T T. Think Together Alexander Vasilenko THINK TOGETHER

Transkript

1 Česká zemědělská univerzita v Praze Provozně ekonomická fakulta Doktorská vědecká konference 4. února 2013 T T THINK TOGETHER Think Together 2013 Efektivita antispamových nástrojů v komplexním řešení Efectivity of antispam tools in a complex solution Alexander Vasilenko 226

2 Abstrakt Spam tvoří velkou část ové komunikace, dle různých zdrojů lze kvalifikovaně odhadnout, že z 5 odeslaných zpráv jsou 4 nevyžádané. Procentní podíl v ové schránce se liší dle způsobu propagace ové adresy na veřejnost. Pokud ovou adresu nebudeme zveřejňovat, jsme do jisté míry chránění, ale pro firmu, která je na ové komunikaci závislá není možné skrývat své kontakty. ové adresy bohužel kromě zákazníků shromažďují i spameři. V boji s nevyžádanými zprávami máme na výběr z mnoha nástrojů. Ne všechny přinášejí pouze pozitivní efekt. Pokud je použit nevhodný nástroj, můžeme poškodit komunikaci s klienty. Klíčová slova Spam, ham, antispam, nástroj, filtrace Abstract Spam is a big trouble for electronic communication. Number of spam messages in various mailbox depends on communication strategy how we are presenting address to public. This is a big issue for business companies, because the communication through the internet and is a popular method how to send text to another person or business. We can use many antispam tools, but some of them haven t only positive effect. Key Words Spam, ham, antispam, tool, filtration Úvod do problematiky Dle MAAWG, kaspersky.com, projecthoneypot a dalších tvoří cca 80% celkového objemu ové komunikace. Z každých odeslaných 5 ových zpráv je jedna zpráva ham a 4 jsou spam [1]. Ham očekávaná nebo vyžádaná zpráva Spam nevyžádaná zpráva, zpráva, která je připravena pro velké množství příjemců. Obvykle komerčního charakteru. Může však představovat i bezpečnostní riziko malware, scam [1]. Procentní podíl spamu se v průběhu času mění. Ovlivňují jej aktivity směřující k potlačení nelegálních sítí ovládaných počítačů tzv. botnet [2]. Tato síť počítačů je vytvořená za pomoci malware, tedy škodlivého kódu [2], který po proniknutí počítač zpřístupní pro účely třetí osoby. Toto riziko je velmi vysoké, neboť funkční botnet je velmi výnosným [3]. Jako příklad lze uvést botnet Rustock, který byl aktivní v letech Ovládal počítačů a byl schopen generovat okolo 30 miliard nevyžádaných denně [3],[4],[5]. Tato výpočetní síla je schopná provádět kromě rozesílání spamu také další aktivity sdílená kapacita pro výpočty, použitelné pro prolamování šifrování, DDoS útok na vybranou IP adresu, shromažďování ových adres, a další [3],[4],[5]. Velká část malware se šíří pomocí u, a také vzhledem k velkým propočteným ztrátám je nutné se této problematice i nadále věnovat a podrobovat ji dalšímu zkoumání. Klíčovou otázkou je, proč vlastně je spam stále i po mnoha letech existence tak rozšířený. Cílem článku je analyzovat úspěšnost antispamových filtrů jako celku, tedy při komplexním nasazení. Think Together 2013 Dostupné z:

3 Postup řešení Cílem zkoumání byla analýza současného stavu antispamových řešení cílených k nasazení v prostředí malých firem. Probíhal dlouhodobý sběr ových zpráv z různých zdrojů (viz níže), při absenci antispamového software. Zprávy byly podrobeny obsahové analýze a provedena analýza účinnosti několika běžných antispamových opatření. Vstupní data Pro analýzu spamu je nutné mít dobrý zdroj těchto zpráv, který poslouží jako nosná základna analýzy účinnosti antispamových nástrojů. Výzkum byl zásobován daty z několika zdrojů. Vasilenko.cz osobní doména. Doména existuje již sedm let a je aktivně využívána v komunikaci. Nachází se zde zejména rozšiřující materiály pro výuku. Na samotných stránkách uveden není. Tato skutečnost je i pro další analýzu velmi důležitá a její vliv bude zmíněn dále. Malestranky.cz jsou doménou fungující necelé dva roky. Doména funguje jako fiktivní poskytovatel hostingu a webdesignu pro účely výuky. Není založen žádný a ani na stránkách není zveřejněn. Jablickov.cz jsou stránky mateřského a otcovského centra na Praze 10. Stránky prošly před dvěma lety částečným redesignem a ve stejné době byly zřízeny ové adresy s touto doménou. ové adresy jsou využívány a část jich také na stránkách zveřejněna dle uvážení uživatelů. Nespamu.cz doména zřízena pro účely výzkumu. Obsahovala obecné informace o fiktivní firmě a zejména skryté ové adresy. Ty byly dostupné pouze případným spambotům. Project HoneyPot je zaměřen na analýzu harvestorů či crawlerů, což je software procházející webové prezentace a takto získané ové adresy předává do spamlistů. Odtud byl zajištěn přístup k několik vzorkům zpráv o rozsahu stovek ů. Abusix.com německá firma po podepsání NDA umožnila přístup k nevyžádaným zprávám v německém jazyce. Spamfeed probíhal po dobu šesti měsíců tempem zhruba zpráv denně. Bohužel formát zpráv se lišil a tak nebylo možné provést detailní analýzu. Antispamové postupy Existuje několik základních antispamových nástrojů, které se snaží zajistit, aby ové schránky uživatelů nebyly přeplněné nevyžádanou poštou. Jejich účinnosti jsou však různé a není vhodné je nasazovat všechny najednou bez zvážení jejich důsledků. Sofistikované nástroje či komplexní řešení z těchto základních nástrojů vycházejí a pouze je vhodně kombinují do jednoho vyváženého celku. Nicméně jejich efektivitu může ovlivnit také způsob jejich nasazení. Příkladem mohou být dva obecní úřady v rámci jednoho bývalého okresu. Jejich jména nebylo umožněno zveřejnit. Na jednom dosahuje procento nevyžádaných zpráv ve schránkách uživatelů cca 10% na druhém cca 45%. Tento rozdíl je způsobem právě nevhodným nasazením a konfigurací antispamových nástrojů. Rozdělení antispamových opatření Pro účely zkoumání byly nástroje kategorizovány do několika skupin, které lépe umožní pochopit možnosti a využití dílčích řešení. ISBN:

4 Maskování Obstrukce Filtrace Chybí aktivní působení proti rozesílatelům nevyžádaných zpráv. Toto je klíčové pro pochopení celé této problematiky. V současnosti je spam stále velmi zastoupený právě z důvodu absence účinného postupu přímo proti zdroji. Lze to přirovnat k symptomatické léčbě u bolestí hlavy způsobených migrénou se léčí její příznaky tedy bolest hlavy, ne však příčina. Stejně tak antispamové nástroje jsou pouze v roli působení na vnější příznaky. Aktivní postup má velmi povrchní účinnost, neboť v případě botnetů je zde mnoho překážet. Vzhledem k mnohastupňové architektuře botnetu není prakticky možné detekovat primární ovládací prvek. Dále jednotlivé uzly leží na územní mnoha států s odlišnou legislativou. Zde je v přímém rozporu snaha o potlačení nežádoucích aktivit se svobodou působení na internetu. Maskování Hlavním nástrojem pro maskování ových adres je tzv. address munging (jedna z preventivních metod) [6]. V překladu lze přeložit jako Individuálně reverzibilní zmatení (dále jako IRZ). Tento postup definuje několik možností jak upravit ovou adresu tak, aby je nebylo možné strojově zpracovat a použít pro rozesílání spamu. Mezi tyto techniky patří přidání textového řetězce, nahrazení speciálních znaků textem nebo reverzní zápis například domény. Takto pozměněná adresa nefunguje a je nutné ji upravit. Ukázky změny jsou uvedeny zde: @domenadelete.cz @anemod.cz (at)domena(dot)cz Všechny tyto postupy jsou proti harvestorům efektivní, pokud se použije zápis anglicky tak, jak je zde uveden, objevuje se software, který je proti tomuto řešení imunní. Klíčové je právě použití anglických přepisů, což je běžné u mnoha webových stránek. Tato možnost je harvestorem předpokládána a upravený postup analýzy stránky umožňuje tento postup znehodnotit. Na doméně nespamu.cz byly adresy ve dvojím zápise česky a anglicky. Po uplynutí roku a půl již v doménovém koši končilo určité množství spamových zpráv ale pouze pro schránky zapsané anglicky. Jinou možností je využití obrázku pro zobrazení ové adresy. Tento způsob je využíván například právě na ČZU. Obrázek č. 1: Zobrazení ové adresy pomocí obrázku Pokročilé harvestory však obsahují také OCR software, jsou tudíž schopny určité procento adres načíst. Tento postup byl ověřen několik spamových zpráv na takto zobrazenou adresu došlo. Uživatel také nemůže adresu zkopírovat, musí ji přepsat, což může vést k chybám a problémům s doručením. Poslední hlavní metodou, jak maskovat adresy je použití jiného kódování či Javascriptu pro zobrazení adres. Tyto metody nebyly testovány. Zhodnocení IRZ Efekt těchto postupů je sice kladný, bohužel stejně jako u jiných opatření platí, že pokud jsou široce používány, dochází k jejich obejití. Prozatím lze říci, že přepis adres pomocí českého ISBN:

5 jazyka je funkční. Harvestory se zaměřují na majoritní jazyky a je jasné, že český jazyk mezi nimi není. Negativem je však značné omezení komfortu pro uživatele stránek. IRZ bylo nasazeno na stránkách jablickov.cz během doby registrace rodičů a dětí do nového školního roku. Opatření bylo staženo po týdnu na základě stížností rodičů jejich zpětné úpravy nebyly vždy správné a část zpráv končila v doménovém koši (celkem 42), což nebylo akceptovatelné. Lze tedy na základě dostupných dat říci, že IRZ je zejména při použití českého jazyka účinné, avšak je velmi důležité zvážit negativní dopad na uživatele a potencionální riziko ztráty benefitní akce provedené na webové stránce. Obstrukce Obstrukční akce nejsou zaměřeny na kladení překážek v komunikaci, ale spíše na důraz pro dodržování RFC dokumentů tedy přesné dodržení norem v ové korespondenci. Klíčem k principu fungování je pochopení procesu odeslání spamové zprávy. Zde dochází ke zjednodušení či obejití části pravidel a nastavení. Zprávy je tak možné těmito procesy odfiltrovat. Byť opět s částečnými negativními efekty [6]. Filtrace Filtrace je poslední způsob obrany. Jedná se o analýzu obsahu zprávy či hlavičky ové zprávy. Na základě pravidel je pak zpráva ohodnocena a zařazena do tří kategorií: Ham Pravděpodobně spam Spam Prostřední kategorie je pro zprávu, u níž existuje podezření na spam, ale není zde jistota, je tedy předána uživateli ke zhodnocení. Ten svým rozhodnutím upřesňuje nastavení filtrace. Filtraci lze rozdělit na dvě skupiny: Učící se Statistickou Statistická filtrace Statistické metody filtrace fungují na principu černých seznamů blacklistů (dále BL) [6]. BL může být aplikován na IP adresu nebo doménu odesílatele. Pokud je při příjmu zprávy zjištěno, že IP adresa nebo doména je na dostupné BL, je zpráva zahozena jako spam. Toto filtrování je rychlé, nicméně jeho účinnost je diskutabilní. V úvodu bylo zjištěno na příkladu boletu Rustock, že spamové sítě mají stovky tisíc počítačů na velkém geografickém území. Toto zjištění je klíčové právě pro efektivitu BL pro IP adresu, které tímto ztrácí účinnost. Zdrojů spamu jednotlivých počítačů, je velké množství a jsou obvykle schovány v rámci lokální sítě internetového poskytovatele (ISP). Pomocí služby NAT (network address translation) je pak za jedinou veřejnou IP adresou schováno několik set či tisíc počítačů. V případě, že jeden z nich bude zachycen na BL, bude zakázáno přijímat y od IP adresy poskytovatele, tudíž bude ovlivněno velké množství čistých uživatelů. Druhým způsobem je BL zaměřený na doménové jméno. Tento způsob již není efektivní. Vzhledem k tomu, že lze lehce zfalšovat adresu odesílatele, je tento způsob hodnocení spamovosti zpráv neefektivní a lze ho označit za nebezpečný. I ISBN:

6 ČZU se již setkala s tím, že byla zavedena na blacklist a výmaz z něj je časově náročný. Analýza hlavičky zprávy je jinou metodou statistického hodnocení. V hlavičce zprávy je mnoho údajů, které mohou sloužit pro zhodnocení spamovosti zprávy. Jednoduchým úkonem je například porovnání data odeslání zprávy s datem na ovém serveru. Část zpráv je datově chybně označena záměr spamerů (v angličtině spammer zde počeštěno) [7], jak dostat zprávu na první místo v přijatých zprávách. 1,2% zachycených spamových zpráv jsou datována do budoucnosti Extrémní náskok měla zpráva s datem odeslání zachycena dne Z hlediska časového lze bodovat také zprávy, které dojdou v určitou denní dobu. Je více pravděpodobné, že zpráva obdržená v ranních hodinách, například 3:40, bude spíše spam než ham. Tento předpoklad platí pro komunikaci v české republice. Při komunikaci se zahraničím je toto pravidlo použitelné pro přepočtu doby odeslání na místní čas odesílatele. Zhodnocení efektivity blacklistu Black list se na vybraných ových schránkách neosvědčil, byl sice schopen odstranit část spamových zpráv, ale také jeho působením bylo zahozeno velké procento hamu. Z tohoto důvodu je nutné jeho nasazení velmi zvážit a při stanovení vah pro jednotlivé metody by měl být brán pouze jako pomocný nástroj. Zhodnocení efektivity statistického zkoumání hlavičky zprávy Tento nástroj, pokud abstrahujeme od jasných spamů (zmiňovaná zpráva z budoucnosti), lze obsah hlavičky použít jako pomocné kriterium pro určení spamovosti zprávy. Na základě dat z hlavičky je pak možné upravovat a podporovat další antispamové nástroje. Více ve Výsledcích. Učící se filtrace Filtry, které se vyznačují zvyšující se účinností s množstvím zpráv, které analyzují, se označují jako učící se. Jsou obvykle variantou na Bayesův teorém, který se zabývá analýzou textových řetězců. Tyto vzorce jsou využívány v několika variantách a stanovují spamovost zprávy na základě již známých údajů [6]. Principem je vybudování databáze slov, která jsou následně reprezentována hash zápisem. V případě, že je přijata zpráva, dojde k analýze obsahu a je spočteno skóre pro danou zprávu. Skóre pak na základě pravidel určí, co se s daným em má stát. Hodnocení lze rozdělit na analýzu slov, kde je počítáno skóre dle obsahu určitého seznamu slov. Nebo je skóre počítáno pro celou zprávu, tedy pro každé slovo je stanovena pravděpodobnost a přepočtena na celou zprávu. Tyto postupy jsou velmi efektivní a mají vysokou úspěšnost. Ta je na velmi dobré úrovni po načtení zhruba 2000 zpráv nevyžádaných a vyžádaných. Zhodnocení učící se filtrace V podmínkách českého prostředí jsou bayesiánské filtry velmi účinné a jsou schopny blokovat přes 95% nevyžádané pošty. Zbývajících 5% je potom neobvyklý spam či zcela nová zpráva. Překvapivé výsledky pak dává překlad části spamových zpráv do českého jazyka, byť za pomoci strojového překladu. Pak se úspěšnost tohoto filtru pohybuje v okolo 65%, což je podstatně horší výsledek. Testováno s 1000 zpráv vyžádaných a 1000 ISBN:

7 nevyžádaných v databázi bayesova filtru a 500 testovacími zprávami přeloženými do českého jazyka. Výsledky zkoumání Celkově bylo na českých doménách přijato ových zpráv v rozmezí 20 měsíců sledování. Z toho bylo 3407 skutečných ů, což je pouze 4,761%. Zbylé zprávy tvořil spam nevyžádaných ových zpráv bylo vygenerováno pouze na doménové jméno, tedy byl například d41ad9884@jablickov.cz. Takové zprávy končí v koši již na základě neexistující ové adresy příjemce. Tento postup je standardní a nabízí se otázka, proč zprávy, které nemají příjemce rovnou nesmazat? Důvod je uveden v kapitole o address munging 42 zpráv mělo chybně napsanou adresu příjemce, musely být dohledány právě v doménovém koši. Zprávy byly filtrovány pomocí bayesova filtru v software SpamAssassin. ový server byl založen na operačním systému Debian Squeeze a software Postfix a Dovecot. Pro jednotlivé domény byly počty následující: Tabulka č. 1: Počty a rozdělení ových zpráv Doména Ham spam False positive False negative Poměr spam/ ham Vasilenko.cz ,222% Jablickov.cz ,548% Malestranky.cz % Nespamu.cz % Klíčové období při registraci nových účastníků kurzů na doméně jablickov.cz pak byly počty následující: Tabulka č. 2: Zprávy dle skóre Zprávy dle hodnocení Počet Ham 179 Spam 1419 False positive 51 False negative 38 Registrace probíhala v rámci jednoho měsíce, celkem bylo false positive 51 zpráv, z čehož address munging tvořilo 42 zpráv 82,352%, což tuto metodu pro toto nasazení diskvalifikovalo. Ze zbylých zpráv byly 4 vyřazeny z důvodu blacklistu na IP adresu a 5 prostřednictvím bayesova filtru. Blacklist zablokoval jednu IP adresu patřící poskytovateli internetu v Praze a část osob tím byla postižena. Špatná pravidla bayesova filtru pak byla výsledkem chybného vložení několika zpráv jedním uživatelem. Celkově lze tyto výsledky shrnout jako nepříliš dobrý výsledek. Je pravda, že úspěšné zatřídění provedl filtr správně pro více než 90% zpráv. Ale v tomto hodnocení není zohledněn negativní vliv false positive zpráv. Pokud se započítá určité procento jako tolerovatelné, pak toto musí být zohledněno právě v hodnocení daného antispamového nástroje. V rámci celkového hodnocení pak lze roztřídit jednotlivé nástroje jako kladné s minimálním vlivem na komunikaci a jako sice účinné, ale s negativním vlivem na benefitní akce. Zhodnocení účinnosti bayesiánského filtru při jazykových mutacích. Bylo otestováno náhodně vybraných 500 spamových zpráv pro doménu jablickov.cz, ty pak byly přeloženy pomocí strojového překladu. Tabulka č. 3: Úspěšnost filtru v anglickém a českém jazyce ISBN:

8 Jazyk zpráv Úspěšnost Angličtina 98% Čeština 64% Podobné hodnocení vypadá jinak pro doménu vasilenko.cz: Tabulka č. 4: Úspěšnost filtru v anglickém a českém jazyce pro jinou doménu Jazyk zpráv Úspěšnost Angličtina 97% Čeština 82% Toto hodnocení vykazuje na první pohled patrné rozdíly. Ty jsou dány zejména jinou datovou základnou. Pro obě domény se rozchází obsah komunikace. U jablickov.cz je běžné, že ham obsahuje slova cena, sleva, objednávka. Tato slova jsou častá i pro spam. U domény vasilenko.cz tato slova v ham zprávách téměř nejsou. Antispamové řešení tak vykazuje velmi silnou závislost na jazyce zpráv i na jejich obsahu. Pro detailnější analýzu je tak zapotřebí přidat ještě jiné hodnocení. Rovnice č. 1: Hodnocení antispamového systému jako celku CHS celkové hodnocení sestavy KE kladný efekt daného nástroje NE negativní efekt daného nástroje Seskupování Pro správně stanovení spamovosti zpráv není bayesiánské hodnocení příliš přesné. Pokud seskupíme spamové zprávy do sestav dle objednavatele, dostáváme širší pohled na celou problematiku. Spamer totiž neposílá jednotlivé zprávy, ale celé sady o mnoha stovkách tisíc zpráv. Není možné, aby každá z nich byla unikátní. Náhražkové řešení v případě spamových zpráv je vkládání náhodných řetězců. Například oslovení či úpravy odkazujícího linku. Viz ukázka: Tabulka č. 5: Varianty spamu pro jednu propagovanou stránku Zpráva A Hi 664a8eb6, save your family. budys VjaqrRa pprofeessionnal ADE1F Proepcia -> 0.17$ 4BC47 Levitr -> 1.80$ E90DB Cilais -> 1.50$ 114A9 Vigara -> 0.64$ Healthy children are the best Christmas gift! Choosy mothers choose us! 8B6CBD0EAF5E2CCD49ED6AC7A- F094AA10CF425E5040 Zpráva B Prices: ====== Levtira $ Cilais $ Vigara $ Professional Pack $ Female Pack $ Family Pack $ Shoplink: Vzorec byl odvozen z bayesiánského hodnocení spamovosti zpráv. Základní myšlenkou je stanovení úspěšnosti jednotlivých antispamových nástrojů a zohlednění jejich negativního působení. ISBN:

9 Zpráva C USPS - Fast Delivery Shipping 1-4 day USA Best quality drugs Fast Shipping USA Professional packaging 100% guarantee on delivery Best prices in the market Discounts for returning customers FDA approved productas satisfied customers Pro tuto propagovanou webovou stránku bylo zachyceno celkem 4956 zpráv ve 26 variantách. Počet různých domén druhého řádu byl 78 s unikátními variantami doménového jména třetího řádu. Všechny tyto zprávy odkazují na stejné webové stránky. Ve zprávě A lze detekovat snahu o otrávení bayesiánského filtrování (bayesian filter poisoning) [8] vkládáním náhodných řetězců, komolením nabízených léků a změnou obsahu. Ale link i přes jiné textové znění odkazuje na web se stejným obsahem. Vzhledem k blokaci je pravděpodobné, že dnes již tyto linky nejsou funkční, což ztěžuje jejich analýzu. Návrh řešení Obrázek č. 2: Propagovaná stránka Existuje zde řešení, které by bylo schopné reflektovat na tyto spamerské snahy blokováním zpráv na základně nejenom textového obsahu, ale na základě komplexní analýzy celých sad spamových zpráv. Klíčové prvky této metodiky jsou: Adresní schéma Obsahová analýza Detekce blízkých zpráv Obsahová analýza odkazovaných webových stránek Slabinou spamovacího systému je pak právě odesílací sada strojů, které produkují nevyžádanou poštu a nutnost sdělit případnému zájemci, jak má provést objednávku. Řešením je vytvořit ukazatele, které spojí dnes provozované nástroje do jednoho silného celku. Současná řešení přístupu ISBN:

10 k ové zprávě po jednom, byť je pak hodnocení spojeno do jednoho skóre. První činností při analýze zpráv je vytvoření virtuální mapy IP adres v daných sadách spamu. Od toho pak lze postupovat dále, pokud obdržíme stejné zprávy z částí těchto map, lze pak snadněji určit, zda se jedná o spam. Obsahová analýza bayesiánským filtrem pak stanoví podobnost zpráv, kde nerozhoduje pouze podobné skóre, ale zejména podobnost jednotlivých skupin zpráv. V případě, že bylo přijato mnoho zpráv evidentně ze stejného zdroje spamu, včetně správného přiřazení několika skupin k sobě, pak lze již po přijetí několik zpráv s jiným obsahem určit, zda se jedná o spam, a to bez nutnosti velkého balíku těchto nových zpráv. Pokud by z již zaznamenané IP adresy přišel skutečný od člověka, který nás chce kontaktovat, pak je možné tímto srovnáním určit, zda se jedná o spam. Pouze přítomnost IP adresy z blacklistu pro toto hodnocení stačit nebude. Naopak, při zachycení spamu z neznámé adresy lze spolehlivě na základě obsahové analýzy a analýzy cíle úspěšně spam detekovat a vyřadit takovou zprávu. Diskuze Pro kvalitní hodnocení je nutné kombinovat několik různých nástrojů a jejich vliv pečlivě analyzovat. V případě, že určitý nástroj kromě kladného efektu způsobuje také škody na potencionálně benefitních ech, je nutné jej jako nevhodný vyřadit. K diskuzi je pak nabízí stanovení kriteriálních hranic pro hodnocení jednotlivých nástrojů. Klíčem k úspěšnému boji se spamem je nutné změnit chápání zpráv a nastavení hodnocení pro vyšší datové celky. Jednotlivé zprávy sice lze hodnotit a úspěšně filtrovat, ale pro efektivní boj se spamem to není výhodné. Klíčem je právě hromadná analýza zpráv jako jednoho celku. Toto řešení bude vyžadovat pokročilé postupy pro rozpoznání podobnosti zpráv a podobnosti či stejnosti odkazovaných webových stránek. I přes toto se stále jedná o obranný mechanismus, který má přinést více nákladů pro spamery. Motivace, proč spam i přes dlouhá léta stále existuje je jeho profitabilita. Pokud se podaří zvýšit náklady na spam tím, že skupinovou analýzou dosáhneme mnohonásobně vyšší fragmentace obsahu a nutnosti více webových stránek, dojde ke zvýšení vstupních nákladů. Závěr Výsledky zkoumání dávají prostor k další práci na metodickém aparátu. Vzhledem ke stále vysokému množství nevyžádaných zpráv, je řešená problematika aktuální a poskytuje příležitosti k dalšímu podrobnému zkoumání. V současné době je možné nasadit několik základních nástrojů, které se snaží omezit množství nevyžádaných zpráv. Pokud se jedná o profesionální software, skládá se v podstatě ze stejných stavebních prvků pouze jsou funkčně propojeny a vyladěny jejich váhy, což dává každému software různou účinnost. Prostor pro další analýzu spočívá v hledání pravidelností a stejností v jednotlivých zprávách a vytvoření metodického aparátu pro idenfikaci skupin spamových zpráv a jejich propojení. Pokud by bylo možné zachytit nevyžádanou zprávu již v počátku šíření na základě těchto stejností, bylo by možné zvýšit účinnost současných opatření. Aktivnější postup proti spamerům však naráží na principy svobodného přístupu k internetu svobodné médium je přístupné pro kohokoliv, ale pro omezení spamu by bylo vhodné uživatele identifikovat. Jiný rozpor pak lze nalézt ISBN:

11 ve snaze aktivně působit na benefitní část spamu web či uvedený v nevyžádané zprávě což však není legální (spamovat spamera nebo pomocí DDoS zahltit web odkazovaný z nevyžádané zprávy). LITERATURA Online zdroje: [1] José R. Méndez, M. Reboiro-Jato, Fernando Díaz, Eduardo Díaz, Florentino Fdez-Riverola, Grindstone4Spam: An optimization toolkit for boosting classification, Journal of Systems and Software, Volume 85, Issue 12, December 2012, Pages , ISSN , /j.jss S ) [2] Alexander K. Seewald, Wilfried N. Gansterer, On the detection and identification of botnets, Computers & Security, Volume 29, Issue 1, February 2010, Pages 45-58, ISSN , /j.cose S ) [3] Xinyuan Wang, Daniel Ramsbrock, Chapter 8 - The Botnet Problem, In: John R. Vacca, Editor(s), Computer and Information Security Handbook, Morgan Kaufmann, Boston, 2009, Pages , ISBN , /B X. B X) [4] Spam levels drop drastically then rise, Computer Fraud & Security, Volume 2011, Issue 1, January 2011, Pages 1-3, ISSN , /S (11)70001-X. S X) [5] Sérgio S.C. Silva, Rodrigo M.P. Silva, Raquel C.G. Pinto, Ronaldo M. Salles, Botnets: A survey, Computer Networks, Available online 15 October 2012, ISSN , /j. comnet S ) [6] Microsoft takes down Rustock, Computer Fraud & Security, Volume 2011, Issue 4, April 2011, Pages 1,3, ISSN , /S (11) S ) [7] Guillermo González-Talaván, A simple, configurable SMTP anti-spam filter: Greylists, Computers & Security, Volume 25, Issue 3, May 2006, Pages , ISSN , /j. cose S ) [8] Zhenhai Duan, Kartik Gopalan, Xin Yuan, An empirical study of behavioral characteristics of spamers: Findings and implications, Computer Communications, Volume 34, Issue 14, 1 September 2011, Pages , ISSN , /j. comcom S ) spam ISBN: