«Бритва» для спама. Обзор анализатора Razor::Журнал СА 9.2005
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6144
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6857
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4140
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2978
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3781
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3789
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6283
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3134
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3434
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7246
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10616
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12336
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13969
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9100
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7053
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5362
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4594
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3402
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3129
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3379
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3000
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 «Бритва» для спама. Обзор анализатора Razor

Архив номеров / 2005 / Выпуск №9 (34) / «Бритва» для спама. Обзор анализатора Razor

Рубрика: Безопасность /  Электронная почта

СЕРГЕЙ СУПРУНОВ

«Бритва» для спама

Обзор анализатора Razor

За последние десятилетия человечество научилось довольно успешно бороться с компьютерными вирусами. А почему бы не использовать подобные методы и для борьбы со спамом? Один из таких подходов реализован в пакете Vipul’s Razor.

Система Razor является сигнатурным анализатором, принцип действия которого заключается в следующем. Чтобы определить, является ли сообщение спамом, система рассчитывает его сигнатуру (чтобы не реагировать на незначительные модификации, применяются различные алгоритмы получения нечетких сигнатур) и сверяет ее с базой спама, собираемого по всему миру. Если соответствие находится, то анализируемое письмо считается спамом и обрабатывается согласно дальнейшим настройкам. Если же совпадение не обнаружено, сообщение доставляется получателю как обычно. То есть подобные анализаторы действуют аналогично антивирусным пакетам, позволяя отлавливать известные экземпляры спама.

Установка системы…

…никаких сложностей вызвать не должна. На системах FreeBSD наиболее удобный путь инсталляции дополнительных приложений – использование коллекции портов.

После несложной и непродолжительной инсталляции в каталоге /usr/local/bin появятся пять программ, о назначении которых мы поговорим в дальнейшем:

# ls -la razor*

-r-xr-xr-x  1 root  wheel  933 30 авг 11:25 razor-admin

-r-xr-xr-x  1 root  wheel  935 30 авг 11:25 razor-check

-r-xr-xr-x  1 root  wheel  636 30 авг 11:25 razor-client

-r-xr-xr-x  1 root  wheel  939 30 авг 11:25 razor-report

-r-xr-xr-x  1 root  wheel  939 30 авг 11:25 razor-revoke

Более универсальный путь инсталляции, пригодный практически для всех UNIX- и Linux-систем, – установка из исходных кодов. Здесь тоже все банально. Скачиваем последний архив razor-agents с исходниками с сайта проекта (http://razor.sourceforge.net), распаковываем и затем:

# perl Makefile.PL PREFIX=/usr/local

# make

# make test

# make install

Естественно, в качестве префикса вы можете указать любой путь, который лучше соответствует организации вашей системы. Для успешной работы в системе должны быть установлены следующие модули Perl: Time::HiRes, Digest::SHA1, MIME::Base64, Test::Simple, Test::Harness, Getopt::Long, File::Copy и URI::Escape. Чтобы не возиться с их установкой по отдельности, можно скачать и поставить пакет razor-agents-sdk.

Кроме того, в сети можно найти RPM- и прочие пакеты, подготовленные для удобной установки на тот или иной дистрибутив Linux. Правда, на сайте проекта ссылки на такие пакеты отсутствуют.

На этом установку можно считать завершенной, перейдем к первоначальной настройке.

Чтобы все заработало…

…потребуется выполнить несколько несложных действий. Хотя нужно заметить, что и в конфигурации по умолчанию Razor способен работать не хуже. Тем не менее, всегда лучше иметь определенный уровень контроля над работой установленных программ, поэтому приступим к первоначальной настройке.

Прежде всего потребуется создать для Razor рабочий каталог, где он будет хранить свои лог-файлы, кэш и т. п. Если этого не сделать, то при первом запуске Razor домашний каталог будет создан в домашней директории запустившего его пользователя под именем .razor.

Создать же домашний каталог в удобном вам месте позволит команда:

# razor-admin -home=/usr/home/serg/.razor -create

# ls -l .razor

-rw-r--r--  1 root  serg  484  7 сен 10:50 server.joy.cloudmark.com.conf

-rw-r--r--  1 root  serg   20  7 сен 10:50 servers.catalogue.lst

-rw-r--r--  1 root  serg   22  7 сен 10:50 servers.discovery.lst

-rw-r--r--  1 root  serg   38  7 сен 10:50 servers.nomination.lst

Как видите, этой командой в указанном каталоге мы создаем необходимые для работы файлы.

Если вы планируете стать активным участником системы Razor и отсылать в центральную базу сообщения, которые вы сочли спамом, но которые не были определены системой, вам необходимо дополнительно зарегистрироваться на сервере, для чего используется команда:

# razor-admin -home=/usr/home/serg/.razor –register

Register successful.  Identity stored in /usr/home/serg/.razor/identity-duej3i5wNF

В итоге вы получите личный идентификатор, и для вас система будет вести статистику по «рапортам» (как их отсылать, рассмотрим немного позже). Если вы часто будете пересылать как спам сообщения, другими участниками в качестве такового не рассматриваемые, то ваш рейтинг доверия упадет. Это позволяет снизить возможность проведения атак, нацеленных на компрометацию системы путем повышения числа ложных срабатываний.

Дополнительно тонкую подстройку поведения системы можно выполнить, указывая необходимые опции в конфигурационном файле /usr/local/etc/razor-agent.conf. В процессе инсталляции он не создается, но вы можете сформировать его принудительно следующей командой:

# razor-admin -create -conf=/usr/home/serg/.razor/razor-agent.conf

При этом указанный файл будет заполнен значениями по умолчанию, которые вы в дальнейшем сможете подкорректировать в соответствии со своими предпочтениями и конкретными условиями.

Подробнее с параметрами конфигурации вы сможете ознакомиться на странице man razor-agent.conf(1) (хотя правильнее было бы поместить эту справку в пятый раздел).

Выполнить проверку почты на спам…

…позволяет команда razor-check. Например, так можно просканировать содержимое вашего почтового ящика:

# razor-check -home=/usr/home/serg/.razor ./serg

11

15

21

24

Данная команда выводит на экран номера сообщений, которые, по ее мнению, являются спамом. На момент тестирования в ящике serg лежало 10 бережно сохраненных спамовых писем, но Razor распознал лишь четыре – два англоязычных, и два – отечественного производства. На остальные фильтр никак не отреагировал.

В принципе столь низкая точность распознавания объясняется не очень высокой популярностью данного сервиса на просторах российского Интернета, и потому «родной» спам весьма слабо представлен в базах Razor.

Однако сразу оговорюсь, что полученный мною результат отнюдь не претендует на статус официального тестирования. Тем более что на столь небольшом количестве образцов получить достоверные результаты практически невозможно. Это следует рассматривать просто как первое впечатление – что получилось, о том и написал.

Чтобы спам отсеивался автоматически…

…придется прибегнуть к вспомогательным средствам. Наиболее эффективным выглядит взаимодействие с procmail. На страницах справочного руководства приводится три примера подключения Razor:

Чтобы изменить тэг «Subject» в заголовке писем:

:0 Wc

| razor-check

:0 Waf

| formail -i "Subject: Razor Warning: SPAM/UBE/UCE"

Добавляет тэг «X-Razor2-Warning» в заголовок сообщений:

:0 Wc

| razor-check

:0 Waf

| formail -A "X-Razor2-Warning: SPAM."

Помещает спам в отдельный почтовый ящик:

:0 Wc

| razor-check

:0 Waf

/home/foo/Mail/razor-caught

Подробности смотрите в справке по procmail.

Если Razor ошибся…

…вы можете указать ему на его ошибку, переслав пропущенный спам командой razor-report либо «отозвав» из базы нормальное сообщение, ошибочно признанное спамом, с помощью команды razor-revoke. В обоих случаях вы должны быть зарегистрированы в системе (см. выше). Подробности смотрите на man-страницах этих команд.

И в итоге получилось…

…что Razor можно лишь с некоторой с натяжкой считать полезным инструментом для определения спама. В составе других средств, например, Spamassassin, эта система еще позволит увеличить качество детектирования нежелательной почты. Однако его самостоятельное использование, тем более в Рунете, вряд ли можно рассматривать как эффективное решение. Особенно в условиях современного «быстрого» спама, когда рассылка завершается в течение одного-двух часов, чего, как правило, недостаточно для накопления достоверного количества «рапортов». Если к этому добавить еще и все более изощренные способы «индивидуализации» каждого рассылаемого сообщения, с которыми даже нечеткие сигнатуры справляются далеко не всегда, то можно с грустью констатировать, что сигнатурные анализаторы доживают свой век, и вряд ли на них следует делать ставку при построении оборонительных сооружений на своем сервере.

Удачи.

Краткая справка

Система Razor увидела свет в мае 2000 года. Летом 2002 года был выпущен первый релиз второй ветки (Razor v2). В настоящее время актуальной является версия 2.77, вышедшая 19 июля 2005 года. Распространяется под лицензией ARTISTIC. Помимо версии для POSIX-систем, компанией Cloudmark разрабатывается Razor для программ Outlook и Outlook Express под именем SpamNet.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru