اتصل بنا للحصول على مزيد من المعلومات

توقع مجالات البريد العشوائي الجديدة من خلال التعلم الآلي

الأمن السيبراني

توقع مجالات البريد العشوائي الجديدة من خلال التعلم الآلي

mm
تم النشر

ابتكر باحثون من فرنسا طريقة لتحديد المجالات المسجلة حديثًا والتي من المحتمل أن يتم استخدامها بطريقة `` التشغيل والتشغيل '' من قبل مرسلي البريد الإلكتروني العشوائي بكميات كبيرة - في بعض الأحيان ، حتى قبل أن يرسل مرسلو البريد العشوائي بريدًا إلكترونيًا غير مرغوب فيه.

تعتمد التقنية على تحليل الطريقة التي يتبعها إطار سياسة المرسل (عامل حماية من الشمس) ، وهي طريقة للتحقق من مصدر البريد الإلكتروني ، تم إعدادها على المجالات المسجلة حديثًا.

بفضل استخدام سلبي مستشعرات DNS (نظام اسم المجال) ، تمكن الباحثون من الحصول على بيانات DNS شبه في الوقت الفعلي من شركة Farsight ومقرها سياتل ، مما أسفر عن نشاط SPF لـ سجلات TXT لمجموعة من المجالات.

باستخدام خوارزمية وزن الفئة في الأصل تصميم لمعالجة البيانات الطبية غير المتوازنة ، وتنفيذها في تعلم الحروف في مكتبة بايثون للتعلم الآلي، تمكن الباحثون من اكتشاف ثلاثة أرباع نطاقات البريد العشوائي المعلقة خلال لحظات، أو حتى قبل تشغيلها.

تقول الورقة:

مع طلب واحد لسجل TXT ، اكتشفنا 75٪ من نطاقات البريد العشوائي ، ربما قبل بدء حملة البريد العشوائي. وبالتالي ، فإن مخططنا يوفر سرعة مهمة للتفاعل: يمكننا اكتشاف مرسلي البريد العشوائي بأداء جيد حتى قبل إرسال أي بريد وقبل حدوث ارتفاع كبير في حركة مرور DNS.

يدعي الباحثون أنه يمكن إضافة الميزات المستخدمة في أسلوبهم إلى أنظمة الكشف عن الرسائل غير المرغوب فيها الحالية لزيادة الأداء ، ودون إضافة تكاليف حسابية كبيرة ، نظرًا لأن النظام يعتمد على بيانات نظام التعرف على هوية المرسل (SPF) التي يتم استنتاجها بشكل سلبي من خلاصات DNS في الوقت الفعلي والمستخدمة بالفعل لمقاربات مختلفة لهذه المشكلة.

ال ورقة بعنوان الاكتشاف المبكر لنطاقات البريد العشوائي باستخدام DNS الخامل و SPF، ويأتي من ثلاثة باحثين في جامعة غرونوبل.

نشاط SPF

تم تصميم نظام التعرف على هوية المرسل (SPF) لتجنب انتحال عناوين البريد الإلكتروني ، من خلال التحقق من استخدام عنوان IP مسجل ومعتمد لإرسال بريد إلكتروني.

في هذا المثال من نظام التعرف على هوية المرسل (SPF) ، ترسل "أليس" بريدًا إلكترونيًا لطيفًا إلى "بوب" ، بينما يحاول المهاجم "مالوري" انتحال شخصية أليس. كلاهما يرسل بريدًا من نطاقاته الخاصة ، ولكن خادم Alice فقط مسجل لإرسال بريد Alice ، لذلك يتم إحباط محاكاة مالوري المزيفة عندما يفشل بريده المزيف في التحقق من نظام التعرف على هوية المرسل (SPF).

في هذا المثال من نظام التعرف على هوية المرسل (SPF) ، ترسل "أليس" بريدًا إلكترونيًا لطيفًا إلى "بوب" ، بينما يحاول المهاجم "مالوري" انتحال شخصية أليس. كلاهما يرسل بريدًا من نطاقاته الخاصة ، ولكن خادم Alice فقط مسجل لإرسال بريد Alice ، لذلك يتم إحباط محاكاة مالوري المزيفة عندما يفشل بريده المزيف في التحقق من نظام التعرف على هوية المرسل (SPF). المصدر: https://arxiv.org/pdf/2205.01932.pdf

تتضمن الطرق الأخرى للتحقق من البريد الإلكتروني البريد المعرف بمفاتيح المجال (DKIM) التوقيعات ومصادقة الرسائل المستندة إلى المجال وإعداد التقارير والمطابقة (DMARC).

يجب تسجيل جميع الطرق الثلاثة كسجلات TXT (إعدادات التكوين) في مسجل المجال لمجال الإرسال الأصلي.

البريد العشوائي والحرق

يُظهر مرسلي البريد العشوائي "سلوكًا توقيعًا" في هذا الصدد. هدفهم (أو ، على الأقل ، التأثير الجانبي لأنشطتهم) هو "حرق" سمعة المجال وعناوين IP الخاصة به عن طريق تفجير البريد الجماعي حتى يتم اتخاذ أي إجراء من قبل مزودي الشبكة الذين يبيعون هذه الخدمات ؛ أو عناوين IP المرتبطة مسجلة في قوائم تصفية البريد العشوائي الشائعة ، مما يجعلها عديمة الفائدة للمرسل الحالي (وإشكالية لأصحاب عناوين IP المستقبليين).

نافذة ضيقة من الفرص: الوقت ، بالساعات ، قبل حظر مجال بريد عشوائي جديد وجعله عديم الفائدة بواسطة SpamHaus والعديد من خدمات المراقبة الأخرى.

نافذة ضيقة من الفرص: الوقت ، بالساعات ، قبل حظر مجال بريد عشوائي جديد وجعله عديم الفائدة بواسطة SpamHaus والعديد من خدمات المراقبة الأخرى.

عندما يصبح موقع المجال غير عملي ، ينتقل مرسلو البريد العشوائي إلى المجالات والخدمات الأخرى حسب الضرورة ، ويكررون الإجراء بعناوين IP الجديدة والتكوينات.

البيانات والطرق

تغطي المجالات التي تمت دراستها من أجل البحث الفترة الزمنية بين مايو وأغسطس من عام 2021 ، على النحو المنصوص عليه من قبل فارسايت. تم النظر فقط في المجالات المسجلة حديثًا ، نظرًا لأن هذا يتوافق مع طريقة عملها من مرسلي الرسائل غير المرغوب فيها المستمر.

تم إنشاء قائمة النطاقات على بيانات من خدمة بيانات المنطقة المركزية التابعة لـ ICANN (CZDS). معلومات القائمة السوداء من SURBL و البريد العشوائي تم استخدام المشاريع للتأثير في تحديد الوقت الفعلي القريب لتسجيلات المجال الجديدة التي يحتمل أن تكون إشكالية - على الرغم من اعتراف المؤلفين بأن الطبيعة غير الكاملة لقوائم البريد العشوائي يمكن أن تؤدي إلى تصنيف المجالات الحميدة عن طريق الخطأ كمصادر محتملة للبريد الجماعي.

بعد التقاط استعلامات DNS TXT للنطاقات المسجلة حديثًا والموجودة في موجز DNS السلبي ، تم الاحتفاظ فقط بالاستعلامات ذات بيانات SPF الصالحة ، مما يوفر الحقيقة الأساسية للخوارزميات.

يحتوي SPF على عدد من الميزات القابلة للاستخدام ؛ وجدت الورقة الجديدة أنه في حين أن مالكي النطاقات "الحميدة" هم الأكثر شيوعًا في استخدام + تضمين آلية ، فإن مرسلي البريد العشوائي لديهم أعلى استخدام لـ (تم إيقافه الآن) + ptr ميزة.

استخدام قاعدة SPF لمرسلي البريد العشوائي ، مقارنة بالاستخدام القياسي.

استخدام قاعدة SPF لمرسلي البريد العشوائي ، مقارنة بالاستخدام القياسي.

يقارن بحث + ptr عنوان IP للبريد المرسل بأي سجلات موجودة للارتباط بين عنوان IP هذا واسم المضيف (مثل GoDaddy). إذا تم اكتشاف اسم المضيف ، تتم مقارنة نطاقه مع النطاق الذي تم استخدامه لأول مرة للإشارة إلى سجل نظام التعرف على هوية المرسل (SPF).

يمكن لمرسلي البريد العشوائي استغلال الدقة الواضحة لـ + ptr لتقديم أنفسهم في ضوء أكثر مصداقية ، في حين أن الموارد اللازمة لإجراء عمليات بحث على نطاق + ptr تتسبب في تخطي العديد من المزودين للاختبار تمامًا.

باختصار ، الطريقة التي يستخدم بها مرسلو البريد العشوائي SPF لتأمين نافذة فرصة قبل بدء عملية "التفجير والحرق" ، تمثل توقيعًا مميزًا يمكن الاستدلال عليه من خلال تحليل الجهاز.

علاقات SPF المميزة لمجالات البريد العشوائي.

علاقات SPF المميزة لمجالات البريد العشوائي.

نظرًا لأن مرسلي البريد العشوائي غالبًا ما ينتقلون إلى نطاقات وموارد IP قريبة جدًا ، فقد طور الباحثون مخططًا للعلاقة لاستكشاف الارتباط بين نطاقات IP والمجالات. يمكن تحديث الرسم البياني في الوقت الفعلي تقريبًا استجابةً للبيانات الجديدة من SpamHaus ومصادر أخرى ، ليصبح أكثر فائدة واكتمالًا على مدار الوقت.

يقول الباحثون:

دراسة هذه الهياكل يمكن أن تسلط الضوء على مجالات البريد العشوائي المحتملة. في مجموعة البيانات الخاصة بنا ، وجدنا [هياكل] تستخدم فيها عشرات المجالات نفس قاعدة [SPF] وظهرت غالبيتها في القوائم السوداء للبريد العشوائي. على هذا النحو ، فمن المعقول أن نفترض أن المجالات المتبقية من المحتمل ألا يتم اكتشافها بعد أو أنها ليست مجالات بريد عشوائي نشطة بعد.

النتائج

قارن الباحثون زمن انتقال اكتشاف مجال البريد العشوائي لنهجهم في التعامل مع SpamHaus و SURBL خلال فترة 50 ساعة. أفادوا أنه بالنسبة لـ 70٪ من نطاقات البريد العشوائي التي تم تحديدها ، كان نظامهم أسرع ، على الرغم من الاعتراف بأن 26٪ من مجالات البريد العشوائي المحددة ظهرت في القوائم السوداء التجارية في الساعة التالية. 30٪ من المجالات كانت موجودة بالفعل في القائمة السوداء عندما ظهرت في موجز DNS الخامل.

يدعي المؤلفون أن درجة F1 تبلغ 79٪ مقابل الحقيقة الأساسية بناءً على استعلام DNS واحد ، بينما تتنافس الأساليب مثل تعرض يمكن أن تتطلب أسبوعًا من التحليل الأولي.

يلاحظون:

يمكن تطبيق مخططنا في المراحل المبكرة من دورة حياة النطاق: باستخدام DNS السلبي (أو النشط) ، يمكننا الحصول على قواعد SPF للنطاقات المسجلة حديثًا وتصنيفها على الفور ، أو الانتظار حتى نكتشف استعلامات TXT إلى ذلك المجال ونقوم بتنقية التصنيف باستخدام السمات الزمنية التي يصعب تجنبها.

وتواصل:

يكتشف أفضل مصنف [لدينا] 85٪ من نطاقات البريد العشوائي مع الحفاظ على معدل إيجابي كاذب أقل من 1٪. تعتبر نتائج الاكتشاف رائعة نظرًا لأن التصنيف يستخدم فقط محتوى قواعد SPF للمجال وعلاقاتها ، ويصعب التهرب من الميزات القائمة على حركة مرور DNS.

"يظل أداء المصنفات مرتفعًا ، حتى لو تم منحهم الميزات الثابتة التي يمكن تجميعها من استعلام TXT واحد (يتم ملاحظته بشكل سلبي أو تم الاستعلام عنه بشكل نشط)."

لمشاهدة عرض تقديمي عن الطريقة الجديدة ، تحقق من الفيديو المضمن أدناه:

الورقة: الكشف المبكر عن مجالات البريد العشوائي باستخدام DNS الخامل ونظام التعرف على هوية المرسل (SPF)

 

نُشر لأول مرة في 5 مايو 2022.

مواضيع ذات صلة:
mm

كاتب في مجال التعلم الآلي، متخصص في مجال تركيب الصور البشرية. رئيس سابق لمحتوى الأبحاث في Metaphysic.ai.
الموقع الشخصي: martinanderson.ai
اتصال: [البريد الإلكتروني محمي]
تويتر:manders_ai