DE202012013734U1 - System zum Filtern von Spam-Nachrichten auf der Grundlage derBenutzerreputation - Google Patents

System zum Filtern von Spam-Nachrichten auf der Grundlage derBenutzerreputation Download PDF

Info

Publication number
DE202012013734U1
DE202012013734U1 DE202012013734.4U DE202012013734U DE202012013734U1 DE 202012013734 U1 DE202012013734 U1 DE 202012013734U1 DE 202012013734 U DE202012013734 U DE 202012013734U DE 202012013734 U1 DE202012013734 U1 DE 202012013734U1
Authority
DE
Germany
Prior art keywords
user
reputation
users
rules
spam
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE202012013734.4U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of DE202012013734U1 publication Critical patent/DE202012013734U1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/107Computer-aided management of electronic mailing [e-mailing]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/06Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons
    • G06N3/063Physical realisation, i.e. hardware implementation of neural networks, neurons or parts of neurons using electronic means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Marketing (AREA)
  • Physics & Mathematics (AREA)
  • Economics (AREA)
  • Computer Hardware Design (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Data Mining & Analysis (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

System zum Aktualisieren von Filterregeln für Nachrichten (100), die von einer Vielzahl von Benutzern (160) empfangen werden, wobei das System einen Prozessor, einen mit dem Prozessor verbundenen Speicher und einen Computer-Code umfasst, der in den Speicher geladen wird, um die folgenden Schritte zu implementieren:Speichern von Filterregeln für die Vielzahl von Benutzern (160) in einer Filterregel-Datenbank (140);Verteilen der Filterregeln an die Vielzahl von Benutzern (160);Berechnen (420) eines Reputationsgewichts für jeden aus der Vielzahl von Benutzern (160);wobei das Berechnen der Reputationsgewichte der Benutzer (160) umfasst:Setzen von Regeln, die Benutzeraktionen definieren, auf deren Grundlage die Reputationsgewichte geändert werden, wenn ein Benutzer die Aktion durchführt, wobei die definierten Benutzeraktionen Berichte umfassen, dass eine Nachricht zu einer bestimmten Kategorie gehört, und wenigstens eine andere Aktion als ein Bericht, dass eine Nachricht zu einer bestimmten Kategorie gehört;Unterhalten einer Reputationsregel-Datenbank (630) der Benutzeraktionen, umfassend wenigstens eines aus Folgendem: Erhöhen des Niveaus der heuristischen Analyse zum Prüfen von Dateien, Erhöhen des Aktualisierungszeitraums, Instruieren des Anti-Spam-Filters und Erlauben der Ausführung einer verdächtigen Datei, und entsprechende Modifizierungen der Benutzerreputationsgewichte;Verteilen von Regeln auf der Grundlage von Daten in der Reputationsregel-Datenbank, die Benutzeraktionen definieren, die nötig sind, um die Benutzeraktionen auf der Client-Seite zu registrieren;Registrieren von Benutzeraktionen auf der Client-Seite auf der Grundlage von Regeln, die Benutzeraktionen definieren;Senden von Benachrichtigungen über registrierte Benutzeraktionen; undBerechnen von Reputationsgewichten auf der Grundlage der empfangenen Benachrichtigungen über Benutzeraktionen und Ändern des Reputationsgewichts des entsprechenden Benutzers (160) auf der Grundlage der Modifizierungen gemäß den Reputationsregeln in der Reputationsregel-Datenbank (630);Speichern eines Reputationsgewichts für jeden aus der Vielzahl von Benutzern (160) in einer Benutzerreputations-Datenbank (320); undEmpfangen (410) und Verarbeiten von Benutzerberichten, die anzeigen, dass eine Nachricht zu einer bestimmten Kategorie gehört, wobei die Verarbeitung umfasst:(i) Berechnen (430) eines Gewichts der Nachricht in ihrer Kategorie auf der Grundlage mehrerer Berichte, die von einer Vielzahl von Benutzern (160) empfangen wurden, und eines Reputationsgewichts dieser Benutzer (160),(ii) Entscheiden (440), ob die Nachricht (100) zu der bestimmten Kategorie gehört, wenn das Gewicht der Nachricht einen vorher definierten Schwellenwert überschreitet;(iii) Aktualisieren (445) der Filterregeln in der Filterregel-Datenbank auf der Grundlage der Entscheidung, und(iv) Verteilen (455) der aktualisierten Filterregeln aus der Filterregel-Datenbank an die Vielzahl von Benutzern.

Description

  • Hintergrund der Erfindung
  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft ein System zum Filtern von Nachrichten, und insbesondere zum Filtern von Nachrichten auf der Grundlage von Benutzerberichten.
  • Beschreibung des Stands der Technik
  • Jeder Internetnutzer kennt Spam. Spam ist wegen der geringen Kosten oft das Mittel der Wahl für rücksichtslose Werbeanbieter. Neue Studien haben gezeigt, dass Spam bis zu 80% des gesamten Mail-Verkehrs im Internet ausmacht. Allgemein ist Spam eine Massen-Mail-Sendung kommerzieller oder anderer Werbeanzeigen an Empfänger, die sie nicht wünschen. Ursprünglich wurde Spam hauptsächlich durch Mails verbreitet. Gegenwärtig wird Spam jedoch über Sofortnachrichtendienste, Webseiten, soziale Netzwerke, Blogs, Web-Foren sowie SMS- und MMS-Nachrichten verbreitet.
  • Dementsprechend ist Spam zu einem ernsten technischen und wirtschaftlichen Problem geworden. Große Mengen von Spam erhöhen die Last auf Datenkanälen und erhöhen den Internet-Verkehr, für den die Benutzer zahlen müssen. Außerdem verschwenden Menschen produktive Arbeitszeit mit dem Aussortieren von Spam. Weiterhin wird Spam weniger kommerziell und wird wegen der Anonymität der Spam-Nachrichten oft für Betrugsdelikte im Internet genutzt. Außerdem kann Spam zum Versenden von Schadsoftware genutzt werden.
  • Spam wird oft für Finanzdelikte verwendet (wie zum Beispiel „nigerianische Briefe“), mit denen versucht wird, Kreditkartennummern von Benutzern oder Passwörter für Online-Banking-Systeme zu erlangen. Phishing-Delikte und das Versenden von Schadsoftware sind weitere Beispiele für die Verwendung von Spam. Daher werden Mittel zum Schutz vor Spam benötigt. Es existieren mehrere Verfahren zum Umgang mit Spam. Beispielsweise verwendet ein Schwarze-Listen-Ansatz schwarze Listen, um Nachrichten zu blockieren, die von Adressen stammen, die in der schwarzen Liste markiert sind. Während dieses Verfahren eine hundertprozentige Blockierung der Nachrichten bietet, die von Adressen auf der schwarzen Liste kommen, kann es zu vielen falsch positiven Ergebnissen führen, da einige legitime Adressen ebenfalls auf die schwarze Liste geraten.
  • Ein weiteres Anti-Spam-Verfahren verwendet eine Technik, die identische (oder fast identische) Nachrichten in einem Massen-Mail-Strom erfasst. Eine wirksame Massenmail-Analyseeinrichtung erfordert sehr große Mengen an Mails. Daher kann dieses Verfahren nur von sehr großen Mail-Anbietern verwendet werden. Ein offensichtlicher Nachteil dieses Verfahrens liegt darin, dass die meisten legitimen Dienste (beispielsweise Abonnements von Nachrichten und Aktualisierungen) ebenfalls Massen-Mailversand nutzen und fälschlich für Spam-Quellen gehalten werden können.
  • Noch ein weiteres Anti-Spam-Verfahren besteht in der Überprüfung der Kopfzeilen von Nachrichten. Bei diesem Verfahren werden Nachrichten blockiert, die einige typische Fehler in ihren Kopfzeilen haben, was auf robotergenerierte Spam-Nachrichten hinweist. Ein Nachteil dieses Verfahrens besteht darin, dass seine Wirksamkeit in dem Maß sinkt, wie die Spam generierenden Roboter verbessert werden und weniger Fehler in den Kopfzeilen machen.
  • Ein weiteres Anti-Spam-Verfahren ist ein Graulisten-Verfahren. Eine Zurückweisung mit einem speziellen Fehlercode wird für jede eingehende Nachricht generiert. Dann versucht der Spam sendende Roboter nicht wie Standard-Mailserver, dieselbe Nachricht noch einmal zu senden. Dies wird als Kriterium zur Bestimmung von legitimen Nachrichten verwendet. Wenn ein Absender innerhalb eines bestimmten Zeitraums einen Versuch wiederholt, eine Nachricht zu senden, wird die Nachricht zugelassen und der Absender wird auf eine weiße Liste gesetzt. Diese Lösung ist jedoch für viele Benutzer nicht akzeptabel, da die Zustellung aller Nachrichten verzögert wird.
  • Noch ein weiteres Anti-Spam-Verfahren ist das Filtern von Inhalten unter Verwendung spezieller Spam-Filter, die alle Teile der eingehenden Nachrichten analysieren (einschließlich grafischer Teile). Die Analyse ermöglicht die Bildung eines lexikalischen Spam-Vektors oder die Berechnung eines Spam-Gewichts einer Nachricht. Auf der Grundlage dieser Parameter wird ein Urteil gefällt, ob es sich um Spam handelt oder nicht. Dieses Anti-Spam-Verfahren ist in dem Patent US 7,836,061 mit dem Titel „Verfahren und System zum Klassifizieren elektronischer Textnachrichten und Spam-Nachrichten“ offenbart.
  • Die Spam-Filter werden in Anti-Spam-Labors konfiguriert, die die Filterregeln erstellen und perfektionieren. Da die Spam-Absender kontinuierlich versuchen, den Schutz zu überwinden, den die Spam-Filter erzeugen, ist der Prozess des Modifizierens und Perfektionierens der Filterregeln ebenfalls kontinuierlich. Die Wirksamkeit der Spam-Filter hängt von rechtzeitigen Aktualisierungen der Filterregeln ab.
  • Wie oben diskutiert bieten herkömmliche Anti-Spam-Verfahren keine Lösung, die ein Blockieren aller Spam-Nachrichten mit hundertprozentiger Wirksamkeit ermöglicht. Dementsprechend ist es wünschenswert, über eine wirksame Anti-Spam-Lösung zu verfügen, die nicht nur automatisierte Filterregel-Aktualisierungen verwendet, sondern die Filterregeln auf der Grundlage der Statistik aktualisiert, die von einer großen Zahl von Spam-Empfängern erstellt wird.
  • Die Patentveröffentlichung US 2010/0153394 offenbart eine Aktualisierung der Filterregeln auf der Grundlage von Benutzerberichten. Nachrichten werden durch einen Spam-Filter überprüft, der auf einem Mailserver angeordnet ist und Benutzern zur Verfügung gestellt wird. Jeder Benutzer kann einen Bericht über Spam-Nachrichten an den Server senden. Die Spam-Filterregeln werden auf der Grundlage der Benutzerberichte geändert, so dass die berichteten Nachrichten, wenn sie das nächste Mal erfasst werden, blockiert werden. Bei einigen Implementierungen wird eine Datenbank der Benutzerreputationen verwendet, um die Filterregeln zu ändern. Um die Filterregeln auf der Grundlage eines Benutzerberichts zu ändern, bestimmt das System die Benutzerreputation. Die Benutzerreputation kann erhöht oder verringert werden, abhängig von der Genauigkeit und Zuverlässigkeit der Spam-Berichte des Benutzers.
  • Das Patent US 7,373,385 offenbart ein Verfahren zur Spam-Identifizierung auf der Grundlage von Benutzerberichten. Alle E-Mail-Benutzer sind mit einem gemeinsamen Anti-Spam-System verbunden. Wenn Benutzer Spam erhalten, können sie dies dem System berichten. Anschließend wird jeder E-Mail auf der Grundlage mehrerer Berichte und eines Zuverlässigkeits-Koeffizienten jedes berichtenden Benutzers eine Bewertung zugewiesen. Die Bewertung wird mit einem Schwellenwert verglichen, und eine Spam-Beurteilung wird erzeugt. Der Benutzerzuverlässigkeits-Koeffizient wird auf der Grundlage der Benutzerberichtsstatistik berechnet. Wenn ein Benutzer nicht verlässliche Berichte sendet, wird sein Zuverlässigkeits-Koeffizient verringert und seine Berichte werden beim Berechnen der E-Mail-Bewertung nicht berücksichtigt.
  • Das Patent US 7,937,468 zielt darauf ab, die Zeit zu reduzieren, die für die Spam-Beurteilung auf der Grundlage von Benutzerberichten benötigt wird. Ein System bestimmt unter Verwendung einer statistischen Analyse der frühesten Benutzerberichte und geschätzten gemeinsamen Berichte, die auf den frühesten Benutzerberichten basieren, ob eine Nachricht Spam enthält. Die Beurteilung erfolgt auf der Grundlage dieser Schätzung und der Benutzerreputation.
  • Die Patentveröffentlichung US 2004/0177110 offenbart ein Verfahren, mit dem Spamfiltern die Verwendung von Benutzerberichten beigebracht wird. Ein Benutzer bestimmt, ob eine Nachricht Spam enthält, und berichtet dies. Die Spam-Filterregeln werden auf der Grundlage der Benutzerberichte modifiziert. Die Erfindung umfasst Kreuzverweis-Prüfungen von Benutzern und eine Eliminierung von Benutzern, die die Prüfung nicht bestehen.
  • Die herkömmlichen Systeme erhöhen die Wirksamkeit des Filterns, indem eine Meinung jedes einzelnen Benutzers auf der Grundlage der Reputation der Benutzer einbezogen wird. Die Reputation der Benutzer wird auf der Grundlage der Statistik der Zuverlässigkeit der Benutzerberichte berechnet. Dieser Ansatz ist zwar wirksam, hat jedoch bestimmte Nachteile. Erstens haben Benutzer, die zum ersten Mal Spam melden, eine geringe Reputation, unabhängig von ihrem tatsächlichen Wissen und Sachverstand. Zweitens muss eine Zuverlässigkeits-Statistik für diesen Benutzer zusammengestellt werden, um einen echten Stand des Benutzer-Sachverstands einzuschätzen. Dies erfordert eine große Zahl von Benutzerberichten, was eine lange Zeit dauert, besonders wenn der Benutzer die relativ „sauberen“ Nachrichten bearbeitet, die die erste, automatisierte Filterung passiert haben.
  • Daher haben alle herkömmlichen Systeme einen wesentlichen Nachteil, nämlich eine Benutzer-Differenzierung, die es nicht erlaubt, richtige Beurteilungen oder genaue Einschätzungen des tatsächlichen Benutzerwissens und Benutzersachverstands vorzunehmen. Dementsprechend besteht bei der Technik Bedarf an einem System, das eine eingehende, umfassende Einschätzung des Benutzerwissens erlaubt, welches eine wirksamere Nachrichtenfilterung ermöglicht.
  • Kurzer Abriss der Erfindung
  • Die vorliegende Erfindung betrifft ein System zur Erfassung von Spam, und insbesondere zum Filtern von Nachrichten auf der Grundlage von Berichten und der Reputation von Benutzern, das eine oder mehrere der Nachteile des Stands der Technik im Wesentlichen umgeht.
  • In einem Aspekt der Erfindung wird ein System zur Verfügung gestellt, das eine eingehende Einschätzung von Benutzerwissen ermöglicht. Mehrere Clients benutzen einen Cloud-Dienst. Das Cloud-Dienstsystem stellt eine wirksamere Nachrichtenfilterung auf der Grundlage der Benutzerreputation bereit. Die kompetentesten Benutzer, die die beste Reputation innerhalb des Cloud-Dienstsystems haben, werden bestimmt. Die von diesen Benutzern empfangenen Spam-Berichte werden in ein Modifizierungssystem für Filterregeln geleitet. Die Regeln werden aktualisiert und allen Benutzern des Cloud-Dienstes zur Verfügung gestellt.
  • Weitere Merkmale und Vorteile der Erfindung werden in der folgenden Beschreibung dargelegt und werden teilweise aus der Beschreibung deutlich oder können durch Anwendung der Erfindung erfahren werden. Die Vorteile der Erfindung werden durch die in der schriftlichen Beschreibung und den Ansprüchen sowie in den beigefügten Zeichnungen besonders hervorgehobene Struktur verwirklicht und erzielt.
  • Es wird darauf hingewiesen, dass die vorstehende allgemeine Beschreibung und die folgende ausführliche Beschreibung beispielhaft und erklärend sind und einer weiteren Erläuterung der beanspruchten Erfindung dienen sollen.
  • Figurenliste
  • Die beigefügten Zeichnungen, die für ein besseres Verständnis der Erfindung in diese Beschreibung eingearbeitet und ein Teil von ihr sind, stellen Ausführungsformen der Erfindung dar und dienen zusammen mit der Beschreibung der Erläuterung der Prinzipien der Erfindung.
  • In den Zeichnungen zeigen:
    • 1 ein einfaches Spam-Filtersystem gemäß der beispielhaften Ausführungsform;
    • 2 einen Cloud-Dienst, der bei der beispielhaften Ausführungsform verwendet wird;
    • 3 eine Architektur des Modifizierungssystems für Filterregeln gemäß der beispielhaften Ausführungsform;
    • 4 einen Algorithmus eines Verfahrens für eine Modifizierung der Filterregeln auf der Grundlage von Benutzerberichten gemäß der beispielhaften Ausführungsform;
    • 5 eine Architektur eines Spam-Filtersystems einer Client-Seite gemäß der beispielhaften Ausführungsform;
    • 6 ein System zur Einschätzung der Benutzerreputation gemäß der beispielhaften Ausführungsform;
    • 7 eine Benutzerreputations-Datenbank gemäß der beispielhaften Ausführungsform;
    • 8 ein Flussdiagramm eines Verfahrens zur Einschätzung von Benutzerreputationen gemäß der beispielhaften Ausführungsform;
    • 9 ein System zum Senden von Benachrichtigungen, das auf einem Benutzercomputer implementiert ist und als Client eines Cloud-Dienstes agiert;
    • 10 ein Schema eines beispielhaften Computersystems, das zur Implementierung der Erfindung verwendet werden kann.
  • Ausführliche Beschreibung der bevorzugten Ausführungsformen
  • Im Folgenden wird detailliert auf die bevorzugten Ausführungsformen der vorliegenden Erfindung eingegangen, deren Beispiele in den beigefügten Zeichnungen dargestellt sind.
  • Gemäß der beispielhaften Ausführungsform wird ein System zum Erfassen von Spam auf der Grundlage von Benutzerberichten zur Verfügung gestellt. Gemäß dem erfindungsgemäßen System werden Benutzerreputationen bestimmt, und Spam-Berichte von Benutzern werden für eine umfassende Spam-Erfassung verwendet. Die Spam-Filterregeln werden auf der Grundlage von Benutzerberichten perfektioniert und modifiziert und allen Benutzern des Cloud-Dienstes zur Verfügung gestellt.
  • 1 stellt ein einfaches Spam-Filtersystem dar, bei dem die Filterregeln von einem Benutzer 160 gesetzt werden. Nachrichten 100 (z.B. E-Mails, SMS- oder MMS-Nachrichten) werden von einem Spam-Filter 130 eines Spam-Filtersystems 120 empfangen, das in einem Computersystem 110 des Benutzers 160 installiert ist. Gemäß der beispielhaften Ausführungsform kann ein Computersystem 110 ein PC oder ein mobiles Gerät sein (z.B. ein Notebook, ein Tablet oder ein Mobiltelefon). Der Spam-Filter 130 bestimmt Parameter empfangener Nachrichten 100 und prüft diese Parameter anhand von Parametern, die in einer Filterregel-Datenbank 140 gespeichert sind. Wenn die Parameter der Nachricht 100 mit den Parametern aus der Datenbank 140 übereinstimmen, wird eine bestimmte Aktion mit Bezug auf die Nachricht 100 ausgeführt (beispielsweise wird die Nachricht unter Quarantäne gestellt oder gelöscht).
  • Wenn keine Übereinstimmung gefunden wird, wird die Nachricht 100 an den Benutzer 160 gesendet. Wenn jedoch die Spam enthaltende Nachricht 100 nicht von dem Spam-Filtersystem 120 erfasst wird und die Nachricht an den Benutzer 160 gesendet wird, kann der Benutzer 160 durch ein Regelaktualisierungsmodul 150 die Filterregeln in der Datenbank 140 ändern. Dadurch passiert eine gleiche oder ähnliche Spam-Nachricht in Zukunft nicht mehr den Spam-Filter 130.
  • Da der meiste Spam durch Massen-Mails kommt, können statistische Daten von Spam-Nachrichten gesammelt werden, die von einer großen Zahl von Benutzern empfangen und verarbeitet werden. Gemäß der beispielhaften Ausführungsform bekommen Benutzer die Möglichkeit, Spam-Berichte an ein zentrales Verarbeitungssystem zu senden. Das zentrale Verarbeitungssystem analysiert die Berichte und ändert die Filterregeln des Spam-Filtersystems 120 auf allen Benutzercomputern 110.
  • Wenn ein Teil einer Gruppe von Benutzern identische Spam-Nachrichten erhält und an das zentrale Verarbeitungssystem berichtet, garantiert somit eine Aktualisierung der Filterregeln des Spam-Filtersystems 120 auf allen Benutzercomputern 110, dass der Rest der Gruppe nicht die gleichen Spam-Nachrichten erhält. Gemäß der beispielhaften Ausführungsform ist das zentrale Verarbeitungssystem als in 2 dargestellter Cloud-Dienst implementiert.
  • Ein Cloud-Dienst 200 ist als Hardware-Ressourcen (Server) 210 dargestellt, die den Benutzern von Computern 110 zugänglich gemacht werden. Eine Vielzahl von Ressourcen 210 erhöht die Zugänglichkeit des Client-Server-Systems durch Skalierbarkeit unter hohen Lasten. Dies verringert auch das Ausfallrisiko eines virtuellen Servers (VS), wenn eine der Ressourcen 210 ausfällt, weil der VS automatisch mit einer Reservequelle verbunden werden kann.
  • 3 stellt die Architektur des Modifizierungssystems für Filterregeln gemäß der beispielhaften Ausführungsform dar. Die Filterregeln werden auf der Grundlage von Benutzerberichten perfektioniert und modifiziert. Jeder Benutzer der Computersysteme 110, die als Clients des Cloud-Dienstes 200 agieren, kann einen Spam-Erfassungsbericht an ein Modifizierungssystem 300 für Filterregeln senden. Die Spam-Berichte werden unten in der Beschreibung von 5 im Einzelnen diskutiert. Das Modifizierungssystem 300 für Filterregeln ist Teil des Cloud-Dienstes 200. Die Benutzerberichte werden einem Berichtsverarbeitungsmodul 310 innerhalb des Modifizierungssystems 300 für Filterregeln zugeführt.
  • Das Berichtsverarbeitungsmodul 310 berechnet ein Spam-Gewicht jeder berichteten Nachricht. Das Spam-Gewicht einer Nachricht wird auf der Grundlage einer Zahl der Spam-Berichte berechnet, die für diese Nachricht empfangen wurden, sowie auf der Grundlage eines Reputationsgewichts jedes berichtenden Benutzers. Das Reputationsgewicht reflektiert Wissen und Zuverlässigkeit des Benutzers. Das Reputationsgewicht wird für jeden Benutzer berechnet, um alle Benutzer auf der Grundlage ihres Wissens und der Zuverlässigkeit der Berichte zu kategorisieren. Die Reputationsgewichte für alle Clients des Cloud-Dienstes werden in einer Benutzerreputations-Datenbank 320 gespeichert.
  • Gemäß der beispielhaften Ausführungsform erhöhen die Spam-Berichte von Benutzern, die ein hohes Reputationsgewicht haben, das Spam-Gewicht der Nachricht stärker als die von solchen, die ein niedrigeres Reputationsgewicht haben. Bei einer Ausführungsform kann ein Reputationsgewichts-Schwellenwert gesetzt werden, so dass die Berichte, die von Benutzern empfangen werden, deren Reputationsgewicht niedriger als der Schwellenwert ist, bei der Berechnung des Spam-Gewichts der Nachricht nicht berücksichtigt werden. Optional kann Reputationen, die höher sind als der Schwellenwert, auf der Grundlage des Werts der Reputation ein Gewicht zugewiesen werden (z.B. werden alle Benutzer mit Reputationen unter 50 auf einer Skala von 100 bei der Berechnung des Spam-Gewichts ignoriert, während ein Benutzer mit einer Reputation von z.B. 51 bei der Berechnung ein geringeres Gewicht hat als ein Benutzer mit einer Reputation von 95).
  • Gemäß der beispielhaften Ausführungsform wird die Berechnung des Spam-Gewichts einer Nachricht auf der Grundlage einer Zahl von Spam-Berichten und des Reputationsgewichts jedes berichtenden Benutzers gemäß einem speziellen Algorithmus durchgeführt. Dieser Algorithmus kann Fuzzy-Logik, Emulation, neuronale Netze, ein Basisvektorverfahren (s. z.B. http:**en.wikipedia.org/wiki/Support_vector_machine) usw. verwenden. Nachdem das Spam-Gewicht einer Nachricht berechnet wurde, wird dessen Wert mit einem vorher gesetzten Schwellenwert verglichen. Auf der Grundlage des Vergleichs produziert das Berichtsverarbeitungsmodul 310 eine Spam-Beurteilung.
  • Anschließend aktualisiert das Berichtsverarbeitungsmodul 310 eine Datenbank 330 für gemeinsame Filterregeln auf der Grundlage der Spam-Beurteilung. Die Datenbank 330 für gemeinsame Filterregeln enthält Parameter der Nachrichten, wobei ihnen auf der Grundlage der Spam-Beurteilung eine Kategorie zugeordnet ist. Anschließend sendet ein Regelsendemodul 340 aktualisierte Filterregeln von der Datenbank 330 für gemeinsame Filterregeln an alle Benutzer-Computersysteme 110. Dadurch werden die aktualisierten Filterregeln von der Datenbank 330 für gemeinsame Filterregeln zu den Filterregel-Datenbanken 140 auf den Benutzer-Computersystemen 110 migriert.
  • Wenn mehrere Benutzer über eine bestimmte Nachricht als Spam berichten, das Berichtsverarbeitungsmodul 310 jedoch keine Spam-Beurteilung erzeugt hat, aktualisiert außerdem das Berichtsverarbeitungsmodul 310 die Benutzerreputationsdatenbank 320, um das Reputationsgewicht jedes Benutzers zu verringern, der einen unzuverlässigen Spam-Bericht gesendet hat. Ebenso aktualisiert das Berichtsverarbeitungsmodul 310 die Benutzerreputationsdatenbank 320, wenn das Berichtsverarbeitungsmodul 310 eine Spam-Beurteilung erzeugt hat, um das Reputationsgewicht jedes Benutzers, der einen zuverlässigen Bericht gesendet hat, zu erhöhen.
  • 4 stellt einen Algorithmus eines Verfahrens zum Modifizieren von Filterregeln auf der Grundlage von Benutzerberichten gemäß der beispielhaften Ausführungsform dar. Ein Spam-Bericht wird in Schritt 410 von einem Benutzer empfangen. Ein Benutzerreputationsgewicht wird in Schritt 420 bestimmt. Ein Spam-Gewicht der Nachricht wird in Schritt 430 auf der Grundlage der Reputationsgewichte der Vielzahl von Benutzern (für diejenigen Benutzer, die Berichte betreffend diese spezielle Nachricht eingereicht haben) sowie auf der Grundlage einer Gesamtzahl der Spam-Berichte berechnet. Wenn in Schritt 440 der Spam-Gewichtsschwellenwert überschritten wird, werden in Schritt 445 die Filterregeln geändert und in Schritt 455 an die Benutzer gesendet. Anschließend wird in Schritt 465 das Benutzerreputationsgewicht erhöht. Wenn in Schritt 440 der Spam-Gewichtsschwellenwert nicht überschritten wird, wird in Schritt 470 das Benutzerreputationsgewicht reduziert. Der Vorgang wird in Schritt 480 abgeschlossen.
  • Es ist zu beachten, dass bei der beispielhaften Ausführungsform Spam als eine von möglichen Nachrichtenkategorien verwendet wird. Der Algorithmus zur Modifizierung von Filterregeln kann jedoch mit anderen Kategorien gefilterter Nachrichten verwendet werden. Alternativ kann ein System zwei Nachrichtenkategorien umfassen: Spam-Nachrichten und vertrauenswürdige Nachrichten. Ein Benutzerbericht, der eine Nachricht als Spam anzeigt, erhöht das Spam-Gewicht dieser Nachricht und verringert das Gewicht dieser Nachricht, wenn die Nachricht zu der Kategorie der vertrauenswürdigen Nachrichten gehört.
  • Zusätzlich zu dem oben beschriebenen Ansatz kann ein Parameter, auf dessen Grundlage die Nachricht als Spam enthaltend identifiziert wurde, eine einzigartige Kennung des Absenders sein. Ein Beispiel für eine solche einzigartige Kennung für E-Mail ist die E-Mail-Adresse des Absenders. Für SMS- und MMS-Nachrichten könnte ein solcher Parameter die Mobiltelefonnummer des Absenders sein. Es ist auch zu beachten, dass es im Internet offen zugängliche Ressourcen gibt, die regelmäßig aktualisiert werden und Informationen enthalten, die einzigartige Kennungen von Absendern von Spam-Nachrichten auflisten. Daher können bei diesem Beispiel die Informationen in der Filterregel-Datenbank 330 auch aktualisiert werden, indem ein Suchroboter verwendet wird (manchmal „Crawler“ genannt), d.h. Programme, die zum Scannen von Webseiten im Internet dienen, mit dem Ziel, nach speziellen Informationen zu suchen, und diese zu der Datenbank 330 hinzuzufügen.
  • 5 stellt die Architektur eines Spam-Filtersystems auf der Seite eines Clients dar. Nachrichten 100 werden von dem Spam-Filter 130 des Spam-Filtersystems 120 empfangen, das in dem Computersystem 110 des Benutzers 160 installiert ist. Der Spam-Filter 130 bestimmt Parameter von empfangenen Nachrichten 100 und prüft diese Parameter anhand von Parametern, die in einer Filterregel-Datenbank 140 gespeichert sind. Wenn die Parameter der Nachricht 100 mit den Parametern aus der Datenbank 140 übereinstimmen, wird eine bestimmte Aktion mit Bezug auf die Nachricht 100 ausgeführt (beispielsweise wird die Nachricht gelöscht oder unter Quarantäne gestellt).
  • Wenn keine Übereinstimmung gefunden wird, wird die Nachricht 100 an den Benutzer 160 gesendet. Wenn jedoch die Spam enthaltende Nachricht 100 nicht von dem Spam-Filtersystem 120 erfasst wird und die Nachricht an den Benutzer 160 gesendet wird, kann der Benutzer 160 durch ein Regelaktualisierungsmodul 150 die Filterregeln in der Datenbank 140 ändern. Der Benutzer 160 kann auch innerhalb des Cloud-Dienstes 200 über ein Berichtsendemodul 510 einen Spam-Bericht an das System 300 zur Modifizierung der Filterregeln senden.
  • Gemäß der beispielhaften Ausführungsform entscheidet das System 300 zur Modifizierung der Filterregeln auf der Grundlage des Spam-Berichts von dem Benutzer 160 und Berichten von den anderen Benutzern des Cloud-Dienstes 200, ob eine gegebene Nachricht Spam enthält. Dementsprechend wird die Datenbank 330 für gemeinsame Filterregeln auf der Grundlage der Entscheidung des Modifizierungssystems für Filterregeln aktualisiert. Anschließend werden diese Änderungen in die Filterregel-Datenbanken 140 jedes Benutzers 160 migriert.
  • Es ist zu beachten, dass Spam Werbung enthält und manche Benutzer 160 diese sehen möchten. Daher kann es sein, dass die Regeln aus der Datenbank 330 für gemeinsame Filterregeln und aus der Filterregel-Datenbank 140 für den Benutzer 160 nicht akzeptabel sind. Daher kann jeder Benutzer 160 Regeln in der Filterregel-Datenbank 140 seines eigenen Spam-Filtersystems 120 über das Regelaktualisierungsmodul 150 individuell ändern. Die Regeln in der Filterregel-Datenbank 140, die von dem Benutzer 160 individuell (über das Regelaktualisierungsmodul 150) geändert wurden, haben Priorität gegenüber den Regeln, die aus der Datenbank 330 für gemeinsame Filterregeln in die Datenbank 140 migriert wurden.
  • Alternativ können die Filterregel-Datenbank 140 und die Datenbank 330 für gemeinsame Filterregeln identische Filterregeln für unterschiedliche Kategorien von Spam-Nachrichten haben. Beispiele für Spam-Kategorien können Buchhaltungsdienste, Management-Kurse, Buchprüfungsdienste, pharmazeutische Produkte usw. sein. Der Benutzer 160, der am Erhalt von Spam-Nachrichten einer bestimmten Kategorie interessiert ist, kann die Filterregeln in der Datenbank 140 für die gesamte Nachrichtenkategorie (anstatt für nur eine Nachricht) über das Regelaktualisierungsmodul 150 ändern.
  • Alternativ (oder zusätzlich) wird ein Benutzerreputationsgewicht für jede Kategorie von Spam-Nachrichten berechnet. So ändert das Berichtsverarbeitungsmodul 310 das Benutzerreputationsgewicht für eine bestimmte Nachrichtenkategorie auf der Grundlage der Zuverlässigkeit eines Benutzerberichts, der anzeigt, dass die Nachrichten dieser Kategorie Spam enthalten. Dieser Ansatz ermöglicht das Bestimmen von Benutzern, die bei der Erfassung von Spam in jeder Nachrichtenkategorie am kompetentesten sind.
  • Es ist ebenfalls hervorzuheben, dass zusätzlich zu Text-Spam-Nachrichten heute auch so genannter „Voice-Spam“ existiert, der eine Spam-Variante darstellt, bei der kommerzielle Nachrichten und ähnliche Arten von Informationen über Mobiltelefone und Festnetztelefone sowie manchmal über IP-Telefonie, beispielsweise durch Nutzung von VoIP-Clients von Skype, ICQ, QIP, mail.ru, Yahoo Instant Messenger usw. an Benutzer gesendet werden, die diese nicht erhalten wollen. Da Voice-Spam normalerweise in Echtzeit gesendet wird, ist der einzige realistische Mechanismus, mit diesem Spam umzugehen, eine Blockierung des Anrufs von dem Absender, wenn die Kennung des Absenders auf einer schwarzen Liste steht. Eine solche einzigartige Kennung kann in diesem Fall die Telefonnummer des Anrufers oder eine einzigartige Kennung sein, die der Absender für seine VoIP-Verbindung nutzt.
  • Als Beispiel, wie die Erfindung implementiert werden kann: Wenn der Computer 110 Sprachverbindungen wie VoIP unterstützt, kann auch Voice-Spam gefiltert werden. In diesem Fall können Berichte, die von Absendern gesendet werden, die solchen Voice-Spam erhalten, einzigartige Kennungen von Voice-Spam-Absendern enthalten. Auf der Grundlage der Zahl dieser Berichte, soweit sie Voice-Spam und eine besondere, einzigartige Absenderkennung betreffen, sowie auf der Grundlage der oben beschriebenen Parameter, die das Wissen und die Reputation der Benutzer betreffen, kann das Verarbeitungsmittel 310 das Spam-Gewicht des Voice-Spams für die einzigartige Kennung des Absenders berechnen. Wenn das berechnete Spam-Gewicht höher als ein Schwellenwert ist, wird die einzigartige Kennung des Absenders zu der schwarzen Liste hinzugefügt, die in der Filterregel-Datenbank 330 gespeichert ist. Das auf dem Computer 110 installierte Spam-Filtersystem 120 filtert den Voice-Spam durch Blockieren der eingehenden Anrufe von Abonnenten, deren einzigartige Kennungen in der schwarzen Liste verzeichnet sind. Es ist auch zu beachten, dass analog zu dem oben beschriebenen Ansatz das Aktualisieren der schwarzen Liste auch durch die Verwendung von Such-Bots (Crawlem) erfolgen kann.
  • Das in 3 und 4 dargestellte System ermöglicht möglicherweise keine Einschätzung eines richtigen Niveaus des Benutzerwissens. Dieses Problem wird durch das in 6 dargestellte System behoben, das ein System zur Einschätzung der Benutzerreputation darstellt. Dieses System ermöglicht eine eingehende Einschätzung des Benutzerwissens, die umfassender als die Einschätzung auf der Grundlage der Zuverlässigkeit der Spam-Berichte dieses Benutzers ist. Gemäß der beispielhaften Ausführungsform kann die Benutzerreputation auch auf der Grundlage von Daten eingeschätzt werden, die Anti-Spam-Aktionen wiedergeben, die der Benutzer in seinem eigenen Computersystem durchführt.
  • Beispielsweise können solche Daten einen Detaillierungsgrad der Konfiguration des Anti-Spam-Filters des Benutzers, Daten bezüglich der Dauer der Nutzung des Anti-Spam-Filters oder Daten sein, die die Zeit wiedergeben, die der Benutzer zwischen dem Zeitpunkt des Öffnens einer Nachricht bis zum Senden des Spam-Berichts über die Nachricht gebraucht hat. Auch kann die Benutzerreputation auf der Grundlage der Informationen eingeschätzt werden, die indirekt die Anti-Spam-Aktivität des Benutzers charakterisieren. Solche Informationen können beispielsweise Informationen über eine Zahl von Nachrichten sein, die der Benutzer sendet und empfängt.
  • Außerdem ist das Spam-Filtersystem Teil einer AV-Anwendung des Benutzers, die weitere Module umfasst wie beispielsweise ein Datei-Anti-Virus-Modul, ein Internet-Anti-Virus-Modul, ein Firewall-Modul, ein Anti-Phishing-Modul, ein Aktualisierungsmodul usw. So können Wissen und Kompetenz des Benutzers durch Benutzeraktionen bestimmt werden, die den gesamten Satz von Modulen der AV-Anwendung einbeziehen. Ein Beispiel für solche Informationen kann ein Detaillierungsgrad der Konfiguration der AV-Anwendung, die Dauer der Nutzung der AV-Anwendung oder eine Zahl erfasster Schadsoftware-Objekte sein.
  • Zusätzliche Daten zur Einschätzung der Benutzerreputation können ein Detaillierungsgrad der Computersystemkonfiguration, eine Dauer der Nutzung des Computersystems, dynamische Eigenschaften der Tastaturnutzung, installierte Anwendungen, Netzwerkeinstellungen, Nicht-Standard-Porteinstellungen und Daten sein, die von dem Benutzer besuchte Internetseiten reflektieren. Die Reputationsregeln können anhand von Benutzereigenschaften konfiguriert werden. Beispielsweise kann die Reputationsregel-Datenbank zwei Regeln enthalten:
    • - wenn auf dem Computer des Benutzers ein Kinderspiel installiert ist, wird das Benutzerreputationsgewicht um 5 reduziert (aus einem Maximum von beispielsweise 100 - es ist zu beachten, dass das Reputationsgewicht sich sowohl in absoluten Zahlen ändern kann - z.B. um 5, oder in relativen Zahlen, d.h. Prozentangaben, oder differenziell - z.B. wenn ein Benutzer ein gegenwärtiges Reputationsgewicht von 90 hat und ein normaler Anstieg 5 wäre, wäre der Anstieg in seinem Fall 2. Als weitere Alternative kann die Erfüllung einer bestimmten Regel bedeuten, dass die Reputation auf 100 gesetzt wird);
    • - wenn auf dem Computer des Benutzers einige Software-Entwicklungswerkzeuge installiert sind, wird das Benutzerreputationsgewicht um 10 erhöht.
  • Wenn ein Benutzer A ein Spiel installiert hat und ein Benutzer B Entwicklungswerkzeuge besitzt, ist das Reputationsgewicht des Benutzers B um 15 höher als das des Benutzers A. Es ist zu beachten, dass beide Benutzer, A und B, mit verschiedenen Konten in demselben Computersystem arbeiten können. Wenn jedoch das Spiel und die Entwicklungswerkzeuge von demselben Benutzer installiert und benutzt werden, wird das Reputationsgewicht dieses Benutzers berechnet als +10-5=5.
  • Gemäß der beispielhaften Ausführungsform erhöhen die Benutzerberichte, die ein höheres Reputationsgewicht haben, das Spam-Gewicht der Nachricht signifikanter als solche mit niedrigem Gewicht. Anders gesagt, ein Bericht von einem Benutzer mit einem Reputationsgewicht von 92 erhöht das Spam-Gewicht der Nachricht mehr als ein Bericht eines Benutzers mit einem Reputationsgewicht von 21.
  • Ein Schwellenwert wird verwendet, so dass die Berichte von Benutzern, die ein Reputationsgewicht unterhalb des Schwellenwerts haben, bei der Berechnung des Spam-Gewichts einer Nachricht nicht berücksichtigt werden. Die Berichte von anderen Benutzern werden wie oben beschrieben einberechnet. Beispielsweise wird der Schwellenwert auf 50 gesetzt. Das Reputationsgewichts des Benutzers A ist 21, das des Benutzers B ist 51 und das des Benutzers C ist 93. Dann liegt der Bericht des Benutzers A unterhalb des Schwellenwerts und wird nicht berücksichtigt. Der Bericht des Benutzers C erhöht das Spam-Gewicht der Nachricht signifikanter als der Bericht des Benutzers B.
  • Alternativ werden die Berichte von allen Benutzern mit einem Reputationsgewicht unterhalb des Schwellenwerts bei der Berechnung des Spam-Gewichts der Nachricht nicht berücksichtigt, und die Berichte der anderen Benutzer werden gleichermaßen berücksichtigt.
  • So werden bei der beispielhaften Ausführungsform alle Daten, die Benutzeraktivitäten im Zusammenhang mit Computersicherheit reflektieren, berücksichtigt, um eine möglichst objektive Einschätzung der Benutzerreputation zu erhalten. Ein Benutzerreputations-Einschätzungssystem ist in 6 dargestellt.
  • Das Benutzerreputations-Einschätzungssystem 600 ist Teil des Cloud-Dienstes 200. Das Benutzerreputations-Einschätzungssystem 600 umfasst ein Benutzerreputations-Berechnungsmodul 610. Das Benutzerreputations-Berechnungsmodul 610 erhält Benachrichtigungen über Aktionen, die von Benutzern von Computersystemen 110 durchgeführt werden, die als Clients des Cloud-Dienstes 200 handeln. Die Benachrichtigungen enthalten eine Benutzer-ID und Daten, die Benutzeraktionen reflektieren, die zum Einschätzen der Benutzerreputation benötigt werden. Die Benutzer-ID kann eine Identifikation der AV-Anwendung oder des Spam-Filtersystems, eine Benutzerlizenz für bestimmte Anwendungsdaten sowie eine internationale Kennung eines mobilen Geräts sein (wenn das System in einer mobilen Einrichtung verwendet wird).
  • Die Benachrichtigungen können von den Computersystemen 110 gesendet werden, direkt nachdem Benutzer bestimmte Aktionen durchgeführt haben, oder sie können periodisch nach einem vorherbestimmten Zeitintervall gesendet werden. Nachdem die Benachrichtigung über die Aktion empfangen wurde, prüft das Benutzerreputations-Berechnungsmodul 610 die in der Benachrichtigung beschriebene Benutzeraktion anhand einer Datenbank 620 für abnorme Aktionen. Die Datenbank 620 für abnorme Aktionen enthält Daten, die einige „Schummel“-Aktionen beschreiben, die Benutzer durchführen können, um ihre Reputation zu erhöhen. Ein Beispiel für solche Aktionen kann eine übermäßige Benutzeraktivität sein, die die AV-Anwendung umfasst. Beispiele für andere „Schummel“-Aktionen sind unten beschrieben.
  • Daher werden als eine Option diejenigen Benutzeraktionen, die mit Daten in der Datenbank 620 für abnorme Aktionen übereinstimmen, nicht bei der Berechnung der Benutzerreputation durch das Benutzerreputations-Berechnungsmodul 610 berücksichtigt, wenn die Zahl dieser Benutzeraktionen unterhalb eines Schwellenwerts liegt. Anschließend wird das Benutzerreputationsgewicht auf der Grundlage aller anderen (d.h. normalen) Benutzeraktionen berechnet. Eine Reputationsregel-Datenbank 630 enthält Daten, die angemessene Änderungen der Benutzerreputation reflektieren, die aufgrund bestimmter Aktionen vorgenommen werden müssen. Alternativ kann jedes Indiz für abnorme Aktivität verwendet werden, um die Reputation des Benutzers zu beeinflussen.
  • Das Benutzerreputations-Berechnungsmodul 610 sucht nach Daten, die den Benutzeraktionen entsprechen, die in der empfangenen Benachrichtigung in der Reputationsregel-Datenbank 630 beschrieben sind. Wenn eine entsprechende Reputationsregel gefunden wird, aktualisiert das Benutzerreputations-Berechnungsmodul 610 das Benutzerreputationsgewicht in der Benutzerreputations-Datenbank 320 innerhalb des Modifizierungssystems 300 für Filterregeln entsprechend der Reputationsregel.
  • Ein Administrator des Benutzerreputations-Einschätzungssystems 600 kann die Reputationsregeln in der Reputationsregel-Datenbank 630 sowie Daten in der Datenbank 620 für abnorme Aktionen unter Verwendung eines Regeldefinitionsmoduls 640 aktualisieren. Ein Sendemodul 650 für registrierte Aktionen ruft Daten aus der Reputationsregel-Datenbank 630 ab, um das System 110 der Benutzer darüber zu informieren, welche Aktionen in den Benachrichtigungen registriert werden müssen.
  • 7 stellt eine beispielhafte Benutzerreputations-Datenbank 630 dar. Das Regeldefinitionsmodul 640 weist jeder Benutzeraktion eine bestimmte Kategorie und eine Regel zu (im Zusammenhang mit der AV-Verarbeitung). Anschließend kann das Benutzerreputationsgewicht in der Benutzerreputations-Datenbank 320 um einen bestimmten Wert entsprechend der Regel entweder erhöht oder verringert werden.
  • 8 stellt ein Flussdiagramm eines Verfahrens zum Einschätzen von Benutzerreputationen dar. Eine Benachrichtigung über eine Benutzeraktion wird in Schritt 810 empfangen. Für diesen beispielhaften Fall enthält die Benachrichtigung nur Informationen über eine Benutzeraktion. Es ist zu beachten, dass, wenn die Benachrichtigung Informationen über eine Vielzahl von Benutzeraktionen enthält, die Schritte des Verfahrens als Zyklus wiederholt werden.
  • In Schritt 820 werden die Informationen über die Benutzeraktion bestimmt. Anschließend sucht der Prozess in Schritt 830 nach einer übereinstimmenden Benutzeraktion in der Datenbank für abnorme Aktionen. Wenn in Schritt 840 die Übereinstimmung gefunden wird, wird die Aufgabe in Schritt 880 vollendet. Wenn in Schritt 840 die Übereinstimmung nicht gefunden wird, sucht der Prozess in Schritt 850 in der Reputationsregeldatenbank nach einer übereinstimmenden Benutzeraktion. Wenn die übereinstimmende Regel in Schritt 860 gefunden wird, wird das Reputationsgewicht entsprechend der gefundenen Regel in Schritt 870 geändert. Die Aufgabe wird in Schritt 880 vollendet.
  • 9 zeigt ein System zum Senden von Benachrichtigungen, das auf dem Benutzercomputer 110 implementiert ist, der als Client des Cloud-Dienstes 200 agiert. Ein Benachrichtigungssystem 900 ist in einem Computersystem 110 des Benutzers 160 implementiert, das ein Client des Cloud-Dienstes 200 ist. Das Benachrichtigungssystem 900 umfasst eine Datenbank 930 registrierter Benutzeraktionen, die (für eine Speicherung) von dem Benutzerreputations-Einschätzungssystem 600 die Benutzeraktionen erhält, die für Benachrichtigungen registriert werden müssen.
  • Ein Benutzeraktions-Registrierungsmodul 910 greift auf eine Datenbank 930 registrierter Aktionen zu und beobachtet die Aktionen des Benutzers 160, die der Benutzer ausführt, während er mit dem Computersystem 110 und insbesondere mit einer AV-Anwendung 940 arbeitet. Das Spam-Filtersystem 120 kann in das AV-Modul 940 integriert oder als separates Modul implementiert sein. Wenn der Benutzer 160 eine Aktion durchführt, zu der es entsprechende Daten in der Datenbank 930 registrierter Aktionen gibt, registriert ein Benutzeraktions-Registrierungsmodul 910 diese Aktion und leitet eine aktionsbezogene Information an ein Benachrichtigungs-Sendemodul 920.
  • Das Benachrichtigungs-Sendemodul 920 erzeugt eine Benachrichtigung über Benutzeraktionen auf der Grundlage der erhaltenen Informationen und sendet die Benachrichtigung an das Benutzerreputations-Einschätzungssystem 600. Gemäß der beispielhaften Ausführungsform sind die Faktoren, die die Benutzerreputation beeinflussen:
    • - Starten von Additionsmodulen der AV-Anwendung, die standardmäßig ausgeschaltet sind;
    • - Erhöhen der Sicherheitskonfigurationseinstellungen für jedes der Module;
    • - Erhöhen der Frequenz der geplanten AV-Scans;
    • - Erhöhen der Frequenz der AV-Datenbank-Aktualisierungen;
    • - periodische Aktualisierung von Anti-Spam-Daten und Daten der elterlichen Kontrolle;
    • - Dauer der Nutzung der AV-Anwendung durch den Benutzer;
    • - Anforderungen eines System-Scans;
    • - Scans externer Medien;
    • - Frequenz der Erfassung von Schadsoftware in einem Benutzersystem;
    • - Verwendung zusätzlicher Browser-Applets durch den Benutzer, die die Sicherheit des Surfens erhöhen (z.B. zeigt WOT die Reputation einer Webseite an);
    • - Änderungen bei der Browsereinstellung, um die Sicherheit zu erhöhen (z.B. das Abschalten einer Skript-Ausführung, Aktivierung von Pop-Up-Blockern, Aktivierung von Phishing-Filtern, Begrenzen von ActiveX-Kontrollen und Abschalten der Speicherung von Cookies und Passwörtern;
    • - Themen besuchter Seiten und
    • - Arten von Anwendungen, die in dem Benutzersystem gestartet werden (z.B. Spiele, Multimedia-Anwendungen, Software-Entwicklungswerkzeuge, Kompilierer usw.).
  • Beispiele für abnorme Benutzeraktionen (d.h. Hinweise auf gefälschte Benutzerberichte, die zum Zweck der Steigerung der Benutzerbewertung erzeugt werden) sind:
    • - Der Benutzer kategorisiert Nachrichten zu schnell (beispielsweise in einer Größenordnung von mehreren Millisekunden oder weniger als einer Viertelsekunde, der Theorie folgend, dass ein Mensch Nachrichten nicht schneller lesen und kategorisieren kann, als er ihre Natur versteht; der „Zu schnell“-Parameter kann auch auf der Durchschnittszeit beruhen, die die Benutzer benötigen, um Nachrichten zu kategorisieren);
    • - Der Benutzer kategorisiert Nachrichten zu oft, beispielsweise zwischen 1 und 10 Nachrichten pro Sekunde, wobei das obere Ende des Bereichs klar auf eine Anomalie hindeutet;
    • - Der Benutzer kategorisiert Nachrichten zu eigenartigen oder ungewöhnlichen Zeiten (beispielsweise nachts oder zwischen 1 und 4 Uhr morgens);
    • - Tasten werden nicht angeschlagen, und keine Mausklicks werden erfasst, während der Benutzer einige Aktionen durchführt;
    • - Die Anwendung wird nicht aktiviert, aber der Benutzer sendet Berichte, die ihre Nutzung anzeigen;
    • - Die AV-Schnittstelle ist nicht offen, aber der Benutzer sendet Berichte, die die Nutzung der AV-Anwendung anzeigen;
    • - AV-Scans werden nicht durchgeführt, aber Benutzerberichte behaupten das Gegenteil;
    • - Anwendungen werden nicht gestartet (auf der Grundlage der Informationen von einem Task-Manager), aber Benutzerberichte zeigen das Starten dieser Anwendungen an;
    • - Angriffe auf das Netzwerk werden von der Firewall nicht erfasst, aber Benutzerberichte behaupten das Gegenteil; und
    • - AV-Scans, die zu oft (mit kurzen Zeiten zwischen den AV-Scans, beispielsweise weniger als eine halbe Stunde zwischen Scans, oder ein AV-Scan wird gestartet, bevor der laufende Scan beendet ist) und ohne vernünftigen Grund angefordert werden, sind indikativ für eine Anomalie.
  • Auf der Grundlage der oben aufgezählten Faktoren und abnormen Aktionen können die kompetentesten Benutzer für eine Modifizierung der Filterregeln, die von dem Spam-Filtersystem 120 bestimmt werden, bestimmt werden. Modifizierungen beruhen auf den Berichten dieser Benutzer. Die aktualisierten Regeln werden anderen Clients des Cloud-Dienstes 200 zur Verfügung gestellt.
  • Wie in 10 gezeigt, umfasst ein beispielhaftes System zum Implementieren der Erfindung eine Universal-Recheneinrichtung in Form eines Computers 110 oder Ähnlichem, die eine Verarbeitungseinheit 21, einen Systemspeicher 22 und einen Systembus 23 umfasst, der verschiedene Systemkomponenten, einschließlich des Systemspeichers, mit der Verarbeitungseinheit 21 verbindet.
  • Der Systembus 23 kann eine beliebige von mehreren Arten von Busstrukturen sein, darunter ein Speicherbus oder Speicher-Controller, ein Peripheriebus und ein lokaler Bus, der eine beliebige aus einer Vielzahl von Busarchitekturen verwendet. Der Systemspeicher umfasst einen permanenten Speicher (ROM) 24 und einen Arbeitsspeicher (RAM) 25. Ein grundlegendes Eingabe/Ausgabe-System (BIOS) 26, das die Grundvorgänge umfasst, die beim Informationsaustausch zwischen Elementen innerhalb des Computers 110 helfen, beispielsweise beim Hochfahren, ist in dem ROM 24 gespeichert.
  • Der Computer 110 kann weiterhin ein Festplattenlaufwerk 27 zum Lesen und Schreiben auf einer Festplatte, nicht gezeigt, ein Magnetplattenlaufwerk 28 zum Lesen und Schreiben auf einer entfernbaren Magnetplatte 29 und ein optisches Laufwerk 30 zum Lesen und Schreiben auf einer entfernbaren optischen Platte 31 wie einer CD-ROM, DVD-ROM oder anderen optischen Medien aufweisen.
  • Das Festplattenlaufwerk 27, das Magnetplattenlaufwerk 28 und das optische Laufwerk 30 sind jeweils über eine Festplattenschnittstelle 32, eine Magnetplattenschnittstelle 33 und eine Schnittstelle 34 des optischen Laufwerks mit dem Systembus 23 verbunden. Die Laufwerke und die zugehörigen computerlesbaren Medien ermöglichen eine nichtflüchtige Speicherung von computerlesbaren Instruktionen, Datenstrukturen, Programmmodulen und anderen Daten für den Computer 110.
  • Obwohl die hierin beschriebene beispielhafte Umgebung eine Festplatte, eine entfernbare Magnetplatte 29 und eine entfernbare optische Platte 31 umfasst, wird dem Fachmann klar sein, dass andere Arten computerlesbarer Medien, die Daten speichern können, auf die ein Computer zugreifen kann, wie Magnetcassetten, Flash-Speicherkarten, digitale Videoplatten, Bernoulli-Laufwerke, Arbeitsspeicher (RAMs), permanente Speicher (ROMs) und Ähnliches auch in der beispielhaften Betriebsumgebung verwendet werden können.
  • Mehrere Programmmodule können auf der Festplatte, der Magnetplatte 29, der optischen Platte 31, dem ROM 24 oder dem RAM 25 gespeichert sein, darunter ein Betriebssystem 35. Der Computer 110 umfasst ein Dateisystem 36, das zu dem Betriebssystem 35 gehört oder von diesem umfasst wird, ein oder mehrere Anwendungsprogramme 37, andere Programmmodule 38 und Programmdaten 39. Ein Benutzer kann durch Eingabeeinrichtungen wie eine Tastatur 40 und eine Zeigereinrichtung 42 Befehle und Informationen in den Computer 110 eingeben. Andere Eingabeeinrichtungen (nicht gezeigt) können ein Mikrofon, einen Joystick, eine Spielkonsole, eine Satellitenschüssel, einen Scanner oder Ähnliches umfassen.
  • Diese und andere Eingabeeinrichtungen sind oft über eine serielle Schnittstelle 46, die mit dem Systembus verbunden ist, mit der Verarbeitungseinheit 21 verbunden, können jedoch durch andere Schnittstellen wie einen parallelen Port, einen Gameport oder einen universellen seriellen Bus (USB) verbunden sein. Ein Monitor 47 oder eine andere Art Anzeigeeinrichtung ist ebenfalls über eine Schnittstelle wie einen Videoadapter 48 mit dem Systembus 23 verbunden. Zusätzlich zu dem Monitor 47 umfassen Personalcomputer typischerweise andere periphere Ausgabeeinrichtungen (nicht gezeigt), wie Lautsprecher und Drucker.
  • Der Computer 110 kann in einer vernetzten Umgebung operieren und logische Verbindungen zu einem oder mehreren entfernten Computern 49 nutzen. Der entfernte Computer (oder die entfernten Computer) 49 kann ein anderer Computer, ein Server, ein Router, ein Netzwerk-PC, ein Partnergerät oder ein anderer üblicher Netzwerkknoten sein und umfasst typischerweise viele oder alle Elemente, die mit Bezug auf den Computer 110 beschrieben wurden, obwohl nur eine Speichereinrichtung 50 dargestellt ist. Die logischen Verbindungen umfassen ein lokales Netzwerk (LAN) 51 und ein Weitverkehrs-Netzwerk (WAN) 52. Solche Netzwerkumgebungen sind üblich in Büros, unternehmensweiten Computernetzwerken, Intranets und dem Internet.
  • Wenn er in einer LAN-Netzwerkumgebung verwendet wird, ist der Computer 110 durch eine Netzwerkschnittstelle oder einen Adapter 53 an das lokale Netzwerk 51 angeschlossen. Wenn er in einer WAN-Netzwerkumgebung verwendet wird, umfasst der Computer 110 typischerweise ein Modem 54 oder andere Mittel zum Herstellen von Kommunikation über ein Weitverkehrs-Netzwerk 52 wie das Internet.
  • Das Modem 54, das intern oder extern sein kann, ist über die serielle Schnittstelle 46 mit dem Systembus 23 verbunden. In einer vernetzten Umgebung können die Programmmodule, die mit Bezug auf den Computer 110 dargestellt sind, oder Abschnitte davon in der entfernten Speichereinrichtung gespeichert sein. Es ist klar, dass die gezeigten Netzwerkverbindungen beispielhaft sind und andere Mittel zum Herstellen einer Kommunikationsverbindung zwischen den Computern verwendet werden können.
  • Nachdem eine bevorzugte Ausführungsform so beschrieben wurde, wird dem Fachmann klar sein, dass bestimmte Vorteile des beschriebenen Systems erzielt wurden. Insbesondere wird der Fachmann anerkennen, dass das erfindungsgemäße System eine wirksame Spam-Filterung auf der Grundlage von Benutzerberichten unter Berücksichtigung der Reputation der Benutzer bereitstellt.
  • Es ist ebenfalls hervorzuheben, dass verschiedene Modifikationen, Anpassungen und alternative Ausführungsformen innerhalb des Schutzbereichs und der Idee der vorliegenden Erfindung vorgenommen werden können. Die Erfindung wird durch die folgenden Ansprüche weiter definiert.
  • Das erfindungsgemäße System zum Aktualisieren von Filterregeln für Nachrichten, die von einer Vielzahl von Benutzern empfangen werden, kann in den folgenden Verfahren angewandt werden:
    1. a) Computerimplementiertes Verfahren zum Aktualisieren von Filterregeln für Nachrichten, die von einer Vielzahl von Benutzern empfangen werden, wobei das Verfahren umfasst:
      • Speichern von Filterregeln für die Vielzahl von Benutzern in einer Filterregel-Datenbank;
      • Verteilen der Filterregeln an die Vielzahl von Benutzern;
      • Berechnen eines Reputationsgewichts für jeden aus der Vielzahl von Benutzern,
      • wobei das Berechnen der Reputationsgewichte der Benutzer umfasst:
        • Setzen von Regeln, die Benutzeraktionen definieren, auf deren Grundlage die Reputationsgewichte geändert werden, wenn ein Benutzer die Aktion durchführt, wobei die definierten Benutzeraktionen Berichte umfassen, dass eine Nachricht zu einer bestimmten Kategorie gehört, und wenigstens eine andere Aktion als ein Bericht, dass eine Nachricht zu einer bestimmten Kategorie gehört;
        • Unterhalten einer Reputationsregel-Datenbank der Benutzeraktionen, umfassend wenigstens eines aus Folgendem: Erhöhen des Niveaus der heuristischen Analyse zum Prüfen von Dateien, Erhöhen des Aktualisierungszeitraums, Instruieren des Anti-Spam-Filters und Erlauben der Ausführung einer verdächtigen Datei, und entsprechende Modifizierungen der B enutzerreputationsgewichte;
        • Verteilen von Regeln auf der Grundlage von Daten in der Reputationsregel-Datenbank, die Benutzeraktionen definieren, die nötig sind, um die Benutzeraktionen auf der Client-Seite zu registrieren;
        • Registrieren von Benutzeraktionen auf der Client-Seite auf der Grundlage von Regeln, die Benutzeraktionen definieren;
        • Senden von Benachrichtigungen über registrierte Benutzeraktionen; und
        • Berechnen von Reputationsgewichten auf der Grundlage der empfangenen Benachrichtigungen über Benutzeraktionen und Ändern des Reputationsgewichts des entsprechenden Benutzers auf der Grundlage der Modifizierungen gemäß den Reputationsregeln in der Reputationsregel- Datenbank;
        • Speichern eines Reputationsgewichts für jeden aus der Vielzahl von Benutzern in einer Benutzerreputations-Datenbank; und
        • Empfangen und Verarbeiten von Benutzerberichten, die anzeigen, dass eine Nachricht zu einer bestimmten Kategorie gehört, wobei die Verarbeitung umfasst:
          1. (i) Berechnen eines Gewichts der Nachricht in ihrer Kategorie auf der Grundlage mehrerer Berichte, die von einer Vielzahl von Benutzern empfangen wurden, und eines Reputationsgewichts dieser Benutzer,
          2. (ii) Entscheiden, ob die Nachricht zu der bestimmten Kategorie gehört, wenn das Gewicht der Nachricht einen vorher definierten Schwellenwert überschreitet;
          3. (iii) Aktualisieren der Filterregeln in der Filterregel-Datenbank auf der Grundlage der Entscheidung, und
          4. (iv) Verteilen der aktualisierten Filterregeln aus der Filterregel-Datenbank an die Vielzahl von Benutzern.
    2. b) Verfahren nach Absatz a), wobei das Empfangen und Verarbeiten weiterhin umfasst, auf einer Client-Seite:
      • Senden der Benutzerberichte;
      • Unterhalten einer lokalen Datenbank von Filterregeln;
      • Filtern eingehender Nachrichten auf der Grundlage der Filterregeln in der lokalen Datenbank; und
      • Modifizieren der Filterregeln in der lokalen Datenbank auf der Grundlage der aktualisierten Filterregeln.
    3. c) Verfahren nach Absatz a), weiterhin umfassend das Ändern der Filterregeln in der lokalen Datenbank auf der Grundlage der Benutzereingaben.
    4. d) Verfahren nach Absatz a), wobei die Benutzeraktionen, auf deren Grundlage die Reputationsgewichte berechnet werden, Anti-Spam-Aktionen sind, die die Benutzer in ihrem eigenen Computersystem durchführen.
    5. e) Verfahren nach Absatz a), wobei die Reputationsgewichte der Benutzer auf der Grundlage eines Detaillierungsgrads der Konfiguration des Computersystems, der Dauer der Nutzung des Computersystems, der dynamischen Eigenschaften der Tastaturnutzung, der installierten Anwendungen, der Netzwerkeinstellungen, der Nicht-Standard-Porteinstellungen und der Daten, die von dem Benutzer besuchte Webseiten reflektieren, berechnet werden.
    6. f) Verfahren nach Absatz a), weiterhin umfassend das Speichern von Benutzeraktionen, die sich auf die Reputation des Benutzers negativ auswirken oder sich nicht auf die Reputation des Benutzers auswirken, in einer Datenbank abnormer Benutzeraktionen.
    7. g) Verfahren nach Absatz f), wobei eine Zahl abnormer Benutzeraktionen einen Schwellenwert überschreiten muss, bevor sie sich negativ auf die Reputation des Benutzers auswirkt.
    8. h) Verfahren nach Absatz a), weiterhin umfassend das Ändern einer Benutzerreputation auf der Grundlage der Zuverlässigkeit der Benutzerberichte, die zuvor von diesem Benutzer gesendet wurden.
    9. i) Verfahren nach Absatz a), weiterhin umfassend das Berechnen einer separaten Benutzerreputation für jede Nachrichtenkategorie.
    10. j) Verfahren nach Absatz i), wobei das Verarbeitungsmittel ein Nachrichtengewicht für jede Nachricht auf der Grundlage einer Zahl von Benutzerberichten und Benutzerreputationen in dieser Nachrichtenkategorie berechnet.
    11. k) Verfahren nach Absatz a), wobei der Verarbeitungsschritt nur solche Benutzerberichte verwendet, die von Benutzern mit einem Reputationsgewicht oberhalb eines vorher bestimmten Schwellenwerts erhalten wurden.
    12. l) Verfahren nach Absatz a), wobei nur aktualisierte Filterregeln beruhend auf einer Untergruppe von Benutzern mit den höchsten Reputationsgewichten verteilt werden.
    13. m) Verfahren nach Absatz a), wobei die bestimmte Kategorie Spam-Nachrichten umfasst.
    14. n) Verfahren nach Absatz a), wobei die bestimmte Kategorie Voice-Spam-Nachrichten umfasst.
    15. o) Verfahren nach Absatz n), wobei die Benutzerberichte eine einzigartige Kennung eines Absenders der Voice-Spam-Nachrichten umfassen, und wobei die Filterregel-Datenbank einzigartige Kennungen einer schwarzen Liste von Absendern von Voice-Spam umfasst, und wobei das Mittel zum Verarbeiten Absender zu der schwarzen Liste hinzufügt, wenn ihr Spam-Gewicht einen vorher definierten Schwellenwert überschreitet.
    16. p) Verfahren nach Absatz a), wobei die Regeln in der Filterregel-Datenbank auf der Grundlage der Ausgabe von Such-Bots, die Webseiten auf Informationen über Spam-Absender scannen, aktualisiert werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 7836061 [0008]
    • US 2010/0153394 [0011]
    • US 7373385 [0012]
    • US 7937468 [0013]
    • US 2004/0177110 [0014]

Claims (16)

  1. System zum Aktualisieren von Filterregeln für Nachrichten (100), die von einer Vielzahl von Benutzern (160) empfangen werden, wobei das System einen Prozessor, einen mit dem Prozessor verbundenen Speicher und einen Computer-Code umfasst, der in den Speicher geladen wird, um die folgenden Schritte zu implementieren: Speichern von Filterregeln für die Vielzahl von Benutzern (160) in einer Filterregel-Datenbank (140); Verteilen der Filterregeln an die Vielzahl von Benutzern (160); Berechnen (420) eines Reputationsgewichts für jeden aus der Vielzahl von Benutzern (160); wobei das Berechnen der Reputationsgewichte der Benutzer (160) umfasst: Setzen von Regeln, die Benutzeraktionen definieren, auf deren Grundlage die Reputationsgewichte geändert werden, wenn ein Benutzer die Aktion durchführt, wobei die definierten Benutzeraktionen Berichte umfassen, dass eine Nachricht zu einer bestimmten Kategorie gehört, und wenigstens eine andere Aktion als ein Bericht, dass eine Nachricht zu einer bestimmten Kategorie gehört; Unterhalten einer Reputationsregel-Datenbank (630) der Benutzeraktionen, umfassend wenigstens eines aus Folgendem: Erhöhen des Niveaus der heuristischen Analyse zum Prüfen von Dateien, Erhöhen des Aktualisierungszeitraums, Instruieren des Anti-Spam-Filters und Erlauben der Ausführung einer verdächtigen Datei, und entsprechende Modifizierungen der Benutzerreputationsgewichte; Verteilen von Regeln auf der Grundlage von Daten in der Reputationsregel-Datenbank, die Benutzeraktionen definieren, die nötig sind, um die Benutzeraktionen auf der Client-Seite zu registrieren; Registrieren von Benutzeraktionen auf der Client-Seite auf der Grundlage von Regeln, die Benutzeraktionen definieren; Senden von Benachrichtigungen über registrierte Benutzeraktionen; und Berechnen von Reputationsgewichten auf der Grundlage der empfangenen Benachrichtigungen über Benutzeraktionen und Ändern des Reputationsgewichts des entsprechenden Benutzers (160) auf der Grundlage der Modifizierungen gemäß den Reputationsregeln in der Reputationsregel-Datenbank (630); Speichern eines Reputationsgewichts für jeden aus der Vielzahl von Benutzern (160) in einer Benutzerreputations-Datenbank (320); und Empfangen (410) und Verarbeiten von Benutzerberichten, die anzeigen, dass eine Nachricht zu einer bestimmten Kategorie gehört, wobei die Verarbeitung umfasst: (i) Berechnen (430) eines Gewichts der Nachricht in ihrer Kategorie auf der Grundlage mehrerer Berichte, die von einer Vielzahl von Benutzern (160) empfangen wurden, und eines Reputationsgewichts dieser Benutzer (160), (ii) Entscheiden (440), ob die Nachricht (100) zu der bestimmten Kategorie gehört, wenn das Gewicht der Nachricht einen vorher definierten Schwellenwert überschreitet; (iii) Aktualisieren (445) der Filterregeln in der Filterregel-Datenbank auf der Grundlage der Entscheidung, und (iv) Verteilen (455) der aktualisierten Filterregeln aus der Filterregel-Datenbank an die Vielzahl von Benutzern.
  2. System nach Anspruch 1, wobei das Empfangen und Verarbeiten weiterhin auf einer Client-Seite umfasst: Senden der Benutzerberichte; Unterhalten einer lokalen Filterregel-Datenbank (140); Filtern der eingehenden Nachrichten auf der Grundlage der Filterregeln in der lokalen Datenbank (140); und Modifizieren der Filterregeln in der lokalen Datenbank (140) auf der Grundlage der aktualisierten Filterregeln.
  3. System nach Anspruch 1, weiterhin den folgenden Schritt implementierend: Ändern der Filterregeln in der lokalen Datenbank (140) auf der Grundlage der Benutzereingaben.
  4. System nach Anspruch 1, wobei die Benutzeraktionen, auf deren Grundlage die Reputationsgewichte berechnet werden, Anti-Spam-Aktionen sind, die von dem Benutzer (160) in seinem eigenen Computersystem (110) durchgeführt werden.
  5. System nach Anspruch 1, wobei die Reputationsgewichte der Benutzer (160) auf der Grundlage eines Detaillierungsgrads der Konfiguration des Computersystems (110), der Dauer der Nutzung des Computersystems (110), der dynamischen Eigenschaften der Tastaturbenutzung, der installierten Anwendungen, der Netzwerkeinstellungen, der Nicht-Standard-Porteinstellungen und der Daten, die von dem Benutzer besuchte Webseiten reflektieren, berechnet werden.
  6. System nach Anspruch 1, weiterhin den folgenden Schritt implementierend: Speichern von abnormen Benutzeraktionen, Benutzeraktionen, die sich negativ auf die Reputation des Benutzers (160) auswirken oder sich nicht auf die Reputation des Benutzers (160) auswirken, in einer Datenbank (620).
  7. System nach Anspruch 6, wobei eine Zahl abnormer Benutzeraktionen einen Schwellenwert überschreiten muss, bevor sie sich negativ auf die Reputation des Benutzers (160) auswirkt.
  8. System nach Anspruch 1, weiterhin den folgenden Schritt implementierend: Ändern einer Benutzerreputation auf der Grundlage der Zuverlässigkeit der Benutzerberichte, die zuvor von diesem Benutzer (160) gesendet wurden.
  9. System nach Anspruch 1, weiterhin den folgenden Schritt implementierend: Berechnen einer separaten Benutzerreputation für jede Nachrichtenkategorie.
  10. System nach Anspruch 9, wobei das Verarbeitungsmittel auf der Grundlage einer Zahl von Benutzerberichten und Benutzerreputationen in dieser Nachrichtenkategorie ein Nachrichtengewicht für jede Nachricht (100) berechnet (430).
  11. System nach Anspruch 1, wobei der Verarbeitungsschritt nur die Berichte derjenigen Benutzer (160) berücksichtigt, die von Benutzern empfangen wurden, deren Reputationsgewicht oberhalb eines vorher definierten Schwellenwerts liegt.
  12. System nach Anspruch 1, wobei nur aktualisierte Filterregeln beruhend auf einer Untergruppe von Benutzern (160) mit den höchsten Reputationsgewichten verteilt werden.
  13. System nach Anspruch 1, wobei die bestimmte Kategorie Spam-Nachrichten umfasst.
  14. System nach Anspruch 1, wobei die bestimmte Kategorie Voice-Spam-Nachrichten umfasst.
  15. System nach Anspruch 14, wobei die Benutzerberichte eine einzigartige Kennung eines Absenders der Voice-Spam-Nachrichten umfassen, und wobei die Filterregel-Datenbank (140) einzigartige Kennungen einer schwarzen Liste von Absendern von Voice-Spam umfasst, und wobei das Mittel zum Verarbeiten Absender zu der schwarzen Liste hinzufügt, wenn ihr Spam-Gewicht einen vorher definierten Schwellenwert überschreitet.
  16. System nach Anspruch 1, wobei die Regeln in der Filterregel-Datenbank (140) auf der Grundlage der Ausgabe von Such-Bots, die Webseiten auf Informationen über Spam-Absender scannen, aktualisiert werden.
DE202012013734.4U 2012-04-06 2012-08-24 System zum Filtern von Spam-Nachrichten auf der Grundlage derBenutzerreputation Expired - Lifetime DE202012013734U1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2012113256 2012-04-06
RU2012113256/08A RU2510982C2 (ru) 2012-04-06 2012-04-06 Система и способ оценки пользователей для фильтрации сообщений

Publications (1)

Publication Number Publication Date
DE202012013734U1 true DE202012013734U1 (de) 2020-08-11

Family

ID=46799066

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202012013734.4U Expired - Lifetime DE202012013734U1 (de) 2012-04-06 2012-08-24 System zum Filtern von Spam-Nachrichten auf der Grundlage derBenutzerreputation

Country Status (5)

Country Link
US (1) US9361605B2 (de)
EP (1) EP2648145A1 (de)
CN (1) CN103198123B (de)
DE (1) DE202012013734U1 (de)
RU (1) RU2510982C2 (de)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9424612B1 (en) * 2012-08-02 2016-08-23 Facebook, Inc. Systems and methods for managing user reputations in social networking systems
US9537814B2 (en) * 2012-12-14 2017-01-03 Facebook, Inc. Spam detection and prevention in a social networking system
US9253207B2 (en) 2013-02-08 2016-02-02 PhishMe, Inc. Collaborative phishing attack detection
US9398038B2 (en) 2013-02-08 2016-07-19 PhishMe, Inc. Collaborative phishing attack detection
US8966637B2 (en) 2013-02-08 2015-02-24 PhishMe, Inc. Performance benchmarking for simulated phishing attacks
US9356948B2 (en) 2013-02-08 2016-05-31 PhishMe, Inc. Collaborative phishing attack detection
US9661023B1 (en) * 2013-07-12 2017-05-23 Symantec Corporation Systems and methods for automatic endpoint protection and policy management
US10116697B2 (en) 2013-09-20 2018-10-30 Open Text Sa Ulc System and method for geofencing
EP2851833B1 (de) * 2013-09-20 2017-07-12 Open Text S.A. Anwendungs-Gateway-Architektur mit mehrstufigen Sicherheitspolitik- und Regelverkündigungen
US10824756B2 (en) 2013-09-20 2020-11-03 Open Text Sa Ulc Hosted application gateway architecture with multi-level security policy and rule promulgations
US9262629B2 (en) 2014-01-21 2016-02-16 PhishMe, Inc. Methods and systems for preventing malicious use of phishing simulation records
CN105095292B (zh) * 2014-05-15 2019-08-09 中兴通讯股份有限公司 语音邮箱系统的信息获取方法及装置
RU2670029C2 (ru) * 2014-06-03 2018-10-17 Общество С Ограниченной Ответственностью "Яндекс" Система и способ автоматической модерации сообщений
US20200067861A1 (en) * 2014-12-09 2020-02-27 ZapFraud, Inc. Scam evaluation system
US9432506B2 (en) 2014-12-23 2016-08-30 Intel Corporation Collaborative phone reputation system
CN104899482B (zh) * 2015-03-31 2018-09-28 北京京东尚科信息技术有限公司 限制批量请求服务的方法和装置
US9906539B2 (en) 2015-04-10 2018-02-27 PhishMe, Inc. Suspicious message processing and incident response
RU2629444C2 (ru) * 2015-06-30 2017-08-29 Общество С Ограниченной Ответственностью "Яндекс" Способ и сервер определения спам активности в облачной системе
US11593075B2 (en) 2015-11-03 2023-02-28 Open Text Sa Ulc Streamlined fast and efficient application building and customization systems and methods
US11388037B2 (en) 2016-02-25 2022-07-12 Open Text Sa Ulc Systems and methods for providing managed services
US9699305B1 (en) 2016-06-07 2017-07-04 International Business Machines Corporation Caller relationship and risk assessment
US10650621B1 (en) 2016-09-13 2020-05-12 Iocurrents, Inc. Interfacing with a vehicular controller area network
US11197130B2 (en) 2016-11-16 2021-12-07 Motorola Solutions, Inc. Method and apparatus for providing a bot service
US10305840B2 (en) 2017-06-16 2019-05-28 International Business Machines Corporation Mail bot and mailing list detection
EP3804263A1 (de) 2018-06-01 2021-04-14 Nokia Technologies Oy Verfahren zur nachrichtenfilterung in einem edge-knoten basierend auf datenanalyse
US11102344B1 (en) * 2019-01-30 2021-08-24 United States Automobile Association (USAA) Systems and methods for detecting fraudulent calls using virtual assistants
RU2750643C2 (ru) * 2019-07-17 2021-06-30 Акционерное общество "Лаборатория Касперского" Способ признания письма спамом через анти-спам карантин
RU2762389C2 (ru) * 2021-05-07 2021-12-20 Общество с ограниченной ответственностью "Алгоритм" Способ распознавания абонента, совершающего нежелательные вызовы и способ обработки нежелательного вызова

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7496960B1 (en) * 2000-10-30 2009-02-24 Trend Micro, Inc. Tracking and reporting of computer virus information
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7096498B2 (en) * 2002-03-08 2006-08-22 Cipher Trust, Inc. Systems and methods for message threat management
US7237008B1 (en) 2002-05-10 2007-06-26 Mcafee, Inc. Detecting malware carried by an e-mail message
US7249162B2 (en) * 2003-02-25 2007-07-24 Microsoft Corporation Adaptive junk message filtering system
US7219148B2 (en) 2003-03-03 2007-05-15 Microsoft Corporation Feedback loop for spam prevention
US7373385B2 (en) 2003-11-03 2008-05-13 Cloudmark, Inc. Method and apparatus to block spam based on spam reports from a community of users
US8839417B1 (en) * 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
US7590694B2 (en) * 2004-01-16 2009-09-15 Gozoom.Com, Inc. System for determining degrees of similarity in email message information
US7941490B1 (en) * 2004-05-11 2011-05-10 Symantec Corporation Method and apparatus for detecting spam in email messages and email attachments
US8635690B2 (en) * 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US7912192B2 (en) * 2005-02-15 2011-03-22 At&T Intellectual Property Ii, L.P. Arrangement for managing voice over IP (VoIP) telephone calls, especially unsolicited or unwanted calls
US20060253584A1 (en) * 2005-05-03 2006-11-09 Dixon Christopher J Reputation of an entity associated with a content item
WO2006119509A2 (en) * 2005-05-05 2006-11-09 Ironport Systems, Inc. Identifying threats in electronic messages
US7937480B2 (en) * 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
US8010609B2 (en) * 2005-06-20 2011-08-30 Symantec Corporation Method and apparatus for maintaining reputation lists of IP addresses to detect email spam
WO2007019583A2 (en) * 2005-08-09 2007-02-15 Sipera Systems, Inc. System and method for providing network level and nodal level vulnerability protection in voip networks
US8972449B2 (en) * 2005-12-29 2015-03-03 Nextlabs, Inc. Preventing conflicts of interests between two or more groups
US8849921B2 (en) * 2007-06-28 2014-09-30 Symantec Corporation Method and apparatus for creating predictive filters for messages
US7937468B2 (en) 2007-07-06 2011-05-03 Yahoo! Inc. Detecting spam messages using rapid sender reputation feedback analysis
US8185930B2 (en) * 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US9203911B2 (en) * 2007-11-14 2015-12-01 Qualcomm Incorporated Method and system for using a cache miss state match indicator to determine user suitability of targeted content messages in a mobile environment
US7836061B1 (en) 2007-12-29 2010-11-16 Kaspersky Lab, Zao Method and system for classifying electronic text messages and spam messages
US8185956B1 (en) * 2008-03-31 2012-05-22 Symantec Corporation Real-time website safety reputation system
US20100125911A1 (en) 2008-11-17 2010-05-20 Prakash Bhaskaran Risk Scoring Based On Endpoint User Activities
US8886728B2 (en) * 2008-12-12 2014-11-11 At&T Intellectual Property I, L.P. Method and apparatus for reclassifying e-mail or modifying a spam filter based on users' input
RU85247U1 (ru) * 2008-12-26 2009-07-27 ЗАО "Лаборатория Касперского" Идентификация спама с помощью лексических векторов (варианты)
US8479051B2 (en) * 2009-01-23 2013-07-02 Microsoft Corporation System and method for customized error reporting
US8959159B2 (en) 2010-04-01 2015-02-17 Microsoft Corporation Personalized email interactions applied to global filtering

Also Published As

Publication number Publication date
RU2012113256A (ru) 2013-10-27
CN103198123A (zh) 2013-07-10
US20130268470A1 (en) 2013-10-10
RU2510982C2 (ru) 2014-04-10
EP2648145A1 (de) 2013-10-09
CN103198123B (zh) 2016-12-28
US9361605B2 (en) 2016-06-07

Similar Documents

Publication Publication Date Title
DE202012013734U1 (de) System zum Filtern von Spam-Nachrichten auf der Grundlage derBenutzerreputation
US20200287918A1 (en) Threat mitigation system and method
DE202010018642U1 (de) System zur Erfassung zuvor unbekannter Schadsoftware
DE202018006616U1 (de) Beschleunigung des Arbeitsablaufs von Cyberanalysen
DE60316809T2 (de) Verfahren und vorrichtung zur verarbeitung von nachrichten in einem kommunikationsnetzwerk
EP2180660B1 (de) Verfahren und System zur statistischen Analyse von Botnetzen
DE202012013609U1 (de) System zur Verteilung der Verarbeitung von Computer-Sicherheitsaufgaben
DE202013102441U1 (de) System zur Überprüfung digitaler Zertifikate
US20090300720A1 (en) Centralized account reputation
US11316887B2 (en) Threat mitigation system and method
DE102010011194A1 (de) Fortgeschrittene Erreichbarkeitserkennung
CN101510879A (zh) 一种垃圾内容过滤的方法及装置
US11659007B2 (en) Threat mitigation system and method
WO2021021722A1 (en) Threat mitigation system and method
EP4028964A1 (de) Bedrohungsabschwächungssystem und -verfahren
EP4158509A1 (de) Bedrohungsabschwächungssystem und -verfahren
Salau et al. Data cooperatives for neighborhood watch
CN101699818B (zh) 一种反垃圾邮件管理系统和方法
Sparks Detecting periods of significant increased communication levels for subgroups of targeted individuals
US20110029935A1 (en) Method and apparatus for detecting undesired users using socially collaborative filtering
US11709946B2 (en) Threat mitigation system and method
DE202011111092U1 (de) System zur dynamischen Erzeugung von Antivirus-Datenbanken

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: AO KASPERSKY LAB, RU

Free format text: FORMER OWNER: KASPERSKY LAB ZAO, MOSKAU, RU

R082 Change of representative

Representative=s name: V. FUENER EBBINGHAUS FINCK HANO, DE

R151 Utility model maintained after payment of second maintenance fee after six years
R152 Utility model maintained after payment of third maintenance fee after eight years
R151 Utility model maintained after payment of second maintenance fee after six years
R152 Utility model maintained after payment of third maintenance fee after eight years
R207 Utility model specification
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029080000

Ipc: H04L0065000000

R071 Expiry of right