Connect with us

technokrata

Új megközelítéssel a kéretlen levelek ellen

Dotkom

Új megközelítéssel a kéretlen levelek ellen

Spamszűrés, más logikával.

A már megszokott, szövegalapú és képeket tartalmazó levélszemét után az idei nyár újdonsága a csatolt PDF, majd Excel állományt tartalmazó spamek voltak, amellyel szemben a legtöbb antispam szoftver tehetetlen volt. Az IronPort megoldásai más alapokról indulnak el, mint a megszokott internet-biztonsági megoldások, és így sokkal hatékonyabban tud védekezni a spamek ellen.

Június 20-át jegyzik a PDF-spam kitörése napjaként, július 21-én pedig megjelent az első Excel spam és pillanatok alatt 10, illetve 15%-ra szaladt fel az arányuk az összes levélszemetet tekintve. Az eredeti PDF spam – amelynek a célja egy olcsó részvény árfolyamának felpumpálása volt – rövid időn belül 5 milliárd(!) példányban terjedt 75 ezer zombi számítógépen keresztül, és ezzel bekerült 2007 tíz legnagyobb spam kitörései közé. Az IronPort megoldásának hatékonyságát mutatja, hogy a spamszűrési arány mindvégig 87% fölött volt, és kevesebb mint 5 órán belül visszaállt a kezdeti 98% fölötti szintre.

Az IronPort spam-szűrési technológiájának ereje a kettős szűrési rendszerben rejlik. Az első szint a “hírnév” vagy bizalom alapú (reputation based) szűrési módszer, a második szint a hagyományos minta alapú (signature based) módszer.

Az első szintet megvalósító IronPort Reputation Filter a SenderBase adatbá-zisra, a világ egyik legkiterjedtebb ilyen jellegű adatgyűjtő rendszerére tá-maszkodik. Az adatbázis folyamatosan épül fel, minden forrás (küldő) és tartalom kap egy bizalmi indexet, amit az IronPort célhardvere online kérdez le és alkalmaz a bejövő levelekre. Ezen az előszűrőn már azonnal fennakadnak a gyanús levelek, így nem terhelik a CPU-t további analízissel, és természetesen a felhasználókhoz sem jutnak el.

A legtöbb spamszűrő nem használ hasonló megoldást, hanem kizárólag az előre beállítotott mintákhoz (signature) hasonlítja a leveleket. A megfelelő signature-ök létrehozása és frissítése nem olyan gyakori, hogy a valós idejű fenyegetésekre, kitörésekre gyors választ tudna adni, ezért ezek mindig jónéhány órás hátrányban lesznek az IronPorthoz képest. Mint már feljebb említettük az ilyen minta alapú ellenőrzést az IronPort is elvégzi, de csak a második lépésben, a már az első körben megszűrt jóval kisebb levélmennyi-ségre, így jóval hatékonyabban működik, és kisebb késleltetéssel ereszti át a leveleket, mint az előbb említettek.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek