Ett bättre sätt att skjuta ner skräppost

Ny programvara utvecklad vid Georgia Institute for Technology kan identifiera spam innan den träffar e-postservern. Systemet, känt som SNARE (Spatio-temporal Network-level Automatic Reputation Engine), poängsätter varje inkommande e-postmeddelande baserat på en mängd nya kriterier som kan hämtas från ett enda datapaket. De inblandade forskarna säger att det automatiserade systemet belastar nätverket mindre och minimerar behovet av mänskligt ingripande samtidigt som det uppnår samma noggrannhet som traditionella spamfilter.





Det är inte lätt att skilja skräppost från legitim e-post, även känd som skinka. Det beror dels på den stora mängden meddelanden som behöver bearbetas och dels på e-postförväntningar: användare vill att deras e-post ska anlända minuter, om inte sekunder, efter att den skickades. Att analysera innehållet i varje e-postmeddelande kan vara en pålitlig metod för att identifiera spam, men det tar för lång tid, säger Nick Feamster , en biträdande professor vid Georgia Tech som övervakade SNARE-forskningen. Att låta spam flöda in i våra inkorgar ofiltrerat är inte heller ett vettigt alternativ. Enligt a Rapportera släppt av e-postsäkerhetsföretaget MessageLabs , stod skräppost för 90,4 procent av all e-post som skickades i juni.

Om du inte är orolig för skräppost, skulle jag föreslå att du stänger av ditt skräppostfilter i ungefär en timme och se vad som händer, säger Sven Krasser, senior director of data-mining research på McAfee. Företaget Santa Clara, CA, tillhandahöll rådata för analys av Georgia Tech-teamet.

Teamet analyserade 25 miljoner e-postmeddelanden som samlats in av TrustedSource.org , en onlinetjänst utvecklad av McAfee för att samla in data om trender inom spam och skadlig programvara. Med hjälp av dessa data upptäckte Georgia Tech-forskarna flera egenskaper som kunde hämtas från ett enda datapaket och användas för att effektivt identifiera skräppost. Till exempel avslöjade deras forskning att skinka tenderar att komma från datorer som har många kanaler, eller portar, öppna för kommunikation. Bots, automatiserade system som ofta används för att skicka ut mängder av spam, tenderar att bara hålla e-postporten öppen, känd som Simple Mail Transfer Protocol-porten.

Dessutom fann forskarna att genom att plotta det geodetiska avståndet mellan sändarens och mottagarens Internet Protocol-adresser – mätt på jordens krökta yta – kunde de avgöra om meddelandet var skräp. (Mycket som varje hus har en gatuadress, har varje dator på Internet en IP-adress, och den adressen kan mappas till ett geografiskt område.) Spam, fann forskarna, tenderar att färdas längre än skinka. Spammare tenderar också att ha IP-adresser som ligger numeriskt nära andra spammare.

Dekan Malmgren, doktorand vid Northwestern University vars arbete inkluderar att identifiera nya metoder för att identifiera spam, säger att han tycker att forskningen är intressant. Men han undrar hur robust SNARE kommer att vara när dess metodik är allmänt känd. IP-adresser, konstaterar han, är lätta att fejka. Så om spammare fick nys om hur SNARE fungerar kan de till exempel använda en falsk IP-adress nära mottagarens.

Georgia Tech-forskarna tittade också på det autonoma servernumret (AS) som är kopplat till ett e-postmeddelande. (Ett AS-nummer tilldelas varje oberoende operatör, oavsett om det är en internetleverantör eller ett campusnätverk.) Eftersom forskarna visste att en betydande andel skräppost kommer från en handfull autonoma servernummer, bestämde sig forskarna för att integrera den egenskapen i SNARE, för.

Slutresultatet var ett system som kunde upptäcka skräppost 70 procent av tiden, med en falsk positiv frekvens på 0,3 procent. Feamster säger att det är jämförbart med befintliga spamfilter men noterar att när det används tillsammans med befintliga system borde processen vara mycket effektivare.

Betrakta SNARE som en första försvarslinje, säger Shuang Hao , en doktorand i datavetenskap vid Georgia Institute of Technology och en SNARE-forskare. Var och en av egenskaperna i SNARE-systemet bidrar till den totala poängen för ett e-postmeddelande. Hittills har SNARE endast implementerats i en forskningsmiljö, men om det används i en företagsmiljö kan nätverksadministratören sätta regler om vad som händer med e-post baserat på dess SNARE-poäng. Till exempel kan e-post som ger dåligt betyg släppas innan den ens når e-postservern. Hao säger att detta kan spara avsevärda resurser, eftersom många företag har en policy som kräver att de behåller en kopia av varje e-postmeddelande som träffar servern, oavsett om det är skräp eller inte. Meddelanden med medelmåttiga poäng skulle kunna bedömas ytterligare med traditionella innehållsfilter.

Hao hjälper för närvarande Yahoo att förbättra sitt spamfilter, baserat på vad han har lärt sig när han utvecklade SNARE. Han säger att även Cisco har visat intresse för arbetet.

Det är ganska smart på det sättet att de kombinerar en massa data som är billig att använda, säger John Levine , ordförande för Koalition mot oönskad kommersiell e-post och en senior teknisk rådgivare till Arbetsgrupp för meddelanden mot missbruk , ett konsortium av företag som är involverade i att bekämpa spam. Å andra sidan tycker jag att vissa av deras slutsatser är lite för optimistiska. Spammare är inte dumma; varje gång du har ett populärt system [för att identifiera spam] kommer de att kringgå det.

Forskargruppen kommer att presentera sitt arbete om SNARE på Usenix Security Conference nästa månad i Montreal. I framtiden hoppas Feamster kunna tillämpa sina resultat på andra datorsäkerhetsproblem, såsom nätfiske-e-post, där avsändaren utger sig för att vara från en betrodd institution till mottagarna för att avslöja sina lösenord.

Dölj