TWI281616B - Method of utilizing user knowledge for categorizing messages in computer network, computer readable media containing program code for implementing the method, and computer network of utilizing user knowledge for categorizing messages - Google Patents

Description

I2816F¥FI 九 '發明說明： 【發明所屬之技術領域】 本發明係提供一電腦網路系統，尤指一種網路使用者能依據 接收到之訊息，更新訊息分類及過濾特性之電腦網路系統。 【先前技術】 在現今的網路環境巾，有很錄體或硬體技術可用來分類及 過渡訊息，尤其對於電子郵件（電子郵件）的分敝過濾更是受 到重視。電子郵件中有時會包含有—些紐的指令，這些惡性的 指令我們通常稱之為「蟲」（_)或是「病毒」（vims)。而 用來_這些蟲、縣或其他惡性的指令陳劃被成為「防毒 軟體」&射病毒」這個糊來代麵_喊在構案中 =性彳日令’以下我們使用「病毒」這個名詞時皆以此轉釋為 在此請參考Chen等人提出的美國 :=:常用於網路中的訊息•二= 進二:之輪在接到-訊_ 加檔_毒，則_二:=:= 1281616 “ / 被病毒感染的附加檔；或將該檔案加上一警告旗標後，送至收信 人，以使该收彳§人可在開啟該被病毒感染的附加槽前得到預先的 警告。 請參閱圖一，圖一為習知技術一使用伺服器端訊息過濾器之 區域網路10的簡單方塊圖。一區域網路1〇包含有一伺服器12及複 數個客戶電腦14，客戶電腦μ使用伺服器12以接收及傳送電子郵 件。因為區域網路10中所有的電子郵件皆須經過伺服器，因此 祠服器12疋安裝一防毒掃描器16的合理位置。當電子郵件從網際 網路20送至區域網路10時，它們先被送至伺服器12，由防毒掃描 器16進行掃瞄。若該電子郵件未被感染，則可被傳送至它們位於 區域網路10中的目的地客戶電腦14 ;若該電子郵件被發現已受感 染’則触^ 12财數種财技術可喊擇，用來處理該已受感 ^的電子郵件。—種較激烈的方式就是直接刪除該已受感染的電 子郵件’並通知該電子郵件的目的地客戶電腦14 ··「有一個具病 毋的電子郵件已被伺服II刪除」；或者，也可以僅移除受咸染的 ^力㈣，電子郵件巾其他未受感_部分則可送至目的地客戶'電 腦’运有-種較不積極的方式，就是在被感染的電子郵件插入一 標頭，表示該電子郵件中可能具有病毒，客戶電腦14的電子郵件 程式Ma必魏尋找這_警告性標頭，以提供使用者適當的警告 訊息。 圖所不的配置方式可有多種不同的變化，在此不多做敘

1281616 述。然而’有-個共通點就是’不論防毒掃描器i6安裝在哪裡， 皆需要用到-病毒資料庫l6a，病毒資料庫16a包含有多數個病毒 簽章，其中每—個病錢章皆可識別單-個流通的病毒（亦即該 病毒在網際網路20中流通著）。因此防毒掃描器16可以確認電子 郵件的附加檔中是否帶有病毒。每一個病毒簽章必須能夠準確的 識別出其所制到的單-病毒，以將錯誤的㈣減至最少。病毒 資料庫16a_毒掃描ϋ16通常都是緊密的_連的，是在一個由 防毒掃描H16的製造者所決定的所有權的形式。換言之，不論是 伺服器12的管理者或是客戶電顺的錢者，皆無法編輯病毒資 料庫16a。如電腦使用者所熟知，不_有新病毒出現在電腦世界 ^因此必須錢的更新麵毒㈣庫16a。通常更新的方式都 疋’飼服ϋ 12經由網際鱗20與时掃描n製造商μ連線，並下 載最新版本病毒資料庫22a，此最新版本病毒資料庫瓜由防毒掃 描器製造朗貞責更新與提供。最魏本病料庫咖被用來更 新（或補強）病毒資料庫l6a。防毒掃締製造商22的員工負責冤 集二分析流通的病毒，並找出可識別出每個新的病毒的新的病毒 簽早，這些新的病毒簽章就被加到最新版本病毒資料庫22a之中。 上述的方式並不是沒有缺點，請考慮以下情形：一個所謂的 .骇客24持續研發新的病毒，並且大量寄·研發出賴病毒撕到 "亥駭客可以知道的所有電子郵件位址。由於新病毒2如剛被製造出 來，不淪是伺服器12的病毒資料庫1如或是防毒掃描器製造商22的 最新版本病毒資料庫22a都還沒有相對應的病毒簽章可以識別出 1281616 =毒⑽。或許要㈣數域_的_，时掃描賴造抑 =工才會㈣難本，村·更崎難本病毒資 # 22a’或許還要更多的時間，伺服㈣的管理者才會下載這更 新過的最新版本病毒資料庫22a，並更新自己的病毒資料庫恤。 适已經提供新病毒24a充裕的時間去感染伺服器η的客戶電腦 Η。更糟的是’被感染的客戶電腦14無法自動通知該防毒掃描器 16新的病毒已被發現。後觀含難毒件仍舊可以輕易的 通過防毒掃描器1如，去感染另一個客戶電腦!4，即使已經有使用 者知道新病毒24a的存在。 另-種需要被過濾電子郵件訊息的就是所謂的「濫發」。濫 發是不請自來的郵件，通常由—自動系統大量的送給數以千計的 接收者’有些_t，濫發可⑽掉所有f子郵件訊息的百分之 八十。除了擾人之外，濫發亦可具有主動的破壞性，因為它可以 使電子郵件_的資料儲存職極限，因為空間已被濫發所佔 據，此時即可導致有用的信件遺失。雖然理論上是可行的，但是 因為要追縱出;監發常是-件繁重的工作，所以防毒掃描器製造商 22通常不會利用最新版本病毒資料庫22a及病毒資料庫丨如來識別 出濫發。故即使有防毒掃描器16的存在，濫發依舊可以自由的從 網際網路20送至客戶電腦14。 在此請參考Buskirk等人提出的美國專利第6,424,997號，該專 利係揭露一以機器學習為基礎的電子郵件系統。該系統使用一分 1281616「辉4力（轉趙雜楱_ Λ—υ,，·ν*.ν.<Η.Λ 類器，用來分類接收的訊息，並依據訊息被分類成的類別 訊息執行不同的動作。請參_二，圖二為習知技術-分類哭的Λ 簡單方塊圖。分類器30藉由對應η種類別中的每一類別產生一任 指數32 ’將-訊息資料31分類為η種類別的其中一種，亦即得至= 高信任指數的類脚為該訊息被分__。分類㈣内的運= 係為熟知技術者所瞭解，在此不做贅述。 、Buskirk等人提出的美國專利第6,424,997號，揭露了機器學習 为類的-些概念；john M Patger提出的美國專利第6,⑻3,防號， 揭路了在分類系統_，決定信任指數的方式；以响D⑽i提出的 美國專利第6,027,904號，揭露了類似影像分類的影像恢復方式； John M· Patger提出的美國專利第5,943,67〇號，揭露一物件的最佳 類別為-已存在類職組合的赠。以上只是眾多現今使用技術 中的幾種。總括來說，幾乎所有的技術都是使用定義類別的樣本 攔來執行分類。因此，分類器30包含有一類別資料庫33，類別資 料庫33分成n個子資料庫34a_34n，以定義11個類別。第一子資料庫 34a包含有複數個樣本欄35a，定義了該一第一類別的主要特徵； 同樣地，第η子資料庫34η包含有複數個樣本攔35n，定義了一第n 類別的主要特徵。藉由選擇最佳的樣本欄35a-35n來定義相對的類 別並依據樣本欄35a_35n來建立分類的規則，以增加樣本攔的方 式來達成機器的學習的目的。通常，有越多的樣本攔35a_35n，就 會有更好的分類規則，且分類器30可做出更正確的分類。在此我 們必須瞭解的是樣本欄35a_35n的會依分類器的不同有而有不同的

12 81H月奶日修(产替換舆I 袼式。 使用於先如技術的刀類态30並不是沒有任何的問題。實際 ^ ’類別㈣庫33通常會具有—種所有獅形式，因此增加或改 灸樣本欄疋無法實行的。除非是—個受過訓練的使用者，使用具 有所有權的軟體，且具有特殊的存取權限’才可更動類別資料庫 ^。沒有-補可贿-個平常_路使用者提供龍作為類別 貧料庫33中的樣本欄35a-35n。因此網路上很多可以幫助訊息分類 的知識並沒有被利用到。 【發明内容】 以以使用者知識交流為 ，以解決上述習知訊息 因此本發明之主要目的在於提供一種 基礎的訊息分類及自我改善訊息傳送系統 分類系統的問題。 根據本發明之申請專利範圍，係揭露一種方法及相關的系 統’用來分類及猶-電腦網路中的訊息。該電腦曝包 -第-電腦；複數個第二電腦，以網路連結之方式與該第 相互通訊。該方法包含有：提傾第—電腦—分麵，該分_ 可對-訊息指定-分類信任指數’該訊息係對應於至少— 提供該第-電腦-_資料庫，該類別資料庫包含有對應於匕 類別之類鮮雜庫，其巾該分_使賴軸㈣料定: l28l616 类員信任指數；提供每一個第二電腦一傳送模組，該傳送模組可從 _ 该第二電腦傳送-訊息至該第—賴，並將該訊息__該_ 、„ 寅料庫中至V類別，以及將該訊息關聯到一使用者資訊。開如 時，一第一汛息被任何一個第二電腦接收到；利用接收到該第一 矾息之第二電腦的傳送模組傳送一第二訊息至該第一電腦，該第 -訊息之内容根據該第—訊息之内容決定，該第二訊息被關聯到 一第-類別及該第二電腦的使用者#訊；以及依據該第二訊息的 内容及該第二電腦的使用者資訊變更該類別資料庫中一第一類別鲁 子資料庫，其中該第一類別子資料庫對應於該第一類別。該第一 電腦收到一第三訊息，利用該分類器，依據該變更過的第一類別 子f料庫，取得該第三訊息對應於第一類別之第一分類信任指 數，最後，依據該第一分類信任指數，對該第三訊息執行一過濾 技術。 .· 本發明的一個優點在於，它使得一位於任一第二電腦的使用 者可以傳送一訊息至該第-電腦，並且關連該訊息使其成為一特· 定類別的制。該第-電腦_該分_，對送人的訊息指定該 訊息屬於某—特定_的信任等級。藉由使第二電腦具有增加該 類別資料庫的能力，該第一電腦便可以學習新的類別，並辨識送 · 入訊息是否包含有新的類別。簡言之，第二電腦使用者的知識可 - 以用來辨識並且渡除送入的訊息。 【實施方式】 13 1281616 。月麥閱圖二。圖三為本發明第一實施例之區域網路4〇的簡單 方塊圖。區域網路40包含有-第一電腦5〇 ;複數個第二電腦 60a-60n，經由一網路連結42與第一電腦5〇相互通訊。在此為了簡 單明瞭，只有第二電腦60a的内部構造被顯示出來，實際上所有的 第二電腦60a-60n皆具有如第二電腦6〇a的内部構造。電腦間的網路 連結（即_連結切是習知技術麵熟知，因此在料另說明。 需要注意的是，配合本發明，網路連結42可以是一無線連結或一籲 有線連結。第-電腦5G包含有—中央處理單元5卜—可執行之程 式碼52。程式碼52包含有複數_來實行本發财法的模組；相 同的，每一第二電腦60a-60n皆包含有一中央處理單元61，一可執 仃之程式碼62。程式碼62包含有複數細來實行本發财法的模 組。閱讀過以下的詳細說明後，習知技術者即可瞭解如何產生及 使用程式碼52及程式碼62中的複數個模組。 簡單的說，第-實施例的目的是要使第二電腦6〇a德有辦法· 通報第-電腦5〇關於病毒攻擊的訊息。假設第—電腦灣一訊息 伺服器，第二電腦60a-60n係訊息伺服器50之客戶電腦。第一電腦 50使用一分類器53來分析一送入訊息74 (可以是一電子郵件訊 息），並對送入訊息74指定-分類信任指數，該分類信任指數係 表不送入訊息74帶有病毒的可紐。訊息可能是來網際網賴， 如送入Λ心74亦可月b來疋自區域網路40中的其他電腦。分類器 53使用-_資料庫54，以對送人訊息观行分類之分析。當一 · 14 la n 1281616 第，電腦（如第二電腦6Ga)通知第i腦50—病毒攻擊的消息， 該第二電腦60a傳送-包含該病毒的訊息至第—電腦如。第一^腦 5何以將此包含有顧毒的訊息加人_f料庫％，因此所有後 續的包含有該病毒的送人訊息皆會歸類成包含有該病毒，亦即它 們會被指定高齡類錄，代表它們是包含有財的訊息。 至於第-電腦5G是狄第二電腦_送來的包含有 加入類別資料庫54則取決於第4_a所關麵的使者^訊。心 在第-實施射’ _資料庫54包含有—病毒子資料庫地， 包含有複數個病毒樣本攔細，用來定義及識別複數的已知病毒類 型。病毒子資料庫Ma的格式會受使用的分類器％所決定，不在本 發明之討論範圍。不論分織53的運作方法為何，其皆會使用病 毒樣本攔2G(UX產生分類信任指數。藉由增加財子賴料神 病毒樣本攔2_數量，即可擴大第—電節_病毒搜捕能力，可 達機器學習的功效。 當對送入訊息74執行分析時，可以對整個訊息的範圍進行分 析。然而，制考慮到f子郵件時，財㈣作法岐對於該電 子郵件訊息每_加_進行分析，依據附加職得到的最 高信任指數，指定分類信任指數給電子郵件訊息74。舉例來說， -個為電子郵件之送入訊息74可能包含有一主體部％、兩個影像 附加檔74b及74c、-個可執行附加檐爾。分類器％可以先分析主-體部74a，依據病毒子資料庫54a以指定主體部—個指數，例如’ 15 12816¾ # /]

〇·〇ι ’之後分類器可以對影像附加檔爲及7如進行分析，假設分別 產=了指數0.06、_ ;最後；分類器53分析可執行附加槽爾， 假二產生了指數α88。&於顯示該訊息是否包含有病毒的整體的信 任1數是由最高__決定，因此對整體訊息74就會產生一^ U曰數α 88。卩上僅為_種對送人訊息74指定信任指數的方法的例 子，至於該如何設定分類器53，以指定分類信任指數，則需依訊 息内容及子龍庫騎定，設計者可依需考慮的航所決定設計 气我們可月匕會希望讓分類器Μ依據送入訊息％中各不同的附 加擒形式來決定不同的處理方式。例如，分鐘53可以對可執行 附力槽使用種給疋任指數的系統；對影像附加播使用另一種 給定信任指數的系統；對純文字附加獅使用另—種給定信任指 數的系統，如此即可增加對不同形式附加檔進行分類的彈性，當 然我們必須在分類ϋ53中編人可以識別不同形式附加槽的程式 碼。另外，分類器53可以只對送入訊息74的每一個附加檔指定個 別的彳§任指數，而不對整個送入訊息74指定整體的信任指數，如 此可以增加對送入訊息74決定執行處理及過濾時的彈性。 第一電腦50包含有一訊息伺服器55，訊息伺服器55是初始接 受送入afl息的位置’簡單郵件轉移協定（^^卜Maii Transfer Protocol ’ SMTP)的常駐程式即是這類訊息伺服器55的例子。訊 息伺服器55可接收一送入訊息74，使用分類器53對送入訊息74執 行分類分析，產生一信任指數56。如之前所敘述的，分類器53依 據病毒子資料庫53a中的病毒樣本攔2〇〇以產生信任指數56。可以 16 128 隨 1 哺0正雜i| 由訊息伺服器55對分類器53下達進行分類的要求，亦可以由—另 外的控制程式來下達要求。以第一實施例而言，我們假設信任指 數56中包含有信任指數56b、信任指數56c、信任指數56d，分別對 應到附加檔74b、74c、74d，以及一對應到主體部74a的信任指數 56a。套用前一段的例子，56a、56b、56c、56d分別是〇·〇ι、〇 〇6、 〇·〇8、〇·88，其中〇·88是相對最大值。整體信任指數56的值可以簡 單的給定為最大值〇·88。當然，附加檔的信任指數56b、56c等的數 目疋由送入訊息74所帶有的附加播數目所決定的，可以是零，也 可以疋一個正整數。 對於送入訊息74得到信任指數56之後，一訊息過濾器57被用 來決定如何處理送入訊息74。訊息過濾器57依據信任指數56，採 用數種過濾技術的其中一種。這類的的過濾技術並不在本發明範 圍内。比車父激烈的過遽技術就是當信任指數56超過一閥值時， 相關的送入訊息74就會被刪除掉。第一電腦5〇的操作者可以設定 閥值57a。舉例來說，假如閥值57a係0·80，而送入訊息74的整體 k任扣數56係〇·88 ’則送入訊息74就會被刪除掉。可以傳送一郵件 細除的通知給送人訊息74的職接收者，結果就是送入訊息％ 被一通知訊息57b所取代了，而送給預定接收者。還有另一種作法 就是僅刪除信任指數超過閥值57&的附加檔，以前述的例子為例， 本體74a及影像附加檔74b及74c不會被刪除；可執行附加檔74d則 會被從送入訊息74中刪除，因為其相對的信任指數5_〇·88，已 經超過閥值57a的值0.80。訊息過濾器57可以選擇性的插入一旗標 17 1281616 在送入訊息74之中，表示附加檔74d被刪除了。刪除侵略性的附加 檔74d後，送入訊息74以及被選擇性插入的通知，才被送給預計接 收者。另外，訊息過濾器57可使用的最不積極的方式，則是對於 任何可疑的附加檔，僅在相對的送入訊息中插入一警告訊息，就 送至預計接收者。該警告訊息可以插入於標頭中、或本體内，等 等不同的地方，主要的目的是要讓預計接收者在開啟可疑的附加 檔之前，可以先知悉警告含有病毒的訊息。 母一個第二電腦60a_60n皆具有一傳送模組63。傳送模組63與 为類器53緊密相關連，且與分類器53具有網路相連。詳細的說， 就是傳送模組63可以傳送一更新訊息63a至分類器53，並將更新訊 息63a與類別資料庫中的一個類別建立關連。更新訊息63a亦關連 到產生更新吼息63a的使用者。以第一實施例而言，因為類別資料 庫54中僅具一種類別，即病毒子資料庫54a，因此不用特別的指 不，更新訊息63a即可被被關連到病毒子資料庫54a。第二電腦6〇 的一使用者自一送入訊息中發現了病毒，因而送出了更新訊息 63a，將更新汛息63a關連至哪一個使用者資訊亦可以不用特別的 指不，因為第二電腦60a-60n是伺服器50的客戶，只要有一登入的 步驟即可很容易的將更新訊息63a關連關連到正確的使用者資 汛。舉例來說，要成為伺服器5〇的客戶，一第二電腦00a的使用 者必須如習知技術者所熟知的方式，先登入第一電腦5〇。之後， 伺服裔50從第二電腦6加收到的任一訊息63a皆被認定為是由第二 電腦6〇a登入伺服裔5〇的那位用者所送出。除此之外，訊息6如亦 1281616 4' ; .....：；：：...... 可以明確的包含有送出訊息6如的那位使用者的者資訊63b。使用 者貧訊資料63b通㈣-使用者酬碼c〇de， ID)。使用者可以使用傳送模組63傳送—感染訊息至分類器53， 示了了以用正個被感染的訊息來構成更新訊息幻a，亦以可以僅使 用被感柒的附加播來構成更新訊息63a。由於更新訊息63a關連到 類別資料庫Μ中的子資料庫地是不用特別指示的，因此更新訊 ^63a不必包含相關的資訊。透過網路連結Μ傳送更新訊息6如至 刀類為53。在接到更新訊息63a時，在沒有如此的病毒樣本欄馨 20〇a、且使用者資訊資訊6邓顯示出該使用是一個一可信賴的使用 者的情況下，分類器53將更新訊息63a加入到病毒子資料庫54a 以作為一新的病毒樣本攔200a。請注意，加入新的病毒樣本攔2〇加 的動作視分類器63所使用的方法而定，舉例來說，可以是整個更 新訊息被加入樣本襴中，亦可以是更新訊息中預設的一部份被加 入樣本攔中，至於明確的加入新樣本欄的方法則是設計時依據分 類器53的_所做的設計選擇。加人新樣本攔的結果則是可使後 續包含相同病毒的訊息被指定高的信任指數，而使用者資訊 _ 如何用於增加新樣本欄的決定則在之後會有詳細介紹。 為了加深瞭解，考慮一假設的情形。送入訊息74，以及相關 的附加檔74b、74c和74d，被訊息伺服器55接收，預計接收者是 第二電腦60a。如前述的，假設閥值5%是〇 8〇，用來做病毒檢測及 消除；並假設附加檔74d得到一指數56d值是〇·62，其他的附加檔74b 及74c則得到如前述的指數。附加檔74d得到的信任指數56d值〇·62 19

並不足驅動A息過遽為57，因此附加檔別不會被刪除，訊息過 慮印57可％僅對應信任指數56d插人—警告旗標，將加人該警告旗 枯的U4送至預计接收者的第二電腦6〇(經由訊息伺服器％)。 在第二電腦60，一訊息伺服器65接收了加入該警告旗標的送入訊 息74，稍後，使用者_—訊息讀取程式咐讀取送人訊息^。 在開啟送人訊息74的過財，訊息讀取程式64發現了該警告旗 ‘例如警告，附加槽有62%的可能帶有病毒"。此時使用者可以 選擇刪除或開啟附加冑74d。假設使用者決定開啟附加播爾，並 且在附加擋74d巾發現了-病毒。為了使用上的便利，訊息讀取程 式64與傳送模組63可以具有—個介面，從制者的角度而言，此 兩種程式可被視為單—的程式。傳送模組63提供—使用者介面使 侍使用者可以傳送具有攻擊性的可執行附加擋74d給第一電腦 50。或者當使用者知道病毒包含在訊息74中，但是不確定是哪一 個附加檔時，使用者可以傳送整個送入訊息74給第一電腦5〇。為 了執行這個動作，傳送模組63產生一更新訊息63a(包含有可執行附 加檔74d，或整個送入訊息74)，並經由網路連結42傳送更新訊乳伽 至分類器53。分類器53關連更新訊息63a至病毒子資料庫54a (因 為只有病毒這種類別），發現使用者資訊63b顯示使用者係一病毒 資料的可靠來源，因此依據更新訊息63a，產生一適當的樣本棚。 假如這樣的樣本欄，本來並不存在於病毒子資料庫54a中，（例如，， 病毒X”樣本攔2〇〇a)，則在病毒子資料庫54a中加入此一樣本攔。 一段時間以後，可以是幾秒、分鐘或是幾天，假設另一個送 20 入訊息75經由網際網路70送達，目的地是第二電腦6〇n。送入訊息 75是一個電子郵件，包含有一本體部分75a以及一可執行附加檔 75b，其中包含有於送入訊息74的可執行附加檔74d中發現的病 毒。收到送入訊息75以後，送入訊息75被送至分類器53，而產生 了一信任指數58。主體部75a所得到的指數58a假設是〇1〇。然而， 由於可執行附加檔75b很類似可執行附加檔74d (已經成為病毒子 貝料庫54a中的病毒樣本攔2〇〇)，因此可執行附加檔75得到一相 對的k任指數58b，其值是〇·95，此一信任指數58b超過了閥值57a， 因此驅動了訊息猶H57，訊息過濾n57因而刪除可執行附加槽 75b，並在送入訊息75中插入一警告旗標，表示一附加檔案被刪除 了，並將此一變更過的送入訊息75傳送給第二電腦6〇n。第二電腦 60η上的訊息伺服器65接收了變更的送入訊息75，稍後，當一使用 者讀取送人訊息75時，訊息讀取程式6何以通知使用者關於可執 行附加檔75b酬除的消息，第的使时因此免於受感 染過第二電腦6Ga的病毒感染。請注意，第—電腦5()被區域網路 4〇中的任-個第二簡警告了病毒的絲，之躯域網路的中 所有的第二電腦皆可免於該病毒的感染，因此，區域網路4〇中單 一使用者關於新的病毒的知識可以用來幫助保護區域網路4〇中的 所有使用者。 每一個第二電腦60a-60n使用一傳送模組63以更新子資料庫 5 4 a。因此關於-使用者受病減染的知識被用來保護所有的使用 者’這種知識的利岐藉由分_53所達成，而非藉由傳統的病 21 I 4：· I2|l%l愚日修(齊替換 毋檢測模組。傳制病毒檢顺組較為單純，僅_—檔案是否 包含有病毒，而答賴能是麵沒有，而分_職為模糊，可 以提供表示感染機率驗任指數，然而，此種模_帶來的較大 =彈性。依據更新訊息63a巾包含的病毒龍，使用分類器53於病 毒子資料庫Ma巾產生-新的鱗樣本攔論，可以達成—種型式 的機器學$ ’因此可以快速的加大並彈性化病毒的檢測。眾所周 知’病毒常會偽裝自己，或是產生—系列變形，然而，這―系列 的病毒中可能包含有相_特性存在，使得設計良好的分類器53 可以很容易識別出這-系列的病毒變化。而且資料庫的更新幾乎 疋及時的，不需等待防毒軟體製造商更新，系統即可自動更新， 因而增加了防毒的效率。 使用分類器的另一個優點是：分類器可以將一訊息分類成一 種或多種不同的類別，亦即，分類器並不只限於可以偵測病毒， 刀類器亦可以用來偵測濫發、色情圖文、或是任何可以由子資料 庫樣本欄所定義的類別。簡言之，網路的使用者認定一訊息包含 有病毒、濫發或是色情圖文，將此資訊送至分類器，後續相同的 矾息就會被分類器識別出，並由訊息過濾器處理。因此使用者的 知識可以被用來偵測病毒、濫發，甚至所有不被歡迎的訊息，或 者是訊息中不被歡迎的附加檔。 請參閱圖四。圖四為本發明第二實施例之區域網路8〇的簡單 龙圖為了说明上的方便，第二實施例的區域網路設計成可 22 1281616 辦: 4. ^β： ^ ·1 1281616 辦: 4. ^β： ^ ·1 i 以侧兩種不受歡迎訊息的類別，這兩種類別分別是病毒妙 發’當然，依據同樣的理論可以將設計擴大成可以偵測更多種= 別。在㈣上’第二實關的區域網路8轉乎與第—實施例的區 域網路4G相同’除了在該第1腦9()上_諸庫94擴大成料 兩個子資料庫:-病毒子資料庫94a及—濫發子資料庫_。分_ 93可以將送入訊息⑴依據兩種類別作分類，一病毒類別，如病毒 子資料相a所定義，-麟_，如濫發子資料庫灿所定^ 對於每-個送人訊息⑴，分_93可以提供兩個分類信任指數 =毒分類錄減96絲絲私訊息⑴是縣綱訊息的 機率，另一濫發分類信任指數98用來表示送入訊息m是濫發類別 。的機率”類^93的分類程序必須適當的對應到所分類的類 別，舉例來說，蚊病毒分類信任指數％時，分_可以僅考慮 附加檔而忽略郵件主體；決定濫發分類信任指數98時，分類器可 以僅考慮郵件主體而忽略附加檔，因此，分類㈣在對不同類別 執行分類時可有不同的分酿序，以更準確的進行分類。 口另一個不同則在於第二電腦100a，1〇〇b的傳送模組ι〇3。圖四 有第一電腦l〇〇a被詳細的描述，每一個第二電腦皆具有與第 ★電WGGa相_魏。當經由祕連結82傳送-更新訊息⑽至 第電月尚90時’傳送模級1〇3必須將更新訊息奶明確的關連至一 種，別(亦即病毒子資料庫94a或濫發子資料庫_)。如此-來，分 ^可以知道需要以更新訊息105在病毒子資料庫94a或濫發子 、料庫94b+冑要S立—新樣本搁2〇la或2〇2a。傳送模組1〇3關連 23 1281616 更新訊息H)5至特定_的方法則是紳杨選擇，舉例來說，更 新訊息1G5可以使用—標頭來麵關連到㈣定類別。 考慮以下_子，訊息伺服則5接_—送人訊息⑴。送入 訊息m是-個電子郵件，包含有—本_la，—超文件標示語言 (hypertext markuplanguage’HTML)附加檔inb及一可執行附 加槽me。分_93產生兩個錄驗鱗信任指娜及一濫 發#任指數98。病毒信任指數96包含有屬於本體Ula的—信任指 數96二屬於超文件標示語言附加權⑽的一信任指娜匕，屬於 可執行附加檔111c的—信任指數96e。信任指數96a、96b以及9& 是依據第—實施例中的方法所指定的，依據病毒子資料庫94a中 樣本攔2〇1(包含雜—新賴糊赢)偶分織準。歸信任 指數98在本财係—單―的數字，其表示整體送人訊息⑴是否 被歸類為’。欲產生濫發信任指數98，分翻93使用濫發子資 料庫94b中的樣本攔2〇2(包含有新的樣本攔2〇2a，2〇2b)作為分類 基準。舉例來說，分類器93可以僅掃瞄本體iiia以及超文件標示 語言附加檔11 lb以執行濫發分類分析。 訊息過濾、器97所執行的動作可依分類信任指數96、98的形式 所決定。例如，在過濾訊息Ills中的附加檔111b及111c中的病毒 時’是依照病毒信任指數96中相對的信任指數96b及96c，當附加 槽111b及111c相對的信任指數_及⑽超過了閥值97a，訊息過濾 器97可以將附加檔丨丨比及丨丨。予以刪除。如此的積極動作可以確 24 1281616 保區域網路80盡量不受病毒威脅， ^ 口為病|攻擊所造成的損失往 附加擋所造成的損失。然而，當_ 考慮濫發時，是依照濫發分類信任 》 信任指數98超過_97，則訊自過濟tUm# α過濾為97可以選擇插入一旗標至 ^巾。如此—來侧__喊，_倾誤認為濫 發而被刪除，意此處訊息過遽器97如何依照分類信任指數 96、98而執彳亍過濾動作是設計的選擇。 /假設送人訊息111職不動的被送至第：電腦隐。在第二電 _0a ’ 一使用者使用一訊息讀取程式1〇4讀取送入訊息⑴，並 發ί送入訊息U1是—個惱人的濫發郵件且於可執行附加擋lllc 中有病毋。操作傳賴組103具有細者介面嶋，其中使用者 介面103b與tfl息讀取程式1〇4的使用者介面是相互連結的。使用者 通知傳送模組1〇3說附加播111(；包含有病毒，而且整個訊息⑴是 一個濫發。傳送模組103據此產生一更新訊息1〇5，經由網路連結 82送至分類器93。更新訊息1〇5包含有可執行附加檔1Uc，其内容 即為可執行檔l〇5c，並以一標頭ι〇5χ關連至病毒子資料庫9如。更 新訊息105並包含有内容為本體i〇5a的本體ηla，以及内容為超文 件標不語言附加檔l〇5b的超文件標示語言附加檔lllb，這兩個部 分皆被以標頭l〇5z、l〇5y關連到濫發子資料庫94b。在收到更新訊 息105時，分類器93更新類別資料庫94。可執行附加檔i〇5c用來於 病毋子資料庫94a中產生一新的病毒樣本欄201a。本體l〇5a用來於 濫發子資料庫94b中產生新的濫發樣本攔202a。相同的，超文件標 25 128161栌I 月^修止替换_ ! ’ 1' 不語言附加檔l〇5b用來於濫發子資料庫94b中產生新的濫發樣本 攔2〇2b。這些新的樣本攔2〇la、202a、202b可以被利用來偵測後 續相類似的濫發或病毒。至於新的樣本攔201a，202a，202b如 何被用於後續的分類處理在之後會有討論。 考慮以下狀況，一個與前述訊息相同的送入訊息lu自網際網 路110發出，經由區域網路80欲送至第二電腦1〇〇b，並且所有新 的樣本攔201a，202a，202b已經開始被分類器93所使用。此時 第二電腦100a的使用者的知識即可被用來保護其他的第二電腦 100。利用子資料庫94a及94b，送入訊息、111被指定分類信任指數 96及98，可執行附加檔的指數96c會變高（由於新的病毒樣本攔 201a加入的關係），同時濫發分類信任指數98亦會變高(由於新的濫 發樣本攔202a、202b加入的關係）。因此可執行附加檔Ulc會被訊 息過濾器97刪除，一旗標會被插入送入訊息丨丨丨中以表示送入訊息 Hi可能疋;監發的機率(即濫發分類信任指數98)。當第二電腦l〇〇b 的一使用者要讀取送入訊息111(已經被訊息過濾器97加入了旗φ 標），使用者將會得知到(1)訊息111很可能是一濫發郵件(如送入訊 息111中加入的旗標所顯示），（2)可執行附加檔1Uc經過病毒檢測 後已經被刪除了。 當類別資料庫94已經加入新的且使用中的樣本欄之後，所有 訊息伺服器95中暫存的訊息95a必需藉由更新過的類別資料庫 94，再經過一次分類及過濾的程序，以檢測所有可能的濫發或包 26 12 81谷掩明28日修(勢"止替換頁| 含病毒的訊息（在_:賴庫％更新前有的濫發及縣可能可以 逃過檢測）。此處需注意的是，送人訊息lu可以被分類檢測的類 別數目是不定的’可以視分_93的能力決定。每—個類別皆具 有相對的子資料庫，各個子資料料包含有定義_樣本搁以^ 義相對應類·翻。因此，可以可以對送人訊息⑴進行不同類 別及不同鮮的檢測，照檢麻果執行過濾。 在-大喪稱魏巾，料是财的朗者皆相意對一 訊息的分類標準。舉例來說，有的使用者認為是濫發的郵件，可 能會被其他使用者認為是有㈣。如果沒有依據使用者資訊做良 好的控制，區域網路4〇、8G中的任何—個使用者，皆可導致一吼 f顧赫。這不—定岐所有網路制者所樂見的。例如，L 單使用者，可能惡意的將一般電子郵件舉發 壞區域網聊的秩序，因此，以下是可行的解決方案。 第-種解財案是，—子資料庫中的__樣本攔，只有在足夠 的使用者認為該樣本欄的存在是適當的，才會變成分類時會利用 到的現用樣本攔。實際上，這就是—種—種投票的過程，一樣本 欄’、有在㈣-特定數目的使財同意後，該樣本攔才會成為分 類時會利關的·樣本攔。舉例來說，在—個具有七 =本=要四個使用者認定—訊息是濫發以後一 訊息的樣本欄柯加人濫發子資料庫。 27 1281616 請參閱圖五。圖五為本發明第三實施例之區域網路12〇的簡單 方塊圖。本發明第三實施例中的區域網路120幾乎與區域網路肋相 同，不同處僅在於區域網路12〇中多了一投票的過程，而且相對應 的類別則有”濫發，’以及”電子報”。請注意此處只有對於瞭解概念有 用的部分才被顯現於圖五之中。區域網路12〇包含有一訊息伺服器 130，用來執行本發明的分類及過濾技術，訊息伺服器13〇以網路 與客戶電腦140a-140j相連結。每一個客戶電腦i4〇a_i4〇j皆包含有 一本發明的傳送模組142。每當產生更新訊息142a時，傳送模組142 ^ 將該使用者的使用者識別碼(user idenfication cocie)i42b與更新訊 息142a—同提交給伺服器130。此處將使用者資訊明確的表示在更 新訊息142a中(以使用者識別碼142b的形式），是為了簡潔的緣故。 不明確將使用者資訊顯示在更新訊息142a中也是可行的，只要伺 服器130可以得知更新訊息142a是由哪一位使用者送出的即可。 在類別資料庫134中，每一個子資料庫134a，134b皆具有一相 對應的投票閥值300a，300b。在電子報子資料庫134a中，每一個修 電子報樣本攔203皆包含有一相對的投票數2〇3a以及相對的使用 者名單203b。分類器133只使用電子報子資料庫134中投票數攔 203a等於或大於閥值300a的樣本棚203。亦即，如此的樣本欄2〇3 才是現用樣本攔。相同的，濫發子資料庫134b中，每一個濫發樣 本欄204皆包含有一相對的投票數204a以及相對的使用者名單 204b。分類器133只使用濫發子資料庫134b中投票數欄204a等於或 大於閥值300b的樣本攔204，亦即，如此的樣本欄204才是現用樣 28 1281616 本欄。 當傳送模組142提交一更新訊息1423給分類器133時，分類器 133先針對更新訊息142a中每一個部分產生一測試欄133a。對於 每一個測試攔133a，分類器133會先檢查測試欄133a是否已存在於 子資料庫134a，134b中的樣本欄2〇3，204中。假設測試攔133a並 不存在，測試攔133a即被用來於子資料庫134a或134b中建立一新 的樣本欄203或204。對於這個新的樣本欄2〇3或2〇4，投票數被設 為1 ’且使用者名單2〇3b或204b被設為從更新訊息142a中得到的使 用者識別碼142b。或是，假設測試欄i33a已經存在於子資料庫134a 或134b中的相對應的樣本攔203或204中，分類器133即檢查樣本 攔203或204的使用者名單2〇3b或204b中是否包含有使用者識別碼 142b ,假如使用者識別碼14213並不存在，則將使用者識別碼142b 加入使用者名單203b或204b，並將投票數2〇3a或204a加卜然而， 假如使用者識別碼142b，已經存在使用者名單2〇31)或2〇41)中，則 投票數203a或204a則不用加1。在這種狀況下，可以防止一單一使 用者對於-特定的樣本攔2〇3，綱投下太多票。請注意此時投票 數203a，204a不一定要存在，僅需計算使用者名單2〇邓，2〇仆中 的使用者翻碼數目即可。還有很多種投票或記票的方法，以上 所述僅為糊。舉例來說，投票财-定要向上算酬值、亦 可以從閥值向下异到〇。訊息伺服器13G可以決定投票及記票的方 法。例如，盘發的投票閥值3_可以設成是$，在這種狀況下，至 少要有五個客戶電腦14〇a_14〇j中的使用者對認定一訊息是濫發投 29 1281616^ λ - t ·, > 下了 π (藉由提父更新訊息142a)，相對的樣本攔测才會成 為濫發子㈣庫134b巾的麵樣本攔。如騎可防止—單一使用 者造成-訊息無法傳遞至其他所有的使用者。實際上，投票的過 程使得必顯有1先決定數目較时同意，才會造成一訊息 被視為濫發而被阻擋。另一方面，假設電子報類別係用來給伺服 器130過濾軟體插入」，電子報，，旗標於訊息令， 息是關於電子報的。在這種狀況τ，因域子報是有益的者^ 報的投票閥值300a可能被設為卜只要一使用者認定一訊息是一" 電子報”，則後續所有相同的訊息都會被伺服$ 13〇插入旗標。在 以上的狀況下，對於濫發以及電子報兩麵別.，加入新的樣本搁 203 ’ 204使得機器可以學習以增進分類器133的效能。 考慮一自網際網路150中一個產生大量濫發郵件的伺服器發 出的送入訊息151，目的地是客戶電腦14〇a，假設送入訊息151產 生低的電子報及濫發信任指數，因此被送至客戶14〇a。讀取送入 訊息151之後，客戶l4〇a認為訊息151是濫發，因此使用傳送模組 142產生一適當的更新訊息142&。更新訊息142a包含有以送入訊息 151為内容的本體部151a，客戶電腦14加使用者的使用者識別碼 142b，並且關連更新訊息142a至濫發子資料庫丨3牝（可以藉由一標 頭）。更新訊息142a即被送至分類器133。依照使用更新訊息142a 的本體151a，分類器133產生一測試欄133a。分類器133再掃瞄濫 發子資料庫134b看是否有任何樣本攔2〇4相同於測試欄133a。因為 沒有發現，分類器133產生一新的樣本欄205，新的樣本欄205包 30 1替換頁5 含有定義了本體151a的測試攔133a，一設定成1的投票數205a，以 及一使用者名單205b包含有相對應於更新訊息142a的使用者識別 碼142b。此時假設濫發投票閥值3〇〇b被設定為4，稍後，一相同的 濫發訊息151自網際網路150送來，此時目的地是第二客戶電腦 140b。分類器133實際上會忽略新樣本欄2〇5，除非投票數2〇5b等 於或超過預設投票閥值3〇〇b。因此新的樣本欄2〇5是非現用的。濫 發訊息151因此可以送至第二客戶14〇1)而不被過濾掉，跟第一次時 一樣，因為分類器133依據濫發子資料庫134的過濾規則並沒有變· 更。假設這個客戶亦藉由傳送模組142投票表示送入訊息151是濫 發。結果就是，投票數2〇5a增加為2，同時使用者名單205b中加 入了第一客戶14〇a以及該第二客戶14(^的使用者識別碼14215。最 後，當區域網路120中有足夠的使用者同意後，投票數2〇兄等於了 投票閥值300b。此新樣本攔205及變成一現用樣本攔25()，因而改 變了分類的規則。此時，伺服器130中任何等待的訊息皆須利用新 的分類規則摘的分齡序。當另—谢目同發送人訊息151抵 達，目的地是客戶14Gj，送入訊息151將會因為新的現用樣本攔2()5 _ 而產生高的指數，因而被過濾掉，簡言之，本發明中的任一個子 資料庫皆可視為包含兩個部分··第一部分包含有現用樣本攔，用來 作為分類的酬以提供信任指數;第二部分包含有非顧樣本搁， 不用來決定隸餘，但是料待使用者的投票，投票數等於或 大於閥值以後才成為第一部分中的現用樣本欄。 而第二種解決方案，則是網路的每—個使用者皆被指定信任 31 專級’以決定提父的效力。這可以看成是一種加權投票，某些使 用者(具有高的信任等級的使用者)的投票較其他使用者(具有低的 信任等級的使用者)的投票更具效力。一隨便提交攔位的使用者可 以被指定低的信任等級，可信任的使用者可以被指定高的信任等 級。 請參閱圖六，圖六為本發明第四實施例之區域網路16〇的簡單 方塊圖。一區域網路160相似於前述實施例。為了描述上的簡單， 此處只顯示一子資料庫’即濫發子資料庫174b。如前述，一客戶/ 伺服器的關係如圖所示，即一訊息伺服器170以網路與複數個客戶 電腦180a-180j連結。除了一分類器173及一類別資料庫174，訊息 伺服器170另包含有一使用者信任資料庫4〇〇，其中包含有複數個 信任等級401a-401c。信任等級401a-401c的數目，以及相對應的特 性則可以被設定，舉例來說，經由訊息伺服器170的管理者所設 定。本例中顯示了三種信任等級4〇la-401c，每一個信任等級 401a-401c皆包含有一相對的信任值4〇2a-402c，及一相對的使用者 名單403a-403c。每一個使用者名單403a-403c包含有一個或多個 使用者使用者識別碼404。客戶電腦18〇a-180j的一使用者若其使用 者識別碼182b包含在使用者名單403a-403c中即表示該使用者屬於 使用者名單403a_403c相對應的信任等級4〇la-401c。相關的信任值 402a-402c表示對該使用者的信任程度。高的信任值4〇2a-4〇2c表示 該使用者具有高的可信度。當使用者提交更新訊息時，分類器173 可以找到相對應的使用者名單403a-403c以取得相對應的信任值 32

-"V 1281616 402a-402c。〉監發子資料庫每一個樣本攔2〇6皆有一個信任指 數206a。W壬指數2〇6a的值關係到樣本攔是否成為主動樣本 攔具有ja任‘數206a大於或等於閥值3〇 1的樣本欄2〇6即為現用 樣本攔’會被用來作為分類的規則。具有信任指數2〇如低於閥值 301的樣本欄206即為非現用樣本攔，不會被用來作為分類的規 則。一般而言，每一個信任指數2〇6a可被視為一向量，具有以下 形式： <(第一等級人數，第一等級信任值，第一等級人數比例）， (第二等級人數，第二等級信任值，第二等級人數比例）， (第N等級人數，第N等級信任值，第N等級人數比例)：> 其中第N等級人數"表示於該第N等級中提交該樣本攔的使用 者數目。舉例來說，對於一樣本攔206，”第一等級人數"表示等級 401a中提交樣本攔206作為一濫發樣本攔的使用者數目。而"第1^等 級信任值’’係表示對應該等級的使用者的信任值。例如”第一等級信 任值’’係等級401a的信任值402a。至於，，第N等級人數比例，，則表示在 所有提交樣本攔206的使用者中，該等級使用者所佔的比例。例 如，"第一等級人數比例”表示等級4〇la中提交樣本攔施的使用者 佔所有提交樣本攔206的使用者的比例。而假設在客戶信任資料庫 400申具有”i”種使用者等級，整體信任指數可由下列方程式求出： 33 1281616 整體信任指數=W第K等級信任值X第K等級人數比例 假如一樣本攔206中信任指數206a算出的整體信任指數大於 或等於閥值30卜則樣本欄206則成為一個現用樣本欄206，並用來 決定一訊息經過分類器173時的分類規則。反之，樣本攔206則成 為一個非現用樣本欄206，在一訊息經過分類器173時並不利用此 非現用樣本攔206決定分類規則。 請參閱圖七並同時參考圖六。圖七為本發明更改一類別子資 料庫之方法的流程圖。以下將詳述各個步驟： 410:—客戶i8〇a-180j利用其傳送模組182產生一更新訊息182a，並 提交更新訊息182a至訊息伺服器170。更新訊息182a包含了產生該 更新訊息182a的使用者之使用者識別碼182b，以及表示更新訊息 182a需關連到的子資料庫。在這裡的情況中，濫發子資料庫 是要被關連到的子資料庫。 411:訊息伺服器170檢視更新訊息182a中的使用者識別碼182b，並 且於使用者名單403a-403c中的使用者識別碼4〇4内尋找是否有相 同欄位。使用者識別碼404中有存在使用者識別碼182b的信任等 級401a-401c即為該使用者所屬的等級，然後即可得到相對的等級 信任值402a_402c。根據更新訊息182a的内容，分類器173產生一相 對的測試攔173a，並於濫發子資料庫i74b中搜尋是否有相同的攔 位，以本實施例而言，僅需搜尋非現用樣本攔2〇6即可。因此，可 34 1281616 m 4. ；'C ; • \J'} )： ^ 以將子貧料庫174b分成兩部分:一部份包含有現用樣本欄 ，以及另 一部分包含有非現用樣本欄2%。僅需搜尋非現用樣本攔2〇6的部 分即可。雖然圖六中所有樣本欄2〇6皆有一信任指數2〇如，實際 上’在此實施例中，現用樣本攔2〇6並不需要信任指數2〇6a，如此 可以減少類別資料庫174中記憶體的使用量。假設沒有發現相同於 測試欄173a的樣本攔206,即可相對於測試攔173a產生一新樣本 攔207。新樣本攔207的信任指數207a被設定為一預設值，如下 所不· <(0，第一等級信任值，〇)， (0 ’第一專級信任值，〇)， • ··· (0，第N等級信任值，〇)> 412:依據步驟411所得到使用者等級4〇la_4〇lc以及相關的信任值 402a-402c ’计算由步驟411所得（或建立）的信任指數2〇6a/2〇7a， 此處可依據設計者的決定，使用不同的計算方法。 413:依照上方的方程式計算步驟412算出的信任向量的整體信任指 數。 414··比較步驟413所得到的整體信任指數與該子資料庫之間值⑽ 即，濫發子資料庫l74b的閥值3〇1)。若該整體信任指數到達或超過 該閥值301時，則執行步驟414y，否則則執行步驟41如。 414η·在步驟411所建立的樣本攔2〇6/2〇7係非現用樣本棚2〇6鑛， 所以相關於子㈣庫174b的分類規剩保持不變。依據步驟412算 出之值更新樣本攔206/207之信任向量2〇6a/2〇7a。分類器口3持續 35 換 1281616 執行的分·作，功能上並不受步_〇之更新訊息18域影響。 414y·在步驟411所建立的樣本攔206/207係現用樣本欄2〇6/2〇7，並 且進行更新子資料庫m。糊來說，樣本欄斯浙即被轉移至 子貝料庫174b中之現用部分，此時其信任向量2〇6a/2〇7a即可被移 除。此時相關於子資料庫174b的分類規則必須進行更新的動作。 步驟410的更新訊息182a造成子資料庫！ 74b中樣本攔2〇6/2〇7變成 為現用樣本欄，此時分類器173持續執行的分類工作則有了變動。 所有讯息伺服器170中暫存的訊息皆須對應子資料庫17牝重新進 行分類。 為了要更加的瞭解以上的步驟412，考慮以下的特殊例子。假 設有十位使用者，它們被歸類為四種等級：第一等級至第四等級， 其等級值分別為(0·9，〇·7，Ό·4，0.1)。當-新的訊息來臨，以 下的步驟順序發生，已決定該訊息是否屬於—特定如濫發 類別。此處假設該特定類別的閥值3〇1是〇.7。 步驟0:新的訊息初始的信任指數2063/207&是〈⑴，〇9，〇)，⑴， 0·7 ’ 0) ’（0 ’ 0.4 ’ 〇) ’（〇，〇·ι，〇)>。 步驟m級的-個使財投票表示該訊息屬於該特定類別， 該訊息的^§任指數206a/207a變成： <(卜〇.9，1)，（〇，〇 7，〇)，⑴， 0.4，0)，（0，0·1，〇)> 〇 步驟2:第二等級者的一個使用者投票表示該訊息屬於該特定類 別，該訊息的信任指數2〇6a/207a變成：<U，〇.9，1/2)，（1，〇7， 36 1281 1 d,4.鉍卿L替换頁:! 1/2)，（Ο，0.4，0)，（Ο，0·卜 0)>。 步驟3 :第二等級的一個使用者投票表示該訊息屬於該特定類 別，該訊息的信任指數206a/207a變成：<(1，0.9，1/3)，（2，0.7， 2/3)，（0，0·4，0)，（0，0」，0)〉。 步驟4:第四等級的一個使用者投票表示該訊息屬於該特定類別， 該訊息的信任指數206a/207a變成：<(1，0.9，1/4)，（2，0·7，2/4)， (〇，〇·4，〇)，（卜（U，1/4)〉。 步驟5:第一等級的一個使用者投票表示該訊息屬於該特定類別， 該訊息的信任指數206a/207a變成：<(2，0.9，2/5)，（2，0.7，2/5)， (0，0·4，0)，（1，0·1，1/5)>。 步驟6:第二等級的一個使用者投票表示該訊息屬於該特定類別， 該訊息的信任指數206a/207a變成：<(2，0.9，2/6)，（3，0.7，3/6)， (0，0.4，0)，（卜(U，1/6)>。 步驟7:第一等級的一個使用者投票表示該訊息屬於該特定類別， 該訊息的信任指數206a/207a變成：<(3，0.9，3/7)，（3，0.7，3/7)， (0，0.4，0)，（卜（U，1/7)〉。 步驟8:第四等級的一個使用者投票表示該訊息屬於該特定類別， 該訊息的信任指數206a/207a變成：<(3，0.9，3/8)，（3，0.7，3/8)， (0，0.4，0)，（2，（U，2/8)>。 步驟9:第一等級的一個使用者投票表示該訊息屬於該特定類別， 該訊息的信任指數206a/207a變成：<(4，0.9，4/9)，（3，0.7，2/9)， (0，0.4，0)，（2，0」，2/9)>。 步驟10··第三等級的一個使用者投票表示該訊息屬於該特定類 37

I281^fe ^曰修㊅.)正替換頁I 另1J，該訊息的信任指數206a/207a變成·· <(4，〇·9，4/10)，（3，〇 7， 3/10)，（1，0·4，1/10)，（2，0.1，2/1〇)>。 步驟10中整體信任指數206a/207a的值計算如下：（〇9χ〇4)+(〇7χ 0·3)+(0·4χ0·1)+(0·1χ0·2)=0·73。 步驟11·•比較計算出的信任指數值〇·73與該類別的閥值31〇(〇·7)， 系統決定新的訊息屬於該特定類別，該新訊息關連到的樣本欄成 為一現用樣本攔。 如第四實施例所述之信任分級，以及該第三實施例所述之普 通才又示方法，可以被選擇性的實施在任一個子資料庫。有的子資 料庫可以使用信任分級的方法，有的子資料庫則可以使用普通投 票方法。並且，也可以使用综合的方法，亦即，一樣本攔必須在 投票數超過-投票閥值，同時信任向量的整體信任指數亦超過一 相關的閥值。相同的，訊息過濾亦可以使用多個閥值，訊息過 濾器可以對不同子資料庫使用不同的閥值，而且每一個子資料庫 的閥值不-魏絲—單—值，可以有大於―個值，每一個 值可以表示一個分類信任指數的範圍。每一個範圍可以用不同的 方式處理。舉例來說，當過雜發時，-過朗值可以包含有一 第一值0·5，表示從〇·〇到〇 5〇的濫發分類信任值接受到不嚴格的過 濾(例如，完全不對其進行過濾）；一第二值〇·9，表示從0.50到0·90 的濫發分類信任值必須更嚴格的過濾(例如，插入-旗標至訊息之 中以警告接收者）。至於指數超過0.90的訊息即被刪除。 38 1281616 間的㈣謂㈣是簡單的樣式，用來麵各個組成元件 不:::制各— 中h 核的子㈣庫在單—_案結構之 相反的，類別資料庫可以分別存在於不同檔案之中，甚至存 於經由網路相連的不同電腦上。 相較於習知技術，本㈣提供_可以由網路中使財更新的 、員系、、先’此時’ -訊息分類器分類的能力可以由網路中使用者 的知識加以增加。本發明提供㈣者傳送模組，用來傳送一訊息 至乂、他電h ’以及關連該訊息至—類別（例如濫發，病毒等等類 別）。收到更新訊息的電腦更新相對的類別子資料庫，因此後續 可以=識出相同的訊息。並且，本發明提供—些機制以防止使用貝 者心思的亂傳更新訊息至伺服||，而影響分_程序。這些機制 ，包含有-投票機制以及個者信任分級_。在投票機财，至 少需一特定數目的使用者同意-特定訊息屬於—類別，該訊息才 會被承認屬於該綱，朗來過濾後續類似的訊息。至於使用者 化任分級卿，每—個制者皆被指定—信任缝以表示該使用 者的可信度。子資料庫中每-個樣本攔皆有—信任指數表示所有 提交該樣本攔的使用者的信任指數。當超過一閥值，該樣本攔則 成為現用樣本棚以執行分類分析。 以上所述僅為本發明之較佳實施例，凡依本發明申請專利範 圍所做之均等變化與修飾，皆應屬於本發明專利之涵蓋範圍。 39 1281616 【圖式之簡單說明】 圖一為習知技術-使用舰器端訊息過絲之區域網路網路_ 間單方塊圖。 圖二為習知技術一分類器3〇的簡單方塊圖。 圖三為本發明第—實施例之區域網物的簡單方塊圖。 圖四為本發明第二實施例之區域網路_簡單方塊圖。 圖五為本發明第三實施例之區域網路120的簡單方塊圖 圖六為本發明第四實施例之區域網路160的簡單方塊圖。 圖七為本發明更改一類別子資料庫之方法的流程圖。 【圖式之符號說明】 10'40、80、120、160 區域網路 12 伺服器 14、140a-140j、i80a-180j 客戶電腦 14a電子郵件程式 16 防毒掃描器 16a病毒資料庫 20、70、110、150、190 網際網路 22防毒掃描器製造商 22a最新版本病毒資料庫 1281616 24 駭客 24a新病毒 30、53、93、133、173 分類器 31 訊息資料 32、 56、56a、56b、56c、56d、58、58a、58b、96a、96b、96c 信 任指數 33、 54、94、134、174 類別資料庫 34a-34n 子資料庫 35a-35n樣本攔 42、82 網路連接 50、 90 第一電腦 51、 61 中央處理單元 52、 62 程式碼 54a、94a病毒子資料庫 55、65、95、130、170 訊息伺服器 57、97訊息過濾器 57a、97a、301 閥值 57b通知訊息 60a-60n、100a、100b 第二電腦 63、 103、142、182 傳送模組 63a、105、142a、182a 更新訊息 63b使用者資訊 64、 104 訊息讀取程式 1281616 止替摘 ________________________________________________ 74、75、m、151、191 送入訊息 74a、75a、105a、Ilia、115a 主體部 74b、74c影像附加檔 74d、75b、105c、111c 可執行附加檔 94b、134b、174b 濫發子資料庫 95a 暫存的訊息 96 病毒信任指數 98、206a、207a 濫發信任指數 103b 使用者介面 105b、111b 超文件標示語言附加檔 105x、105y、105z 標頭 133a、173a 測試攔 134a電子報子資料庫 142b、182b、404 使用者識別碼 200、2(H、200a、201a 病毒樣本欄 ; 監發樣本爛 202、202a、202b、204、205、206、207 203 電子報樣本欄 203a、204a、205a 投票數 使用者名單 203b、204b、205b、403a、403b、403c 300a、300b 投票閥值 400 使用者信任資料庫 401a-401c 信任等級 402a-402c 信任值 42

Claims (1)

128 申請專利範圍 該電腦網路 1.-種利用使用者知識來分類電腦網路上訊息的方法， 包含有： 一第一電腦； =數個第二電腦’以網路連結之方式與 其中該方法包含有： h供該第一電腦一分類^ 4t, 負^，该分類器可對一訊息指定一分類作住 曰數，该汛息係對應於至少—類別； 提供該第一電腦—類別咨 ,g2.^#5 J貝枓庫，該類別資料庫包含有對應於每一 類別之類別子資料座甘山 可 類信任指數； 該分_使用該類別資料庫指定該分 ===二^腦—傳送模組，該傳送模組可從該第二電腦傳 電取並將該訊息關聯到該類別資料庫中至少 一類別’叫將觀__彳—使 於任何-個第二電腦接收—第一=者 傳送該訊息之第二電腦之傳送模組產生—第二訊息並 “ M H至该第—電腦，該第二訊息之内容根據該第-訊 息之内容決定，哕笙 #· 、， Μ罘—汛息關聯到一第一類別及一第一使用者資 机，Μ及 一第」第—Λ息㈣容及卿-制者資訊變更該類別資料庫中 ^ 員別子貝料庫，其中該第一類別子資料庫對應於該第一類 乃,J。 43 1281616 2.如申請專利第1項所述之方法，其中變更該第一類別子資料庫之 步驟包含有： 對應於該第二訊息之内容，於該第-_子:#料庫產生一訊息樣 本攔。 3.如申請專利第1項所述之方法，其中變更該第-類別子資料庫之 步驟包含有： 、 依據該第一使用者資訊變更該訊息樣本欄中之一記數攔，其中哕· 記數攔係代表由使用者所提交之内容乃對應於該第二訊息之内容 的使用者數目。 °〜 4.如申請專利第3項所述之方法，其另包含有： 於該第一電腦接收一第三訊息；以及 利用該分類器取得該第三訊息之分類信任指數，复 利用-相對應之計數值達到—預設_之訊^該分類器僅 分析。 樣本攔來執行分類 5·如申請專利第4項所述之方法，其另包含有： 依據該分_任指數_第三訊息執行_過遽動作。 6.如申請專利第1項所述之方法，其另包含有： 取得對應於該第二訊息之訊息樣本攔之信任指數; 44 1281616 。t .'V J : . . . .'.:c一 I : Ί 依據該第一使用者資訊變更該信任指數；以及 依據變更過的信任指數與—閥值使該訊息樣本攔 laH n ^ ~現用樣本 7.如申請專鄕6項所叙方法，料包含有： 於該第一電腦接收一第三訊息；以及 數—僅 8·如申請專利第7項所述之方法，其另包含有·· · 依據該分指數對該第三訊息執行-過濾動作。 ^如申:專鄉1項所述之方法，其另包含有·· ^更^痛S之^ _子資料庫後，利㈣八類雜 該第一電腦内所有待傳 從狐亥分類讀 及 特待傳达之訊息分別指定新的分類信任指數；以 依據各個_的♦類 作。 明有待傳狀訊息執行-過濾動 10·如申^專㈣丨項所狀松， 器，該第二電腦/、中遠4一電腦為一訊息伺服 叫為该訊息伺服器之客 。 11·-種電腦可讀媒體 /、具有可執行申請專利範圍第网所述之方 45 1281616 法的程式碼。 12·種利用使用者知識來分類訊息之電腦網路，其包含有： 一第一電腦； 複數個第二電腦，以網路連結之方式連接於該第一電腦； 該第一電腦包含有： 一分類器，該分類H可對-訊息指定—分類信任指數，該訊息對 應於至J/一類別，而該類別係由一類別資料庫所定義，其中該類· 別=貝料庫對應於每一類別皆包含一類別子資料庫，該分類器可依 據該類別資料庫對該訊息指定該分類信任指數； -可從任—個第二電腦接收關聯至—第—類別之更新訊息之手 段；以及 、，可依據该更新訊息與其所關聯到之使用者資訊來變更該類別資 料庫中—第-綱子料庫之手段，其巾該第—綱子資料庫對應 於該第一類別；以及 每一個第二電腦包含有： _ 一可接收一第一訊息之手段；以及 可傳送-第二訊息至該第—電腦，並職第二訊息與該類別資 料庫中至少__麵及—使用者資訊建立關聯之手段，針該第二 訊息之内容係根據該第一訊息決定。 八— 13.如申請專利第12項所述之電_路，射改變該第—細仔資, 料庫之手段可依據接收到的更新訊息，在該第__子資料庫二， 46 128161^ 立一訊息樣本攔。 H.如申請專利第12項所述之電腦網路，其中改變該第—類別子資 科庫之手段可依據接收到的更新訊息所關聯到之使用者資訊，變 μ—到之更新’其中該計數欄係代表由使 用者所提交之内容乃對應於接_之更新訊息之内容的使用者數 目0 K如申請專柳4項所述之電腦網路，其中該第—電腦另包含有·· —可從網路接收一第三訊息之手段； —可利用該分類器對該第三訊息指定該分類信任指數之手段； 其中該分㈣僅具有-計數值到達—預定·之樣本攔來執 行分類分析。 K如申請專利第15項所述之電腦網路，其中該第—電腦另包含有: 可依據該分類#任指數對該第三訊息執行一過遽技術之手段。 17·如申請專利第12項所述之電_路，其巾該第包含有： -取得-訊息樣本攔之信任指數之手段，舰息樣本攔對應於接 收到之更新訊息； 一依據接收狀更新訊息所__之使用者資訊來變更該信任指 數之手段；以及 3 依據變更後之健指數與-閥值使該訊息樣本攔成為—現用樣 47 I2816lf甸2%躍，止替換頁丨 本攔之手段。 一電腦另包含有: 18.如申請專· 17述之電腦網路，其中該第 一自網路接收一第三訊息之手段；以及 之手段，該分類器僅 -利用該分類ϋ取得該第三訊息之信任指數 利用現用樣本欄。 19. 如申請專· 18項所述之電腦網路，其中該第—電包含有. -可依據該分類信任指數對該第三訊息執行—過渡技術之手段。 20. 如申請補第12項所述之電_路，其巾該第_電腦另包含有： 在依據接收到之更新訊息變更該類別資料庫中之第一類別子資 料庫後，彻該分_雜[電射所有待傳送之訊息分^ 定新的分類信任指數之手段；以及 一可依據新的信任指數對所有待傳送之訊息執行—過濾技術之手 段。 〜 21·如申請專利第12項所述之電腦網路，其中該第—電腦為一訊息 伺服器’該等第二電腦皆為該訊息伺服器之客戶電腦。 十一、圖式： 48 1281616 修(f、玉.眷換 七、指定代表圖： (一）、本案代表圖為:第—三〜圖 ㈡、本案代棚之元件代表符賴單說明: 40 網路 50第一電腦 52、62程式碼 54類別資料庫 55、65訊息飼服器 42網路連結 51、61中央處理單元 53分類器 54a病毒子資料庫 56、56a、56b、56c ' 56d、58、58a、58b、信任指數 57訊息過濾器 57b通知訊息 63傳送模組 63b使用者資訊 57a閥值 60a_60n第二電腦 63a更新訊息 64 訊息讀取程式 70網際網路 74、75送入訊息 74a、75a主體部 74b、74c影像附加檔 74d、75b可執行附加檔 200、200a病毒樣本欄 八、本案若有化學式時，請揭示最能顯示發明特徵的 化學式··