Główne metody wykrywania

Główne metody wykrywania

włamań są następujące:

włamań są następujące:

Wykrywanie sygnatur

Wykrywanie sygnatur

ruchu

ruchu

•

Metoda stosowana do pewnych form ataków,

Metoda stosowana do pewnych form ataków,

polegająca na porównywaniu sygnatur"

polegająca na porównywaniu sygnatur"

ataku z ruchem. Poszukuje się wzorców

ataku z ruchem. Poszukuje się wzorców

ataków jedynie w takich fragmentach ruchu,

ataków jedynie w takich fragmentach ruchu,

gdzie mogą się one znajdować, co pozwala

gdzie mogą się one znajdować, co pozwala

zrezygnować z przegląda nia całego

zrezygnować z przegląda nia całego

strumienia. Wszystkie sygnatury są dostępne

strumienia. Wszystkie sygnatury są dostępne

z graficznego inter fejsu użytkownika, który

z graficznego inter fejsu użytkownika, który

umożliwia również edycję nowych sygnatur

umożliwia również edycję nowych sygnatur

lub mo dyfikację już istniejących.

lub mo dyfikację już istniejących.

Wykrywanie anomalii

Wykrywanie anomalii

protokotowych

protokotowych

Metoda stosowna do identyfikacji

Metoda stosowna do identyfikacji

ataków metodą

ataków metodą

wyszukiwania odchyleń od protokołów

wyszukiwania odchyleń od protokołów

stanowiących podstawę normalnego

stanowiących podstawę normalnego

ruchu. Zasadniczo metoda ta

ruchu. Zasadniczo metoda ta

weryfikuje ruch, opierając się na

weryfikuje ruch, opierając się na

opublikowanych specyfikacjach

opublikowanych specyfikacjach

protoko łów, wyszukując niewłaściwe

protoko łów, wyszukując niewłaściwe

stosowanie protokołów

stosowanie protokołów

komunikacyjnych.

komunikacyjnych.

Wykrywanie tylnych

Wykrywanie tylnych

furtek

furtek

•

Identyfikacja i zabez pieczenie przed atakami

Identyfikacja i zabez pieczenie przed atakami

przez „tylne furtki". Ataki tego typu pozwalają

przez „tylne furtki". Ataki tego typu pozwalają

zazwy czaj na przejęcie kontroli nad całym

zazwy czaj na przejęcie kontroli nad całym

systemem lub aplikacją. Tylne furtki po zostawiane

systemem lub aplikacją. Tylne furtki po zostawiane

są często przez projektantów systemów, którzy

są często przez projektantów systemów, którzy

używali ich na etapie uruchamiania, lub też są

używali ich na etapie uruchamiania, lub też są

instalowane przez trojany dostające się do sieci.

instalowane przez trojany dostające się do sieci.

Identyfikuje się unikatowe charakterystyki

Identyfikuje się unikatowe charakterystyki

interaktywnego ruchu po między systemem a

interaktywnego ruchu po między systemem a

atakującym (różnorodne komendy systemowe) i

atakującym (różnorodne komendy systemowe) i

uaktyw nia alarm z chwilą napotkania

uaktyw nia alarm z chwilą napotkania

niespodziewanej aktywności.

niespodziewanej aktywności.

Wykrywanie anomalii w

Wykrywanie anomalii w

ruchu

ruchu

•

Wykrywanie ataków, które nie zawierają się w

Wykrywanie ataków, które nie zawierają się w

pojedynczej sesji, lecz wymagają kilku po łączeń.

pojedynczej sesji, lecz wymagają kilku po łączeń.

Często są to misje rozpoznawcze, zbierające

Często są to misje rozpoznawcze, zbierające

informacje o sieci dla przeprowadzenia przyszłych

informacje o sieci dla przeprowadzenia przyszłych

ataków. Wykrywanie anomalii w ruchu pozwala na

ataków. Wykrywanie anomalii w ruchu pozwala na

identyfikację takiej aktywności przez

identyfikację takiej aktywności przez

porównywanie ruchu wejściowego z wzorcami

porównywanie ruchu wejściowego z wzorcami

ruchu normalnego. Pozwala to na wykrycie prób

ruchu normalnego. Pozwala to na wykrycie prób

włamań składa jących się z wielu połączeń.

włamań składa jących się z wielu połączeń.

Sondowanie sieci i skanowanie portów to wła śnie

Sondowanie sieci i skanowanie portów to wła śnie

przykłady tego typu ataków.

przykłady tego typu ataków.

Pułapki sieciowe

Pułapki sieciowe

•

Symulowanie nieistniejącej usługi

Symulowanie nieistniejącej usługi

polegające na wysyłaniu fałszywej

polegające na wysyłaniu fałszywej

informacji do napastnika próbującego

informacji do napastnika próbującego

sondować sieć. Każda próba

sondować sieć. Każda próba

połączenia się z taką usługą jest uwa

połączenia się z taką usługą jest uwa

żana za próbę hakerską, ponieważ w

żana za próbę hakerską, ponieważ w

rzeczywistości usługa taka nie

rzeczywistości usługa taka nie

istnieje w systemie.

istnieje w systemie.

Wykrywanie hybrydowe

Wykrywanie hybrydowe

•

Zapewniające skoordynowane stosowanie wie lu

Zapewniające skoordynowane stosowanie wie lu

metod wykrywania w celu zwiększenia szansy

metod wykrywania w celu zwiększenia szansy

identyfikacji ataku. Zbiera dodatkowe informacje

identyfikacji ataku. Zbiera dodatkowe informacje

o działaniach szkodliwych, prowadząc: behawioral

o działaniach szkodliwych, prowadząc: behawioral

ny monitoring ruchu, śledzenie stanów

ny monitoring ruchu, śledzenie stanów

protokołowych i reasemblację pa kietów IP Z kolei

protokołowych i reasemblację pa kietów IP Z kolei

analiza korelacji statystycznych pozwala oceniać

analiza korelacji statystycznych pozwala oceniać

zagrego wane zdarzenia pod kątem właściwej

zagrego wane zdarzenia pod kątem właściwej

identyfikacji potencjalnych ataków i

identyfikacji potencjalnych ataków i

uszeregowania ich pod względem ważności,

uszeregowania ich pod względem ważności,

minimalizując przy tym moż liwość fałszywych

minimalizując przy tym moż liwość fałszywych

alarmów.

alarmów.

Reasemblacja ruchu IP

Reasemblacja ruchu IP

•

Rozpoznawanie fragmentowanych

Rozpoznawanie fragmentowanych

pakietów IP i wykonywanie

pakietów IP i wykonywanie

rekonstrukcji od warstwy 3 do 7.

rekonstrukcji od warstwy 3 do 7.

Sensor wykonuje reasembla cję

Sensor wykonuje reasembla cję

spójną ze stosem IP

spójną ze stosem IP

Wykrywanie ataków

Wykrywanie ataków

zanurzonych

zanurzonych

•

Jedną z taktyk używanych przez na pastników

Jedną z taktyk używanych przez na pastników

w celu zmniejszenia prawdopodobieństwa

w celu zmniejszenia prawdopodobieństwa

namierzenia jest ukrycie prawdziwego ataku

namierzenia jest ukrycie prawdziwego ataku

w potoku pakietów, np. typu DoS. Można tym

w potoku pakietów, np. typu DoS. Można tym

łatwo wprowadzić w błąd tradycyjnie

łatwo wprowadzić w błąd tradycyjnie

działające IDS. Ich sensory mogą przepuścić

działające IDS. Ich sensory mogą przepuścić

rozproszone pakiety składające się na realny

rozproszone pakiety składające się na realny

atak. W potoku innych pakietów można

atak. W potoku innych pakietów można

ukryć pakiety stworzone do ataku.

ukryć pakiety stworzone do ataku.

Behawioralny monitoring

Behawioralny monitoring

ruchu

ruchu

•

Metoda licznika statystycznego lub

Metoda licznika statystycznego lub

częstotliwościowego do dokładnego

częstotliwościowego do dokładnego

identyfikowania formy ruchu wskazująca, że

identyfikowania formy ruchu wskazująca, że

jest to DoS lub atak metodą potoku pakietów.

jest to DoS lub atak metodą potoku pakietów.

Metoda uwzględnia mechanizm samo

Metoda uwzględnia mechanizm samo

strojenia do rozpoznawania różnych

strojenia do rozpoznawania różnych

środowisk, a nawet różnych typów organizacji

środowisk, a nawet różnych typów organizacji

wewnętrznej ISP Dopuszczalne formy poszcze

wewnętrznej ISP Dopuszczalne formy poszcze

gólnych typów zdarzeń w jednej lokalizacji

gólnych typów zdarzeń w jednej lokalizacji

mogą być uważane za atak po tokowy w innej.

mogą być uważane za atak po tokowy w innej.

•

Do tradycyjnych systemów Host IDS

Do tradycyjnych systemów Host IDS

doszły produkty typu

doszły produkty typu

File

File

IntegrityAs- sesment

IntegrityAs- sesment

,

,

monitorujące stan plików

monitorujące stan plików

systemowych i aplikacyjnych, a także

systemowych i aplikacyjnych, a także

re jestrów systemowych. Trzecim

re jestrów systemowych. Trzecim

typem są produkty

typem są produkty

Intrusion

Intrusion

Prevention Sys tems

Prevention Sys tems

(IPS).

(IPS).

Ewolucja systemów

Ewolucja systemów

wykrywania włamań

wykrywania włamań

•

Identyfikacja pasywna

Identyfikacja pasywna

wykorzystuje

wykorzystuje

informacje związane z systemami

informacje związane z systemami

funkcjonującymi w hostach będących

funkcjonującymi w hostach będących

celem ataku w sieci. IDS zbiera dane o

celem ataku w sieci. IDS zbiera dane o

systemie operacyjnym, usługach i

systemie operacyjnym, usługach i

niektórych aplikacjach pracujące na

niektórych aplikacjach pracujące na

hoście, a następnie używa tej informacji

hoście, a następnie używa tej informacji

do ograniczania fałszywych rozpoznań.

do ograniczania fałszywych rozpoznań.

•

Identyfikacja pasywna działa na

Identyfikacja pasywna działa na

zasadzie porównywania kluczowych in

zasadzie porównywania kluczowych in

formacji nagłówkowych TCP i IF?

formacji nagłówkowych TCP i IF?

otrzymanych z hosta źródłowego, z

otrzymanych z hosta źródłowego, z

bazą da nych sygnatur specyficznych dla

bazą da nych sygnatur specyficznych dla

danego hosta docelowego. Najbardziej

danego hosta docelowego. Najbardziej

po pularne identyfikatory z nagłówka to:

po pularne identyfikatory z nagłówka to:

rozmiar okna, czas „życia" pakietu, bit

rozmiar okna, czas „życia" pakietu, bit

DF i całkowita długość pakietu:

DF i całkowita długość pakietu:

-Czas „życia"

-Czas „życia"

pakietu

pakietu

jest kolejnym parame

jest kolejnym parame

trem, który zapewnia użyteczną

trem, który zapewnia użyteczną

charakterystykę systemu operacyjnego

charakterystykę systemu operacyjnego

hosta.

hosta.

-

-

Długość całkowita

Długość całkowita

określa długość całego

określa długość całego

pakietu wraz z nagłówkiem IP i zawartością i

pakietu wraz z nagłówkiem IP i zawartością i

jest informacją z dużym przybliżeniem

jest informacją z dużym przybliżeniem

identyfikującą system - niektóre systemy

identyfikującą system - niektóre systemy

operacyjne mogą być rozpoznane na

operacyjne mogą być rozpoznane na

podstawie domyślnej długości pakietów SYN i

podstawie domyślnej długości pakietów SYN i

SYNACK. Długości te dla poszczególnych

SYNACK. Długości te dla poszczególnych

systemów operacyjnych wynoszą:

systemów operacyjnych wynoszą:

Linux

Linux

- 60,

- 60,

Solaris - 44 i Windows 2000 - 48.

Solaris - 44 i Windows 2000 - 48.

-Rozmiar okna

-Rozmiar okna

określa rozmiar bufora

określa rozmiar bufora

pakietów wchodzących. System operacyjny

pakietów wchodzących. System operacyjny

ustawia ten parametr zazwyczaj na począt ku

ustawia ten parametr zazwyczaj na począt ku

sesji TCP Większość systemów operacyjnych

sesji TCP Większość systemów operacyjnych

typu Unix, takich jak

typu Unix, takich jak

Linux

Linux

czy Solaris,

czy Solaris,

utrzymuje stały rozmiar okna na czas trwania

utrzymuje stały rozmiar okna na czas trwania

sesji TCP natomiast system operacyjny

sesji TCP natomiast system operacyjny

Windows zmienia rozmiar okna w czasie

Windows zmienia rozmiar okna w czasie

trwania sesji.

trwania sesji.

Zintegrowana ochrona przed

Zintegrowana ochrona przed

intruzami

intruzami

•

Hakerom nie brakuje pomysłów w wymyślaniu coraz bardziej

Hakerom nie brakuje pomysłów w wymyślaniu coraz bardziej

złożonych ata ków, lepiej przystosowanych do obchodzenia

złożonych ata ków, lepiej przystosowanych do obchodzenia

środków ochrony obwodowej. Sieciowe IDS okazują się

środków ochrony obwodowej. Sieciowe IDS okazują się

niewystarczają cym środkiem monitorowania takich zagrożeń.

niewystarczają cym środkiem monitorowania takich zagrożeń.

Kluczowym elementem zinte growanej strategii ochrony jest

Kluczowym elementem zinte growanej strategii ochrony jest

uzupełnianie sieciowych IDS hostowymi IDS (Host IDS-HIDS).

uzupełnianie sieciowych IDS hostowymi IDS (Host IDS-HIDS).

•

Ten typ oprogramowania wykrywania wtargnięć jest instalowany

Ten typ oprogramowania wykrywania wtargnięć jest instalowany

przede - wszystkim na serwerach, ale także można go

przede - wszystkim na serwerach, ale także można go

zainstalować na desktopach i lap topach. Oprogramowanie Host

zainstalować na desktopach i lap topach. Oprogramowanie Host

IDS jest ostatnią linią obrony przed atakami osiągającymi te

IDS jest ostatnią linią obrony przed atakami osiągającymi te

punkty końcowe sieci.

punkty końcowe sieci.

•

Moduły agentów HIDS powinny być wdrażane na krytycznych

Moduły agentów HIDS powinny być wdrażane na krytycznych

dla działa nia biznesu serwerach. Są to zazwyczaj serwery

dla działa nia biznesu serwerach. Są to zazwyczaj serwery

infrastruktury sieciowej, ser wery infrastruktury biznesowej i

infrastruktury sieciowej, ser wery infrastruktury biznesowej i

serwery zawierające informacje o klientach i treść stanowiącą

serwery zawierające informacje o klientach i treść stanowiącą

własność intelektualną firmy.

własność intelektualną firmy.

Sieciowe IDS jako narzędzia

Sieciowe IDS jako narzędzia

analityczne

analityczne

•

Sieciowe systemy wykrywania włamań IDS (

Sieciowe systemy wykrywania włamań IDS (

Intrusion Detection Systems)

Intrusion Detection Systems)

za

za

czynają znajdować nową niszę - narzędzi analitycznych, pozwalających na wgląd

czynają znajdować nową niszę - narzędzi analitycznych, pozwalających na wgląd

do sieci i zrozumienie tego, co się w niej dzieje w obszarze bezpie czeństwa.

do sieci i zrozumienie tego, co się w niej dzieje w obszarze bezpie czeństwa.

Oferują możliwość śledzenia i wykrywania tego, jak, kiedy i gdzie sieć była

Oferują możliwość śledzenia i wykrywania tego, jak, kiedy i gdzie sieć była

atakowana.

atakowana.

•

Sieciowe IDS mogą być dla analityków ochrony tym, czym analizatory protokołów

Sieciowe IDS mogą być dla analityków ochrony tym, czym analizatory protokołów

dla zarządców sieci: narzędziami do wglądu w sieć, wspomaga jącymi rozpoznanie

dla zarządców sieci: narzędziami do wglądu w sieć, wspomaga jącymi rozpoznanie

co się w niej dzieje z punktu widzenia bezpieczeństwa.

co się w niej dzieje z punktu widzenia bezpieczeństwa.

•

IDS to pasywne sensory do wykrywania ataków, naruszeń reguł polityki

IDS to pasywne sensory do wykrywania ataków, naruszeń reguł polityki

bezpieczeństwa, złych zachowań i złych ustawień konfiguracyjnych związa nych z

bezpieczeństwa, złych zachowań i złych ustawień konfiguracyjnych związa nych z

bezpieczeństwem.

bezpieczeństwem.

•

Pomyślna implementacja sieciowych IDS zależy od trzech krytycznych czynników:

Pomyślna implementacja sieciowych IDS zależy od trzech krytycznych czynników:

•

Świadomej polityki bezpieczeństwa. Sieciowy IDS nie wykryje podej rzanych

Świadomej polityki bezpieczeństwa. Sieciowy IDS nie wykryje podej rzanych

zachowań dopóty, dopóki nie zostanie zdefiniowane co jest, a co nie jest

zachowań dopóty, dopóki nie zostanie zdefiniowane co jest, a co nie jest

dozwolone w sieci.

dozwolone w sieci.

•

« Świadomość powiązania z siecią - produkty IDS nie nadają się do auto matycznej

« Świadomość powiązania z siecią - produkty IDS nie nadają się do auto matycznej

klasyfikacji ataków na podstawie systemu, który został zaatakowany. Klasycznym

klasyfikacji ataków na podstawie systemu, który został zaatakowany. Klasycznym

przykładem tego jest atak związany wyłącznie z systemem Windows na uniksowy

przykładem tego jest atak związany wyłącznie z systemem Windows na uniksowy

serwer webowy. Dla sieciowych IDS dane są wtedy użyteczne, je żeli wiadomo jakie

serwer webowy. Dla sieciowych IDS dane są wtedy użyteczne, je żeli wiadomo jakie

zasoby są w sieci i jak wygląda ruch normalny i poprawny.

zasoby są w sieci i jak wygląda ruch normalny i poprawny.

•

Architektura IDS - użyteczność IDS zależy od implementowania ich w sposób, który

Architektura IDS - użyteczność IDS zależy od implementowania ich w sposób, który

zapewni uzyskiwanie użytecznej informacji. Oznacza to, że konieczne jest

zapewni uzyskiwanie użytecznej informacji. Oznacza to, że konieczne jest

zaprojektowanie lokalizacji sensorów i technologii wykrywają cej wg wiedzy o

zaprojektowanie lokalizacji sensorów i technologii wykrywają cej wg wiedzy o

polityce bezpieczeństwa i zasobach sieciowych.

polityce bezpieczeństwa i zasobach sieciowych.

Kontrola zawartości poczty

Kontrola zawartości poczty

elektronicznej

elektronicznej

•

Poczta elektroniczna to niezwykle istotna aplikacja biznesu, problemem jest jednak

Poczta elektroniczna to niezwykle istotna aplikacja biznesu, problemem jest jednak

niepożądana zawartość przesyłek pocztowych. Zarządzanie zawar tością poczty

niepożądana zawartość przesyłek pocztowych. Zarządzanie zawar tością poczty

elektronicznej umożliwia sprawdzanie i kontrolowanie dystry bucji poczty na podstawie

elektronicznej umożliwia sprawdzanie i kontrolowanie dystry bucji poczty na podstawie

zawartości przesyłek pocztowych. Są do tego przeznaczone specjalne programy. Poczta

zawartości przesyłek pocztowych. Są do tego przeznaczone specjalne programy. Poczta

elektroniczna może być nośnikiem niepożądanych treści - za równo szkodliwych (wirusy),

elektroniczna może być nośnikiem niepożądanych treści - za równo szkodliwych (wirusy),

jak i niepożądanych (spam) - czy też kanałem ujawniania informacji poufnych. Do

jak i niepożądanych (spam) - czy też kanałem ujawniania informacji poufnych. Do

wymuszania pewnych reguł polityki, określających, co jest dozwolone w obiegu poczty

wymuszania pewnych reguł polityki, określających, co jest dozwolone w obiegu poczty

elektronicznej, służą pro gramy do zarządzania zawartością poczty.

elektronicznej, służą pro gramy do zarządzania zawartością poczty.

•

Programy te sprawdzają i kontrolują dystrybucję poczty elektronicznej na podstawie

Programy te sprawdzają i kontrolują dystrybucję poczty elektronicznej na podstawie

treści przesyłek pocztowych. Do kontrolowania stosuje się słowa kluczowe. Proste

treści przesyłek pocztowych. Do kontrolowania stosuje się słowa kluczowe. Proste

wykrywanie poszczególnych słów kluczowych w treści może jednak spowodować

wykrywanie poszczególnych słów kluczowych w treści może jednak spowodować

zablokowanie istotnej przesyłki poczto wej - zarówno wejściowej (nieprzekazanie do

zablokowanie istotnej przesyłki poczto wej - zarówno wejściowej (nieprzekazanie do

adresata), jak i wyjściowej (blokada wysyłki). Dlatego też zazwyczaj stosuje się

adresata), jak i wyjściowej (blokada wysyłki). Dlatego też zazwyczaj stosuje się

kontekstowe wyszuki wanie słów kluczowych. Programy umożliwiają tworzenie słowników

kontekstowe wyszuki wanie słów kluczowych. Programy umożliwiają tworzenie słowników

zawie rających poszczególne wyrazy, łańcuchy znaków oraz frazy.

zawie rających poszczególne wyrazy, łańcuchy znaków oraz frazy.

•

Stosowane rozwiązania pozwalają na izolowanie przesyłek naruszają cych standardy,

Stosowane rozwiązania pozwalają na izolowanie przesyłek naruszają cych standardy,

dając zarządcy systemu możliwość określenia, jaka ak cja ma być podjęta w odniesieniu

dając zarządcy systemu możliwość określenia, jaka ak cja ma być podjęta w odniesieniu

do takiej poczty. Poza przesłaniem - pocztą elektroniczną - powiadomienia do nadawcy i

do takiej poczty. Poza przesłaniem - pocztą elektroniczną - powiadomienia do nadawcy i

zarządzającego sys temem, generowane są alarmy z dostosowywaną treścią, np.

zarządzającego sys temem, generowane są alarmy z dostosowywaną treścią, np.

„wykryto wirusa", a do dziennika zdarzeń aplikacji pocztowej jest przesyłana od powiednia

„wykryto wirusa", a do dziennika zdarzeń aplikacji pocztowej jest przesyłana od powiednia

informacja.

informacja.

•

Do obsługi spamu wykorzystuje się m.in. Realtime Blackhole List (li sta ośrodków

Do obsługi spamu wykorzystuje się m.in. Realtime Blackhole List (li sta ośrodków

dystrybuujących spam), dopuszczając jednocześnie tworze nie własnych list domen i

dystrybuujących spam), dopuszczając jednocześnie tworze nie własnych list domen i

ośrodków „spamotwórczych". Sprawdza się tak że pewne charakterystyczne informacje,

ośrodków „spamotwórczych". Sprawdza się tak że pewne charakterystyczne informacje,

takie jak liczba odbiorców zawarta w przesyłce, oraz - przez zwrotne sprawdzanie DNS -

takie jak liczba odbiorców zawarta w przesyłce, oraz - przez zwrotne sprawdzanie DNS -

czy podany nadawca jest prawdziwy. Do wykrywaniu spamu służą też filtry statystyczne.

czy podany nadawca jest prawdziwy. Do wykrywaniu spamu służą też filtry statystyczne.

Spam

Spam

•

Mianem spamu określa się niepożądane przesyłki poczty

Mianem spamu określa się niepożądane przesyłki poczty

elektronicznej, do starczane najczęściej w ramach tzw.

elektronicznej, do starczane najczęściej w ramach tzw.

marketingu bezpośredniego. Pierwszą przesyłkę poczty

marketingu bezpośredniego. Pierwszą przesyłkę poczty

elektronicznej sklasyfikowano jako spam w roku 1994. Do

elektronicznej sklasyfikowano jako spam w roku 1994. Do

tyczył on promocji loterii w Stanach Zjednoczonych. Od

tyczył on promocji loterii w Stanach Zjednoczonych. Od

tamtej pory spam przeszedł znaczną ewolucję. W miarę

tamtej pory spam przeszedł znaczną ewolucję. W miarę

upowszechniania poczty elektronicznej stał się poważnym

upowszechniania poczty elektronicznej stał się poważnym

problemem biznesowym Spam to duże utrapienie zarówno

problemem biznesowym Spam to duże utrapienie zarówno

dla użytkowników indywidualnych, jak i dużych organizacji.

dla użytkowników indywidualnych, jak i dużych organizacji.

W miarę wzrastania liczby spamu, rośnie też czas po

W miarę wzrastania liczby spamu, rośnie też czas po

święcany na przeglądanie poczty i wykreślanie spamu, nie

święcany na przeglądanie poczty i wykreślanie spamu, nie

wspominając już o zajmowaniu pasma w sieci czy pamięci

wspominając już o zajmowaniu pasma w sieci czy pamięci

serwerów pocztowych.

serwerów pocztowych.

Filtrowanie spamu

Filtrowanie spamu

•

Do walki ze spamem w sieciach

Do walki ze spamem w sieciach

przedsiębiorstw stosuje się dedykowane

przedsiębiorstw stosuje się dedykowane

bramy filtrujące, umieszczane

bramy filtrujące, umieszczane

zazwyczaj pomiędzy zaporą ogniową a

zazwyczaj pomiędzy zaporą ogniową a

ser werem poczty elektronicznej, i usługi

ser werem poczty elektronicznej, i usługi

filtrowania antyspamowego poza sie cią

filtrowania antyspamowego poza sie cią

korporacyjną - na bramie internetowej.

korporacyjną - na bramie internetowej.

Brama może mieć formę opro

Brama może mieć formę opro

gramowania lub urządzenia.

gramowania lub urządzenia.

Strojenie efektywności

Strojenie efektywności

filtra

filtra

•

Wysoka czułość filtra w sposób naturalny zwiększa

Wysoka czułość filtra w sposób naturalny zwiększa

wskaźnik fałszywych roz poznań. Podobnie niski

wskaźnik fałszywych roz poznań. Podobnie niski

wskaźnik fałszywych rozpoznań jest związany zazwy

wskaźnik fałszywych rozpoznań jest związany zazwy

czaj z obniżonym wskaźnikiem rozpoznań właściwych.

czaj z obniżonym wskaźnikiem rozpoznań właściwych.

•

Większość produktów antyspamowych można

Większość produktów antyspamowych można

dostroić, zwiększając czułość i zmniejszając liczbę

dostroić, zwiększając czułość i zmniejszając liczbę

fałszywych rozpoznań. Są dwa podstawowe sposoby

fałszywych rozpoznań. Są dwa podstawowe sposoby

strojenia filtrów pocztowych. Pierwszy to progi

strojenia filtrów pocztowych. Pierwszy to progi

określające, co jest spamem. Najlepsze produkty

określające, co jest spamem. Najlepsze produkty

oferują całą serię poziomów, często wyraża nych w

oferują całą serię poziomów, często wyraża nych w

procentach, określających prawdopodobieństwo, że

procentach, określających prawdopodobieństwo, że

wiadomość jest spamem.

wiadomość jest spamem.

Pozyskiwanie adresów do

Pozyskiwanie adresów do

spamu

spamu

•

Do masowego rozsyłania wiadomości są niezbędne

Do masowego rozsyłania wiadomości są niezbędne

zbiory adresów, pod któ re przesyłki mają być

zbiory adresów, pod któ re przesyłki mają być

dostarczane. Spamerzy mają do dyspozycji wiele na

dostarczane. Spamerzy mają do dyspozycji wiele na

rzędzi umożliwiających zdobycie nowych adresów.

rzędzi umożliwiających zdobycie nowych adresów.

•

W Internecie można znaleźć narzędzia do

W Internecie można znaleźć narzędzia do

automatycznego pobierania adresów poczty

automatycznego pobierania adresów poczty

elektronicznej ze stron webowych, plików

elektronicznej ze stron webowych, plików

tekstowych i in nych źródeł dostępnych online.

tekstowych i in nych źródeł dostępnych online.

Narzędzia te pozwalają na zarządzanie lista mi

Narzędzia te pozwalają na zarządzanie lista mi

zgromadzonych adresów pocztowych, eliminując

zgromadzonych adresów pocztowych, eliminując

duplikaty, personalizu jąc wiadomości i wykonując

duplikaty, personalizu jąc wiadomości i wykonując

inne funkcje.

inne funkcje.

Techniki identyfikacji

Techniki identyfikacji

spamu

spamu

•

Walka ze spamem jest procesem ciągłym. W miarę

Walka ze spamem jest procesem ciągłym. W miarę

pojawiania się no wych technik filtrowania spamerzy starają

pojawiania się no wych technik filtrowania spamerzy starają

się wynaleźć sposoby ich obej ścia. Podstawowe metody

się wynaleźć sposoby ich obej ścia. Podstawowe metody

wykrywania spamu są następujące:

wykrywania spamu są następujące:

•

Domenowe czarne i białe listy nadawców.

Domenowe czarne i białe listy nadawców.

•

Rozproszone czarne listy nadawców.

Rozproszone czarne listy nadawców.

•

Motory heurystyczne.

Motory heurystyczne.

•

Motory klasyfikacji statystycznej.

Motory klasyfikacji statystycznej.

•

Sieci neuronowe.

Sieci neuronowe.

•

Metoda sum kontrolnych.

Metoda sum kontrolnych.

•

Przynęty.

Przynęty.

•

Sieci

Sieci

peer-to-peer.

peer-to-peer.

•

Poczta uwierzytelniana.

Poczta uwierzytelniana.

Domenowe czarne i białe

Domenowe czarne i białe

listy nadawców

listy nadawców

•

To podstawowa forma blo kowania spamu.

To podstawowa forma blo kowania spamu.

Administrator domeny wpisuje na tzw.

Administrator domeny wpisuje na tzw.

czarną listę adre sy wszystkich znanych

czarną listę adre sy wszystkich znanych

nadawców spamu. Przesyłki pocztowe

nadawców spamu. Przesyłki pocztowe

przycho dzące spod adresów znajdujących

przycho dzące spod adresów znajdujących

się na tej liście są uznawane za spam.

się na tej liście są uznawane za spam.

•

Chcąc z kolei zapewnić odbiór poczty od

Chcąc z kolei zapewnić odbiór poczty od

pewnych nadawców, two rzy się tzw. białą

pewnych nadawców, two rzy się tzw. białą

listę zawierającą adresy, spod których

listę zawierającą adresy, spod których

przesyłki będą za wsze przekazywane.

przesyłki będą za wsze przekazywane.

Rozproszone czarne listy

Rozproszone czarne listy

•

to listy aa poziomie Internetu. Stanowią katalog

to listy aa poziomie Internetu. Stanowią katalog

znanych adresów spamerów oraz domen i są

znanych adresów spamerów oraz domen i są

publikowane w sieci - bezpłatnie lub w płatnej

publikowane w sieci - bezpłatnie lub w płatnej

subskrypcji (np.

subskrypcji (np.

Mail Abuse Preven tion System

Mail Abuse Preven tion System

-MAPS).

-MAPS).

•

Wiele organizacji uważa te listy za bardzo

Wiele organizacji uważa te listy za bardzo

użyteczne. Jednak może się zdarzyć, że przez

użyteczne. Jednak może się zdarzyć, że przez

pomyłkę znajdą się na nich legalni nadawcy

pomyłkę znajdą się na nich legalni nadawcy

poczty. Z tych powodów mogą cechować się

poczty. Z tych powodów mogą cechować się

wysokim wskaźnikiem fałszywych rozpoznań, co

wysokim wskaźnikiem fałszywych rozpoznań, co

często kończy się zrezygnowaniem z ich

często kończy się zrezygnowaniem z ich

stosowania

stosowania

Motory heurystyczne

Motory heurystyczne

•

Do niedawna motory heurystyczne były naj bardziej

Do niedawna motory heurystyczne były naj bardziej

efektywną metodą identyfikowania spamu.

efektywną metodą identyfikowania spamu.

Posługują się one zbiorem reguł służących do

Posługują się one zbiorem reguł służących do

analizowania wiadomości pocztowych pod kątem

analizowania wiadomości pocztowych pod kątem

cech charakterystycznych dla spamu (np. obecność

cech charakterystycznych dla spamu (np. obecność

fraz typu „zo stań bogatym" czy „nadzwyczajna

fraz typu „zo stań bogatym" czy „nadzwyczajna

okazja"). Dobry motor heurystyczny może zawierać

okazja"). Dobry motor heurystyczny może zawierać

setki lub tysiące takich reguł, często powiązanych z

setki lub tysiące takich reguł, często powiązanych z

od powiednią punktacją - powiększaną z każdym

od powiednią punktacją - powiększaną z każdym

wykryciem cechy „spa- mopodobnej". Motory

wykryciem cechy „spa- mopodobnej". Motory

heurystyczne opierają się na systemie punktacji: im

heurystyczne opierają się na systemie punktacji: im

więcej charakterystyk spamowych w wiadomości,

więcej charakterystyk spamowych w wiadomości,

tym wyższa punk tacja i tym większe

tym wyższa punk tacja i tym większe

prawdopodobieństwo, że jest to spam.

prawdopodobieństwo, że jest to spam.

Motory klasyfikacji

Motory klasyfikacji

statystycznej

statystycznej

•

Najbardziej obiecującą metodą walki ze spamem

Najbardziej obiecującą metodą walki ze spamem

stają się metody statystyczne. Klasyfikacja

stają się metody statystyczne. Klasyfikacja

statystyczna jest dostępna w różnych formach.

statystyczna jest dostępna w różnych formach.

Najbardziej rozpowszechnioną dzisiaj metodą są

Najbardziej rozpowszechnioną dzisiaj metodą są

filtry Bayesa. Ten typ filtrów oparto na

filtry Bayesa. Ten typ filtrów oparto na

teoretycznych podsta wach opracowanych przez

teoretycznych podsta wach opracowanych przez

XVIII-wiecznego matematyka brytyjskiego

XVIII-wiecznego matematyka brytyjskiego

Thomasa Bayesa. Prawdopodobieństwo, że

Thomasa Bayesa. Prawdopodobieństwo, że

wiadomość jest spamem, jest wyliczane na

wiadomość jest spamem, jest wyliczane na

podstawie pewnych wartości liczbowych

podstawie pewnych wartości liczbowych

przydziela nych poszczególnym słowom

przydziela nych poszczególnym słowom

wiadomości.

wiadomości.

Sieci neuronowe

Sieci neuronowe

•

Kreatywna adaptacja metod statystycznych elimi nuje

Kreatywna adaptacja metod statystycznych elimi nuje

konieczność instalowania oprogramowania po stronie

konieczność instalowania oprogramowania po stronie

klienckiej.

klienckiej.

•

Sieci neuronowe oparte na algorytmach sztucznej

Sieci neuronowe oparte na algorytmach sztucznej

inteligencji są po dobne w działaniu do filtrowania za

inteligencji są po dobne w działaniu do filtrowania za

pomocą metod statystycznych (Baye sa) - oprogramowanie

pomocą metod statystycznych (Baye sa) - oprogramowanie

uczy się rozpoznawania nowego spamu. Jednak

uczy się rozpoznawania nowego spamu. Jednak

oprogramowanie to rezyduje w ośrodkach dostawców

oprogramowanie to rezyduje w ośrodkach dostawców

filtrów, a nie na klientach użytkowników. Wsad poczty

filtrów, a nie na klientach użytkowników. Wsad poczty

elektronicznej, używany do uczenia sieci neuronowych,

elektronicznej, używany do uczenia sieci neuronowych,

przychodzi z tysięcy fałszywych skrzynek pocztowych

przychodzi z tysięcy fałszywych skrzynek pocztowych

założonych przez dostawców w celu wychwytywania

założonych przez dostawców w celu wychwytywania

spamu. Sprawdzanie olbrzymiej liczby wiadomości pozwala

spamu. Sprawdzanie olbrzymiej liczby wiadomości pozwala

uczącej się maszynie stale nadą żać za trikami spamerów.

uczącej się maszynie stale nadą żać za trikami spamerów.

Metoda sum kontrolnych

Metoda sum kontrolnych

•

Polega na używaniu techniki stosowanej także

Polega na używaniu techniki stosowanej także

przy wykrywaniu wirusów. Z każdej wiadomości

przy wykrywaniu wirusów. Z każdej wiadomości

pocztowej jest two rzona suma kontrolna (swoisty

pocztowej jest two rzona suma kontrolna (swoisty

„odcisk palca"), którą umieszcza się w bazie

„odcisk palca"), którą umieszcza się w bazie

danych. W przypadku tej metody kluczowa jest

danych. W przypadku tej metody kluczowa jest

powtarzalność. Jeżeli w bazie danych znajduje się

powtarzalność. Jeżeli w bazie danych znajduje się

duża liczba takich samych lub podob nych tzw.

duża liczba takich samych lub podob nych tzw.

odcisków palca, oznacza to, że reprezentują one

odcisków palca, oznacza to, że reprezentują one

spam. Jedynie spam, który jest wysyłany dużymi

spam. Jedynie spam, który jest wysyłany dużymi

partiami, czasami w liczbie milionów, będzie

partiami, czasami w liczbie milionów, będzie

generował z dużą częstotliwością te same sumy

generował z dużą częstotliwością te same sumy

kontrolne.

kontrolne.

Przynęty

Przynęty

•

To metoda klasyfikacji wiadomości przez

To metoda klasyfikacji wiadomości przez

firmę specjalizu jącą się w zwalczaniu

firmę specjalizu jącą się w zwalczaniu

spamu. Polega na zakładaniu w Internecie

spamu. Polega na zakładaniu w Internecie

atrap skrzynek pocztowych (przynęt).

atrap skrzynek pocztowych (przynęt).

Jedynym ich przeznaczeniem jest przy

Jedynym ich przeznaczeniem jest przy

ciąganie spamu. Poczta, która przychodzi

ciąganie spamu. Poczta, która przychodzi

pod te adresy, jest rejestrowa na w bazie

pod te adresy, jest rejestrowa na w bazie

danych. Firma używająca pułapek zapewnia

danych. Firma używająca pułapek zapewnia

następnie swoim klientom usługę, która

następnie swoim klientom usługę, która

porównuje całą pocztę wchodzącą klienta z

porównuje całą pocztę wchodzącą klienta z

bazą danych spamu przechwyconego przez

bazą danych spamu przechwyconego przez

pułapki.

pułapki.