Onderzoekers van de Amerikaanse marine hebben een techniek ontwikkeld om spam aan de hand van TCP-paketten te analyseren, waarbij er niet meer naar de inhoud wordt gekeken. De meeste spam is vandaag de dag afkomstig van botnets. Om spambotnets aan te pakken, keken de onderzoekers naar de TCP-eigenschappen van botnet-gerelateerd verkeer, zoals timing, volgorde van pakketten, verstopping en flow-control.

Uit eerder onderzoek bleek dat een machine deze verkeerseigenschappen kan identificeren, en zo een verschil tussen botnet en legitieme afzenders kan maken. De spambots zouden in veel gevallen zoveel spamberichten als mogelijk versturen, waardoor de lokale uplink verstopt raakt. Door naar de stroom van TCP-pakketten te kijken, zijn de bots daardoor te detecteren.

SpamAssassin
De onderzoekers van de Naval Postgraduate School verfijnden de techniek voor real-time gebruik en als model om zonder menselijke tussenkomst zichzelf te trainen. Het resultaat is de "SpamFlow" plugin voor de populaire anti-spamoplossing SpamAssassin, alsmede de daemons voor de transportlaag signaalanalyse.

Het zichzelf lerende spamfilter zou na duizend e-mails al een nauwkeurigheid van boven de 95% hebben. De nauwkeurigheid zou nog verder kunnen stijgen als het spamfilter wordt aangevuld met bestaande anti-spamtechnieken, zo lieten de onderzoekers tijdens de afgelopen USENIX LISA conferentie weten.