Труды КНЦ вып.7 (ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ вып.2 4/2011(7))

В настоящее время спам является не только технической проблемой, но и социологической. Спам - самый простой и доступный вид рекламы и распространения информации, следовательно, и самый востребованный. Если взглянуть на динамику рынка рассылок спама, то можно увидеть, что, несмотря на все предпринимаемые против рассылок меры, за последние годы он только вырос: от 200 миллионов долларов в 2008 году [19] до почти миллиарда в 2010 [20]. А это свидетельствует только о росте спроса на услуги спамеров. А раз есть спрос, будет и предложение, и, следовательно, технологии рассылок спама будут развиваться вместе с развитием методов защиты от них. Все существующие на данный момент методы защиты от спама отстают от методов рассылки спама и развиваются «вслед» за ними. Сначала появляется новый вид или механизм рассылок, затем против него создаётся защита. Но как только эта защита внедряется повсеместно, появляются новые виды рассылок, которые с большой долей успеха обходят существующие фильтры. Достигнуть паритета в этой «гонке вооружений» возможно только разработав метод, который позволит отслеживать и анализировать динамику поведения спамеров, прогнозировать их дальнейшие действия и по результатам этого прогноза максимально быстро принимать ответные меры. Такой подход значительно повысит издержки отправителей спама на обход фильтров, и, следовательно, на услуги по рассылке спама, что сделает их неактуальными и сократит их популярность. Первой и главной проблемой, которую предстоит решить для разработки этого метода, является определение сущности, которая в рамках метода будет рассматриваться в качестве источника спама. Иными словами эту задачу можно определить так: необходимо выбрать из всех наблюдений некоторое подмножество, которое однозначно идентифицировало бы искомую сущность, в данном случае - источник спама. Причём эта сущность должна быть устойчивой во времени, чтобы проанализировав ряд её состояний можно было сделать прогноз будущих состояний. Для определения подмножества наблюдений, которые могли бы идентифицировать источник спама, можно использовать совокупность существующих методов защиты от спама и имеющиеся знания о методах рассылки спама. Можно сделать следующие предположения: 1. Известно, что на данный момент большинство спама рассылается ботнетами [21]. Раз ботнет - это совокупность компьютеров, заражённых однотипным вредоносным программным обеспечением, то вполне логично будет предположить, что все машины-участники ботнета будут рассылать спам по сходному алгоритму. 2. Из предыдущего предположения можно сделать вывод, что на спаме, рассылаемом участниками одного ботнета, будут срабатывать одни и те же правила фильтрации одних и тех же методов. Например, во всех письмах, отправленных из одного ботнета, будет подделан адрес отправителя, и они не будут проходить проверку подлинности отправителя. 3. Следовательно, можно выделить устойчивые группы отправителей (хостов, персон, подсетей и т.п.), допускающих однотипные ошибки при отправке, то есть подходящие под один «шаблон» поведения. П отребность в новых методах защиты 109