Корректное тестирование качества антиспам-продуктов

Содержание

Слайд 2

Постановка задачи

Зачем тестировать:
оценка возможного эффекта от внедрения антиспама;
cравнение продуктов разных вендоров и

Постановка задачи Зачем тестировать: оценка возможного эффекта от внедрения антиспама; cравнение продуктов
выбор между ними;
подбор оптимальных настроек антиспам-системы.
Требования к методике:
числовые метрики;
воспроизводимость;
возможность самостоятельного получения результатов;

Слайд 3

Определения

СПАМ - анонимные незапрошенные массовые рассылки электронной почты (как правило, имеющие рекламный

Определения СПАМ - анонимные незапрошенные массовые рассылки электронной почты (как правило, имеющие
характер).
Нежелательная почта – более широкий класс сообщений, кроме спама это:
подписные рассылки от которых забыли отписаться;
квитанции от почтовых систем и другие технические сообщения;
ошибочные письма;
вирусы (для них есть антивирусы);
и так далее....
Нежелательную почту часто тоже называют спамом.

Слайд 4

Потери от спама и антиспама

Потери от спама:
лишний сетевой трафик;
потери времени и концентрации

Потери от спама и антиспама Потери от спама: лишний сетевой трафик; потери
сотрудников при разборе спама;
потери нормальной почты «в груде спама».
Потери от антиспам-фильтров:
ошибочная классификация сообщений как спама (такие письма не будут прочитаны);
затраты на закупку и внедрение;
затраты на поддержку (включая трафик).
Цель фильтрации спама – минимизация общих потерь организации.

Слайд 5

Критерии оценки качества

Нужно одновременно использовать два критерия:
Доля ложных тревог (false positive, FP)

Критерии оценки качества Нужно одновременно использовать два критерия: Доля ложных тревог (false
– нормальных сообщений отклассифицированых как спам.
Доля пропусков спама (false negative).
Идеального решения (0% ложных тревог и 100% определения спама) на сегодня не существует, даже отсутствие фильтрации приводит к потерям почты из-за ошибок пользователей.
Для деловой переписки, уровень ложных тревог является определяющим критерием.
Разумный уровень ложных тревог: ниже чем количество ошибок у человека (т.е. ниже 0.1-0.01%).

Слайд 6

Ложные тревоги

Отношение числа ложно отклассифицированных как спам сообщений к общему числу не-спам

Ложные тревоги Отношение числа ложно отклассифицированных как спам сообщений к общему числу
сообщений (ошибка: считать долю от всей почты, включая спам).
Уровень серьезности ложных тревог:
Критические: ложная классификация важной личной и деловой почты.
Некритические: ложная классификация массовых новостных рассылок, открыток и подобной «неважной» почты.

Слайд 7

Требования к методике тестирования

Тестировать нужно на реальном потоке почты, а не тестирование

Требования к методике тестирования Тестировать нужно на реальном потоке почты, а не
на архивах почты (интересует скорость реакции антиспам-систем на реальные спам-рассылки)
Достаточная протяженность тестирования по времени, 2-3 недели и более (для сглаживания колебаний спам-трафика).
Достаточный объем трафика: десятки тысяч сообщений и более (для оценки уровня ложных срабатываний).
Достаточное количество почтовых ящиков, принимающих участие в тестах: десятки и более (спам у всех разный).

Слайд 8

Требования к методике тестирования (продолжение)

Нельзя пересылать (forward) почту (потеря части данных исходного

Требования к методике тестирования (продолжение) Нельзя пересылать (forward) почту (потеря части данных
сообщения).
Нельзя отвергать (reject) почту (невозможно проверить ложные срабатывания).
Нужен ручной анализ результатов (т.к. нет определения «спама», пригодного для автоматического анализа).
Равные условия для сравниваемых продуктов.
Единое определение спама и критичности ложных срабатываний для сравниваемых продуктов.

Слайд 9

«Черный ящик» или понимание принципов работы фильтра ?

Принцип «черного ящика» - не

«Черный ящик» или понимание принципов работы фильтра ? Принцип «черного ящика» -
требует знаний о методах работы фильтра. Можно притвориться «наивным пользователем»
Недостатки подхода:
Все антиспам-системы нуждаются в настройке.
У каждого метода (фильтра, решения) свои особенности, которые нужно учитывать.
При тестировании нескольких систем одновременно, нужно дать всем им необходимые для работы данные;
возможны наведенные ошибки, влияющие на результаты.

Слайд 10

Особенности: RBL-системы

Одно спам-письмо отправляется многократно и многократно отвергается, потом все-таки доставлено.
Результат: показатели

Особенности: RBL-системы Одно спам-письмо отправляется многократно и многократно отвергается, потом все-таки доставлено.
качества (отношение числа reject-ов к количеству доставленных писем) завышены, хотя речь про единственное письмо.
При отвержении (reject) писем нельзя оценить уровень ложных срабатываний.
RBL – системы реального времени, нельзя тестировать на архивах.
RBL-системы нельзя тестировать с пересылкой почты.

Слайд 11

Особенности: фильтры с обновлениями

Нельзя тестировать на архивах:
образец (сигнатура) письма может быть уже

Особенности: фильтры с обновлениями Нельзя тестировать на архивах: образец (сигнатура) письма может
удален из БД;
образец мог отсутствовать на момент прихода письма, но имеется в БД на момент тестирования;
следовательно, тестируя не в реальном времени мы получим искаженные представления о качестве.
Обновления должны быть включены и доходить до антиспама

Слайд 12

Особенности: статистические фильтры

Статистическим фильтрам свойственно «переобучение», следовательно тестирование должно быть длительным (недели-месяцы)
Нужно

Особенности: статистические фильтры Статистическим фильтрам свойственно «переобучение», следовательно тестирование должно быть длительным
переобучение в режиме реальной эксплуатации
Наведенные эффекты: статистические фильтры могут обучаться по меткам других антиспам-систем, нужно учитывать при одновременном тестировании
Тестирование на архивах может завысить качество за счет ошибок при составлении обучающей выборки.

Слайд 13

Ошибки: последовательное соединение фильтров

Фильтр Б проверяет поток спама после фильтра А. Если

Ошибки: последовательное соединение фильтров Фильтр Б проверяет поток спама после фильтра А.
пропускает, то «распознал не все»
Необходимость «зеркальной» схемы (А после Б)
Таблица результатов:
распознано/пропущено А,Б, обоими фильтрами;
ложные тревоги А, Б, у обоих.

Слайд 14

Ошибки: пересылка спама

При пересылке теряются данные почтовой сессии:
IP-адрес посылающей стороны
Параметры SMTP-сессии (HELO,

Ошибки: пересылка спама При пересылке теряются данные почтовой сессии: IP-адрес посылающей стороны
MAIL FROM)
Заголовки письма (добавляется лишний Received, метки антиспам-систем)
Если тестируемая система учитывает эти данные, то результаты тестирования будут ошибочными

Слайд 15

Ошибки: тестирование на коллекциях

Трудность в сборе коллекций:
Вручную много не набрать, у разных

Ошибки: тестирование на коллекциях Трудность в сборе коллекций: Вручную много не набрать,
пользователей разные критерии
Отбор программой аналогичен последовательному соединению фильтров
Поток спама на ловушках может отличаться от среднего
Трудно набрать хорошую базу легитимной почты
Данные антиспам-программ быстро меняются (RBL, базы обновлений), архивы могут быть устаревшими. На коллекциях невозможно оценить скорость реакции.
Невозможно воспроизвести окружение при приеме письма

Слайд 16

Ошибки: статистические системы

Проблемы с обучающей выборкой:
Обучение и тестирование на одной коллекции (даст

Ошибки: статистические системы Проблемы с обучающей выборкой: Обучение и тестирование на одной
замечательные результаты).
Деление архива пополам, учим на одной половине, тестируем на другой: дубли сообщений попадут в обе выборки, качество будет завышенным.
Наличие в сообщениях меток от других антиспам-программ.

Слайд 17

Пример тестирования

Тестовая площадка: @lexa.ru:
персональный домен с 9-летней историей;
«засвеченный» адрес [email protected], кроме него

Пример тестирования Тестовая площадка: @lexa.ru: персональный домен с 9-летней историей; «засвеченный» адрес
~30 почтовых ящиков, включая ловушки;
2500-2700 cпам-сообщений в сутки (рост в 3-4 раза за год);
разнообразная почта: разные языки, разные темы, много разовых корреспондентов, 150-600 сообщений в сутки (включая рассылки);
много спама, пересылаемого в качестве внутрифирменной переписки;
установлено 3 антиспам-системы (одна из них – в трех вариантах настроек одновременно),
тестирование ведется постоянно уже более двух лет.

Слайд 18

Анализ пропусков и ложных срабатываний

Пропуски и ложные срабатывания:
Вся почта, распознанная как спам

Анализ пропусков и ложных срабатываний Пропуски и ложные срабатывания: Вся почта, распознанная
(т.е. не попавшая в Inbox), пересылается в лингвистическую лабораторию «Лаборатории Касперского», где просматривается вручную.
Весь попавший в Inbox спам просматривается вручную и архивируется.
Таким образом, все результаты работы программных фильтров просматриваются человеком.
Статистика может быть получена за все время хранения архива.

Слайд 19

Особенности настройки

Система с использованием RBL и анализом данных SMTP-сесии: установлена первой в

Особенности настройки Система с использованием RBL и анализом данных SMTP-сесии: установлена первой
цепочке фильтров.
Система с использованием статистики: явно запрещено использовать метки от других фильтров.
Собственные черные и белые списки: не используются, но при анализе ложных срабатываний учитывается, что письмо от постоянного корреспондента могло бы быть пропущено белым списком.

Слайд 20

Пример результатов

* без учета срабатывания на пересылаемых образцах спама;
** - основные ложные

Пример результатов * без учета срабатывания на пересылаемых образцах спама; ** -
срабатывания на сообщениях от «роботов» (системы регистрации, системы заказа товара и т.п.), небольшая часть – на рассылках (втч. рабочих);
*** - из всех FP: – половина на письмах от роботов, 10% - подписные рассылки, остальное – важная почта.
На примере S2 видно, что уровень обнаружения и ложные срабатывания – противоречивые требования

S1,S2,S3 – три антиспам-системы (S2 – в трех конфигурациях),
настроены так, чтобы не зависеть друг от друга.

Имя файла: Корректное-тестирование-качества-антиспам-продуктов.pptx
Количество просмотров: 99
Количество скачиваний: 0
- Предыдущая
Язык SQL
Следующая -
Презентация по теме: «Действительные числа».

Похожие презентации

«Система эффективных мер государственного регулирования жилищного строительства в контексте модернизации экономики» Круглый ст
Разходка из Габрово град на смеха III a клас ОУ „Св. Св. Кирил и Методий”
Консульский отдел
Презентация на тему Строение и работа сердца
Актуальные вопросы права вооруженных конфликтов
Лекція 10 УЯВА
Инвестиционный проект на строительство жилого домав г. Ярославль
Работа и мощность электрического тока.
Деление окружности в орнаменте
Новое поколение устройств для геопозиционирования
Поломка повседневности: Принц и Нищий
Highland Games
100VG-AnyLAN
ФИПС и его место в системе Роспатента. Задачи и функции, возложенные на ФИПС в соответствии с его Уставом. Структура ФИПС
И.А.Бунин.
Русь и Золотая Орда при Александре Невском
Вторая волна внедрения ККТ. Организация кассовой работы в новой реальности
Социальный проект
Измерительная техника
Otchet_po_praktike_Serdyukova_A
Социальные коммуникации
Государства Ближнего Востока в древности
body parts
Презентация на тему School subjects (Школьные предметы)
Уральский радиотехнический колледж им. А.С. Попова
Организация обучения и проведение тренировок и учений
Модуль 1. Методика использования педагогом средств и ресурсов информационной образовательной среды начального образования
Автоматизация проектирования судов
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть