Wie k\u00f6nnen Sie am einfachsten eine Bedrohung (entweder Phishing oder Spam) in Ihrer E-Mail finden? Eine Vielzahl von technischen Headern und anderen indirekten Markierungen einer unerw\u00fcnschten Nachricht k\u00f6nnen den Weg weisen, aber wir sollten nicht das offensichtlichste Element vergessen \u2013 den Nachrichtentext. Man k\u00f6nnte meinen, er sei das erste, was zu analysieren ist; schlie\u00dflich ist der Text das, was Cyberkriminelle oder skrupellose Werbetreibende nutzen, um Empf\u00e4nger zu manipulieren. Die Aufgabe ist jedoch nicht ganz so einfach. W\u00e4hrend die Signaturanalyse in der Vergangenheit die Aufgabe bew\u00e4ltigen konnte, ist es jetzt notwendig, den Text mit maschinellen Lernalgorithmen zu analysieren. Und falls das Modell des maschinellen Lernens darauf trainiert werden soll, Nachrichten korrekt zu klassifizieren, m\u00fcssen ihm Nachrichten in betr\u00e4chtlichen Mengen zugef\u00fchrt werden \u2013 und das ist aus Datenschutzgr\u00fcnden nicht immer praktikabel. Wir haben eine L\u00f6sung gefunden.<\/p>\n
Vor zehn Jahren war es relativ einfach, einen gro\u00dfen Teil unerw\u00fcnschter E-Mails allein aufgrund des Nachrichtentextes abzufangen, da Cyberkriminelle die gleichen Vorlagen verwendeten \u2013 der Text von Spam- (und Phishing-) Nachrichten \u00e4nderte sich kaum. Heute verbessern Cyberkriminelle kontinuierlich die Effizienz ihrer Mailings, und sie verwenden Millionen von Aufh\u00e4ngern: neue Videospiele, Fernsehserien oder Smartphone-Modelle; politische Nachrichten; sogar Notf\u00e4lle (nehmen Sie zum Beispiel die F\u00fclle von Phishing- und Spam-Nachrichten im Zusammenhang mit Covid-19). Diese riesige Vielfalt der Themen erschwert den Aufdeckungsprozess. Dar\u00fcber hinaus k\u00f6nnen Angreifer sogar den Text innerhalb einer massiven Mailing-Welle variieren, um E-Mail-Filter zu umgehen.<\/p>\n
Nat\u00fcrlich werden immer noch signaturbasierte Ans\u00e4tze verwendet, obwohl ihr Erfolg im Wesentlichen davon abh\u00e4ngt, auf Text zu sto\u00dfen, den jemand bereits als unerw\u00fcnscht oder sch\u00e4dlich eingestuft hat. Diese Verfahren k\u00f6nnen jedoch nicht proaktiv arbeiten, da Spammer sie umgehen k\u00f6nnen, indem sie \u00c4nderungen am Mailing-Text vornehmen. Die einzige M\u00f6glichkeit, mit diesem Problem umzugehen, ist das maschinelle Lernen.<\/p>\n
In den letzten Jahren haben die Methoden des maschinellen Lernens bei der L\u00f6sung vieler Probleme gute Ergebnisse gezeigt. Durch die Analyse einer gro\u00dfen Datenmenge lernen Modelle, Entscheidungen zu treffen und nicht-triviale gemeinsame Funktionen in einem Informationsstrom zu finden.\u00a0 Zur Erkennung von E-Mail-Bedrohungen verwenden wir zusammen mit dem DMARC neuronale Netzwerke, die an technischen E-Mail-Headern geschult wurden. Warum k\u00f6nnen wir also nicht dasselbe mit dem Nachrichtentext tun?<\/p>\n
Wie bereits erw\u00e4hnt, erfordern Modelle eine riesige Datenmenge. In diesem Fall bestehen die Daten aus E-Mails, und zwar nicht nur aus b\u00f6swilligen \u2013 wir brauchen auch legitime Nachrichten. Ohne sie w\u00e4re es unm\u00f6glich, dem Modell beizubringen, einen Angriff von legitimer Korrespondenz zu unterscheiden. Wir haben zahlreiche E-Mail-Fallen, die alle Arten unerw\u00fcnschter E-Mails abfangen (wir benutzen sie, um Signaturen zu erstellen), aber das Erlangen legitimer Briefe zum Lernen ist eine kompliziertere Aufgabe.<\/p>\n
Typischerweise werden die Daten auf Servern f\u00fcr zentralisiertes Lernen gesammelt. Aber wenn wir \u00fcber Text sprechen, entstehen zus\u00e4tzliche Schwierigkeiten: E-Mails k\u00f6nnen private Daten enthalten, sodass es inakzeptabel w\u00e4re, sie in ihrer urspr\u00fcnglichen Form zu speichern und zu verarbeiten. Wie k\u00f6nnen wir also eine ausreichend gro\u00dfe Sammlung legitimer E-Mails erhalten?<\/p>\n
Wir haben dieses Problem gel\u00f6st, indem wir die Methode des Federated Learning einsetzen. Damit entf\u00e4llt die Notwendigkeit, legitime E-Mails zu sammeln und stattdessen Modelle auf dezentralisierte Weise zu trainieren. Das Modelltraining findet direkt auf den Mailservern des Kunden statt, und der zentrale Server erh\u00e4lt nur die angelernten Bewertungen der maschinell lernenden Modelle, nicht den Nachrichtentext. Auf dem zentralen Server kombinieren Algorithmen die Daten mit der sich ergebenden Version des Modells, und dann senden wir sie an die Kundenl\u00f6sungen zur\u00fcck, wo das Modell wiederum den E-Mail-Strom analysiert.<\/p>\n
Das ist ein leicht vereinfachtes Bild: Bevor das neu trainierte Modell auf echte Briefe losgelassen wird, durchl\u00e4uft es mehrere Versionen eines zus\u00e4tzlichen Trainings. Mit anderen Worten: Zwei Modelle arbeiten gleichzeitig auf dem E-Mail-Server: das eine im Trainingsmodus, das andere im aktiven Modus. Nach mehreren Touren zum zentralen Server ersetzt das trainierte Modell das aktive.<\/p>\n
Es ist unm\u00f6glich, den Text spezifischer E-Mails aus den gespeicherten Daten der Modelle wiederherzustellen. Somit ist der Datenschutz w\u00e4hrend der Verarbeitung gew\u00e4hrleistet. Dennoch verbessert ein Training an realen E-Mails die Qualit\u00e4t des Erkennungsmodells erheblich.<\/p>\n