Imiter le système immunitaire dans la lutte antispam

SPAM-00038-altospam

Système immunitaire et lutte anti-spams

Parmi les nouvelles pistes dans la lutte contre l’afflux des spams, le recours au modèle du système immunitaire de l’organisme est celle qui présente les perspectives parmi les plus prometteuses.

L’idée de s’inspirer du système immunitaire n’est pas nouvelle, puisque dès 2002 les premiers travaux en matière de Système Immunitaire Artificiel ont commencé à explorer les capacités cognitives du système immunitaire en matière de sciences informatiques. C’est donc dans la lignée de ces travaux que l’application d’un algorithme inspiré par le système immunitaire est naturellement apparue récemment dans la lutte antispam. On ne peut en effet que constater des similarités entre les organismes hostiles qui attaquent l’organisme et les spams :

– les spams évoluent constamment, tout comme les virus ou les bactéries : la souche du virus de la grippe de cette année n’est pas celle de l’année dernière, et changera l’année prochaine. Les spams changent également afin de ne pas se faire repérer par les techniques antispam d’analyse de contenu, soit en paraphrasant le contenu original, soit en utilisant une orthographe alternative, incorrecte certes mais parfaitement compréhensible pour l’œil humain, seule et unique cible du spam (Ci@li$ à la place de Cialis, par exemple).

– on peut identifier les spams par leur contenu grâce à un mécanisme comparable à ce que le système immunitaire utilise : le filtrage par motif (pattern matching).
Comparer un spam à un agent pathogène à identifier et neutraliser par les lymphocytes antispam est donc une réflexion tout à fait pertinente. Cette approche étant relativement récente, plusieurs pistes sont suivies en même temps.

La première utilise les expressions régulières pour réaliser un filtrage par motif. Le système antispam est muni de plusieurs détecteurs (l’équivalent des lymphocytes), qui disposent chacun d’une pondération déterminée. Cette pondération est augmentée lorsque le détecteur se lie à un organisme pathogène (lorsqu’il reconnaît une expression indicative de spam dans un e-mail) et diminuée lorsqu’il reconnaît un organisme non pathogène (un message normal). Après avoir franchi tout un ensemble de détecteurs, l’e-mail se retrouve muni d’un certain poids équivalent à la somme des pondérations négatives et positives des détecteurs. Lorsque la valeur dépasse un seuil déterminé, on considère le message comme un spam. En cas de faux positif ou de faux négatif, on peut mettre à jour le système antispam en modifiant la pondération des lymphocytes qui ont reconnu (positivement ou négativement) le message.

Une seconde piste, nommée SRABNET (Supervised Real-Valued Antibody Network) se base sur le réseau des anticorps : un anticorps est créé pour chaque classe d’expressions considérées comme du spam (l’équivalent des antigènes). Chaque anticorps est pondéré proportionnellement à l’importance de la classe dans un lot de spams identifiés préalablement. Lorsqu’un message est présenté au système, la distance euclidienne entre l’antigène présent dans la classe et les anticorps est calculée et l’anticorps qui correspond à l’antigène est déterminé. Le niveau de concentration de cet anticorps dans l’ensemble est alors augmenté, de même que sa pondération. A cela s’ajoutent un clonage des anticorps qui identifient l’antigène ayant la plus faible affinité (plus grande distance euclidienne) et l’élimination des anticorps qui ne reconnaissent aucun antigène.

D’autres pistes sont également suivies, comme un système antispam capable d’identifier un glissement de concept (ici, les fonctionnalités ou la distribution des données des spams), ou se basant sur le système immunitaire inné, le système de défense le plus ancien de l’organisme et qui répond d’une manière générique aux organismes pathogènes.

L’analogie du système immunitaire dans la lutte antispam est certainement l’une des voies théoriquement les plus prometteuses. Il reste que toutes les expériences jusqu’ici ont été faites en laboratoire, en comparant ces technologies aux méthodes de détection plus classiques dans le traitement d’un lot de messages dans lequel on a inséré des spams connus. Si les antispams immunitaires s’en sortent mieux ou, au moins, aussi bien que les autres techniques, il reste à voir leurs comportements dans le monde réel, face aux contraintes de charge, de pertinence et d’imprévisibilité de la lutte antispam.  On attend donc avec hâte les premières vraies implémentations de cette nouvelle technique.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …