Główne metody wykrywania

Główne metody wykrywania

włamań są następujące:

włamań są następujące:

Wykrywanie sygnatur

Wykrywanie sygnatur

ruchu

ruchu

•

Metoda stosowana do pewnych form

Metoda stosowana do pewnych form

ataków, polegająca na porównywaniu

ataków, polegająca na porównywaniu

sygnatur" ataku z ruchem. Poszukuje

sygnatur" ataku z ruchem. Poszukuje

się wzorców ataków jedynie w takich

się wzorców ataków jedynie w takich

fragmentach ruchu, gdzie mogą się

fragmentach ruchu, gdzie mogą się

one znajdować, co pozwala

one znajdować, co pozwala

zrezygnować z przegląda nia całego

zrezygnować z przegląda nia całego

strumienia.

strumienia.

Wykrywanie

Wykrywanie

anomalii

anomalii

protokotowych

protokotowych

Metoda stosowna do identyfikacji

Metoda stosowna do identyfikacji

ataków metodą

ataków metodą

wyszukiwania odchyleń od protokołów

wyszukiwania odchyleń od protokołów

stanowiących podstawę normalnego

stanowiących podstawę normalnego

ruchu. Zasadniczo metoda ta

ruchu. Zasadniczo metoda ta

weryfikuje ruch, opierając się na

weryfikuje ruch, opierając się na

opublikowanych specyfikacjach

opublikowanych specyfikacjach

protoko łów, wyszukując niewłaściwe

protoko łów, wyszukując niewłaściwe

stosowanie protokołów

stosowanie protokołów

komunikacyjnych.

komunikacyjnych.

Wykrywanie tylnych

Wykrywanie tylnych

furtek

furtek

•

Identyfikacja i zabez pieczenie przed

Identyfikacja i zabez pieczenie przed

atakami przez „tylne furtki". Ataki tego

atakami przez „tylne furtki". Ataki tego

typu pozwalają zazwy czaj na przejęcie

typu pozwalają zazwy czaj na przejęcie

kontroli nad całym systemem lub

kontroli nad całym systemem lub

aplikacją. Tylne furtki po zostawiane są

aplikacją. Tylne furtki po zostawiane są

często przez projektantów systemów,

często przez projektantów systemów,

którzy używali ich na etapie

którzy używali ich na etapie

uruchamiania, lub też są instalowane

uruchamiania, lub też są instalowane

przez trojany dostające się do sieci.

przez trojany dostające się do sieci.

Wykrywanie anomalii w

Wykrywanie anomalii w

ruchu

ruchu

•

Wykrywanie ataków, które nie zawierają

Wykrywanie ataków, które nie zawierają

się w pojedynczej sesji, lecz wymagają

się w pojedynczej sesji, lecz wymagają

kilku po łączeń. Często są to misje

kilku po łączeń. Często są to misje

rozpoznawcze, zbierające informacje o

rozpoznawcze, zbierające informacje o

sieci dla przeprowadzenia przyszłych

sieci dla przeprowadzenia przyszłych

ataków. Wykrywanie anomalii w ruchu

ataków. Wykrywanie anomalii w ruchu

pozwala na identyfikację takiej

pozwala na identyfikację takiej

aktywności przez porównywanie ruchu

aktywności przez porównywanie ruchu

wejściowego z wzorcami ruchu

wejściowego z wzorcami ruchu

normalnego.

normalnego.

Pułapki sieciowe

Pułapki sieciowe

•

Symulowanie nieistniejącej usługi

Symulowanie nieistniejącej usługi

polegające na wysyłaniu fałszywej

polegające na wysyłaniu fałszywej

informacji do napastnika próbującego

informacji do napastnika próbującego

sondować sieć. Każda próba

sondować sieć. Każda próba

połączenia się z taką usługą jest uwa

połączenia się z taką usługą jest uwa

żana za próbę hakerską, ponieważ w

żana za próbę hakerską, ponieważ w

rzeczywistości usługa taka nie

rzeczywistości usługa taka nie

istnieje w systemie.

istnieje w systemie.

Wykrywanie hybrydowe

Wykrywanie hybrydowe

•

Zapewniające skoordynowane stosowanie wie lu

Zapewniające skoordynowane stosowanie wie lu

metod wykrywania w celu zwiększenia szansy

metod wykrywania w celu zwiększenia szansy

identyfikacji ataku. Zbiera dodatkowe informacje

identyfikacji ataku. Zbiera dodatkowe informacje

o działaniach szkodliwych, prowadząc: behawioral

o działaniach szkodliwych, prowadząc: behawioral

ny monitoring ruchu, śledzenie stanów

ny monitoring ruchu, śledzenie stanów

protokołowych i reasemblację pa kietów IP Z kolei

protokołowych i reasemblację pa kietów IP Z kolei

analiza korelacji statystycznych pozwala oceniać

analiza korelacji statystycznych pozwala oceniać

zagrego wane zdarzenia pod kątem właściwej

zagrego wane zdarzenia pod kątem właściwej

identyfikacji potencjalnych ataków i

identyfikacji potencjalnych ataków i

uszeregowania ich pod względem ważności,

uszeregowania ich pod względem ważności,

minimalizując przy tym moż liwość fałszywych

minimalizując przy tym moż liwość fałszywych

alarmów.

alarmów.

Reasemblacja ruchu IP

Reasemblacja ruchu IP

•

Rozpoznawanie fragmentowanych

Rozpoznawanie fragmentowanych

pakietów IP i wykonywanie

pakietów IP i wykonywanie

rekonstrukcji od warstwy 3 do 7.

rekonstrukcji od warstwy 3 do 7.

Sensor wykonuje reasembla cję

Sensor wykonuje reasembla cję

spójną ze stosem IP

spójną ze stosem IP

Wykrywanie ataków

Wykrywanie ataków

zanurzonych

zanurzonych

•

Jedną z taktyk używanych przez na pastników

Jedną z taktyk używanych przez na pastników

w celu zmniejszenia prawdopodobieństwa

w celu zmniejszenia prawdopodobieństwa

namierzenia jest ukrycie prawdziwego ataku

namierzenia jest ukrycie prawdziwego ataku

w potoku pakietów, np. typu DoS. Można tym

w potoku pakietów, np. typu DoS. Można tym

łatwo wprowadzić w błąd tradycyjnie

łatwo wprowadzić w błąd tradycyjnie

działające IDS. Ich sensory mogą przepuścić

działające IDS. Ich sensory mogą przepuścić

rozproszone pakiety składające się na realny

rozproszone pakiety składające się na realny

atak. W potoku innych pakietów można ukryć

atak. W potoku innych pakietów można ukryć

pakiety stworzone do ataku.

pakiety stworzone do ataku.

Behawioralny monitoring

Behawioralny monitoring

ruchu

ruchu

•

Metoda licznika statystycznego lub

Metoda licznika statystycznego lub

częstotliwościowego do dokładnego

częstotliwościowego do dokładnego

identyfikowania formy ruchu wskazująca, że

identyfikowania formy ruchu wskazująca, że

jest to DoS lub atak metodą potoku pakietów.

jest to DoS lub atak metodą potoku pakietów.

Metoda uwzględnia mechanizm samo

Metoda uwzględnia mechanizm samo

strojenia do rozpoznawania różnych

strojenia do rozpoznawania różnych

środowisk, a nawet różnych typów organizacji

środowisk, a nawet różnych typów organizacji

wewnętrznej ISP Dopuszczalne formy poszcze

wewnętrznej ISP Dopuszczalne formy poszcze

gólnych typów zdarzeń w jednej lokalizacji

gólnych typów zdarzeń w jednej lokalizacji

mogą być uważane za atak po tokowy w innej.

mogą być uważane za atak po tokowy w innej.

•

Do tradycyjnych systemów Host IDS

Do tradycyjnych systemów Host IDS

doszły produkty typu

doszły produkty typu

File

File

IntegrityAs- sesment

IntegrityAs- sesment

,

,

monitorujące stan plików

monitorujące stan plików

systemowych i aplikacyjnych, a także

systemowych i aplikacyjnych, a także

re jestrów systemowych. Trzecim

re jestrów systemowych. Trzecim

typem są produkty

typem są produkty

Intrusion

Intrusion

Prevention Sys tems

Prevention Sys tems

(IPS).

(IPS).

Ewolucja systemów

Ewolucja systemów

wykrywania włamań

wykrywania włamań

•

Identyfikacja pasywna

Identyfikacja pasywna

wykorzystuje

wykorzystuje

informacje związane z systemami

informacje związane z systemami

funkcjonującymi w hostach będących

funkcjonującymi w hostach będących

celem ataku w sieci. IDS zbiera dane o

celem ataku w sieci. IDS zbiera dane o

systemie operacyjnym, usługach i

systemie operacyjnym, usługach i

niektórych aplikacjach pracujące na

niektórych aplikacjach pracujące na

hoście, a następnie używa tej informacji

hoście, a następnie używa tej informacji

do ograniczania fałszywych rozpoznań.

do ograniczania fałszywych rozpoznań.

•

Identyfikacja pasywna działa na

Identyfikacja pasywna działa na

zasadzie porównywania kluczowych in

zasadzie porównywania kluczowych in

formacji nagłówkowych TCP i IF?

formacji nagłówkowych TCP i IF?

otrzymanych z hosta źródłowego, z bazą

otrzymanych z hosta źródłowego, z bazą

da nych sygnatur specyficznych dla

da nych sygnatur specyficznych dla

danego hosta docelowego. Najbardziej

danego hosta docelowego. Najbardziej

po pularne identyfikatory z nagłówka to:

po pularne identyfikatory z nagłówka to:

rozmiar okna, czas „życia" pakietu, bit

rozmiar okna, czas „życia" pakietu, bit

DF i całkowita długość pakietu:

DF i całkowita długość pakietu:

-

-

Czas „życia" pakietu

Czas „życia" pakietu

jest kolejnym

jest kolejnym

parame trem, który zapewnia użyteczną

parame trem, który zapewnia użyteczną

charakterystykę systemu operacyjnego

charakterystykę systemu operacyjnego

hosta.

hosta.

-

-

Długość całkowita

Długość całkowita

określa długość całego

określa długość całego

pakietu wraz z nagłówkiem IP i zawartością

pakietu wraz z nagłówkiem IP i zawartością

i jest informacją z dużym przybliżeniem

i jest informacją z dużym przybliżeniem

identyfikującą system - niektóre systemy

identyfikującą system - niektóre systemy

operacyjne mogą być rozpoznane na

operacyjne mogą być rozpoznane na

podstawie domyślnej długości pakietów

podstawie domyślnej długości pakietów

SYN i SYNACK.

SYN i SYNACK.

-

-

Rozmiar okna

Rozmiar okna

określa rozmiar bufora

określa rozmiar bufora

pakietów wchodzących. System operacyjny

pakietów wchodzących. System operacyjny

ustawia ten parametr zazwyczaj na począt ku

ustawia ten parametr zazwyczaj na począt ku

sesji TCP Większość systemów operacyjnych

sesji TCP Większość systemów operacyjnych

typu Unix, takich jak

typu Unix, takich jak

Linux

Linux

czy Solaris,

czy Solaris,

utrzymuje stały rozmiar okna na czas trwania

utrzymuje stały rozmiar okna na czas trwania

sesji TCP natomiast system operacyjny

sesji TCP natomiast system operacyjny

Windows zmienia rozmiar okna w czasie

Windows zmienia rozmiar okna w czasie

trwania sesji.

trwania sesji.

Zintegrowana ochrona przed

Zintegrowana ochrona przed

intruzami

intruzami

•

Hakerom nie brakuje pomysłów w wymyślaniu

Hakerom nie brakuje pomysłów w wymyślaniu

coraz bardziej złożonych ata ków, lepiej

coraz bardziej złożonych ata ków, lepiej

przystosowanych do obchodzenia środków

przystosowanych do obchodzenia środków

ochrony obwodowej. Sieciowe IDS okazują się

ochrony obwodowej. Sieciowe IDS okazują się

niewystarczają cym środkiem monitorowania

niewystarczają cym środkiem monitorowania

takich zagrożeń.

takich zagrożeń.

•

Ten typ oprogramowania wykrywania wtargnięć

Ten typ oprogramowania wykrywania wtargnięć

jest instalowany przede - wszystkim na

jest instalowany przede - wszystkim na

serwerach, ale także można go zainstalować na

serwerach, ale także można go zainstalować na

desktopach i lap topach.

desktopach i lap topach.

•

Moduły agentów HIDS powinny być wdrażane na

Moduły agentów HIDS powinny być wdrażane na

krytycznych dla działa nia biznesu serwerach.

krytycznych dla działa nia biznesu serwerach.

Sieciowe IDS jako narzędzia

Sieciowe IDS jako narzędzia

analityczne

analityczne

•

Sieciowe systemy wykrywania włamań IDS (

Sieciowe systemy wykrywania włamań IDS (

Intrusion Detection

Intrusion Detection

Systems)

Systems)

za czynają znajdować nową niszę - narzędzi

za czynają znajdować nową niszę - narzędzi

analitycznych, pozwalających na wgląd do sieci i zrozumienie

analitycznych, pozwalających na wgląd do sieci i zrozumienie

tego, co się w niej dzieje w obszarze bezpie czeństwa.

tego, co się w niej dzieje w obszarze bezpie czeństwa.

•

IDS to pasywne sensory do wykrywania ataków, naruszeń reguł

IDS to pasywne sensory do wykrywania ataków, naruszeń reguł

polityki bezpieczeństwa, złych zachowań i złych ustawień

polityki bezpieczeństwa, złych zachowań i złych ustawień

konfiguracyjnych związa nych z bezpieczeństwem.

konfiguracyjnych związa nych z bezpieczeństwem.

•

Pomyślna implementacja sieciowych IDS zależy od trzech

Pomyślna implementacja sieciowych IDS zależy od trzech

krytycznych czynników:

krytycznych czynników:

•

Świadomej polityki bezpieczeństwa. Sieciowy IDS nie wykryje

Świadomej polityki bezpieczeństwa. Sieciowy IDS nie wykryje

podej rzanych zachowań dopóty, dopóki nie zostanie

podej rzanych zachowań dopóty, dopóki nie zostanie

zdefiniowane co jest, a co nie jest dozwolone w sieci.

zdefiniowane co jest, a co nie jest dozwolone w sieci.

•

« Świadomość powiązania z siecią - produkty IDS nie nadają się

« Świadomość powiązania z siecią - produkty IDS nie nadają się

do auto matycznej klasyfikacji ataków na podstawie systemu,

do auto matycznej klasyfikacji ataków na podstawie systemu,

który został zaatakowany.

który został zaatakowany.

•

Architektura IDS - użyteczność IDS zależy od implementowania

Architektura IDS - użyteczność IDS zależy od implementowania

ich w sposób, który zapewni uzyskiwanie użytecznej informacji.

ich w sposób, który zapewni uzyskiwanie użytecznej informacji.

Kontrola zawartości poczty

Kontrola zawartości poczty

elektronicznej

elektronicznej

•

Poczta elektroniczna to niezwykle istotna aplikacja biznesu,

Poczta elektroniczna to niezwykle istotna aplikacja biznesu,

problemem jest jednak niepożądana zawartość przesyłek

problemem jest jednak niepożądana zawartość przesyłek

pocztowych. Zarządzanie zawar tością poczty elektronicznej

pocztowych. Zarządzanie zawar tością poczty elektronicznej

umożliwia sprawdzanie i kontrolowanie dystry bucji poczty na

umożliwia sprawdzanie i kontrolowanie dystry bucji poczty na

podstawie zawartości przesyłek pocztowych. Są do tego

podstawie zawartości przesyłek pocztowych. Są do tego

przeznaczone specjalne programy.

przeznaczone specjalne programy.

•

Programy te sprawdzają i kontrolują dystrybucję poczty

Programy te sprawdzają i kontrolują dystrybucję poczty

elektronicznej na podstawie treści przesyłek pocztowych. Do

elektronicznej na podstawie treści przesyłek pocztowych. Do

kontrolowania stosuje się słowa kluczowe.

kontrolowania stosuje się słowa kluczowe.

•

Stosowane rozwiązania pozwalają na izolowanie przesyłek naruszają

Stosowane rozwiązania pozwalają na izolowanie przesyłek naruszają

cych standardy, dając zarządcy systemu możliwość określenia, jaka

cych standardy, dając zarządcy systemu możliwość określenia, jaka

ak cja ma być podjęta w odniesieniu do takiej poczty. Poza

ak cja ma być podjęta w odniesieniu do takiej poczty. Poza

przesłaniem - pocztą elektroniczną - powiadomienia do nadawcy i

przesłaniem - pocztą elektroniczną - powiadomienia do nadawcy i

zarządzającego sys temem, generowane są alarmy z dostosowywaną

zarządzającego sys temem, generowane są alarmy z dostosowywaną

treścią, np. „wykryto wirusa", a do dziennika zdarzeń aplikacji

treścią, np. „wykryto wirusa", a do dziennika zdarzeń aplikacji

pocztowej jest przesyłana od powiednia informacja.

pocztowej jest przesyłana od powiednia informacja.

•

Do obsługi spamu wykorzystuje się m.in. Realtime Blackhole List (li

Do obsługi spamu wykorzystuje się m.in. Realtime Blackhole List (li

sta ośrodków dystrybuujących spam), dopuszczając jednocześnie

sta ośrodków dystrybuujących spam), dopuszczając jednocześnie

tworze nie własnych list domen i ośrodków „spamotwórczych".

tworze nie własnych list domen i ośrodków „spamotwórczych".

Spam

Spam

•

Mianem spamu określa się niepożądane przesyłki poczty

Mianem spamu określa się niepożądane przesyłki poczty

elektronicznej, do starczane najczęściej w ramach tzw.

elektronicznej, do starczane najczęściej w ramach tzw.

marketingu bezpośredniego. Pierwszą przesyłkę poczty

marketingu bezpośredniego. Pierwszą przesyłkę poczty

elektronicznej sklasyfikowano jako spam w roku 1994. Do

elektronicznej sklasyfikowano jako spam w roku 1994. Do

tyczył on promocji loterii w Stanach Zjednoczonych. Od

tyczył on promocji loterii w Stanach Zjednoczonych. Od

tamtej pory spam przeszedł znaczną ewolucję. W miarę

tamtej pory spam przeszedł znaczną ewolucję. W miarę

upowszechniania poczty elektronicznej stał się poważnym

upowszechniania poczty elektronicznej stał się poważnym

problemem biznesowym Spam to duże utrapienie zarówno

problemem biznesowym Spam to duże utrapienie zarówno

dla użytkowników indywidualnych, jak i dużych organizacji.

dla użytkowników indywidualnych, jak i dużych organizacji.

W miarę wzrastania liczby spamu, rośnie też czas po

W miarę wzrastania liczby spamu, rośnie też czas po

święcany na przeglądanie poczty i wykreślanie spamu, nie

święcany na przeglądanie poczty i wykreślanie spamu, nie

wspominając już o zajmowaniu pasma w sieci czy pamięci

wspominając już o zajmowaniu pasma w sieci czy pamięci

serwerów pocztowych.

serwerów pocztowych.

Filtrowanie spamu

Filtrowanie spamu

•

Do walki ze spamem w sieciach

Do walki ze spamem w sieciach

przedsiębiorstw stosuje się dedykowane

przedsiębiorstw stosuje się dedykowane

bramy filtrujące, umieszczane zazwyczaj

bramy filtrujące, umieszczane zazwyczaj

pomiędzy zaporą ogniową a ser werem

pomiędzy zaporą ogniową a ser werem

poczty elektronicznej, i usługi filtrowania

poczty elektronicznej, i usługi filtrowania

antyspamowego poza sie cią

antyspamowego poza sie cią

korporacyjną - na bramie internetowej.

korporacyjną - na bramie internetowej.

Brama może mieć formę opro

Brama może mieć formę opro

gramowania lub urządzenia.

gramowania lub urządzenia.

Strojenie efektywności

Strojenie efektywności

filtra

filtra

•

Wysoka czułość filtra w sposób naturalny

Wysoka czułość filtra w sposób naturalny

zwiększa wskaźnik fałszywych roz poznań.

zwiększa wskaźnik fałszywych roz poznań.

Podobnie niski wskaźnik fałszywych rozpoznań

Podobnie niski wskaźnik fałszywych rozpoznań

jest związany zazwy czaj z obniżonym

jest związany zazwy czaj z obniżonym

wskaźnikiem rozpoznań właściwych.

wskaźnikiem rozpoznań właściwych.

•

Większość produktów antyspamowych można

Większość produktów antyspamowych można

dostroić, zwiększając czułość i zmniejszając

dostroić, zwiększając czułość i zmniejszając

liczbę fałszywych rozpoznań. Są dwa

liczbę fałszywych rozpoznań. Są dwa

podstawowe sposoby strojenia filtrów

podstawowe sposoby strojenia filtrów

pocztowych.

pocztowych.

Pozyskiwanie adresów do

Pozyskiwanie adresów do

spamu

spamu

•

Do masowego rozsyłania wiadomości są niezbędne

Do masowego rozsyłania wiadomości są niezbędne

zbiory adresów, pod któ re przesyłki mają być

zbiory adresów, pod któ re przesyłki mają być

dostarczane. Spamerzy mają do dyspozycji wiele na

dostarczane. Spamerzy mają do dyspozycji wiele na

rzędzi umożliwiających zdobycie nowych adresów.

rzędzi umożliwiających zdobycie nowych adresów.

•

W Internecie można znaleźć narzędzia do

W Internecie można znaleźć narzędzia do

automatycznego pobierania adresów poczty

automatycznego pobierania adresów poczty

elektronicznej ze stron webowych, plików

elektronicznej ze stron webowych, plików

tekstowych i in nych źródeł dostępnych online.

tekstowych i in nych źródeł dostępnych online.

Narzędzia te pozwalają na zarządzanie lista mi

Narzędzia te pozwalają na zarządzanie lista mi

zgromadzonych adresów pocztowych, eliminując

zgromadzonych adresów pocztowych, eliminując

duplikaty, personalizu jąc wiadomości i wykonując

duplikaty, personalizu jąc wiadomości i wykonując

inne funkcje.

inne funkcje.

Techniki identyfikacji

Techniki identyfikacji

spamu

spamu

•

Walka ze spamem jest procesem ciągłym. W miarę

Walka ze spamem jest procesem ciągłym. W miarę

pojawiania się no wych technik filtrowania spamerzy starają

pojawiania się no wych technik filtrowania spamerzy starają

się wynaleźć sposoby ich obej ścia. Podstawowe metody

się wynaleźć sposoby ich obej ścia. Podstawowe metody

wykrywania spamu są następujące:

wykrywania spamu są następujące:

•

Domenowe czarne i białe listy nadawców.

Domenowe czarne i białe listy nadawców.

•

Rozproszone czarne listy nadawców.

Rozproszone czarne listy nadawców.

•

Motory heurystyczne.

Motory heurystyczne.

•

Motory klasyfikacji statystycznej.

Motory klasyfikacji statystycznej.

•

Sieci neuronowe.

Sieci neuronowe.

•

Metoda sum kontrolnych.

Metoda sum kontrolnych.

•

Przynęty.

Przynęty.

•

Sieci

Sieci

peer-to-peer.

peer-to-peer.

•

Poczta uwierzytelniana.

Poczta uwierzytelniana.

Domenowe czarne i białe

Domenowe czarne i białe

listy nadawców

listy nadawców

•

To podstawowa forma blo kowania spamu.

To podstawowa forma blo kowania spamu.

Administrator domeny wpisuje na tzw.

Administrator domeny wpisuje na tzw.

czarną listę adre sy wszystkich znanych

czarną listę adre sy wszystkich znanych

nadawców spamu. Przesyłki pocztowe

nadawców spamu. Przesyłki pocztowe

przycho dzące spod adresów znajdujących

przycho dzące spod adresów znajdujących

się na tej liście są uznawane za spam.

się na tej liście są uznawane za spam.

•

Chcąc z kolei zapewnić odbiór poczty od

Chcąc z kolei zapewnić odbiór poczty od

pewnych nadawców, two rzy się tzw. białą

pewnych nadawców, two rzy się tzw. białą

listę zawierającą adresy, spod których

listę zawierającą adresy, spod których

przesyłki będą za wsze przekazywane.

przesyłki będą za wsze przekazywane.

Rozproszone czarne listy

Rozproszone czarne listy

•

to listy aa poziomie Internetu. Stanowią

to listy aa poziomie Internetu. Stanowią

katalog znanych adresów spamerów oraz

katalog znanych adresów spamerów oraz

domen i są publikowane w sieci -

domen i są publikowane w sieci -

bezpłatnie lub w płatnej subskrypcji (np.

bezpłatnie lub w płatnej subskrypcji (np.

Mail Abuse Preven tion System

Mail Abuse Preven tion System

-MAPS).

-MAPS).

•

Wiele organizacji uważa te listy za bardzo

Wiele organizacji uważa te listy za bardzo

użyteczne. Jednak może się zdarzyć, że

użyteczne. Jednak może się zdarzyć, że

przez pomyłkę znajdą się na nich legalni

przez pomyłkę znajdą się na nich legalni

nadawcy poczty.

nadawcy poczty.

Motory heurystyczne

Motory heurystyczne

•

Do niedawna motory heurystyczne były naj

Do niedawna motory heurystyczne były naj

bardziej efektywną metodą identyfikowania

bardziej efektywną metodą identyfikowania

spamu. Posługują się one zbiorem reguł służących

spamu. Posługują się one zbiorem reguł służących

do analizowania wiadomości pocztowych pod

do analizowania wiadomości pocztowych pod

kątem cech charakterystycznych dla spamu (np.

kątem cech charakterystycznych dla spamu (np.

obecność fraz typu „zo stań bogatym" czy

obecność fraz typu „zo stań bogatym" czy

„nadzwyczajna okazja"). Dobry motor

„nadzwyczajna okazja"). Dobry motor

heurystyczny może zawierać setki lub tysiące

heurystyczny może zawierać setki lub tysiące

takich reguł, często powiązanych z od powiednią

takich reguł, często powiązanych z od powiednią

punktacją - powiększaną z każdym wykryciem

punktacją - powiększaną z każdym wykryciem

cechy „spa- mopodobnej".

cechy „spa- mopodobnej".

Motory klasyfikacji

Motory klasyfikacji

statystycznej

statystycznej

•

Najbardziej obiecującą metodą walki ze

Najbardziej obiecującą metodą walki ze

spamem stają się metody statystyczne.

spamem stają się metody statystyczne.

Klasyfikacja statystyczna jest dostępna w

Klasyfikacja statystyczna jest dostępna w

różnych formach. Najbardziej

różnych formach. Najbardziej

rozpowszechnioną dzisiaj metodą są filtry

rozpowszechnioną dzisiaj metodą są filtry

Bayesa. Ten typ filtrów oparto na

Bayesa. Ten typ filtrów oparto na

teoretycznych podsta wach opracowanych

teoretycznych podsta wach opracowanych

przez XVIII-wiecznego matematyka

przez XVIII-wiecznego matematyka

brytyjskiego Thomasa Bayesa.

brytyjskiego Thomasa Bayesa.

Sieci neuronowe

Sieci neuronowe

•

Kreatywna adaptacja metod statystycznych

Kreatywna adaptacja metod statystycznych

elimi nuje konieczność instalowania

elimi nuje konieczność instalowania

oprogramowania po stronie klienckiej.

oprogramowania po stronie klienckiej.

•

Sieci neuronowe oparte na algorytmach

Sieci neuronowe oparte na algorytmach

sztucznej inteligencji są po dobne w

sztucznej inteligencji są po dobne w

działaniu do filtrowania za pomocą metod

działaniu do filtrowania za pomocą metod

statystycznych (Baye sa) - oprogramowanie

statystycznych (Baye sa) - oprogramowanie

uczy się rozpoznawania nowego spamu.

uczy się rozpoznawania nowego spamu.

Jednak oprogramowanie to rezyduje w

Jednak oprogramowanie to rezyduje w

ośrodkach dostawców filtrów, a nie na

ośrodkach dostawców filtrów, a nie na

klientach użytkowników.

klientach użytkowników.

Metoda sum kontrolnych

Metoda sum kontrolnych

•

Polega na używaniu techniki stosowanej

Polega na używaniu techniki stosowanej

także przy wykrywaniu wirusów. Z każdej

także przy wykrywaniu wirusów. Z każdej

wiadomości pocztowej jest two rzona suma

wiadomości pocztowej jest two rzona suma

kontrolna (swoisty „odcisk palca"), którą

kontrolna (swoisty „odcisk palca"), którą

umieszcza się w bazie danych. W przypadku

umieszcza się w bazie danych. W przypadku

tej metody kluczowa jest powtarzalność.

tej metody kluczowa jest powtarzalność.

Jeżeli w bazie danych znajduje się duża liczba

Jeżeli w bazie danych znajduje się duża liczba

takich samych lub podob nych tzw. odcisków

takich samych lub podob nych tzw. odcisków

palca, oznacza to, że reprezentują one spam.

palca, oznacza to, że reprezentują one spam.

Przynęty

Przynęty

•

To metoda klasyfikacji wiadomości przez

To metoda klasyfikacji wiadomości przez

firmę specjalizu jącą się w zwalczaniu spamu.

firmę specjalizu jącą się w zwalczaniu spamu.

Polega na zakładaniu w Internecie atrap

Polega na zakładaniu w Internecie atrap

skrzynek pocztowych (przynęt). Jedynym ich

skrzynek pocztowych (przynęt). Jedynym ich

przeznaczeniem jest przy ciąganie spamu.

przeznaczeniem jest przy ciąganie spamu.

Poczta, która przychodzi pod te adresy, jest

Poczta, która przychodzi pod te adresy, jest

rejestrowa na w bazie danych. Firma

rejestrowa na w bazie danych. Firma

używająca pułapek zapewnia następnie

używająca pułapek zapewnia następnie

swoim klientom usługę, która porównuje całą

swoim klientom usługę, która porównuje całą

pocztę wchodzącą klienta z bazą danych

pocztę wchodzącą klienta z bazą danych

spamu przechwyconego przez pułapki.

spamu przechwyconego przez pułapki.