CN101335721A - 为消息创建预测过滤器的方法和装置 - Google Patents
为消息创建预测过滤器的方法和装置 Download PDFInfo
- Publication number
- CN101335721A CN101335721A CNA2008101114324A CN200810111432A CN101335721A CN 101335721 A CN101335721 A CN 101335721A CN A2008101114324 A CNA2008101114324 A CN A2008101114324A CN 200810111432 A CN200810111432 A CN 200810111432A CN 101335721 A CN101335721 A CN 101335721A
- Authority
- CN
- China
- Prior art keywords
- filter
- spam
- information
- territory
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Abstract
本发明公开了一种为消息创建预测过滤器的方法和装置。在一个实施方式中,过滤器信息连接到信誉数据库。如果消息特征的信誉与过滤器信息的一个或多个部分相关联,则为消息特征生成一个或多个过滤器。在一个实施方式中,生成SPAM过滤器。在又一实施方式中,使用启发式来检测一个或多个消息特征。基于启发式的决定,将一个或多个消息特征列入黑名单。如果消息特征的信誉与列入黑名单的特征相关联,生成一个或多个附加的消息过滤器。
Description
技术领域
本发明的实施方式涉及通过网络传送的消息通信。更具体地,本发明涉及一种利用消息特征的信誉数据库为消息创建预测过滤器的方法和装置。
背景技术
人们通过多种方式彼此通信。例如,一个人可通过网络(例如,因特网)发送信息(例如,电子邮件、文本消息、多媒体消息等)至接收方。通常电子邮件具有发送方地址、接收方地址、标题、主体以及其他部分。在电子邮件到达接收方之前,其由邮件服务器处理。邮件服务器可包括过滤器,该过滤器与消息的具体特征相关。如果出现某些特征(例如,域名、名称服务器、来源国家、主IP地址等),已知其包含垃圾或有害联系的消息源,然后该电子邮件被过滤并被阻止到达接收方。否则,该电子邮件被传递至接收方。
消息的某些特征的出现可表明该消息对于硬件、软件和/或数据可能是危险的(例如,SPAM、钓鱼攻击(phish)、恶意软件、病毒、木马、蠕虫、拒绝服务攻击和/或其他的垃圾消息)。SPAM是一种商业消息,例如电子邮件,将广告显示给用户。钓鱼攻击是在合法消息的借口下欺骗性地从有信誉的公司获得个人密码的过程。恶意软件、病毒、木马、蠕虫、拒绝服务攻击是嵌入电子邮件中的潜在的危险程序的示例,并可以在接收方的计算机上被执行。
过滤器帮助保护接收方的硬件、软件和数据免受损害。过滤器是包含关于一般垃圾消息的特征的信息的数据结构,其由软件程序来使用,以阻止这些垃圾消息的传送。例如,为已知发送SPAM、钓鱼攻击和其他垃圾消息的域创建过滤器。也可为已知包括在SPAM电子邮件内的域创建过滤器。在任一情况下,仅在电子邮件已经发送至接收方并确定为SPAM之后,为域创建过滤器。因此,在为垃圾消息创建过滤器之前,可能发生损害。
因此,需要一种在垃圾消息发送至接收方之前为域创建过滤器的方法和装置。
发明内容
本发明通常涉及一种用于为消息创建预测过滤器的方法和装置。在一个实施方式中,过滤器信息连接到信誉数据库。如果消息特征的信誉与过滤器信息相关联,则为该消息特征生成一个或多个过滤器。在一个实施方式中,预先生成SPAM过滤器。在又一实施方式中,利用启发式(heuristics)检测一个或多个消息特征。基于检测一个或多个特征的结果,一个或多个消息特征被列入黑名单。如果消息特征的信誉与黑名单特征相关联,则生成一个或多个附加的消息过滤器。
附图说明
因此为了更详细地理解本发明的以上所述特征,将参照附图中示出的实施方式对以上简要概述的本发明进行更具体描述。然而,应该注意,附图中只示出了本发明典型的实施方式,因此不能认为是对本发明范围的限定,本发明可允许其他等效的实施方式。
图1示出了利用在本发明的一个实施方式中形成的过滤器生成模块的网络的结构框图;
图2示出了根据本发明的一个或多个实施方式用于生成过滤器的方法的流程图;
图3示出了根据本发明的一个或多个实施方式用于将消息特征列入黑名单的流程图;
虽然在此利用数个实施方式及示例性附图以示例的方式描述本发明,但本发明的技术人员将认识到,本发明并不限于附图的实施方式或所述附图。应当理解,附图以及其详细描述并不是意欲将本发明限制在所公开的特定形式,但是相反地,本发明覆盖落入由所附权利要求限定的本发明的精神和范围之内的所有修改、等价物和代替物。在此所使用的标题仅是用于编制的目的,并不意在限制说明书和权利要求的范围。如在本申请通篇所使用的,随意使用“可以”(即,意思是必须)。同样,单词“包括”意思是包括但不限于。
具体实施方式
本发明的实施方式包括用于为消息创建预测过滤器的方法和装置。该装置包含在后端消息系统的系统中,其中后端消息系统接收过滤器信息,并基于消息特征的信誉,为该消息特征生成一个或多个附加过滤器。后端消息系统利用现场统计为每一个消息特征更新信誉。
图1示出了联网的计算机系统100的结构框图,计算机网络系统100包括发送方102、邮件服务器104、接收方106和后端系统108,其中每一个连接到网络110。容易理解,虽然图1示例性地引用SPAM作为被过滤的消息类型,可采用联网的计算机系统100用于为其他类型的垃圾电子邮件消息创建过滤器,例如钓鱼攻击和嵌入病毒、蠕虫、木马等之中的至少一个的其他电子邮件。
网络110包含通信系统,其通过电线、电缆、光纤和/或由多种类型的已知诸如集线器、转换器、路由器等网络元件实现的无线链路来连接计算机系统。网络110可采用多种已知的协议,以在网络资源之间传送信息。例如,网络110可以是利用诸如以太网、WiFi、WiMax、GPRS等多种通信设施的因特网或企业内部互联网的一部分。
发送方102可以是通过网络110发送电子邮件的设备,例如计算机、服务器、个人数字助理(PDA)等。为了说明本发明的目的,发送方102是将SPAM发送到接收方106的设备。通常通过包含域名和邮件名字的电子邮件来识别发送方102。例如,邮件名字是与域名相关联的服务器内的用户名。如下所述,发送方102也与一个或多个消息特征相关联。
接收方106是能够连接到联网的计算机系统100并通过利用邮件服务器104发送/接收电子邮件的任何设备。例如,接收方106可以是计算机、平板计算机、个人数字助理(PDA)、诸如移动电话的移动通信设备等。
接收方106包括CPU 122、辅助电路123、存储器124。CPU 122可包括本领域中已知的一个或多个微处理器。支持CPU 122工作的辅助电路123可包括高速缓冲存储器、电源、时钟电路、数据寄存器、I/O接口等。存储器124可包括随机接入存储器、只读存储器、可移动存储器、闪存和这些类型的存储器的任意多种组合。存储器124通常指主存储器,并且部分地用作高速缓冲存储器或缓冲存储器。存储器124存储多种软件包,包括邮件用户代理126和反SPAM客户应用程序128。邮件用户代理126使得接收方能够与邮件服务器104中存储邮件的收件箱相连。反SPAM客户应用程序128包括利用接收方106的SPAM策略和/或由后端系统108生成的过滤器来阻止SPAM传递至接收方的软件。
邮件服务器104通常设计为保持、组织电子邮件消息、并将电子邮件消息从一个计算机(例如,发送方102)传送至另一个计算机(例如,接收方106)的计算机和/或计算机系统。邮件服务器104也可在电子邮件被传送至接收方106之前处理和/或存储电子邮件。
邮件服务器104包括中央处理单元(CPU)112、辅助电路114和存储器116。CPU 112可包括本领域中已知的微处理器。用于邮件服务器104的辅助电路114可包括高速缓冲存储器、电源、时钟电路、数据寄存器、I/O接口等。存储器116类似于上述的接收方106的存储器112。存储器116存储包括反SPAM服务器应用程序118和邮件传送代理120的多种软件包。反SPAM服务器应用程序118包括利用由后端系统108生成的SPAM过滤器来阻止被识别为SPAM的电子邮件传递至接收方的软件。在一个实施方式中,SPAM过滤器可用于阻止从邮件服务器的用户发送的SPAM的传送(例如,SPAM过滤器用作出境过滤器)。邮件传送代理120在接收方106和发送方102之间接收电子邮件。假定接收方106也可以发送电子邮件,并且发送方102也可以接收电子邮件。邮件传送代理120可将电子邮件转发至另一台计算机,作为传递过程的一部分。
在联网的计算机系统100中,后端系统108利用数据服务(例如,数据存储和/或处理)和/或应用程序服务(例如,软件代理和处理)支持邮件服务器104和/或接收方106。应当假定一个或多个后端系统能够支持运行多种邮件服务器应用程序的一个或多个服务器计算机,和/或能够支持运行多种客户应用程序的一个或多个接收计算机。为了表述清楚,图1仅示出了一个仅仅支持一个邮件服务器和一个接收计算机的后端系统。
后端系统108包括辅助电路130、中央处理单元(CPU)132和存储器134。辅助电路130有助于实现CPU 132的功能性,并可包括高速缓冲存储器、电源、时钟电路、数据寄存器、I/O接口等。CPU 132可包括本领域中已知的微处理器。如上所述,存储器134与存储器122相似。存储器134存储多种软件包和过滤器生成模块136。过滤器生成模块136是一组处理器可执行的指令,用于生成在邮件服务器104和接收方106中使用的用于过滤SPAM的过滤器。
后端系统108连接到信誉数据库138和特征关系数据库140。每个数据库是数据记录的集合。信誉数据库138存储用于多种消息特征的信誉,包括黑名单特征。信誉通常是表明与垃圾消息的总数相关的消息特征的值。消息特征的信誉由于多种原因或高或低。例如,如以下说明,被列入黑名单的主IP地址、被列入黑名单的域、和/或被列入黑名单的名字服务器具有低信誉。在另一个示例中,具有现有的反SPAM过滤器的域也具有低信誉。
特征关系数据库140存储关于诸如主IP地址、名字服务器、域名等的多种特征之间的关系(即,关联)的信息。例如,如果域分解为主IP地址,则域与主IP地址相关。另外,主IP地址与寄主该IP地址的名字服务器相关。在一个实施方式中,如果主IP地址具有消息过滤器,然后任何标有该域(例如,在主体中,头为发送方域等)的邮件被做标记,和/或被阻止到达接收方106,如下所示。
多种消息特征包括但不限于关于以下内容的信息:网站内容;具有恶意软件、间谍软件和SPAM的多个网站;名字服务器;主IP地址;来源国家;域注册的所在地;域区文件记录的生存时间;与域相关的多个名字服务器;whois数据(即,域注册信息查找);名字服务器对域的变化次数;表明名字服务器与域是否具有相同名字的值;表明域是否用于域检测的值(即,在ICANN规则下的所属高级域的域注册开始时,利用五天“宽限期”来检测域名的可销售性的注册者的实践活动);主IP地址的国家位置;基于客户现场统计数据,从域或主IP地址发送的电子邮件、垃圾邮件和/或病毒量;已知用于发送广告、恶意软件或SPAM的其他跟踪类目、开放转发、IP地址分配的主IP地址和/或域以及IP地址或IP地址的范围的使用历史。
基于当前可用于公共消费的多个特征,以及基于从该范围中的客户返回的现有产品的信息信誉系统所特有的一些特征建立信誉系统138。利用来自多种产品和应用程序(例如,反SPAM服务器应用程序118和反SPAM客户应用程序128)的范围统计数据来更新信誉数据库138,所述产品和应用程序用于跟踪和采集可公开获得的数据,例如关于网站内容、来源国家数据等的信息。现场统计数据通常用于测量SPAM的增长。在一个实施方式中,现场统计数据提供关于反SPAM过滤器的触发特性以及全部已处理的邮件量的反馈。现场统计数据也可包括关于全部SPAM的出现、SPAM中的趋势和SPAM中的常用语的信息。在多数情况下,既可由个人用户也可由法人实体、政府机构等来生成现场统计数据。从美国、以及欧洲、非洲、亚洲、澳洲、加拿大、中美洲和南美洲采集现场统计数据。
同样地,由于特征变得或多或少与当前世界上出现的SPAM相关联,因此,特定消息特征的信誉随着时间改变。例如,如果特定主IP地址在信誉数据库138中已经保持了高信誉,则该主IP地址将很可能不与将来的SPAM相关联。在一个实施方式中,分解为该特定IP地址的域也将很可能不与SPAM相关联。因此,当邮件消息的主体具有分解为特定IP地址的其中一个域,该邮件消息很可能不是SPAM。除非存在其他原因来阻止该邮件消息,否则应该继续到接收方的收件箱。
另一方面,如果该特定主IP地址具有非常低的信誉,那么分解为该主IP地址的域也具有非常低的信誉。主IP地址可能由于多种原因而具有非常低的信誉。即使在SPAM中实际上并没有使用分解为该主IP地址的一个或多个域,其很有可能用在SPAM中,这是由于其与特定主IP地址的关系。因此,为所有的分解为特定主IP地址的域创建预测过滤器。在一个或多个实施方式中,每个过滤器将包含用于识别域的信息(例如,在主体、消息标题、主题和/或邮件的任意其他部分中)。为这类域创建的预测过滤器可与用于阻止SPAM传送的反SPAM服务器应用程序118和/或反SPAM客户应用程序128进行通信。
在本发明的一个实施方式中,如果消息特征的信誉与最近消息过滤器中的一个或多个消息特征相关联和/或相关,则后端系统108与邮件服务器104和接收方106合作生成一个或多个消息过滤器(例如,SPAM过滤器)。后端系统108在产生垃圾消息之前生成新的消息过滤器(即,以预测的方式产生过滤器)。例如,如果后端系统108接收最近的消息过滤器,该消息过滤器配置为过滤在主体中具有特定主IP地址的电子邮件,如上所述,那么后端系统108将在信誉数据库138中查找特定主IP地址,并识别与特定主IP地址相关联的一个或多个消息特征。在此示例中,所述一个或多个消息特征可以是名字服务器、分解为特定主IP地址的域名、来源国家等。如果所述一个或多个消息特征的任意一个的信誉表明该消息特征在不久的将来很可能与SPAM相关联,那么为该消息特征创建一个或多个消息过滤器。
在一个实施方式中,所述一个或多个消息过滤器与邮件服务器104中的反SPAM服务器应用程序118和/或接收方106中的反SPAM客户应用程序128进行通信。反SPAM服务器应用程序118和/或反SPAM客户应用程序128可使用一个或多个消息过滤器来评估进来的/外发的电子邮件消息,识别作为SPAM的一个或多个电子邮件消息,然后阻止SPAM传送到它们预期的接收方。
图2示出了用于生成过滤器的方法200的流程图。方法200始于步骤202,进入到步骤204。在步骤204,一个或多个SPAM过滤器连接到后端系统108。在步骤204期间,在整个世界范围内,反SPAM应用服务器和产品为最新的SPAM中所流行的特征产生SPAM过滤器,随后将SPAM过滤器传递到后端系统108。
在步骤206,基于存储在信誉数据库138中的消息特征的信誉,确定是否生成一个或多个预测SPAM过滤器,其中所述消息特征与一个或多个SPAM过滤器相关联。在步骤206期间,包含在SPAM过滤器中的消息特征用于识别信誉数据库138中的其他消息特征,其中所述消息特征呈现出与SPAM过滤器相关。例如域名与名字服务器(例如,域名服务器)相关联,其中名字服务器将域名映射到IP地址。因此,如果为域名创建SPAM过滤器,且名字服务器的信誉表明该名字服务器的很可能用于映射为SPAM已知的域(例如,SPAMMY域),那么应当为使用该名字服务器的每一个域创建SPAM过滤器。此外,如果该名字服务器位于尼日利亚,作为来源国家消息特征的尼日利亚的信誉表明来自尼日利亚的电子邮件很可能是SPAM,那么应当为来源于尼日利亚的任一名字服务器的电子邮件生成SPAM过滤器。
如果能够生成一个或多个预测SPAM过滤器,方法200则进入步骤208。在步骤208,为每个相关消息特征生成一个或多个预测SPAM过滤器,其中所述每个相关消息特征的信誉表明该相关消息特征在将来很可能与SPAM相关。创建具有足够的关于相关消息特征的信息的数据结构,以阻止具有该相关消息特征的电子邮件的传送。在一个实施方式中,每个和每一个预测SPAM过滤器散布在全世界的反SPAM产品和应用程序中。
如果没有预测过滤器生成,那么方法200进入步骤210。如果在信誉数据库138中没有与SPAM过滤器相关联的消息特征,和/或相关消息特征的信誉没有表明该相关消息特征将很可能用于SPAM,则不产生预测过滤器。例如,如上所述,即使已知用于发送SPAM的名字服务器与消息特征尼日利亚相关联,其中尼日利亚由名字服务器产生的SPAM的来源国家,由于很多其他因素,尼日利亚仍然可以不具有为来源于尼日利亚任一名字服务器的所有电子邮件授权产生SPAM过滤器的信誉值。在一个实施方式中,在与数百个合法电子邮件用户使用的非SPAM名字服务器混合在一起的尼日利亚所有名字服务器中,可能只有一个为SPAM已知的名字服务器。在来源于尼日利亚每个电子邮件中放入统一的过滤器将是不公平和轻率的。很多情况下,非SPAM电子邮件将被看成SPAM并被且过滤掉。
在步骤210,基于SPAM过滤器使用的消息特征的信誉,确定是否改变一个或多个SPAM过滤器和/或信誉。在步骤210期间,如果信誉未表明该消息过滤器很有可能在将来的SPAM中使用,该消息特征的SPAM过滤器将不再能够有效地阻止SPAM的传送。替代地,SPAM过滤器将阻止合法电子邮件的传送。在一个实施方式中,消息过滤器的信誉基于世界范围内的由多种反SPAM和电子邮件产品以及应用程序产生的现场统计数据而改变。如果一个或多个SPAM过滤器和/或信誉应被改变,那么该方法将进入步骤212。如果没有SPAM过滤器和/或信誉应被改变,那么该方法将进入步骤214。
在步骤212,改变一个或多个SPAM过滤器和/或信誉。在步骤214,方法200进入方法300,如在以下图3中所述。在一个实施方式中,由于需要更多SPAM过滤器,可重复进行方法200。在一个可选的实施方式中,方法200在步骤214结束。在任一情况下,使用由世界范围的多种反SPAM和电子邮件产品以及应用程序产生的统计数据的一个或多个部分来更新信誉数据库。
图3示出了用于另外处理SPAM过滤器和信誉数据库138的方法300的流程图。如上所述,方法300从方法200的步骤212继续。在一个实施方式中,方法300始于步骤302并进入步骤304。
在步骤304,利用启发式检测一个或多个消息特征,以确定是否能够创建一个或多个预测SPAM过滤器。在一个实施方式中,仅检测没有被选择用于SPAM过滤器生成的信誉数据库138的消息特征。从现场统计数据和/或网络程序调用(例如,ping、trace、whois、nslookup等)收集启发式使用的信息。启发式检测可包括但不限于确定域的主IP地址是否已经被列入黑名单,确定网页的内容是否包括先前识别的SPAM或恶意软件内容,确定名字服务器是否具有可配置百分比的SPAM网站,确定域注册日期(例如,从VeriSign或whois查找中获得)比可定义的时限更近,和/或确定在主IP地址和已知的僵尸计算机(zombies)或僵尸网络(bot nets)之间是否重叠。在另一个实施方式中,启发式检测可将消息特征与SPAMMY分布(profile)(例如,关于与SPAM相关联的消息特征的数据)相比较,以确定是否应该生成过滤器。例如,将.org域的发起注册者与SPAMMY分布相比较。在另一个实施方式中,利用规则的表述,将域名和/或名字服务器与SPAMMY分布(例如,SPAMMY用语)相比较。
在步骤306,确定启发式检测是否返回肯定的结果。如果该结果是肯定的,那么方法300进入步骤308。如果该结果是否定的,那么该方法进入步骤310。在步骤308,一个或多个特征被列入黑名单,且改变它们在信誉数据库中的信誉表明它们已经被列入黑名单。例如,如果名字服务器满足或超过可配置的百分比,如上所述,该名字服务器自身被列入黑名单,并生成该名字服务器的过滤器。在另一个实施方式中,如果IP地址具有十个或更多名字服务器,且每个名字服务器都仅具有一个与该名字服务器具有相似名字的域,则该IP地址被列入黑名单,和/或生成过滤器。在一个实施方式中,如果特征被列入黑名单,则为每个相关特征生成一个或多个SPAM过滤器,所述每个相关特征的信誉表明该相关特征将包含在SPAM中。
在步骤310,使用现场统计数据来更新信誉数据库138。在进行步骤310期间,基于SPAM的变脸(changing face)来修改信誉数据库的一个或多个消息特征的信誉。例如,SPAM的个人犯罪不时地改变它们的技术(例如,改变它们的域、主IP地址、来源国家等)。更新信誉,以反映该域和/或主IP地址不再与SPAM相关联的事实。如果存在现有的SPAM过滤器用于该域和/或主IP地址,则如上所述,其应该被改变(例如,终止服务),。在步骤312,结束该方法。
以下是一个或多个实施方式的示例。随着由该范围中的产品和应用程序产生反SPAM过滤器,确定域abc.com为SPAM,并创建过滤器。在创建过滤器时,记录主IP地址和名字服务器(abc.com,123.123.123.123,名字服务器1)。随着时间的流逝,在域def.com和ghi.com上生成附加的过滤器,这是因为这些域具有相同的IP地址,如abc.com(123.123.123.123)。此时,该IP地址被列入黑名单,且进入后端系统108中的分解为主IP地址123.123.123.123的任何域都为该地址自动创建过滤器。随着过程的继续,附加的IP地址被列入黑名单,(124.124.124.124、125.125.125.125和126.126.126.126),这是因为这些IP地址都位于相同的名字服务器上,如123.123.123.123(名字服务器1)。这里,名字服务器1被列入黑名单,并导致位于名字服务器1上的所有IP地址被列入黑名单,名字服务器1依次将这些IP地址上的所有域列入黑名单。利用启发式,利用从当前的反SPAM过滤器采集的现场数据,来预测最好立即过滤哪些消息特征,例如域。如果看起来写在域abc.com上的SPAM过滤器触发(firing)并捕获大量SPAM,那么域abc.com和通过IP地址和名字服务器与该域相关的域族将被选择作为反SPAM过滤器的候选。
概要来说,前述过程操作如下:
过滤器->abc.com->123.123.123.123->名字服务器1
过滤器->def.com->123.123.123.123->名字服务器1
过滤器->ghi.com->123.123.123.123->名字服务器1
黑名单->123.123.123.123
自动过滤器->xdc.com->123.123.123->名字服务器1
自动过滤器->skw.com->123.123.123->名字服务器1
过滤器->kef.com->124.124.124.124->名字服务器1
过滤器->jkl.com->124.124.124.124->名字服务器1
过滤器->swe.com->124.124.124.124->名字服务器1
黑名单->124.124.124.124
自动过滤器->rrr.com->124.124.124.124->名字服务器1
过滤器->qls.com->125.125.125.125->名字服务器1
过滤器->toc.com->125.125.125.125->名字服务器1
过滤器->llk.com->125.125.125.125->名字服务器1
黑名单->125.125.125.125
过滤器->spm.com->126.126.126.126->名字服务器1
过滤器->pam.com->126.126.126.126->名字服务器1
过滤器->opo.com->126.126.126.126->名字服务器1
黑名单->126.126.126.126
黑名单->名字服务器1
自动过滤器->123.com->121.122.100.101->名字服务器1
自动过滤器->45r.com->122.100.12.100->名字服务器1
虽然前述涉及本发明的实施方式,但在不偏离本发明的基本范围内可设计其它的和进一步的实施方式,并且本发明的范围由以下权利要求书确定。
Claims (18)
1、一种为消息预测性地创建过滤器的方法,包括:
将过滤器信息连接到信誉数据库;以及
如果消息特征的信誉与所述过滤器信息的至少一部分相关联,则为所述消息特征生成至少一个过滤器。
2、根据权利要求1所述的方法,其特征在于,所述生成至少一个过滤器的步骤还包括将所述过滤器信息与所述信誉数据库中的信誉信息相比较。
3、根据权利要求1所述的方法,其特征在于,还包括如果所述过滤器信息的至少一部分的信誉不再与特定的信誉相关联,则改变所述过滤器信息的至少一部分。
4、根据权利要求1所述的方法,其特征在于,还包括利用启发式检测所述信誉数据库的至少一个消息特征。
5、根据权利要求4所述的方法,其特征在于,还包括基于所述启发式的决定,将所述至少一个消息特征列入黑名单。
6、根据权利要求1所述的方法,其特征在于,使用由不同消息客户和过滤应用程序产生的统计数据来更新所述信誉数据库。
7、根据权利要求1所述的方法,其特征在于,所述消息特征包括关于以下内容的至少一个信息:网站内容;具有恶意软件、间谍软件和SPAM中的至少一个的多个网站;名字服务器;主IP地址;来源国家;域注册的所在国家;域区文件记录的生存时间;与域相关的多个名字服务器;whois数据;所述名字服务器对所述域的变化次数;表明所述名字服务器是否与所述域具有相同名字的值;表明所述域是否用于域检测的值;至少一个所述主IP地址的国家位置;基于客户现场统计数据从所述域和主IP地址中的至少一个发送的电子邮件、垃圾邮件和/或病毒量中的至少一个;已知用于发送SPAM的跟踪类目、开放转发、IP地址分配的多个主IP地址和域;以及至少一个IP地址的使用历史和IP地址的范围。
8、根据权利要求1所述的方法,其特征在于,所述过滤器信息包括至少一个过滤器,用于名字服务器、域名、来源国家和主IP地址中的至少一个,其中所述至少一个过滤器与最近的SPAM相关。
9、根据权利要求4所述的方法,其特征在于,所述启发式包括以下之中的至少一个:确定所述域的主IP地址是否已经被列入黑名单,确定网页的内容是否包括先前识别的SPAM或恶意软件内容,确定名字服务器是否具有可配置百分比的SPAM网站,确定域注册日期是否比可定义的时限更近,确定在主IP地址和已知的僵尸计算机或僵尸计算机中的至少一个之间是否重叠,以及将消息特征与SPAM的常用语的分布相比较以确定是否应该生成过滤器。
10、根据权利要求6所述的方法,其特征在于,所述统计数据包括关于网站内容、来源国家数据、全部SPAM的出现、全部电子邮件的使用、SPAM中的趋势、SPAM中的常用语、和过滤器的触发特性之中至少一个的信息。
11、一种用于为消息创建预测过滤器的装置,包括:
信誉数据库;以及
过滤器生成模块,其用于将过滤器信息连接到所述信誉数据库,并基于与所述过滤器消息的至少一部分相关联的消息特征的信誉为所述消息特征生成至少一个过滤器。
12、根据权利要求11所述的装置,其特征在于,还包括用于将所述过滤器信息与所述信誉数据库内的信誉信息相比较的装置。
13、根据权利要求11所述的装置,其特征在于,还包括如果所述过滤器信息的至少一部分的信誉不再与特定的信誉相关联则改变所述过滤器信息的至少一部分的装置。
14、根据权利要求11所述的装置,其特征在于,还包括用于依靠启发式来检测所述信誉数据库的至少一个消息特征的装置。
15、根据权利要求14所述的装置,其特征在于,还包括用于基于所述启发式的决定将所述至少一个特征列入黑名单的装置。
16、根据权利要求11所述的装置,其特征在于,还包括用于利用由不同的消息客户和过滤应用程序产生的统计数据来更新所述信誉数据流的装置。
17、一种用于创建预测过滤器的系统,包括:
接收计算机和邮件服务器中的至少一个,以提供过滤器信息;
后端系统,用于将所述过滤器信息连接到信誉数据库,所述后端系统包括过滤器生成模块,以基于与所述过滤器消息的至少一部分相关联的消息特征的信誉为所述消息特征生成至少一个过滤器。
18、根据权利要求17所述的系统,其特征在于,所述邮件服务器和接收计算机中的至少一个提供统计数据,以更新所述消息特征的信誉。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/824,004 | 2007-06-28 | ||
US11/824,004 US8849921B2 (en) | 2007-06-28 | 2007-06-28 | Method and apparatus for creating predictive filters for messages |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101335721A true CN101335721A (zh) | 2008-12-31 |
CN101335721B CN101335721B (zh) | 2013-11-20 |
Family
ID=39884481
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008101114324A Active CN101335721B (zh) | 2007-06-28 | 2008-06-12 | 为消息创建预测过滤器的方法和装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8849921B2 (zh) |
EP (1) | EP2009858B1 (zh) |
JP (1) | JP5311544B2 (zh) |
CN (1) | CN101335721B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102656587A (zh) * | 2009-08-13 | 2012-09-05 | 赛门铁克公司 | 在信誉系统中使用客户端装置的置信量度 |
CN103198123A (zh) * | 2012-04-06 | 2013-07-10 | 卡巴斯基实验室封闭式股份公司 | 用于基于用户信誉过滤垃圾邮件消息的系统和方法 |
US8997190B2 (en) | 2009-09-15 | 2015-03-31 | Symante Corporation | Using metadata in security tokens to prevent coordinated gaming in a reputation system |
CN105491014A (zh) * | 2015-11-20 | 2016-04-13 | 成都科来软件有限公司 | 一种基于国家编号的数据包检测方法 |
CN106664305A (zh) * | 2014-09-24 | 2017-05-10 | 迈克菲股份有限公司 | 确定数据的信誉 |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8190868B2 (en) | 2006-08-07 | 2012-05-29 | Webroot Inc. | Malware management through kernel detection |
US8103727B2 (en) * | 2007-08-30 | 2012-01-24 | Fortinet, Inc. | Use of global intelligence to make local information classification decisions |
US20090276208A1 (en) * | 2008-04-30 | 2009-11-05 | International Business Machines Corporation | Reducing spam email through identification of source |
US9379895B2 (en) * | 2008-07-24 | 2016-06-28 | Zscaler, Inc. | HTTP authentication and authorization management |
US20100235915A1 (en) * | 2009-03-12 | 2010-09-16 | Nasir Memon | Using host symptoms, host roles, and/or host reputation for detection of host infection |
CN101848197B (zh) * | 2009-03-23 | 2015-01-21 | 华为技术有限公司 | 检测方法、装置和具有检测功能的网络 |
US8438386B2 (en) * | 2009-04-21 | 2013-05-07 | Webroot Inc. | System and method for developing a risk profile for an internet service |
US11489857B2 (en) | 2009-04-21 | 2022-11-01 | Webroot Inc. | System and method for developing a risk profile for an internet resource |
US8229930B2 (en) * | 2010-02-01 | 2012-07-24 | Microsoft Corporation | URL reputation system |
KR101109669B1 (ko) | 2010-04-28 | 2012-02-08 | 한국전자통신연구원 | 좀비 식별을 위한 가상 서버 및 방법과, 가상 서버에 기반하여 좀비 정보를 통합 관리하기 위한 싱크홀 서버 및 방법 |
US8938508B1 (en) * | 2010-07-22 | 2015-01-20 | Symantec Corporation | Correlating web and email attributes to detect spam |
US9148432B2 (en) * | 2010-10-12 | 2015-09-29 | Microsoft Technology Licensing, Llc | Range weighted internet protocol address blacklist |
US20120131107A1 (en) * | 2010-11-18 | 2012-05-24 | Microsoft Corporation | Email Filtering Using Relationship and Reputation Data |
US20130218999A1 (en) * | 2010-12-01 | 2013-08-22 | John Martin | Electronic message response and remediation system and method |
US10237060B2 (en) * | 2011-06-23 | 2019-03-19 | Microsoft Technology Licensing, Llc | Media agnostic, distributed, and defendable data retention |
CN102413076B (zh) * | 2011-12-22 | 2015-08-05 | 网易(杭州)网络有限公司 | 基于行为分析的垃圾邮件判定系统 |
US9299076B2 (en) * | 2012-03-07 | 2016-03-29 | Google Inc. | Email spam and junk mail as a vendor reliability signal |
GB2502254B (en) * | 2012-04-20 | 2014-06-04 | F Secure Corp | Discovery of suspect IP addresses |
US9412096B2 (en) * | 2012-06-15 | 2016-08-09 | Microsoft Technology Licensing, Llc | Techniques to filter electronic mail based on language and country of origin |
US9876742B2 (en) * | 2012-06-29 | 2018-01-23 | Microsoft Technology Licensing, Llc | Techniques to select and prioritize application of junk email filtering rules |
US9171151B2 (en) * | 2012-11-16 | 2015-10-27 | Microsoft Technology Licensing, Llc | Reputation-based in-network filtering of client event information |
US20140278624A1 (en) * | 2013-03-12 | 2014-09-18 | Northrop Grumman Systems Corporation | System and Method For Automatically Disseminating Information And Queries Concerning External Organizations To Relevant Employees |
US10129288B1 (en) * | 2014-02-11 | 2018-11-13 | DataVisor Inc. | Using IP address data to detect malicious activities |
DE102014003520A1 (de) * | 2014-03-16 | 2015-09-17 | Tobias Rückert | Verfahren und System zur Bearbeitung einer elektronischen Nachricht |
WO2016019569A1 (en) | 2014-08-08 | 2016-02-11 | Dongguan Littelfuse Electronics, Co., Ltd | Varistor having multilayer coating and fabrication method |
US20200067861A1 (en) * | 2014-12-09 | 2020-02-27 | ZapFraud, Inc. | Scam evaluation system |
US20160337394A1 (en) * | 2015-05-11 | 2016-11-17 | The Boeing Company | Newborn domain screening of electronic mail messages |
US10382469B2 (en) * | 2015-07-22 | 2019-08-13 | Rapid7, Inc. | Domain age registration alert |
US9838407B1 (en) * | 2016-03-30 | 2017-12-05 | EMC IP Holding Company LLC | Detection of malicious web activity in enterprise computer networks |
US10516680B1 (en) * | 2016-06-22 | 2019-12-24 | NortonLifeLock Inc. | Systems and methods for assessing cyber risks using incident-origin information |
US11232364B2 (en) | 2017-04-03 | 2022-01-25 | DataVisor, Inc. | Automated rule recommendation engine |
US11722445B2 (en) * | 2020-12-03 | 2023-08-08 | Bank Of America Corporation | Multi-computer system for detecting and controlling malicious email |
US11882152B2 (en) | 2021-07-30 | 2024-01-23 | Bank Of America Corporation | Information security system and method for phishing website identification based on image hashing |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6779021B1 (en) | 2000-07-28 | 2004-08-17 | International Business Machines Corporation | Method and system for predicting and managing undesirable electronic mail |
US20060015942A1 (en) * | 2002-03-08 | 2006-01-19 | Ciphertrust, Inc. | Systems and methods for classification of messaging entities |
US7320020B2 (en) * | 2003-04-17 | 2008-01-15 | The Go Daddy Group, Inc. | Mail server probability spam filter |
US8271588B1 (en) * | 2003-09-24 | 2012-09-18 | Symantec Corporation | System and method for filtering fraudulent email messages |
US7529802B2 (en) * | 2004-06-16 | 2009-05-05 | International Business Machines Corporation | Method for performing multiple hierarchically tests to verify identity of sender of an email message and assigning the highest confidence value |
US7487217B2 (en) | 2005-02-04 | 2009-02-03 | Microsoft Corporation | Network domain reputation-based spam filtering |
EP1877905B1 (en) * | 2005-05-05 | 2014-10-22 | Cisco IronPort Systems LLC | Identifying threats in electronic messages |
US8010609B2 (en) | 2005-06-20 | 2011-08-30 | Symantec Corporation | Method and apparatus for maintaining reputation lists of IP addresses to detect email spam |
US8725811B2 (en) * | 2005-12-29 | 2014-05-13 | Microsoft Corporation | Message organization and spam filtering based on user interaction |
JP4358212B2 (ja) | 2006-08-31 | 2009-11-04 | ニフティ株式会社 | 通信制御方法及び通信制御処理装置 |
-
2007
- 2007-06-28 US US11/824,004 patent/US8849921B2/en not_active Expired - Fee Related
-
2008
- 2008-05-19 JP JP2008130988A patent/JP5311544B2/ja active Active
- 2008-06-12 CN CN2008101114324A patent/CN101335721B/zh active Active
- 2008-06-17 EP EP08010937.4A patent/EP2009858B1/en active Active
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102656587A (zh) * | 2009-08-13 | 2012-09-05 | 赛门铁克公司 | 在信誉系统中使用客户端装置的置信量度 |
US9081958B2 (en) | 2009-08-13 | 2015-07-14 | Symantec Corporation | Using confidence about user intent in a reputation system |
CN102656587B (zh) * | 2009-08-13 | 2016-06-08 | 赛门铁克公司 | 在信誉系统中使用客户端装置的置信量度 |
US8997190B2 (en) | 2009-09-15 | 2015-03-31 | Symante Corporation | Using metadata in security tokens to prevent coordinated gaming in a reputation system |
CN103198123A (zh) * | 2012-04-06 | 2013-07-10 | 卡巴斯基实验室封闭式股份公司 | 用于基于用户信誉过滤垃圾邮件消息的系统和方法 |
CN103198123B (zh) * | 2012-04-06 | 2016-12-28 | 卡巴斯基实验室封闭式股份公司 | 用于基于用户信誉过滤垃圾邮件消息的系统和方法 |
CN106664305A (zh) * | 2014-09-24 | 2017-05-10 | 迈克菲股份有限公司 | 确定数据的信誉 |
CN106664305B (zh) * | 2014-09-24 | 2021-05-28 | 迈克菲有限公司 | 用于确定数据的信誉的装置、系统和方法 |
CN105491014A (zh) * | 2015-11-20 | 2016-04-13 | 成都科来软件有限公司 | 一种基于国家编号的数据包检测方法 |
Also Published As
Publication number | Publication date |
---|---|
US20090006569A1 (en) | 2009-01-01 |
EP2009858A1 (en) | 2008-12-31 |
JP2009054136A (ja) | 2009-03-12 |
EP2009858B1 (en) | 2016-10-19 |
US8849921B2 (en) | 2014-09-30 |
CN101335721B (zh) | 2013-11-20 |
JP5311544B2 (ja) | 2013-10-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101335721B (zh) | 为消息创建预测过滤器的方法和装置 | |
CA2606998C (en) | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources | |
US7921063B1 (en) | Evaluating electronic mail messages based on probabilistic analysis | |
US8194564B2 (en) | Message filtering method | |
US8145710B2 (en) | System and method for filtering spam messages utilizing URL filtering module | |
JP6385896B2 (ja) | 無線装置でコンテンツ変換を管理する装置および方法 | |
US7941490B1 (en) | Method and apparatus for detecting spam in email messages and email attachments | |
US7882189B2 (en) | Using distinguishing properties to classify messages | |
US10178060B2 (en) | Mitigating email SPAM attacks | |
US20020147780A1 (en) | Method and system for scanning electronic mail to detect and eliminate computer viruses using a group of email-scanning servers and a recipient's email gateway | |
CN102567873A (zh) | 使用关系和名誉数据的电子邮件过滤 | |
US20060168017A1 (en) | Dynamic spam trap accounts | |
US20070214506A1 (en) | Method and system of providing an integrated reputation service | |
CN101340387B (zh) | 控制转发数据报文的方法和装置 | |
CN101150535A (zh) | 一种电子邮件的过滤方法、装置及设备 | |
US20060075099A1 (en) | Automatic elimination of viruses and spam | |
US8135778B1 (en) | Method and apparatus for certifying mass emailings | |
US20100175103A1 (en) | Reactive throttling of inbound messages and ranges | |
US20080313285A1 (en) | Post transit spam filtering | |
Hasib et al. | Anti-Spam methodologies: a comparative Study | |
KR100864307B1 (ko) | 메일 필터링 관리시스템 및 이에 의한 메일 필터링방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20200102 Address after: California, USA Patentee after: CA,INC. Address before: California, USA Patentee before: Symantec Corporation |
|
TR01 | Transfer of patent right |