Министерство науки и высшего образования Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования «Северо-Восточный федеральный университет имени М.К.Аммосова» Колледж инфраструктурных технологий Кафедра эксплуатации и обслуживания информационных систем Будурусова Марина Александровна СПАМ. МЕТОДЫ БОРЬБЫ СО СПАМОМ Дипломная работа Специальность: 10.05.03. Обеспечение автоматизированных систем информационной Якутск, 2022 безопасности Министерство науки и высшего образования Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования «Северо-Восточный федеральный университет имени М.К.Аммосова» Колледж инфраструктурных технологий Кафедра эксплуатации и обслуживания информационных систем УДК 003.26 ББК 16.84 Будурусова Марина Александровна АНАЛИЗ И РАЗРАБОТКА ВЕРОЯТНОСТНЫХ МОДЕЛЕЙ В УСЛОВИЯХ МАССОВЫХ РАССЫЛОК ЭЛЕКТРОННЫХ СООБЩЕНИЙ Дипломная работа Специальность: 10.05.03. Обеспечение автоматизированных систем информационной безопасности Научный руководитель: Марков К.И. преподаватель кафедры ЭОИС КИТ ФГАОУ ВО «СВФУ им. М. К. Аммосова» _________________________________ Рецензент: _________________________________ Зав. кафедрой ЭОИС КИТ ФГАОУ ВО «СВФУ им. М. К. Аммосова»: Протодьяконова Г. Ю., к. п. н. _________________________________ Дата допуска к защите: ____________ Якутск, 2022 3 СОДЕРЖАНИЕ Оглавление СОДЕРЖАНИЕ ............................................................................................................................ 4 ВВЕДЕНИЕ .................................................................................................................................. 5 I. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ СПАМ-АКТИВНОСТИ ......................................................... 7 1.1. Подробный анализ и изучение нежелательной массовой рассылки – спама ............. Error! Bookmark not defined. 1.2. Методы борьбы со спамом .................................................... Error! Bookmark not defined. 1.2.1. Юридические методы ......................................................... Error! Bookmark not defined. 1.2.2. Организационные методы .................................................. Error! Bookmark not defined. 1.2.3. Программно-технические методы ..................................... Error! Bookmark not defined. 1.3. Рынок услуг по уничтожению спама .................................... Error! Bookmark not defined. 1.4. Борьба со спамом сегодня. .................................................... Error! Bookmark not defined. Выводы к главе I........................................................................... Error! Bookmark not defined. II. АНАЛИЗ И РАЗРАБОТКА МЕТОДИЧЕСКИХ РЕКОМЕНДАЦИЙ ДЛЯ БОРЬБЫ СО СПАМОМ ..................................................................................... Error! Bookmark not defined. 2.1. Анализ общественной опасности спама и способы борьбы Error! Bookmark not defined. 2.2.Анализ спама как незаконного вида рекламы. ...................... Error! Bookmark not defined. 2.3. Анализ способа борьбы со спамом ....................................... Error! Bookmark not defined. 2.4. Разработка методических рекомендаций для защиты от спам-атакError! Bookmark not defined. 2.5. Апробация методических рекомендаций. ............................ Error! Bookmark not defined. Выводы к главе II ......................................................................... Error! Bookmark not defined. Заключение ................................................................................... Error! Bookmark not defined. СПИСОК ЛИТЕРАТУРЫ .......................................................................................................... 29 4 ВВЕДЕНИЕ Актуальность проблемы данной работы состоит Бурное развитие информационных и коммуникационных технологий принесло не только хорошие результаты, но и плохие, одним из которых стал спам. В 2019 году компания Kaspersky произвела исследования на спам активность. В ходе исследования выяснилось количество спам активности остается таким же неутешительным и высоким, а также она затрагивает жизненно важные для человека отрасли сфер. Объектом исследования: процесс анализа и управления рисками системы в процессе постоянной массовой рассылки нежелательных сообщений. Предмет исследования: система массовых рассылок (спам – нежелательные письма, приходящие на электронную почту). Цель дипломной работы: разработка рекомендаций, анализ и нахождение решений для защиты в условиях массовых рассылок электронных сообщений, сопровождающихся информационными рисками. Гипотезой является предположение о том, что для эффективной защиты от спаматак необходимо разработать методические рекомендации для борьбы. Чтобы достичь эти цели, работа должна соответствовать следующим требованиям: 1. Комплексная защита: фильтрация содержимого, проверка по черным и серым спискам, эвристический и сигнатурный анализ; 2. Возможность дополнительной адаптации системы; 3. Постоянная поддержка решения и автоматическое обновление фильтров и сигнатур. Выделим следующие задачи: 1. Проанализировать теоретическую часть: учебно-методическую, научно- популярную, справочно-литературную по теме исследования. 2. Классифицировать и описать методы борьбы. 3. Оценить эффективность борьбы со спамом. 4. Провести поиск решений для борьбы со спам-активностью. 5. Разработать методические рекомендации для устранения спам-активности. 5 Методы исследования: анализ, сравнение, синтез. Новизна исследования определяется в том, что спам является проблемой для каждого пользователя сети интернет и в современном мире необходимо обеспечить надежную защиту и свести к минимуму возможный вред приносимый спамом. Методологическую основу исследования составили работы Бекетова Хасана, Давыдовского Ярослава, Золотова Евгения, Иванова Андрея, Наумова Виктора, Шерман Александра. Теоретическая значимость данного исследования заключается в исследовании проблемы спам-активности и методов борьбы со спамом. Практическая значимость заключается в разработке методических рекомендаций для эффективной защиты от спама. Этапы исследования: 1. Анализ теоретической части: учебно-методической, научно-популярной, справочно-литературной по теме исследования. 2. Классификация и описание методы борьбы. 3. Оценка эффективности борьбы со спамом. 4. Поиск решений для борьбы со спам-активностью. 5. Разработка методических рекомендаций для устранения спам-активности. Структура дипломной работы. Дипломная работа состоит из введения, двух глав, заключения и списка литературы. В первой главе проанализированы: подробный анализ и изучение нежелательной массовой рассылки – спама, методы борьбы со спамом, юридические методы, организационные методы, программно-технические методы, рынок услуг по уничтожению спама, борьба со спамом сегодня. Во второй главе проанализированы: общественная опасность спама и способы борьбы, спам как незаконный вид рекламы, способ борьбы со спамом и разработаны методические рекомендации для защиты от спам-атак. Проведена апробация методических рекомендаций для защиты от сап-атак. 6 I. ИССЛЕДОВАНИЕ РАЗЛИЧНЫХ ВИДОВ СПАМ – СООБЩЕНИЙ И ВОЗМОЖНЫХ ПОСЛЕДСТВИЙ 1.1. Основные понятия и виды спам-сообщений В данном пункте исследованы основные теоретические сведения и понятия, связанные со спам-сообщениями, а также виды систем нежелательной массовой рассылки писем. Под спамом следует понимать телематическое электронное сообщение, предназначенное неопределенному кругу лиц, доставленное абоненту или пользователю без их предварительного согласия и не позволяющее определить отправителя этого сообщения, в том числе ввиду указания в нем несуществующего или фальсифицированного адреса отправителя. Основным каналом распространения спама является электронная почта, это обусловлено простотой сбора e-mail адресов пользователей или их генерацией случайным образом при помощи специального программного обеспечения (ПО). Принцип работы спам-сообщений Технологические цепочки Сложились вполне устойчивые технологические цепочки действий спамеров: Cбор и верификация email-адресов получателей. Классификация адресов по типам. Подготовка «точек рассылки» — компьютеров, через которые будет рассылаться спам. Создание программного обеспечения для рассылки. Поиск клиентов. Создание рекламных объявлений для конкретной рассылки. Произведение рассылки. Каждый отдельный шаг в этой цепочке может выполняться независимо от другого. Сбор и верификация списков адресов 7 Для рассылки спама необходимо иметь список адресов электронной почты потенциальных получателей («спам-базу», email database). Адреса в таких списках могут иметь дополнительную информацию: регион; вид деятельности компании (или интересы пользователей); список адресов пользователей конкретной почтовой службы (Yandex, AOL, Hotmail и т. п.) или конкретного сервиса (eBay, Paypal). Сбор адресов осуществляется следующими методами: подбор по словарям имен собственных, «красивых слов», частых сочетаний «слово-цифра» (например, «jonh@», «destroyer@», «alex-2@»); метод аналогий — если существует адрес Joe.User@hotmail.com, то вполне резонно поискать Joe.User в доменах yahoo.com, aol.com, Paypal; сканирование всех доступных источников информации — веб-сайтов, форумов, чатов, досок объявлений, Usenet, баз данных Whois на сочетание «слово1@слово2.слово3» (при этом на конце такого сочетания должен быть домен верхнего уровня — com, ru, info и т. д.); воровство баз данных сервисов, провайдеров и т. п; воровство персональных данных пользователей при помощи компьютерных вирусов и прочих вредоносных программ. Сканирование При сканировании доступных источников информации (способ 3) можно пытаться определить «круг интересов» пользователей данного источника, что дает возможность получить тематические базы данных. В случае воровства данных у провайдеров достаточно часто имеется дополнительная информация о пользователе, что тоже позволяет провести персонализацию. Полученные адреса нужно верифицировать, что осуществляется следующими способами: Пробная посылка сообщения. Как правило, это сообщения со случайным текстом, которые проходят через спам-фильтры. Анализируя ответ 8 почтового сервера (почта принята или не принята), можно выяснить, действует ли каждый конкретный адрес из списка. Помещение в текст спам-сообщения уникальной ссылки на картинку, расположенную на WWW-сервере. При прочтении письма картинка будет загружена (во многих современных почтовых программах эта функция блокирована), а владелец сайта узнает о доступности адреса. Метод верифицирует не валидность адреса, а факт прочтения письма. Ссылка «отписаться» в спам-сообщении. Если получатель нажимает на эту гиперссылку, то никакой отписки не происходит, а его адрес помечается как валидный. Метод верифицирует активность получателя. Все три способа верификации не слишком хороши, соответственно, в базах данных адресов электронной почты будет достаточно много «мертвых» адресов. Подготовка «точек рассылки» На сегодняшний день профессиональная рассылка спама осуществляется тремя основными способами: прямая рассылка с арендованных серверов; использование «открытых релеев» и «открытых прокси» — сервисов, ошибочно сконфигурированных их владельцами таким образом, что через них можно рассылать спам; скрытая установка на пользовательских компьютерах программного обеспечения, позволяющего несанкционированный доступ к ресурсам данного компьютера (бэкдоров). Для рассылки спама с арендованных серверов необходимо иметь постоянно пополняемый набор этих серверов. Они достаточно быстро попадают в черные списки IP-адресов, следовательно, рассылать спам таким образом можно только на тех получателей, почтовые сервисы которых не используют черные списки. Для использования открытых сервисов необходимо постоянно вести поиск таких сервисов — для этого пишутся и используются специальные программы, которые быстро сканируют большие участки адресного пространства интернета. 9 Наибольшую популярность на сегодняшний день имеет установка бэкдоров на компьютерах обычных пользователей. Это осуществляется одним из следующих способов: Включение троянских программ в пиратское программное обеспечение:модификация распространяемых программ, включение троянской программы в «генераторы ключей», «программы для обмана провайдеров» и т. п. Достаточно часто такие программы распространяются через файлообменные сети (eDonkey, Kazaa) либо через сайты с «варезом» (warez, пиратские копии программ). Использование уязвимостей в интернет-браузерах (в первую очередь, Microsoft Internet Explorer) — ряд версий таких программ содержит ошибки в проверке прав доступа, что позволяет разместить на веб-сайте компоненты, которые будут незаметно для пользователя скачаны и выполнены на его компьютере, после чего на компьютер пользователя будет открыт удаленный доступ для злоумышленников. Такие программы распространяются в основном через часто посещаемые сайты (прежде всего порнографического содержания). Однако летом 2004 года была замечена двухступенчатая схема — массовый взлом сайтов, работающих под управлением MS IIS и модификация страниц на этих сайтах с включением в них вредоносного кода, что привело к заражению компьютеров пользователей, посещавших эти сайты (обычного содержания). В ноябре 2006 года аналогичной атаке подверглись сервера, пользовавшиеся услугами хостинг-провайдера Valuehost. Использование компьютерных вирусов, распространяемых по каналам электронной почты и использующих уязвимости в сетевых сервисах Microsoft Windows: интенсивность попыток использования уязвимостей Windows на сегодняшний день просто чудовищна — подключенная к Интернету машина под управлением стандартной Windows XP без включенного межсетевого экрана и установленных сервисных паков оказывается зараженной в течение нескольких десятков минут. Программное обеспечение для рассылки спама 10 Средняя спам-рассылка имеет на сегодняшний день объем не менее нескольких десятков миллионов сообщений. Эти сообщения требуется разослать за небольшое время, чтобы успеть произвести рассылку до перенастройки (или обновления базы данных) антиспам-фильтров. Быстрая рассылка большого количества email-сообщений является технологической проблемой, решение которой требует достаточно больших ресурсов. Как следствие, на рынке имеется относительно небольшое количество программ, удовлетворяющих требованиям спамеров-профессионалов. Эти программы на сегодняшний день: умеют рассылать как через «открытые сервисы» (почтовые релеи, proxy), так и через зараженные пользовательские машины; могут формировать динамический текст письма (см. ниже раздел о формировании текстов); достаточно точно подделывают заголовки сообщений — распознавание спама по заголовкам становится нетривиальной задачей; могут отслеживать валидность баз данных email-адресов; могут отслеживать статус сообщения на каждый отдельный адрес — и перепосылать его через другую «точку рассылки» в случае использования на приемной стороне черных списков. Такие программы оформлены либо в виде сервиса, доступного по подписке, либо как отчуждаемая (покупаемая) программа. Поиск клиентов Судя по всему, основной способ поиска клиентов — это собственно рекламные рассылки (спам). Такие рекламные объявления составляют существенную долю всего спама. Таким же образом рекламируются и другие относительно легальные сервисы, например, программы для рассылки и базы данных email-адресов. Формирование текста писем На сегодняшний день простая рассылка одинаковых (или почти одинаковых) спам-сообщений не является эффективной. Такие письма будут обнаружены 11 многочисленными фильтрами по частотности (повторяемости одинаковых сообщений) — настройка фильтров по содержанию письма тоже является тривиальной. Поэтому спам-сообщения сейчас — индивидуальны, каждое следующее отличается от предыдущих. Основные технологии «индивидуализации» сообщений таковы: Внесение случайных текстов, «шума», невидимых текстов. В начало или конец письма спамер может поместить отрывок из классического текста или просто случайный набор слов. В HTML-сообщение можно внести «невидимый» текст (очень мелким шрифтом или цветом, совпадающим с цветом фона). Эти добавления затрудняют работу нечетких сигнатур и статистических методов. В качестве ответной меры появился поиск цитат, устойчивый к дополнениям текстов, детальный разбор HTML и другие методы углубленного анализа содержания письма. Во многих случаях можно определить сам факт использования «спамерского трюка» и отклассифицировать сообщение как спам, не анализируя его текст в деталях. Графические письма. Рекламное сообщение можно прислать пользователю в виде графического файла — что крайне затруднит автоматический анализ. В качестве ответной меры появляются способы анализа изображений, выделяющие из них текст. Изменяющиеся графические письма. В графическое сообщение можно внести «шум», что затруднит его анализ фильтром. Фрагментирование изображения. Изображение с текстом, которое пользователи видят на экране, может состоять из нескольких фрагментов, хотя рядовой пользователь этого не замечает и на экране видит целостное изображение. Разновидностью является использование анимации, когда изображение содержит несколько кадров, которые накладываются друг на друга и в итоге пользователь видит полный текст спамерского предложения. Перефразировка текстов. Одно и то же рекламное сообщение составляется во множестве вариантов одного и того же текста. Каждое отдельное письмо выглядит как обычный связный текст, и только имея много копий 12 сообщения, можно установить факт перефразировки. Таким образом, эффективно настроить фильтры можно только после получения существенной части рассылки. Виды спам сообщений Звуковые(аудио) наркотики Звуковые наркотики (бинауральные стереоволны) — звук в цифровом формате, который представляет собой пульсирующие звуки, состоящие из определённого набора частот. Утверждается, что прослушивание этих звуковых файлов оказывает на мозг воздействие за счёт так называемых бинауральных ритмов, соответствующих частотам «мозговых волн», которые образуются при прослушивании с помощью стереонаушников специально подобранных разных звуковых сигналов для левого и правого уха слушателя. Предположительно цифровые наркотики синхронизируют волны мозга со звуком. Вследствие этого они оказывают влияние на психическое состояние. Аудионаркотики (или "цифровые наркотики") появились в Интернете в виде звуковых файлов самых распространённых форматов — как правило, mp3, wav или flv. Распространение "аудионаркотиков" стало возможно благодаря SMSбиллингу — системе, позволяющей получать деньги за свои услуги с помощью SMS-сообщений, как правило, на короткие номера. Фишинг Фишинг - одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее. Она достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими 13 приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам. Поисковый спам Поисковый спам – попытки обмана поисковой системы с целью изменения позиции сайта в выдаче. Он используется для того чтобы искусственно увеличить релевантность, важность некоторых страниц, повысить позиции сайта в выдаче поисковой системы. Примеры поискового спама: Включение в мета-теги «description» и «keywords» большого количества ключевых слов, не относящихся к содержанию страницы, но являющихся лидерами по поисковым запросам. Перенасыщение текстов статей КС (ключевыми словами). Заключение ключевых слов в теги «жирный» и «курсив». Ссылочный спам. Он сводится к получению неестественных ссылок на ресурс. Воздействие на поведенческие факторы. Для этого используются программы, эмулирующие поведение пользователей. Также для воздействия на поведенческие факторы привлекается аудитория за вознаграждение. Такие пользователи изображают заинтересованность в сайте. 1.2 Исследование и анализ возможных угроз нежелательной массовой рассылки писем В данном пункте исследованы различные виды угроз и их последствия, исходящих из-за спам-сообщений. Спам несет следующие угрозы: утечка персональных данных; потеря денег компаниями и их клиентами; 14 Падение курса акций компаний(так, в декабре 2008 г. спам-рассылка привела к падению курса акций израильской компании "Осем" на 6%); потеря деловой репутации. Конечно, за короткий промежуток времени репутацию компании разрушить очень сложно. Но если не реагировать на спам-рекламу, рассылаемую недобросовестными партнерами или сотрудниками, и на спамрассылки, направленные против компании или ее клиентов, в долгосрочной перспективе репутация может серьезно пострадать. По типу формирования списка (листа) рассылки: Список рассылки (англ. mailing list). Штатная возможность многих серверов электронной почты, а также функция специализированных программ для рассылки. Сервер принимает сообщение от любого подписчика на специализированный адрес, после чего перенаправляет это сообщение всем подписчикам списка рассылки. Эта технология позволяет организовать общение между собой группы людей (аналог телеконференции). Обычно такое ПО позволяет подписчикам управлять своими настройками (подписка, отписка, изменение формата, изменение адреса, запрос пропущенных сообщений и т. п.) через отправку сообщений электронной почты. Групповой адрес. Также является штатной возможностью почти всех серверов электронной почты. Позволяет нескольким людям читать почту, поступающую на один адрес, от кого бы она ни пришла. Например, удобно сделать таким групповым адресом ролевой адрес компании info@company.ltd. Поступающую почту будут получать несколько сотрудников одновременно, каждый — в свой собственный почтовый ящик. Информационная и/или рекламная рассылка. Подготовленное одним оператором сообщение автоматически рассылается по списку — одновременно всем подписчикам данной рассылки, но без возможности отвечать на него. В случае, когда не предусмотрена предварительная подписка, такая рассылка называется спамом. 15 По содержанию Информационные. Транзакционные. Коммерческие. Триггерные (событийные). По направлению Тематическая (целевая аудитория). Региональная. Массовая (спам). 1.3. Способы и меры противодействия системам нежелательной массовой рассылки писем. В данном пункте исследованы различные способы и меры противодействия против нежелательных массовых рассылок. В настоящее время методы борьбы со спамом можно разделить по способу их организации на две категории: распределённые и локальные. В отдельную категорию можно выделить закрытые методы, в том числе коммерческие. Локальные методы Локальные методы можно разделить по принципу, лежащему в основе их работы, на несколько семейств: - байесовская фильтрация; - методы на основе формальных протокольных правил; - процедурные методы; 16 - проверка подлинности отправителя. Байесовская фильтрация Метод Байесовской фильтрации и позволяет классифицировать письма путём нахождения в теле письма признаков спама - заранее определённых строк и/или их комбинаций. В основе метода лежит использование наивного байесовского классификатора - классификатора, использующего теорему Байеса для определения принадлежности рассматриваемого элемента (в данном случае сообщения электронной почты) к одному из классов. Этот метод обладает рядом преимуществ, которые делают системы, построенные на его основе, самыми популярными на сегодняшний день решениями для защиты от спама. Они просты во внедрении и удобны в использовании, при качественном обучении отсекают до 98% спама [1] и дают возможность дополнительно обучить фильтр в случае ложных срабатываний. На базе этого метода реализованы системы SpamAssassin и DSPAM. Методы на основе формальных правил Для передачи электронной почты в сети Интернет используется так называемый «простой протокол передачи почты» (Simple Mail Transfer Protocol SMTP), который описан в документе RFC 5321. Этот протокол описывает процедуру передачи почтовых сообщений от клиента к серверу, формат почтовых сообщений, описывает команды, которыми могут обмениваться клиент и сервер, и определяет синтаксис этих команд. Также в протоколе SMTP определены коды ответов на команды и действий, которые должны быть предприняты при получении этих кодов. Основными командами протокола SMTP являются: - HELO - служит для инициализации диалога между клиентом и сервером; - MAIL - указывает адрес отправителя; - RCPT - указывает адреса получателей; - DATA - указывает на начало передачи данных (тела письма). Существует большое количество формальных правил, которые должны быть соблюдены при отправке электронной почты. При использовании метода фильтрации спама по формальным правилам конкретный набор используемых правил определяется администратором почтовой системы. 17 Одним из самых распространённых методов проверки по формальным правилам является метод серых списков). Суть метода состоит в том, что по требованию протокола SMTP, сервер-отправитель почтового сообщения должен в случае возникновения у сервера-получателя временной ошибки повторить попытку пересылки сообщения спустя некоторое время. Процедурные методы Эти методы направлены на повышение издержек при рассылке спама, чтобы сделать спам-рассылку невыгодной. Их суть заключается в том, чтобы перед приёмом письма от неизвестного ранее отправителя автоматически отправить ему ответ, в котором потребовать выполнить какое-то действие. Это действие выбирается таким образом, что для его выполнения однократно требуется приложить минимум усилий, тогда как при массовой рассылке, и, соответственно, многократном его выполнении усилий требуется очень много. Примерами таких действий могут служить: - отправить в ответ на запрос пустое письмо; - открыть в браузере ссылку, находящуюся в письме; - прочитать приложенную в письме инструкцию, выполнить её и отправить в ответ результат выполнения; - пройти полностью автоматизированный публичный тест Тьюринга для различия компьютеров и людей. Проверка подлинности отправителя В соответствии с протоколом SMTP, для того, чтобы почтовый сервер мог отправлять и принимать почту, он должен быть зарегистрирован в Системе доменных имён (Domain Name System - DNS). Система доменных имён представляет собой распределённую иерархическую базу данных, используемую для определения соответствия доменного имени узла сети и его IP-адреса, указания почтовых маршрутов и размещения служебной информации о доменах (записей типа SRV и TXT). Для указания сервера, который обслуживает данный почтовый домен, используется специальная запись типа MX (Mail eXchange). В ней хранится адрес сервера, отвечающего за доставку почты для этого домена. Для того чтобы выполнить доставку писем для адресата в определённом домене, отправитель 18 запрашивает из DNS запись MX для этого домена, соединяется с полученным IPадресом и производит отправку сообщения используя команды протокола SMTP. Распределённые методы Разработанные на данный момент распределённые методы борьбы со спамом можно разделить на две категории: - контрольные суммы - сигнатуры (в данном случае выполняют идентифицирующую функцию); - списки блокировки. Методы на основе сигнатур Данные методы основаны на том факте, что любая спам-рассылка является массовой и число адресатов очень велико, иначе она будет экономически неэффективной и нецелесообразной. Рассылка спама на миллионы адресов может занимать довольно длительное время, вплоть до нескольких суток. Следовательно, если идентифицировать на начальном этапе рассылки тот факт, что отдельно взятое сообщение является массовым, то можно заблокировать рассылку, и это сообщение получит только небольшой процент пользователей, адреса которых оказались в начале списка получателей. Прочие методы Существует также ряд закрытых коммерческих методов для защиты почтовых систем от нежелательных рассылок. Одни реализованы в виде программно-аппаратных комплексов, например, Barracuda Spam & Virus Firewall, другие в виде онлайн-сервисов, например, SpamExperts. Принцип функционирования этих решений не разглашается и является коммерческой тайной их владельцев. Все существующие на данный момент методы защиты от спама отстают от методов рассылки спама и развиваются «вслед» за ними. Сначала появляется новый вид или механизм рассылок, затем против него создаётся защита. Но как только эта защита внедряется повсеместно, появляются новые виды рассылок, которые с большой долей успеха обходят существующие фильтры. Достигнуть паритета в этой «гонке вооружений» возможно только разработав метод, который позволит отслеживать и анализировать динамику поведения спамеров, прогнозировать их 19 дальнейшие действия и по результатам этого прогноза максимально быстро принимать ответные меры. Такой подход значительно повысит издержки отправителей спама на обход фильтров, и, следовательно, на услуги по рассылке спама, что сделает их неактуальными и сократит их популярность Выводы к главе I В теоретической части дипломной работы исследованы основные понятия и виды спам-сообщений, возможные угрозы от нежелательной массовой рассылки, а также способы и меры противодействия спам-сообщениям. Исходя из выше сказанного, можно сделать вывод: 20 II. Составление модели для распознавания спам-сообщений 2.1. Исследование основ математического моделирования В этом пункте моделирования. проведено исследование основ математического Моделирование – это процесс и результат создания модели. Метод моделирования в современных условиях приобретает новые черты, значительно видоизменяясь и обобщаясь. В силу этого важным является формулирование его обобщенной характеристики. Моделирование – это метод опосредованного практического или теоретического оперирования объектом, при котором исследуется непосредственно не сам интересующий нас объект, а специально созданная вспомогательная искусственная или естественная система. Абстрактное моделирование связано с построением абстрактной модели. Такая модель представляет собой математические соотношения, графы, схемы, диаграммы и т. п. Наиболее мощным и универсальным методом абстрактного моделирования является математическое моделирование. Оно широко используется как в научных исследованиях, так и при проектировании. Математическое моделирование позволяет посредством математических символов и зависимостей составить описание функционирования технического объекта в окружающей внешней среде, определить выходные параметры и характеристики, получить оценку показателей эффективности и качества, осуществить поиск оптимальной структуры и параметров объекта. В основу классификации моделей положена степень абстрагирования модели от оригинала. Все модели можно подразделить на две группы: материальные (физические); абстрактные (математические). Физической моделью обычно называют систему, которая эквивалентна или подобна оригиналу либо у которой процесс функционирования такой же, как у оригинала, и имеет ту же или другую физическую природу. Математическая модель представляет собой формализованное описание системы с помощью абстрактного языка, в частности с помощью математических соотношений, отражающих процесс функционирования системы. Аналитической моделью называется такое формализованное описание системы, которое позволяет получить решение уравнения y = f(h, x, v, t) в явном виде, используя известный математический аппарат. Численная модель характеризуется зависимостью, которая допускает только частные численные решения для конкретных начальных условий и количественных параметров модели. Имитационная модель – это совокупность описания системы и внешних воздействий, алгоритмов функционирования системы или правил изменения состояния системы под влиянием внешних и внутренних возмущений. Эти 21 алгоритмы и правила не дают возможности использования имеющихся математических методов аналитического и численного решения, но позволяют имитировать процесс функционирования системы и производить измерения интересующих характеристик. Классификация вероятностных моделей. Вероятностные (стохастические) модели описывают ситуации, в которых похожие причины приводят к различным следствиям, т. е. имеет место элемент случайности. Для построения вероятностной модели необходимо знать, какие величины можно считать случайными, а какие – неслучайными; какой характер имеют законы распределения случайных величин и т. д. Вероятностные модели можно разделить на две большие группы: математическая модель, в которой можно точно указать законы распределения случайных величин, является теоретико-вероятностной; математическая модель, в которой заранее нельзя указать законы распределения случайных величин, является статистической. По степени сложности вероятностные модели делятся на три уровня. Простейшие теоретико-вероятностные модели первого уровня – случайное событие (СС) и случайная величина (СВ), являющиеся соответственно качественной и количественной характеристиками проведенного испытания. СС может быть простейшим (элементарным) или сложным (выраженным через элементарные). Целенаправленность модели. В модели должны фигурировать параметры, описывающие цель объекта, а также параметры, с помощью управления которыми можно добиться достижения цели. Точность модели определяется величинами погрешности, с которыми рассчитываются выходные параметры. Погрешности подразделяются на систематические и случайные. Систематическая погрешность характеризует среднее отклонение между вычисленными и экспериментальными значениями выходного параметра, а случайная (среднеквадратичная) погрешность σ – среднеквадратичное отклонение экспериментальных значений от вычисленных. Непротиворечивость модели характеризует отсутствие абсурдных ответов и выводов при использовании модели. Модель проверяется также на противоречия между выводами, которые можно сделать из модели и из экспериментальных данных. Реалистичность модели оценивается путем также расчета типовых примеров, для которых заранее известен результат (точный или ориентировочный). Устойчивостью модели называется слабая чувствительность к погрешностям ее параметров. Неустойчивость модели является ее свойством и не всегда свидетельствует о неустойчивости описываемых ею объектов. Удобство использования является одним из основных свойств математических моделей, что обусловлено самим методом моделирования. Это требование, в частности, должно предусматривать удобство реализации в виде компьютерных программ. Универсальность модели обеспечивает описание с помощью нее как можно более широкий класс объектов. 22 Адаптивность и возможность изменения. Модели, обладающие этими свойствами можно корректировать при изменении окружающих условий и совершенствовать для улучшения ее свойств. Экономичность, простота, физический смысл. Требование экономичности модели подразумевает минимизацию затрат на ее разработку и реализацию (в частности, время, необходимое для компьютерных расчетов). Наличие физического смысла полезно для изучения модели с целью избегания возможных ошибок. Принцип простоты заключается в том, что из нескольких моделей с одинаковыми другими свойствами нужно выбрать наиболее простую. Адекватность математической модели является ее интегральным свойствам, объединяющим другие наиболее важные свойства. Если свойства модели удовлетворяют требованиям, говорят, что она адекватна (оригиналу), в противном случае – не адекватна. Процесс моделирования состоит из следующих этапов: 1) изучение оригинала: выявление основных факторов, особенностей, диапазонов исследуемых параметров, условий и задач исследования, постановка (формулировка) задачи исследования, оценка требуемой точности (содержательная постановка); 2) феноменологическое описание оригинала («физическое» описание): поиск аналогий и функциональных зависимостей на основе предыдущего этапа и достижений в различных областях науки (концептуальная постановка); 3) математическое описание оригинала (математическая постановка); 4) разработка алгоритмического и программного обеспечения для реализации математического описания с помощью ЭВМ; 5) проведение контрольного вычислительного эксперимента (воспроизводящего реальный известный случай поведения оригинала в конкретных условиях); 6) оценка адекватности результатов контрольного вычислительного эксперимента реальному случаю; при необходимости – повторение алгоритма с пункта 3, 2 или 1; 7) планирование вычислительного эксперимента в целях исследования; 8) проведение вычислительного эксперимента в целях исследования, обработка его результатов; 9) анализ результатов вычислительного эксперимента, сравнение с результатами изучения оригинала (при необходимости – повторение алгоритма с пункта 7 или 1); 10) формулировка выводов исследования. Среди форм представления моделей можно выделить следующие: инвариантная — запись соотношений модели с помощью традиционного математического языка безотносительно к методу решения уравнений модели; аналитическая — запись модели в виде результата аналитического решения исходных уравнений модели; алгоритмическая— запись соотношений модели и выбранного численного метода решения в форме алгоритма; 23 схемная (графическая) — представление модели на некотором графическом языке (например, язык графов, эквивалентные схемы, диаграммы и т.п.); физическая — представление моделей как уменьшенных копий реальных аппаратов и технологических процессов; аналоговая — модели, основанные на подобии явлений, имеющих различную физическую природу, но описываемых одинаковыми математическими уравнениями. При моделировании используются модели трех типов: описывающие поведение объектов или результаты наблюдений за явлениями; объясняющие причину такого поведения и получение таких результатов; позволяющие предсказать поведение и результаты в будущем. Существуют следующие виды классификаций математических моделей в зависимости от: сложности объекта моделирования; оператора модели; входных и выходных параметров; цели моделирования; способа исследования модели; объектов исследования; принадлежности модели к иерархическому уровню описания объекта; характера отображаемых свойств; порядка расчета; использования управления процессом. 2.2. Математическая модель и системы массового обслуживания Модели массового обслуживания эффективно используют для обоснования рекомендаций по рациональной организации работы систем массового обслуживания (СМО). Элементами СМО являются входящий поток заявок, очередь, поток необслуженных заявок, каналы обслуживания, выходящий поток обслуженных заявок. Для исследования процессов СМО используется два метода: Аналитический; Метод статистического моделирования (метод Монте-Карло). На практике СМО далеки от упрощенных систем. Например, поток событий часто может оказаться не простейшим, а время обслуживания в реальных системах может носить любой характер распределения. При помощи метода статистического моделирования случайных процессов (метода Монте-Карло) могут быть успешно решены многие самые сложные задачи (особенно которые возникают в производственных системах). 24 Этапы построения математической модели Монте-Карло: 1. Сформировать цели задачи и выбрать ограничительные условия функционирования СМО. 2. Провести наблюдения за ходом производства, т.е. получить исходные данные. 3. Выполнить первичную обработку данных, построить ряды распределения и их графический анализ. Выдвинуть гипотезу о характере закона распределения. 4. Построить теоретическое распределение с параметрами данных эмпирического наблюдения. 5. Проверить соответствие теоретического и эмпирического распределения. В зависимости от наличия возможности ожидания поступающими требованиями начала обслуживания СМО подразделяются на: системы с потерями, в которых требования, не нашедшие в момент поступления ни одного свободного прибора, теряются; системы с ожиданием, в которых имеется накопитель бесконечной ёмкости для буферизации поступивших требований, при этом ожидающие требования образуют очередь; системы с накопителем конечной ёмкости (ожиданием и ограничениями), в которых длина очереди не может превышать ёмкости накопителя; при этом требование, поступающее в переполненную СМО (отсутствуют свободные места для ожидания), теряется. Выбор требования из очереди на обслуживание производится с помощью так называемой дисциплины обслуживания. Их примерами являются FCFS/FIFO (пришедший первым обслуживается первым), LCFS/LIFO (пришедший последним обслуживается первым), random (случайный выбор). В системах с ожиданием накопитель в общем случае может иметь сложную структуру. Системы массового обслуживания могут быть классифицированы по ряду признаков. 1. В зависимости от условий ожидания начала обслуживания различают: СМО с потерями (отказами); СМО с ожиданием. В СМО с отказами требования, поступающие в момент, когда все каналы обслуживания заняты, получают отказ и теряются. Классическим примером системы с отказами является телефонная станция. Если вызываемый абонент занят, то требование на соединение с ним получает отказ и теряется. В СМО с ожиданием требование, застав все обслуживающие каналы занятыми, становится в очередь и ожидает, пока не освободится один из обслуживающих каналов. 25 СМО, допускающие очередь, но с ограниченным числом требований в ней, называются системами с ограниченной длиной очереди. СМО, допускающие очередь, но с ограниченным сроком пребывания каждого требования в ней, называются системами с ограниченным временем ожидания. 2. По числу каналов обслуживания СМО делятся на: одноканальные; многоканальные. 3. По месту нахождения источника требований СМО делятся на: разомкнутые, когда источник требования находится вне системы; замкнутые, когда источник находится в самой системе. Примером разомкнутой системы может служить ателье по ремонту телевизоров. Здесь неисправные телевизоры - это источник требований на их обслуживание, находятся вне самой системы, число требований можно считать неограниченным. К замкнутым СМО относится, например, станочный участок, в котором станки являются источником неисправностей, а следовательно, источником требований на их обслуживание, например, бригадой наладчиков. Возможны и другие признаки классификации СМО, например по дисциплине обслуживания, однофазные и многофазные СМО и др. Методы и модели, применяющиеся в теории массового обслуживания, можно условно разделить на аналитические и имитационные. Аналитические методы теории массового обслуживания позволяют получить характеристики системы как некоторые функции параметров ее функционирования. Благодаря этому появляется возможность проводить качественный анализ влияния отдельных факторов на эффективность работы СМО. Имитационные методы основаны на моделировании процессов массового обслуживания на ЭВМ и применяются, если невозможно применение аналитических моделей. В настоящее время теоретически наиболее разработаны и удобны в практических приложениях методы решения таких задач массового обслуживания, в которых входящий поток требований является простейшим (пуассоновским). Простейший поток обладает тремя основными свойствами: ординарности, стационарности и отсутствием последействия. Ординарность потока означает практическую невозможность одновременного поступления двух и более требований. Например, достаточно малой является вероятность того, что из группы станков, обслуживаемых бригадой ремонтников, одновременно выйдут из строя сразу несколько станков. Стационарным называется поток, для которого математическое ожидание числа требований, поступающих в систему в единицу времени , не меняется во времени. СМО с ожиданием можно разбить на две большие группы: замкнутые и разомкнутые. К замкнутым относятся системы, в которых поступающий поток требований возникает в самой системе и ограничен. Например, мастер, задачей которого является наладка станков в цехе, должен периодически их обслуживать. Каждый 26 налаженный станок становится потенциальным источником требований на накладку. В подобных системах общее число циркулирующих требований конечно и чаще всего постоянно. Рис.1. Пример схемы моделирования СМО 27 2.3. Составление модели для распознавания спам-сообщений В этом пункте проведено составление модели для распознания спамсообщений. Рис.2. Схема модели 28 Рис.3. Схема модели СПИСОК ЛИТЕРАТУРЫ 1. Бекетов Хасан. Незаконные рекламные рассылки старше интернета. Режим доступа : http://www.compulenta.ru/dk/slydecision/24993/. 2. Борьба со спамом: история и методы. Режим доступа : http://bio.fizteh.ru/student/diff_articles/no_spam.esp. 3. Постано вление правительства № 575 от 10 сентября 2007 г. (в ред. Постано вления Правительства РФ от 16 февраля 2008 № 93) «Об утверждении правил оказания телематических услуг связи» / Консультант Плюс [Электронный ресурс] / URL:http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=75041 29 4. Федеральный закон № 38-ФЗ от 13 марта 2006 г. (в ред. от 07 июня 2013 г.) «О рекламе» / Консультант Плюс [Электронный ресурс] / URL: http://www.consultant.ru/popular/advert/ 5. Федеральный закон № 261-ФЗ «О персональны х данных» от 25 и юля 2011 г. (в ред. от 05 апреля 2013 г.) «О персональны х данных» / Консультант Плюс [Электронный ресурс] / URL: http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=144649 6. Давыдовский Ярослав. Интернет без спама: ближайшее будущее? Режим доступа : http://www.zeiss.net.ru/docs/izone/izone219/pub/izone1.htm. 7. Золотов Евгений. Письмо ниоткуда. Режим доступа: http://webshopping.kiev.ua/feedback/statti1.html. 8. Ивано в Андрей. «Хроническая болезнь» поисковых систем. Режим доступа : http://company.yandex.ru/pressa/2003/09-19_00.html. 9. Мангалиндан Майлин. Калифорния взялась за спамеров всерьез. // Газета Ведомости от 25 сентября 2003. 10. На умов Виктор. Спам: юридический анализ явления. Ркежим доступа : http://russianlaw.net/law/doc/a25.ht. 11. Сайт, посвящённый проблеме борьбы со спамом. Режим доступа : http://antispam.home.nov.ru/ 12. Сайт, посвящённый проблеме борьбы со спамом. Режим доступа : nospam.spb.ru. 13. США ищут управу на спамеров. // Газета Ведомости от 23 мая 2003. 14. Шерман Александр. Не пиши мне писем. Режим доступа: Режим доступа : http://webshopping.kiev.ua/feedback/statti3.html. 15. Эффективный способ борьбы со спамом. http://metamal.com/articles/antispam. 16. Статистика по спаму на 2020г.: https://securelist.ru/spam-and-phishing-in- 2020/100408/ 30 17. Сайт, посвященный, борьбе со спамом. Спам: общественная опасность и способы борьбы: http://emag.iis.ru/arc/infosoc/emag.nsf/BPA/89e60fc6af485149c32571460048f30c 18. Способы борьбы со спамом: https://works.doklad.ru/view/JRTnJ-Uozno.html 19. Сайт, посвященный способам борьбы со спамом: поhttps://stud.center/1623/spam-metody-borby-so-spamom/3 20. Положение спама в России: https://ifap.ru/as/rep2009.pdf 21. Кто такие спамеры: https://securelist.ru/kto-takie-spamery/121/ 22. Список отдельных персональных https://www.bytemag.ru/articles/detail.php?ID=8952 31 фильтро в: