Identificando SPAM no Twitter através da Análise Empírica dos Tópicos de Tendência do Brasil

Transcrição

1 Identificando SPAM no Twitter através da Análise Empírica dos Tópicos de Tendência do Brasil Adeilson Souza 1, Kaio R. S. Barbosa 1, Eduardo Feitosa 1 1 Instituto de Computação - Universidade Federal do Amazonas (UFAM) Av. Rodrigo Otávio Jordão Ramos, 3000, Coroado. CEP , Manaus-AM, Brasil adessouza@gmail.com, {kaiorafael,efeitosa,esouto}@icomp.ufam.edu.br Abstract. The use of social networking and microblogging Twitter as a source of interaction social, search, and information sharing among its users, has provided growing malicious activities with different purposes, such as spamming activities. The collection of data from Twitter, proposed in this paper, uses a web crawler that interacts with Twitter through its API, and extracts data for users who comments on the trending topics Brazil. These data are relevant for measuring user activity, and providing information about user s behavior. The goal is to analyze these data, and identify spam activities in messages shared by the users. Resumo. A utilização da rede social e microblogging Twitter como fonte de interação social, busca e compartilhamento de informações entre seus usuários tem proporcionado o crescimento de atividades maliciosas com as mais diversas finalidades, como por exemplo, atividades de spam. A coleta de dados do Twitter, proposta neste trabalho, utiliza um web crawler que interage com o Twitter através de sua API e extrai dados relativos aos usuários que comentam sobre os Tópicos de Tendência do Brasil. Estes dados são relevantes para mensuração de atividades de usuários e também fornecem informações sobre o comportamento do usuário. O objetivo é analisar estes dados e identificar atividades de spam nas mensagens compartilhadas pelos usuários. 1. Introdução O Twitter é uma das redes sociais que têm contribuído para a disseminação da informação e para alterações nos padrões de comunicação e interação social [Twitter 2013]. Criado em 2006 como um microblogging, permite a comunicação e o compartilhamento de informação em tempo real entre seus usuários através de mensagens (tweets). Devido ao seu grande sucesso, visível no número de usuários ativos, o Twitter tem sido utilizada como dispositivo de marketing [Thomas et al. 2011]. Em 2010, por exemplo, o valor em publicidade e propaganda arrecadado pelo Twitter foi de US$ 100 mil por mês. Contudo, seu grande sucesso também o fez foco de exploração de novas abordagens de tweets não desejados (spam) [Moore et al. 2011]. A divulgação de mensagens não desejadas no Twitter pode ocorrer por meio dos assuntos mais comentados (tópico de tendência, do inglês Trending Topics) em determinado momento. Um tópico de tendência ocorre quando vários usuários comentam sobre um mesmo assunto ou replicam a mesma mensagem contendo uma palavra ou símbolo 394 c 2013 SBC Soc. Bras. de Computação

2 # (exemplo #musica, aovivo) em suas postagens, fazendo referência ao tópico comentado. Em virtude do limite máximo de 140 caracteres por tweet, um usuário pode empregar links de URLs encurtadas que servem como referência aos assuntos dos Trending Topics [Naaman et al. 2010]. Atacantes exploram o uso de URLs encurtadas para esconder links maliciosos e direcionar os usuários para páginas com propaganda, pornografia, disseminação de malware, phishing 1 ou simplesmente com o intuito de comprometer o desempenho do sistema [Benevenuto et al. 2010]. Neste contexto, esse trabalho objetiva analisar empiricamente os tópicos de tendência do Brasil e identificar e classificar mensagens de spam no Twitter. É importante ressaltar que este artigo apresenta resultados referentes à extração manual de características que evidenciam a presença de spam. Para alcançar o objetivo proposto, uma ferramenta para coletar dados e tweets de usuarios foi desenvolvida e uma base com os dados coletados foi gerada. O restante do artigo é organizado como segue: na Seção 2 são apresentados trabalhos relacionados ao tema. Na Seção 3 é descrito o processo de coleta dos dados e a maneira como foram identificadas as características analisadas. Na Seção 4 são mostrados os resultados obtidos na análise empírica proposta para este trabalho. Na Seção 5 estão expostas as conclusões obtidas nas observações e as possibilidades de trabalhos futuros. 2. Trabalhos Relacionados Estudos sobre padrões e tendências nas redes sociais online, de forma geral, analisam o conteúdo compartilhado e as interações entre os usuários. A extração de informações a partir de dados coletados é largamente empregada em pesquisas sobre o comportamento dos usuários, a propagação de ideias, frequência de atividades, intenções do usuário, estrutura de comunidades, entre outras. O trabalho de [Java et al. 2007] fornece estatísticas descritivas sobre o uso do Twitter, observando as ligações de amizades recíprocas entre os usuários, informações de perfil e mapeamento da localização geográfica. Já a abordagem feita por [Naaman et al. 2010] tem como objetivo identificar os diferentes tipos de atividades sociais do usuário, focando especificamente no conteúdo das mensagens e sua relação com padrões de uso. Efetuando uma análise quantitativa do conteúdo das mensagens foi possível categorizar, em dois tipos, o comportamento do usuário em termos de conteúdo das mensagens postadas: conteúdo pessoal e compartilhamento de informações. Em [Cheong e Lee 2009] utiliza um script na linguagem Perl para acessar a busca da API do Twitter. Esse programa coleta mensagens de tópicos de tendência, assim como termos que não são tendências. É observado a existência de características semelhantes entre os usuários que comentam sobre os tópicos de tendência. Entre as características são observadas: dispositivo utilizado para postar a mensagem, gênero do usuário, nome do usuário, total de retuítes, padrões de uso primário baseado nas atualizações do usuário (pessoal, marketing e atualizações) e o país. Os resultados revelam um padrão nos tópicos 1 Phishing é um tipo de fraude eletrônica caracterizada pela tentativa de obter informações pessoais privilegiadas(por exemplo, números de cartões de créditos e senhas) através de sites falsos ou mensagens eletrônicas forjadas. 395 c 2013 SBC Soc. Bras. de Computação

3 de tendências no Twitter e também permitem compreender as características subjacentes dos definidores de tendências, proporcionando uma nova perspectiva sobre os responsáveis pelos tópicos de tendência. Estudando as interações sociais entre usuários no Twitter, o trabalho de [Huberman et al. 2009] observa que as estruturas de ligações na rede não revelam interações reais. Para isso, foi construído uma base de dados e obteve-se, para cada usuário, o número de seguidores e amigos (pessoas seguidas por um usuário), acompanhado do conteúdo e a data de postagem de suas mensagens. Para estudar as relações de interação entre os usuários, a quantidade de pessoas que se relacionaram com o usuário foi contabilizada. Essa relação é obtida através do antes do nome do usuário. Além disso, o número de seguidores e amigos detectados foram avaliados para complementar as relações entre usuários. 3. Metodologia Para alcançar o objetivo proposto, foi elaborada uma metodologia composta por três etapas: coleta de dados (extrator web), correlação de dados e caracterização de evidências (resultados). A Figura 1 ilustra a organização da metodologia. Figura 1. Metodologia proposta para coleta e extração de características da rede social Twitter Coleta e caracterização da base de dados A coleta de dados foi realizada por meio de um extrator Web (crawler) desenvolvido na linguagem Python, que acessa dados do Twitter através da API (Application Programming Interface) de busca de tópicos de tendência [Twitter-API 2013]. A API do Twitter possui métodos disponíveis para acesso de dados públicos dos usuários, de acordo com a regras de acesso definidas em sua documentação. 396 c 2013 SBC Soc. Bras. de Computação

4 O acesso aos dados do Twitter via API é limitado a 150 requisições por hora. Este limite é calculado a partir do endereço IP de origem identificado na chamada aos métodos da API. O acesso aos dados requisitados é bloqueado caso o limite seja atingindo. Durante o período de bloqueio o extrator é programado para ficar em estado de espera até poder ser novamente ativado. Os dados coletados são específicos de usuários que comentaram sobre os Trending Topics Brasil durante o período de coleta. São eles: a lista de Trending Topics que estão sendo comentadas, os tweets postados que indicam os tópicos de tendências no texto, o nome do usuário que postou o tweet, o identificador único de cada usuário, a data da postagem das mensagens, a data de criação da conta do usuário que postou o tweet, o número de seguidores e amigos do usuário da conta, o número total de tweets já postados pelo usuário identificado, entre outros, conforme ilustrado na Tabela 1. Tabela 1. Exemplo de campos extraídos para a análise de propriedades do texto e frequência de postagens Campo Exemplo Trending Topic Campus Party Tweet Campus - Terra Brasil Data / Hora Tue, 29 Jan :27:17 Nome do usuário Limmao - Agência Mkt ID usuário Localização usuário Blumenau, SC Data criação conta Fri Sep 28 13:17: Total tweets 105 Total seguidores 13 Total amigos 15 Screen name AgenciaLmmao É importante observar que os campos da Tabela 1 permitem identificar propriedades do texto do tweet postado e do comportamento dos usuários (frequência de postagens e interações sociais, por exemplo) Correlação de dados A etapa de correlação de dados para encontrar spams é feita de forma manual. O processo inicia-se com a identificação dos links para URLs presentes nos tweets, que são consultados na Web para identificar se possuem alguma relação com o assunto comentado no tweet correspondente. A classificação dos links como spam é baseada na relação que estes possuem com o assunto do tópico de tendência. Por exemplo, se o link que foi consultado na Internet não tem relação com o conteúdo mencionado na mensagem, este é classificado como spam. Um exemplo é um tópico de tendencia que comenta sobre o campeonato brasileiro e o texto da mensagem é sobre venda produtos esportivos. Outra forma realizada de classificação dos tweets é por meio da correlacao entre os dados de usuários. Por exemplo, um usuário que possui uma quantidade de tweets alta em comparacao ao número de amigos pode ser um indicativo de contas criadas com propósito de disseminar propaganda e também o alto número de seguidores, conforme mostrado por [19]. 397 c 2013 SBC Soc. Bras. de Computação

5 4. Avaliação de Resultados 4.1. Conjunto de testes O conjunto de dados utilizado para análise é composto por tweets, compartilhados por usuários distintos, e URLs incorporadas aos tweets. Esse conjunto de dados foi obtido entre os dias 29 de Janeiro e 03 de Março de 2013, no laboratório de Tecnologias Emergentes e Segurança de Sistemas (ETSS) do Instituto de Computação (IComp) da Universidade Federal do Amazonas (UFAM) Resultados A Figura 2 ilustra as postagens de tweets por hora e por dia da semana. Percebe-se na parte (a) da figura que a frequência de postagens é maior durante o período da noite, especificamente entre 18 horas e 24 horas. Também é possível notar que a maior ocorrência de postagens ocorre entre as 22 horas, onde os usuários tipicamente comentam sobre assuntos relativos a programas de TV como, por exemplo, noticiários ou novelas. Assim, pode-se concluir que neste horário os usuários normalmente estão em casa ou em locais com TV. Por fim, em média, a quantidade de mensagens por hora é de 1.712, com desvio padrão de 0,22. Já a parte (b) da Figura 2 mostra a distribuição dos tweets no decorrer da semana. Nota-se que a sexta-feira é o dia em que ocorrem o maior número de postagens. É possível perceber uma menor ocorrência no início da semana, quando os usuários estão dando início as atividades pessoais da semana. Tweets (milhares) Tweets (milhares) Hora (a) Dom Seg Ter Qua Qui Sex Sab Dias da Semana (b) Figura 2. (a) Distribuição de postagens de tweets por hora. (b) Distribuição de postagens de tweets por dia da semana. Outra característica observada neste trabalho é o emprego de URLs nas mensagens (Figura 3). Os usuários incorporam URLs no texto para fazer referência aos assuntos que estão sendo comentados nos tópicos de tendências. Devido à restrição de apenas 140 caracteres por tweet, as URLs adicionadas são encurtadas. Conforme ilustrado na Figura 3(a), a maior quantidade de URLs compartilhadas está no período matutino, onde observase um maior número de URLs que incentivam o usuário a aderir a sites que promovem o 398 c 2013 SBC Soc. Bras. de Computação

6 aumento de seguidores, afim de elevar a relevância online do usuário. Na Figura 3(b), o dia com a maior quantidade de URLs compartilhadas é igual ao dia em que houve o maior número de postagens de tweets, à sexta-feira. Tal fato permite concluir que o número de URLs é proporcional a quantidade de postagens de tweets Quantidade de URLs Quantidade de URLs Hora (a) Dom Seg Ter Qua Qui Sex Sab Dias da Semana (b) Figura 3. (a) Distribuição de postagens de URLs por hora (b) Distribuição de postagens de URLs por dia da semana. A Figura 4 ilustra a distribuição de probabilidade em relação as taxas de URLs. É possível observar que a maioria dos valores está dentro do intervalo entre 250 a 255 URLs por hora. Por outro lado, existe a probabilidade de 0,002 para que as URLs assumam taxas entre 425 e 475 por hora. Esses taxas podem decorrer de eventos durante o período de coleta, como, por exemplo, a morte de uma pessoa famosa ou acidentes ocorridos, entre outros Densidade Quantidade de URLs Figura 4. Distribuição de probabilidade em relação aos valores das URLs. Por fim, análise dos tweets coletados também permite listar os dez assuntos mais comentados nos tópicos de tendências, durante o período de coleta dos dados, conforme 399 c 2013 SBC Soc. Bras. de Computação

7 mostra a Tabela 2. Dentre os assuntos mais comentados está em primeiro lugar o tópico #CiteMelhoresAmigosVirtuais com 387 tweets registrados, permanecendo na lista por mais de 24 horas. Esse tópico de tendência está relacionado com listas de melhores amigos que os usuários fizeram pela Internet, abrindo espaço para os internautas homenagearem seguidores preferidos e para outros reclamarem que jamais são lembrados. A Tabela 2 enumera os demais assuntos, incluindo a quantidade de tweets de cada um e o respectivo período de permanência na lista. Tabela 2. Os 10 trending topics com maior número de tweets no período de coleta e o tempo de permanência na lista de assuntos mais comentados Quantidade de Tweets Tópico Tempo Total 387 #CiteMelhoresAmigosVirtuais 27 h e 3 min 372 #Cite1Gordo 22 h e 13 min 363 #30FactsAboutMe 16 h e 2 min 294 #CiteMotivosParaOdiarEscola 19 h e 8 min 281 #Cite10PessoasLindasEMaravilhosas 16 h e 40 min 276 #CitePessoasQueSintoCiúmes 22 h e 5 min 273 #NoPrimeiroDiaDeAulaeu 19 h e 4 min 260 #CiteAlgoMelhorQueCarnaval 17 h e 5 min 259 #10factsaboutmyvirtualbestfriend 24 h e 4 min 245 Rússia 19 h 4.3. Rápida análise do SPAM no Twitter O principal mecanismo de divulgação de SPAM no Twitter são os serviço de encurtamento de URLs, uma vez que permitem aos atacantes esconder do usuário o tipo de ataque utilizado. Uma das técnicas frequentemente empregadas atualmente é o uso de múltiplos serviços de encurtamento para evadir sistemas detectores de intrusos e dificultar a identificação de URLs maliciosas. A Figura 5 ilustra uma URL maliciosa que primeiramente é acessada via e, posteriormente, através de Ao acessar esse endereço, o usuário é levado a fazer o download de uma aplicação supostamente maliciosa em seu computador. O uso de encurtamento duplo também é observado na propagação de spam de serviços de rede. Por exemplo, para obter um maior número de seguidores, o usuário pode utilizar sistemas que adicionam seguidores automaticamente ao seu perfil ( Para utilizar tal serviço, o usuário autentica-se na aplicação permitindo que a mesma tenha acesso aos dados da sua conta e assim possa realizar atividades em seu nome, como postar novas mensagens e seguir novos usuários. O problema em permitir que aplicações dessa natureza acessem os dados do usuário fica mais evidente quando os tópicos de tendência são analisados. Usuários que utilizam esses sistemas apresentam o mesmo padrão no conteúdo das mensagens. O endereço para esses sites sempre está dentro de hashtags, por exemplo #QuintoElementoRestart #addseguidores é o melhor site para ganhar seguidores REAIS #QuintoElementoRestart. É importante 400 c 2013 SBC Soc. Bras. de Computação

8 Figura 5. Exemplo de múltiplo encurtamento de URL. observar que o tópico de tendência para esse exemplo é #QuintoElementoRestart e sempre que o tweet apresente o texto #addseguidores, o mesmo estará no padrão observado. Logo é razoável assumir que essas aplicações utilizam os perfis dos usuários para enviar spam, pois possuem acesso para tal tarefa. A Figura 6 ilustra como o serviço de rede utiliza os recursos da conta do usuário. Figura 6. Exemplo de uso do serviço #addseguidores. Outra abordagem de SPAM no Twitter utiliza endereços encurtados para direcionar usuários para sites de propaganda. Caso o usuário clique no endereço informado nessa mensagem, ele será direcionado para um site central, o qual aleatoriamente encaminha o usuário para outro site contendo vários links e imagens com propaganda. Geralmente, o conteúdo do site denota ganhos financeiros, venda de produtos, ou qualquer outro serviço que pague caso o usuário clique ou compre algum produto. Um bom exemplo é o endereço hhgnwt4.tk/ php. 5. Conclusões e Trabalhos Futuros A análise empírica dos Trending Topics realizada neste trabalho apresentou um perfil inicial de uso do Twitter no Brasil em relação ao envio de SPAM. 401 c 2013 SBC Soc. Bras. de Computação

9 De forma geral, a metodologia proposta neste trabalho é vista como base para a aprendizagem e o desenvolvimento de técnicas mais complexas e eficientes de detecção de spam no Twitter. Os resultados observados refletem puramente as análises que foram aplicadas na base de dados criada para o trabalho apresentado. Não foram medidos e nem comparados com outras pesquisas que tenham a mesma aplicabilidade. As análises foram medidas manualmente sem auxílio de ferramentas automatizadas. Embora a base de dados gerada ainda não tenha tanta representatividade, sua análise permite prever que futuras etapas deste trabalho permitirão a identificação de atividades maliciosas, especialmente, spam nos tweets brasileiros. Essa conclusão pode ser embasada pela quantidade de URLs identificadas nas postagens. Além disso, estudo como [Benevenuto et al. 2010] mostram que as atividades de usuários maliciosos tornamse mais frequentes nos períodos em que os usuários estão livres de atividades como trabalho, estudo e compromissos Problemas Encontrados Durante o período de coleta, a API do Twitter sofreu mudanças na forma como seu acesso é realizado pelos usuários. Essas mudanças incluíram, por exemplo, um limite referente ao número de requisições enviadas por hora à API e uso obrigatório de autenticação para realização de consultas. Como consequência, surgiram dificuldades no acesso e na adequação das requisições que eram enviadas. Isso refletiu na maneira como os dados foram coletados e nos resultados, já que os dados não foram coletados de forma contínua. A coleta da base de dados foi iniciada em Setembro de 2012, mas somente após o início de Janeiro a API tornou-se estável e foi possível obter 34 dias de dados contínuos Trabalhos Futuros Para uma completa implementação da metodologia, pretende-se: O uso de um banco de dados não relacional (NoSQL), com foco no uso e mais adequado a aplicações Web. Um bom exemplo é o Apache CouchDB; Identificar atributos que possam representar o padrão do uso de SPAM nos Trending Topics do Twitter; Desenvolver um processo para análise e seleção de características do Twitter com base no tipo de conteúdo encontrado, por meio de heurísticas combinatórias e filtros; Correlacionar estratégias de características de acordo com o tipo de mensagem para classificação de spam ou não spam. Referências Benevenuto, F., Magno, G., Rodrigues, T., e Almeida, V. (2010). Detecting spammers on twitter. In Proceedings of the 7th Annual Collaboration, Electronic messaging, Anti-Abuse and Spam Conference (CEAS). Cheong, M. e Lee, V. (2009). Integrating web-based intelligence retrieval and decisionmaking from the twitter trends knowledge base. In Proceedings of the 2nd ACM workshop on Social web search and mining, SWSM 09, pages 1 8, New York, NY, USA. ACM. 402 c 2013 SBC Soc. Bras. de Computação

10 Huberman, B. A., Romero, D. M., e Wu, F. (2009). Social networks that matter: Twitter under the microscope. First Monday, 14(1). Java, A., Song, X., Finin, T., e Tseng, B. (2007). Why we twitter: understanding microblogging usage and communities. In Proceedings of the 9th WebKDD and 1st SNA- KDD 2007 workshop on Web mining and social network analysis, WebKDD/SNA- KDD 07, pages 56 65, New York, NY, USA. ACM. Moore, T., Leontiadis, N., e Christin, N. (2011). Fashion crimes: trending-term exploitation on the web. In Proceedings of the 18th ACM conference on Computer and communications security, CCS 11, pages , New York, NY, USA. ACM. Naaman, M., Boase, J., e Lai, C.-H. (2010). Is it really about me?: message content in social awareness streams. In Proceedings of the 2010 ACM conference on Computer supported cooperative work, CSCW 10, pages , New York, NY, USA. ACM. Thomas, K., Grier, C., Song, D., e Paxson, V. (2011). Suspended accounts in retrospect: an analysis of twitter spam. In Proceedings of the 2011 ACM SIGCOMM conference on Internet measurement conference, IMC 11, pages , New York, NY, USA. ACM. Twitter (2013). Twitter. Acessado em: Twitter-API (2013). Get trends/place /get/trends/place. Acessado em: c 2013 SBC Soc. Bras. de Computação