Newsfeed abonnieren
Der Grund für das Versagen gängiger Spamfilter-Techniken ist die immer ausgefeiltere Tarnung der Spam-E-Mails. Der Einfallsreichtum und die zunehmend kriminellen Beweggründe von Spammern zwingen die Hersteller von Sicherheitslösungen zu immer schnelleren, intelligenten Abwehrmechanismen.
Ziel ist es, einen automatischen Prozess zu entwickeln, der die Eigenschaften von Spam schnell erkennt und selbständig auf Veränderungen im Dateicode reagieren kann, ohne das E-Mailprogramm auszubremsen. Mit seiner auf künstlichen neuronalen Netzen basierenden Erkennungstechnologie NeuNet hat der Sicherheitsspezialist BitDefender eine innovative Lösung für diese anspruchsvolle Aufgabe gefunden.
Künstliche Intelligenz: die Natur als Vorbild
Ein künstliches neuronales Netzwerk ähnelt in seiner Funktionsweise einem biologischen Nervensystem wie beispielsweise dem Gehirn. Es sammelt und verarbeitet kontinuierlich große Mengen unterschiedlicher Informationen und kann daher sofort auf Veränderungen reagieren. Es besteht aus einer Vielzahl aktiver Bestandteile, den so genannten Neuronen. Jedes Neuron hat einen inneren Zustand - den sogenannten "Erregungszustand" - der in Abhängigkeit zu den Reizen steht, die es von seiner Umgebung erhält.
Neuronale Netze zeichnen sich dadurch aus, dass sie komplexe Muster erlernen können, ohne dazu die zugrunde liegenden Regeln kennen zu müssen. Dennoch müssen sie vor dem Einsatz trainiert werden, um einen Erfahrungsschatz aufbauen zu können, an Hand dessen sich Klassifizierungen vornehmen lassen.
So erkennen neurale Netze Spam
Um unerwünschte E-Mails zuverlässig zu erkennen, haben die Sicherheitspezialisten von BitDefender zunächst über einen bestimmten Zeitraum hinweg große Mengen an Spam- und Non-Spam-Mails gesammelt, deren Eigenheiten studiert und einen Prozess entwickelt, der ohne menschliches Zutun dazulernt. Da Spam in unterschiedliche Kategorien aufgeteilt werden kann, wurden im nächsten Schritt mehrere neuronale Netzwerke in einer hierarchischen Baumstruktur verknüpft.
Jedes einzelne neuronale Netzwerk ist dabei auf eine andere Spam-Art spezialisiert. Dadurch können große Datenmengen schneller bearbeitet werden, gleichzeitig lässt sich so die Erkennungsgenauigkeit erhöhen.
Aktuelle Beispiele für Spam-E-Mails mit betrügerischen Absichten sind die sogenannten Phishing-E-Mails. Mit deren Hilfe versuchen Spammer, sich illegal Informationen über Kreditkarten-Daten zu verschaffen. Ebenfalls weit verbreitet sind auch die elektronischen Hilferufe vermeintlich wohlhabender Hilfesuchender aus Nigeria, die Geld außer Landes schaffen wollen und dabei angeblich auf die Hilfe von außen angewiesen sind. Obwohl sich beide E-Mail-Arten in ihrem Erscheinungsbild unterscheiden, gehören sie der Klasse der kriminellen Spam-E-Mails an. Jede Untergruppe hat ihre eigenen Charakteristika, die weitere Unterkategorien entstehen lässt. Wenn ein Modul des neuronalen Netzwerkes während des Trainings keine passende Kategorie für ein bestimmtes Muster findet, erstellt das neuronale Netz selbstständig eine neue Kategorie - bildlich gesehen ein neues Blatt am Baum. So lässt sich der gesamte Datenverkehr klassifizieren und in "erwünschte", "unerwünschte" und "fragwürdige" E-Mails filtern.
Jede eingehende E-Mail wird zunächst einer heuristischen Analyse unterzogen. Lässt sich die E-Mail keiner passenden Kategorie zuordnen, so wird die Nachricht als "erwünscht" definiert. Ergibt die Analyse Hinweise auf die Spam-Kategorie, wird die E-Mail an das neuronale Netzwerk weitergegeben, das auf diesen Typ Spam spezialisiert ist und der Algorithmus wiederholt sich. Ergibt der zweite Suchlauf keine eindeutige Klassifizierung, dann wird die E-Mail als "erwünscht" eingestuft und landet im Postfach.
Mehr Informationen, mehr Ergebnisse: Neuronale Netze brauchen Input
Die Entdeckungsrate steigt mit der Zahl der Informationen, die vom neuronalen Netz verarbeitet werden - das System lernt hinzu. Theoretisch ist eine Erkennungsrate von bis zu 100 Prozent möglich. Außerdem lassen sich beliebig viele Heuristiken hinzufügen, ohne dass Einbußen in Bezug auf die Leistung der E-Maillösung befürchtet werden müssen.
BitDefender-Entwickler haben die NeuNet-Technologie anhand von mehr als zwei Millionen E-Mails getestet (80 Prozent davon wurden in der Trainingsphase und 20 Prozent während der Tests verwendet). Das Ergebnis war eine viel versprechende Endeckungsrate von 99,7 Prozent in der Trainingsphase und 97,6 Prozent in der Testphase. Gleichzeitig arbeitete das System weitaus schneller als herkömmliche Heuristik-Filter.
Hier gratis downloaden!
1/2012
8/2011
7/2011
Dr. Manfred Wöhrl ist Geschäftsführer der R.I.C.S. EDV-GmbH (Research Institute for Computer Science, www.rics.at), spezialisiert auf Securitychecks und Security-Consulting. 