Please use this identifier to cite or link to this item:
http://hdl.handle.net/1843/BUBD-9JTMUS| Type: | Dissertação de Mestrado |
| Title: | Identificação e caracterização de campanhas de spam a partir de honeypots |
| Authors: | Pedro Henrique Calais Guerra |
| First Advisor: | Wagner Meira Junior |
| First Co-advisor: | Dorgival Olavo Guedes Neto |
| First Referee: | Cristine Hoepers |
| Second Referee: | Klaus Steding-jessen |
| Third Referee: | Virgilio Augusto Fernandes Almeida |
| Abstract: | Este trabalho apresenta uma metodologia para caracterização de estratégias de disseminação de spams a partir da identificação de campanhas. Para entender com profundidade como spammers abusam os recursos da rede e constróem suas mensagens, uma análise agregada das mensagens de spam não é suficiente. O agrupamento de mensagens de spam em suas respectivas campanhas permite revelar comportamentos que não poderiam ser percebidos ao considerar o conjunto de mensagens como um todo. Este trabalho propõe uma técnica para identificação de campanhas de spam baseada na construção de uma Árvore de Padrões Frequentes, capaz de capturar os invariantes no conteúdo das mensagens e detectar mensagens que diferem apenas por características ofuscadas e variadas aleatoriamente por spammers. A técnica foi capaz de agrupar um conjunto de 350 milhões de mensagens em 57.851 campanhasdistintas. Em seguida, essas campanhas foram caracterizadas em termos de seus conteúdos e da forma como exploram recursos da rede. A partir da aplicação de algoritmos de mineração de regras de associação, foi possível determinar co-ocorrência de atributos das campanhas que revelam diferentes estratégias de disseminação de spams. Em particular, foram determinadas relações significativas entre a origem do spam e a forma como ele é disseminado na rede,entre sistemas operacionais e tipos de abuso e na forma como spammers encadeiam abusos entre máquinas na rede para entregar mensagens enquanto mantém anonimato. Os dados utilizados no trabalho foram coletados a partir de honeypots de baixa-interatividade que emulam proxies e relays abertos, comumente abusados por spammers. A coleta dos dados por esses emuladores estabeleceu uma visão do tráfego de spams antes que as mensagens fossem entregues aos destinatários, o que permitiu a determinação das diferentes estratégias de entrega de mensagens empregadas por spammers. |
| Abstract: | This work presents a methodology for the characterization of spamming strategies based on the identification of spam campaigns. To deeply understand how spammers abuse network resources and obfuscate their messages, an aggregated analysis of spam messages is not enough. Grouping spam messages into campaigns is important to unveil behaviors that cannot be noticed when looking at the whole set of spams collected. We propose a spam identification technique based on a frequent pattern tree, which naturally captures the invariants on message content and detect messages that differ only due to obfuscated fragments. The technique was able to group 350 million messages into 57,851 distinct campaigns. After that, we characterize these campaigns both in terms of content obfuscation and exploitation of networkresources. Our methodology includes the use of attribute association analysis: by applying an association rule mining algorithm, we were able to determine co-occurrence of campaign attributes that unveil different spamming strategies. In particular, we found strong relationsbetween the origin of the spam and how the network was abused, between operating systems and types of abuse and patterns that describe how spammers chain machines over the Internetto conceal their identities. Data was collected from low-interaction honeypots emulating open proxies and open relays, traditionally abused by spammers. The data collected from these emulators created a vantage point of spams from inside the network, before the messages were delivered to recipients, and that allowed the determination of the different strategies adopted by spammers to deliver their messages. |
| Subject: | Redes de computadores Medidas de segurança Computação Mineração de dados (Computação) |
| language: | Português |
| Publisher: | Universidade Federal de Minas Gerais |
| Publisher Initials: | UFMG |
| Rights: | Acesso Aberto |
| URI: | http://hdl.handle.net/1843/BUBD-9JTMUS |
| Issue Date: | 9-Mar-2009 |
| Appears in Collections: | Dissertações de Mestrado |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| ciencomputacao_pedrohenriquecalaisguerra_dissertacao.pdf | 4.67 MB | Adobe PDF | View/Open |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.