RU2378692C2 - Перечни и признаки источников/адресатов для предотвращения нежелательных почтовых сообщений - Google Patents
Перечни и признаки источников/адресатов для предотвращения нежелательных почтовых сообщений Download PDFInfo
- Publication number
- RU2378692C2 RU2378692C2 RU2004116904/09A RU2004116904A RU2378692C2 RU 2378692 C2 RU2378692 C2 RU 2378692C2 RU 2004116904/09 A RU2004116904/09 A RU 2004116904/09A RU 2004116904 A RU2004116904 A RU 2004116904A RU 2378692 C2 RU2378692 C2 RU 2378692C2
- Authority
- RU
- Russia
- Prior art keywords
- features
- message
- address
- spam
- extracted
- Prior art date
Links
- 238000010801 machine learning Methods 0.000 claims abstract description 43
- 238000000034 method Methods 0.000 claims description 71
- 238000000605 extraction Methods 0.000 claims description 20
- 238000012549 training Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 16
- 238000001514 detection method Methods 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 2
- 230000000903 blocking effect Effects 0.000 abstract description 2
- 230000000694 effects Effects 0.000 abstract 1
- 239000000126 substance Substances 0.000 abstract 1
- 230000000875 corresponding effect Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 12
- 239000000463 material Substances 0.000 description 9
- 230000009471 action Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 238000001914 filtration Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 238000012015 optical character recognition Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001568 sexual effect Effects 0.000 description 2
- 208000024891 symptom Diseases 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 229940079593 drug Drugs 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000010813 municipal solid waste Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- G06Q50/40—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
Abstract
Изобретение относится к средствам идентификации почтовых сообщений. Техническим результатом является обеспечение распознавания и блокирования замаскированных сообщений спама. Извлеченные данные могут быть в форме признаков, которые могут быть использованы в связи с системами машинного обучения, чтобы создавать усовершенствованные фильтры. Данные, ассоциированные с информацией об источнике, а также другой информацией, встроенной в тело сообщения, которая позволяет получателю сообщения контактировать и/или отвечать отправителю сообщения, могут быть извлечены в качестве признаков. Признаки, или их поднабор, могут быть нормализованы и/или раскрыты прежде использования их в качестве признаков для систем машинного обучения. (Раскрытые) признаки могут быть использованы, чтобы заполнить множество перечней признаков, которые содействуют обнаружению и предотвращению спама. Примерные признаки включают в себя адрес электронной почты, IP-адрес, URL, вложенное изображение, указывающее на URL, и/или части этого. 3 н. и 48 з.п. ф-лы, 15 ил.
Description
Область техники, к которой относится изобретение
Настоящее изобретение в целом относится к системам и способам идентификации как законной, или допустимой (например, полезная или хорошая почта), так и нежелательной почты и более конкретно относится к обработке электронных сообщений, предназначенной для выделения (или извлечения) данных, чтобы содействовать предотвращению нежелательной рассылаемой информации, или спама.
Предшествующий уровень техники
Появление глобальных сетей связи, таких как Интернет, предоставило коммерческие возможности для достижения огромного количества потенциальных клиентов. Электронная передача сообщений, и конкретно электронная почта ("email"), становится все более и более распространяющейся в качестве средства для распространения пользователям сети нежелательных рекламных объявлений и продвижений продаж товаров (обозначаемых также как "спам").
По оценке компании Radicati Group. Inc., занимающейся консультированием и исследованиями возможностей рынка, на август 2002 г. два биллиона ненужных сообщений электронной почты (сообщений e-mail) посылались каждый день - это количество, как ожидается, должно утраиваться каждые два года. Отдельные личности и организации (например, предприятия, правительственные учреждения) становятся все более и более обеспокоенными и зачастую оскорбленными ненужными сообщениями. Как таковой, спам является в настоящее время или вскоре станет главной угрозой доверию (надежности) вычислительной технике.
Основным способом, используемым, чтобы препятствовать спаму, является применение систем/методик фильтрации. Один испытанный способ фильтрации основан на подходе машинного обучения - фильтры, использующие машинное обучение, назначают входящему сообщению вероятность, что сообщение является спамом. В данном подходе признаки обычно выделяют из двух классов образцовых сообщений (например, сообщений спама и не спама) и применяют (само)обучающийся фильтр, чтобы различать в вероятностном смысле два класса. Поскольку многие признаки сообщения относятся к содержимому (например, слова и фразы в предмете и/или теле сообщения), то такие типы фильтров обычно называют как "фильтры на основе содержимого".
Под натиском подобных способов фильтрации спама многие пользователи сети, рассылающие спам, стали думать о способах маскировки своей идентификационной информации, чтобы избегать и/или обходить фильтры спама. Таким образом, обычные и адаптивные фильтры «на основе содержимого» могут стать неэффективными в распознавании и блокировании замаскированных сообщений спама.
Краткое описание сущности изобретения
Ниже представлено упрощенное краткое описание сущности изобретения для того, чтобы представить основное понимание некоторых аспектов изобретения. Данное краткое описание сущности изобретения не является исчерпывающим обзором изобретения. Оно не предназначено для идентификации ключевых/критических элементов настоящего изобретения или очерчивания объема изобретения. Его единственная цель состоит в том, чтобы представить некоторые концепции изобретения в упрощенной форме в качестве вводной части к более подробному описанию, которое представлено далее.
Рассылающие спам пользователи могут маскировать почти всю информацию в своих сообщениях. Например, они могут вставлять изображения, так что отсутствуют слова, для того, чтобы использовать в качестве признаков для системы машинного обучения. Изображения даже могут быть искажены способами, которые сделали бы затруднительным, или по меньшей мере трудоемким, использование программного обеспечения OCR (оптическое распознавание символов, ОРС). Однако независимо от того, сколько признаков они удаляют, полезная информация все еще присутствует. Сначала рассылающие спам пользователи должны послать сообщение из некоторого места. Мы можем выявить, от какого IP-адреса сообщение было принято. Во-вторых, рассылающие спам пользователи почти всегда пытаются продать что-нибудь и поэтому должны включить (в сообщение) способ для установления контакта с ними. Это может быть бесплатным номером, но рассылающие спам могут отказываться его использовать из-за высокой стоимости жалоб. Это может быть не бесплатным номером, но рассылающие спам могут отказываться его использовать из-за более низкой скорости ответа. В качестве альтернативы им может быть URL (например, http://www.spamcorp.com/buyenlarger.htm). Такой URL может быть встроенным в изображение, чтобы делать его более затруднительным для выявления фильтрами и/или программным обеспечением. Однако рассылающие спам пользователи могут отказываться делать это, поскольку от пользователя потребуется впечатать URL на своем браузере, что может снизить скорости реакции (ответа).
Наиболее вероятными путями установления контакта с рассылающими спам пользователями являются вложенные ссылки или внедрение адресов электронной почты некоторого вида. Например, "щелкните здесь, чтобы узнать больше”, в котором "щелкните здесь" содержит ссылку к определенной web-странице, которую система машинного обучения может выявить и использовать в соответствии с одним аспектом настоящего изобретения. Подобным образом адрес, по которому нужно отвечать (например, обычно адрес "from" ("отправитель"), но иногда адрес "reply-to" ("ответить по"), если таковой есть), или любой вложенный mailto: ссылки (ссылки, которые позволяют послать сообщение электронной почты, щелкая по ссылке), или любые другие вложенные адреса электронной почты. Дополнительно, рассылающие спам пользователи обычно включают в сообщения изображения. Поскольку многократная отправка по электронной почте больших по размерам изображений является дорогой, то рассылающие спам пользователи обычно встраивают только специальную ссылку на изображение, которое побуждает загрузку изображения. Местоположения, на который указывают такие ссылки, также могут быть использованы в качестве признаков.
Относительно информации, извлекаемой из почтового адреса типа "from", почтового адреса reply-to, вложенных адресов mailto:, внешних ссылок и ссылок на внешние изображения, по меньшей мере часть такой информации может быть использована для системы машинного обучения в качестве признака, с которым ассоциируют вес или вероятность; или информация может быть добавлена к перечню. Например, можно сохранять перечни IP-адресов или адресов, от которых посылают только спам, или только хорошую почту, или хорошую более чем на 90% почту и т.д.. Факт, что конкретная ссылка или адрес находятся в таком перечне, может быть использован либо в качестве признака для системы машинного обучения, либо в качестве части любой другой системы фильтрации спама, или в обоих вариантах.
Изобретение обеспечивает систему и способ, которые содействуют идентификации замаскированных сообщений спама посредством исследования конкретных частей сообщений. Более конкретно настоящее изобретение включает в себя обработку сообщения, такого как электронная почта (email), для того, чтобы выделить (извлечь) данные об источнике и/или адресате, чтобы отличать сообщения спама от законных сообщений. Обработка включает в себя различные способы идентификации и анализа информации IP-адреса, информации адреса электронной почты и/или информации об унифицированном указателе информационного ресурса (УУИР, URL) и ассоциации извлеченных данных с признаками спама (например, хороший пользователь против плохого пользователя или хороший отправитель против плохого отправителя). Плохой пользователь или плохой отправитель могут рассматриваться, например, в качестве рассылающего спам пользователя (например, того, кто посылает спам).
Извлеченные данные, или по меньшей мере их часть, могут быть использованы для формирования наборов признаков для систем машинного обучения. Способы машинного обучения исследует содержимое сообщений, чтобы определить, являются ли сообщения спамом. Рассылающие спам пользователи могут запутывать (скрывать) большую часть содержимого сообщений, например, помещая большую часть своей информации в трудных для обработки изображениях. Однако источник сообщения не может быть полностью замаскирован, поскольку рассылающие спам пользователи должны предусмотреть некоторый способ получателю для легкого установления связи с ними. Примеры подобного включают в себя использование ссылки (например, URL) и/или адреса электронной почты (например, IP-адреса). Такие типы информации или их разновидности, или их части, могут быть использованы в качестве признаков для детектора спама. В частности, информация может быть использована, чтобы обучить детектор спама и/или фильтр спама посредством, например, системы машинного обучения.
Настоящее изобретение также может быть совместным (интегрированным) с системами, предназначенными для контроля со стороны родителей, или системами родительского контроля. Системы родительского контроля могут уведомлять пользователя, что сообщение является несоответствующим, и могут также указывать причину для такого несоответствия, например, "заключает в себе порнографический материал". В соответствии с одним аспектом настоящего изобретения один или несколько извлеченных и нормализованных признаков (например, URL) могут быть пропущены через систему родительского контроля или фильтр для того, чтобы получить классификацию системы родительского контроля. Такая классификация может быть использована в качестве дополнительного признака для системы машинного обучения, чтобы содействовать созданию и/или усовершенствованию фильтров спама.
Кроме того, извлеченные признаки могут быть классифицированы по типу (разбиты на категории), могут быть взвешенными в соответствии со степенью бесполезности и могут быть обозначены либо как положительный (например, более вероятно, что не спам), либо отрицательный (например, более вероятно, что является спамом) признаки. Признаки могут быть использованы также, чтобы создать перечни, такие как перечни нерассылающих спам и перечни рассылающих спам пользователей, например.
Для решения вышеупомянутых и связанных задач некоторые иллюстративные аспекты настоящего изобретения описаны в настоящем документе в связи с нижеследующим описанием и прилагаемыми чертежами. Эти аспекты показывают, однако, лишь несколько из различных способов, которыми принципы изобретения могут быть применены, и настоящее изобретение подразумевает включение всех таких аспектов и их эквивалентов. Другие преимущества и новые признаки изобретения могут стать очевидными из нижеследующего подробного описания изобретения при рассмотрении вместе с чертежами.
Краткое описание чертежей
Фиг.1 - укрупненная блок-схема системы, содействующей предотвращению спама в соответствии с аспектом настоящего изобретения.
Фиг.2 - блок-схема системы, содействующей предотвращению спам посредством извлечения одного или нескольких признаков из входящих сообщений в соответствии с аспектом настоящего изобретения.
Фиг.3 - схематическое представление множества признаков, которые могут быть извлечены из IP-адреса в соответствии с аспектом настоящего изобретения.
Фиг.4 - схематическое представление множества признаков, которые могут быть извлечены из ПДИМ (FQDN) в соответствии с аспектом настоящего изобретения.
Фиг.5 - схематическое представление множества признаков, которые могут быть извлечены из адреса электронной почты в соответствии с аспектом настоящего изобретения.
Фиг.6 - схематическое представление множества признаков, которые могут быть извлечены из URL или адреса сети в соответствии с аспектом настоящего изобретения.
Фиг.7 - схема последовательности операций примерного способа в связи с обучающимися фильтрами в соответствии с аспектом настоящего изобретения.
Фиг.8 - схема последовательности операций примерного способа в связи с использованием обученного фильтра в соответствии с аспектом настоящего изобретения.
Фиг.9 - схема последовательности операций примерного способа в связи с созданием перечней в соответствии с аспектом настоящего изобретения.
Фиг.10 - схема последовательности операций примерного способа в связи с использованием перечней для обучения фильтров в соответствии с аспектом настоящего изобретения.
Фиг.11 - схема последовательности операций способа, упомянутого в способах по меньшей мере на фиг.7 и 8 в соответствии с аспектом настоящего изобретения.
Фиг.12 - схема последовательности операций способа, который содействует различению между законным и поддельным IP-адресами "received-from" в соответствии с аспектом настоящего изобретения.
Фиг.13 - схема последовательности операций способа, который включает систему родительского контроля в формирование и/или извлечение признаков из входящих сообщений в соответствии с аспектом настоящего изобретения.
Фиг.14 - схема последовательности операций способа, который содействует созданию наборов признаков, подлежащих использованию в системе машинного обучения в соответствии с аспектом настоящего изобретения.
Фиг.15 - примерная среда для осуществления различных аспектов настоящего изобретения.
Подробное описание изобретения
Настоящее изобретение ниже описано со ссылкой на чертежи, на которых используют сходные ссылочные позиции, чтобы обращаться к подобным элементам по всему документу. В нижеследующем описании для целей объяснения сформулированы многочисленные конкретные подробности для того, чтобы обеспечить полное понимание настоящего изобретения. Однако очевидно, что настоящее изобретение может быть осуществлено на практике без этих конкретных подробностей. В других отдельных примерах хорошо известные структуры и устройства показаны в виде блок-схем, чтобы облегчить описание настоящего изобретения.
Как использовано в данной заявке, термины "компонент" и "система" предназначены, чтобы обозначать относящийся к компьютеру элемент либо аппаратных средств, комбинации аппаратных средств и программного обеспечения, программного обеспечения, либо программного обеспечения на стадии исполнения. Например, компонент может быть, но не ограничен ими: процессом, исполняющимся на процессоре, процессором, объектом, исполняемым файлом, потоком (под-процессом) управления, программой и/или компьютером. В качестве иллюстрации, как исполняющееся на сервере приложение, так и сервер могут быть компонентами. Один или несколько компонентов могут постоянно находиться внутри процесса и/или потока управления, и компонент может находиться на одном компьютере и/или быть распределенным между двумя или несколькими компьютерами.
Предмет изобретения может включать в себя различные схемы и/или способы логического вывода в связи с формированием обучающих данных для машинно-обучаемой фильтрации спам. Используемый в настоящем документе термин "логический вывод" в целом обозначает способ рассуждения о состоянии или умозаключения о состоянии системы, среды и/или пользователя, исходя из набора наблюдений, зафиксированных посредством событий и/или данных. Логический вывод может быть использован для того, чтобы идентифицировать конкретный контекст или действие, или может формировать распределение вероятностей по состояниям, например. Логический вывод может быть вероятностным, то есть вычисление распределения вероятностей по представляющим интерес состояниям, осуществляемое на основании рассмотрения данных и событий. Логический вывод может также ссылаться на способы, используемые для создания событий более высокого уровня из набора событий и/или данных. Такой логический вывод имеет результатом создание новых событий или действий из набора наблюдаемых событий и/или сохраненных данных о событиях, являются ли события или не являются коррелированными по временной близости, и поступают ли события и данные из одного или из нескольких источников событий и данных.
Должен быть оценен факт, что хотя термин «сообщение» широко используют по всему описанию, этот термин не ограничен электронной почтой как таковой, но может быть соответственно приспособлен, чтобы включать в себя электронную передачу сообщений в любой форме, которую можно рассылать (распространять) по любой подходящей архитектуре связи. Например, приложения конференц-связи, которые содействуют конференции между двумя или несколькими людьми (например, программы интерактивного обмена текстовыми сообщениями (чат) и программы передачи мгновенных сообщений) также могут использовать преимущества фильтрации, раскрытые в настоящем документе, поскольку нежелательный текст может с помощью электронных средств вставлен в промежутки между нормальными сообщениями при обмене текстовыми сообщениями по мере того, как пользователи обмениваются сообщениями и/или вставлен в качестве начального сообщения, заключительного сообщения или всех из вышеуказанных. В данной конкретной заявке фильтр может быть обучен для автоматического фильтрования конкретного содержимого сообщения (текста и изображений) для того, чтобы фиксировать (собирать) и помечать как спам нежелательное содержимое (например, передачи рекламы, продвижения товаров или объявления).
В объекте изобретения термин "получатель" обозначает адресата элемента входящего сообщения или почты. Термин "пользователь" может обозначать получателя или отправителя в зависимости от контекста. Например, "пользователь" может относиться к пользователю электронной почты, который посылает спам, и/или "пользователь" может относиться к получателю электронной почты, который принимает спам, в зависимости от контекста и применения термина.
Адрес (IP) по протоколу Интернет является 32-битовым числом, обычно представляющим машину в сети интернет. Данные числа используют при обмене сообщениями между двумя машинами. Они обычно представлены в форме(ате) "xxx.xxx.xxx.xxx", причем значение каждого xxx находится между 0 и 255. К сожалению, IP-адреса трудны для запоминания. Вследствие этого были созданы соглашения "имя домена" и "имя главной машины" ("имя хоста"). "Имя домена" является именем группы машин в сети интернет (возможно, одиночной машины), и обычно имеет формат "x.com", или "y.edu", или "courts.wa.gov".
Полное доменное имя машины (ПДИМ, FQDN) означает конкретную машину в сети интернет, например, "b.x.com" или "c.y.edu" или "www.courts.wa.gov"; доменной частью имени являются "x.com" или "y.edu" или "courts.wa.gox" соответственно. Части "b", "c" и "www" соответственно называют частью ПДИМ, относящейся к имени хоста (главной машины). В общем случае IP-адрес может использоваться в любой ситуации, в которой может быть использовано имя домена (например, "DN/IP" указывает, что существуют обе возможности). В общем случае может использоваться также IP-адрес в любой ситуации, в которой может быть использован ПДИМ (например, "FQDN/IP", указывает, что существуют обе возможности). Адрес электронной почты состоит из пользовательского имени и имени домена или IP-адреса (DN/IP), например, "a@x.com” или "a@l.2.3.4". В обоих примерах пользовательским именем является "a".
Унифицированные указатели информационного ресурса (УУИР, URL) обычно имеют формат "имя службы:FQDN/IP/url-маршрут". Например, "http://www.microsoft.com/windows/help.htm” является URL. Часть "http" является именем службы. Часть "www.microsoft.com" является ПДИМ, и "windows/help.htm" является URL-маршрутом (путем). Это является некоторым упрощением URL, но достаточно для настоящего обсуждения.
Обращаясь теперь к фиг.1, на ней проиллюстрированы основная блок-схема извлечения признаков и обучающая система 100 в соответствии с аспектом настоящего изобретения. Извлечение признаков и обучающая система 100 включают в себя обработку входящих сообщений 110 для того, чтобы извлечь данные или признаки из сообщений. Такие признаки могут быть извлечены по меньшей мере из части информации об источнике и/или адресате, поставляемой в сообщении и/или его разновидностях. В частности, одно или несколько входящих сообщений 110 могут быть приняты системой 100 посредством компонента 120 приема сообщений. Компонент 120 приема сообщений может быть размещен на сервере электронной почты или сервере сообщений, например, чтобы получать входящие сообщения 110. Хотя некоторые сообщения (например, по меньшей мере одно) могут быть уязвимы для существующего фильтра (например, фильтров спама, ненужной почты, родительского контроля) и таким образом направлены в папки для мусорной корзины или ненужной почты, по меньшей мере часть данных об источнике и/или адресата может быть извлечена и раскрыта для использования в связи с системой машинного обучения или с наполнением перечня признаков.
Компонент 120 приема сообщений может передавать входящие сообщения, или их поднабор, на компонент 130 извлечения признаков. Компонент 130 извлечения признаков может извлекать данные из соответствующих сообщений 110, чтобы формировать наборы признаков для содействия обучению фильтра и в конечном счете обнаружению спама. Данные или признаки, извлеченные из сообщений, относятся к информации об источнике и/или адресате, найденной и/или вложенной в них (в сообщения). Примеры данных или признаков включают в себя IP-адрес «принято от» (received-from), адрес электронной почты «ответить по» (reply-to), адрес электронной почты "cc" (например, копии), адресы URL различных видов (включая ссылки на основе текста, ссылки на основе изображения, и URL или его части в текстовой форме), подлежащий оплате номер телефона (например, в частности, междугородный код, или код зоны), не подлежащий оплате номер телефона, адрес электронной почты в форме ссылки "mailto:", адрес электронной почты в текстовой форме, ПДИМ в команде HELO протокола SMTP (простой протокол электронной почты), адрес MAIL FROM/адрес пути возврата протокола SMTP и/или по меньшей мере часть любого из вышеупомянутых.
Компонент 130 извлечения признаков может выполнять любое подходящее количество обработок, чтобы извлечь различные наборы признаков из сообщения 110 для последующего использования в системах машинного обучения. В дополнение, или в качестве альтернативы, наборы признаков могут быть использованы для наполнения перечней для других способов обучения фильтра.
Имена ПДИМ, такие как a.x.com, например, могут быть преобразованы в номера (числа), обычно обозначаемые как IP-адрес. IP-адрес обычно рассматривают в формате с разделением десятичной точкой, включающим четыре блока номеров. Каждый блок отделен точкой или десятичной точкой, и каждый блок номеров может иметь значения (быть в диапазоне) от 0 до 255, причем каждое изменение номера соответствует различному имени в сети интернет. Например, a.x.com можно преобразовать в 123.124.125.126, тогда как 121.124.125.126 может представлять qrstuv.com. Поскольку номера не так легко распознаваемы или незабываемы как слова, то к IP-адресам обычно обращаются по их соответствующим именам ПДИМ. Тот же IP-адрес в точечном десятичном формате может быть выражен также в дополнительных форматах, которые будут обсуждены ниже.
В соответствии с одним аспектом предмета изобретения компонент 130 извлечения признаков может сосредоточиться на IP-адрес(ах) "received-from", включенных в сообщение 110. IP-адрес "received-from" (принято от) основан, по меньшей мере частично, на IP информации "received-from". Обычно почту, посылаемую по Интернет, транспортируют от сервера к серверу, вовлекая одновременно только два сервера (например, отправителя и получателя). Хотя в более редких случаях клиент может осуществлять посылку непосредственно на сервер. В некоторых случаях может быть вовлечено значительно большее количество серверов, поскольку почту или сообщения посылают от одного сервера на другой вследствие присутствия, например, межсетевых защит, или брандмауэров. В частности, некоторые серверы могут быть размещены во внутренней части брандмауэра и таким образом могут взаимодействовать только с назначенными серверами на другой стороне брандмауэра. Это вызывает увеличение количества пересылок (или "прыжков"), которые сообщение делает, чтобы добраться от отправителя к получателю. Строки, содержащие IP-адреса "received-from", облегчают отслеживание маршрута сообщения для того, чтобы установить, откуда сообщение прибыло.
По мере перемещения сообщения 110 от сервера к серверу каждый сервер, с которым осуществляют контакт, добавляет к началу идентификационную информацию IP-адреса, от которого принято сообщение, к полю "received-from" (то есть к полю "Received:" (принято)) этого сообщения, а также имя предполагаемого ПДИМ (для) сервера, с которым (он) общается. Данное имя ПДИМ принимающему серверу сообщает сервер-отправитель посредством команды HELO протокола SMTP и таким образом оно не может быть доверительным (надежным), если сервер-отправитель находится вне предприятия. Например, сообщение может иметь пять строк "received from" с 5 IP-адресами и добавленными к началу именами ПДИМ, таким образом указывая, что оно прошло через шесть различных серверов (то есть пересылалось 5 раз), со строками в порядке, обратном тому, в котором они были добавлены к началу (то есть самая последняя является первой). Однако каждый сервер имеет возможность изменить любые нижележащие (добавленные к началу ранее) строки. Это может быть, в частности, трудным особенно тогда, когда сообщение перемещалось между множеством серверов. Поскольку каждый промежуточный сервер способен к изменению любых записанных ранее (ниже) строк "received-from", то рассылающие спам пользователи могут добавить к началу ложные IP-адреса к строкам "received-from" сообщения, чтобы маскировать IP-информацию "received-from" или отправителя сообщения-спама. Например, сообщение спам может первоначально появляться, как будто оно было послано от доверительного domain.com, таким образом искажая для получателя истинный источник сообщения.
Для программного обеспечения спама важно легко идентифицировать IP-адрес, внешний для предприятия, с которого посылают серверу внутри предприятия. Поскольку этот IP-адрес записан сервером-получателем, внутренним для предприятия, то ему можно доверять как корректному IP-адресу. Все другие IP-адреса вне предприятия не могут быть доверительными, так как они были записаны серверами, находящимися вне предприятия, и таким образом возможно изменены. Может быть много IP-адресов серверов-отправителей, включенных в маршрут к предприятию получателя, но поскольку только один может быть доверительным, то обозначим этот единственный заслуживающий доверия как IP-адрес "отправителя".
Один способ найти IP-адрес такого отправителя для программного обеспечения, предназначенного для фильтрации спама, состоит в том, чтобы узнать конфигурации серверов электронной почты на предприятии. В общем, если известно, какие машины передают к каким другим машинам в каких ситуациях, то можно определить IP-адрес отправителя. Однако может быть не удобно описать конфигурацию сервера, особенно для программного обеспечения фильтрации спама, которое установлено на клиентах электронной почты. Альтернативный подход включает в себя использование почтовых записей ОПК (обмен почтовой корреспонденцией, ОПК, MX) для обнаружения истинного источника сообщения. ОПК записывает для каждого имени домена перечень имен ПДИМ получателей электронной почты для данного домена. Можно прослеживать в обратном порядке перечень "received from", пока не будет найден IP-адрес, который соответствует ПДИМ, соответствующему элементу в записи ОПК для домена. IP-адрес адресует, что "received from" данной машины является IP-адресом отправителя. Представим, что 1.2.3.101 является единственной записью ОПК для x.com. Тогда, найдя строку, с "received from", соответствующим 1.2.3.101, можно узнать, что следующая строка соответствует серверу входящей электронной почты для x.com, и таким образом IP-адрес в этой строке соответствует IP-адресу, который посылал на x.com.
Таблица ниже изображает примерный анализ определения истинного источника сообщения, как обсуждено выше:
Строка | Комментарий |
Received: from a.x.com ([1.2.3.100]) by b.x.com Tue, 22 Apr 2003 13:11:48 -7000 | Внутренний для x.com |
Received: from mailserver.x.com ([1.2.3.101]) by b.x.com Tue, 22 Apr 2003 12:11:48 -0700 | 1.2.3.101 является записью ОПК для x.com, так что известно, что следующая строка является первой внутренней для x.com |
Received: from outside.com ([4.5.6.7]) by mailserver.x.com Tue, 22 Apr 2003 11:11:48 -0700 | Это когда x.com принято сообщение: это последняя доверительная строка. Использовать 4.5.6.7 в качестве IP-адреса отправителя. |
Received: from trustedsender.com ([8.9.10.11])by outside.com. Tue, 22 Apr 2003 10:11:48 -0700 |
Данная строка может быть ложной, созданной сервером с адресом 4.5.6.7 |
В настоящее время нет принятого стандарта для спецификации серверов исходящей электронной почты, и данная эвристика может потерпеть неудачу, если, например, IP-адреса, внутренние для предприятия, являются отличными от внешних для предприятия, или если предприятие посылает косвенно электронную почту от одной машины, входящей в перечень записи ОПК, на другую машину, входящую в перечень записи ОПК. Дополнительно, в специальном случае, когда обнаруживают, что IP отправителя, как определено выше, является внутренним для предприятия, как может случаться, если одна машина, находящаяся в записи ОПК, осуществляет посылку на другую, находящуюся в записи ОПК, обработку продолжают, как выше указано. В дополнение, некоторые IP-адреса могут быть выявлены как внутренние (поскольку они имеют форму 10.x.y.z или 172.16.y.z до 172.31.y.z или 192.168.0.z до 192.168.255.z, форма, используемая только для внутренних IP-адресов); любой адрес, являющийся внутренним для предприятия, может быть доверительным. В заключение если строка "received from" имеет форму "Received from a.x.com [1.2.3.100]" и просмотр IP-адреса a.x.com вырабатывает 1.2.3.100 или обратный поиск IP-адреса 1.2.3.100 вырабатывает a.x.com и если x.com является данным предприятием, то следующая строка может также быть доверительной.
Используя эти замечания, обычно возможно найти IP-адрес отправителя. Примерный псевдокод является нижеследующим:
bool fFoundHostInMX;
if (внешний IP-адрес записи ОПК совпадает со внутренним IP-адресом записей ОПК)
{
fFoundHostInMX - FALSE; # его стоит искать } else {
fFoundHostInMX = TRUE; # его не стоит искать, считаем (претендуем), что его уже нашли
}
для каждой строки received from, имеющей форму Received from a.b.c [i.j.k.l] {
если i.j.k.l в записях MXдомена получателя
{
fFoundHostInMX - TRUE;
продолжить;
}
если не fFoundHostInMX
{
# Еще не разобрали запись ОПК, должно быть внутренним
продолжить;
}
если i.j.k.l в форме
10.x.y.z или
172.16.y.z до 172.31.y.z или
192.168.0.z до 192.168.255.z
{
# Должно быть внутренним
продолжить;
}
если просмотр DNS для a.b.c вырабатывает i.j.k.l и d.b.c является доменом получателя
{
# Должно быть внутренним
продолжить;
}
Вывести предполагаемый ПДИМ отправителя a.b.c и действительный IP-адрес отправителя i.j.k.k
}
Если пришли сюда, то Ошибка: нет возможности идентифицировать предполагаемый ПДИМ отправителя и действительный IP-адрес отправителя.
Многое может быть сделано с IP-адресом отправителя, как с другими признаками источника и адресата. Во-первых, они могут быть добавлены к перечню постоянно плохих отправителей, в некоторых вариантах известного в качестве Черного Списка. Черные Списки могут быть использованы впоследствии для фильтрования, блокирования или переадресации ненадежных сообщений к соответствующей папке или местоположению, на котором они могут быть дополнительно исследованы.
Другие типы перечней также могут быть сформированы и реализованы в качестве фильтров как в архитектуре (на основе) клиента, так и архитектуре (на основе) сервера. В архитектуре клиента пользователь может информировать клиентское программное обеспечение электронной почты о том, от кого он должен принимать электронную почту (например, перечни адресов электронной почты (список рассылки), отдельные личности, и т.д.). Перечень записей, соответствующих доверительным адресам электронной почты, может быть сформирован пользователем либо вручную, либо автоматически. Соответственно, представим себе, что отправитель, имеющий адрес электронной почты “b@zyx.com”, посылает пользователю сообщение электронной почты. Адрес b@zyx.com электронной почты отправителя содержит пользовательское имя, “b” и FQDN/IP “zyx.com". Если клиент принимает входящее сообщение 110 от отправителя (b@zyx.com), то он может осуществлять поиск адреса электронной почты пользователя в перечне доверительных отправителей для того, чтобы определить, указан ли пользователь "b@zyx.com" в качестве действительного и доверительного адреса. Для архитектур сервера перечни могут быть размещены непосредственно на сервере. Следовательно, поскольку сообщения поступают на сервер сообщений, их соответствующие признаки (например, IP-адрес отправителя, имя (ена) домена в полях MAIL FROM или HELO и другая информация об источнике и/или адресате) можно сравнивать с перечнями, размещенными на сервере сообщений. Сообщения, которые определены, что будут от допустимых отправителей, могут быть доставлены намеченным получателям в соответствии с протоколами доставки либо на основе клиента, либо на основе сервера. Однако сообщения, определенные для того, чтобы включать признаки источника или адресата в перечни сомнительных или плохих признаков, могут быть перемещены в спам или в папку ненужной электронной почты для сбрасывания или обработаны иным образом специально.
В качестве альтернативы к наполнению перечней признаков доверительных или плохих источников признаки источника отправителя (например, IP-адрес, предполагаемый адрес "From" (от)) могут быть извлечены в качестве одного или нескольких признаков и использоваться позднее в связи со способами машинного обучения для того, чтобы сформировать и/или обучить фильтр.
IP-адрес может быть получен из адреса электронной почты (например, поиском IP по ПДИМ в адресе отправителя или в адресе "reply-to" (ответить:)) в любой части заголовка сообщения или из поиска IP-адреса в части имени домена в ссылке URL, вложенной в тело сообщения, или непосредственно из IP-адреса, если он встречается как часть, соответствующая FQDN/IP, в URL. Кроме того, как будет описано далее, IP-адрес имеет несколько атрибутов, каждый из которых может быть использован в качестве признака системы машинного обучения или в качестве элемента в заполненном пользователем перечне. Таким образом, во втором подходе компонент 130 извлечения признаков может использовать многие подчасти IP-адреса(ов), чтобы сформировать дополнительные признаки.
Любая комбинация признаков, как описано выше, может быть извлечена из каждого входящего сообщения 110. Сообщения могут быть выбраны случайно, автоматически и/или вручную для того, чтобы участвовать в извлечении признаков, хотя обычно все сообщения могут быть использованы. Извлеченные наборы признаков впоследствии применяют к компоненту 140 обучения фильтра, такому как системы машинного обучения или любая другая система, которая создает и/или обучает фильтры 150, такие как фильтры спама.
Что касается фиг.2, то на ней проиллюстрирована система 200 извлечения признаков, которая содействует раскрытию или нормализации одного или нескольких признаков входящего сообщения 210 в соответствии с одним аспектом настоящего изобретения. В конечном счете фильтр(ы) может быть создан на основании, по меньшей мере частично, одного или нескольких нормализованных признаках. Система 200 содержит компонент 220 экстрактора признака, который принимает входящее сообщение 210 либо непосредственно, как показано, либо косвенно в качестве получателя сообщения (фиг.1), например. Входящие сообщения, выбранные для извлечения признаков, или участвующие в извлечении признаков, в соответствии с пользовательскими предпочтениями могут быть подвергнуты системе 200. В качестве альтернативы, по существу, все входящие сообщения могут быть доступны для извлечения признаков и участвовать в извлечении признаков.
Извлечение признаков включает в себя извлечение (вытягивание) одного или нескольких признаков 230 (упомянутых также как FEATURE1 232, FEATURE2 234, и FEATUREM 236, причем М является целым числом, большим или равным единице), ассоциированных с информацией об источнике и/или адресате из сообщения 210. Информация об источнике может относиться к элементам, указывающим отправителя сообщения, а также серверные доменные имена (доменов сервера) и относящуюся к идентификации информацию, которая указывает, откуда прибыло сообщение. Информация адресата может относиться к элементам сообщения, указывающим, кому или где получатель может послать свой ответ на сообщение. Информация об источнике и адресате может быть найдена в заголовке сообщения, а также в теле сообщения либо как видимая, либо как невидимая (например, вложенная как текст или в изображении) для получателя сообщения.
Поскольку рассылающие спам пользователи имеют тенденцию маскировать и/или скрывать свою идентификационную информацию обычно для того, чтобы избежать обнаружения обычными фильтрами спама, то система 200 содержит компонент 240 нормализатора признаков, который содействует раскрытию одного или нескольких извлеченных признаков 230, или по меньшей мере их части. Компонент 240 нормализатора признаков может обрабатывать и/или разбивать извлеченные признаки 230, например, анализируя извлеченные признаки 230 (например, ПДИМ - обращаясь к каталогу блоков и записей ОПК и/или преобразуя ПДИМ в соответствии с его форматом на текущий момент времени) и затем сравнивая их, например, с базой(ами) данных существующих перечней рассылающих спам (объектов), перечней нерассылающих спам и/или перечней родительского контроля. В некоторых случаях, как описано ниже на фиг.4, как, например, если извлеченный признак является URL, то префиксы и/или суффиксы также могут быть удалены, чтобы содействовать нормализации признаков и идентификации того, указывает ли URL на web-сайт рассылающего спам или на законный источник.
Как только признаки нормализованы, то затем по меньшей мере их поднабор 250 может быть использован обучающейся системой 260, такой как система обучения машин, для того, чтобы создавать и/или обновлять фильтр(ы) 270. Фильтр(ы) может быть обучен для использования в качестве фильтра спама и/или фильтра ненужной электронной почты, например. Кроме того, фильтр(ы) может быть создан и/или обучен с положительными признаками, например такими, которые указывают источник не спама (например, адрес электронной почты From отправителя, IP-адрес отправителя, вложенные номера телефонов и/или URL) и/или отправителя не спама, а также с отрицательными признаками, например такими, которые идентифицируют и являются ассоциированными с рассылающими спам (объектами).
В качестве альтернативы или в дополнение, набор признаков может быть использован для наполнения нового или добавления к существующему перечню 280 признаков спама. Другие перечни также могут быть сформированы, чтобы соответствовать конкретным извлеченным признакам, таким как перечень "хороших" адресов, перечень "плохих" адресов, перечень "хороших" URL, перечень "плохих" URL, перечень "хороших" номеров телефонов и перечень "плохих" номеров телефонов. Перечни хороших признаков могут идентифицировать нерассылающих спам отправителей, законных по предыстории (статистически) отправителей и/или отправителей, имеющих более высокую вероятность "небесполезности" (например, ~90% вероятность (шансов), что источник не является источником спама). Напротив, перечни плохих признаков могут соответствовать рассылающим спам, потенциальным "рассылающим спам" отправителям и/или отправителям, имеющим относительно более высокую вероятность «бесполезности» (например, ~90%, что источник - источник спама).
Что касается фиг.3-6, то на них проиллюстрированы примерные признаки, которые могут быть получены и извлечены из IP-адреса, ПДИМ, адреса электронной почты и URL соответственно, для того, чтобы содействовать обнаружению и предотвращению спама в соответствии с несколькими аспектами настоящего изобретения.
На фиг.3 изображено примерное разбиение (разложение) IP-адреса 300 в соответствии с аспектом настоящего изобретения. IP-адрес 300 является 32-битовым по длине и состоящим из блоков (например, сетевыми блоками), если выражен в точечном десятичном формате (например, 4 блока до 3 цифр каждый, в котором каждый блок отделен точками и в котором каждый блок из 3 цифр является произвольным числом в диапазоне между 0 и 255). Блоки назначены классам, таким как Class A (Класс A), Class B (Класс B) и Class C (Класс C). Каждый блок содержит установленное количество IP-адресов, причем количество IP-адресов в блоке изменяется в соответствии с классом. То есть в зависимости от класса (то есть A, B, или C) может быть большее или меньшее количество адресов, назначаемых на блок. Размер блока является обычно кратным 2, и набор IP-адресов в одном и том же блоке будет совместно использовать k первых двоичных цифр и различаться в 32-k (например, 32 минус k) последних двоичных цифрах. Таким образом, каждый блок может быть идентифицирован (ID 302 блока) в соответствии с его совместно используемыми первыми k битами. Чтобы определить ИД (ID) 302 блока, который ассоциирован с конкретным IP-адресом 300, пользователь может обращаться за справкой в каталог блоков, например, arin.net. Более того, ID 302 блока может быть извлечен и использован в качестве признака.
В некоторых обстоятельствах, однако, ID 302 блока не может быть легко определен даже при обращении к arin.net, поскольку группы IP-адресов внутри блока могут быть проданы разделенными и перепроданы любое количество раз. В таких случаях пользователь или система извлечения могут делать одно или несколько предположений об идентификаторах ID 302 блоков для соответствующих IP-адресов. Например, пользователь может извлечь по меньшей мере первый 1 бит 304, по меньшей мере первые 2 бита 306, по меньшей мере первые 3 бита 308, по меньшей мере первые М битов 310 (то есть М является целым числом, большим или равным единице) и/или по меньшей мере до первых 31 бите 312 в качестве отдельных признаков для последующего использования системой машинного обучения и/или в качестве элементов в перечне(ях) признаков (например, в перечнях "хороших" признаков, в перечнях признаков спама, и т.д.).
Практически, например, первый 1 бит IP-адреса может быть извлечен и использован в качестве признака для того, чтобы определить, указывает ли IP-адрес на рассылающего спам или на не рассылающего спам отправителя. Может быть осуществлено сравнение первого 1 бита из других IP-адресов, извлеченных из других сообщений, для того, чтобы содействовать определению по меньшей мере одного ID блока. ID, идентифицирующий по меньшей мере один блок, может затем помогать распознаванию, является ли сообщение посланным от рассылающего спам отправителя. Более того, IP-адреса, которые совместно используют первые М битов, могут сравниваться относительно других их извлеченных признаков для того, чтобы установить, являются ли IP-адреса от законных отправителей и/или являются ли соответствующие сообщения спамом.
IP-адреса также могут быть упорядочены иерархически (314). То есть набор битов высокого порядка может быть назначен конкретной стране. Эта страна может назначать поднабор ПУИ (Поставщику услуг Интернет, ISP), и этот ПУИ затем может назначать поднабор для конкретной компании. Соответственно, различные уровни могут быть значащими для одного и того же IP-адреса. Например, факт, что IP-адрес исходит от блока, назначенного для Кореи, мог бы быть полезен в определении, ассоциирован ли IP-адрес с рассылающим спам отправителем. Если IP-адрес является частью блока, назначенного ПУИ со строгой политикой против рассылающих спам отправителей, то это также могло бы быть полезным в определении, что IP-адрес не ассоциирован с рассылающим спам отправителем. Следовательно, посредством использования каждого из первых 1-31 битов IP-адреса в комбинации с иерархической схемой 314 по меньшей мере поднабора IP-адресов пользователь может автоматически узнавать (изучать) информацию на различных уровнях, без знания, по существу, (в действительности) способа, которым IP-адрес был назначен (например, без знаний идентификаторов ID блоков).
В дополнение к признакам, описанным выше, редкость 316 признака (например, присутствие признака не является достаточно общим) может быть определена выполнением соответствующих вычислений и/или использованием статистических данных, сравнивающих частоту или количество раз, которое признак появляется в выборке (из) входящих сообщений, например. Практически редким IP-адресом 300 может быть пример линии модемной связи, используемой для доставки электронной почты, которая является тактикой, обычно используемой рассылающими спам отправителями. Рассылающие спам отправители обычно имеют тенденцию изменять свою идентичность и/или местоположение. Таким образом, факт, что признак является общим (обычным) или редким, может быть полезной информацией. Следовательно, показанная редкость 316 может быть использована в качестве признака для системы машинного обучения и/или как часть по меньшей мере одного перечня (например, перечня редких признаков).
На фиг.4 продемонстрировано примерное разбиение признаков для ПДИМ 400, как например, b.x.com. ПДИМ 400 может быть извлечен из поля HELO, например, (например, предполагаемый ПДИМ отправителя) и обычно включает имя 402 хоста (главной машины) и имя 404 домена. Имя 402 хоста ссылается на конкретный компьютер, которым является “b” согласно примеру. Имя 404 домена ссылается на имя по меньшей мере одной машины или группы машин в сети интернет. В настоящем примере "x.com" представляет имя 404 домена. Иерархическое разбиение ПДИМ 400 представлено посредством 406. В частности B.X.COM 408 (полное ПДИМ 400) может быть частично разделено на части до X.COM 410 (частичное ПДИМ), которое затем может быть разделено на части до COM 412 (частичное ПДИМ), посредством чего каждое частичное ПДИМ может быть использовано в качестве признака.
Некоторые признаки, как, например, информация "received-from" (принять от:), существуют первоначально в качестве IP-адресов. Таким образом, может быть полезно преобразовать ПДИМ 400 к IP-адресу 300, который может быть разбит на дополнительные признаки (как показано на фиг.3), поскольку относительно просто создать новые имена хостов и имена доменов, но относительно трудно получить новые IP-адреса.
К сожалению, владельцы домена могут устанавливать для предположительно различных машин соотнесение их всех с одной и той же позицией (в имени). Например, владелец машины, названной "a.x.com", может быть тем же, что и владелец "b.x.com", который может быть тем же, что и владелец "x.com". Таким образом, рассылающий спам мог бы легко направлять обычный фильтр по ложному пути поверки, что сообщение является от ПДИМ 400 "b.x.com", а не от домена 404 "x.com", таким образом позволяя сообщению обойти фильтр спама, хотя в действительности домен 404 ”x.com” указал бы, что сообщение является спамом или более вероятно, что является спамом. Следовательно, может быть полезно расщепить адрес просто до имени 404 домена при извлечении информации об источнике и/или адресате сообщения. В качестве альтернативы или в дополнение, полное ПДИМ 400 может быть извлечено в качестве признака.
В некоторых случаях доступны дополнительные ресурсы, как, например, системы родительского контроля. Эти ресурсы обычно могут назначать "тип" или качественную оценку, как, например, «порнографический» или «насильственный», для имен хоста и/или URL. Извлеченные признаки могут быть дополнительно разбиты на категории по типу, используя такой ресурс. Тип 414 признака, соответствующий такому признаку, может затем использоваться в качестве дополнительного признака в связи с созданием и/или обучением усовершенствованных фильтров, имеющих отношение к спаму. В качестве альтернативы перечни могут быть сформированы, соответствуя различным типам признаков, которые предварительно были идентифицированы. Типы 414 признаков могут включать в себя, но не быть ограниченными перечисляемым, связанные с порнографией признаки, признаки расовые и/или связанные с ненавистью к речи, признаки физического совершенствования, признаки для доходов или финансовых решений, признаки для домашних покупок и т.д., которые идентифицируют общий предмет (содержание) сообщений.
В заключение редкость признака 316 или тип признака (см. фиг.3. выше) могут быть еще одним признаком, как описано выше согласно фиг.3. Например, признак, извлеченный из сообщения, такого как имя "B" 402 хоста из ПДИМ 400 "b.x.com", может быть общим примером для типа признака: «порнографический материал». Следовательно, если этот признак извлечен из сообщения и затем найден в перечне признаков порнографического материала, то может быть сделано заключение, что более вероятно, что сообщение будет спамом, или неподходящим/несоответствующим для всех возрастов, или составляет содержимое для взрослых (например, характеристика «взрослые»), и подобное. Таким образом, каждый перечень может включать в себя более общие признаки такого конкретного типа. В качестве альтернативы соответствующий IP-адрес обыкновенно может быть найден в спам-сообщениях в целом и таким образом обозначен в качестве общего признака спама. Кроме того, признаки общности и/или редкости могут быть использованы в качестве отдельного признака для систем машинного обучения или других систем, основанных на правилах.
На фиг.5 продемонстрировано примерное разбиение признаков адреса 500 электронной почты: a@b.x.com, который включает в себя ПДИМ 400, а также несколько дополнительных признаков, например, пользовательского имени 502. Адрес 500 электронной почты может быть извлечен из поля From, поля "cc" и поля "reply-to" сообщения, а также из любых ссылок "mailto:" в теле сообщения (например, ссылки "mailto:" являются ссылкой специального вида, которая при щелчке формирует отправку почты по конкретному адресу), и, если доступно, из команды MAIL FROM, используемой в протоколе SMTP. Адреса 500 электронной почты могут быть также вложенными как текст в тело сообщения. В некоторых случаях содержимое сообщения может предписывать получателю использовать функцию "reply all" (ответить всем) при ответе на сообщение. В таких случаях по адресам в поле "cc" и/или по меньшей мере части из них, включенных в поле"to" ("по") (если перечислено более одного получателя), также нужно отвечать. Таким образом, каждый из этих адресов может быть извлечен в качестве одного или нескольких признаков для содействия идентификации рассылающего спам отправителя и предотвращения спама.
Адрес 500 электронной почты"a@b.x.com” может быть разбит на различные элементы или подчасти, и такие элементы также могут быть извлечены и использованы в качестве признаков. В частности, адрес электронной почты содержит пользовательское имя 502 и ПДИМ 504 (например, см. ПДИМ 400 на фиг.4), которое может даже далее быть разбитым на дополнительные признаки.
По нескольким практическим причинам, таким как легкость использования, распознавания и запоминания, адреса электронной почты являются обычно изображенными (нотированными) предпочтительно с использованием имен ПДИМ, чем IP-адресов.
В настоящем примере "a@b.x.com" содержит пользовательское имя "a" 502. Таким образом, "a" может быть извлечено в качестве одного признака. Аналогично, ПДИМ 504 “b.x.com” может быть извлечено из адреса электронной почты в качестве по меньшей мере еще одного признака. Соответствующая ПДИМ 504 часть из адреса 500 электронной почты может быть пропущена через фильтр родительского контроля для того, чтобы содействовать определению такого типа 414 признака, который описан с большей подробностью выше на фиг.4. Следовательно, тип признака, поскольку (по мере того, как) он относится к части ПДИМ адреса 500 электронной почты, может быть использован в качестве дополнительного признака.
В дополнение к адресам электронной почты рассылающие спам отправители обычно устанавливают связь через адреса URL. На фиг.6 изображен примерный URL 600 (например, x.y.com/a/b/c) вместе со множеством признаков, извлеченных из него в соответствии с аспектом настоящего изобретения. URL 600 может быть вложен как текст в тело сообщения и/или как изображение в теле сообщения. Например, сообщения спама могут включать в себя указатели на web-сайты, направляя таким образом получателя к web-странице рассылающего спам отправителя или родственному (соотнесенному) сайту.
Адреса URL могут быть раскрыты подобным образом относительно IP-адресов. Первоначально, любой префикс (например, имя службы), такой как «http://», «https://», «ftp://», «telnet://», например, может быть удален прежде раскрытия URL 600. В дополнение, если символ "@” (например, %40 в шестнадцатеричной нотации) появляется среди URL, то что-либо находящееся между префиксом (например, http://) и символом "@" может быть удалено перед нормализацией URL 400. Включение текста между префиксом и символом "@” может быть еще одной тактикой или формой обмана рассылающих спам отправителей, чтобы запутать получателя сообщения относительно истинного местоположения страницы, к которой направляют получателя.
Например, http://www.amazon.com@121.122.123.124/info.htm выглядит для получателя сообщения, как будто эта страница размещена на www.amazon.com. Таким образом, получатель может быть более склонен доверять ссылке и, что более важно, отправителю сообщения. Напротив, истинное местоположением страницы находится на "121.122.123.124", которое может в действительности соответствовать web-странице, связанной со спамом. В некоторых случаях, однако, законные отправители могут включать в данную часть URL 400 информацию аутентификации, такую как зарегистрированное имя (пользователя, входящего в систему) и пароль, чтобы содействовать автоматическому входу в систему.
После нормализации и раскрытия, URL 600 может, по существу, быть выражен в виде x.y.com/a/b/c, причем x.y.com 630 является именем машины (ПДИМ), и a/b/c (например, суффикс(ы)) является местоположением файла на этой машине. Если x.y.com/a/b/c 600 идентифицирует рассылающего(их) спам отправителя(ей), то x.y.com/a/b 610 и x.y.com/a 620 наиболее вероятно идентифицируют также того же или связанного рассылающего(их) спам. Таким образом, соответствующая адресу URL 600 оконечная часть или маршрут (магистраль) может быть удалена по одной составляющей за один раз, например, чтобы получить дополнительные признаки для системы машинного обучения или перечня. Это затрудняет рассылающим спам отправителям осуществлять создание многих различных местоположений, которые в действительности все ведут к ним таким образом, что образец (принцип) не замечен.
Если суффиксы отделены, то ПДИМ 630 может быть анализирован далее, чтобы получить дополнительные признаки, как предварительно обсуждено выше согласно фиг.4. Кроме того, ПДИМ 630 также может быть преобразован в IP-адрес, как продемонстрировано на фиг.3 выше. Соответственно, различные признаки, относящиеся к IP-адресу, также могут быть использованы в качестве признаков.
Некоторые URL записаны с IP-адресом вместо ПДИМ (например, точечный десятичный формат), как, например, nnn.nnn.nnn.nnn/a/b/c. Суффиксы могут быть удалены в последовательном порядке, начиная с "c" и на каждой стадии, результирующий (частичный) URL может быть использован в качестве признака (например, nnn.nnn.nnn.nnn/a/b; nnn.nnn.nnn.nnn/a; и nnn.nnn.nnn.nnn являются всеми возможными признаками для извлечения из URL, представленном в десятичном формате, разделенном точками). Следуя далее, IP-адрес (например, освобожденный от суффиксов и префиксов) может быть использован в качестве признака. Затем он может быть отображен (сопоставлен) на его сетевой блок. Если сетевой блок не является устанавливаемым, то могут быть сделаны многократные предположения, используя в каждом (из них) первые 1, 2, … и до первых 31 бите из IP-адреса в качестве отдельных признаков (см. фиг.3).
В дополнение к десятичному формату с разделением точками IP-адрес может быть выражен в формате dword (слово двойной длины) (например, два двоичных слова по 16 битов каждый в системе с основанием 10), в восьмеричном формате (например, основание 8) и шестнадцатиричном формате (например, основание 16). Практически, рассылающие спам отправители могут запутывать IP-адрес, URL, ссылку MAILTO, и/или ПДИМ, например, кодированием часть имени домена, используя нотацию %nn (в которой nn является парой шестнадцатеричных цифр).
Некоторые URL могут включать в себя перенаправители или символы переадресации/переназначения, которые могут использоваться, чтобы запутывать или обманывать пользователя. Перенаправитель является параметром или набором параметров переадресации, следующих после символа "?" в IP-адресе из URL, которые инструктируют браузер переадресовывать себя к другой web-странице. Например, URL может проявиться в виде "www.intendedpage.com?www.actualpage.com", в котором браузер в действительности указывает на "www.actualpage.com" и загружает эту страницу вместо ожидаемой страницы "www.intendedpage.com". Следовательно, параметры, содержащиеся внутри URL, также могут быть рассмотрены для извлечения в качестве признаков.
Различные методики в соответствии со связанным изобретением теперь будут описаны посредством последовательности действий. Должно быть понято и оценено, что настоящее изобретение не ограничено порядком действий, так что некоторые действия могут в соответствии с настоящим изобретением происходить в различной последовательности и/или одновременно с другими действиями из тех, которые показаны и описаны в настоящем документе. Например, специалисты в данной области техники поймут и оценят, что в качестве альтернативы методика могла бы быть представленной в виде последовательностей взаимосвязанных состояний или событий, таких как в диаграмме состояний. Более того, не все проиллюстрированные действия могут потребоваться, чтобы осуществить методику в соответствии с настоящим изобретением.
Что касается фиг.7, то на ней проиллюстрирована схема последовательности операций примерного способа 700, который содействует обучению фильтра в соответствии с аспектом настоящего изобретения. Обработка по способу 700 может иметь началом прием сообщения (например, по меньшей мере одного сообщения) на этапе 710. Сообщение(я) может быть принято сервером, например, на котором существующий фильтр (например, фильтр спама) может классифицировать, что сообщение является вероятно спамом или маловероятно спамом, на основании по меньшей мере частично набора критериев, которым предварительно обучен фильтр. Сообщение может быть проанализировано на этапе 720, чтобы извлечь один или несколько признаков из него. Извлечение признаков описано более подробно на этапе 725 (ниже на фиг.11). Примеры признаков включают в себя информацию (например, IP-адрес отправителя), размещенную в поле "received from", поле "reply-to", поле "cc", поле "mailto", команде SMTP MAIL FROM, поле HELO, адресе URL, вложенным в текст, или в виде изображения, и/или подлежащего оплате номера телефона (например, междугородного кода для соотнесения географической территории), а также текста в теле сообщения.
Извлеченные (и/или нормализованные) признаки, а также классификация сообщения (например, спам или не спам) на этапе 730 могут быть добавлены к обучающему набору данных. На этапе 740 вышеупомянутые этапы (например, 710, 720, и 730) могут быть повторены для существенно всех других входящих сообщений до тех пор, пока они не будут соответственно обработаны. На этапе 750 признаки, которые, проявляются в качестве полезных или наиболее полезных признаков, могут быть выбраны из обучающего набора(ов). Такие выбранные признаки могут быть использованы для обучения фильтра, такого как машинно-обучаемого фильтра, например, посредством алгоритма машинного обучения, на этапе 760.
После того как обучен, машинно-обучаемый фильтр может быть использован для того, чтобы содействовать обнаружению спама, как описано в соответствии с примерным способом 800 на фиг.8. Способ 800 имеет началом прием сообщения на этапе 810. На этапе 820 извлекают один или несколько признаков из сообщения, как описано ниже относительно фиг.11. На этапе 830 извлеченные признаки пропускают через фильтр, обученный системой машинного обучения, например. Следуя далее, от системы машинного обучения получают решение, такое как "спам", "не спам", или вероятность, что сообщение является спамом. Как только получено решение относительно содержимого сообщения, может быть предпринято соответствующее действие. Типы действий включают в себя, но не ограничены перечисляемым, удаление сообщения, перемещение сообщения в специальную папку, изолирование (предотвращение) сообщения и разрешение получателю осуществлять доступ к сообщению.
В качестве альтернативы, действия на основе перечня могут быть выполнены с признаками, извлеченными из сообщений. Что касается фиг.9, то на ней проиллюстрирована схема последовательности операций примерного способа 900 для создания и наполнения перечней на основании, по меньшей мере частично, извлеченных признаков и их вхождения в принятые сообщения, классифицированные либо как спам, либо не спам (или вероятно или маловероятно являющимися спамом). Процесс 900 начинается с приема сообщения на этапе 910. Следуя далее, на этапе 920 извлекают некоторый признак, представляющий интерес, как, например, IP-адрес отправителя сообщения. В некоторый момент времени после того, как сообщение принято, сообщение может быть классифицировано как спам или не спам, например, посредством существующего фильтра. На этапе 930 признак может быть подсчитан с приращением в соответствии с классификацией сообщения (например, спам или не спам). Это может повторяться на этапе 940 до тех пор, пока, по существу, все сообщения не будут обработаны (например, на этапах 910, 920 и 930). После этого на этапе 950 могут быть созданы перечни признаков. Например, один перечень может быть создан для IP-адресов отправителей, которые являются на 90% "хорошими" (например, не спам в течение 90% времени или не спам для 90% входящих сообщений). Подобным образом другой перечень может быть создан для IP-адресов отправителей, которые являются на 90% "плохими" (передающими спам). Другие перечни для других признаков могут быть созданы подобным образом.
Должно быть оценено, что эти перечни могут быть динамическими. То есть они могут быть обновлены по мере того, как обработаны дополнительные группы новых сообщений. Следовательно, возможно, что IP-адрес отправителя первоначально будет найден в перечне "хороших"; и затем в некоторый момент времени позднее будет найден в перечне "плохих", поскольку обычно некоторые рассылающие спам отправители первоначально посылают "хорошую" электронную почту (например, чтобы получить "доверие" фильтров, а также получателей) и затем начинает посылать в основном только спам.
Такие перечни могут быть использованы различными способами. Например, они могут быть использованы для того, чтобы формировать обучающие наборы для использования системой машинного обучения с целью обучить фильтры. Таковой изображен посредством примерной процедуры 1000, описанной затем на фиг.10. В соответствии с фиг.10 процедура 1000 может начинаться с приема сообщения на этапе 1010. Сообщение может быть классифицировано, например, как спам или не спам. На этапе 1020 признаки, включающие в себя, но не ограниченные им, IP-адрес отправителя, могут быть извлечены из сообщения. На этапе 1030 извлеченные признаки и классификацию сообщения добавляют к обучающему набору, который впоследствии используют, чтобы обучить систему машинного обучения.
Следуя далее, на этапе 1040 специальный признак, соответствующий конкретному перечню, в котором находится IP-адрес отправителя, включают в обучающий набор. Например, если IP-адрес отправителя был в перечне "хорошие на 90%", то признак, добавленный к обучающему набору, будет "перечень хороших на 90%". На этапе 1050 предшествующие этапы (например, 1010, 1020, 1030, и 1040) могут быть повторены, чтобы обработать, по существу, все входящие сообщения. Поскольку некоторые признаки могут быть более полезными для целей обучения фильтра, чем остальные, наиболее полезный признак или признаки выбирают на этапе 1060 на основании частично на пользовательском предпочтении и применяют, чтобы обучить фильтр(ы), такие как фильтр спама, используя алгоритм машинного обучения.
Более того, динамические перечни IP-адресов, например, могут быть созданы для сравнения с тестовыми (контрольными) сообщениями, новыми сообщениями и/или подозрительными сообщениями. Однако собственно IP-адреса не являются признаками в данном случае. Вместо этого признаком является качество IP-адреса. В качестве альтернативы или в дополнение, перечни могут быть использованы другими способами. На практике, например, перечень подозрительных IP-адресов может быть использован, чтобы пометить отправителя как "плохого", и соответственно, обрабатывать их сообщения с подозрением.
Если обратиться теперь к фиг.11, то на ней проиллюстрирована схема последовательности операций примерного способа 1100 извлечения признаков из сообщения в объединении со способами 700, 800, 900 и 1000, описанными выше согласно фиг.7-10 соответственно. Обработка по способу 1100 может начинаться с этапа 1110, на котором выделяют и нормализуют IP-адрес "received-from" или его части. Также на этапе 1110 IP-адрес может быть подвергнут поразрядной обработке (например, первый 1 бит, первые 2 бита, … до первых 31 бита - как раскрыто согласно фиг.3) для того, чтобы извлечь дополнительные признаки из IP-адреса "received-from". Более того, предполагаемое имя хоста отправителя также может быть извлечено на этапе 1110. Нормализованный принятый IP-адрес "received-from" и признаки имени хоста отправителя теперь могут быть использованы в качестве признаков для системы машинного обучения или связанной с ней обучающей системы.
Дополнительно, на этапе 1120 содержимое строки "From:" может быть извлечено и/или нормализовано и впоследствии использовано в качестве признаков. На этапе 1130 содержимое команды "MAIL FROM SMTP" может быть подобным образом извлечено и/или нормализовано для использования в качестве признаков.
Способ 1100 затем может переходить к поиску других возможных признаков, которые могут быть включены в сообщение. Например, он может дополнительно извлечь и нормализовать (если необходимо) содержимое в поле "reply-to" на этапе 1140. На этапе 1150 содержимое поля "cc" может быть дополнительно извлечено и/или нормализовано для использования в качестве по меньшей мере одного признака. На этапе 1160 подлежащие оплате номера телефонов могут дополнительно быть извлечены из тела сообщения и также назначены в качестве признаков. Нетелефонные номера могут быть полезны для идентификации рассылающих спам отправителей, поскольку междугородный код и/или первые три цифры телефонного номера могут быть использованы для соотнесения местоположения рассылающего спам отправителя. Если в сообщении присутствуют более одного подлежащего оплате номера телефона, то каждый номер может быть извлечен и использован в качестве отдельных признаков на этапе 1160.
Подобным образом один или несколько URL и/или ссылок MAILTO или их части могут быть дополнительно извлечены и/или нормализованы соответственно на этапах 1170 и 1180. В частности, URL может быть подвергнут расщеплению (анализу) маршрута (например, части URL, относящейся к имени файла), в котором один или несколько суффиксов, присоединенных к концу части ПДИМ из URL, могут быть удалены. Это может привести к одному или нескольким частичным URL, в зависимости от количества суффиксов в маршруте. Каждый частичный URL может быть использован в качестве отдельного признака в соответствии со связанным изобретением.
Обработка по способу 1100 может продолжать просмотр тела сообщения, чтобы отыскать другие адреса электронной почты, а также ключевые слова и/или фразы (например, предварительно выбранные или определенные), которые могут быть более вероятно найденными в сообщении спама, чем в законном сообщении и наоборот. Каждое слово или фраза могут быть извлечены и использованы в качестве признака либо для систем машинного обучения, либо в качестве элемента перечня, либо для обоих.
Как раскрыто выше, сообщения, посылаемые по Интернет, могут быть посланы с сервера на сервер с помощью лишь двух вовлеченных серверов. Количество серверов, которые обмениваются сообщениями, возрастает в результате присутствия брандмауэров и связанных сетевых архитектур. По мере того как сообщение передают от сервера на сервер, каждый сервер добавляет свой IP-адрес к началу поля "received-from". Каждый сервер также имеет возможность изменения любых, ранее добавленных к началу адресов "received-from". Рассылающие спам отправители, к сожалению, могут воспользоваться преимуществом такой возможности и могут вводить поддельные адреса в поля "received-from", чтобы маскировать свои местоположения и/или идентификационную информацию и вводить в заблуждение получателя относительно источника сообщения.
На фиг.12 проиллюстрирована схема последовательности операций примерного способа 1200 различения между законными и поддельными (например, рассылающими спам) IP-адресами сервера, добавленными к началу в строке "received-from" входящего сообщения. Добавленные к началу адреса "received-from" могут быть рассмотрены в том порядке, в котором они были добавлены (например, первым является наиболее недавно добавленный). Таким образом, на этапе 1210 пользователь может осуществлять обратное прослеживание по цепочке IP-адресов серверов-отправителей, чтобы определить последний доверительный IP-адрес сервера. На этапе 1220 последний доверительный IP-адрес сервера (тот, который непосредственно вне предприятия) может быть извлечен в качестве признака, подлежащего использованию системой машинного обучения. Любой другой IP-адрес после последнего доверительного может рассматриваться сомнительным или ненадежным и может быть игнорирован, но может быть сравнен с перечнями (главным образом) "хороших" IP-адресов и (главным образом) "плохих" IP-адресов.
На этапе 1230 предполагаемый ПДИМ отправителя также может быть извлечен, чтобы содействовать определению, является ли отправитель законным или рассылающим спам. Более конкретно, предполагаемый ПДИМ может быть разбит посредством расщепления (анализа) домена, чтобы выработать более одного частичного ПДИМ. Например, представим, что предполагаемым ПДИМ является a.b.c.x.com. Данный предполагаемый ПДИМ будет расщеплен следующим образом, чтобы выработать: b.c.x.com -> c.x.com -> x.com -> com. Таким образом, каждый частичный сегмент ПДИМ, а также полный ПДИМ могут быть использованы в качестве отдельного признака, чтобы помочь в определении поддельных и законных отправителей.
Настоящее изобретение может также использовать системы родительского контроля. Системы родительского контроля могут классифицировать сообщение как являющееся неподходящим для просмотра на основании по меньшей мере частично некоторого содержимого сообщения и предоставлять причину для «неподходящей» классификации. Например, URL может быть вложенным в сообщение как активизирующаяся щелчком ссылка (или текстовая, или на основе изображения), или как текст в теле сообщения. Система родительского контроля может сравнивать вложенный(е) URL с одним или несколькими ее хранимыми перечнями "хороших" и/или "плохих" URL, чтобы определить надлежащую классификацию сообщения, или использовать другие способы для классификации родительского контроля. Классификация может затем использоваться в качестве дополнительного признака либо в системе машинного обучения, либо в перечне признаков, либо вместе.
На фиг.13 продемонстрирована схема последовательности операций примерного способа 1300 для включения по меньшей мере одного аспекта системы родительского контроля в настоящее изобретение. После приема на этапе 1310 набора сообщений на этапе 1320 сообщение может быть просмотрено на наличие URL, ссылок "mailto" или другого текста, который напоминает ссылку "mailto", URL, или некоторую часть URL. Если на этапе 1330 сообщение не проявляет, что содержит любое из вышеупомянутого, то обработка, соответствующая способу 1300, возвращается на этап 1310. Однако если сообщение указывает таковое, то по меньшей мере часть обнаруженных символов может быть передана по меньшей мере одной системе родительского контроля на этапе 1340.
На этапе 1350 система родительского контроля может классифицировать ссылку "mailto", URL, или их часть, обращаясь к одной или нескольким базам данных за справкой об адресах URL, ссылках "mailto", URL-именах служб, URL-маршрутах и именах ПДИМ (например, таких, как части ПДИМ из URL, адреса электронной почты и т.д.). Например, сообщение может быть классифицировано как содержащее по меньшей мере одно из «порнография», «выходи-из-долгов», «азартная игра», и другого подобного материала. Такая классификация может быть извлечена в качестве дополнительного признака на этапе 1360. Поскольку предмет большинства сообщений спама включает в себя такой материал, включение системы родительского контроля может быть полезным при получении дополнительных признаков, с помощью которых систему машинного обучения можно использовать для обучения и создания усовершенствованных фильтров. Существуют также другие классификации, включающие, но не ограниченные ими, «ненависть к речи», «сексуальный материал», «оружие-насилие» и «связанный с наркотиками материал», в которых такие классификации также могут использоваться в качестве признаков. Сообщения спама могут или не могут включать в себя предмет содержания, связанный с данными типами материалов, но пользователь все еще может желать блокировать такие типы сообщений.
На практике различные классификации могут указывать различные степени бесполезности. Например, сообщения, классифицированные как «ненавистная речь», могут показать, по существу, отсутствие степени бесполезности (например, поскольку они наиболее вероятно не спам). Напротив, сообщения, классифицированные как сексуальное содержимое/материал, могут отражать относительно более высокую степень бесполезности (например, ~90% уверенности, что сообщение является спамом). Системы машинного обучения могут создавать фильтры, которые дают отчет (объясняют) о степени бесполезности. Таким образом, фильтр может быть настроен и индивидуализирован для удовлетворения пользовательских предпочтений.
Как уже обсуждено, несметное число признаков может быть извлечено из сообщения и использовано в качестве обучающих данных системой машинного обучения или в качестве элементов в перечне(ях), идентифицирующих хорошие и плохие признаки. Качества признаков, в дополнение к собственно признакам, могут быть полезны при выявлении и предотвращении спама. Например, представим, что одним признаком является адрес электронной почты отправителя. Адрес электронной почты может быть использован как один признак и частота, или количество появлений такого адреса электронной почты в новых входящих сообщениях может использоваться в качестве еще одного признака.
На фиг.14 изображена схема последовательности операций примерной обработки 1400 для извлечения данного типа признака (например, относящегося к общности или редкости извлеченного признака). Рассылающие спам обычно пытаются быстро изменить свое местоположение, и в результате более вероятно, чем большинство пользователей, должны посылать электронную почту от ранее невидимого адреса или посылать электронную почту с адресами URL, указывающими на ранее неизвестную машину, например. Следовательно, для каждого типа признака (например, IP-адрес "received-from", URL, адрес электронной почты, имя домена и т.д.), который извлечен, в предположении, что перечень признаков каждого типа является поддерживаемым, могут быть отслежены интенсивность, частота или количество появлений конкретного признака.
Обработка 1400 может начинаться с извлечения одного или нескольких признаков из входящего сообщения и/или нормализации признака(ов) на этапе 1410. Затем признак может быть сравнен с одним или несколькими перечнями признаков, которые были ранее извлечены или рассмотрены во множестве предшествующих сообщений на этапе 1420. Обработка 1400 затем может определить, является ли настоящий признак общим. Общность признака может быть определена посредством вычисленной частоты появления признака в недавних и/или предыдущих входящих сообщениях. Если сообщение не является общим или недостаточно общим (например, будет не в состоянии удовлетворять пороговому значению общности) на этапе 1430, то его редкость может использоваться в качестве дополнительного признака на этапе 1440. Иначе общность признака также может использоваться в качестве признака также на этапе 1450.
В соответствии с настоящим изобретением, как описано выше, нижеследующий псевдокод может быть использован для того, чтобы реализовать по меньшей мере один аспект изобретения. Имена переменных обозначены прописными буквами. Как дополнительное примечание, две функции, add-machine-features (добавить-машинные-признаки) и add-ip-features (добавить-IP-признаки), определены в конце псевдокода. Нотация, подобная "PREFIX-machine-MACHINE", используется, чтобы указать строку, составленную из того, что находится в переменной PREFIX (ПРЕФИКС), объединенным со словом machine, объединенным с тем, что находится в переменной MACHINE. В заключение функция add-to-feature-list (добавить-к-перечню-признаков) записывает признак в перечень признаков, ассоциированных с текущим сообщением.
Примерный псевдокод является нижеследующим:
# для данного сообщения извлечь все признаки
IPADDRESS:= последний внешний IP-адрес в перечне received-from;
add-ipfeatures(received, IPADDRESS);
SENDERS-ALLEGED-FQDN:= FQDN в последнем внешнем IP-адресе в перечне received-from;
add-machine-features(sendersfqdn, SENDERS-ALLEGED-FQDN);
для каждого адреса электронной почты типа TYPE из (from, CC, to, reply-to, embedded-mailto-link, embedded-address, и SMTP MAIL FROM)
{
для каждого адреса ADDRESS типа TYPE в сообщении
{
раскрыть ADDRESS, если необходимо;
add-to-feature-list TYPE-ADDRESS;
если ADDRESS в форме NAME@MACHINE, то
{
add-machine-features(TYPE, MACHINE);
}
иначе
{ # ADDRESS в форме NAME@IPADDRESS
add-ip-features(TYPE, IPADDRESS);
}
}
}
для каждого url типа TYPE из (clickable-1inks, text-based-links, embedded-image-links)
{
для каждого URL в сообщении типа TYPE
{
раскрыть URL;
add-to-feature-list TYPE-URL;
установить PARENTALCLASS:= класс URL системы родительского контроля;
add-to-feature-list TYPE-class-PARENTCLASS;
пока URL имеет суффикс местоположения
{
удалить суффикс местоположения из URL, т.е. x.y/a/b/c -> x.y/a/b; x.y/a/b -> x.y/a; x.y/a;
}
# Все суффиксы удалены; теперь URL является либо именем машины, либо IP-адресом,
если URL является именем машины
{
add-machine-features (T-YPE, URL);
}
иначе
{
add-ip-features(TYPE, URL);
}
}
}
function add-machine-features(PREFIX, MACHINE)
{
add-ip-features(PREFIX-ip, nslookup(MACHINE));
пока MACHINE не равно ""
{
add-to-feature-list PREFIX-machine-MACHINE;
удалить, начиная с MACHINE # (т.е. a.x.com -> x.com, или x.com -> com);
}
}
function add-ip-features(PREFIX, IPADDRESS)
{
add-to-feature-list PREFIX-ipaddress-IPADDPESS;
найти сетевой блок СЕТЕВОЙ БЛОК из IPADDRESS;
add-to-feature-list PREFIX-сетевой блок-СЕТЕВОЙ БЛОК;
для N = 1 до 31
{
MASKED = первые N битов из IPADDRESS;
add-to-feature-list PREFIX-masked-N-MASKED;
}
}
Для представления дополнительного контекста различных аспектов настоящего изобретения предназначены фиг.15 и нижеследующее описание, чтобы обеспечить краткое общее описание соответствующей среды 1510, в которой могут быть осуществлены различные аспекты настоящего изобретения. Тогда как изобретение описано в общем контексте машиноисполнимых инструкций, таких как программные модули, исполняемые одним или несколькими компьютерами, или другими устройствами, специалисты в данной области техники признают, что изобретение может быть также осуществлено в комбинации с другими программными модулями и/или как комбинация аппаратных средств и программного обеспечения.
В целом, однако, программные модули включают в себя подпрограммы, программы, объекты, компоненты, структуры данных и т.д., которые выполняют конкретные задачи или осуществляют конкретные типы данных. Операционная среда 1510 является лишь одним примером подходящей операционной среды и не предусматривает наложения какого-либо ограничения как на объем использования, так и на функциональные возможности изобретения. Другие хорошо известные вычислительные системы, среды и/или конфигурации, которые могут быть пригодными для использования вместе с изобретением, включают в себя, но не ограничены перечисляемым, персональные компьютеры, переносные или портативные устройства, многопроцессорные системы, микропроцессорные системы, программируемую бытовую электронику, сетевые ПК, мини-компьютеры, мейнфреймы (большие ЭВМ), распределенные вычислительные среды, которые включают в себя вышеупомянутые системы или устройства, и подобное.
Со ссылкой на фиг.15, примерная среда 1510 для осуществления различных аспектов настоящего изобретения включает в себя компьютер 1512. Компьютер 1512 включает в себя блок 1514 обработки или процессор, системное запоминающее устройство 1516 и системную шину 1518. Системная шина 1518 связывает системные компоненты, включая, но не ограничиваясь ими, системное запоминающее устройство 1516 с процессором 1514. Процессор 1514 может быть любым из различных доступных процессоров. Сдвоенные микропроцессоры и другая архитектура мультипроцессора также могут быть использованы в качестве процессора 1514.
Системная шина 1518 может быть произвольного типа из нескольких типов шинной архитектур(ы), включая шину памяти или контроллер памяти, периферийную шину или внешнюю шину и/или локальную шину, использующую произвольную шинную архитектуру (организацию) из множества возможных шинных архитектур, включая, но не ограничиваясь, 11-битовую шину, промышленную стандартную архитектуру (ISA), микроканальную архитектуру (MСA), расширенную ISA (EISA), интеллектуальную электронику устройства (IDE), локальную шину VESA (VLB), межсоединение периферийных компонентов или системную шину PCI (PCI), универсальную последовательную шину (USB), ускоренный графический порт (AGP), шину стандарта PCMCIA (Международная ассоциация производителей плат памяти для персонального компьютера, PCMCIA) и интерфейс малых компьютерных систем (SCSI).
Системное запоминающее устройство 1516 включает в себя энергозависимое запоминающее устройство 1520 и энергонезависимое запоминающее устройство 1522. Базовая система ввода-вывода (BIOS), содержащая основные программы для передачи информации между элементами компьютера 1512, например, в течение запуска, хранится в энергонезависимом запоминающем устройстве 1522. В качестве иллюстрации, а не ограничения, энергонезависимое запоминающее устройство 1522 может включать в себя постоянное запоминающее устройство (ПЗУ, ROM), программируемое ПЗУ (ППЗУ, PROM), электрически программируемое ПЗУ (ЭППЗУ, EPROM), электрически стираемое программируемое ПЗУ (ЭСППЗУ, EEPROM) или флэш-память. Энергозависимое запоминающее устройство 1520 включает в себя оперативное запоминающее устройство (ОЗУ, RAM), которое действует в качестве внешнего кэша. В качестве иллюстрации, а не ограничения, ОЗУ возможна во многих формах, таких как синхронное ОЗУ (СОЗУ, SRAM), динамическое ОЗУ (ДОЗУ, DRAM), синхронное ДОЗУ (СДОЗУ, SDRAM), SDRAM с двойной скоростью данных (ДСК СДОЗУ, DDR SDRAM), расширенное SDRAM (РСДОЗУ, ESDRAM), ДОЗУ с синхронной передачей данных (ДОЗУСПД, SLDRAM) и ОЗУ для шины прямого резидентного доступа (ОЗУПРД, DRRAM).
Компьютер 1512 включает также сменные/несменные, энергозависимые/энергонезависимые носители запоминающих устройств. На фиг.15 проиллюстрировано, например, дисковое запоминающее устройство 1524. Дисковое запоминающее устройство 1524 включает в себя, но не ограничивается, устройства, подобные дисководу магнитного диска, дисководу гибкого диска, накопителю на магнитной ленте, устройства Jaz, дисководу для специальных zip-дисков или zip-дисководу, местное ЗУ LS-100, карту флэш-памяти, или закрепляемую память. В дополнение, дисковое запоминающее устройство 1524 может включать в себя носители информации отдельно или в комбинации с другими носителями информации, включая, но не ограничиваясь, накопитель на оптических дисках, такой как ПЗУ на компакт-дисках (CD-ROM), накопитель на компакт-дисках с однократной записью (CD-R Drive Диск CD-R), накопитель на перезаписываемых компакт-дисках (Диск CD-RW) или накопитель на цифровых универсальных дисках ПЗУ (DVD-ROM). Чтобы содействовать соединению дисковых запоминающих устройств 1524 с системной шиной 1518, обычно используют интерфейс сменных или несменных устройств, как, например, интерфейс 1526. Должно быть оценено, что на фиг.15 описано программное обеспечение, которое действует как посредник между пользователями и основными ресурсами компьютера, описанными в соответствующей операционной среде 1510. Такое программное обеспечение включает в себя операционную систему 1528. Операционная система 1528, которая может быть сохранена на дисковом запоминающем устройстве 1524, действует для того, чтобы управлять и распределить ресурсы вычислительной системы 1512. Системные приложения 1530 используют преимущество управления ресурсами посредством операционной системы 1528 через программные модули 1532 и программные данные 1534, сохраняемые либо на системном запоминающем устройстве 1516, либо на дисковом запоминающем устройстве 1524. Должно быть оценено, что настоящее изобретение может быть осуществлено с помощью различных операционных систем или комбинаций операционных систем.
Пользователь вводит команды или информацию в компьютер 1512 посредством устройств(а) 1536 ввода данных. Устройства 1536 ввода данных включают в себя, но не ограничены перечисляемым, указывающее устройство, такое как мышь, шаровой указатель (трекбол), перо для ввода данных, сенсорную панель, клавиатуру, микрофон, джойстика, игровую панель, спутниковую антенны, сканер, плату селектора телевизионных каналов, цифровую камеру, цифровой видеокамеру, web-камеруи подобное. Эти и другие устройства ввода данных соединены с процессором 1514 системной шиной 1518 посредством интерфейсного порта(ов) 1538. Интерфейсный порт(ы) 1538 включает в себя, например, последовательный порт, параллельный порт, игровой порт, и универсальную последовательную шину (USB). Устройство(а) 1540 вывода данных использует некоторые из тех же типов портов, что и устройство(а) 1536 ввода данных. Таким образом, например, порт USB может использоваться для обеспечения ввода данных в компьютер 1512 и вывода информации из компьютера 1512 на устройство 1540 вывода данных. Адаптер 1542 вывода предусмотрен для иллюстрирования, что среди других устройств 1540 вывода присутствуют некоторые устройства 1540 вывода данных, подобные мониторам, динамикам и принтерам, которые требуют специальных адаптеров. Адаптеры 1542 вывода включают в себя, в качестве иллюстрации, а не ограничения, видеоплаты и звуковые платы, которые обеспечивают средство соединения между устройством 1540 вывода данных и системной шиной 1518. Следует отметить, что другие устройства и/или системы устройств предоставляют как возможности ввода данных, так и вывода данных, как, например, удаленный компьютер(ы) 1544.
Компьютер 1512 может функционировать в сетевой среде, используя логические соединения с одним или несколькими удаленными компьютерами, таким как удаленный компьютер(ы) 1544. Удаленный компьютер(ы) 1544 может быть персональным компьютером, сервером, маршрутизатором, сетевым ПК, рабочей станцией, микропроцессорным устройством, одноранговым узлом или другим узлом сети общего пользования и т.п. и обычно включает в себя многие или все элементы из описанных выше элементов, относящихся к компьютеру 1512. Для целей краткости, вместе с удаленным компьютером(ами) 1544 проиллюстрировано только запоминающее устройство 1546. Удаленный компьютер(ы) 1544 логически соединен с компьютером 1512 через сетевой интерфейс 1548 и затем физически соединен через соединение 1550 связи. Сетевой интерфейс 1548 охватывает сети связи, такие как локальные сети (ЛС, LAN) и глобальные сети (ГС, WAN). Технические решения LAN включают в себя распределенный интерфейс передачи данных по волоконно-оптическим каналам (FDDI), распределенный проводной интерфейс передачи данных (CDDI), Ethernet/IEEE 1102.3, Token Ring/IEEE 1102.5 и подобное. Технические решения WAN включают в себя, но не ограничены, соединения «точка-точка», сети с коммутацией каналов, подобные цифровым сетям с интегрированными услугами (ISDN) и их разновидностей, сети с коммутацией пакетов, и цифровые абонентские линии (DSL).
Соединение(я) 1550 связи относятся к аппаратному/программному обеспечению, используемому для соединения сетевого интерфейса 1548 с шиной 1518. Тогда как соединение 1550 связи показано для иллюстративной ясности внутри компьютера 1512, оно также может быть внешним для компьютера 1512. Аппаратное/программное обеспечение, необходимое для соединения сетевым интерфейсом 1548, включает, лишь для иллюстративных целей, внутренние и внешние технические средства, такие как модемы, включая телефонные модемы обычного класса, модемы кабельных линий и модемы цифровых абонентских линий (DSL), адаптеры ISDN и карты локальной сети Ethernet.
То, что было описано выше, включает в себя примеры настоящего изобретения. Конечно, не является возможным описать каждую возможную комбинацию компонентов или методик с целями описания настоящего изобретения, но любому специалисту в данной области техники очевидно, что возможны многие дополнительные комбинации и изменения в форме настоящего изобретения. Соответственно, настоящее изобретение подразумевает охват всех таких изменений, модификаций и разновидностей, которые подпадают под рамки существа и объема прилагаемой формулы изобретения. Кроме того, по мере того, как термин "включает" используется как в подробном описании, так и в формуле изобретения, такой термин предназначен, чтобы быть включающим в смысле, подобном термину "содержащий", поскольку "содержащий" при применении интерпретируют в качестве переходного слова в пункте формулы.
Claims (51)
1. Компьютерно-реализованная система для извлечения данных в связи с обработкой спама, содержащая:
компонент для приема сообщения и извлечения признаков, ассоциированных с источником сообщения, или их части, и/или информации, которая дает возможность намеченному получателю осуществлять контакт с отправителем, давать ответ на сообщение или осуществлять прием в связи с сообщением; и
компонент для формирования набора извлеченных признаков и его использования для содействия обучению фильтра и обнаружения спама.
компонент для приема сообщения и извлечения признаков, ассоциированных с источником сообщения, или их части, и/или информации, которая дает возможность намеченному получателю осуществлять контакт с отправителем, давать ответ на сообщение или осуществлять прием в связи с сообщением; и
компонент для формирования набора извлеченных признаков и его использования для содействия обучению фильтра и обнаружения спама.
2. Система по п.1, отличающаяся тем, что дополнительно содержит компонент нормализации, который раскрывает набор признаков.
3. Система по п.1, отличающаяся тем, что фильтром является фильтр спама.
4. Система по п.1, отличающаяся тем, что фильтром является фильтр родительского контроля.
5. Система по п.1, отличающаяся тем, что дополнительно содержит компонент системы машинного обучения, который использует раскрытые признаки для того, чтобы изучить по меньшей мере одно из: спама и не спама.
6. Система по п.1, отличающаяся тем, что набор признаков содержит по меньшей мере один IP-адрес, причем упомянутый по меньшей мере один IP-адрес является по меньшей мере частью любого одного из: адреса "ответить:", адреса для копии, адреса "послать электронную почту:", адреса "принято от:", и URL, размещенного в сообщении.
7. Система по п.6, отличающаяся тем, что IP-адрес содержит идентификатор блока, причем идентификатор блока может быть извлечен в качестве по меньшей мере одного признака.
8. Система по п.7, отличающаяся тем, что идентификатор блока определяют, по меньшей мере частично, обращаясь к каталогу блоков.
9. Система по п.8, отличающаяся тем, что каталогом блоков является arin.net.
10. Система по п.7, отличающаяся тем, что идентификатор блока определяют, по меньшей мере частично, посредством угадывания, таким образом извлекая в качестве признаков любой один из по меньшей мере первого 1 бита, по меньшей мере первых 2 битов, по меньшей мере первых 3 битов, и вплоть до по меньшей мере первых 31 битов упомянутого IP-адреса.
11. Система по п.1, отличающаяся тем, что набор признаков содержит каждый из первого 1 вплоть до первых 31 битов IP-адреса.
12. Система по п.1, отличающаяся тем, что набор признаков содержит URL.
13. Система по п.12, отличающаяся тем, что адрес URL размещен по меньшей мере в одном из: тело сообщения, внедрен как текст в сообщение, и внедрен в изображение в сообщении.
14. Система по п.1, отличающаяся тем, что дополнительно содержит компонент, который использует по меньшей мере поднабор извлеченных признаков, чтобы заполнить по меньшей мере один перечень признаков.
15. Система по п.14, отличающаяся тем, что по меньшей мере один перечень признаков является любым одним из: перечня "хороших" пользователей, перечня рассылающих спам отправителей, перечня положительных признаков, указывающих законного отправителя, и перечня признаков, указывающих спам.
16. Система по п.1, отличающаяся тем, что набор признаков содержит по меньшей мере один URL.
17. Система по п.16, отличающаяся тем, что URL является внедренным в качестве текста в тело сообщения.
18. Система по п.16, отличающаяся тем, что URL является по меньшей мере частью ссылки в теле сообщения.
19. Система по п.16, отличающаяся тем, что URL является по меньшей мере частью ссылки, внедренной в качестве изображения в сообщение.
20. Система по п.1, отличающаяся тем, что набор признаков содержит по меньшей мере одно из: имени хоста и имени домена, извлеченных из адреса электронной почты.
21. Система по п.1, отличающаяся тем, что набор признаков содержит по меньшей мере часть полного доменного имени машины (ПДИМ), извлеченного из любого одного из: адреса электронной почты и URL.
22. Система по п.1, отличающаяся тем, что набор признаков содержит по меньшей мере часть имени домена, извлеченного из любого одного из: адреса электронной почты и URL.
23. Система по п.1, отличающаяся тем, что по меньшей мере часть набора извлеченных признаков нормализуют прежде, чем использовать в связи с системой машинного обучения.
24. Система по п.1, отличающаяся тем, что по меньшей мере часть набора извлеченных признаков нормализуют прежде, чем использовать для заполнения по меньшей мере одного перечня признаков.
25. Система по п.1, отличающаяся тем, что дополнительно содержит компонент классификации, который классифицирует по меньшей мере часть из по меньшей мере одного из: URL, адреса электронной почты, и IP-адреса в качестве какого-либо одного из: "для взрослых", "содержимое для взрослых", "неподходящий", "не подходящий для некоторых возрастов", "подходящий для всех возрастов", "несоответствующий" и "соответствующий".
26. Система по п.25, отличающаяся тем, что компонентом классификации является система родительского контроля.
27. Система по п.25, отличающаяся тем, что компонент классификации назначает по меньшей мере один тип признака классифицируемой части по меньшей мере одного из: URL, адреса web-сайта и IP-адреса.
28. Система по п.1, отличающаяся тем, что набор признаков содержит по меньшей мере один подлежащий оплате номер телефона, причем номер телефона содержит междугородный код, чтобы содействовать согласованию географического местоположения отправителя или контакта, ассоциированного с сообщением.
29. Выполняемый компьютером способ, который извлекает данные в связи с обработкой спама, заключающийся в том, что:
принимают сообщение;
извлекают признаки, ассоциированные с источником сообщения, или их часть и/или информацию, которая дает возможность намеченному получателю осуществлять контакт с отправителем, давать ответ на сообщение или осуществлять прием в связи с сообщением; и
формируют набор извлеченных признаков и используют его для содействия обучению фильтра и обнаружению спама.
принимают сообщение;
извлекают признаки, ассоциированные с источником сообщения, или их часть и/или информацию, которая дает возможность намеченному получателю осуществлять контакт с отправителем, давать ответ на сообщение или осуществлять прием в связи с сообщением; и
формируют набор извлеченных признаков и используют его для содействия обучению фильтра и обнаружению спама.
30. Способ по п.29, отличающийся тем, что набор признаков содержит по меньшей мере часть IP-адреса.
31. Способ по п.30, отличающийся тем, что извлечение по меньшей мере части IP-адреса содержит выполнение по меньшей мере одного из нижеследующих действий:
обращаются к каталогу идентификаторов блоков, чтобы определить по меньшей мере один идентификатор блока, соответствующий IP-адресу, так что идентификатор блока извлекают в качестве дополнительного признака; и
извлекают из IP-адреса каждый из по меньшей мере первого 1 бита вплоть до первых 31 битов.
обращаются к каталогу идентификаторов блоков, чтобы определить по меньшей мере один идентификатор блока, соответствующий IP-адресу, так что идентификатор блока извлекают в качестве дополнительного признака; и
извлекают из IP-адреса каждый из по меньшей мере первого 1 бита вплоть до первых 31 битов.
32. Способ по п.30, отличающийся тем, что по меньшей мере один извлеченный IP-адрес соответствует по меньшей мере одному серверу.
33. Способ по п.32, дополнительно заключающийся в том, что выделяют по меньшей мере один сервер в качестве дополнительного признака.
34. Способ по п.29, дополнительно заключающийся в том, что раскрывают по меньшей мере набор признаков, извлеченных из сообщения.
35. Способ по п.29, дополнительно заключающийся в том, что раскрывают по меньшей мере часть для по меньшей мере одного признака, извлеченного из сообщения.
36. Способ по п.35, отличающийся тем, что раскрытие IP-адреса "получено от:", извлеченного из сообщения, содержит этап обратного прослеживания через множество адресов, добавленных к IP-адресу, для того, чтобы проверить идентификационные данные добавленных IP-адресов.
37. Способ по п.35, дополнительно заключающийся в том, что извлечение дополнительных признаков из адреса web-сайта содержит выполнение по меньшей мере одного из нижеследующих действий:
удаляют по меньшей мере один суффикс за один раз, таким образом вырабатывая соответствующие дополнительные признаки; и
удаляют по меньшей мере один префикс за один раз, таким образом вырабатывая соответствующие дополнительные признаки.
удаляют по меньшей мере один суффикс за один раз, таким образом вырабатывая соответствующие дополнительные признаки; и
удаляют по меньшей мере один префикс за один раз, таким образом вырабатывая соответствующие дополнительные признаки.
38. Способ по п.35, отличающийся тем, что набор признаков содержит по меньшей мере часть любого одного из: адреса "ответить:", адреса копии письма электронной почты, адреса электронной почты, URL, ссылки, и адреса "получено от:".
39. Способ по п.29, отличающийся тем, что по меньшей мере поднабор извлеченных признаков внедрен в тело сообщения в качестве одного из текста или изображений.
40. Способ по п.29, отличающийся тем, что набор признаков содержит имя хоста и имя домена.
41. Способ по п.29, дополнительно заключающийся в том, что классифицируют один или несколько извлеченных признаков и/или их части, чтобы указать любое одно из: "подходящее" или "неподходящее" содержимое, ассоциированное с сообщением, и используют такую классификацию в качестве дополнительного признака.
42. Способ по п.29, дополнительно заключающийся в том, что назначают тип признака соответствующим извлеченным признакам, чтобы уведомить пользователя о содержимом сообщения на основании, по меньшей мере частично, соответствующих извлеченных признаков и использования типа признака в качестве дополнительного признака.
43. Способ по п.42, дополнительно заключающийся в том, что определяют, что по меньшей мере одно из: тип признака и признака, являющегося любым одним из: "редкий" и "общий", и используют редкость и общность признака в качестве дополнительного признака.
44. Способ по п.29, отличающийся тем, что набор признаков используют для содействия обучению фильтра посредством системы машинного обучения.
45. Способ по п.29, отличающийся тем, что фильтр является фильтром спама.
46. Способ по п.29, отличающийся тем, что фильтр является фильтром родительского контроля.
47. Способ по п.29, дополнительно заключающийся в том, что используют по меньшей мере набор признаков, извлеченных из сообщения, чтобы заполнить один или несколько перечней признаков.
48. Способ по п.47, отличающийся тем, что перечни признаков содержат по меньшей мере одно из: перечней "положительных" признаков, указывающих не рассылающих спам отправителей, и перечней "плохих" признаков, указывающих рассылающих спам отправителей.
49. Способ по п.29, отличающийся тем, что извлеченные признаки раскрывают по меньшей мере частично прежде, чем использовать в качестве признаков для системы машинного обучения.
50. Способ по п.29, отличающийся тем, что извлеченные признаки раскрывают по меньшей мере частично прежде, чем используют в качестве признаков для заполнения перечней признаков.
51. Система, реализуемая компьютером, которая извлекает данные в связи с обработкой спама, и которая содержит:
средство для приема сообщения;
средство для извлечения признаков, ассоциированных с источником сообщения, или их части и/или информации, которая дает возможность намеченному получателю контактировать с отправителем, давать ответ на сообщение или осуществлять прием в связи с сообщением; и
средство для формирования набора извлеченных признаков и его использования для содействия обучению фильтра и обнаружению спама.
средство для приема сообщения;
средство для извлечения признаков, ассоциированных с источником сообщения, или их части и/или информации, которая дает возможность намеченному получателю контактировать с отправителем, давать ответ на сообщение или осуществлять прием в связи с сообщением; и
средство для формирования набора извлеченных признаков и его использования для содействия обучению фильтра и обнаружению спама.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/454,168 US7272853B2 (en) | 2003-06-04 | 2003-06-04 | Origination/destination features and lists for spam prevention |
US10/454,168 | 2003-06-04 |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2004116904A RU2004116904A (ru) | 2005-11-10 |
RU2378692C2 true RU2378692C2 (ru) | 2010-01-10 |
Family
ID=33159539
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2004116904/09A RU2378692C2 (ru) | 2003-06-04 | 2004-06-03 | Перечни и признаки источников/адресатов для предотвращения нежелательных почтовых сообщений |
Country Status (14)
Country | Link |
---|---|
US (4) | US7272853B2 (ru) |
EP (1) | EP1484893B1 (ru) |
JP (1) | JP4672285B2 (ru) |
KR (1) | KR101137065B1 (ru) |
CN (1) | CN1573784B (ru) |
AU (1) | AU2004202268B2 (ru) |
BR (1) | BRPI0401849B1 (ru) |
CA (1) | CA2467869C (ru) |
MX (1) | MXPA04005335A (ru) |
MY (1) | MY142668A (ru) |
PL (1) | PL368364A1 (ru) |
RU (1) | RU2378692C2 (ru) |
TW (1) | TWI353146B (ru) |
ZA (1) | ZA200404018B (ru) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2453916C1 (ru) * | 2011-05-05 | 2012-06-20 | Игорь Викторович Лебедев | Способ поиска информационных ресурсов с использованием переадресаций |
RU2569806C2 (ru) * | 2010-05-21 | 2015-11-27 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Доверенная связь по электронной почте в многопользовательской среде |
RU2580424C1 (ru) * | 2014-11-28 | 2016-04-10 | Общество С Ограниченной Ответственностью "Яндекс" | Способ выявления незначащих лексических единиц в текстовом сообщении и компьютер |
RU2582063C2 (ru) * | 2010-03-08 | 2016-04-20 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Классификация зон сообщений электронной почты |
RU2595533C2 (ru) * | 2013-10-02 | 2016-08-27 | Общество С Ограниченной Ответственностью "Яндекс" | Система отображения почтовых вложений на странице веб-почты |
RU2672616C1 (ru) * | 2017-11-22 | 2018-11-16 | Акционерное общество "МаксимаТелеком" | Комплекс и способ для предотвращения блокировки рекламного контента |
US11316893B2 (en) | 2019-12-25 | 2022-04-26 | Yandex Europe Ag | Method and system for identifying malicious activity of pre-determined type in local area network |
RU2775561C1 (ru) * | 2019-08-23 | 2022-07-04 | Общество С Ограниченной Ответственностью «Яндекс» | Способ и система идентификации электронных устройств настоящих клиентов организаций |
US11710137B2 (en) | 2019-08-23 | 2023-07-25 | Yandex Europe Ag | Method and system for identifying electronic devices of genuine customers of organizations |
Families Citing this family (418)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6643686B1 (en) * | 1998-12-18 | 2003-11-04 | At&T Corp. | System and method for counteracting message filtering |
US9699129B1 (en) * | 2000-06-21 | 2017-07-04 | International Business Machines Corporation | System and method for increasing email productivity |
US6408277B1 (en) | 2000-06-21 | 2002-06-18 | Banter Limited | System and method for automatic task prioritization |
US20110214157A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
US20110213869A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
US20110238855A1 (en) * | 2000-09-25 | 2011-09-29 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
US8010469B2 (en) * | 2000-09-25 | 2011-08-30 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
US20110219035A1 (en) * | 2000-09-25 | 2011-09-08 | Yevgeny Korsunsky | Database security via data flow processing |
US20110231564A1 (en) * | 2000-09-25 | 2011-09-22 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
US9525696B2 (en) | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
US20100042565A1 (en) * | 2000-09-25 | 2010-02-18 | Crossbeam Systems, Inc. | Mezzazine in-depth data analysis facility |
US9800608B2 (en) * | 2000-09-25 | 2017-10-24 | Symantec Corporation | Processing data flows with a data flow processor |
US7644057B2 (en) * | 2001-01-03 | 2010-01-05 | International Business Machines Corporation | System and method for electronic communication management |
US7155608B1 (en) * | 2001-12-05 | 2006-12-26 | Bellsouth Intellectual Property Corp. | Foreign network SPAM blocker |
US8578480B2 (en) | 2002-03-08 | 2013-11-05 | Mcafee, Inc. | Systems and methods for identifying potentially malicious messages |
US8561167B2 (en) | 2002-03-08 | 2013-10-15 | Mcafee, Inc. | Web reputation scoring |
US20060015942A1 (en) * | 2002-03-08 | 2006-01-19 | Ciphertrust, Inc. | Systems and methods for classification of messaging entities |
US7716199B2 (en) | 2005-08-10 | 2010-05-11 | Google Inc. | Aggregating context data for programmable search engines |
US7693830B2 (en) | 2005-08-10 | 2010-04-06 | Google Inc. | Programmable search engine |
US7743045B2 (en) * | 2005-08-10 | 2010-06-22 | Google Inc. | Detecting spam related and biased contexts for programmable search engines |
US7428590B2 (en) * | 2002-06-10 | 2008-09-23 | Akonix Systems, Inc. | Systems and methods for reflecting messages associated with a target protocol within a network |
US20080196099A1 (en) * | 2002-06-10 | 2008-08-14 | Akonix Systems, Inc. | Systems and methods for detecting and blocking malicious content in instant messages |
WO2004059506A1 (en) * | 2002-12-26 | 2004-07-15 | Commtouch Software Ltd. | Detection and prevention of spam |
US7533148B2 (en) * | 2003-01-09 | 2009-05-12 | Microsoft Corporation | Framework to enable integration of anti-spam technologies |
US7219131B2 (en) * | 2003-01-16 | 2007-05-15 | Ironport Systems, Inc. | Electronic message delivery using an alternate source approach |
WO2004107131A2 (en) | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Policy based network address translation |
US7376652B2 (en) * | 2003-06-17 | 2008-05-20 | The Hayes-Roth Family Trust | Personal portal and secure information exchange |
US8145710B2 (en) * | 2003-06-18 | 2012-03-27 | Symantec Corporation | System and method for filtering spam messages utilizing URL filtering module |
US7155484B2 (en) * | 2003-06-30 | 2006-12-26 | Bellsouth Intellectual Property Corporation | Filtering email messages corresponding to undesirable geographical regions |
US9412123B2 (en) | 2003-07-01 | 2016-08-09 | The 41St Parameter, Inc. | Keystroke analysis |
US7526730B1 (en) | 2003-07-01 | 2009-04-28 | Aol Llc | Identifying URL target hostnames |
US8214437B1 (en) | 2003-07-21 | 2012-07-03 | Aol Inc. | Online adaptive filtering of messages |
US7814545B2 (en) * | 2003-07-22 | 2010-10-12 | Sonicwall, Inc. | Message classification using classifiers |
US7421498B2 (en) * | 2003-08-25 | 2008-09-02 | Microsoft Corporation | Method and system for URL based filtering of electronic communications and web pages |
US7835294B2 (en) * | 2003-09-03 | 2010-11-16 | Gary Stephen Shuster | Message filtering method |
US8271588B1 (en) * | 2003-09-24 | 2012-09-18 | Symantec Corporation | System and method for filtering fraudulent email messages |
US20070275739A1 (en) * | 2003-10-08 | 2007-11-29 | Three B Technologies Pyt Ltd | Method and System for Authorising Short Message Service Messages |
US7610341B2 (en) * | 2003-10-14 | 2009-10-27 | At&T Intellectual Property I, L.P. | Filtered email differentiation |
US20050080642A1 (en) * | 2003-10-14 | 2005-04-14 | Daniell W. Todd | Consolidated email filtering user interface |
US7930351B2 (en) * | 2003-10-14 | 2011-04-19 | At&T Intellectual Property I, L.P. | Identifying undesired email messages having attachments |
US7451184B2 (en) * | 2003-10-14 | 2008-11-11 | At&T Intellectual Property I, L.P. | Child protection from harmful email |
US7664812B2 (en) * | 2003-10-14 | 2010-02-16 | At&T Intellectual Property I, L.P. | Phonetic filtering of undesired email messages |
US7673066B2 (en) * | 2003-11-07 | 2010-03-02 | Sony Corporation | File transfer protocol for mobile computer |
US7978716B2 (en) | 2003-11-24 | 2011-07-12 | Citrix Systems, Inc. | Systems and methods for providing a VPN solution |
US7444403B1 (en) | 2003-11-25 | 2008-10-28 | Microsoft Corporation | Detecting sexually predatory content in an electronic communication |
US20050160258A1 (en) * | 2003-12-11 | 2005-07-21 | Bioobservation Systems Limited | Detecting objectionable content in displayed images |
US8990928B1 (en) * | 2003-12-11 | 2015-03-24 | Radix Holdings, Llc | URL salience |
US7590694B2 (en) * | 2004-01-16 | 2009-09-15 | Gozoom.Com, Inc. | System for determining degrees of similarity in email message information |
JP2005208780A (ja) * | 2004-01-21 | 2005-08-04 | Nec Corp | メールフィルタリングシステム及びそれに用いるurlブラックリスト動的構築方法 |
US7184929B2 (en) * | 2004-01-28 | 2007-02-27 | Microsoft Corporation | Exponential priors for maximum entropy models |
US8856239B1 (en) | 2004-02-10 | 2014-10-07 | Sonicwall, Inc. | Message classification based on likelihood of spoofing |
CA2554915C (en) * | 2004-02-17 | 2013-05-28 | Ironport Systems, Inc. | Collecting, aggregating, and managing information relating to electronic messages |
US7617531B1 (en) * | 2004-02-18 | 2009-11-10 | Citrix Systems, Inc. | Inferencing data types of message components |
US8214438B2 (en) * | 2004-03-01 | 2012-07-03 | Microsoft Corporation | (More) advanced spam detection features |
US10999298B2 (en) | 2004-03-02 | 2021-05-04 | The 41St Parameter, Inc. | Method and system for identifying users and detecting fraud by use of the internet |
US7644127B2 (en) * | 2004-03-09 | 2010-01-05 | Gozoom.Com, Inc. | Email analysis using fuzzy matching of text |
US7631044B2 (en) | 2004-03-09 | 2009-12-08 | Gozoom.Com, Inc. | Suppression of undesirable network messages |
US8918466B2 (en) * | 2004-03-09 | 2014-12-23 | Tonny Yu | System for email processing and analysis |
US20050289239A1 (en) * | 2004-03-16 | 2005-12-29 | Prakash Vipul V | Method and an apparatus to classify electronic communication |
US20060031394A1 (en) * | 2004-04-20 | 2006-02-09 | Tazuma Stanley K | Apparatus and methods for transparent handling of browser proxy configurations in a network gateway device |
US8041769B2 (en) | 2004-05-02 | 2011-10-18 | Markmonitor Inc. | Generating phish messages |
US7913302B2 (en) * | 2004-05-02 | 2011-03-22 | Markmonitor, Inc. | Advanced responses to online fraud |
US8769671B2 (en) | 2004-05-02 | 2014-07-01 | Markmonitor Inc. | Online fraud solution |
US7457823B2 (en) | 2004-05-02 | 2008-11-25 | Markmonitor Inc. | Methods and systems for analyzing data related to possible online fraud |
US7992204B2 (en) * | 2004-05-02 | 2011-08-02 | Markmonitor, Inc. | Enhanced responses to online fraud |
US9203648B2 (en) | 2004-05-02 | 2015-12-01 | Thomson Reuters Global Resources | Online fraud solution |
US7870608B2 (en) | 2004-05-02 | 2011-01-11 | Markmonitor, Inc. | Early detection and monitoring of online fraud |
US7941490B1 (en) * | 2004-05-11 | 2011-05-10 | Symantec Corporation | Method and apparatus for detecting spam in email messages and email attachments |
US7734093B2 (en) * | 2004-05-20 | 2010-06-08 | Ricoh Co., Ltd. | Paper-based upload and tracking system |
US7523498B2 (en) * | 2004-05-20 | 2009-04-21 | International Business Machines Corporation | Method and system for monitoring personal computer documents for sensitive data |
US8037144B2 (en) * | 2004-05-25 | 2011-10-11 | Google Inc. | Electronic message source reputation information system |
US7756930B2 (en) | 2004-05-28 | 2010-07-13 | Ironport Systems, Inc. | Techniques for determining the reputation of a message sender |
US7917588B2 (en) | 2004-05-29 | 2011-03-29 | Ironport Systems, Inc. | Managing delivery of electronic messages using bounce profiles |
US7873695B2 (en) | 2004-05-29 | 2011-01-18 | Ironport Systems, Inc. | Managing connections and messages at a server by associating different actions for both different senders and different recipients |
US7870200B2 (en) * | 2004-05-29 | 2011-01-11 | Ironport Systems, Inc. | Monitoring the flow of messages received at a server |
US7849142B2 (en) | 2004-05-29 | 2010-12-07 | Ironport Systems, Inc. | Managing connections, messages, and directory harvest attacks at a server |
US8166310B2 (en) * | 2004-05-29 | 2012-04-24 | Ironport Systems, Inc. | Method and apparatus for providing temporary access to a network device |
US7748038B2 (en) * | 2004-06-16 | 2010-06-29 | Ironport Systems, Inc. | Method and apparatus for managing computer virus outbreaks |
US20050283519A1 (en) * | 2004-06-17 | 2005-12-22 | Commtouch Software, Ltd. | Methods and systems for combating spam |
US7757074B2 (en) | 2004-06-30 | 2010-07-13 | Citrix Application Networking, Llc | System and method for establishing a virtual private network |
US7580981B1 (en) | 2004-06-30 | 2009-08-25 | Google Inc. | System for determining email spam by delivery path |
US8495305B2 (en) | 2004-06-30 | 2013-07-23 | Citrix Systems, Inc. | Method and device for performing caching of dynamically generated objects in a data communication network |
US8739274B2 (en) | 2004-06-30 | 2014-05-27 | Citrix Systems, Inc. | Method and device for performing integrated caching in a data communication network |
AU2005266945A1 (en) | 2004-07-23 | 2006-02-02 | Citrix Systems, Inc. | A method and systems for securing remote access to private networks |
US8046830B2 (en) | 2004-07-23 | 2011-10-25 | Citrix Systems, Inc. | Systems and methods for network disruption shielding techniques |
US7580921B2 (en) * | 2004-07-26 | 2009-08-25 | Google Inc. | Phrase identification in an information retrieval system |
US7567959B2 (en) | 2004-07-26 | 2009-07-28 | Google Inc. | Multiple index based information retrieval system |
US7711679B2 (en) | 2004-07-26 | 2010-05-04 | Google Inc. | Phrase-based detection of duplicate documents in an information retrieval system |
US7702618B1 (en) | 2004-07-26 | 2010-04-20 | Google Inc. | Information retrieval system for archiving multiple document versions |
EP1782241A4 (en) * | 2004-07-27 | 2008-04-09 | U S Telecom Inc | METHOD FOR BLOCKING UNWANTED E-MAILS BASED ON PROBLEMATION DETECTION |
US20060069667A1 (en) * | 2004-09-30 | 2006-03-30 | Microsoft Corporation | Content evaluation |
US8799465B2 (en) * | 2004-10-13 | 2014-08-05 | International Business Machines Corporation | Fake web addresses and hyperlinks |
US8635690B2 (en) | 2004-11-05 | 2014-01-21 | Mcafee, Inc. | Reputation based message processing |
US7711781B2 (en) * | 2004-11-09 | 2010-05-04 | International Business Machines Corporation | Technique for detecting and blocking unwanted instant messages |
US8032594B2 (en) * | 2004-11-10 | 2011-10-04 | Digital Envoy, Inc. | Email anti-phishing inspector |
US20060168066A1 (en) * | 2004-11-10 | 2006-07-27 | David Helsper | Email anti-phishing inspector |
US7580982B2 (en) * | 2004-12-14 | 2009-08-25 | The Go Daddy Group, Inc. | Email filtering system and method |
US7734670B2 (en) * | 2004-12-15 | 2010-06-08 | Microsoft Corporation | Actionable email documents |
US20060168032A1 (en) * | 2004-12-21 | 2006-07-27 | Lucent Technologies, Inc. | Unwanted message (spam) detection based on message content |
US20060168030A1 (en) * | 2004-12-21 | 2006-07-27 | Lucent Technologies, Inc. | Anti-spam service |
US8954595B2 (en) | 2004-12-30 | 2015-02-10 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP buffering |
US8700695B2 (en) | 2004-12-30 | 2014-04-15 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP pooling |
US8549149B2 (en) | 2004-12-30 | 2013-10-01 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing |
US7810089B2 (en) | 2004-12-30 | 2010-10-05 | Citrix Systems, Inc. | Systems and methods for automatic installation and execution of a client-side acceleration program |
US8706877B2 (en) | 2004-12-30 | 2014-04-22 | Citrix Systems, Inc. | Systems and methods for providing client-side dynamic redirection to bypass an intermediary |
US20060168042A1 (en) * | 2005-01-07 | 2006-07-27 | International Business Machines Corporation | Mechanism for mitigating the problem of unsolicited email (also known as "spam" |
US8255456B2 (en) | 2005-12-30 | 2012-08-28 | Citrix Systems, Inc. | System and method for performing flash caching of dynamically generated objects in a data communication network |
US8281401B2 (en) * | 2005-01-25 | 2012-10-02 | Whitehat Security, Inc. | System for detecting vulnerabilities in web applications using client-side application interfaces |
US20060230039A1 (en) * | 2005-01-25 | 2006-10-12 | Markmonitor, Inc. | Online identity tracking |
DE102005004464A1 (de) | 2005-01-31 | 2006-10-26 | Robert Bosch Gmbh | Verfahren zur Speicherung von Botschaften in einem Botschaftsspeicher und Botschaftsspeicher |
US7647380B2 (en) * | 2005-01-31 | 2010-01-12 | Microsoft Corporation | Datacenter mail routing |
US7962510B2 (en) * | 2005-02-11 | 2011-06-14 | Microsoft Corporation | Using content analysis to detect spam web pages |
JP4670049B2 (ja) * | 2005-02-16 | 2011-04-13 | 国立大学法人豊橋技術科学大学 | 電子メールフィルタリングプログラム、電子メールフィルタリング方法、電子メールフィルタリングシステム |
DE102005011169B4 (de) * | 2005-03-09 | 2010-09-30 | 1&1 Internet Ag | Verfahren und System für einen E-Mail-Dienst mit Aufbereitung von Informations-E-Mails eines weiteren Internet-Dienstes |
US7590698B1 (en) * | 2005-03-14 | 2009-09-15 | Symantec Corporation | Thwarting phishing attacks by using pre-established policy files |
US7975010B1 (en) * | 2005-03-23 | 2011-07-05 | Symantec Corporation | Countering spam through address comparison |
US20060224677A1 (en) * | 2005-04-01 | 2006-10-05 | Baytsp | Method and apparatus for detecting email fraud |
US8898162B2 (en) * | 2005-04-01 | 2014-11-25 | International Business Machines Corporation | Methods, systems, and computer program products for providing customized content over a network |
GB2424969A (en) * | 2005-04-04 | 2006-10-11 | Messagelabs Ltd | Training an anti-spam filter |
GB2425855A (en) * | 2005-04-25 | 2006-11-08 | Messagelabs Ltd | Detecting and filtering of spam emails |
EP1877905B1 (en) * | 2005-05-05 | 2014-10-22 | Cisco IronPort Systems LLC | Identifying threats in electronic messages |
JP4559295B2 (ja) * | 2005-05-17 | 2010-10-06 | 株式会社エヌ・ティ・ティ・ドコモ | データ通信システム及びデータ通信方法 |
US20070097976A1 (en) * | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
US8856279B2 (en) * | 2005-05-26 | 2014-10-07 | Citrix Systems Inc. | Method and system for object prediction |
US20060277259A1 (en) * | 2005-06-07 | 2006-12-07 | Microsoft Corporation | Distributed sender reputations |
US7739337B1 (en) | 2005-06-20 | 2010-06-15 | Symantec Corporation | Method and apparatus for grouping spam email messages |
US8010609B2 (en) * | 2005-06-20 | 2011-08-30 | Symantec Corporation | Method and apparatus for maintaining reputation lists of IP addresses to detect email spam |
GB0512744D0 (en) * | 2005-06-22 | 2005-07-27 | Blackspider Technologies | Method and system for filtering electronic messages |
US7636734B2 (en) * | 2005-06-23 | 2009-12-22 | Microsoft Corporation | Method for probabilistic analysis of most frequently occurring electronic message addresses within personal store (.PST) files to determine owner with confidence factor based on relative weight and set of user-specified factors |
US9087218B1 (en) | 2005-08-11 | 2015-07-21 | Aaron T. Emigh | Trusted path |
US7809156B2 (en) * | 2005-08-12 | 2010-10-05 | Ricoh Company, Ltd. | Techniques for generating and using a fingerprint for an article |
US7697942B2 (en) * | 2005-09-02 | 2010-04-13 | Stevens Gilman R | Location based rules architecture systems and methods |
US7487170B2 (en) * | 2005-09-02 | 2009-02-03 | Qwest Communications International Inc. | Location information for avoiding unwanted communications systems and methods |
US8176077B2 (en) | 2005-09-02 | 2012-05-08 | Qwest Communications International Inc. | Location based access to financial information systems and methods |
US8166068B2 (en) | 2005-09-02 | 2012-04-24 | Qwest | Location based authorization of financial card transactions systems and methods |
US20070061402A1 (en) * | 2005-09-15 | 2007-03-15 | Microsoft Corporation | Multipurpose internet mail extension (MIME) analysis |
US8117267B2 (en) | 2005-09-29 | 2012-02-14 | Teamon Systems, Inc. | System and method for provisioning an email account using mail exchange and address records |
US8078681B2 (en) * | 2005-09-29 | 2011-12-13 | Teamon Systems, Inc. | System and method for provisioning an email account using mail exchange records |
US20070078934A1 (en) * | 2005-09-30 | 2007-04-05 | Teamon Systems, Inc. | System and method for provisioning an email account hosted on an assured email service provider |
US7912907B1 (en) * | 2005-10-07 | 2011-03-22 | Symantec Corporation | Spam email detection based on n-grams with feature selection |
US20070118759A1 (en) * | 2005-10-07 | 2007-05-24 | Sheppard Scott K | Undesirable email determination |
US20070088789A1 (en) * | 2005-10-18 | 2007-04-19 | Reuben Berman | Method and system for indicating an email sender as spammer |
WO2007050244A2 (en) | 2005-10-27 | 2007-05-03 | Georgia Tech Research Corporation | Method and system for detecting and responding to attacking networks |
US8272064B2 (en) * | 2005-11-16 | 2012-09-18 | The Boeing Company | Automated rule generation for a secure downgrader |
US11301585B2 (en) | 2005-12-16 | 2022-04-12 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
US8938671B2 (en) | 2005-12-16 | 2015-01-20 | The 41St Parameter, Inc. | Methods and apparatus for securely displaying digital images |
US8301839B2 (en) | 2005-12-30 | 2012-10-30 | Citrix Systems, Inc. | System and method for performing granular invalidation of cached dynamically generated objects in a data communication network |
US7921184B2 (en) | 2005-12-30 | 2011-04-05 | Citrix Systems, Inc. | System and method for performing flash crowd caching of dynamically generated objects in a data communication network |
US7475118B2 (en) * | 2006-02-03 | 2009-01-06 | International Business Machines Corporation | Method for recognizing spam email |
US7827280B2 (en) * | 2006-02-28 | 2010-11-02 | Red Hat, Inc. | System and method for domain name filtering through the domain name system |
US7627641B2 (en) * | 2006-03-09 | 2009-12-01 | Watchguard Technologies, Inc. | Method and system for recognizing desired email |
US9525547B2 (en) * | 2006-03-31 | 2016-12-20 | Ricoh Company, Ltd. | Transmission of media keys |
US8554690B2 (en) * | 2006-03-31 | 2013-10-08 | Ricoh Company, Ltd. | Techniques for using media keys |
US20070233612A1 (en) * | 2006-03-31 | 2007-10-04 | Ricoh Company, Ltd. | Techniques for generating a media key |
US8689102B2 (en) * | 2006-03-31 | 2014-04-01 | Ricoh Company, Ltd. | User interface for creating and using media keys |
US8151327B2 (en) | 2006-03-31 | 2012-04-03 | The 41St Parameter, Inc. | Systems and methods for detection of session tampering and fraud prevention |
US7809796B1 (en) * | 2006-04-05 | 2010-10-05 | Ironport Systems, Inc. | Method of controlling access to network resources using information in electronic mail messages |
US7849507B1 (en) | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
US20080082662A1 (en) * | 2006-05-19 | 2008-04-03 | Richard Dandliker | Method and apparatus for controlling access to network resources based on reputation |
US8489689B1 (en) * | 2006-05-31 | 2013-07-16 | Proofpoint, Inc. | Apparatus and method for obfuscation detection within a spam filtering model |
US8112484B1 (en) * | 2006-05-31 | 2012-02-07 | Proofpoint, Inc. | Apparatus and method for auxiliary classification for generating features for a spam filtering model |
US8307038B2 (en) * | 2006-06-09 | 2012-11-06 | Microsoft Corporation | Email addresses relevance determination and uses |
US8615800B2 (en) | 2006-07-10 | 2013-12-24 | Websense, Inc. | System and method for analyzing web content |
US8020206B2 (en) | 2006-07-10 | 2011-09-13 | Websense, Inc. | System and method of analyzing web content |
US8646071B2 (en) * | 2006-08-07 | 2014-02-04 | Symantec Corporation | Method and system for validating site data |
US20100205123A1 (en) * | 2006-08-10 | 2010-08-12 | Trustees Of Tufts College | Systems and methods for identifying unwanted or harmful electronic text |
US20080052360A1 (en) * | 2006-08-22 | 2008-02-28 | Microsoft Corporation | Rules Profiler |
US8078625B1 (en) * | 2006-09-11 | 2011-12-13 | Aol Inc. | URL-based content categorization |
US7606214B1 (en) * | 2006-09-14 | 2009-10-20 | Trend Micro Incorporated | Anti-spam implementations in a router at the network layer |
CN101155182A (zh) * | 2006-09-30 | 2008-04-02 | 阿里巴巴公司 | 一种基于网络的垃圾信息过滤方法和装置 |
US7882187B2 (en) * | 2006-10-12 | 2011-02-01 | Watchguard Technologies, Inc. | Method and system for detecting undesired email containing image-based messages |
GB2443469A (en) * | 2006-11-03 | 2008-05-07 | Messagelabs Ltd | Detection of image spam |
US8577968B2 (en) | 2006-11-14 | 2013-11-05 | Mcafee, Inc. | Method and system for handling unwanted email messages |
US8590002B1 (en) | 2006-11-29 | 2013-11-19 | Mcafee Inc. | System, method and computer program product for maintaining a confidentiality of data on a network |
US8135780B2 (en) * | 2006-12-01 | 2012-03-13 | Microsoft Corporation | Email safety determination |
US9654495B2 (en) | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
WO2008082441A1 (en) * | 2006-12-29 | 2008-07-10 | Prodea Systems, Inc. | Display inserts, overlays, and graphical user interfaces for multimedia systems |
US9497205B1 (en) * | 2008-05-19 | 2016-11-15 | Emc Corporation | Global commonality and network logging |
US9152706B1 (en) | 2006-12-30 | 2015-10-06 | Emc Corporation | Anonymous identification tokens |
GB2458094A (en) | 2007-01-09 | 2009-09-09 | Surfcontrol On Demand Ltd | URL interception and categorization in firewalls |
WO2008087429A1 (en) * | 2007-01-18 | 2008-07-24 | Roke Manor Research Limited | A method of filtering sections of a data stream |
US20080177843A1 (en) * | 2007-01-22 | 2008-07-24 | Microsoft Corporation | Inferring email action based on user input |
US8763114B2 (en) | 2007-01-24 | 2014-06-24 | Mcafee, Inc. | Detecting image spam |
US8214497B2 (en) | 2007-01-24 | 2012-07-03 | Mcafee, Inc. | Multi-dimensional reputation scoring |
US7779156B2 (en) | 2007-01-24 | 2010-08-17 | Mcafee, Inc. | Reputation based load balancing |
US7716297B1 (en) | 2007-01-30 | 2010-05-11 | Proofpoint, Inc. | Message stream analysis for spam detection and filtering |
US8356076B1 (en) | 2007-01-30 | 2013-01-15 | Proofpoint, Inc. | Apparatus and method for performing spam detection and filtering using an image history table |
US7849193B1 (en) * | 2007-02-01 | 2010-12-07 | Adobe Systems Incorporated | Multiple hyperlinks in a uniform resource locator |
US20080201722A1 (en) * | 2007-02-20 | 2008-08-21 | Gurusamy Sarathy | Method and System For Unsafe Content Tracking |
US8291021B2 (en) * | 2007-02-26 | 2012-10-16 | Red Hat, Inc. | Graphical spam detection and filtering |
US8595204B2 (en) * | 2007-03-05 | 2013-11-26 | Microsoft Corporation | Spam score propagation for web spam detection |
US8756673B2 (en) | 2007-03-30 | 2014-06-17 | Ricoh Company, Ltd. | Techniques for sharing data |
US20080243702A1 (en) * | 2007-03-30 | 2008-10-02 | Ricoh Company, Ltd. | Tokens Usable in Value-Based Transactions |
US20080250106A1 (en) * | 2007-04-03 | 2008-10-09 | George Leslie Rugg | Use of Acceptance Methods for Accepting Email and Messages |
US7861260B2 (en) | 2007-04-17 | 2010-12-28 | Almondnet, Inc. | Targeted television advertisements based on online behavior |
US8725597B2 (en) * | 2007-04-25 | 2014-05-13 | Google Inc. | Merchant scoring system and transactional database |
US8621008B2 (en) | 2007-04-26 | 2013-12-31 | Mcafee, Inc. | System, method and computer program product for performing an action based on an aspect of an electronic mail message thread |
US20080270549A1 (en) * | 2007-04-26 | 2008-10-30 | Microsoft Corporation | Extracting link spam using random walks and spam seeds |
GB0709527D0 (en) | 2007-05-18 | 2007-06-27 | Surfcontrol Plc | Electronic messaging system, message processing apparatus and message processing method |
US9083556B2 (en) * | 2007-05-31 | 2015-07-14 | Rpx Clearinghouse Llc | System and method for detectng malicious mail from spam zombies |
US7693806B2 (en) * | 2007-06-21 | 2010-04-06 | Microsoft Corporation | Classification using a cascade approach |
US8856360B2 (en) * | 2007-06-22 | 2014-10-07 | Microsoft Corporation | Automatically identifying dynamic internet protocol addresses |
US7899870B2 (en) * | 2007-06-25 | 2011-03-01 | Microsoft Corporation | Determination of participation in a malicious software campaign |
US7882177B2 (en) * | 2007-08-06 | 2011-02-01 | Yahoo! Inc. | Employing pixel density to detect a spam image |
US8199965B1 (en) * | 2007-08-17 | 2012-06-12 | Mcafee, Inc. | System, method, and computer program product for preventing image-related data loss |
US20090063481A1 (en) * | 2007-08-31 | 2009-03-05 | Faus Norman L | Systems and methods for developing features for a product |
US20130276061A1 (en) | 2007-09-05 | 2013-10-17 | Gopi Krishna Chebiyyam | System, method, and computer program product for preventing access to data with respect to a data access attempt associated with a remote data sharing session |
US8117223B2 (en) | 2007-09-07 | 2012-02-14 | Google Inc. | Integrating external related phrase information into a phrase-based indexing information retrieval system |
DE102007045909A1 (de) * | 2007-09-26 | 2009-08-06 | T-Mobile Internationale Ag | Verfahren zum Schutz vor Viren/Spam in Mobilfunknetzen |
US20090089859A1 (en) * | 2007-09-28 | 2009-04-02 | Cook Debra L | Method and apparatus for detecting phishing attempts solicited by electronic mail |
US8446607B2 (en) * | 2007-10-01 | 2013-05-21 | Mcafee, Inc. | Method and system for policy based monitoring and blocking of printing activities on local and network printers |
US8185930B2 (en) | 2007-11-06 | 2012-05-22 | Mcafee, Inc. | Adjusting filter or classification control settings |
CN101163161B (zh) * | 2007-11-07 | 2012-02-29 | 福建星网锐捷网络有限公司 | 统一资源定位器地址过滤方法及中间传输设备 |
US8479284B1 (en) * | 2007-12-20 | 2013-07-02 | Symantec Corporation | Referrer context identification for remote object links |
JP2009157510A (ja) * | 2007-12-25 | 2009-07-16 | Nec Corp | スパム情報判別システム、スパム情報判別方法、およびスパム情報判別プログラム |
ATE516655T1 (de) * | 2007-12-31 | 2011-07-15 | Telecom Italia Spa | Verfahren zur detektion von anomalien in einem kommunikationssystem, das symbolische paketmerkmale verwendet |
WO2009083022A1 (en) * | 2007-12-31 | 2009-07-09 | Telecom Italia S.P.A. | Method of detecting anomalies in a communication system using numerical packet features |
US20090171906A1 (en) * | 2008-01-02 | 2009-07-02 | Research In Motion Limited | System and method for providing information relating to an email being provided to an electronic device |
US20090216875A1 (en) * | 2008-02-26 | 2009-08-27 | Barracuda Inc. | Filtering secure network messages without cryptographic processes method |
US8370930B2 (en) * | 2008-02-28 | 2013-02-05 | Microsoft Corporation | Detecting spam from metafeatures of an email message |
US20090228438A1 (en) * | 2008-03-07 | 2009-09-10 | Anirban Dasgupta | Method and Apparatus for Identifying if Two Websites are Co-Owned |
US8107670B2 (en) * | 2008-03-11 | 2012-01-31 | Symantec Corporation | Scanning images for pornography |
US8893285B2 (en) * | 2008-03-14 | 2014-11-18 | Mcafee, Inc. | Securing data using integrated host-based data loss agent with encryption detection |
US7996900B2 (en) * | 2008-03-14 | 2011-08-09 | Microsoft Corporation | Time travelling email messages after delivery |
US20090240670A1 (en) * | 2008-03-20 | 2009-09-24 | Yahoo! Inc. | Uniform resource identifier alignment |
US8745731B2 (en) * | 2008-04-03 | 2014-06-03 | Microsoft Corporation | Clustering botnet behavior using parameterized models |
US8589503B2 (en) | 2008-04-04 | 2013-11-19 | Mcafee, Inc. | Prioritizing network traffic |
US8108323B2 (en) * | 2008-05-19 | 2012-01-31 | Yahoo! Inc. | Distributed spam filtering utilizing a plurality of global classifiers and a local classifier |
US8291054B2 (en) | 2008-05-27 | 2012-10-16 | International Business Machines Corporation | Information processing system, method and program for classifying network nodes |
JP5324824B2 (ja) * | 2008-05-27 | 2013-10-23 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ネットワーク・ノードを分類する情報処理装置、情報処理システム、情報処理方法およびプログラム |
US20090300012A1 (en) * | 2008-05-28 | 2009-12-03 | Barracuda Inc. | Multilevel intent analysis method for email filtration |
US20090300127A1 (en) * | 2008-06-03 | 2009-12-03 | Qiang Du | E-mail forwarding method and system |
EP2291769B1 (en) * | 2008-06-25 | 2018-06-06 | Telefonaktiebolaget LM Ericsson (publ) | Service brokering using domain name servers |
US20090327849A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Link Classification and Filtering |
CN102077201A (zh) | 2008-06-30 | 2011-05-25 | 网圣公司 | 用于网页的动态及实时归类的系统及方法 |
US20100011420A1 (en) * | 2008-07-02 | 2010-01-14 | Barracuda Networks Inc. | Operating a service on a network as a domain name system server |
US8219644B2 (en) * | 2008-07-03 | 2012-07-10 | Barracuda Networks, Inc. | Requesting a service or transmitting content as a domain name system resolver |
US9077684B1 (en) | 2008-08-06 | 2015-07-07 | Mcafee, Inc. | System, method, and computer program product for determining whether an electronic mail message is compliant with an etiquette policy |
US10027688B2 (en) * | 2008-08-11 | 2018-07-17 | Damballa, Inc. | Method and system for detecting malicious and/or botnet-related domain names |
US20100042687A1 (en) * | 2008-08-12 | 2010-02-18 | Yahoo! Inc. | System and method for combating phishing |
US7818686B2 (en) | 2008-09-04 | 2010-10-19 | International Business Machines Corporation | System and method for accelerated web page navigation using keyboard accelerators in a data processing system |
US8826450B2 (en) * | 2008-09-19 | 2014-09-02 | Yahoo! Inc. | Detecting bulk fraudulent registration of email accounts |
US20100082749A1 (en) * | 2008-09-26 | 2010-04-01 | Yahoo! Inc | Retrospective spam filtering |
CN101364955B (zh) * | 2008-09-28 | 2010-10-20 | 杭州电子科技大学 | 一种分析和提取电子邮件客户端证据的方法 |
US9070116B2 (en) * | 2008-10-09 | 2015-06-30 | At&T Mobility Ii Llc | On-demand spam reporting |
JP5366504B2 (ja) * | 2008-11-05 | 2013-12-11 | Kddi株式会社 | メール受信サーバ、スパムメールの受信拒否方法およびプログラム |
US8364765B2 (en) * | 2008-11-13 | 2013-01-29 | International Business Machines Corporation | Prioritizing electronic messages based upon geographical location of the recipient |
US8447856B2 (en) * | 2008-11-25 | 2013-05-21 | Barracuda Networks, Inc. | Policy-managed DNS server for to control network traffic |
US20100174829A1 (en) * | 2009-01-06 | 2010-07-08 | Barracuda Networks, Inc | Apparatus for to provide content to and query a reverse domain name system server |
CA2751783A1 (en) * | 2009-02-08 | 2010-08-12 | Research In Motion Limited | Method and system for spam reporting with a message portion |
US8631080B2 (en) * | 2009-03-12 | 2014-01-14 | Microsoft Corporation | Email characterization |
US8166104B2 (en) * | 2009-03-19 | 2012-04-24 | Microsoft Corporation | Client-centered usage classification |
US9112850B1 (en) | 2009-03-25 | 2015-08-18 | The 41St Parameter, Inc. | Systems and methods of sharing information through a tag-based consortium |
US20100257035A1 (en) * | 2009-04-07 | 2010-10-07 | Microsoft Corporation | Embedded content brokering and advertisement selection delegation |
US20100262547A1 (en) * | 2009-04-14 | 2010-10-14 | Microsoft Corporation | User information brokering |
US20100281224A1 (en) * | 2009-05-01 | 2010-11-04 | International Buisness Machines Corporation | Prefetching content from incoming messages |
CN102598007B (zh) | 2009-05-26 | 2017-03-01 | 韦伯森斯公司 | 有效检测采指纹数据和信息的系统和方法 |
US8549627B2 (en) * | 2009-06-13 | 2013-10-01 | Microsoft Corporation | Detection of objectionable videos |
US8925087B1 (en) * | 2009-06-19 | 2014-12-30 | Trend Micro Incorporated | Apparatus and methods for in-the-cloud identification of spam and/or malware |
US8959157B2 (en) * | 2009-06-26 | 2015-02-17 | Microsoft Corporation | Real-time spam look-up system |
JP2011034417A (ja) * | 2009-08-04 | 2011-02-17 | Kddi Corp | 迷惑メール判定装置及び迷惑メール判定方法及び迷惑メール判定プログラム |
JP2011034416A (ja) * | 2009-08-04 | 2011-02-17 | Kddi Corp | 電子メール分類装置及び電子メール分類方法及び電子メール分類プログラム |
CN102045667A (zh) * | 2009-10-23 | 2011-05-04 | 中兴通讯股份有限公司 | 防范垃圾电子邮件的实现方法和系统 |
US8654655B2 (en) * | 2009-12-17 | 2014-02-18 | Thomson Licensing | Detecting and classifying anomalies in communication networks |
US8578497B2 (en) * | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
US8826438B2 (en) | 2010-01-19 | 2014-09-02 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
US8316094B1 (en) * | 2010-01-21 | 2012-11-20 | Symantec Corporation | Systems and methods for identifying spam mailing lists |
US20110225076A1 (en) * | 2010-03-09 | 2011-09-15 | Google Inc. | Method and system for detecting fraudulent internet merchants |
US9652802B1 (en) | 2010-03-24 | 2017-05-16 | Consumerinfo.Com, Inc. | Indirect monitoring and reporting of a user's credit data |
US9009330B2 (en) * | 2010-04-01 | 2015-04-14 | Cloudflare, Inc. | Internet-based proxy service to limit internet visitor connection speed |
US9049247B2 (en) | 2010-04-01 | 2015-06-02 | Cloudfare, Inc. | Internet-based proxy service for responding to server offline errors |
US8086684B2 (en) | 2010-04-20 | 2011-12-27 | The Go Daddy Group, Inc. | Detecting and mitigating undeliverable email |
US8621638B2 (en) | 2010-05-14 | 2013-12-31 | Mcafee, Inc. | Systems and methods for classification of messaging entities |
US20110289434A1 (en) * | 2010-05-20 | 2011-11-24 | Barracuda Networks, Inc. | Certified URL checking, caching, and categorization service |
WO2012006682A1 (en) * | 2010-07-16 | 2012-01-19 | First Wave Technology Pty Ltd | Methods and systems for analysis and/or classification of information |
US9516058B2 (en) | 2010-08-10 | 2016-12-06 | Damballa, Inc. | Method and system for determining whether domain names are legitimate or malicious |
CA2810852C (en) | 2010-09-10 | 2016-06-21 | David Jaray Hanson | System and method for providing a plurality of prioritised email domain names |
US8498998B2 (en) * | 2010-10-11 | 2013-07-30 | International Business Machines Corporation | Grouping identity records to generate candidate lists to use in an entity and relationship resolution process |
US9148432B2 (en) * | 2010-10-12 | 2015-09-29 | Microsoft Technology Licensing, Llc | Range weighted internet protocol address blacklist |
US8396876B2 (en) | 2010-11-30 | 2013-03-12 | Yahoo! Inc. | Identifying reliable and authoritative sources of multimedia content |
US8695092B2 (en) | 2010-12-06 | 2014-04-08 | Microsoft Corporation | Host IP reputation |
US8885931B2 (en) * | 2011-01-26 | 2014-11-11 | Microsoft Corporation | Mitigating use of machine solvable HIPs |
US9461878B1 (en) * | 2011-02-01 | 2016-10-04 | Palo Alto Networks, Inc. | Blocking download of content |
US8631489B2 (en) | 2011-02-01 | 2014-01-14 | Damballa, Inc. | Method and system for detecting malicious domain names at an upper DNS hierarchy |
US8554907B1 (en) * | 2011-02-15 | 2013-10-08 | Trend Micro, Inc. | Reputation prediction of IP addresses |
AU2012217565B2 (en) | 2011-02-18 | 2017-05-25 | Csidentity Corporation | System and methods for identifying compromised personally identifiable information on the internet |
US8626856B2 (en) | 2011-04-11 | 2014-01-07 | Microsoft Corporation | Geo-data spam filter |
US9117074B2 (en) | 2011-05-18 | 2015-08-25 | Microsoft Technology Licensing, Llc | Detecting a compromised online user account |
US8285808B1 (en) | 2011-05-20 | 2012-10-09 | Cloudflare, Inc. | Loading of web resources |
US8621556B1 (en) * | 2011-05-25 | 2013-12-31 | Palo Alto Networks, Inc. | Dynamic resolution of fully qualified domain name (FQDN) address objects in policy definitions |
US9087324B2 (en) | 2011-07-12 | 2015-07-21 | Microsoft Technology Licensing, Llc | Message categorization |
US9065826B2 (en) | 2011-08-08 | 2015-06-23 | Microsoft Technology Licensing, Llc | Identifying application reputation based on resource accesses |
US9442881B1 (en) | 2011-08-31 | 2016-09-13 | Yahoo! Inc. | Anti-spam transient entity classification |
US11030562B1 (en) | 2011-10-31 | 2021-06-08 | Consumerinfo.Com, Inc. | Pre-data breach monitoring |
US10754913B2 (en) | 2011-11-15 | 2020-08-25 | Tapad, Inc. | System and method for analyzing user device information |
US8954492B1 (en) * | 2011-11-30 | 2015-02-10 | F5 Networks, Inc. | Methods for inlining content externally referenced in a web page prior to providing the web page to a requestor and devices thereof |
KR101253616B1 (ko) * | 2011-12-09 | 2013-04-11 | 한국인터넷진흥원 | 네트워크 경로 추적 장치 및 방법 |
US9633201B1 (en) | 2012-03-01 | 2017-04-25 | The 41St Parameter, Inc. | Methods and systems for fraud containment |
US8819227B1 (en) * | 2012-03-19 | 2014-08-26 | Narus, Inc. | Discerning web content and services based on real-time DNS tagging |
US9521551B2 (en) | 2012-03-22 | 2016-12-13 | The 41St Parameter, Inc. | Methods and systems for persistent cross-application mobile device identification |
TWI478561B (zh) * | 2012-04-05 | 2015-03-21 | Inst Information Industry | 網域追蹤方法與系統及其電腦可讀取記錄媒體 |
US8396935B1 (en) * | 2012-04-10 | 2013-03-12 | Google Inc. | Discovering spam merchants using product feed similarity |
WO2014022813A1 (en) | 2012-08-02 | 2014-02-06 | The 41St Parameter, Inc. | Systems and methods for accessing records via derivative locators |
US10547674B2 (en) | 2012-08-27 | 2020-01-28 | Help/Systems, Llc | Methods and systems for network flow analysis |
US9166994B2 (en) | 2012-08-31 | 2015-10-20 | Damballa, Inc. | Automation discovery to identify malicious activity |
US9680861B2 (en) | 2012-08-31 | 2017-06-13 | Damballa, Inc. | Historical analysis to identify malicious activity |
US10084806B2 (en) | 2012-08-31 | 2018-09-25 | Damballa, Inc. | Traffic simulation to identify malicious activity |
US9894088B2 (en) | 2012-08-31 | 2018-02-13 | Damballa, Inc. | Data mining to identify malicious activity |
US8667074B1 (en) * | 2012-09-11 | 2014-03-04 | Bradford L. Farkas | Systems and methods for email tracking and email spam reduction using dynamic email addressing schemes |
US8898272B1 (en) | 2012-10-02 | 2014-11-25 | Amazon Technologies, Inc. | Identifying information in resource locators |
US9326218B2 (en) | 2012-11-02 | 2016-04-26 | Telefonaktiebolaget L M Ericsson (Publ) | Base-station-to-base-station gateway and related devices, methods, and systems |
WO2014078569A1 (en) | 2012-11-14 | 2014-05-22 | The 41St Parameter, Inc. | Systems and methods of global identification |
US9241259B2 (en) | 2012-11-30 | 2016-01-19 | Websense, Inc. | Method and apparatus for managing the transfer of sensitive information to mobile devices |
US9531736B1 (en) | 2012-12-24 | 2016-12-27 | Narus, Inc. | Detecting malicious HTTP redirections using user browsing activity trees |
US9027128B1 (en) * | 2013-02-07 | 2015-05-05 | Trend Micro Incorporated | Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks |
US8812387B1 (en) | 2013-03-14 | 2014-08-19 | Csidentity Corporation | System and method for identifying related credit inquiries |
CN103179024B (zh) * | 2013-03-18 | 2016-01-20 | 北京二六三企业通信有限公司 | 邮件过滤方法及装置 |
CN103198396A (zh) * | 2013-03-28 | 2013-07-10 | 南通大学 | 基于社会网络行为特征的邮件分类方法 |
US9571511B2 (en) | 2013-06-14 | 2017-02-14 | Damballa, Inc. | Systems and methods for traffic classification |
ITTO20130513A1 (it) * | 2013-06-21 | 2014-12-22 | Sisvel Technology Srl | Sistema e metodo per il filtraggio di messaggi elettronici |
US9811830B2 (en) | 2013-07-03 | 2017-11-07 | Google Inc. | Method, medium, and system for online fraud prevention based on user physical location data |
US9258260B2 (en) | 2013-08-19 | 2016-02-09 | Microsoft Technology Licensing, Llc | Filtering electronic messages based on domain attributes without reputation |
US10902327B1 (en) | 2013-08-30 | 2021-01-26 | The 41St Parameter, Inc. | System and method for device identification and uniqueness |
CN104601736B (zh) * | 2013-10-30 | 2018-10-23 | 腾讯科技(深圳)有限公司 | 一种短url服务的实现方法及装置 |
US9239737B2 (en) | 2013-11-15 | 2016-01-19 | Sap Se | Concise resource addressing |
CN103634422B (zh) * | 2013-11-29 | 2017-03-08 | 北京奇安信科技有限公司 | 一种cdn源站的ip地址识别方法及装置 |
US11568280B1 (en) * | 2019-01-23 | 2023-01-31 | Amdocs Development Limited | System, method, and computer program for parental controls and recommendations based on artificial intelligence |
US10778618B2 (en) * | 2014-01-09 | 2020-09-15 | Oath Inc. | Method and system for classifying man vs. machine generated e-mail |
KR101561289B1 (ko) | 2014-03-13 | 2015-10-16 | (주)코리아센터닷컴 | 메시지 편집 장치 |
EP3091465B1 (en) * | 2014-03-13 | 2019-03-06 | Nippon Telegraph and Telephone Corporation | Monitoring device, monitoring method, and monitoring program |
US10079791B2 (en) * | 2014-03-14 | 2018-09-18 | Xpedite Systems, Llc | Systems and methods for domain- and auto-registration |
US10896421B2 (en) | 2014-04-02 | 2021-01-19 | Brighterion, Inc. | Smart retail analytics and commercial messaging |
US20180053114A1 (en) | 2014-10-23 | 2018-02-22 | Brighterion, Inc. | Artificial intelligence for context classifier |
US9928465B2 (en) * | 2014-05-20 | 2018-03-27 | Oath Inc. | Machine learning and validation of account names, addresses, and/or identifiers |
US10078750B1 (en) | 2014-06-13 | 2018-09-18 | Trend Micro Incorporated | Methods and systems for finding compromised social networking accounts |
US10027702B1 (en) | 2014-06-13 | 2018-07-17 | Trend Micro Incorporated | Identification of malicious shortened uniform resource locators |
US9571452B2 (en) * | 2014-07-01 | 2017-02-14 | Sophos Limited | Deploying a security policy based on domain names |
US11838851B1 (en) | 2014-07-15 | 2023-12-05 | F5, Inc. | Methods for managing L7 traffic classification and devices thereof |
US20150339673A1 (en) | 2014-10-28 | 2015-11-26 | Brighterion, Inc. | Method for detecting merchant data breaches with a computer network server |
US20150032589A1 (en) | 2014-08-08 | 2015-01-29 | Brighterion, Inc. | Artificial intelligence fraud management solution |
US20160055427A1 (en) | 2014-10-15 | 2016-02-25 | Brighterion, Inc. | Method for providing data science, artificial intelligence and machine learning as-a-service |
US9280661B2 (en) | 2014-08-08 | 2016-03-08 | Brighterion, Inc. | System administrator behavior analysis |
US20150066771A1 (en) | 2014-08-08 | 2015-03-05 | Brighterion, Inc. | Fast access vectors in real-time behavioral profiling |
US9560074B2 (en) * | 2014-10-07 | 2017-01-31 | Cloudmark, Inc. | Systems and methods of identifying suspicious hostnames |
US10091312B1 (en) | 2014-10-14 | 2018-10-02 | The 41St Parameter, Inc. | Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups |
US10546099B2 (en) | 2014-10-15 | 2020-01-28 | Brighterion, Inc. | Method of personalizing, individualizing, and automating the management of healthcare fraud-waste-abuse to unique individual healthcare providers |
US20160063502A1 (en) | 2014-10-15 | 2016-03-03 | Brighterion, Inc. | Method for improving operating profits with better automated decision making with artificial intelligence |
US11080709B2 (en) | 2014-10-15 | 2021-08-03 | Brighterion, Inc. | Method of reducing financial losses in multiple payment channels upon a recognition of fraud first appearing in any one payment channel |
US20160071017A1 (en) | 2014-10-15 | 2016-03-10 | Brighterion, Inc. | Method of operating artificial intelligence machines to improve predictive model training and performance |
US20160078367A1 (en) | 2014-10-15 | 2016-03-17 | Brighterion, Inc. | Data clean-up method for improving predictive model training |
US10290001B2 (en) | 2014-10-28 | 2019-05-14 | Brighterion, Inc. | Data breach detection |
US10339527B1 (en) | 2014-10-31 | 2019-07-02 | Experian Information Solutions, Inc. | System and architecture for electronic fraud detection |
TWI544764B (zh) | 2014-11-17 | 2016-08-01 | 緯創資通股份有限公司 | 垃圾郵件判定方法及其郵件伺服器 |
US10182013B1 (en) | 2014-12-01 | 2019-01-15 | F5 Networks, Inc. | Methods for managing progressive image delivery and devices thereof |
US20200067861A1 (en) * | 2014-12-09 | 2020-02-27 | ZapFraud, Inc. | Scam evaluation system |
US11895138B1 (en) | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
JP6196008B2 (ja) * | 2015-03-05 | 2017-09-13 | 日本電信電話株式会社 | 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム |
US9930065B2 (en) | 2015-03-25 | 2018-03-27 | University Of Georgia Research Foundation, Inc. | Measuring, categorizing, and/or mitigating malware distribution paths |
US9736185B1 (en) | 2015-04-21 | 2017-08-15 | Infoblox Inc. | DNS or network metadata policy for network control |
US9521157B1 (en) * | 2015-06-24 | 2016-12-13 | Bank Of America Corporation | Identifying and assessing malicious resources |
US11151468B1 (en) | 2015-07-02 | 2021-10-19 | Experian Information Solutions, Inc. | Behavior analysis using distributed representations of event data |
US10671915B2 (en) | 2015-07-31 | 2020-06-02 | Brighterion, Inc. | Method for calling for preemptive maintenance and for equipment failure prevention |
US9762542B2 (en) * | 2015-08-04 | 2017-09-12 | Farsight Security, Inc. | Parallel detection of updates to a domain name system record system using a common filter |
US10057198B1 (en) | 2015-11-05 | 2018-08-21 | Trend Micro Incorporated | Controlling social network usage in enterprise environments |
US10305839B2 (en) | 2015-11-17 | 2019-05-28 | Clover Leaf Environmental Solutions, Inc. | Electronic information system enabling email-based transactions with forms |
WO2017173100A1 (en) * | 2016-03-30 | 2017-10-05 | Convenant Eyes, Inc. | Applications, systems and methods to monitor, filter and/or alter output of a computing device |
CN107294834A (zh) * | 2016-03-31 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种识别垃圾邮件的方法和装置 |
CN105912674A (zh) * | 2016-04-13 | 2016-08-31 | 精硕世纪科技(北京)有限公司 | 数据降噪及分类方法、装置及系统 |
CN106028297B (zh) * | 2016-04-28 | 2019-11-08 | 北京小米移动软件有限公司 | 携带网址的短信处理方法及装置 |
US10397256B2 (en) * | 2016-06-13 | 2019-08-27 | Microsoft Technology Licensing, Llc | Spam classification system based on network flow data |
ES2699956T3 (es) | 2016-09-19 | 2019-02-13 | Retarus Gmbh | Técnica para detectar mensajes electrónicos sospechosos |
US10313348B2 (en) * | 2016-09-19 | 2019-06-04 | Fortinet, Inc. | Document classification by a hybrid classifier |
US10346223B1 (en) * | 2016-11-23 | 2019-07-09 | Google Llc | Selective obfuscation of notifications |
US10284579B2 (en) * | 2017-03-22 | 2019-05-07 | Vade Secure, Inc. | Detection of email spoofing and spear phishing attacks |
EP3389237B1 (de) * | 2017-04-10 | 2019-04-03 | ise Individuelle Software und Elektronik GmbH | Verfahren, vorrichtung, computerlesbares medium und system zum aufbau von verbindungen zwischen einem client und einem ziel- oder endgerät |
US11757914B1 (en) * | 2017-06-07 | 2023-09-12 | Agari Data, Inc. | Automated responsive message to determine a security risk of a message sender |
US10805259B2 (en) | 2017-06-30 | 2020-10-13 | Microsoft Technology Licensing, Llc | Geolocation using reverse domain name server information |
CN109218162B (zh) * | 2017-07-05 | 2021-04-27 | 北京二六三企业通信有限公司 | 邮件投递方法及装置 |
US10708297B2 (en) | 2017-08-25 | 2020-07-07 | Ecrime Management Strategies, Inc. | Security system for detection and mitigation of malicious communications |
US10778717B2 (en) | 2017-08-31 | 2020-09-15 | Barracuda Networks, Inc. | System and method for email account takeover detection and remediation |
US11665195B2 (en) | 2017-08-31 | 2023-05-30 | Barracuda Networks, Inc. | System and method for email account takeover detection and remediation utilizing anonymized datasets |
US10891373B2 (en) * | 2017-08-31 | 2021-01-12 | Micro Focus Llc | Quarantining electronic messages based on relationships among associated addresses |
US11563757B2 (en) | 2017-08-31 | 2023-01-24 | Barracuda Networks, Inc. | System and method for email account takeover detection and remediation utilizing AI models |
EP3675433A4 (en) * | 2017-09-14 | 2020-09-30 | Mitsubishi Electric Corporation | ELECTRONIC MAIL INSPECTION DEVICE, METHOD AND PROGRAM |
US10699028B1 (en) | 2017-09-28 | 2020-06-30 | Csidentity Corporation | Identity security architecture systems and methods |
US10896472B1 (en) | 2017-11-14 | 2021-01-19 | Csidentity Corporation | Security and identity verification system and architecture |
US11044213B2 (en) * | 2017-12-19 | 2021-06-22 | Nice Ltd. | Systems and methods for invisible identification of agents participating in on-line communication sessions |
US20190342297A1 (en) | 2018-05-01 | 2019-11-07 | Brighterion, Inc. | Securing internet-of-things with smart-agent technology |
EP3614280A1 (de) * | 2018-08-20 | 2020-02-26 | Siemens Aktiengesellschaft | Bestimmen eines ergebniswerts einer uniform resource identifier-, uri, zeichenfolge |
US10965691B1 (en) * | 2018-09-28 | 2021-03-30 | Verizon Media Inc. | Systems and methods for establishing sender-level trust in communications using sender-recipient pair data |
US11824870B2 (en) | 2018-12-19 | 2023-11-21 | Abnormal Security Corporation | Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time |
US11050793B2 (en) | 2018-12-19 | 2021-06-29 | Abnormal Security Corporation | Retrospective learning of communication patterns by machine learning models for discovering abnormal behavior |
US11431738B2 (en) | 2018-12-19 | 2022-08-30 | Abnormal Security Corporation | Multistage analysis of emails to identify security threats |
US10686826B1 (en) * | 2019-03-28 | 2020-06-16 | Vade Secure Inc. | Optical scanning parameters computation methods, devices and systems for malicious URL detection |
WO2021025785A1 (en) * | 2019-08-07 | 2021-02-11 | Acxiom Llc | System and method for ethical collection of data |
US11411919B2 (en) | 2019-10-01 | 2022-08-09 | EXFO Solutions SAS | Deep packet inspection application classification systems and methods |
CN111046283A (zh) * | 2019-12-04 | 2020-04-21 | 深圳前海微众银行股份有限公司 | 特征选择方法、装置、设备及存储介质 |
US11050879B1 (en) * | 2019-12-31 | 2021-06-29 | First Orion Corp. | Call traffic data monitoring and management |
CN110874531B (zh) * | 2020-01-20 | 2020-07-10 | 湖南蚁坊软件股份有限公司 | 一种话题分析方法、装置和存储介质 |
US11784948B2 (en) * | 2020-01-29 | 2023-10-10 | International Business Machines Corporation | Cognitive determination of message suitability |
US11252189B2 (en) | 2020-03-02 | 2022-02-15 | Abnormal Security Corporation | Abuse mailbox for facilitating discovery, investigation, and analysis of email-based threats |
WO2021178423A1 (en) | 2020-03-02 | 2021-09-10 | Abnormal Security Corporation | Multichannel threat detection for protecting against account compromise |
US10945051B1 (en) | 2020-04-06 | 2021-03-09 | Bank Of America Corporation | System and method for intentionally distorting digital media to reduce the accuracy of generative machine learning algorithms |
US11470108B2 (en) | 2020-04-23 | 2022-10-11 | Abnormal Security Corporation | Detection and prevention of external fraud |
US11108714B1 (en) * | 2020-07-29 | 2021-08-31 | Vmware, Inc. | Integration of an email client with hosted applications |
KR102527260B1 (ko) * | 2020-09-15 | 2023-04-27 | 주식회사 카카오 | 스팸 url을 판단하는 방법 및 시스템 |
US11563659B2 (en) | 2020-10-13 | 2023-01-24 | Vmware, Inc. | Edge alert coordinator for mobile devices |
US11528242B2 (en) * | 2020-10-23 | 2022-12-13 | Abnormal Security Corporation | Discovering graymail through real-time analysis of incoming email |
US11687648B2 (en) | 2020-12-10 | 2023-06-27 | Abnormal Security Corporation | Deriving and surfacing insights regarding security threats |
CN112733898A (zh) * | 2020-12-30 | 2021-04-30 | 光通天下网络科技股份有限公司 | 基于特征权重的数据鉴别方法、装置、电子设备及介质 |
US11882131B1 (en) * | 2020-12-31 | 2024-01-23 | Proofpoint, Inc. | Systems and methods for prioritizing URL review for sandboxing based on accelerated velocities of URL features in network traffic |
US11277375B1 (en) * | 2021-01-04 | 2022-03-15 | Saudi Arabian Oil Company | Sender policy framework (SPF) configuration validator and security examinator |
US11570149B2 (en) | 2021-03-30 | 2023-01-31 | Palo Alto Networks, Inc. | Feedback mechanism to enforce a security policy |
US11831661B2 (en) | 2021-06-03 | 2023-11-28 | Abnormal Security Corporation | Multi-tiered approach to payload detection for incoming communications |
US11829423B2 (en) * | 2021-06-25 | 2023-11-28 | Microsoft Technology Licensing, Llc | Determining that a resource is spam based upon a uniform resource locator of the webpage |
US20230161831A1 (en) * | 2021-11-23 | 2023-05-25 | Insurance Services Office, Inc. | Systems and Methods for Automatic URL Identification From Data |
US20230336571A1 (en) * | 2022-04-19 | 2023-10-19 | Akamai Technologies, Inc. | Real-time detection and prevention of online new-account creation fraud and abuse |
KR102472447B1 (ko) * | 2022-06-13 | 2022-11-30 | (주)유알피시스템 | 머신러닝을 이용한 복합 문서내 특정 콘텐츠 자동 차단 시스템 및 방법 |
Family Cites Families (153)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB8918553D0 (en) | 1989-08-15 | 1989-09-27 | Digital Equipment Int | Message control system |
US5758257A (en) | 1994-11-29 | 1998-05-26 | Herz; Frederick | System and method for scheduling broadcast of and access to video programs and other data using customer profiles |
US5619648A (en) | 1994-11-30 | 1997-04-08 | Lucent Technologies Inc. | Message filtering techniques |
US5638487A (en) | 1994-12-30 | 1997-06-10 | Purespeech, Inc. | Automatic speech recognition |
WO1996035994A1 (en) | 1995-05-08 | 1996-11-14 | Compuserve Incorporated | Rules based electronic message management system |
US5845077A (en) | 1995-11-27 | 1998-12-01 | Microsoft Corporation | Method and system for identifying and obtaining computer software from a remote computer |
US6101531A (en) | 1995-12-19 | 2000-08-08 | Motorola, Inc. | System for communicating user-selected criteria filter prepared at wireless client to communication server for filtering data transferred from host to said wireless client |
US5704017A (en) | 1996-02-16 | 1997-12-30 | Microsoft Corporation | Collaborative filtering utilizing a belief network |
US5884033A (en) | 1996-05-15 | 1999-03-16 | Spyglass, Inc. | Internet filtering system for filtering data transferred over the internet utilizing immediate and deferred filtering actions |
US6151643A (en) | 1996-06-07 | 2000-11-21 | Networks Associates, Inc. | Automatic updating of diverse software products on multiple client computer systems by downloading scanning application to client computer and generating software list on client computer |
US6453327B1 (en) | 1996-06-10 | 2002-09-17 | Sun Microsystems, Inc. | Method and apparatus for identifying and discarding junk electronic mail |
US6072942A (en) | 1996-09-18 | 2000-06-06 | Secure Computing Corporation | System and method of electronic mail filtering using interconnected nodes |
DE69607166T2 (de) * | 1996-10-15 | 2000-12-14 | St Microelectronics Srl | Elektronische Anordnung zur Durchführung von Konvolutionsoperationen |
US5805801A (en) | 1997-01-09 | 1998-09-08 | International Business Machines Corporation | System and method for detecting and preventing security |
US5905859A (en) | 1997-01-09 | 1999-05-18 | International Business Machines Corporation | Managed network device security method and apparatus |
US6122657A (en) | 1997-02-04 | 2000-09-19 | Networks Associates, Inc. | Internet computer system with methods for dynamic filtering of hypertext tags and content |
US6742047B1 (en) | 1997-03-27 | 2004-05-25 | Intel Corporation | Method and apparatus for dynamically filtering network content |
DE69724235T2 (de) | 1997-05-28 | 2004-02-26 | Siemens Ag | Computersystem und Verfahren zum Schutz von Software |
US7117358B2 (en) | 1997-07-24 | 2006-10-03 | Tumbleweed Communications Corp. | Method and system for filtering communication |
US20050081059A1 (en) * | 1997-07-24 | 2005-04-14 | Bandini Jean-Christophe Denis | Method and system for e-mail filtering |
US6199102B1 (en) | 1997-08-26 | 2001-03-06 | Christopher Alan Cobb | Method and system for filtering electronic messages |
RU2127959C1 (ru) | 1997-11-17 | 1999-03-20 | Борис Семенович Пинскер | Способ исключения нежелательной информации в режиме приема программ телевизионным приемником и устройство для его осуществления |
US6041324A (en) | 1997-11-17 | 2000-03-21 | International Business Machines Corporation | System and method for identifying valid portion of computer resource identifier |
US6003027A (en) | 1997-11-21 | 1999-12-14 | International Business Machines Corporation | System and method for determining confidence levels for the results of a categorization system |
US6393465B2 (en) | 1997-11-25 | 2002-05-21 | Nixmail Corporation | Junk electronic mail detector and eliminator |
US6351740B1 (en) | 1997-12-01 | 2002-02-26 | The Board Of Trustees Of The Leland Stanford Junior University | Method and system for training dynamic nonlinear adaptive filters which have embedded memory |
US6023723A (en) | 1997-12-22 | 2000-02-08 | Accepted Marketing, Inc. | Method and system for filtering unwanted junk e-mail utilizing a plurality of filtering mechanisms |
WO1999032985A1 (en) | 1997-12-22 | 1999-07-01 | Accepted Marketing, Inc. | E-mail filter and method thereof |
US6052709A (en) * | 1997-12-23 | 2000-04-18 | Bright Light Technologies, Inc. | Apparatus and method for controlling delivery of unsolicited electronic mail |
GB2334116A (en) | 1998-02-04 | 1999-08-11 | Ibm | Scheduling and dispatching queued client requests within a server computer |
US6484261B1 (en) | 1998-02-17 | 2002-11-19 | Cisco Technology, Inc. | Graphical network security policy management |
US6504941B2 (en) | 1998-04-30 | 2003-01-07 | Hewlett-Packard Company | Method and apparatus for digital watermarking of images |
US6314421B1 (en) | 1998-05-12 | 2001-11-06 | David M. Sharnoff | Method and apparatus for indexing documents for message filtering |
US6074942A (en) * | 1998-06-03 | 2000-06-13 | Worldwide Semiconductor Manufacturing Corporation | Method for forming a dual damascene contact and interconnect |
US6308273B1 (en) | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Method and system of security location discrimination |
US6192360B1 (en) | 1998-06-23 | 2001-02-20 | Microsoft Corporation | Methods and apparatus for classifying text and for building a text classifier |
US6161130A (en) | 1998-06-23 | 2000-12-12 | Microsoft Corporation | Technique which utilizes a probabilistic classifier to detect "junk" e-mail by automatically updating a training and re-training the classifier based on the updated training set |
US6167434A (en) | 1998-07-15 | 2000-12-26 | Pang; Stephen Y. | Computer code for removing junk e-mail messages |
US7275082B2 (en) * | 1998-07-15 | 2007-09-25 | Pang Stephen Y F | System for policing junk e-mail messages |
US6112227A (en) | 1998-08-06 | 2000-08-29 | Heiner; Jeffrey Nelson | Filter-in method for reducing junk e-mail |
US6434600B2 (en) | 1998-09-15 | 2002-08-13 | Microsoft Corporation | Methods and systems for securely delivering electronic mail to hosts having dynamic IP addresses |
US6732273B1 (en) | 1998-10-21 | 2004-05-04 | Lucent Technologies Inc. | Priority and security coding system for electronic mail messages |
GB2343529B (en) | 1998-11-07 | 2003-06-11 | Ibm | Filtering incoming e-mail |
US6546416B1 (en) | 1998-12-09 | 2003-04-08 | Infoseek Corporation | Method and system for selectively blocking delivery of bulk electronic mail |
US6643686B1 (en) | 1998-12-18 | 2003-11-04 | At&T Corp. | System and method for counteracting message filtering |
US6615242B1 (en) | 1998-12-28 | 2003-09-02 | At&T Corp. | Automatic uniform resource locator-based message filter |
US6654787B1 (en) | 1998-12-31 | 2003-11-25 | Brightmail, Incorporated | Method and apparatus for filtering e-mail |
US6266692B1 (en) | 1999-01-04 | 2001-07-24 | International Business Machines Corporation | Method for blocking all unwanted e-mail (SPAM) using a header-based password |
US6330590B1 (en) | 1999-01-05 | 2001-12-11 | William D. Cotten | Preventing delivery of unwanted bulk e-mail |
US6424997B1 (en) | 1999-01-27 | 2002-07-23 | International Business Machines Corporation | Machine learning based electronic messaging system |
US6449634B1 (en) | 1999-01-29 | 2002-09-10 | Digital Impact, Inc. | Method and system for remotely sensing the file formats processed by an E-mail client |
US6477551B1 (en) | 1999-02-16 | 2002-11-05 | International Business Machines Corporation | Interactive electronic messaging system |
US7032030B1 (en) | 1999-03-11 | 2006-04-18 | John David Codignotto | Message publishing system and method |
US6732149B1 (en) | 1999-04-09 | 2004-05-04 | International Business Machines Corporation | System and method for hindering undesired transmission or receipt of electronic messages |
US6370526B1 (en) | 1999-05-18 | 2002-04-09 | International Business Machines Corporation | Self-adaptive method and system for providing a user-preferred ranking order of object sets |
US6592627B1 (en) | 1999-06-10 | 2003-07-15 | International Business Machines Corporation | System and method for organizing repositories of semi-structured documents such as email |
CA2383609A1 (en) * | 1999-09-01 | 2001-03-08 | Peter L. Katsikas | System for eliminating unauthorized electronic mail |
US6449636B1 (en) | 1999-09-08 | 2002-09-10 | Nortel Networks Limited | System and method for creating a dynamic data file from collected and filtered web pages |
US6728690B1 (en) | 1999-11-23 | 2004-04-27 | Microsoft Corporation | Classification system trainer employing maximum margin back-propagation with probabilistic outputs |
US6321267B1 (en) | 1999-11-23 | 2001-11-20 | Escom Corporation | Method and apparatus for filtering junk email |
US6915344B1 (en) * | 1999-11-30 | 2005-07-05 | Microsoft Corporation | Server stress-testing response verification |
US6633855B1 (en) | 2000-01-06 | 2003-10-14 | International Business Machines Corporation | Method, system, and program for filtering content using neural networks |
US6701440B1 (en) | 2000-01-06 | 2004-03-02 | Networks Associates Technology, Inc. | Method and system for protecting a computer using a remote e-mail scanning device |
US7822977B2 (en) | 2000-02-08 | 2010-10-26 | Katsikas Peter L | System for eliminating unauthorized electronic mail |
US6438584B1 (en) | 2000-03-07 | 2002-08-20 | Letter Services, Inc. | Automatic generation of graphically-composed correspondence via a text email-interface |
US6691156B1 (en) | 2000-03-10 | 2004-02-10 | International Business Machines Corporation | Method for restricting delivery of unsolicited E-mail |
US6684201B1 (en) | 2000-03-31 | 2004-01-27 | Microsoft Corporation | Linguistic disambiguation system and method using string-based pattern training to learn to resolve ambiguity sites |
US7210099B2 (en) | 2000-06-12 | 2007-04-24 | Softview Llc | Resolution independent vector display of internet content |
US20040073617A1 (en) | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
JP2004531780A (ja) | 2000-06-22 | 2004-10-14 | マイクロソフト コーポレーション | 分散型コンピューティングサービスプラットフォーム |
US7003555B1 (en) * | 2000-06-23 | 2006-02-21 | Cloudshield Technologies, Inc. | Apparatus and method for domain name resolution |
TW533702B (en) * | 2000-07-28 | 2003-05-21 | Wistron Corp | Network communication system and dynamic message routing method therefor |
US6779021B1 (en) | 2000-07-28 | 2004-08-17 | International Business Machines Corporation | Method and system for predicting and managing undesirable electronic mail |
US6842773B1 (en) | 2000-08-24 | 2005-01-11 | Yahoo ! Inc. | Processing of textual electronic communication distributed in bulk |
US6971023B1 (en) | 2000-10-03 | 2005-11-29 | Mcafee, Inc. | Authorizing an additional computer program module for use with a core computer program |
US6757830B1 (en) | 2000-10-03 | 2004-06-29 | Networks Associates Technology, Inc. | Detecting unwanted properties in received email messages |
US6748422B2 (en) | 2000-10-19 | 2004-06-08 | Ebay Inc. | System and method to control sending of unsolicited communications relating to a plurality of listings in a network-based commerce facility |
US7243125B2 (en) | 2000-12-08 | 2007-07-10 | Xerox Corporation | Method and apparatus for presenting e-mail threads as semi-connected text by removing redundant material |
JP3554271B2 (ja) | 2000-12-13 | 2004-08-18 | パナソニック コミュニケーションズ株式会社 | 情報通信装置 |
US6775704B1 (en) | 2000-12-28 | 2004-08-10 | Networks Associates Technology, Inc. | System and method for preventing a spoofed remote procedure call denial of service attack in a networked computing environment |
US20050159136A1 (en) * | 2000-12-29 | 2005-07-21 | Andrew Rouse | System and method for providing wireless device access |
US20020129111A1 (en) | 2001-01-15 | 2002-09-12 | Cooper Gerald M. | Filtering unsolicited email |
US6941466B2 (en) * | 2001-02-22 | 2005-09-06 | International Business Machines Corporation | Method and apparatus for providing automatic e-mail filtering based on message semantics, sender's e-mail ID, and user's identity |
US20020124025A1 (en) | 2001-03-01 | 2002-09-05 | International Business Machines Corporataion | Scanning and outputting textual information in web page images |
GB2373130B (en) | 2001-03-05 | 2004-09-22 | Messagelabs Ltd | Method of,and system for,processing email in particular to detect unsolicited bulk email |
US6928465B2 (en) | 2001-03-16 | 2005-08-09 | Wells Fargo Bank, N.A. | Redundant email address detection and capture system |
US6751348B2 (en) | 2001-03-29 | 2004-06-15 | Fotonation Holdings, Llc | Automated detection of pornographic images |
US8949878B2 (en) | 2001-03-30 | 2015-02-03 | Funai Electric Co., Ltd. | System for parental control in video programs based on multimedia content information |
US6920477B2 (en) | 2001-04-06 | 2005-07-19 | President And Fellows Of Harvard College | Distributed, compressed Bloom filter Web cache server |
US8095597B2 (en) | 2001-05-01 | 2012-01-10 | Aol Inc. | Method and system of automating data capture from electronic correspondence |
US7188106B2 (en) | 2001-05-01 | 2007-03-06 | International Business Machines Corporation | System and method for aggregating ranking results from various sources to improve the results of web searching |
US7103599B2 (en) | 2001-05-15 | 2006-09-05 | Verizon Laboratories Inc. | Parsing of nested internet electronic mail documents |
US6768991B2 (en) | 2001-05-15 | 2004-07-27 | Networks Associates Technology, Inc. | Searching for sequences of character data |
US20030009698A1 (en) * | 2001-05-30 | 2003-01-09 | Cascadezone, Inc. | Spam avenger |
US7502829B2 (en) | 2001-06-21 | 2009-03-10 | Cybersoft, Inc. | Apparatus, methods and articles of manufacture for intercepting, examining and controlling code, data and files and their transfer |
US20030009495A1 (en) | 2001-06-29 | 2003-01-09 | Akli Adjaoute | Systems and methods for filtering electronic content |
US7328250B2 (en) | 2001-06-29 | 2008-02-05 | Nokia, Inc. | Apparatus and method for handling electronic mail |
TW533380B (en) | 2001-07-23 | 2003-05-21 | Ulead Systems Inc | Group image detecting method |
US6769016B2 (en) * | 2001-07-26 | 2004-07-27 | Networks Associates Technology, Inc. | Intelligent SPAM detection system using an updateable neural analysis engine |
US7146402B2 (en) | 2001-08-31 | 2006-12-05 | Sendmail, Inc. | E-mail system providing filtering methodology on a per-domain basis |
KR100369282B1 (ko) | 2001-09-28 | 2003-01-24 | 주식회사 케이티 | 가상 전자우편주소를 이용한 스팸메일 방지 서비스 시스템및 그 방법 |
JP3590936B2 (ja) | 2001-10-06 | 2004-11-17 | テラス テクノロジーズ,インコーポレイテッド | 動的ipフィルタリングモジュールを有する電子メールサービスシステム及び動的ipアドレスフィルタリング方法 |
US20060036701A1 (en) * | 2001-11-20 | 2006-02-16 | Bulfer Andrew F | Messaging system having message filtering and access control |
US8561167B2 (en) * | 2002-03-08 | 2013-10-15 | Mcafee, Inc. | Web reputation scoring |
JP2003263391A (ja) | 2002-03-11 | 2003-09-19 | Nec Corp | 迷惑メールのフィルタリング方式 |
US6785820B1 (en) | 2002-04-02 | 2004-08-31 | Networks Associates Technology, Inc. | System, method and computer program product for conditionally updating a security program |
US20030204569A1 (en) | 2002-04-29 | 2003-10-30 | Michael R. Andrews | Method and apparatus for filtering e-mail infected with a previously unidentified computer virus |
US20030229672A1 (en) | 2002-06-05 | 2003-12-11 | Kohn Daniel Mark | Enforceable spam identification and reduction system, and method thereof |
US8046832B2 (en) | 2002-06-26 | 2011-10-25 | Microsoft Corporation | Spam detector with challenges |
US8924484B2 (en) | 2002-07-16 | 2014-12-30 | Sonicwall, Inc. | Active e-mail filter with challenge-response |
US7363490B2 (en) | 2002-09-12 | 2008-04-22 | International Business Machines Corporation | Method and system for selective email acceptance via encoded email identifiers |
US7188369B2 (en) | 2002-10-03 | 2007-03-06 | Trend Micro, Inc. | System and method having an antivirus virtual scanning processor with plug-in functionalities |
US20040083270A1 (en) | 2002-10-23 | 2004-04-29 | David Heckerman | Method and system for identifying junk e-mail |
US7149801B2 (en) | 2002-11-08 | 2006-12-12 | Microsoft Corporation | Memory bound functions for spam deterrence and the like |
US6732157B1 (en) | 2002-12-13 | 2004-05-04 | Networks Associates Technology, Inc. | Comprehensive anti-spam system, method, and computer program product for filtering unwanted e-mail messages |
WO2004059506A1 (en) | 2002-12-26 | 2004-07-15 | Commtouch Software Ltd. | Detection and prevention of spam |
US7171450B2 (en) | 2003-01-09 | 2007-01-30 | Microsoft Corporation | Framework to enable integration of anti-spam technologies |
US7533148B2 (en) | 2003-01-09 | 2009-05-12 | Microsoft Corporation | Framework to enable integration of anti-spam technologies |
US7725544B2 (en) * | 2003-01-24 | 2010-05-25 | Aol Inc. | Group based spam classification |
US7249162B2 (en) | 2003-02-25 | 2007-07-24 | Microsoft Corporation | Adaptive junk message filtering system |
US7543053B2 (en) | 2003-03-03 | 2009-06-02 | Microsoft Corporation | Intelligent quarantining for spam prevention |
US7219148B2 (en) | 2003-03-03 | 2007-05-15 | Microsoft Corporation | Feedback loop for spam prevention |
US20040177120A1 (en) | 2003-03-07 | 2004-09-09 | Kirsch Steven T. | Method for filtering e-mail messages |
US7366761B2 (en) * | 2003-10-09 | 2008-04-29 | Abaca Technology Corporation | Method for creating a whitelist for processing e-mails |
US7320020B2 (en) * | 2003-04-17 | 2008-01-15 | The Go Daddy Group, Inc. | Mail server probability spam filter |
US7653698B2 (en) | 2003-05-29 | 2010-01-26 | Sonicwall, Inc. | Identifying e-mail messages from allowed senders |
US7293063B1 (en) | 2003-06-04 | 2007-11-06 | Symantec Corporation | System utilizing updated spam signatures for performing secondary signature-based analysis of a held e-mail to improve spam email detection |
US7263607B2 (en) | 2003-06-12 | 2007-08-28 | Microsoft Corporation | Categorizing electronic messages based on trust between electronic messaging entities |
US8533270B2 (en) * | 2003-06-23 | 2013-09-10 | Microsoft Corporation | Advanced spam detection techniques |
US7051077B2 (en) | 2003-06-30 | 2006-05-23 | Mx Logic, Inc. | Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers |
US7155484B2 (en) | 2003-06-30 | 2006-12-26 | Bellsouth Intellectual Property Corporation | Filtering email messages corresponding to undesirable geographical regions |
US20050015455A1 (en) | 2003-07-18 | 2005-01-20 | Liu Gary G. | SPAM processing system and methods including shared information among plural SPAM filters |
US20050060643A1 (en) * | 2003-08-25 | 2005-03-17 | Miavia, Inc. | Document similarity detection and classification system |
US20050050150A1 (en) * | 2003-08-29 | 2005-03-03 | Sam Dinkin | Filter, system and method for filtering an electronic mail message |
US7451487B2 (en) | 2003-09-08 | 2008-11-11 | Sonicwall, Inc. | Fraudulent message detection |
US7257564B2 (en) | 2003-10-03 | 2007-08-14 | Tumbleweed Communications Corp. | Dynamic message filtering |
US7610341B2 (en) * | 2003-10-14 | 2009-10-27 | At&T Intellectual Property I, L.P. | Filtered email differentiation |
US7451184B2 (en) * | 2003-10-14 | 2008-11-11 | At&T Intellectual Property I, L.P. | Child protection from harmful email |
US7930351B2 (en) | 2003-10-14 | 2011-04-19 | At&T Intellectual Property I, L.P. | Identifying undesired email messages having attachments |
US7373385B2 (en) | 2003-11-03 | 2008-05-13 | Cloudmark, Inc. | Method and apparatus to block spam based on spam reports from a community of users |
US20050102366A1 (en) | 2003-11-07 | 2005-05-12 | Kirsch Steven T. | E-mail filter employing adaptive ruleset |
US20050120019A1 (en) | 2003-11-29 | 2005-06-02 | International Business Machines Corporation | Method and apparatus for the automatic identification of unsolicited e-mail messages (SPAM) |
US7359941B2 (en) * | 2004-01-08 | 2008-04-15 | International Business Machines Corporation | Method and apparatus for filtering spam email |
US7590694B2 (en) | 2004-01-16 | 2009-09-15 | Gozoom.Com, Inc. | System for determining degrees of similarity in email message information |
US7693943B2 (en) | 2004-01-23 | 2010-04-06 | International Business Machines Corporation | Classification of electronic mail into multiple directories based upon their spam-like properties |
US20050182735A1 (en) * | 2004-02-12 | 2005-08-18 | Zager Robert P. | Method and apparatus for implementing a micropayment system to control e-mail spam |
US7640322B2 (en) | 2004-02-26 | 2009-12-29 | Truefire, Inc. | Systems and methods for producing, managing, delivering, retrieving, and/or tracking permission based communications |
US20050204159A1 (en) * | 2004-03-09 | 2005-09-15 | International Business Machines Corporation | System, method and computer program to block spam |
US7627670B2 (en) * | 2004-04-29 | 2009-12-01 | International Business Machines Corporation | Method and apparatus for scoring unsolicited e-mail |
WO2006002076A2 (en) | 2004-06-15 | 2006-01-05 | Tekelec | Methods, systems, and computer program products for content-based screening of messaging service messages |
US20060123083A1 (en) * | 2004-12-03 | 2006-06-08 | Xerox Corporation | Adaptive spam message detector |
US7937480B2 (en) * | 2005-06-02 | 2011-05-03 | Mcafee, Inc. | Aggregation of reputation data |
US7971137B2 (en) * | 2005-12-14 | 2011-06-28 | Google Inc. | Detecting and rejecting annoying documents |
-
2003
- 2003-06-04 US US10/454,168 patent/US7272853B2/en active Active
-
2004
- 2004-03-25 US US10/809,163 patent/US7464264B2/en not_active Expired - Fee Related
- 2004-05-17 TW TW093113883A patent/TWI353146B/zh not_active IP Right Cessation
- 2004-05-18 JP JP2004148159A patent/JP4672285B2/ja active Active
- 2004-05-20 CA CA2467869A patent/CA2467869C/en active Active
- 2004-05-21 EP EP04102242.7A patent/EP1484893B1/en active Active
- 2004-05-21 MY MYPI20041958A patent/MY142668A/en unknown
- 2004-05-24 ZA ZA200404018A patent/ZA200404018B/xx unknown
- 2004-05-25 KR KR1020040037227A patent/KR101137065B1/ko active IP Right Grant
- 2004-05-25 AU AU2004202268A patent/AU2004202268B2/en active Active
- 2004-05-27 BR BRPI0401849A patent/BRPI0401849B1/pt not_active IP Right Cessation
- 2004-05-28 US US10/856,978 patent/US7409708B2/en active Active
- 2004-06-02 MX MXPA04005335A patent/MXPA04005335A/es active IP Right Grant
- 2004-06-03 RU RU2004116904/09A patent/RU2378692C2/ru not_active IP Right Cessation
- 2004-06-03 PL PL04368364A patent/PL368364A1/xx not_active Application Discontinuation
- 2004-06-04 CN CN2004100639539A patent/CN1573784B/zh active Active
-
2007
- 2007-01-09 US US11/621,363 patent/US7665131B2/en active Active
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2582063C2 (ru) * | 2010-03-08 | 2016-04-20 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Классификация зон сообщений электронной почты |
US9838349B2 (en) | 2010-03-08 | 2017-12-05 | Microsoft Technology Licensing, Llc | Zone classification of electronic mail messages |
RU2569806C2 (ru) * | 2010-05-21 | 2015-11-27 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Доверенная связь по электронной почте в многопользовательской среде |
US9253126B2 (en) | 2010-05-21 | 2016-02-02 | Microsoft Technology Licensing, Llc | Trusted e-mail communication in a multi-tenant environment |
RU2453916C1 (ru) * | 2011-05-05 | 2012-06-20 | Игорь Викторович Лебедев | Способ поиска информационных ресурсов с использованием переадресаций |
RU2595533C2 (ru) * | 2013-10-02 | 2016-08-27 | Общество С Ограниченной Ответственностью "Яндекс" | Система отображения почтовых вложений на странице веб-почты |
RU2580424C1 (ru) * | 2014-11-28 | 2016-04-10 | Общество С Ограниченной Ответственностью "Яндекс" | Способ выявления незначащих лексических единиц в текстовом сообщении и компьютер |
US9971762B2 (en) | 2014-11-28 | 2018-05-15 | Yandex Europe Ag | System and method for detecting meaningless lexical units in a text of a message |
RU2672616C1 (ru) * | 2017-11-22 | 2018-11-16 | Акционерное общество "МаксимаТелеком" | Комплекс и способ для предотвращения блокировки рекламного контента |
RU2775561C1 (ru) * | 2019-08-23 | 2022-07-04 | Общество С Ограниченной Ответственностью «Яндекс» | Способ и система идентификации электронных устройств настоящих клиентов организаций |
US11710137B2 (en) | 2019-08-23 | 2023-07-25 | Yandex Europe Ag | Method and system for identifying electronic devices of genuine customers of organizations |
US11316893B2 (en) | 2019-12-25 | 2022-04-26 | Yandex Europe Ag | Method and system for identifying malicious activity of pre-determined type in local area network |
Also Published As
Publication number | Publication date |
---|---|
EP1484893B1 (en) | 2017-07-05 |
CA2467869A1 (en) | 2004-12-04 |
KR101137065B1 (ko) | 2012-07-02 |
TWI353146B (en) | 2011-11-21 |
EP1484893A2 (en) | 2004-12-08 |
AU2004202268A1 (en) | 2004-12-23 |
CN1573784B (zh) | 2012-11-07 |
US7409708B2 (en) | 2008-08-05 |
JP2004362559A (ja) | 2004-12-24 |
ZA200404018B (en) | 2005-05-20 |
US7665131B2 (en) | 2010-02-16 |
BRPI0401849A (pt) | 2005-02-09 |
JP4672285B2 (ja) | 2011-04-20 |
MXPA04005335A (es) | 2005-03-31 |
TW200509615A (en) | 2005-03-01 |
MY142668A (en) | 2010-12-15 |
US7272853B2 (en) | 2007-09-18 |
US20050022008A1 (en) | 2005-01-27 |
RU2004116904A (ru) | 2005-11-10 |
BRPI0401849B1 (pt) | 2017-04-11 |
AU2004202268B2 (en) | 2009-12-03 |
CA2467869C (en) | 2013-03-19 |
EP1484893A3 (en) | 2006-05-24 |
US20050022031A1 (en) | 2005-01-27 |
US7464264B2 (en) | 2008-12-09 |
US20070118904A1 (en) | 2007-05-24 |
KR20040104902A (ko) | 2004-12-13 |
CN1573784A (zh) | 2005-02-02 |
US20040260922A1 (en) | 2004-12-23 |
PL368364A1 (en) | 2004-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2378692C2 (ru) | Перечни и признаки источников/адресатов для предотвращения нежелательных почтовых сообщений | |
US9501746B2 (en) | Systems and methods for electronic message analysis | |
US7580982B2 (en) | Email filtering system and method | |
US8135780B2 (en) | Email safety determination | |
US8194564B2 (en) | Message filtering method | |
US7882189B2 (en) | Using distinguishing properties to classify messages | |
US7562122B2 (en) | Message classification using allowed items | |
US8392357B1 (en) | Trust network to reduce e-mail spam | |
US20040236838A1 (en) | Method and code for authenticating electronic messages | |
US20050015626A1 (en) | System and method for identifying and filtering junk e-mail messages or spam based on URL content | |
US20050050150A1 (en) | Filter, system and method for filtering an electronic mail message | |
US20080028029A1 (en) | Method and apparatus for determining whether an email message is spam | |
US20080209554A1 (en) | Spam honeypot domain identification | |
US20050198289A1 (en) | Method and an apparatus to screen electronic communications | |
US8880611B1 (en) | Methods and apparatus for detecting spam messages in an email system | |
US8375089B2 (en) | Methods and systems for protecting E-mail addresses in publicly available network content | |
Choi et al. | EMAIL HEADER ANALYSIS FOR AUTHOR IDENTIFICATION | |
JP2004104271A (ja) | 迷惑メールサーバ探知方法および迷惑電子メール処理方法、システム、並びにプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20130604 |