Cybersecurity

ການຄາດເດົາໂດເມນ Spam ໃຫມ່ຜ່ານການຮຽນຮູ້ເຄື່ອງຈັກ

ຈັດພີມມາ

2 ປີກ່ອນຫນ້ານີ້

ອາດ 5, 2022

ນັກຄົ້ນຄວ້າຈາກປະເທດຝຣັ່ງໄດ້ວາງແຜນວິທີການກໍານົດໂດເມນທີ່ລົງທະບຽນໃຫມ່ທີ່ມີແນວໂນ້ມທີ່ຈະຖືກນໍາໃຊ້ໃນແບບ 'ຕີແລະແລ່ນ' ໂດຍ spammers ອີເມວທີ່ມີປະລິມານສູງ - ບາງຄັ້ງ, ເຖິງແມ່ນວ່າກ່ອນທີ່ spammers ໄດ້ສົ່ງອີເມວທີ່ບໍ່ຕ້ອງການຫນຶ່ງ.

ເຕັກນິກແມ່ນອີງໃສ່ການວິເຄາະວິທີການທີ່ກອບນະໂຍບາຍຂອງຜູ້ສົ່ງ (SPF), ວິທີການຢັ້ງຢືນ email provenance, ໄດ້ຖືກສ້າງຕັ້ງຂຶ້ນໃນໂດເມນທີ່ລົງທະບຽນໃຫມ່.

ຂໍຂອບໃຈກັບການນໍາໃຊ້ຂອງ ຕົວຕັ້ງຕົວຕີ ເຊັນເຊີ DNS (Domain Name System), ນັກຄົ້ນຄວ້າສາມາດໄດ້ຮັບຂໍ້ມູນ DNS ໃກ້ເວລາຈິງຈາກບໍລິສັດ Farsight ທີ່ Seattle, ຜົນໄດ້ຮັບກິດຈະກໍາ SPF ສໍາລັບ ບັນທຶກ TXT ສໍາລັບຂອບເຂດຂອງໂດເມນ.

ການນໍາໃຊ້ວິທີການນ້ໍາຫ້ອງໃນເບື້ອງຕົ້ນ ການອອກແບບ ສໍາລັບການປຸງແຕ່ງຂໍ້ມູນທາງການແພດທີ່ບໍ່ສົມດຸນ, ແລະປະຕິບັດຢູ່ໃນ scikit- ຮຽນຮູ້ ຫ້ອງສະຫມຸດ Python ຂອງການຮຽນຮູ້ເຄື່ອງຈັກ, ນັກຄົ້ນຄວ້າສາມາດກວດພົບສາມສ່ວນສີ່ຂອງໂດເມນ spam ທີ່ຍັງຄ້າງຢູ່ພາຍໃນເວລາໃດຫນຶ່ງ, ຫຼືແມ້ກະທັ້ງລ່ວງຫນ້າຂອງການດໍາເນີນງານຂອງພວກເຂົາ.

ເອກະສານກ່າວວ່າ:

'ດ້ວຍການຮ້ອງຂໍດຽວກັບບັນທຶກ TXT, ພວກເຮົາກວດພົບ 75% ຂອງໂດເມນຂີ້ເຫຍື້ອ, ອາດຈະເປັນກ່ອນທີ່ຈະເລີ່ມຕົ້ນແຄມເປນ spam. ດັ່ງນັ້ນ, ໂຄງການຂອງພວກເຮົານໍາເອົາຄວາມໄວຂອງປະຕິກິລິຍາທີ່ສໍາຄັນ: ພວກເຮົາສາມາດກວດພົບ spammers ທີ່ມີປະສິດຕິພາບທີ່ດີເຖິງແມ່ນວ່າກ່ອນທີ່ mail ຈະຖືກສົ່ງໄປແລະກ່ອນທີ່ຈະເພີ່ມຂຶ້ນໃນການຈະລາຈອນ DNS.'

ນັກຄົ້ນຄວ້າອ້າງວ່າຄຸນສົມບັດທີ່ໃຊ້ໃນເຕັກນິກຂອງພວກມັນສາມາດຖືກເພີ່ມເຂົ້າໃນລະບົບການກວດສອບ spam ທີ່ມີຢູ່ເພື່ອເພີ່ມປະສິດຕິພາບ, ແລະໂດຍບໍ່ມີການເພີ່ມການຄິດໄລ່ທີ່ສໍາຄັນ, ເພາະວ່າລະບົບອີງໃສ່ຂໍ້ມູນ SPF ທີ່ສົມມຸດຕິຖານຈາກຂໍ້ມູນ DNS ທີ່ຢູ່ໃກ້ກັບເວລາຈິງທີ່ໃຊ້ແລ້ວ. ສໍາລັບວິທີການທີ່ແຕກຕ່າງກັນກັບບັນຫາ.

ໄດ້ ເຈ້ຍ ແມ່ນຫົວຂໍ້ ການກວດສອບຕົ້ນໆຂອງ Spam Domains ດ້ວຍ Passive DNS ແລະ SPF, ແລະມາຈາກສາມນັກຄົ້ນຄວ້າຢູ່ມະຫາວິທະຍາໄລ Grenoble.

ກິດຈະກໍາ SPF

SPF ຖືກອອກແບບມາເພື່ອຫຼີກເວັ້ນການຫຼອກລວງຂອງທີ່ຢູ່ອີເມວ, ໂດຍການກວດສອບວ່າທີ່ຢູ່ IP ທີ່ລົງທະບຽນແລະໄດ້ຮັບອະນຸຍາດໄດ້ຖືກນໍາໃຊ້ເພື່ອສົ່ງອີເມວ.

ໃນຕົວຢ່າງຂອງ SPF ນີ້, 'Alice' ສົ່ງອີເມວທີ່ອ່ອນໂຍນໄປຫາ 'Bob', ໃນຂະນະທີ່ຜູ້ໂຈມຕີ 'Mallory' ພະຍາຍາມປອມຕົວເປັນ Alice. ທັງສອງກໍາລັງສົ່ງອີເມວຈາກໂດເມນຂອງຕົນເອງ, ແຕ່ວ່າເຄື່ອງແມ່ຂ່າຍຂອງ Alice ເທົ່ານັ້ນທີ່ລົງທະບຽນເພື່ອສົ່ງຈົດຫມາຍຂອງ Alice, ດັ່ງນັ້ນການຫຼອກລວງຂອງ Mallory ຖືກຂັດຂວາງເມື່ອຈົດຫມາຍປອມຂອງລາວລົ້ມເຫລວໃນການກວດສອບ SPF. ທີ່ມາ: https://arxiv.org/pdf/2205.01932.pdf

ວິທີການຢັ້ງຢືນອີເມວອື່ນໆລວມມີ DomainKeys Identified Mail (ສ່ວນຂະຫຍາຍ dkim) ລາຍເຊັນ, ແລະການຢືນຢັນຂໍ້ຄວາມທີ່ອີງໃສ່ໂດເມນ, ການລາຍງານ, ແລະຄວາມສອດຄ່ອງ (ບໍລິສັດ DMARC).

ທັງສາມວິທີການຕ້ອງໄດ້ຮັບການລົງທະບຽນເປັນບັນທຶກ TXT (ການຕັ້ງຄ່າການຕັ້ງຄ່າ) ຢູ່ຜູ້ລົງທະບຽນໂດເມນສໍາລັບໂດເມນທີ່ສົ່ງທີ່ແທ້ຈິງ.

ຂີ້ເຫຍື້ອແລະການເຜົາໄຫມ້

Spammers ສະແດງ 'ພຶດຕິກໍາລາຍເຊັນ' ໃນເລື່ອງນີ້. ຄວາມຕັ້ງໃຈຂອງພວກເຂົາ (ຫຼື, ຢ່າງຫນ້ອຍ, ຜົນກະທົບຂອງຫຼັກຊັບຄໍ້າປະກັນຂອງກິດຈະກໍາຂອງເຂົາເຈົ້າ) ແມ່ນເພື່ອ 'ເຜົາ' ຊື່ສຽງຂອງໂດເມນແລະທີ່ຢູ່ IP ຂອງຕົນໂດຍການລະເບີດອອກ mail ຈໍານວນຫຼາຍຈົນກ່ວາການດໍາເນີນການໃດໆໂດຍຜູ້ໃຫ້ບໍລິການເຄືອຂ່າຍທີ່ຂາຍບໍລິການເຫຼົ່ານີ້; ຫຼືທີ່ຢູ່ IP ທີ່ກ່ຽວຂ້ອງໄດ້ຖືກລົງທະບຽນດ້ວຍລາຍຊື່ spam-filter ທີ່ນິຍົມ, ເຮັດໃຫ້ມັນບໍ່ມີປະໂຫຍດຕໍ່ຜູ້ສົ່ງໃນປະຈຸບັນ (ແລະເປັນບັນຫາສໍາລັບເຈົ້າຂອງທີ່ຢູ່ IP ໃນອະນາຄົດ).

ປ່ອງຢ້ຽມແຄບຂອງໂອກາດ: ເວລາ, ເປັນຊົ່ວໂມງ, ກ່ອນທີ່ໂດເມນ spam ໃຫມ່ຈະຖືກຫ້າມແລະເຮັດໃຫ້ບໍ່ມີຜົນປະໂຫຍດໂດຍ SpamHaus ແລະການບໍລິການຕິດຕາມອື່ນໆ.

ເມື່ອສະຖານທີ່ໂດເມນບໍ່ສາມາດປະຕິບັດໄດ້ອີກຕໍ່ໄປ, spammers ຍ້າຍໄປໂດເມນແລະການບໍລິການອື່ນໆຕາມຄວາມຈໍາເປັນ, ເຮັດຊ້ໍາຂັ້ນຕອນທີ່ມີທີ່ຢູ່ IP ໃຫມ່ແລະການຕັ້ງຄ່າ.

ຂໍ້ມູນ ແລະວິທີການ

ໂດເມນທີ່ໄດ້ສຶກສາສໍາລັບການຄົ້ນຄວ້າກວມເອົາໄລຍະເວລາລະຫວ່າງເດືອນພຶດສະພາຫາເດືອນສິງຫາຂອງ 2021, ດັ່ງທີ່ Farsight ສະຫນອງໃຫ້. ພຽງແຕ່ໂດເມນທີ່ລົງທະບຽນສົດໆໄດ້ຖືກພິຈາລະນາ, ນັບຕັ້ງແຕ່ນີ້ສອດຄ່ອງກັບ modus operandi ຂອງ spammer ຢ່າງຕໍ່ເນື່ອງ.

ລາຍຊື່ໂດເມນໄດ້ຖືກສ້າງຂື້ນກັບຂໍ້ມູນຈາກ ICANN Central Zone Data Service (CZDS). ຂໍ້ມູນບັນຊີດໍາຈາກ SURBL ແລະ SpamHaus ໂຄງການຕ່າງໆໄດ້ຖືກນໍາໃຊ້ເພື່ອສົ່ງຜົນກະທົບຕໍ່ການກໍານົດເວລາທີ່ແທ້ຈິງຂອງການລົງທະບຽນໂດເມນໃຫມ່ທີ່ອາດຈະມີບັນຫາ - ເຖິງແມ່ນວ່າຜູ້ຂຽນຍອມຮັບວ່າລັກສະນະທີ່ບໍ່ສົມບູນແບບຂອງລາຍຊື່ spam ສາມາດນໍາໄປສູ່ໂດເມນທີ່ອ່ອນໂຍນໂດຍບັງເອີນຖືກຈັດປະເພດເປັນແຫຼ່ງທີ່ມີທ່າແຮງຂອງ mail ຈໍານວນຫລາຍ.

ຫຼັງຈາກຈັບການສອບຖາມ DNS TXT ໄປຫາໂດເມນທີ່ລົງທະບຽນໃຫມ່ທີ່ພົບເຫັນຢູ່ໃນອາຫານ DNS passive, ພຽງແຕ່ການສອບຖາມທີ່ມີຂໍ້ມູນ SPF ທີ່ຖືກຕ້ອງຖືກເກັບຮັກສາໄວ້, ສະຫນອງຄວາມຈິງພື້ນຖານສໍາລັບ algorithms.

SPF ມີຈໍານວນຂອງຄຸນສົມບັດທີ່ສາມາດໃຊ້ໄດ້; ເອກະສານໃຫມ່ໄດ້ພົບເຫັນວ່າໃນຂະນະທີ່ເຈົ້າຂອງໂດເມນ 'benign' ສ່ວນຫຼາຍມັກໃຊ້ + ລວມທັງ ກົນໄກ, spammers ມີການນໍາໃຊ້ສູງສຸດຂອງ (ໃນປັດຈຸບັນປະຕິເສດ) +ptr ຄຸນນະສົມບັດ.

ການໃຊ້ກົດລະບຽບ SPF ຂອງ spammers, ເມື່ອທຽບກັບການນໍາໃຊ້ມາດຕະຖານ.

ການຄົ້ນຫາ +ptr ປຽບທຽບທີ່ຢູ່ IP ຂອງຈົດໝາຍທີ່ສົ່ງໄປຫາບັນທຶກອັນໃດກໍໄດ້ທີ່ມີສໍາລັບການເຊື່ອມໂຍງກັບ IP ນັ້ນກັບຊື່ເຈົ້າພາບ (ເຊັ່ນ GoDaddy). ຖ້າຊື່ເຈົ້າພາບຖືກຄົ້ນພົບ, ໂດເມນຂອງມັນຖືກປຽບທຽບກັບຊື່ທີ່ຖືກນໍາໃຊ້ຄັ້ງທໍາອິດເພື່ອອ້າງອີງເຖິງບັນທຶກ SPF.

spammers ສາມາດຂຸດຄົ້ນຄວາມເຂັ້ມງວດທີ່ປາກົດຂື້ນຂອງ +ptr ເພື່ອນໍາສະເຫນີຕົວເອງໃນຄວາມສະຫວ່າງທີ່ຫນ້າເຊື່ອຖືຫຼາຍ, ໃນຄວາມເປັນຈິງຊັບພະຍາກອນທີ່ຈໍາເປັນເພື່ອດໍາເນີນການຄົ້ນຫາ +ptr ໃນລະດັບຂະຫນາດເຮັດໃຫ້ຜູ້ໃຫ້ບໍລິການຈໍານວນຫຼາຍຂ້າມການກວດສອບທັງຫມົດ.

ໃນສັ້ນ, ວິທີທີ່ spammers ໃຊ້ SPF ເພື່ອຮັບປະກັນປ່ອງຢ້ຽມຂອງໂອກາດກ່ອນທີ່ຈະດໍາເນີນການ 'blast and burn' ເລີ່ມຕົ້ນ, ເປັນຕົວແທນຂອງລາຍເຊັນລັກສະນະທີ່ສາມາດ inferred ໂດຍການວິເຄາະເຄື່ອງຈັກ.

ລັກສະນະການພົວພັນ SPF ສໍາລັບໂດເມນຂີ້ເຫຍື້ອ.

ເນື່ອງຈາກ spammers ມັກຈະຍ້າຍໄປຢູ່ໃນຂອບເຂດ IP ແລະຊັບພະຍາກອນທີ່ໃກ້ຄຽງຫຼາຍ, ນັກຄົ້ນຄວ້າໄດ້ພັດທະນາເສັ້ນສະແດງຄວາມສໍາພັນເພື່ອຄົ້ນຫາຄວາມກ່ຽວຂ້ອງລະຫວ່າງຂອບເຂດ IP ແລະໂດເມນ. ເສັ້ນສະແດງສາມາດຖືກປັບປຸງເກືອບໃນເວລາຈິງເພື່ອຕອບສະຫນອງຂໍ້ມູນໃຫມ່ຈາກ SpamHaus ແລະແຫຼ່ງອື່ນໆ, ກາຍເປັນປະໂຫຍດແລະຄົບຖ້ວນສົມບູນໃນໄລຍະເວລາ.

ນັກຄົ້ນຄວ້າກ່າວວ່າ:

'ການສຶກສາໂຄງສ້າງເຫຼົ່ານີ້ສາມາດຊີ້ໃຫ້ເຫັນເຖິງໂດເມນຂີ້ເຫຍື້ອທີ່ມີທ່າແຮງ. ໃນຊຸດຂໍ້ມູນຂອງພວກເຮົາ, ພວກເຮົາພົບເຫັນ [ໂຄງສ້າງ] ທີ່ຫລາຍສິບໂດເມນໃຊ້ກົດລະບຽບ [SPF] ດຽວກັນແລະສ່ວນໃຫຍ່ຂອງພວກເຂົາປາກົດຢູ່ໃນບັນຊີດໍາ spam. ດັ່ງນັ້ນ, ມັນສົມເຫດສົມຜົນທີ່ຈະສົມມຸດວ່າໂດເມນທີ່ຍັງເຫຼືອມີແນວໂນ້ມທີ່ຈະຍັງບໍ່ທັນໄດ້ກວດພົບຫຼືບໍ່ແມ່ນໂດເມນ spam ທີ່ມີການເຄື່ອນໄຫວ.'

ຜົນການຄົ້ນຫາ

ນັກຄົ້ນຄວ້າໄດ້ປຽບທຽບການຊັກຊ້າຂອງການກວດສອບໂດເມນ spam ຂອງວິທີການຂອງພວກເຂົາກັບ SpamHaus ແລະ SURBL ໃນໄລຍະເວລາ 50 ຊົ່ວໂມງ. ພວກເຂົາເຈົ້າລາຍງານວ່າສໍາລັບ 70% ຂອງໂດເມນ spam ທີ່ຖືກກໍານົດ, ລະບົບຂອງຕົນເອງໄດ້ໄວຂຶ້ນ, ເຖິງແມ່ນວ່າການຍອມຮັບວ່າ 26% ຂອງໂດເມນ spam ທີ່ຖືກກໍານົດໄດ້ປາກົດຢູ່ໃນບັນຊີດໍາທາງການຄ້າໃນຊົ່ວໂມງຕໍ່ໄປ. 30% ຂອງໂດເມນຢູ່ໃນບັນຊີດໍາແລ້ວເມື່ອພວກມັນປາກົດຢູ່ໃນອາຫານ DNS passive.

ຜູ້ຂຽນຂໍຄະແນນ F1 ຂອງ 79% ຕໍ່ກັບຄວາມຈິງພື້ນຖານໂດຍອີງໃສ່ການສອບຖາມ DNS ດຽວ, ໃນຂະນະທີ່ວິທີການແຂ່ງຂັນເຊັ່ນ: Exposure ສາມາດຮຽກຮ້ອງໃຫ້ອາທິດຂອງການວິເຄາະເບື້ອງຕົ້ນ.

ເຂົາເຈົ້າສັງເກດເຫັນ:

'ໂຄງການຂອງພວກເຮົາສາມາດຖືກນໍາໃຊ້ໃນຂັ້ນຕອນຕົ້ນຂອງວົງຈອນຊີວິດໂດເມນ: ໂດຍໃຊ້ DNS passive (ຫຼື active), ພວກເຮົາສາມາດໄດ້ຮັບກົດລະບຽບ SPF ສໍາລັບໂດເມນທີ່ລົງທະບຽນໃຫມ່ແລະຈັດປະເພດພວກມັນທັນທີ, ຫຼືລໍຖ້າຈົນກ່ວາພວກເຮົາກວດພົບ TXT ໄປຫາໂດເມນນັ້ນແລະປັບປຸງໃຫມ່. ການຈັດປະເພດໂດຍໃຊ້ລັກສະນະທາງໂລກທີ່ຍາກທີ່ຈະຫຼົບຫຼີກ.'

ແລະສືບຕໍ່:

' [ຂອງພວກເຮົາ] ການຈັດປະເພດທີ່ດີທີ່ສຸດກວດພົບ 85% ຂອງໂດເມນ spam ໃນຂະນະທີ່ຮັກສາອັດຕາບວກທີ່ບໍ່ຖືກຕ້ອງພາຍໃຕ້ 1%. ຜົນໄດ້ຮັບການຊອກຄົ້ນຫາແມ່ນຫນ້າສັງເກດເພາະວ່າການຈັດປະເພດພຽງແຕ່ໃຊ້ເນື້ອຫາຂອງໂດເມນຂອງກົດລະບຽບ SPF ແລະຄວາມສໍາພັນຂອງພວກເຂົາ, ແລະຍາກທີ່ຈະຫລີກລ້ຽງລັກສະນະຕ່າງໆໂດຍອີງໃສ່ການຈະລາຈອນ DNS.

'ປະສິດທິພາບຂອງຕົວຈັດປະເພດຍັງຄົງສູງ, ເຖິງແມ່ນວ່າພວກເຂົາຈະໄດ້ຮັບພຽງແຕ່ລັກສະນະສະຖິດທີ່ສາມາດລວບລວມໄດ້ຈາກການສອບຖາມ TXT ດຽວ (ສັງເກດເຫັນແບບ passive ຫຼື active queried).'

ເພື່ອເບິ່ງການນໍາສະເຫນີກ່ຽວກັບວິທີໃຫມ່, ກວດເບິ່ງວິດີໂອທີ່ຝັງຢູ່ຂ້າງລຸ່ມນີ້:

ກະດາດ: ການກວດສອບເບື້ອງຕົ້ນຂອງ Spam Domains ດ້ວຍ Passive DNS ແລະ SPF

Paper: Early Detection of Spam Domains with Passive DNS and SPF

Watch this video on YouTube

ພິມຄັ້ງທຳອິດໃນວັນທີ 5 ພຶດສະພາ 2022.

ຫົວຂໍ້ທີ່ກ່ຽວຂ້ອງ:cybersecurity ການຄົ້ນຄວ້າ

ຂຶ້ນຕໍ່ໄປ

ການລັກເອົາຕົວແບບການຮຽນຮູ້ເຄື່ອງຈັກຜ່ານ API Output

ຢ່າພາດ

ການກວດສອບທາງຊີວະມິຕິໂດຍການຖູແຂ້ວຂອງເຈົ້າ

Martin Anderson

ນັກຂຽນກ່ຽວກັບການຮຽນຮູ້ເຄື່ອງຈັກ, ປັນຍາປະດິດ ແລະຂໍ້ມູນໃຫຍ່.
ເວັບໄຊສ່ວນຕົວ: martinanderson.ai
ຕິດຕໍ່: [email protected]
Twitter: @manders_ai

Unite.AI

ການຄາດເດົາໂດເມນ Spam ໃຫມ່ຜ່ານການຮຽນຮູ້ເຄື່ອງຈັກ

Cybersecurity