1 / 34

Internet Bad Neighborhoods: the Spam Case Más vizinhaças da Internet: o caso do Spam

Internet Bad Neighborhoods: the Spam Case Más vizinhaças da Internet: o caso do Spam. Moura, G. C. M.; Sadre, R.; Pras, A University of Twente. CNSM 2011. Apresentado por: Fernando Cezar Bernardelli. Objetivo geral. Quais são os blocos menos protegidos da Internet?

sal
Download Presentation

Internet Bad Neighborhoods: the Spam Case Más vizinhaças da Internet: o caso do Spam

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Internet Bad Neighborhoods: the Spam CaseMás vizinhaças da Internet: o caso do Spam • Moura, G. C. M.; Sadre, R.; Pras, A • University of Twente CNSM 2011 Apresentado por: Fernando Cezar Bernardelli

  2. Objetivo geral • Quais são os blocos menos protegidos da Internet? • Quais são os servidores mais tolerantes ao Spam? • Más vizinhanças com muitos Spammers enviam muitos Spams? • Quanta informação precisamos para identificar uma vizinhança de spammers?

  3. Roteiro • Introdução • Origem dos dados • Classificação das BadHoods • Trabalhos relacionados • Coleta e análise dos dados • Conclusão • Análise crítica

  4. O que é, de onde vem?

  5. O que é, de onde vem? “[...]comunicação não solicitada para propósitos de marketing direto”

  6. BadHoods

  7. Low Volume Spammers Baixa atividade por nó Muitos nós na rede

  8. High Volume Spammer

  9. Identificando LVS e HVS θ = d × s × m d = dias coletados s = número de fontes de tráfego m = número de mensagens de um LVS

  10. Origem dos dados • DNS Blacklists • Logs de servidores de e-mail • Logs de clientes de e-mail • Fluxo de rede

  11. Origem dos dados • DNS Blacklists • Logs de servidores de e-mail • Logs de clientes de e-mail • Fluxo de rede

  12. Trabalhos relacionados • Ramachandran et al. - Understanding the network level behavior of spammers (2006) • Van Wanrooij e Pras - Filtering spam from Bad Neighborhoods (2010) • Pathak, Hu e Mao - Peeking into spammer behavior from a Unique vantage point (2008) • Kreibich et al. - On the spam campaign trail (2008)

  13. Enough talking NUMBERS

  14. DNS Blacklists • Composite Block List (CBL) • Passive Spam Block List (PSBL) • UCEPROTECT • Spamhaus Block List (SBL) Lista Entradas (21/04/2010) ≅8.3 milhões ≅ 2.45 milhões ≅ 3 milhões ≅ 10 mil

  15. Mail Server Logs Dados captados em uma semana (19/04/2010 a 26/04/2010)

  16. Mail client logs 15 e-mails em vários países 1321 spams 763 spammers

  17. Limite LVS θ = d × s × m d = 7 s = 4 m = 2 θ = 7 × 4 × 2 = 56 por IP

  18. Tabulação dos dados X = número de mensagens por spammer 99.2% LVS 80.95% do spam

  19. Tabulação dos dados X = número de mensagens por IP

  20. Quais são os blocos menos protegidos da Internet? • Quais são os servidores mais tolerantes ao Spam? • Más vizinhanças com muitos Spammers enviam muitos Spams? • Quanta informação precisamos para identificar uma vizinhança de spammers?

  21. Quais são os blocos menos protegidos da Internet? • Quais são os servidores mais tolerantes ao Spam? • Más vizinhanças com muitos Spammers enviam muitos Spams? • Quanta informação precisamos para identificar uma vizinhança de spammers?

  22. Quais são os blocos menos protegidos da Internet? • Quais são os servidores mais tolerantes ao Spam? • Más vizinhanças com muitos Spammers enviam muitos Spams? • Quanta informação precisamos para identificar uma vizinhança de spammers?

  23. Quais são os blocos menos protegidos da Internet? • Quais são os servidores mais tolerantes ao Spam? • Más vizinhanças com muitos Spammers enviam muitos Spams? • Quanta informação precisamos para identificar uma vizinhança de spammers?

  24. Fontes usadas Entradas Badhoods Logs de servidores de e-mail 8.700.00 571.389 Blacklists 115.000.000 634.543 1.205.932

  25. Quais são os blocos menos protegidos da Internet? • Quais são os servidores mais tolerantes ao Spam? • Más vizinhanças com muitos Spammers enviam muitos Spams? • Quanta informação precisamos para identificar uma vizinhança de spammers?

  26. Conclusão • LVS’s mostram quais blocos negligenciam mais a segurança • Os servidores mais tolerantes ao spam estão na África e na Ásia • O poder de fogo dos HVS’s é maior que dos LVS’s • É possível identificar BadHoods apenas com logs de emails

  27. Análise crítica • Artigo muito bem escrito e bem embasado • Dados encontrados são úteis para ISP’s • Período analisado é muito curto (1 semana) • Organização das figuras no trabalho poderia ser melhor • Gráficos são confusos a primeira vista • Números referentes às blacklists não fecham

  28. Perguntas?

More Related