-
добавить в избранное
Уборка почтового мусора – трудная работа!
10 ноября 2016
О том, как работает антивирус, многие знают — все слышали про сигнатуры, эвристики, поведенческий анализатор и т. д. Знакомо многим и понятие «антиспам». А вот как работает этот компонент защиты?
Начнем с того, что работа спамеров принципиально отличается от деятельности вирусописателей. Если последним нужно создать программу, которая будет отличаться от всех программ, о которых имеется информация в вирусных базах и в правилах поведенческого анализатора, то задача спамеров — сделать письмо максимально похожим на доверенные сообщения. При этом, если поступление на ПК вредоносных программ можно существенно ограничить, используя список разрешенных процессов, то для писем по понятным причинам в общем случае подобное сделать нельзя (хотя для отдельных типов сотрудников и можно ограничить поступление писем с определенных доменов).
Естественно, визуально бóльшую часть спама легко отличить от легальных писем, но если мы ошибаемся, не умея отличить настоящее уведомление о штрафе от подделки под него, то как это может сделать программа, которая априори не сравнится с возможностями нашего мозга?
Самый простой (он же и самый распространенный) метод, который используется в антиспаме, — нечеткие суммы Байеса. Если объяснять упрощенно, то для всех писем по специальным формулам подсчитывается некая контрольная сумма, которая сравнивается с суммами в базе данных антиспама. Метод прост — и это его достоинство, но недостатков куда больше.
Самый главный — с помощью этого метода невозможно отфильтровать бóльшую часть спама. Поэтому в дополнение к нему необходимо применять другие методы фильтрации. К этим методам мы еще вернемся.
Второе — необходимость постоянного обучения. Поскольку база антиспама состоит из контрольных сумм конкретных образцов спама, то для эффективной фильтрации нужно постоянно добавлять все новые образцы нежелательных писем. Метод требует постоянного обучения и/или частых обновлений. Как следствие — сложность работы в закрытых от Интернета сетях, где частые обновления по понятным причинам недоступны.
Третье — графический спам. Все вы замечали, сколько спама идет в виде картинок. Графику не обсчитаешь контрольными суммами, поэтому антиспам, использующий только списки Байеса, такие сообщения пропустит.
Итак, использование метода Байеса требует использования дополнительных методов фильтрации. Самый распространенный — DNDBL. Это списки почтовых адресов/доменов, замеченных в распространении спама, то есть полный аналог черных/белых списков почтовых адресов, доступных для редактирования в Dr.Web Secutity Space, но ведущийся на некоем сервисе в Интернете. Вещь однозначно мощная, но вот недостатки... Сервисы, на которых ведутся базы DNDBL, совершенно независимы от производителей антиспама. Соответственно, качество этих списков производителем антиспама никак не контролируется — пользователь получает «под капотом» бомбу со снятым предохранителем. Дело в том, что пополнение баз идет по обращениям пользователей к владельцам сервиса или по факту попадания спама в его ловушки. Но, как известно, данные отправителя можно подделать, или вы сами можете ненароком стать отправителями спама. Вполне возможна ситуация, когда вы не сможете получать письма от некоего знакомого вам отправителя, так как того занесли в черный список, а он об этом не знает, используя иной антиспам. И кстати, удаление из баз DNDBL зачастую платно — их администраторам нужно как-то зарабатывать на жизнь.
Об альтернативном подходе к фильтрации спама поговорим в других выпусках.
#антиспам #технологии_Dr.Web #безопасностьАнтивирусная правДА! рекомендует
Заглядывайте «под капот»: самое интересное — там! О том, что под капотом антиспама Dr.Web, рассказано здесь.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
14:56:13 2018-07-26
vasvet
02:48:34 2018-04-02
Toma
17:19:19 2018-03-28
alex-diesel
12:41:30 2018-03-24
а спамеры вконец распоясались. Впрочем в "железный" почтовый ящик тоже пихают всякого мусора немеряно.
razgen
16:17:33 2017-11-04
ka_s
19:21:56 2017-07-15
Любитель пляжного футбола
14:16:30 2017-02-12
eaglebuk
22:32:03 2017-02-11
chitinka
02:21:18 2016-12-12
vinnetou
12:54:36 2016-12-11
1milS
06:46:42 2016-11-20
razgen
23:50:33 2016-11-10
НинаК
23:25:56 2016-11-10
ek
22:46:11 2016-11-10
kva-kva
22:17:51 2016-11-10
mk.insta
22:14:11 2016-11-10
Azat
21:34:49 2016-11-10
orw_mikle
20:53:06 2016-11-10
solec
20:48:24 2016-11-10
Б...а
20:37:18 2016-11-10
nik2210
20:16:24 2016-11-10
phkrant
20:02:58 2016-11-10
Zserg
18:27:22 2016-11-10
Неуёмный Обыватель
18:15:30 2016-11-10
Coolander
17:29:30 2016-11-10
Voin sveta
17:20:35 2016-11-10
Voin sveta
17:16:16 2016-11-10
ivan.ivanov1904
17:11:14 2016-11-10
Спасибо!
kozinka.ru
15:47:59 2016-11-10
imi
15:08:44 2016-11-10
a13x
14:36:37 2016-11-10
Неуёмный Обыватель
14:05:30 2016-11-10
Дмитpий
12:17:55 2016-11-10
DeeAnvil
12:10:48 2016-11-10
krant
11:50:13 2016-11-10
Tom
10:28:34 2016-11-10
sania2186
09:40:59 2016-11-10
marisha-san
09:38:44 2016-11-10
FrEd
08:50:16 2016-11-10
Damir
08:47:26 2016-11-10
dyadya_Sasha
08:45:58 2016-11-10
Я бы сказал - хронический насморк))).
Ж...ч
08:41:15 2016-11-10
Vlad X
08:31:34 2016-11-10
Влад
08:30:26 2016-11-10
djabax
08:17:26 2016-11-10
maestro431
08:17:17 2016-11-10
maxtat
08:14:50 2016-11-10
Deniskaponchik
07:52:20 2016-11-10
Dvakota
07:40:51 2016-11-10
Mefch
07:20:54 2016-11-10