CN101247406A - 用全球情报进行本地信息分类的方法及垃圾邮件检测系统 - Google Patents

用全球情报进行本地信息分类的方法及垃圾邮件检测系统 Download PDF

Info

Publication number
CN101247406A
CN101247406A CNA2008100897045A CN200810089704A CN101247406A CN 101247406 A CN101247406 A CN 101247406A CN A2008100897045 A CNA2008100897045 A CN A2008100897045A CN 200810089704 A CN200810089704 A CN 200810089704A CN 101247406 A CN101247406 A CN 101247406A
Authority
CN
China
Prior art keywords
information
mail
spam
evaluation
global intelligence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA2008100897045A
Other languages
English (en)
Inventor
林坤华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fortinet Inc
Original Assignee
Fortinet Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fortinet Information Technology Beijing Co Ltd filed Critical Fortinet Information Technology Beijing Co Ltd
Publication of CN101247406A publication Critical patent/CN101247406A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了用全球情报进行本地信息分类的方法及垃圾邮件检测系统。根据本发明的一实施例,可对接收到的电子信息执行一初始信息识别操作,例如,对接收的一电子邮件信息执行初始垃圾邮件检测。根据该初始信息识别操作可对接收的电子信息进行分类。如果所接收的电子信息不能明确地被划入预先设定的一组类别中的某一类(例如干净邮件或垃圾邮件),那么将对所接收的电子信息进行队列处理,以收集涉及所接收的电子信息的全球情报并执行重新评测。该电子信息将被执行重新评测信息识别操作,例如重新评测的垃圾邮件检测这样操作,以再次分类,如此便可比初始信息识别操作提供更准确的分类结果。根据该分类结果对电子信息按照相应的安全策略处理。

Description

用全球情报进行本地信息分类的方法及垃圾邮件检测系统
技术领域
本发明关于一种信息分类的方法。特别是涉及一种将有关电子邮件信息与发件人的全球情报整合到邮件发送网络以进行更准确的本地垃圾邮件识别的方法。
背景技术
互联网与电子邮件、以及其他电子通讯方式越来越广泛应用所带来的问题之一便是会接收到不必要的、未经过请求的大量信息,通常称为“垃圾邮件”。大量垃圾邮件的产生,连带的后果也是非常严重的。垃圾邮件中可以携带病毒或其他导致信息收件人使用的计算机设备或其他电子通讯设备不能正常工作或造成损坏的其他软件。另外,大量的垃圾邮件对流量的处理机制造成很大的负担。例如,大量的垃圾邮件可能对用户端计算机网络以及互联网本身带来负面的影响。所以,技术人员已致力于建立跟踪并识别垃圾邮件,以便有效的从根本上解决垃圾邮件带来的问题。
当前所应用的反垃圾邮件技术举例包括灰名单(Greylisting)、问候延迟(Greeting delay)以及校验值(Checksum)。实践经验表明大量的邮件是从一些特殊设计的用于垃圾邮件发送的程序发出的。这样的程序采用“fire-and-forget”方法,即对很多的电子邮件地址发送垃圾邮件,但是对垃圾邮件的发送不进行确认,与标准的邮件服务器也不相同,不会对故障信息通过再次尝试发送邮件进行回应。“fire-and-forget”方法与标准的简单邮件传输协议(SMTP)兼容的MTA(Mail Transport Agent)的方式正好相反。MTA会在SMTP传输不稳定的情况下重试发送邮件并将暂时性故障处理嵌入核心的规范中(例如RFC821)。
处于维护重试策略所产生的花费考虑,灰名单是基于垃圾邮件发送人不再重新发送邮件的假设为前提的。灰名单暂时性拒绝未知发件人邮件服务器发送的邮件。暂时性的拒绝邮件以4XX SMTP错误代码显示,该代码可以被兼容SMTP的MTA所识别,之后MTA将进行重试发送操作。灰名单技术延迟接收未知邮件,有效地处理了来自不进行重复发送的非SMTP确认发件人的邮件。但是,当垃圾邮件发件人重试发送垃圾邮件时,垃圾邮件发件人便可以如同正常发件人蒙混过灰名单技术,那么在对垃圾邮件发件人的屏蔽过期后重试发送的垃圾邮件终将会被成功发送。总之,灰名单的方法只能对垃圾邮件发送且非SMTP确认的垃圾邮件发件人进行有效的处理,但是对于发出混合有垃圾邮件与干净邮件的受感染邮件的邮件发件人或对使用动态IP地址的垃圾邮件发送人及常规用户便不能进行有效的处理。灰名单方法同样对能够兼容标准协议的垃圾邮件发送程序,例如对暂时性拒绝回应能够重新进行发送的垃圾邮件发送程序,无法进行有效的处理。此外,新的、合法的、但是非标准兼容的服务器发送的电子邮件信息将因灰名单这种方法而被延迟发送或甚至被丢弃。
问候延迟的技术,无论电子邮件信息是否可疑,可延迟所有邮件信息的发送。问候延迟技术是SMTP服务器在向用户端发送SMTP问候标志之前进行的发送暂停操作。根据RFC2821,用户端在对服务器发送任何数据之前应该保持等待直至接收到该问候标志。但是,许多垃圾邮件发送程序并不等待接收到该标志,而是在传输控制协议(TCP)连接完成后便开始发送数据。那么,服务器可以检测到这样的连接并丢弃该连接。该方法带来的问题之一就是,没有严格按照SMTP规则发送邮件的合法发件人也可能被该方法检测到,导致丢失有效的、非垃圾邮件信息。
基于校验值的过滤方法是利用通常一个垃圾邮件发送方发送的所有信息大部分都相同这一现象。该过滤方法试图将致使信息之间存在差异的任何可能因素相互剥离,如收件人的名称或邮件地址,以此缩小信息查看范围并求得校验值,然后在集中了已知或可能是垃圾邮件信息的校验值的数据库中对校验值的结果进行查询。该方法易发生失误判断,由于垃圾邮件发送方运用干扰技术可将其发送的邮件呈现非重复,造成校验值评测经常滞后,这样就形成了误判断。校验值信息通常很难与层出不穷的所谓的与垃圾邮件相关的校验值信息保持同步更新,即使校验值方法能够对已知的垃圾邮件进行有效地检测,也会因建立连接产生延迟,使得大部分已检测出的垃圾邮件仍可到达终端收件人的收件箱。
根据以上所述各种反垃圾邮件系统技术的局限以及鉴于各种其他现有反垃圾邮件方法的效率都颇低,有必要继续开发提高反垃圾邮件系统与服务。
发明内容
鉴于以上的问题,本发明提供一种利用全球情报进行本地信息分类的方法及一种垃圾邮件检测系统。
本发明提供一种利用全球情报进行本地信息分类的方法,包括对所接收到的电子信息执行初始信息识别操作。根据初始信息识别结果,将所接收到的电子信息分为多个种类。如果不能够将所接收到的电子信息实现实时的、明确的归类,则将已接收的电子信息队列(Queue)处理,并进一步收集与已接收的电子信息相关的全球情报(Global Intelligence)以进行重新评测信息识别操作。之后,将已队列处理的电子信息执行重新评测信息识别操作而将其分类,如此分类比初始信息识别操作的分类更为准确;根据分类结果,这些电子信息数据将根据不同分类结果所对应的策略进行处理。
本发明提供一种利用全球情报对垃圾邮件进行检测的方法对电子通信(电子邮件)信息执行初始的垃圾邮件检测。根据初始检测,将电子邮件信息划分为干净邮件以及垃圾邮件。如果邮件在初始检测时不能被实时、明确地划分为干净邮件或垃圾邮件,则将该电子邮件队列处理,并收集涉及该电子邮件或与该电子邮件具有相似属性的其它电子邮件的全球情报以进行重新评测的垃圾邮件检测。接着,已队列的电子信息将被执行重新评测垃圾邮件检测操作而被划分为干净邮件或垃圾邮件,这样便可得到比初始垃圾邮件检测操作更为准确的分类结果;重新评测后分类为干净邮件的邮件将被发送到该邮件的收件人,如果是垃圾邮件,将根据对垃圾邮件设定的邮件安全策略对其进行处理。
本发明提供一种垃圾邮件检测系统,该系统包括一具有一个或多个全球情报服务器的全球情报网络。全球情报服务器与公共网络连接,并可直接或间接i:从多个分布式反垃圾邮件引擎收集情报,ii:维护并更新电子邮件信息特征及相关的评价信息,以及iii:根据全球情报网络的检测与分析重新调整多个分布式反垃圾邮件引擎中的垃圾邮件检测特征。垃圾邮件检测系统还包括一连接公共网络的网络设备,电子邮件信息可通过该网络设备传输。网络设备包括多个分布式反垃圾邮件引擎的其中一个。该反垃圾邮件引擎可i:对电子邮件信息进行评价分析与内容分析,包括在全球情报网络中查询与电子信息有关的特征评价信息,ii:对在实时检测中未能被明确划分为垃圾邮件与干净邮件的电子邮件进行队列处理,提供时间以收集更多使内容评价更为准确的信息,以进行后续的再次内容分析与评价分析。
根据本发明的一实施例,垃圾邮件检测系统是由一个创新性的网络架构来实现的,包括一托管发件人评价数据库(Hosted Sender Reputation Database)、一托管垃圾邮件特征数据库(Hosted Spam Signature Database)、一托管启发性规则数据库(Hosted Heuristic Rules Database)以及一反垃圾邮件引擎(Anti-spamEngine)。该反垃圾邮件引擎通过一个公共网络与该托管发件人评价数据库、该托管垃圾邮件特征数据库、该托管启发性规则数据库进行通信连接,该反垃圾邮件引擎用于从该托管启发性规则数据库接收更新的启发性规则并对电子邮件信息中的每一个邮件通过i.查询该托管发件人评价数据库,ii.查询该托管垃圾邮件特征数据库,以及iii.应用更新的启发规则,进行垃圾邮件检测。
本发明实施例的其他功能特性将在下文中辅助附图进行详细的叙述。
附图说明
本发明各实施例用以示例本发明的精神,并不用于限制本发明的保护范围。附图中相似的部件使用相同的附图标记。
图1所示是本发明一实施例的简化网络架构示意图;
图2所示是本发明一实施例中的一邮件服务器各个功能模块与外部设备的连接示意图;
图3所示是本发明一实施例所应用的一计算机系统示例图;
图4所示是根据本发明一实施例中的反垃圾邮件引擎处理操作的简化流程图;
图5所示是本发明一实施例初始信息处理流程图;
图6所示是本发明一实施例的电子邮件信息重新评测的操作过程流程图。
具体实施方式
下文将对能够延迟本地信息分类,如垃圾邮件识别,对全球情报的收集留以时间的系统与方法进行描述。根据本发明的各实施例,有关邮件特征评价和/或发件人评价的情报集合将被整合为一邮件发送网络。根据本发明的一个实施例,一反垃圾邮件引擎将被集成在一邮件服务器中,在不能实时判断一邮件是否为干净邮件或垃圾邮件的情况下延迟该邮件的发送。在无法对邮件进行实时明确地判断时,将对邮件进行队列处理,自本网络的该反垃圾邮件引擎或其他反垃圾邮件引擎中收集全球情报,使得后续的再次评测可对电子邮件信息是否是垃圾邮件做出更为准确的判断。
根据本发明的一实施例,提供了一种三层的网络架构。邮件服务器的反垃圾邮件引擎、邮件用户端、用户端工作站、网络网关、防火墙或其他邮件信息通过的可进行本地垃圾邮件判断的网络设备,通过在集中或分散服务器中的一全球情报网络,远程托管查询发件人的IP地址评价数据库以及一特征数据库。该方法的优势在于,反垃圾邮件引擎一次只需要对一条邮件应用与发件人评价信息与特征评价信息相关程序即可。同时,与全球情报网络相连接的启发性规则更新服务器将更新推进到反垃圾邮件引擎。在一个实施例中,全套的启发性规则将被下载到反垃圾邮件引擎。对于这一操作的过程,在一实施例中,反垃圾邮件引擎应用i:来自发件人评价数据库与垃圾邮件特征数据库的查询结果,与ii:启发性规则,进行垃圾邮件检测。而且,可以根据数据库的查询结果应用启发性规则。
根据本发明的一实施例,当有关电子邮件信息的全球情报和/或与邮件信息有关的特征或发件人评价收集完成后,邮件信息便可以被重新检测了。实践经验表明集合全球情报,然后对本地垃圾邮件检测,可以提高检测的准确性。
需要说明的是,虽然反垃圾邮件引擎的各种实施例都是基于邮件服务器的,但是所述的反垃圾邮件引擎技术同样可以在邮件用户端应用,如Outlook或Thunderbird、用户端工作站、网络网关、通过邮件信息的防火墙或网络设备中应用。
本文所述的方法也可以应用于各种邮件协议,包括但不局限于简单邮件传输协议(SMTP)、邮局协议3(POP3)以及互联网消息访问协议(IMAP),与各种现行的以及未来的电子邮件网络拓扑。另外,将邮件信息进行缓存并执行后续的重新评测也可以多种方式进行。在一个实施例中,将在垃圾邮件识别操作中没有明确得出判断结果的邮件信息进行缓存,例如,缓存在邮件服务器或用户端工作站这样的网络设备中,进行初始垃圾邮件检测。亦或者,初始垃圾邮件检测与重新评测操作可以分别在不同的设备上执行。在一实施例中,初始垃圾邮件检测可以由邮件服务器执行。将在垃圾邮件识别操作中没有明确判断的邮件信息缓存在用户端工作站并由该工作站内应用的本地反垃圾邮件引擎对缓存的信息进行重新评测。同样,通过互联网从服务器提供商或托管邮件系统访问邮件信息的POP3或IMAP邮件服务器的邮件用户可以在本地执行初始垃圾邮件评测与有延迟的重新评测操作,或如果必要的话,可以由IMAP或POP3邮件服务器执行初始垃圾邮件评测后再由用户端工作站或邮件用户端执行重新评测操作。根据本发明的一个实施例,网关、服务器或用户端可以根据邮件信息进行临时的判断(如,垃圾邮件、非垃圾邮件、未知)并进行标注以便进行后续的重新评测操作。
为了便于说明本发明的技术方案,在此仅具体描述关于全球情报远程收集与分析从而本地进行垃圾邮件辨别的具体实施例,但本发明请求保护的范围并不局限于上述实施例,可以扩展至信息分类领域的通用情况,亦可应用于信息分类领域某些特殊情况,如在存在延迟的本地情报收集并应用的情况。例如在本地收集关于垃圾邮件在趋势、模式以及数量上变化的情报及/或历史数据可应用于对邮件的重新评测操作,以增强垃圾邮件的检测。
下面将参考附图进行说明,附图中相同的功能元件使用相同的编号。上述附图用于解释本发明,并不作为对本发明的限制,具体实施例和应用与本发明的原理是一致的。所描述的详细的应用是用于本领域的技术人员实践本发明,应该理解,在不脱离本发明的精神和范围内,可以做其他应用以及对各种元件做出结构修改和/或替换。因此,下面的描述并不用于限制本发明。
下述本发明实施例所涉及的诸多步骤,可由硬件装置予以执行,也可包含于机器可执行指令中,通过调用指令自身通用或特定的程序执行。该步骤亦可通过软、硬件、固件与/或人工操作相结合来执行。
本发明的实施例可以提供作为一个计算机产品,包括存储指令的机读介质,能够被计算机设备(或其他电子设备)所使用执行操作。机读介质可以包括但不局限于一般形式的计算机可读介质包括,如,软盘、光盘、CD-ROM、磁光碟、ROM、RAM、EPROM、EEPROM、磁卡或光卡、闪存存储器、硬盘、磁带或者任何其它磁性介质、任何其他光学介质、任何其它有孔图案的物理介质、FLASH-EPROM、记忆卡、任何其它记忆芯片或者卡带、下文所述的载波,或者任何其它可存储电子指令的媒体/计算机可读介质。此外,本发明的实施例也可以是下载的计算机程序产品,所述程序可以从远程计算机通过通信链接(例如调制解调器或网络连接)传输的载波或其他传播介质传输的数据信号传送到发出请求的计算机。
以下将介绍本发明所涉及的术语。
“用户端”通常是指用户/服务器关联中的应用、程序、操作或设备,能够从一个网络的其他程序、操作或设备(服务器)请求信息或服务。需要说明的是,“用户端”与“服务器”是相对的,一个应用程序对一项程序来说可以是“用户端”,对于另一项程序而言是“服务器”。“用户端”还包括建立一个请求应用、程序、操作或网络设备到服务器,如FTP用户端,之间连接的软件。
“内容分析”通常是指对电子邮件信息、报头和/或相关的附件的过滤和/或监控和/或扫描的操作,如应用向内和/或向外邮件过滤、附件/邮件内容过滤、启发性规则扫描、深度邮件报头检测、垃圾邮件URI实时屏蔽列表(SURBL)、禁忌词汇过滤、垃圾邮件隔离与标记、垃圾邮件校验值屏蔽列表、垃圾邮件镜像分析扫描、伪造IP查询、灰名单查询、贝叶斯定理分类、贝叶斯定理统计过滤、特征评价、和/或如FortiGuard-反垃圾邮件服务、访问控制策略过滤、内容过滤、全球以及用户黑白列表过滤、垃圾邮件实时Blackhole列表(RBL)、以及基于每个用户的贝叶斯定理过滤这样的过滤方法,以便每个用户都可以设置自己的档案资料、启发性过滤、拒绝服务攻击(DOS)与帐户收集攻击(DHA)的防护。
“连接”或“连结”以及相关的术语用在操作范畴中,并不单单局限在直接连接或连结。
“在一实施例中”“根据本发明的一实施例”以及类似的表达通常指特殊的性能、架构或特点包括在本发明的至少一个实施例,以及可能包括在本发明的不止一个实施例中。需要说明的是,这样的表达并不特指同一个实施例。
“网络网关”通常是指一个网络间的系统,该系统可以将两个网络连接在一起。“网络网关”可以实施作为一项软件或硬件,或是二者的结合。根据实施情况,网络网关可以在从程序协议到低端信令的任何级别的OSI模式下操作。
如果在陈述一个部件或功能中使用了“可能”“可以”“能够”这样的表达,是指这样的部件或功能并不是必须包括或具有。
“响应”包括全部或部分的回复。
“发件人评价”通常是以一个数值来表示的,指邮件信息的发出端发送垃圾邮件或未经许可内容,如病毒或恶意软件,的历史记录这样的评价表现。“发件人评价”可以根据对一发送服务器的一互联网协议(IP)地址进行以下几个方面的查看所得出的持续的数据i:在一个特殊域名中的一特殊用户名,ii:该特殊域名,和/或iii:从该IP地址发送的所有流量。同样,发件人评价也可以由传统的评价分析以及从邮件信息分析与外部测试得出的各种特性中的一项或多项计算而来的超出传统评价方法之外的过滤技术而判断。
“服务器”通常情况下指在用户/服务器范畴中对一个网络中的另外的程序、进程或设备(服务器)请求信息或服务做出回复的一项应用、程序、进程或设备。“服务器”也包括能够提供信息或服务的软件。
“垃圾邮件”通常是指电子垃圾邮件,典型的是以商业广告形式出现的大量的邮件信息。通常邮件的内容与判断一电子邮件是否是垃圾邮件并不相关,虽然大部分垃圾邮件本质上以商业推销为目的。垃圾邮件中所包含的信息可以是推销毫无投资价值的投机股票,垃圾邮件也可以是宗教信仰传播的手段。从收件人角度来讲,垃圾邮件是未经过收件人许可的、不必要的、不相关的和/或不适当的电子邮件信息,通常为未经过许可的商业目的邮件(UCE:unsolicited commercial email)。除了UCE,垃圾邮件还包括但不局限于与欺诈性商业活动有关的信息、连锁邮件、和/或冒犯性的有关性的或其他政论信息。
根据一实施例,垃圾邮件是“未经过许可下的大量电子邮件信息(UBE:Unsolicited Bulk Email)”。“未经许可”通常指该电子邮件的收件方并未对该电子邮件的发送给予许可,且发件人与收件人之间没有任何可辨别的联系。“大量的”指电子邮件信息发送的形式是大宗、大量且重复的信息。实施例中的垃圾邮件是UBE,如果一封邮件它既符合“未经许可”又符合“大量的”这样两个条件,那么便认为是垃圾邮件。未经许可的邮件可以是常规的邮件,如首次联系请求、招聘请求、商业寻价。大量的邮件形式也可以是常规邮件,如订阅的时事通讯、用户沟通、讨论群组等这样的邮件。那么,在实施例中被认定为垃圾邮件的电子邮件信息的特征为i:收件人的个人身份与内容无关,邮件信息可以同样适用于许多其他可能的收件人;与ii:所发送的邮件不能被收件人确认是被允许发送的。
“垃圾邮件检测”是指用于识别或将信息分类或判定为垃圾邮件或非垃圾的一项或多项方法。垃圾邮件检测可以很宽泛的包括当前和/或未来的评价分析,如发件人IP评价分析或内容分析这些方法中的一项或几项的结合。
图1是本发明一实施例的简化的网络架构示意图。示意图中包含一个或多个评价服务器(Reputation Server)110、一个或多个垃圾邮件特征服务器(SpamSignature Server)115、一个或多个启发性规则更新服务器(Heuristic Rule UpdateServer)120与一个或多个中央全球情报服务器(Central Global IntelligenceServer)125,分别与公共网络100连接进行通信。整体而言,该评价服务器110、该垃圾邮件特征服务器115、该启发性规则更新服务器120与该中央全球情报服务器125形成一个全球情报服务器网络(Global Intelligence Serve Network)。在以下的详细叙述中,全球情报服务器网络中可以分布或结合各种服务器的子网。
用户端工作站180通过本地局域网络(LAN)150连接,并通过一网络网关130与公共互联网100进行通信。在当前所述实施例中,该网络网关130与一邮件服务器140连接,该邮件服务器140可以组成一个如图2所示的反垃圾邮件引擎241(图1中没有示出该集成部件),执行以下所述的各种反垃圾邮件的操作。
在该简化的实施例中,一个LAN(例如LAN150)只与一个邮件服务器(例如邮件服务器140)相连接,但本领域技术人员可知,许多其他邮件服务器、网络网关、邮件用户端和/或用户端工作站可以同时全球操作并执行反垃圾邮件以及内容分析操作。所以,本领域技术人员可知本实施例所述的该反垃圾邮件引擎可以是全球情报服务器125为代表的作为情报集合代理的一较大反垃圾邮件引擎网络中的一部分。
返回到图1所示的网络架构中,该评价服务器110可以与一个或多个相关的评价数据库(Reputation Database)111连接;该垃圾邮件特征服务器115可以与一个或多个相关的垃圾邮件特征数据库116连接;该启发性规则更新服务器120可以与一个或多个相关的启发性规则数据库121连接。在一实施例中,该评价数据库111包含与所检索的电子邮件信息流关联的发件人IP地址相关的评价信息。评价服务器110与评价数据库111可表示为现有或以后的评价服务。现有的评价服务可以体现为评价服务器110的各种操作功能,包括FortiIPTM发件人IP评价数据库(可以从Fortinet公司获得)、一个通过从各种资源收集IP地址数十个属性以建立对每个IP地址进行评价并维护的全球情报IP评价数据库。这些包含在IP地址的属性可以是这些IP地址的“是谁”信息、地理位置信息、邮件服务器、是否是开放中继或截获的主机、从该邮件发件人发出的邮件的容量以及邮件容量模式的历史记录等。
在本发明的另一实施例中,全球情报服务器125与反垃圾邮件引擎没有直接连接,但是可以收集数据,并对从全球情报网络中其他的服务器收集到的数据进行数据分析,例如可以从评价服务器110、垃圾邮件特征服务器115以及启发性规则更新服务器120。在此实施例中,全球情报服务器125也可以将收集分析数据得到的情报通过全球情报网络中的服务器传递到反垃圾邮件引擎。在其他实施例中,全球情报服务器125可以逻辑上插入全球情报网络中反垃圾邮件引擎与其他服务器之间,直接从反垃圾邮件引擎接收查询并允许全球情报服务器125从所查看的电子邮件信息中收集相关信息且执行分析操作。
在任何的实施例中,这种数据收集与分析的集中方法允许全球情报服务器125能够基于例如自所有参与的反垃圾邮件引擎检测到的每个邮件特征的容量查询与模式,收集有利于指示和/或控制下列事项进行更新的情报:i:发件人的评价信息,ii:电子邮件信息特征,iii:相关的垃圾邮件计数,以及iv:、启发性规则,例如,从所有构成反垃圾邮件引擎的服务器收集的基于每个垃圾邮件特征的查询量与模式。全球情报服务器125以及该服务器同参与检测的反垃圾邮件引擎间的相互作用和/或全球情报网络中的服务器促进特征以及与其相应的大型评价数据库的维护,否则该特征与评测将无法被持续地推入到参与检测的的反垃圾邮件引擎中。另外,全球情报服务器125所收集的实时的全球情报通过启发性规则更新服务器120将更新的启发性规则推进到反垃圾邮件引擎,从而实现对垃圾邮件检测算法的持续可行的调整,从而使网络中的反垃圾邮件引擎能够不断更新,以跟上垃圾邮件变化的动向。
根据本发明的一实施例,启发性规则更新服务器120以及与其相连接的启发性规则数据库121创建、维护反垃圾邮件引擎并将与垃圾邮件、病毒和/或恶意代码检测有关的反垃圾邮件引擎启发性规则分配到反垃圾邮件引擎。启发性规则更新服务器120可以基于全球情报服务器125所收集情报并作为对该情报以及离线分析和/或手动分析的回应更新启发性规则。在本发明一实施例中,启发性规则更新服务器120也可以通过分配适当的启发性规则的更新,持续调整网络中反垃圾邮件引擎的垃圾邮件检测算法。各种实施例包括:FortiGuardTM反垃圾邮件服务、赛门铁克Brightmail Anti-SpamTM软件以及Barracuda NetworkEnergize Update,当前的启发性规则更新机制是启发性规则更新服务器120的示范性说明。
根据本发明一实施例,垃圾邮件特征服务器115创建、更新并维护电子邮件信息特征以及相关的垃圾邮件计数。在本发明一实施例中,垃圾邮件特征基于所检测的电子邮件的一项或多项属性,包括但不局限于,发件人的IP地址、广告型垃圾邮件的URL、邮件客体或MIME部分的校验值、邮件内容中的电话号码以及被认为是信息的伪装特征的其他属性。邮件信息特征及相关垃圾邮件计数的创建、更新以及维护可以基于垃圾邮件特征服务器115直接检测到的邮件信息,和/或基于全球情报服务器125接收到的指示或指导信息,该指示或指导信息来源于全球情报服务器125对电子邮件的直接检测或自垃圾邮件特征服务器115收集到的间接的数据分析。
在一个实施例中,垃圾邮件特征数据库116中包括很多类型的特征。例如,一个垃圾邮件特征数据库可以包含有关广告垃圾邮件的URL的信息。90%的垃圾邮件在邮件主体都有一个或多个URL(统一资源定位器)。这些URL可以直接或间接链接到推销其产品与服务的垃圾邮件发送端的网站。有关“网络钓鱼”性质的垃圾邮件中的URL,通常直接链接到一个虚假银行或其他金融机构的网站以骗取个人的账号等银行信息。其他垃圾邮件特征数据库可以包括有关广告性质垃圾邮件地址的信息。类似于广告性质垃圾邮件的URL,相当大的一部分垃圾邮件在邮件主体中包括一个或多个邮件地址,可以通过该地址联系到垃圾邮件发件端。通过从垃圾邮件样本中提取这些邮件地址,这些广告性质垃圾邮件的地址可以提供另一项强大的全球情报收集过滤器用以识别并过滤垃圾邮件。垃圾邮件对象校验值可以被其他垃圾邮件数据库所保存。根据本发明一实施例,垃圾邮件对象的识别以及一粗略校验值的计算都是基于这些邮件对象的。邮件对象可以是电子邮件信息的一部分或为一个附件。在一个实施例中,垃圾邮件特征数据库116包括Fortinet公司提供的FortiSig1垃圾邮件特征数据库、FortiSig2垃圾邮件特征数据库、FortiSig3垃圾邮件特征数据库中的一个或多个。
本发明一实施例说明中,为了能够清晰阐述发明的实现过程,评价服务器110、垃圾邮件特征服务器115、启发性规则更新服务器120、全球情报服务器125、网络网关130与邮件服务器140均以一台设备为例,实际操作中,这些设备可以包括分散连接的架构中多个物理、逻辑和/或虚拟设备或系统,以及所执行的各种功能可以分配到多个设备中或结合在少数几个设备中实现,也就是说,任何的功能可以在多个设备的集合或仅仅一台设备中实现。而且,操作处理过程可以在多个设备之间分开执行。在本发明一实施例中,评价服务器110、垃圾特征服务器115和/或启发性规则更新服务器120的功能可以由全球情报服务器125提供;亦或者,全球情报服务器125的功能可以集成在全球情报网络中其他服务器中。
图2是本发明一实施例中的一邮件服务器240各个功能模块与外部设备的连接示意图。根据当前所述实施例,一邮件服务器240包括一反垃圾邮件引擎241、一信息传输代理(Message Transfer Agent)242、一信息队列(MessageQueue)243、一启发性规则数据库244以及一评价缓存(Reputation Cache)245。该邮件服务器240可以与一个或多个评价服务器210、一个或多个垃圾邮件特征服务器215、一个或多个启发性规则更新服务器220,以及一远程信息传输代理260、一用户端工作站280的一用户代理/邮件用户端250相连接。
信息传输代理(MTA)242是一种用于接收、路由并传送电子邮件信息的程序或软件代理。请同时参考图1及图2,MTA242从用户端工作站180的本地用户,例如用户端工作站280及远程主机(图中没有示出),接收邮件信息与收件人地址,执行化名创建以及转发功能并将邮件信息传送到各自的目标地址。当邮件信息来自LAN150之外的网络时,MTA242与一个远程MTA,例如远程MTA260,进行通讯将邮件信息从与远程MTA260连接的远程邮件服务器(图中没有示出)传输到邮件服务器240。根据本发明的一个实施例以及以下所述内容,在将向外的邮件信息传输到远程MTA260和/或将向内的邮件信息接收或传送到用户端工作站280之前,MTA242请求反垃圾邮件引擎241执行一项或多项内容分析或过滤操作。
根据本发明的一实施例,反垃圾邮件引擎241为地理位置上分散的大型网络化反垃圾邮件引擎(没有示出)的其中之一,该网络化反垃圾邮件引擎在全球情报服务器125的协作下同时分析处理各自的电子邮件信息流。在以下更详细的叙述中所述,反垃圾邮件引擎241可以根据本地评价缓存245中的发件人评价信息或根据对评价服务器210的访问进行初始判断,决定是否接受例如SMTP连接的邮件协议连接,。当连接被接受且一向内的邮件信息被本地接收后,反垃圾邮件引擎241采用以下的一项或几项算法对邮件信息进行分析以判断该邮件是否为垃圾邮件,所述算法包括i:存储在本地启发性规则数据库244中的且由启发性规则更新服务器220定期更新的启发性规则应用程序,ii:全球情报服务器125的各种垃圾邮件特征的应用程序。
根据当前所述的实施例,在某种程度上发件人评价信息并不是经常变化的,评价缓冲245可以将自评价服务器210最近获得的发件人评价信息暂时性进行本地存储。依靠特定的执行方法与支持额外速度所需的剩余空间(例如RAM或硬盘的空间),评价缓存245可以应用于各种的缓存方法。可应用的缓存算法包括最近最少使用算法(LRU)、最近最多使用算法(MRU)、伪最近最少使用算法(PLRU)、最不经常使用(LFU)算法以及自适应替换缓存(ARC)算法。根据评价缓存245的容量,根本不需要丢弃发件人评价信息这样的缓存算法;但是为了避免使用过期的信息,较佳实施例中使用的评价缓存254至少可以使发件人评价信息缓存期满的频率能够与评测服务器210更新发件人评价信息的频率同步。在其他实施例中,如果发件人评价信息更新速度足够快且能够在一合理的与垃圾邮件信息实时处理过程相一致的时间段内从评价服务器210获取更新,便不需要配置评价缓存245。
根据本发明一实施例,反垃圾邮件引擎241所使用的垃圾邮件检测算法全部或部分是可升级的。根据该实施例,反垃圾邮件引擎241使用存储在启发性规则数据库244中的启发性规则作为垃圾邮件检测操作的一部分。启发性规则可由启发性规则更新服务器220定期升级或作为对各种事件回应而升级。例如,在本发明一实施例中,全球情报服务器,例如全球情报服务器125,将主要情报进行集中从而触发启发性规则更新服务器220的更新,由于上述更新,启发性规则更新服务器220将更新的启发性规则主动推进到反垃圾邮件引擎。在本实施例中,垃圾邮件的检测可以根据全球情报服务器检测到的垃圾邮件变化的趋势而进行实时调整。
在当前的实施例中,信息队列243为经反垃圾邮件引擎241处理过的邮件信息提供暂时性的存储。在一个实施例中,当反垃圾邮件引擎241在处理电子邮件时无法对该电子邮件进行明确的垃圾邮件分类(例如,划分为干净邮件或垃圾邮件),信息队列243将保存这些邮件信息。例如,反垃圾邮件引擎241在对特征评价的询问进行回应时,垃圾邮件特征服务器215返回的垃圾邮件计数可能不在预先设定或配置的垃圾邮件或干净邮件的阀值范围之内。在这种情况下,这样的电子邮件信息将被队列处理(暂时隔离)在信息队列243中等待从网络中其他反垃圾邮件引擎收集有关上述电子邮件信息特征的全球情报。在预先设定的或配置的一段延迟后,反垃圾邮件引擎241再次向垃圾邮件特征服务器115发出查询以获得当前特征评价信息,之前没有分类的电子邮件信息将被反垃圾邮件引擎241重新评测。
在本实施例中,也对发明中所使用的创新性的三层网络架构进行了说明。反垃圾邮件引擎241从评价服务器210与垃圾邮件特征服务器215查询远程主机发件人评价信息与特征评价信息。这种方法的优势在于,反垃圾邮件引擎241能够获得大量发件人评测信息与特征评测信息,并且在需要的情况下只需要发出关于上述相关信息的简单请求,上述信息便可在反垃圾邮件引擎241能够负载的情况下经常更新且不会影响垃圾邮件检测效率。
在本发明一实施例中,启发性规则更新服务器220将更新推入到反垃圾邮件引擎241。因为启发性规则的更新占用的容量相对较小,在典型的实施中,整套的启发性规则可下载到反垃圾邮件引擎241上。根据本发明一实施例,反垃圾邮件引擎241使用以下情报进行反垃圾邮件检测i:查询评价服务器210与反垃圾邮件特征服务器215所得出的结果,ii:启发性规则服务器220所提供的并本地存储在启发性规则数据库244的更新后的启发性规则。此外,在本发明一实施例中,启发性规则是由查询结果决定的。也就是说,垃圾邮件检测中使用个别启发性规则可以根据从评价服务器210和/或垃圾邮件特征服务器215查询的结果而更改。
与在配置或预先设定的时间内重新评测信息队列243中的邮件信息相比,在其他实施例中,预先设定的一项或多项事件可以触发对邮件信息的重新评测。例如,邮件队列243中的邮件信息可以根据以下事件的触发接受重新评测,i:启发性规则数据库244中的启发性规则的更新;ii:评价服务器210中发件人评价信息更新或到反垃圾邮件引擎的个别发件人评价信息的属性更新;和/或iii:反垃圾邮件特征服务器215的特征评价信息的更新或有利于反垃圾邮件引擎241的特定的特征评价信息的更新。
在本发明一实施例中,不同信息队列可以由不同类别的特征进行处理。在这样的实施例中,信息队列中与已更新的类别特征有关的信息,与队列中尚未更新类别特征有关的队列信息可以进行分别、独立的处理。
在一个实施例中,独立功能性模块的功能可以多种方式结合。请参照图1与图2,例如,反垃圾邮件引擎241可以与信息传输代理242集成以及启发性规则更新服务器220和/或评价服务器210可以与全球情报服务器125集成。
此外,以上所述本发明的各种实施例均围绕有关邮件服务器,但是,这样的实施例说明并不限制本发明的范围。而且,所述的反垃圾邮件方法同样适用于电子邮件与网络设备以及软件,包括:用户端工作站、邮件用户端软件、网络网关、防火墙以及其他邮件通过的邮件与网络设备。
图3是本发明所使用的一计算机系统示例图。计算机系统300可以是或者为邮件服务器、用户端工作站、网络网关、防火墙、网络安全设备、交换机、桥接设备、路由器和/或其他网络设备的一部分,执行评价缓存245、反垃圾邮件引擎241、信息队列243、以及启发性规则数据库244的功能。如图3所示,该计算机系统300包括一个或多个处理器305、一个或多个通信接口310、主内存315、只读内存320、大容量存储器325、总线330以及可移动存储介质340。
处理器305可以是英特尔
Figure S2008100897045D00151
Figure S2008100897045D00152
处理器,
Figure S2008100897045D00153
处理器或本技术领域内熟悉的其他处理器。
通信接口310可以是物理和/或逻辑接口。例如,通信接口可以是与基于调制解调器的拨号连接的任何RS-232接口、10/100以太网接口、或铜或光纤的千兆接口。通信接口310也可以根据计算机系统300连接的网络如局域网(LAN)或广域网(WAN)进行选择。通信接口310也可以是以逻辑连接(如传输控制协议(TCP:Transmission Control Protocol)或用户数据报协议(UDP:Universal Datagram Protocol))结尾命名。例如,通信协议可以是由互联网地址指派机构(IANA:Internet Assigned Numbers Authority)根据特殊用途指派的以下公知的端口之一,如SMTP端口25。
主内存315可以是随机存储内存(RAM:Random Access Memory)或公知的任何其他动态存储设备。
只读存储器320可以是任何静态存储装置例如用于存储静态信息如处理器305的指令的可编程只读存储器(PROM)芯片。
大容量存储器325可以用来存储信息与指令。例如,硬盘如系列的SCSI驱动器、光盘、磁盘阵列如RAID,如Adaptec系列的RAID驱动,或任何其他可以使用的大容量存储装置。
总线330是处理器305与其他内存,存储以及通信模块之间的通信连结。总线330可以是根据所使用的存储装置基于PCI/PCI-X或SCSI的系统总线。
移动存储介质340可以是任何种类的外部硬驱动,软盘,压缩驱动,压缩磁盘一只读存储器(CD-ROM),压缩磁盘一可写存储器(CD-RW),数字录像磁盘一只读存储器(DVD-ROM)。
还有便是,操作员与管理员界面(图中没有示出),如显示器、键盘与指针控制设备,可与总线330连接用以支持操作员对计算机系统100的直接操作。其他操作员与管理接口可以通过连接的通信接口310的网络连接来实现。
图4所示是根据本发明的实施例,简化的反垃圾邮件处理的流程说明图。根据上文所述,反垃圾邮件操作可以由全球情报网络中代表全球情报服务器125统一进行收集全球情报的反垃圾邮件引擎同时进行。至少,反垃圾邮件引擎的处理操作从判断流程410起,该流程中反垃圾邮件引擎等待有关各种预先定义的事件的信号。在当前实施例中,预先定义的事件包括:i:接收到邮件协议连接请求;ii:接收到新的启发性规则;以及iii:发生重新评价触发事件。一旦收到邮件协议连接请求,例如,表示收到信息的SMTP连接或其他邮件协议事件,反垃圾邮件引擎处理操作将进行接下来的流程420。如果检测到触发重新评测的事件,反垃圾邮件引擎的操作步骤将实行流程450。当接收到启发性规则更新后,反垃圾邮件引擎的操作步骤将实行流程460。
在流程420,执行评价分析操作。在本发明一实施例中,评价分析操作包括反垃圾邮件引擎241向评价服务器210和/或全球情报服务器125查询原始邮件发送人连接请求的发件人评价信息。该评价分析可以只在本地评价缓存如评价缓存245中进行缓存内查询,或是在该缓存内查询后再于评测服务器210和/或全球情报服务器125中进行查询。
在流程430,将根据邮件安全策略处理连接请求。如果连接请求的发出者是可信的,连接将被接受。请参照图2及图4,例如,连接请求的发出者的发件人评价符合或超出预先定义或配置的可信阀值,该请求发件人向本地用户工作站发送的任何邮件将被从远程MTA260传输到本地MTA242。但是,如果发出连接请求端被判定为可不信任的,该连接将被丢弃。
假设连接被接受,在流程440中,反垃圾邮件引擎241将执行初始邮件处理。有关初始邮件处理的描述将参照图5后续进行详细说明。
流程450中,检测到一个重新评测触发事件。作为重新评测触发的回应,反垃圾邮件引擎241将执行电子邮件信息的重新评测处理,操作过程将参照图6后续进行详细说明。在本发明一个实施例中,邮件重新评测的触发事件可以是预先设定的超过执行初始邮件处理后的一段时间,例如1到10分钟。在本发明一个实施例中,重新评测可以每隔约五分钟被触发。其他实施例中,重新评测的触发事件可以是接收到新的启发性规则、来自全球情报服务器125或评价服务器110的特征评价信息更新的信号、发件人评测信息更新的信号、以及垃圾邮件特征数据库116中特征评测信息更新的信号和/或类似的事件。
在理想的情形下,除了与之前评测产生同样结果的情况外,电子邮件信息还可以在以下情况下被触发进行重新评测,i:与划分特定信息是干净邮件或是垃圾邮件有关的特征评价信息的更新;或ii:影响特殊信息是干净邮件或垃圾邮件分类的启发性规则。这样的理想情形可能不能实现;因此,需要根据计时器或更多的常规事件来接近理想状态下的情形。在本发明一个实施例中,反垃圾邮件引擎先前进行的与一个特定电子邮件信息的特征有关的特征评价信息的查询,可以操作为以反垃圾邮件引擎的名义进行的涉及该特定邮件特征的或涉及该特定邮件特征所属类别的升级的订阅。
在流程460中,有了新的可用的启发性规则。在本发明一个实施例中,新的启发性规则事件表示已经接收到新的启发性规则。其他实施例中,该事件表示轮询启发性规则更新服务器120判断启发性规则更新服务器120中更新的启发性规则的可用性,或从启发性规则更新服务器120接收到的通知。本地存储的启发性规则的更新可以使用主动推进或被动接受的技术。无论如何,一旦有了新的启发性规则,启发性规则数据库244中更新的规则将替换现有的启发性规则,从而升级本地反垃圾邮件检测的部分算法。
当前的实施例中,只示出了两个信息处理的步骤操作,例如,流程440中的初始信息处理以及流程450中的信息重新评测,在其他实施例中,如果第二次重新评测后仍然不能明确判断电子邮件信息是否垃圾邮件或干净邮件,那么会接着执行多个重新评测的循环。另外,重新评测操作可以包括执行评价分析,例如流程420所示的操作。
图5所示是根据本发明一实施例所述有关初始信息处理的流程。根据当前所述实施例,在流程510,对不能明确判断的电子邮件信息执行一项或多项垃圾邮件检测操作。除了以上所述的垃圾邮件检测的方法,对于反垃圾邮件引擎241所使用的垃圾邮件检测的方法的类型或数量并不作限制。所述的延迟后的重新评测基于所集合的全球情报从而得出更准确的判断结果,那些能够根据现行垃圾邮件检测的趋势而调整的反垃圾邮件方法比那些不具有这样灵活性的方法更适用。在一个实施例中,垃圾邮件特征与启发性规则都用来识别未能明确判断是否垃圾邮件的电子邮件信息。其他实施例中,可以使用各种垃圾邮件检测方法与内容过滤技术的结合,包括但不局限于,反向DNS检测、白名单、贝叶斯判断分类以及类似的方法。此外,垃圾邮件的检测方法可以不同的方式相结合,相辅相成。例如,一项垃圾邮件检测算法的输出可以被其他垃圾邮件的检测方法作为输入值。亦或者,垃圾邮件检测算法的输出值可以被平均作为垃圾邮件/干净邮件判断标准或计数。
在判断流程520中,反垃圾邮件引擎241根据流程510中所产生的垃圾邮件检测结果对电子邮件信息进行处理。根据当前所述的实施例,如果问题邮件信息的检测结果或计数与预先设定的或配置的干净邮件的阀值符合,初始邮件信息处理步骤将在流程530进行。如果检测结果符合预先设定的或配置的垃圾邮件的阀值,初始邮件信息处理步骤将执行流程540;如果,垃圾邮件检测的结果还是不能确定或没有结果,将执行流程550。
在流程530,问题邮件信息已经被判定为干净邮件且电子邮件信息被传输并到达邮件的目标用户。
流程540中,问题邮件信息已经被判定为垃圾邮件。被判定垃圾邮件的电子邮件信息将按照邮件安全策略进行处理。例如,垃圾邮件可以被删除、隔离、发送到垃圾邮件文件夹、或是原邮件主题被修改添加“垃圾邮件(SPAM、JUNK)”这样的信息或类似这样的处理方法。
流程550中,有关问题邮件是否干净邮件或垃圾邮件的判断还不能被一项或几项垃圾邮件检测方法而确定。那么,电子邮件信息将被队列处理延迟发送进行重新评测。实际上,电子邮件信息将被暂时隔离处于待重新评测状态。在一个实施例中,这样的邮件信息将被存储在网络设备中,如执行初始邮件信息处理的邮件服务器140或网络网关130。另一个实施例中,执行初始信息处理的设备只是将需要进行重新评测操作的信息进行标记并将信息转发到其他例如邮件服务器140或用户端工作站180这样的设备中等待然后进行重新评测。其他实施例中,各种其他设备的组合将执行一项或多项初始信息处理、队列处理以及重新评测的操作。
再次说明,尽管所述的各种实施例是基于图1所示的简化的网络架构以及图2中所示的邮件服务器240,需要说明的是,上述的初始信息处理可以由图1网络架构中示出的其他各种设备或没有示出的设备来执行。例如,初始信息处理可以由网络网关130、邮件服务器140、用户端工作站180、路由器、交换机、防火墙、或电子邮件信息通过的其他设备执行。初始信息处理也可以分配到多个设备完成。
图6所示是根据本发明的实施例所述电子邮件信息被重新评测的过程流程图。根据一实施例,重新评测的操作可以被重新评测的事件所触发,例如,设置的初始信息处理完成的计时过期、所配置的或预先设定的间隔计时、启发性规则数据库244中启发性规则的更新、全球情报服务器225中有了可用的常规或特殊邮件特征评价信息的更新,诸如这样的事件。根据操作执行的情况,一项或多项被队列处理的邮件信息可以被执行重新的评测操作(例如,这些待处理的信息是在设定的某段时间内或大于设定的时间)。
根据当前所述的实施例,在流程610中,对问题邮件信息将执行一项或多项垃圾邮件检测操作。根据本发明一实施例,该电子邮件信息已经进行了初始的邮件信息处理,但是初始的信息处理对于邮件是否是干净邮件或垃圾邮件未做出明确的判断。那么,经过若干时间后且假设这段时间内全球情报服务器125中常规或特定的特征评价信息已升级和/或启发性规则数据库244中存在已更新的启发性规则。不管怎样,这些在重新评测中应用的一项或多项垃圾邮件检测的方法可能在初始检测时已经应用过,也可能与之前初始检测的方法完全不同。在一实施例中,所执行的一项或多项垃圾邮件垃圾中的方法可以包括发件人评价的重新评测,例如在图4流程420所执行的操作。
在判断流程620,反垃圾邮件引擎241根据流程610中产生的垃圾邮件检测结果判断如果处理问题邮件信息。根据当前实施例,如果问题邮件的检测结果或计数符合预先设定的或配置的干净邮件的阀值,那么重新评测信息操作将继续流程630,否则将执行流程640。
在流程630,问题邮件信息被判断为干净邮件并被传送到终端用户可访问的邮件的目标地址。
在流程640,邮件信息被判断为垃圾邮件。垃圾邮件将根据垃圾邮件的邮件安全策略进行处理。例如,垃圾邮件可以被删除、隔离、发送到垃圾邮件文件夹、或是原邮件主题被修改添加“垃圾邮件(SPAM、JUNK)”这样的信息或类似这样的处理方法。
再次说明,尽管所述的各种实施例基于图1所示的简化的网络架构以及图2所示的邮件服务器240,需要说明的是,上述的重新评测邮件的操作可以由图1网络架构中示出的其他各种设备或没有示出的设备来执行。例如,初始信息处理可以由网络网关130、邮件服务器140、用户端工作站180、路由器、交换机、防火墙、或电子邮件信息通过的其他设备执行。邮件信息的重新评测也可以分配到多个设备完成。并且,电子邮件信息的重新评测可以在执行初始邮件信息处理相同的设备或不同的设备中操作。最后,虽然本文所述的是单个的信息重新评测操作,应该理解的是如果所述的问题邮件在经过第一次的重新评测后仍然不能对邮件做出判断时,在特殊的使用环境中执行再次或多次的重新评测也是可行的。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (33)

1.一种利用全球情报进行本地信息分类的方法,其特征在于,该方法包括:
对接收的电子信息执行初始信息识别操作;
根据该初始信息识别操作,将所接收的电子信息划分为多个种类;
如果该所接收的电子信息根据该初始信息处理操作不能够明确的找到所属的类别,这些信息将被队列处理,收集与该所接收的电子信息相关的全球情报,以对该所接收的电子信息的进行重新评测信息识别操作;
通过该重新评测信息识别操作将上述被队列处理的信息进行分类,该重新评测信息识别操作比该初始信息识别操作提供更准确地分类结果;并且
根据该分类的结果对上述被队列处理的电子信息按照相应的安全策略处理。
2.根据权利要求1所述的一种利用全球情报进行本地信息分类的方法,其特征在于,该方法中
所述接收到的电子信息包括一电子邮件信息;
所述初始信息识别操作包括一初始垃圾邮件检测;
所述多个种类包括干净邮件与垃圾邮件;
所述收集与该接收的电子信息相关的全球情报,以对该所接收的电子信息的进行重新评测信息识别操作更包括收集有关该电子邮件信息的全球情报或具有相似属性的电子邮件信息,进行重新评测的垃圾邮件检测;
所述根据分类的结果对上述被队列处理的电子邮件信息按照相应的安全策略处理进一步包括:
如果该电子邮件信息经过重新评测的垃圾邮件检测被分类为干净邮件,该电子邮件信息将被传输到邮件信息中所注明的目标地址;
如果该电子邮件信息经过重新评测的垃圾邮件检测操作被分类为垃圾邮件,将根据对于垃圾邮件所设置的安全策略进行处理。
3.根据权利要求2所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述的初始垃圾邮件检测包括执行内容分析操作。
4.根据权利要求2所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述初始垃圾邮件检测包括执行评价分析操作。
5.根据权利要求3所述的一种利用全球情报进行本地信息分类的方法,其特征在于,该内容分析包括:
通过从该电子邮件信息中提取该电子邮件信息属性形成该电子邮件信息的一特征,以及查询一评价服务器对该电子邮件信息的一特征评价进行评估,其中该评测服务器可根据直接或间接的检测以及从网络中反垃圾邮件引擎到一个全球情报网络范围内进行的分析维护并更新特征评测信息;
对电子邮件信息应用启发性规则。
6.根据权利要求2所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述初始垃圾邮件检测是由一第一设备的一第一垃圾邮件引擎执行的。
7.根据权利要求6所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述第一设备包括一邮件服务器。
8.根据权利要求6所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述第一设备包括一网络网关。
9.根据权利要求6所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述重新评测的垃圾邮件检测由该第一设备执行。
10.根据权利要求6所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述重新评测的垃圾邮件检测由一第二设备的一第二反垃圾邮件引擎执行。
11.根据权利要求8所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述第二设备包括一邮件服务器。
12.根据权利要求8所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述第二设备包括一用户端工作站。
13.根据权利要求3所述的一种利用全球情报进行本地信息分类的方法,其特征在于,该方法还进一步包括在执行所述内容分析之前查看该电子邮件信息的一发件人评价的操作。
14.根据权利要求13所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述查看该邮件的发件人的评价操作包括从一评价服务器获取与该发件人有关的发件人评价信息。
15.根据权利要求6所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述电子邮件信息通过简单邮件传输协议传输到该第一设备。
16.根据权利要求6所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述电子邮件信息通过邮局访问协议传输到该第一设备。
17.根据权利要求6所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述电子邮件信息通过互联网信息访问协议传输到该第一设备。
18.根据权利要求5所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述执行重新评测的垃圾邮件检测可以由一重新评测事件触发。
19.根据权利要求18所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述重新评测事件包括该全球情报网络中存在已更新的特征评价信息。
20.根据权利要求18所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述重新评测事件包括该全球情报网络中存在已更新的发件人评价信息。
21.根据权利要求18所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述重新评测事件包括存在可用的已更新的启发性规则。
22.根据权利要求18所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述重新评测事件包括执行初始内容分析之后超过了预先设定的时间范围。
23.根据权利要求18所述的一种利用全球情报进行本地信息分类的方法,其特征在于,所述设定的重新评测事件包括一间隔计时器的计时到期。
24.一种垃圾邮件检测系统,其特征在于,包括:
一个全球情报网络包括连接到一网络的一个或多个全球情报服务器,可直接或间接的i:从多个分布式反垃圾邮件引擎收集全球情报,ii:维护并更新电子邮件信息特征以及相关的评价信息,且iii:根据从该全球情报网络获得的检测与分析结果调整该分布式反垃圾邮件引擎的垃圾邮件检测方法;以及
一与网络连接的电子邮件信息可通过的网络设备,该网络设备包括多个分布式反垃圾邮件引擎的其中一个,该反垃圾引擎用于i:对该电子邮件信息执行评价分析与内容分析,包括从该全球情报服务器查询与该电子邮件信息有关的特征评价信息;ii:将不能被实时地明确地判断为干净邮件还是垃圾邮件的电子邮件信息队列处理,给该全球情报网络进一步收集信息的时间,以便对在后续重新进行评价分析或内容分析的操作中得出更准确的内容分析。
25.根据权利要求24所述的一种垃圾邮件检测系统,其特征在于,所述内容分析更包括对该电子邮件信息应用启发性规则。
26.根据权利要求24所述的一种垃圾邮件检测系统,其特征在于,所述网络设备包括一网络网关、一邮件服务器或一用户端工作站。
27.根据权利要求25所述的一种垃圾邮件检测系统,其特征在于,所述后续重新进行的内容分析操作是由一重新评测事件触发。
28.根据权利要求27所述的一种垃圾邮件检测系统,其特征在于,所述重新评测事件包括与该全球情报网络有关的一个或多个评价服务器中存在已更新的特征评价信息。
29.根据权利要求27所述的一种垃圾邮件检测系统,其特征在于,所述重新评测事件包括存在可用的已更新的启发性规则。
30.根据权利要求27所述的一种垃圾邮件检测系统,所述重新评测事件包括执行初始内容分析之后超过了预先设定的时间范围。
31.根据权利要求27所述的一种垃圾邮件检测系统,所述重新评测事件包括一间隔计时器的计时到期。
32.一种垃圾邮件检测系统,其特征在于,包括:
一托管发件人评价数据库;
一托管垃圾邮件特征数据库;
一托管启发性规则数据库;
一反垃圾邮件引擎与该托管发件人评价数据库、该托管垃圾邮件特征数据库以及该托管启发性规则数据库通过公共网络进行通信连接,该反垃圾邮件引擎可从该托管启发性规则数据库接收已更新的启发性规则并通过以下方式执行垃圾邮件检测i:查询该托管评价数据库,ii:查询该托管垃圾邮件特征数据库,iii:对每个电子邮件信息应用该已更新的启发性规则。
33.根据权利要求32所述的一种垃圾邮件检测系统,其特征在于,所述的对每个电子邮件信息应用的已更新的启发性规则是基于来自该托管评价数据库或该托管的垃圾邮件特征数据库的查询结果。
CNA2008100897045A 2007-08-30 2008-03-26 用全球情报进行本地信息分类的方法及垃圾邮件检测系统 Pending CN101247406A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/847,334 2007-08-30
US11/847,334 US8103727B2 (en) 2007-08-30 2007-08-30 Use of global intelligence to make local information classification decisions

Publications (1)

Publication Number Publication Date
CN101247406A true CN101247406A (zh) 2008-08-20

Family

ID=39947604

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA2008100897045A Pending CN101247406A (zh) 2007-08-30 2008-03-26 用全球情报进行本地信息分类的方法及垃圾邮件检测系统

Country Status (2)

Country Link
US (2) US8103727B2 (zh)
CN (1) CN101247406A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594716A (zh) * 2011-01-17 2012-07-18 阿里巴巴集团控股有限公司 一种即时通信消息的传输方法、系统及设备
CN106415582A (zh) * 2014-06-27 2017-02-15 迈克菲股份有限公司 恶意软件抑制
US9787789B2 (en) 2013-01-16 2017-10-10 Alibaba Group Holding Limited Method, device and system for pushing information
CN107426147A (zh) * 2016-03-28 2017-12-01 阿里巴巴集团控股有限公司 用于确定应用的反垃圾性能的方法与设备
CN108259688A (zh) * 2016-12-28 2018-07-06 广东世纪网通信设备股份有限公司 VoIP平台电话诈骗行为检测方法、装置以及检测系统
CN114629873A (zh) * 2020-12-11 2022-06-14 李天明 一种垃圾邮件过滤方法、装置、系统及存储介质

Families Citing this family (79)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8266215B2 (en) * 2003-02-20 2012-09-11 Sonicwall, Inc. Using distinguishing properties to classify messages
US7406502B1 (en) 2003-02-20 2008-07-29 Sonicwall, Inc. Method and system for classifying a message based on canonical equivalent of acceptable items included in the message
US7299261B1 (en) 2003-02-20 2007-11-20 Mailfrontier, Inc. A Wholly Owned Subsidiary Of Sonicwall, Inc. Message classification using a summary
US8522347B2 (en) 2009-03-16 2013-08-27 Sonicwall, Inc. Real-time network updates for malicious content
US8590002B1 (en) 2006-11-29 2013-11-19 Mcafee Inc. System, method and computer program product for maintaining a confidentiality of data on a network
CN101641693A (zh) * 2006-12-18 2010-02-03 日本电气株式会社 极性估计系统、信息传输系统、极性估计方法、极性估计程序以及评价极性估计程序
US8621008B2 (en) 2007-04-26 2013-12-31 Mcafee, Inc. System, method and computer program product for performing an action based on an aspect of an electronic mail message thread
US8199965B1 (en) * 2007-08-17 2012-06-12 Mcafee, Inc. System, method, and computer program product for preventing image-related data loss
US20130276061A1 (en) 2007-09-05 2013-10-17 Gopi Krishna Chebiyyam System, method, and computer program product for preventing access to data with respect to a data access attempt associated with a remote data sharing session
US8060569B2 (en) * 2007-09-27 2011-11-15 Microsoft Corporation Dynamic email directory harvest attack detection and mitigation
US8446607B2 (en) * 2007-10-01 2013-05-21 Mcafee, Inc. Method and system for policy based monitoring and blocking of printing activities on local and network printers
US20090100184A1 (en) * 2007-10-16 2009-04-16 International Business Machines Corporation Protecting context sensitive information from being transmitted from an instant message client
US8086582B1 (en) * 2007-12-18 2011-12-27 Mcafee, Inc. System, method and computer program product for scanning and indexing data for different purposes
US8893285B2 (en) * 2008-03-14 2014-11-18 Mcafee, Inc. Securing data using integrated host-based data loss agent with encryption detection
US8024480B2 (en) * 2008-04-28 2011-09-20 Distefano Michael Vincent Complex event processing cloud
US20090307320A1 (en) * 2008-06-10 2009-12-10 Tal Golan Electronic mail processing unit including silverlist filtering
WO2010008825A1 (en) * 2008-06-23 2010-01-21 Cloudmark, Inc. Systems and methods for re-evaluating data
US8028031B2 (en) * 2008-06-27 2011-09-27 Microsoft Corporation Determining email filtering type based on sender classification
US9077684B1 (en) 2008-08-06 2015-07-07 Mcafee, Inc. System, method, and computer program product for determining whether an electronic mail message is compliant with an etiquette policy
US20100082694A1 (en) * 2008-09-30 2010-04-01 Yahoo! Inc. Query log mining for detecting spam-attracting queries
US8996622B2 (en) * 2008-09-30 2015-03-31 Yahoo! Inc. Query log mining for detecting spam hosts
US8065738B1 (en) * 2008-12-17 2011-11-22 Symantec Corporation Systems and methods for detecting automated spam programs designed to transmit unauthorized electronic mail via endpoint machines
US8488479B2 (en) * 2008-12-19 2013-07-16 At&T Intellectual Property I, L.P. Method and apparatus for providing protection against spam
US8578484B2 (en) * 2008-12-31 2013-11-05 Sonicwall, Inc. Identification of content
US8578485B2 (en) 2008-12-31 2013-11-05 Sonicwall, Inc. Identification of content by metadata
US8621614B2 (en) * 2009-05-26 2013-12-31 Microsoft Corporation Managing potentially phishing messages in a non-web mail client context
US20100332319A1 (en) * 2009-06-24 2010-12-30 Craig Stephen Etchegoyen Methods and Systems for Dynamic Serving of Advertisements in a Game or Virtual Reality Environment
US8959157B2 (en) * 2009-06-26 2015-02-17 Microsoft Corporation Real-time spam look-up system
US9100465B2 (en) 2009-08-11 2015-08-04 Eolas Technologies Incorporated Automated communications response system
US8850579B1 (en) * 2009-11-13 2014-09-30 SNS Soft LLC Application of nested behavioral rules for anti-malware processing
US8910279B2 (en) 2010-03-10 2014-12-09 Sonicwall, Inc. Reputation-based threat protection
US8745143B2 (en) 2010-04-01 2014-06-03 Microsoft Corporation Delaying inbound and outbound email messages
US8671447B2 (en) 2010-06-09 2014-03-11 Sonicwall, Inc. Net-based email filtering
US8776219B2 (en) 2010-08-27 2014-07-08 Microsoft Corporation Application selection using current detection intelligence
US8869277B2 (en) 2010-09-30 2014-10-21 Microsoft Corporation Realtime multiple engine selection and combining
US8695092B2 (en) 2010-12-06 2014-04-08 Microsoft Corporation Host IP reputation
US9450781B2 (en) * 2010-12-09 2016-09-20 Alcatel Lucent Spam reporting and management in a communication network
US9129110B1 (en) * 2011-01-14 2015-09-08 The United States Of America As Represented By The Secretary Of The Air Force Classifying computer files as malware or whiteware
EP2490383B1 (en) * 2011-02-11 2014-08-27 Kaspersky Lab, ZAO Systems and methods of probing data transmissions for detecting spam bots
US9384471B2 (en) 2011-02-22 2016-07-05 Alcatel Lucent Spam reporting and management in a communication network
US8738557B1 (en) 2011-07-26 2014-05-27 Google Inc. Detection of spam using contextual analysis of data sources
US8682990B2 (en) 2011-10-03 2014-03-25 Microsoft Corporation Identifying first contact unsolicited communications
CN103176984B (zh) * 2011-12-20 2016-01-20 中国科学院计算机网络信息中心 一种用户生成内容中欺骗性垃圾意见检测方法
US9876742B2 (en) * 2012-06-29 2018-01-23 Microsoft Technology Licensing, Llc Techniques to select and prioritize application of junk email filtering rules
CN102752730B (zh) * 2012-07-19 2014-04-16 腾讯科技(深圳)有限公司 消息处理的方法及装置
CN102882881B (zh) * 2012-10-10 2015-06-24 常州大学 针对dns服务的拒绝服务攻击的数据过滤方法
US10129607B2 (en) * 2012-12-19 2018-11-13 Arris Enterprises Llc Using analytical models to inform policy decisions
AU2013100355B4 (en) * 2013-02-28 2013-10-31 Netauthority, Inc Device-specific content delivery
WO2014143000A1 (en) * 2013-03-15 2014-09-18 Mcafee, Inc. Server-assisted anti-malware
WO2014143012A1 (en) 2013-03-15 2014-09-18 Mcafee, Inc. Remote malware remediation
WO2014142986A1 (en) 2013-03-15 2014-09-18 Mcafee, Inc. Server-assisted anti-malware client
US8898786B1 (en) * 2013-08-29 2014-11-25 Credibility Corp. Intelligent communication screening to restrict spam
WO2015047440A1 (en) * 2013-09-29 2015-04-02 Mcafee, Inc. One-click reputation adjustment
US9350747B2 (en) * 2013-10-31 2016-05-24 Cyberpoint International Llc Methods and systems for malware analysis
US10454785B2 (en) 2014-05-08 2019-10-22 Cisco Technology, Inc. Designating a voting classifier using distributed learning machines
US9230104B2 (en) 2014-05-09 2016-01-05 Cisco Technology, Inc. Distributed voting mechanism for attack detection
US9319382B2 (en) 2014-07-14 2016-04-19 Cautela Labs, Inc. System, apparatus, and method for protecting a network using internet protocol reputation information
US9641542B2 (en) 2014-07-21 2017-05-02 Cisco Technology, Inc. Dynamic tuning of attack detector performance
US9407646B2 (en) 2014-07-23 2016-08-02 Cisco Technology, Inc. Applying a mitigation specific attack detector using machine learning
US9450972B2 (en) 2014-07-23 2016-09-20 Cisco Technology, Inc. Network attack detection using combined probabilities
US10122687B2 (en) * 2014-09-14 2018-11-06 Sophos Limited Firewall techniques for colored objects on endpoints
US9824313B2 (en) * 2015-05-01 2017-11-21 Flipboard, Inc. Filtering content in an online system based on text and image signals extracted from the content
US20160337394A1 (en) * 2015-05-11 2016-11-17 The Boeing Company Newborn domain screening of electronic mail messages
CN106295333B (zh) * 2015-05-27 2018-08-17 安一恒通(北京)科技有限公司 用于检测恶意代码的方法和系统
US10148678B2 (en) * 2015-10-01 2018-12-04 The Boeing Company Cybersecurity system with differentiated capacity to deal with complex cyber attacks
US9967266B2 (en) 2015-11-09 2018-05-08 Flipboard, Inc. Pre-filtering digital content in a digital content system
US11544783B1 (en) 2016-05-12 2023-01-03 State Farm Mutual Automobile Insurance Company Heuristic credit risk assessment engine
US10970641B1 (en) 2016-05-12 2021-04-06 State Farm Mutual Automobile Insurance Company Heuristic context prediction engine
US10657182B2 (en) 2016-09-20 2020-05-19 International Business Machines Corporation Similar email spam detection
WO2018064837A1 (zh) * 2016-10-09 2018-04-12 武汉芯泰科技有限公司 芯片内ip包缓冲区与io间安全过滤方法及安全收发器芯片
US10554678B2 (en) * 2017-07-26 2020-02-04 Cisco Technology, Inc. Malicious content detection with retrospective reporting
US10708297B2 (en) 2017-08-25 2020-07-07 Ecrime Management Strategies, Inc. Security system for detection and mitigation of malicious communications
CN107800724A (zh) 2017-12-08 2018-03-13 北京百度网讯科技有限公司 云主机防破解方法、系统及处理设备
US11605100B1 (en) 2017-12-22 2023-03-14 Salesloft, Inc. Methods and systems for determining cadences
US10686807B2 (en) 2018-06-12 2020-06-16 International Business Machines Corporation Intrusion detection system
RU2750643C2 (ru) * 2019-07-17 2021-06-30 Акционерное общество "Лаборатория Касперского" Способ признания письма спамом через анти-спам карантин
US11847537B2 (en) * 2020-08-12 2023-12-19 Bank Of America Corporation Machine learning based analysis of electronic communications
US11882112B2 (en) 2021-05-26 2024-01-23 Bank Of America Corporation Information security system and method for phishing threat prevention using tokens
US11586878B1 (en) * 2021-12-10 2023-02-21 Salesloft, Inc. Methods and systems for cascading model architecture for providing information on reply emails

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8046832B2 (en) * 2002-06-26 2011-10-25 Microsoft Corporation Spam detector with challenges
US7543053B2 (en) * 2003-03-03 2009-06-02 Microsoft Corporation Intelligent quarantining for spam prevention
US7287060B1 (en) * 2003-06-12 2007-10-23 Storage Technology Corporation System and method for rating unsolicited e-mail
US20060149821A1 (en) * 2005-01-04 2006-07-06 International Business Machines Corporation Detecting spam email using multiple spam classifiers
US7937480B2 (en) * 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
US8849921B2 (en) * 2007-06-28 2014-09-30 Symantec Corporation Method and apparatus for creating predictive filters for messages

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102594716A (zh) * 2011-01-17 2012-07-18 阿里巴巴集团控股有限公司 一种即时通信消息的传输方法、系统及设备
CN102594716B (zh) * 2011-01-17 2016-05-11 阿里巴巴集团控股有限公司 一种即时通信消息的传输方法、系统及设备
US9787789B2 (en) 2013-01-16 2017-10-10 Alibaba Group Holding Limited Method, device and system for pushing information
US10419565B2 (en) 2013-01-16 2019-09-17 Alibaba Group Holding Limited Method, device and system for pushing information
CN106415582A (zh) * 2014-06-27 2017-02-15 迈克菲股份有限公司 恶意软件抑制
CN107426147A (zh) * 2016-03-28 2017-12-01 阿里巴巴集团控股有限公司 用于确定应用的反垃圾性能的方法与设备
CN108259688A (zh) * 2016-12-28 2018-07-06 广东世纪网通信设备股份有限公司 VoIP平台电话诈骗行为检测方法、装置以及检测系统
CN114629873A (zh) * 2020-12-11 2022-06-14 李天明 一种垃圾邮件过滤方法、装置、系统及存储介质

Also Published As

Publication number Publication date
US20090063371A1 (en) 2009-03-05
US20090064323A1 (en) 2009-03-05
US8103727B2 (en) 2012-01-24

Similar Documents

Publication Publication Date Title
CN101247406A (zh) 用全球情报进行本地信息分类的方法及垃圾邮件检测系统
US7548544B2 (en) Method of determining network addresses of senders of electronic mail messages
US6941348B2 (en) Systems and methods for managing the transmission of electronic messages through active message date updating
US7603472B2 (en) Zero-minute virus and spam detection
US9875466B2 (en) Probability based whitelist
US7873695B2 (en) Managing connections and messages at a server by associating different actions for both different senders and different recipients
US7921063B1 (en) Evaluating electronic mail messages based on probabilistic analysis
EP2446411B1 (en) Real-time spam look-up system
US7610342B1 (en) System and method for analyzing and managing spam e-mail
US20040143635A1 (en) Regulating receipt of electronic mail
CN101087259A (zh) 一种过滤国际互联网络中垃圾电子邮件的系统及其实现方法
US20060265459A1 (en) Systems and methods for managing the transmission of synchronous electronic messages
WO2005001733A1 (en) E-mail managing system and method thereof
US7958187B2 (en) Systems and methods for managing directory harvest attacks via electronic messages

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: FORTINET INC.

Free format text: FORMER OWNER: FORTINET INFORMATION TECHNOLOGY (BEIJING) CO., LTD.

Effective date: 20091002

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20091002

Address after: California, USA

Applicant after: Fortinet, Inc.

Address before: Room 7, digital media building, No. 507 information road, Beijing, Haidian District, China: 100085

Applicant before: Fortinet,Inc.

C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20080820