Nieuwe filtermethode tegen spam

26 januari 2010

Een groep informatici van de Universiteit van Californië (San Diego) en het Internationale Computer Science Institute in Berkeley heeft een methode ontwikkeld, die het eenvoudiger maakt om spam te herkennen en te blokkeren. De onderzoekers maken gebruik van een eigenschap van botnet-spam: om spamfilters te omzeilen, brengt de software steeds kleine veranderingen in de verzonden spamberichten aan. Die veranderingen, in bv. onderwerp-regels, zijn vastgelegd in een template waarmee de botnets hun spamberichten genereren. De groep liet botnet-software duizend mailtjes genereren. Deze berichten werden geanalyseerd en zo waren zij in staat de template voor de spam te achterhalen. De reverse-engineered template kon vervolgens gebruikt worden om spamfilters te instrueren de ongewenste berichten, die op basis van de template werden gegenereerd, tegen te houden. Volgens de onderzoekers resulteerde dat in een nauwkeurigheidsgraad van honderd procent: op een monster van een miljoen mailtjes passeerde geen enkel spammailtje het filter, terwijl zich eveneens geen enkele false positive voordeed.


De methode zou gebruikt kunnen worden om spam van botnets te analyseren, de gebruikte template te reverse-engineeren en daarmee spamfilters aan te passen om de mailtjes tegen te houden. Hoewel de methode erg nauwkeurig is, heeft deze ook een duidelijk nadeel: om de template te kunnen construeren, moet de spam gedeeltelijk al verspreid zijn. 'The new system did not produce a single false positive when tested against more than a million genuine messages', zo zegt Andreas Pitsillidis, een van de onderzoekers. 'The biggest advantage is this false positive rate'. 'This is an interesting approach which really differs by using the bots themselves as the oracles for producing the filters', zegt Michael O'Reirdan, voorzitter van de Messaging Anti-Abuse Working Group, een samenwerkingsverband van verschillende technologiebedrijven. Maar hij voegt er wel aan toe: 'botnets have grown so large that even a 1-minute delay in cracking the template would be long enough for a very substantial spam campaign'. De onderzoekers zullen hun bevindingen tijdens het Network and Distributed System Security Symposium in maart presenteren.

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.