...
- Beobachtungszeitraum
- Für jeden beobachteten Fall:
- Hash-Wert der geposteten Nachricht
- Der Query-Teil des HTTP-Aufrufs: Die "headline" kann u.U. über Suchmaschinen gefunden werden. Das hilft, den geposteten Spam zu finden und u.U. mit z.B. Flow-Daten den Vorfall nachzuvollziehen.
- User-Agent: Es ist zu erwarten, daß der nicht mit dem vom User normalerweise verwendeten Browser übereinstimmt.
Als False Positives kommen NAT-Gateways und Web-Proxies in Betracht.
...