1 / 18

Chování uživatelů elektronické pošty

Chování uživatelů elektronické pošty. Kamil Malinka Dan Cvrček. Úvod. Motivace Anonymitní systémy I. Chování uživatelů elektronické pošty Charakteristiky emailové komunikace Zkoumání vlivu vzorů emailové komunikace na anonymitu II. Základní vlastnosti sociálních sítí Scale free sítě

jalila
Download Presentation

Chování uživatelů elektronické pošty

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Chování uživatelů elektronické pošty • Kamil Malinka • Dan Cvrček DATAKON 22.10.2007

  2. Úvod • Motivace • Anonymitní systémy • I. Chování uživatelů elektronické pošty • Charakteristiky emailové komunikace • Zkoumání vlivu vzorů emailové komunikace na anonymitu • II. Základní vlastnosti sociálních sítí • Scale free sítě • Závěr DATAKON 22.10.2007

  3. Motivace • současnéproblémy v počítačové bezpečnosti: • zachování soukromí • zajištěnídůvěry • Anonymitnísystémy (AS) zajišťujíkomunikační soukromí • Znalost bezpečnostních limitů u AS je na vysoké úrovni • Žádný platný koncept týkající se chování uživatelů • Porovnání oproti agregovanému chování ostatních uživatelů • Využití modelů chování • Analýza síťového provozu • Agentnísystémy • Problém: potřeba velkého množství dat DATAKON 22.10.2007

  4. Mixery, mixnetya spol. • První návrh mixu publikovánr.1981 - David Chaum • Mix = “router” který se snaží ukrýt vztah mezi vstupem a výstupem • Kombinace různých technik: • Dělení zpráv, náhodná zpoždění, různé trasy apod. • Typymixů: • časovaný mix – každá zpráva je náhodně zpožděna • prahový mix – čekaní na přijetí určitého počtu zpráv • zásobníkový mix – specializace prahového, je mixována podmnožina přijatých zpráv • kaskádový mix – dva výstupy DATAKON 22.10.2007

  5. Cíle práce • Demonstrace vlastností skutečné emailové komunikace • Ukázání identifikovatelných sociálních sítí a vlivu komunikačních vzorů na AS • Konfrontace teoretických útoků s reálnými daty • Využívají nedokázané předpoklady o chování uživatelů • Zdrojem dat jsou reálné SMTP záznamy • Zaznamenaná emailová komunikace několika fakult VUT v Brně • přibližně 10 millionůzáznamů (více než 5 mil. spam) DATAKON 22.10.2007

  6. Struktura dat • Základní množina dat z období cca 40 dní – léto 2006 • Záznamy byly před zpracováním anonymizovány • Struktura záznamů: • MD5 haš emailové adresy odesilatele a příjemce • MD5 haš domény adresy odesilatele a příjemce • přesný čas, odeslání emailové zprávy, • MD5 haš z “message ID”, pokud existuje (součást hlavičky emailu), • SpamAssassin scoring – pouze zprávy menší, než cca 100 kB jsou hodnoceny, větší zprávy mají hodnotu nastavenou na 0 • Příznak o virovosti či spamu • velikost emailu v bajtech. DATAKON 22.10.2007

  7. Předmět analýzy • časová zpoždění mezi zprávami • počet zpráv odeslaných určitým uživatelem • velikost emailových zpráv • sociální sítě • Výsledky mají zlepšit porozumnění bezpečnostních (anonymitních) možností anonymitních systémů v reálných aplikacích. • Též mohou být zajímavé i z hlediska studia sociálních struktur a jejich vlivu na chování uživatelů informačních systémů. DATAKON 22.10.2007

  8. Pravděpodobnost příchodu další zpráv v sekundách neodpovídá Poissonovu rozložení Rozložení velikosti zpráv Ideální velikost bloku je okolo 30KB Počet zpráv v časových oknech o velikosti 10, 20 a 60 minut Výsledky analýz I. DATAKON 22.10.2007

  9. Zpoždění na mixu pro okna 128 a 1024 zpráv. Časové zpoždění na mixu v závislosti na denní hodině Výsledky analýz II. DATAKON 22.10.2007

  10. Pravděpodobnostní rozdělení příjemců zpráv • pravidlo (80/20) – 80% zpráv jsou doručeny 20% potenciálních příjemců daného uživatele • Výsledek očekáván, ale v reálných datech nezjištěn… • Nalezena v podstatě pouze lineární závislost se skoky • Pečlivý výběr uživatelů vedl přinejlepším k pravidlu 40/20 nebo 75/50 DATAKON 22.10.2007

  11. Sociální sítě • Struktura komunikace uvnitř domén • 8 domén s více než 500 různými emailovými adresami • Velká grafová komponenta skládající se z více než 50% všech uzlů, výskyt v každé doméně • Útočník může velmi úspěšně snížit anonymitu uživatelů v menší sociální síti • Anonymita ve hlavním grafu je snížena též, i když méně • Existence „administrátorů“ v každé doméně • Jejich komunikace způsobuje velké deformace v distribuci zpráv DATAKON 22.10.2007

  12. Scale-free sítě • data obsahují relativně hodně detailů ohledně chování uživatelů • v analytických modelech můžeme sociální sítě nahradit tzv. scale-free sítěmi: • P(x) = x-α • x… mohutnost uzlu • P(x) … pravděpodobnost výskytu uzlu s danou mohutností • α .. konstantní parametr • korektní hodnota parametruαje mezi 2.3 – 2.5 • tyto hodnoty odpovídají grafům mezi-doménové komunikace i grafu popisující celkovou komunikaci DATAKON 22.10.2007

  13. DATAKON 22.10.2007

  14. Závěr • Popsali jsme několik základních vlastností sociálních sítí a emailové komunikace • Možnost využití získaných dat pro reálnější simulační modely • Ukázali jsme existenci sociálních sítí a diskutovali možnost jejich využití u různých útoků na soukromí • Na základě předložených dat je možné odhadnout, jak moc se zhorší vlastnosti mixu – buď s ohledem na zpoždění, nebo s ohledem na anonymitu jeho uživatelů v závislosti na denní hodině, nebo dni v týdnu. DATAKON 22.10.2007

  15. Děkuji za pozornost! Otázky? DATAKON 22.10.2007

  16. Intersection attack • Intersection attack – spojení odesílatele a příjemce • Předpokládá vytvoření profilu popisující chování vybraného uživatele • Profil je využit pro výpočet průniku s anonymizovaným provozem • Množina možných příjemců je proniknuta s uživatelským profilem • Pokládán za silný útok, kvůli existenci stereotypů v chování DATAKON 22.10.2007

  17. Profilování uživatelů • několik přístupů profilování uživatelů • finální přístup: • vytvoření obecného profilu celé domény • porovnání uživatelských profilů oproti obecnému profilu • nejzajímavější – použití geometrické vzdálenosti • čtverec vzdáleností/ čtverec počtu všech zpráv • pěkné rozprostření uživatelů DATAKON 22.10.2007

  18. Dlouhodobé profilování • provoz největší domény rozdělen po 2 měsíčních intervalech kvůli hledání změn v chování uživatelů • limit na minimální počet zpráv poslaných daným uživatelem • graf – uživatelé setříděni podle rozdílů mezi minimálními a maximálními hodnotami • okolo 2/3 uživatelů má variacev chování menší 10% • možné vytváření dlouhodobých uživatelských profilů • potřeba hlubší analýza DATAKON 22.10.2007

More Related