spamu są następujące:
•
Domenowe czarne i białe listy nadawców.
Domenowe czarne i białe listy nadawców.
•
Rozproszone czarne listy nadawców.
Rozproszone czarne listy nadawców.
•
Motory heurystyczne.
Motory heurystyczne.
•
Motory klasyfikacji statystycznej.
Motory klasyfikacji statystycznej.
•
Sieci neuronowe.
Sieci neuronowe.
•
Metoda sum kontrolnych.
Metoda sum kontrolnych.
•
Przynęty.
Przynęty.
•
Sieci
Sieci
peer-to-peer.
peer-to-peer.
•
Poczta uwierzytelniana.
Poczta uwierzytelniana.
Domenowe czarne i białe
Domenowe czarne i białe
listy nadawców
listy nadawców
•
To podstawowa forma blo kowania spamu.
To podstawowa forma blo kowania spamu.
Administrator domeny wpisuje na tzw.
Administrator domeny wpisuje na tzw.
czarną listę adre sy wszystkich znanych
czarną listę adre sy wszystkich znanych
nadawców spamu. Przesyłki pocztowe
nadawców spamu. Przesyłki pocztowe
przycho dzące spod adresów znajdujących
przycho dzące spod adresów znajdujących
się na tej liście są uznawane za spam.
się na tej liście są uznawane za spam.
•
Chcąc z kolei zapewnić odbiór poczty od
Chcąc z kolei zapewnić odbiór poczty od
pewnych nadawców, two rzy się tzw. białą
pewnych nadawców, two rzy się tzw. białą
listę zawierającą adresy, spod których
listę zawierającą adresy, spod których
przesyłki będą za wsze przekazywane.
przesyłki będą za wsze przekazywane.
Rozproszone czarne listy
Rozproszone czarne listy
•
to listy aa poziomie Internetu. Stanowią
to listy aa poziomie Internetu. Stanowią
katalog znanych adresów spamerów oraz
katalog znanych adresów spamerów oraz
domen i są publikowane w sieci -
domen i są publikowane w sieci -
bezpłatnie lub w płatnej subskrypcji (np.
bezpłatnie lub w płatnej subskrypcji (np.
Mail Abuse Preven tion System
Mail Abuse Preven tion System
-MAPS).
-MAPS).
•
Wiele organizacji uważa te listy za bardzo
Wiele organizacji uważa te listy za bardzo
użyteczne. Jednak może się zdarzyć, że
użyteczne. Jednak może się zdarzyć, że
przez pomyłkę znajdą się na nich legalni
przez pomyłkę znajdą się na nich legalni
nadawcy poczty.
nadawcy poczty.
Motory heurystyczne
Motory heurystyczne
•
Do niedawna motory heurystyczne były naj
Do niedawna motory heurystyczne były naj
bardziej efektywną metodą identyfikowania
bardziej efektywną metodą identyfikowania
spamu. Posługują się one zbiorem reguł służących
spamu. Posługują się one zbiorem reguł służących
do analizowania wiadomości pocztowych pod
do analizowania wiadomości pocztowych pod
kątem cech charakterystycznych dla spamu (np.
kątem cech charakterystycznych dla spamu (np.
obecność fraz typu „zo stań bogatym" czy
obecność fraz typu „zo stań bogatym" czy
„nadzwyczajna okazja"). Dobry motor
„nadzwyczajna okazja"). Dobry motor
heurystyczny może zawierać setki lub tysiące
heurystyczny może zawierać setki lub tysiące
takich reguł, często powiązanych z od powiednią
takich reguł, często powiązanych z od powiednią
punktacją - powiększaną z każdym wykryciem
punktacją - powiększaną z każdym wykryciem
cechy „spa- mopodobnej".
cechy „spa- mopodobnej".
Motory klasyfikacji
Motory klasyfikacji
statystycznej
statystycznej
•
Najbardziej obiecującą metodą walki ze
Najbardziej obiecującą metodą walki ze
spamem stają się metody statystyczne.
spamem stają się metody statystyczne.
Klasyfikacja statystyczna jest dostępna w
Klasyfikacja statystyczna jest dostępna w
różnych formach. Najbardziej
różnych formach. Najbardziej
rozpowszechnioną dzisiaj metodą są filtry
rozpowszechnioną dzisiaj metodą są filtry
Bayesa. Ten typ filtrów oparto na
Bayesa. Ten typ filtrów oparto na
teoretycznych podsta wach opracowanych
teoretycznych podsta wach opracowanych
przez XVIII-wiecznego matematyka
przez XVIII-wiecznego matematyka
brytyjskiego Thomasa Bayesa.
brytyjskiego Thomasa Bayesa.
Sieci neuronowe
Sieci neuronowe
•
Kreatywna adaptacja metod statystycznych
Kreatywna adaptacja metod statystycznych
elimi nuje konieczność instalowania
elimi nuje konieczność instalowania
oprogramowania po stronie klienckiej.
oprogramowania po stronie klienckiej.
•
Sieci neuronowe oparte na algorytmach
Sieci neuronowe oparte na algorytmach
sztucznej inteligencji są po dobne w
sztucznej inteligencji są po dobne w
działaniu do filtrowania za pomocą metod
działaniu do filtrowania za pomocą metod
statystycznych (Baye sa) - oprogramowanie
statystycznych (Baye sa) - oprogramowanie
uczy się rozpoznawania nowego spamu.
uczy się rozpoznawania nowego spamu.
Jednak oprogramowanie to rezyduje w
Jednak oprogramowanie to rezyduje w
ośrodkach dostawców filtrów, a nie na
ośrodkach dostawców filtrów, a nie na
klientach użytkowników.
klientach użytkowników.
Metoda sum kontrolnych
Metoda sum kontrolnych
•
Polega na używaniu techniki stosowanej
Polega na używaniu techniki stosowanej
także przy wykrywaniu wirusów. Z każdej
także przy wykrywaniu wirusów. Z każdej
wiadomości pocztowej jest two rzona suma
wiadomości pocztowej jest two rzona suma
kontrolna (swoisty „odcisk palca"), którą
kontrolna (swoisty „odcisk palca"), którą
umieszcza się w bazie danych. W przypadku
umieszcza się w bazie danych. W przypadku
tej metody kluczowa jest powtarzalność.
tej metody kluczowa jest powtarzalność.
Jeżeli w bazie danych znajduje się duża liczba
Jeżeli w bazie danych znajduje się duża liczba
takich samych lub podob nych tzw. odcisków
takich samych lub podob nych tzw. odcisków
palca, oznacza to, że reprezentują one spam.
palca, oznacza to, że reprezentują one spam.
Przynęty
Przynęty
•
To metoda klasyfikacji wiadomości przez
To metoda klasyfikacji wiadomości przez
firmę specjalizu jącą się w zwalczaniu spamu.
firmę specjalizu jącą się w zwalczaniu spamu.
Polega na zakładaniu w Internecie atrap
Polega na zakładaniu w Internecie atrap
skrzynek pocztowych (przynęt). Jedynym ich
skrzynek pocztowych (przynęt). Jedynym ich
przeznaczeniem jest przy ciąganie spamu.
przeznaczeniem jest przy ciąganie spamu.
Poczta, która przychodzi pod te adresy, jest
Poczta, która przychodzi pod te adresy, jest
rejestrowa na w bazie danych. Firma
rejestrowa na w bazie danych. Firma
używająca pułapek zapewnia następnie
używająca pułapek zapewnia następnie
swoim klientom usługę, która porównuje całą
swoim klientom usługę, która porównuje całą
pocztę wchodzącą klienta z bazą danych
pocztę wchodzącą klienta z bazą danych
spamu przechwyconego przez pułapki.
spamu przechwyconego przez pułapki.