'

Глава 01 Что такое спам

Понравилась презентация – покажи это...





Слайд 0

Глава 01 Что такое спам


Слайд 1

2 История спама 1978 первая рассылка по e-mail 1994 первая рекламная рассылка в сети Usenet 1996-1998 массовое распространение спама более 50% всей почты - спам 1997 появление средств для борьбы со спамом (DNSBL, SpamAssassin.org) Наши дни спам во всех областях электронных коммуникаций


Слайд 2

3 Что такое спам? Спам - рассылка сообщений по электронной почте Незапрошенная Массовая Анонимная


Слайд 3

4 Что НЕ является спамом? Регулярные подписные рассылки Автоматические ответы серверов Рассылки «вручную» от менеджеров по продажам Просто «нежелательные» сообщения


Слайд 4

5 Цели рассылки спама Реклама Мошенничество фишинг «нигерийские письма» Рассылка вредоносного ПО Черный PR, игра на бирже Политическая агитация


Слайд 5

6 Пример рекламного спама


Слайд 6

7 Пример фишинга


Слайд 7

8 Пример «биржевого» спама


Слайд 8

9 Спам – это выгодно Дешевый контакт с получателем для рекламодателя Доходы от рекламы для спамера Продажа/использование похищенных банковских данных Косвенные доходы от спама при игре на бирже агитации PR и т.д.


Слайд 9

10 Ущерб от спама Потеря времени сотрудников до 2% общего рабочего времени Затраты времени ИТ-персонала до 50% при работе с почтовыми системами Инвестиции в ИТ-инфраструктуру до 90% нагрузки на сервера - спам Увеличение интернет-трафика 70-90% всего почтового трафика - спам Риск вирусных атак и фишинга в спаме


Слайд 10

Глава 02 Технологии рассылки спама


Слайд 11

12 Прямая рассылка Используется небольшими компаниями Не используются специфические технологии отправки и обхода спам-фильтров Используется собственный виртуальный или физический почтовый сервер Легко идентифицируется и блокируется ISP


Слайд 12

13 Рассылка с выделенного сервера Аренда или установка сервера у провайдера Прямая рассылка (с выделенного сервера) Легко идентифицируется ISP… …если ISP хочет это идентифицировать


Слайд 13

14 Рассылка через dial-up провайдеров Дешевый, быстрый, анонимный спам Норма отправка через сервер провайдера Уловка отправка напрямую получателю Способ борьбы Dial-Up Users List (DUL)


Слайд 14

15 Использование открытых релеев (Open Relay) Что такое открытый релей? Бесплатно и анонимно чужой сервер чужой IP Борьба с открытыми релеями, «черные списки»


Слайд 15

16 Использование зомби-сетей Самый распространенный способ рассылки Самый технически сложный способ рассылки Тесная интеграция с вирусным сообществом Принцип работы зомби-сети Заражение ПК Получение команды от Управляющего Центра Рассылка спама незаметно для владельца ПК


Слайд 16

17 Особенности работы зомби-сетей «Быстрая и глупая» сеть рост скоростей рассылки с появлением зомби-сетей «Медленная, но умная» сеть усложнение технологий рассылки Сложности в борьбе с зомби-сетями динамический состав зомби-сетей нельзя заблокировать по IP на 100% устойчивость зомби-сетей нельзя «выключить» как открытый релей или сервер


Слайд 17

18 Длительность рассылки Дни Прямая рассылка Dial-up аккаунты Открытые релеи Часы Собственный сервер на площадке провайдера «Медленные» зомби-сети Менее часа «Быстрые» зомби-сети


Слайд 18

19 Базы адресов для рассылки Программы-роботы поиск адресов на веб-страницах в форумах блогах и т.д. Продажа спамерам баз email-адресов своих клиентов нечистыми на руку компаниями Генерация случайных имен и использование словарей наиболее популярных имен (info@, sales@, john@ и т.д.)


Слайд 19

20 Приемы для обмана спам-фильтров Подмена адреса отправителя Искажения текста: V!A_GrA Мусорный текст – в конце письма, белый на белом и др. Спам в картинках Анимированный спам … множество других способов


Слайд 20

21 Примеры графического спама


Слайд 21

22 Анимированный спам: отдельные кадры


Слайд 22

23 Приемы социальной инженерии Социальная инженерия – методы манипулирования человеком для побуждения его к неким действиям. Применение в спаме Фишинг Нигерийские письма «Биржевой спам»


Слайд 23

Глава 03 Технологии борьбы со спамом


Слайд 24

25 Основные методы борьбы Черные списки IP адресов – DNSBL (RBL) URL в теле письма – URIBL Greylisting «серые» списки IP адресов Авторизация отправителя письма SPF, Sender ID, DomainKeys Лингвистический и эвристический анализ Анализ массовости рассылок в Интернет Самообучаемые фильтры Байес и др.


Слайд 25

26 DNSBL (RBL) RBL (торговая марка) – Real-time Blackhole List DNSBL – DNS Black List Содержит базу данных IP с которых рассылается спам «Срок жизни» IP в базе данных ограничен Виды DNSBL Коммерческие, предоставляемые как сервис Бесплатные, существующие как open source проекты Собственные «черные списки» для собственных нужд Плюсы бесплатность экономия трафика Минусы ложные срабатывания сложность обнаружения ложных срабатываний


Слайд 26

27 URIBL (URL BL) URI = URL = Uniform Resource Locator URIBL – база данных ссылок, рекламируемых в спаме SURBL.org – один из бесплатных сервисов Плюсы точная работа Минусы не дает всеобъемлющей картины


Слайд 27

28 Grey listing Письмо с «нового» адреса не принимается, сервер дает отправителю команду «Повтори попытку позже» Легальный сервер выполнит команду, спамерский – повторит попытку сразу же На основании поведения сервера-отправителя письмо заносится в «черный» или «белый» список


Слайд 28

29 SPF (а также SenderID, DomainKeys…) Подтверждают, что домен сервера-отправителя не подделан Требуют ряда действий от домена-отправителя для того, чтобы проверка могла работать данные технологии поддерживают лишь 1-2% почтовых систем в Интернет Сами по себе не определяют спам, а дают лишь дополнительную информацию для анализа


Слайд 29

30 Лингвистический анализ Ведение базы данных лексикона спама (вендор) Постоянное обновление базы данных (вендор) Автоматический анализ текста сообщения на основании частоты и характера употребления «спамерской» лексики в сообщении (спам-фильтр) Плюсы при грамотной реализации – очень точно определяет спам Минусы требует обновлений и быстрой реакции вендора бессилен против графического спама


Слайд 30

31 Анализ массовых рассылок Определяет спам на основании начала массовой рассылки одинаковых/схожих сообщений самым разным получателям Требует доступа к статистике крупных почтовых систем (например, Commtouch)


Слайд 31

32 Обучающиеся алгоритмы (Байес и др.) Самый большой миф в области антиспама Обучение на «хороших» и «плохих» письмах Плюсы не требует обновлений Минусы несложно обмануть требует активного участия пользователя


Слайд 32

33 Эвристика Принцип, используемый во многих методах эвристический анализ подразумевает начисление некоторых «баллов» письму, и затем – отнесение его к спаму (или нет) на основании суммы баллов Эвристика применяется в... ...лингвистическом анализе (баллы за каждое «подозрительное» слово) ...анализе технических параметров («конверта») письма: заголовков, полей From и To и т.д. ...и самое главное – при комплексном подходе к фильтрации спама


Слайд 33

34 Комплексный подход Один метод не может учесть все аспекты Каждый метод имеет свои преимущества Каждый метод имеет недостатки Все наиболее известные антиспам-продукты используют комплексный подход


Слайд 34

Глава 04 Оценка эффективности антиспам-решений


Слайд 35

36 Detection rate Показатель качества спам-фильтра №1 DR = число детектированных спам-писем / число всех спам-писем в почтовом потоке Пример получено 110 писем, 100 из них спам помечено как спам 90 писем… DR = ? DR невозможно вычислить автоматически


Слайд 36

37 Уровень ложных срабатываний (FPR) Тоже показатель качества спам-фильтра №1 FPR = число «чистых» писем, ошибочно помеченных как спам / число всех «чистых» писем FPR невозможно вычислить автоматически Важность показателя и маркетинговые уловки вендоров


Слайд 37

38 «Быстрая» оценка эффективности решения Берем почтовые ящики куда приходит только спам (не менее 99% от всей приходящей почты) Фильтруем продуктом эти ящики, оцениваем долю почты, помеченной как спам Быстрый подход имеет свои недостатки Не оценивается уровень ложных срабатываний Тестирование менее 2 недель не всегда дает точные результаты Наличие «специфики конкретного почтового ящика»


Слайд 38

39 «Быстрое» сравнение продуктов Берем тот же источник «условного спама» Устанавливаем несколько альтернативных фильтров Подаем на вход каждому идентичный поток почты Сравниваем долю отсева почты для каждого Помним про те же минусы «быстрого» подхода


Слайд 39

40 Полное тестирование Фильтрация режим реального времени Длительность теста не менее 2 недель Адресов для тестирования не менее 20 Аккуратнее с пересылкой в Windows Поставьте все фильтры в равные условия


Слайд 40

41 Типичные ошибки при тестировании «Мне приходит много спама» А сколько не приходит? «Почему фильтр не блокирует 100% спама?» Потому что это невозможно «Мы протестировали на нашей спам-коллекции…» Никаких спам-коллекций!


Слайд 41

42 Типичные ошибки при тестировании «Доля спама всего 50% ..!» Считаем detection rate, не долю «Фильтр установили, пользователям не сказали» Пользователи должны знать как фильтруется их почта! «Фильтр А поймал то, что фильтр Б пропустил!» Фильтры нельзя тестировать последовательно!


Слайд 42

43 Ошибки при использовании Kaspersky Anti-Spam Обновления не работают или настроены реже, чем рекомендовано Отключена технология UDS Отключено использование DNSBL Используется устаревшая версия продукта


Слайд 43

Глава 05 Kaspersky AntiSpam 3.0


Слайд 44

45 45 KAS в линейке продуктов Лаборатории Касперского


Слайд 45

46 46 Схема интеграции KAS


Слайд 46

47 47 Процесс анализа почтовых сообщений


Слайд 47

48 48 Технология Urgent Detection System


Слайд 48

49 49 Поддерживаемые платформы и почтовые системы Red Hat Linux / Fedora Core / Enterprise Advanced Server SuSE Linux Professional / Enterprise Mandrake Linux Debian GNU/Linux Free BSD 4.1 / 5.4 6.x (using compat.x) Почтовые системы (MTA) Sendmail Postfix Exim Qmail Communigate Pro


Слайд 49

50 50 Системные требования Минимальные требования Intel Pentium III 500МГц, 512Мб Рекомендуемая конфигурация Intel Pentium IV 2.4ГГц, 1024Мб


Слайд 50

51 51 Производительность и статистика Производительность более 2,5 млн. сообщений в сутки (сервер P4-2,6 ГГц / 512 Мб) более 70 млн. сообщений в сутки (500 Гб трафика) на Mail.Ru Уровень обнаружения спама до 97% (Checkmark Anti-Spam Premium) Уровень ложных срабатываний менее 1 на 10 000 писем Размер обновлений в 3,5 раза меньше, чем в версии 2.0 около 600 Мб в месяц


Слайд 51

52 52 Основные возможности KAS: функционал Управление настройками фильтрации на основе групповых политик Обработка сообщений на основе присвоенного им статуса Веб-интерфейс Модуль статистики фильтрации


Слайд 52

53 53 Веб-интерфейс


Слайд 53

54 54 Статистика фильтрации


Слайд 54

Спасибо! Вопросы? Ваше мнение.


×

HTML:





Ссылка: