專利名稱:消息評(píng)估系統(tǒng)及方法
消息^H古系^Ur法
背景及喊
本文檔-^:涉;Sj^于處Sit信的系姊方法�����,尤其涉^于it^通信的系統(tǒng) 和方法�。
在反垃圾行業(yè)中,垃圾(spam)制ii^^^l糾創(chuàng)^iU^a垃圾it^ 器的^^測(cè)�����。賄的反址圾系統(tǒng)包樹放故障系統(tǒng)��,其中所有的入口消息都經(jīng)itii 圾it^-����。然而,這些系M^L將消息分類成合法消息或垃財(cái)面可食U^說的或不 正確的���。
才Nti^所公開的教導(dǎo),提供了用于在一個(gè)或多個(gè)數(shù)據(jù)處理器上操怍的方法 和系統(tǒng),該處理器為消息實(shí)體(messaging entity )分配了名譽(yù)(reputation)��。 例如����, 一種方法和系統(tǒng)可以包^Jl^示識(shí)與消息實(shí)體的通信相關(guān)的一個(gè)或多^N^ 性的數(shù)據(jù);#^艦的標(biāo)識(shí)數(shù)據(jù)確定一個(gè)名#^數(shù)(imputation score);其 中確定的名#^數(shù)指示出該消息實(shí)體的名譽(yù)�����;其中確定的名譽(yù)分?jǐn)?shù)用于決定對(duì)與 該消息實(shí)糾目關(guān)的通信^^什么樣的動(dòng)作�����。
作為另一個(gè)例子��,提供了利用傳輸(transmission)發(fā)ill^的名^ilMt ^W亍傳M濾的系統(tǒng)和方法�。 一種系統(tǒng)和方法可以包^:識(shí)別關(guān)于來自一個(gè)發(fā)送 者的傳輸?shù)闹辽僖淮胄裕籢ft^J包^i亥傳輸特性的名譽(yù)系統(tǒng)的實(shí)時(shí)查詢����;接收 表示與該傳^目關(guān)的名譽(yù)的分?jǐn)?shù);以及����,對(duì)來自該發(fā)送者的該傳^r^Wt^應(yīng)于該 ^Li^的名^^數(shù)范圍的動(dòng)作����。
作為另一>1^〗子���,提供了利用傳輸?shù)陌l(fā)錄的名#^ ^^亍傳輸?shù)娜篰±^ 的系統(tǒng)和方法����。例如���, 一種系統(tǒng)和方法可以包括根提內(nèi)斜目似'l^傳輸發(fā)iii^ 行為的相似性來將多^H^^合^i且�����;識(shí)別關(guān)于該組中的^^輸?shù)闹辽僖籛 性�;向名譽(yù)系^Wt查詢�����,并接ij^^示每個(gè)發(fā)錄的名譽(yù)的分?jǐn)?shù)���;以及才娥該組 中名譽(yù)好的和名譽(yù)不好的發(fā)i^的比例來為傳^r^且分類(classify)�。
作為另一個(gè)例子��,提供了利用可訓(xùn)練傳輸集合中的傳輸發(fā)^的名#^* |^±>慮系統(tǒng)的調(diào)整(tuning)種||練(training)的系M^方法。例如����,該 方法可以包拎.識(shí)別關(guān)于來自發(fā)送者的傳輸?shù)闹辽僖?gt;1^#性�;向名譽(yù)系統(tǒng)^ft查 詢,并接^M^示發(fā)^名譽(yù)的分?jǐn)?shù)����;^^發(fā)i^的名f々數(shù)落入的范圍4W輸分
成多個(gè)種類(category);以及,^^m些傳齡它們的分類種類到另一個(gè)it^ 系統(tǒng)的訓(xùn)練器(trainer)�����,以用于優(yōu)4匕該過濾系統(tǒng)���。作為另一^H^子�����,提供了在一個(gè)或多個(gè)數(shù)據(jù)處理器上將以對(duì)來自消息實(shí)體 的通信進(jìn)行分類的系#方法����。例如��, 一種系#方法可以包拾從信息實(shí)^* Jliit信;使用多種消息分類技術(shù)來為該通信分類��;以及��,組合消息分類輸出���,以 生成消息iH古分?jǐn)?shù)(profile score);其中該消息^H古分ML^于決定對(duì)與該 消息實(shí)糾目關(guān)的通信^^什么樣的動(dòng)作���。
作為另一個(gè)例子,這樣的系統(tǒng)和方法可以包括識(shí)別關(guān)于來自發(fā)i^的傳輸 的至少一*性�����;向名譽(yù)系^ft查詢��,并接iM^示發(fā)ill^名譽(yù)的分?jǐn)?shù)���;才Mt發(fā) 送者的名f々數(shù)落入的范圍將傳輸分成多個(gè)種類�����;以及����,^f^tit些傳輸和它們的 類別種類到另一個(gè)過濾系統(tǒng)的訓(xùn)練器(trainer),以用于>^化該過濾系統(tǒng)�。
作為另一個(gè)例子,這樣的系^方法可以包拾從信息實(shí)M^Jfct信�; 多種消息分類技術(shù)來為該通信分類;以及�����,組合消息分類輸出����,以生成消息"^H古 分?jǐn)?shù)�����;其中該消息^H古分W!U^于決定對(duì)與該消息實(shí)糾目關(guān)的通信^^什么樣的 動(dòng)作��。
才緣i^E公開的教導(dǎo)���,提供了在一個(gè)或多個(gè)對(duì)來自消息實(shí)體的通信分類的數(shù) 據(jù)處理器上IMt的方法和系統(tǒng)�����。例如�, 一種系#方法可以包括多種消息分類技 術(shù),其中這些技^S&置為對(duì)從消息實(shí)躲收的通信進(jìn)行分類�����。 一種系錄方法 還可以進(jìn)一步包括消息"^H古(profiling)邏輯���,該邏輯配置用于結(jié)合消息分類 輸出以生成消息^N古分?jǐn)?shù)�����,其中該消息^M古分?jǐn)?shù)用于決定對(duì)與該消息實(shí)糾目關(guān)的 通信^c什么樣的動(dòng)作�����。
作為另一個(gè)例子�, 一種方法和系統(tǒng)可以包括接^消息實(shí)體發(fā)送的通信�����。多
種消息分類技m^于對(duì)該通信進(jìn)行分類�。 一種消息分類技術(shù)是與置信度值 (confidence value)相關(guān)的,湖于才N&該消息分類技術(shù)來生成消息分類輸 出��。該消息分類輸出麟合,以生成一個(gè)消息i^N古分?jǐn)?shù)�����。該消息^H古分tot^J于 決定對(duì)與該消息實(shí)糾目關(guān)的通信^^什么樣的動(dòng)作���。
作為另"H^iJ子���, 一種系#方法可以利用多種消息分類技術(shù),其中這多種
消息分類技術(shù)配置用于對(duì)從消息實(shí)#*1^的通信進(jìn)行分類����。消息^N古邏輯可以配 置為結(jié)合消息^^類輸出�,以生成消息i^f古^i改。消息^H古^^數(shù)用于決定對(duì)與i亥消
息實(shí)糾目關(guān)的通信^^什么樣的動(dòng)作�����。
作為另"H^J子��, 一種系旨方法可以^M預(yù)整由一種或多種消息分類技 術(shù)所寸^的消息分類械�。艦多個(gè)輸入數(shù)據(jù)(諸M過輸入邏輯或處理指令),
這些數(shù)據(jù)是多付信或者條了多樹信�。 一個(gè)調(diào)整器(tuner)餅柳于調(diào) 整與消息分類技斜目關(guān)的消息分類械。從消息實(shí)條^it信。調(diào)整的消息分類# 1多種消息分類技術(shù)^^�,以對(duì)通信分類。來自多種消息分類技術(shù)的消息分
類輸出^a合����,以生成消息^N古^^數(shù)。該消息^H古^^數(shù)用于決^:對(duì)與該消息實(shí)體 相關(guān)的通信^L什么樣的動(dòng)作�����。
圖i是描述了用于處絲網(wǎng)絡(luò)上接收的傳輸?shù)南到y(tǒng)的框圖�����。
圖2是描述了^fi&置為用于確定名^^數(shù)的名譽(yù)系統(tǒng)的框圖��。
圖3是描述了在糾計(jì)算的;j^t的名^^數(shù)的表�。
圖4是描述了在^t計(jì)算的;f^度的名^^數(shù)的圖。
圖5是描述了用于生^^#^數(shù)的操怍場(chǎng)景的流程圖��。
圖6是描述了用于確定名#^數(shù)的^^名譽(yù)不好標(biāo)準(zhǔn)和名譽(yù)好標(biāo)準(zhǔn)的框圖����。
圖7是描述了名譽(yù)系統(tǒng)的框圖,該名譽(yù)系^@&置為以包括發(fā)錄的名#^ 數(shù)的返回值作為響應(yīng)���。
圖8是描述了用于處#網(wǎng)絡(luò)上接收的傳輸?shù)南到y(tǒng)的4匡圖���。 圖9是描述了具有消息^H古程序的過濾系統(tǒng)的框圖���。 圖IO是描述了消息分類調(diào)整器餅的框圖。 圖ll是描述了將遺傳算法用作消息分類調(diào)整器餅的框圖�����。 圖12是描述了使用消息評(píng)估器的操怍場(chǎng)景的流程圖�。 圖13是描述了適于操作自適應(yīng)性的消息阻塞和列"譽(yù)好名單 (whitelisting)的消息"PH古器的框圖。
圖14是描述了用于處3^網(wǎng)絡(luò)上接收的傳輸?shù)拿u(yù)系統(tǒng)的框圖�。 圖15是描述了^^置為確定名#^數(shù)的名譽(yù)系統(tǒng)的框圖。 圖16是描述了在糾計(jì)算的^t^i的名f^錄��。 圖17是描述了服務(wù)器訪問結(jié)構(gòu)的框圖�。 M實(shí)施方式
圖1在30描述了一個(gè)用于處理在網(wǎng)絡(luò)40上接收的傳輸?shù)南到y(tǒng)��。傳輸可以 是i午多不同類型的通信��,諸如從一個(gè)或多個(gè)消息實(shí)體50發(fā)送的電子郵件(e-mail)消息��。系統(tǒng)30為消息實(shí)體(例如消息實(shí)體52 ) ^g己一個(gè)種類��,并JL^于 ^ge^該消息實(shí)體的種類,對(duì)于該消息實(shí)體的通信^L一種動(dòng)作����。
系統(tǒng)30^f捐i^慮系統(tǒng)60和名譽(yù)系統(tǒng)70來幫助處3S^自消息實(shí)體50的通 信。it;慮系統(tǒng)6(HM名譽(yù)系統(tǒng)70來幫助確^該對(duì)該消息實(shí)體的通信^^什么 樣的過濾JMt (如^^在^r���,的話)���。例如,可以確定該通信是來自一個(gè)名譽(yù)好的源��,從而該通信不應(yīng)被it^���。
過濾系統(tǒng)60在62識(shí)別一個(gè)或多個(gè)與接收的通信相關(guān)的消4#性�����,并將該 識(shí)別的信息4^供給名譽(yù)系統(tǒng)70��。名譽(yù)系統(tǒng)70通過計(jì)算該識(shí)別的消4#性 1# 定質(zhì)量的概率����,來^if^名譽(yù)�����。,計(jì)算的財(cái)確定一個(gè)全面的名^^數(shù),并將 ^^供給i^i系統(tǒng)60�。
it^系統(tǒng)60在64檢查該名^^數(shù),以確定對(duì)于該ili^的通信應(yīng)該i^ 什么動(dòng)作(諸:^i亥通信傳輸是否應(yīng)該被傳ilU���,J位于消息凝收系統(tǒng)80的該通信所 指定的^M") ���。 it^系統(tǒng)60可以完全或部賴##名譽(yù)系統(tǒng)70所提供的名譽(yù) 分?jǐn)?shù),來決定對(duì)通信iW^同的處理����。作為#^說明,可以確定通信絲自一個(gè) 名譽(yù)不好的發(fā)i^�����,并M而該通信應(yīng)該^t理為垃圾(例:WJ除��、隔離等等)�����。
可以用許多不同的方iUt配J^譽(yù)系統(tǒng)�,以幫助ii^慮系統(tǒng)。例如�,##手邊 的情況,名譽(yù)系統(tǒng)70可以位于it^系統(tǒng)60的夕h^或內(nèi)部�。作為另一^h^子,圖 2描述了一個(gè)名譽(yù)系統(tǒng)70�, ^m置為^^諸如在82所示的發(fā)i^身倆消息特 性識(shí)別信息,來計(jì)算名絲數(shù)�。應(yīng)該理解可以使用其他的消4#性,來代替或者 附加于發(fā)送者身份���。另外���,傳輸可以來自許多不同類型的消息實(shí)體,諸如域名��、 IP地址�����、電話號(hào)碼�����、或者個(gè)人電子;4ihil表示一^H且織的用戶名�����、計(jì)算機(jī)、或傳 送電子消息的個(gè)人用戶�。例如,生成的名譽(yù)好或名譽(yù)不好的類別可以基于一個(gè)IP ^^C送不^的傳輸或者合法的通信的趨勢(shì)���。
如圖2所示���,還可以通過識(shí)別一組二元、可測(cè)試的標(biāo)準(zhǔn)92來建立系統(tǒng)的配 置90��,該標(biāo)^J見為好的和不好的發(fā)iil^之間的強(qiáng)鑒別器��。P (NRIC,)可以^L義 為^f^&^ili^符^^質(zhì)量/標(biāo)準(zhǔn)Ci的情況下發(fā)ill^名譽(yù)不好的概率�����,并且P (R I Ci) 可以M義為^^i5JUt^符^^質(zhì)量/標(biāo)準(zhǔn)Ci的情況下發(fā)il^名譽(yù)好的旨��。
對(duì)于每個(gè)質(zhì)量/標(biāo)準(zhǔn)Ci�����,可以執(zhí)行周期性的(例W天�、每周、每月等等) 采樣練習(xí)(exercise)來重^fi十算P(NRlCi)��。采樣練習(xí)可以包4^4擇已知質(zhì)量/ 標(biāo)準(zhǔn)Ci對(duì)其為真的N個(gè)發(fā)送者的隨W^本集S����。該采樣中的發(fā)iH^然^fc^成以 下的集合之一名譽(yù)好的(R)、名譽(yù)不好的(NR)或未知的(U) ���。 ^是在該采 樣中名譽(yù)好的發(fā)i^的數(shù)目���,NNK是名譽(yù)不好的發(fā)i^的數(shù)目,等等����。然后,4捐 下面的^^UM^i十P (NR I Ci)和P (R I Ci):為了這個(gè)目的�����,確定^30為一個(gè)足夠大的采樣尺寸�����,以獲得對(duì)于每個(gè)質(zhì)量/標(biāo)準(zhǔn) Ci的P (NR I Ci)和P (R I Ci)的準(zhǔn)確的估計(jì)。
在為所有的標(biāo)準(zhǔn)計(jì)算了 P (NR I Ci)和P (R I CO ^���,計(jì)算出的;jt^^)于為名 譽(yù)空間中的每個(gè)發(fā)ill^i十算總(aggregate)名譽(yù)不好的醉94����, P ���,和總名譽(yù) 好的發(fā)ili^的旨96�����, P"可以使用下面的公iUM十算這些概率
<formula>formula see original document page 12</formula>
在實(shí)驗(yàn)中��,上面的公iW于大范圍的輸入標(biāo)準(zhǔn)的結(jié)合^非常好�����,并JLg實(shí)
際中�,它們的表淑目似于用于精確計(jì)^r入標(biāo)準(zhǔn)的"名譽(yù)不好"和"名譽(yù)好"行
為的自^:^Ht旨的7^式的M�����。
在為每個(gè)發(fā)iH^計(jì)算了P^和Pa^��, ^f^下面的名譽(yù)函W^為該發(fā)iH^i十
算名絲數(shù)
<formula>formula see original document page 12</formula>
其中
<formula>formula see original document page 12</formula>
應(yīng)該街醉不同的函數(shù)可以用作名#^數(shù)確定器98,并JJ佘了用函lfc^述���, 還可以以許多不同的形i(J^i。作為舉例說明���,圖3在100描述了一個(gè)用于確
定名#^^數(shù)的^^^形式�。該表示出了由上面的函數(shù)產(chǎn)生的根椐PM和R的名^^
數(shù)����,Pnr和Pr都在O. O和l. 0之間變化。例如在110所示的���,對(duì)于Pf0. 9和Pf0. 2 的組合�����,獲#~~個(gè)名#^數(shù)53����。該名^^bl:相對(duì)較高的指示符�,指示了該iL送 者不應(yīng)被認(rèn)為是名譽(yù)好的。如果P訓(xùn)和Px是相同的(例:W^120所示的����,如果Pm=0. 7和Pf0.7��,名#^數(shù)^0)���,獲得的名^^bl0。名^^數(shù)可以具有 負(fù)值����,以指示當(dāng)PR大于P冊(cè)時(shí)發(fā)ill^是相對(duì)名譽(yù)好的。例如����,如果^^E130所示 的,P冊(cè)一.5和Pf0.8��,那么名譽(yù)分lbl-12��。
名#^數(shù)可以被圖形化示出�����,如圖4的150所描述的�����。圖150是由上面的 函數(shù)^^P柳和Px的^(iA的。圖4示出了在垃圾環(huán)嫂下的名#^數(shù)確定���,其中 P冊(cè)和PR^fc^別用作正常^^ (hamminess)和垃圾程度(spa,iness)的^t^�, ^^Nffc^在0. 0和1. 0之間變4K
W些例子所示����,名譽(yù)分?jǐn)?shù)可以^于通信的特性(例如消息實(shí)>^#性)和 /或消息實(shí)體的行為而分S腺消息實(shí)體的數(shù)字形式的名譽(yù)��。數(shù)字名譽(yù)可以在名譽(yù) d^p名譽(yù)不好類別的連續(xù)范圍內(nèi)浮動(dòng)�。然而,名譽(yù)可以是非數(shù)字的�,諸械過具 有4的、或者多^J^的類別��。
圖5描述了一個(gè)耕場(chǎng)景�,其中名譽(yù)系M^tlt^系統(tǒng)^^,以產(chǎn)"絲 數(shù)�����。在該操作場(chǎng)景下���,為一樹定的發(fā)送者(例如IP地址��、域名�、電話號(hào)碼、 地址��、名字等等)從一組輸入數(shù)據(jù)計(jì)算名#^數(shù)���。參見圖5����,在步驟200收集為 發(fā)3^i十算名譽(yù)不砷名譽(yù)^m^所需的數(shù)據(jù)�����。然后該數(shù)據(jù)在步驟210被絲����, 并且用于步驟220的旨計(jì)算。這包括為發(fā)i^確定M選擇的標(biāo)準(zhǔn)的名譽(yù)不好 旨和名譽(yù)d^^��。然后為每個(gè)發(fā)iH^i十算總名譽(yù)不^f^和總名譽(yù)im^�。
在為每個(gè)發(fā)iil^i十算總名譽(yù)不^L率和總名譽(yù)^^之后,在230使用名 譽(yù)函絲為該發(fā)ill^i十算名^^數(shù)���。在步驟240��,該發(fā)絲的名^^^發(fā) (distribute)到4^脈/或分發(fā)到一個(gè)或多個(gè)系統(tǒng)����,以^i十與該發(fā)^il^目關(guān)的 通信。作為^N說明�,名#^數(shù)可以分發(fā)^"~個(gè)出慮系統(tǒng)。利用該名^^數(shù)�,過
^^i^好的發(fā)i^: ititi統(tǒng)可以i^^^棄該傳輸(例:fc^^)、將其M 在隔離區(qū)���、或者將該傳^f朽己為可疑的���。另外��,過濾系統(tǒng)可以i^^^將這種動(dòng)作應(yīng) 用到一段指定時(shí)間的來自該發(fā)送者的所有未來的傳輸��,而^^f名譽(yù)系統(tǒng)作出 新的查找查詢����。對(duì)于名f^好的發(fā)^, it^-系統(tǒng)可以相似的將該動(dòng)作應(yīng)用于傳 輸���,以允許它們繞過所有的過濾技術(shù)�����,或特定的導(dǎo)fej"過濾系統(tǒng)產(chǎn)生大量的處 理�、網(wǎng)絡(luò)、或者^#^銷的1±^4支術(shù)����。
應(yīng)該S) ^f以于i^E描述的^^:理^^,可以改變�����、^^t^/或增加處理 以M理的順序�����,并且仍達(dá)到期望的結(jié)果��。例如�,提取關(guān)于傳輸?shù)陌l(fā)送者的唯一 識(shí)別信息的一種可選的附加步驟可以是,使用發(fā)^^i^支術(shù)��,來^ii傳輸?shù)奶?定部分���,諸如消息頭部中的假設(shè)的發(fā)i^名����,或者關(guān)于j^a的不可偽造
13(unforgeable)的信息,^ta傳3^來自的IPi組���。這個(gè)處理可以允許it^-系 艦過查詢可以潛在被偽造的�����、尚未被驗(yàn)證的信息���,諸如域名或email地址,來 ^W亍^譽(yù)系^Ji的查找�����。如fJl樣的J^^kJU:具有正的名譽(yù)����,該傳輸可以直接 傳iH^接收系統(tǒng)�,而繞i^斤有的或某些i^凌技術(shù)。如果它具有負(fù)的名譽(yù)�����,必慮系 統(tǒng)可以選^^丟棄該>^輸、4f其M到隔離區(qū)���、或者將其#^己為可疑的����。
可以^^許多不同類型的發(fā)ill^^i^支術(shù)���,諸如發(fā)絲策^4錄(SPF)技 術(shù)��。SPF是一種域所有者用iMt布DNS記錄的協(xié)議�����,該DNS記錄指示出哪個(gè)IP
iikJU^L許^f^4^定的域發(fā)送郵件��。作為其他的非限制性例子����,可以使用 SenderID或DomainKeys來作為發(fā)£^#^支術(shù)���。
作為另一個(gè)例子���,在對(duì)發(fā)送者的通信的處理中可以4M許多不同類型的標(biāo) 準(zhǔn)�����。圖6描述了在確定名^^數(shù)中所使用的名譽(yù)不好標(biāo)準(zhǔn)300和名譽(yù)好標(biāo)準(zhǔn) 310����。
名譽(yù)不好標(biāo)準(zhǔn)300和名譽(yù)好標(biāo)準(zhǔn)310有助于區(qū)分名譽(yù)不d^^i^和名^f^好 發(fā)送者�����?����?梢越?jīng)常改變一組標(biāo)準(zhǔn)��,而不會(huì)嚴(yán)重影響^^1該計(jì)分技術(shù)所產(chǎn)生的名譽(yù) 分?jǐn)?shù)�。作為在SPAM識(shí)別的環(huán)境下的一種說明,下面是可以在消息發(fā)送者的名譽(yù) 分?jǐn)?shù)計(jì)分中^^I的垃iS^度標(biāo)準(zhǔn)的列表�����。該列表不是M窮舉�����,并且可以適于包 括M的標(biāo)g;^MPJ ^到的行為來刪除標(biāo)準(zhǔn)����。
1. "f坊返炎為、歎如果其發(fā)送的傳輸?shù)钠骄?^^古分#^過了某個(gè)門限 W�����,該發(fā)ill^M宣布為"名f^不好的"��。
2. WMy香^^如糾于一個(gè)發(fā)i^的IPi緣的反向jyU系統(tǒng)(RDNS) 查詢失敗��,它皿宣布為"名譽(yù)不好的"��。
3. W巡^C4^系如果一個(gè)發(fā)i^包括在一個(gè)實(shí)時(shí)黑名單(real-time black-hole list, RBL)中����,它就故宣布為"名譽(yù)不好的,����,。(注意可以4狄 多個(gè)RBL����,每個(gè)RBL都可以構(gòu)成一個(gè)獨(dú)立的測(cè)試標(biāo)準(zhǔn)����。)
4. 伊伴JWa// Fb/咖e,:如果一個(gè)發(fā)錄的平均(平均絲中值)傳 ^J:超過了一個(gè)門限X����,它 宣布為"名f^不好的",其中X是對(duì)一段時(shí)期的 傳^ifr測(cè)量得出的(諸如一天��、 一周��、或者一個(gè)月)��。(注意可以4頓在多 個(gè)時(shí)間段上的多個(gè)平均量���,并且每個(gè)平均4#可以構(gòu)成一個(gè)獨(dú)立的測(cè)試標(biāo)準(zhǔn)�����。)
5. 宇伴^:#/發(fā)^^力如果一個(gè)發(fā)送者的平均(平均值或中值)傳輸 流J^式^^性(由^^時(shí)間周期內(nèi)的活i^^送子周期的數(shù)目定義�,例如���, 一天 中的活J^JC送小時(shí)的數(shù)目����,或一月中的活ig^L送日的數(shù)目)小于某個(gè)門限Y�����,它 就故宣布為"名f^不好的"�,其中Y是在每個(gè)周期的子周期中測(cè)量的。(注意��,可以使用在多個(gè)時(shí)間周期上的多個(gè)平均突發(fā)性測(cè)量�����,并且^^平均突發(fā)性測(cè)�����, 可以構(gòu)成一個(gè)單獨(dú)的測(cè)試標(biāo)準(zhǔn)�。)
6.如果一個(gè)發(fā)送者的平均(平均值或中值)傳^i;危量t復(fù)(由 在一個(gè)時(shí)間段(例如, 一天��、 一周或一月)內(nèi)從同一個(gè)發(fā)ill^接收傳輸?shù)南到y(tǒng)的 百分比來定義)超過了某個(gè)門限Z,它皿宣布為"名f^不好的"�。(注意可 以使用在多個(gè)時(shí)間周期上的多個(gè)平均H并且每個(gè)平均寬度測(cè)ttp可以構(gòu)成一 個(gè)單獨(dú)的測(cè)試標(biāo)準(zhǔn)。)
7.,惡者炎^^^:如果知道一個(gè)發(fā)ill^在測(cè)量期間(例如一天�����、 一周、或 一個(gè)月)傳送了一個(gè)或多個(gè)惡意軟件銅(例如���,病毒��、間i^:件�、入侵頓)���, 它M宣布為"名譽(yù)不好的"���。
8. 如果知道一個(gè)發(fā)id^C因特網(wǎng)服務(wù)提供商(ISP)動(dòng)態(tài)^gt 到撥號(hào)或?qū)拵?dòng)態(tài)i4膽制協(xié)議(DHCP)客戶,它皿宣布為"名譽(yù)不好的�,,�����。
9. 67朋塊及^^^:如果知道一個(gè)發(fā)i^的IPiW^在于主要包括"名 譽(yù)不好的"IPiW止的無類域間路由(CIDR)塊中���,它微宣布為"名譽(yù)不好的"����。
10. 乂f泌錄如果分析這些傳輸?shù)膬?nèi)#^#性的人報(bào)4~"個(gè)發(fā):^ J^送了不M的傳輸,它,宣布為"名譽(yù)不好的"��。
11. 及炎膺辨W/7細(xì)7ya/7,^:發(fā).如果一個(gè)發(fā)送者向已經(jīng)被宣布為是垃圾 陷阱����,從而不應(yīng)接ilt^f可合';^輸?shù)膌^戶J^ili傳輸����,它M宣布為"名譽(yù)不好 的,���,�。
12. ^^€錄如果一個(gè)發(fā)送者向在目的系MJi;R^在的賬戶發(fā)iiL^J^
^^或者傳輸��,它就3皮宣布為"名譽(yù)不好的"�����。
13. ^g/標(biāo)^一放勝如果一個(gè)發(fā)iH^不符合法律�、'滅、以及傳輸?shù)陌l(fā) 錄和/或接財(cái)?shù)母诘膰业囊呀?jīng)建立的傳輸行為標(biāo)準(zhǔn)��,它微宣布為
"名譽(yù)不好的"�。
14. ^"遂勢(shì)勝如果一個(gè)發(fā)錄^L送位置的辦沒有長(zhǎng)于某個(gè)門限Z�����, 它就故宣布為"名譽(yù)不好的"���。
15. ^^6##弱顛如果一個(gè)發(fā)錄對(duì)接財(cái)?shù)慕K止與該發(fā)錄 的關(guān)系從而不M收^T來自它的傳輸?shù)暮戏ǖ拿睿瑳]有在一個(gè)合理的時(shí)間范 圍內(nèi)作出響應(yīng)��,它^#:宣布為"名f^不好的"�。
下面另_在確^^1^的"名譽(yù)度(reputability),�����,中可以使用的"名譽(yù)好 的��,����,標(biāo)準(zhǔn)的列表。該列表不是M窮舉�,并且可以適于包括其他的標(biāo)絲^#^ XSL^到的4亍為來刪除標(biāo)準(zhǔn)。1. 如果一個(gè)發(fā)ill^iC送的傳輸?shù)钠骄鴁N古^i^[氐于某 個(gè)門限W���,該發(fā)iH^就被宣布為"名譽(yù)好的"��。
2. 乂M錄如果分析來自該發(fā)錄的傳斷危的人報(bào)告了一個(gè)發(fā)錄敗 送合法的傳輸�����,它就被宣布為"名譽(yù)好的"����,這個(gè)A^合擁有這些發(fā)送站點(diǎn)的組 織的名f^Uif亍^"才斤�����。
在為全體發(fā)ili^的每個(gè)發(fā)i^計(jì)算了名譽(yù)船ij之后�����,可以通過一^if信協(xié)議 ^^譽(yù)類別有效���,利用名譽(yù)系統(tǒng)的查詢者可以解#^通信協(xié)議(例如DNS����、 HTTP 等等)�。如圖7所示,當(dāng)發(fā)出了對(duì)于一個(gè)發(fā)錄的查詢350����,名譽(yù)系統(tǒng)可用一個(gè) 包^i亥發(fā)i^的名^^數(shù)的返回值360以及WT以由查詢者利用以作出對(duì)該 發(fā)iH^的傳輸?shù)目山邮苄缘淖罱K判斷的^M目關(guān)的附加信息(例如名^^數(shù)的壽 命��、確定該名^^數(shù)的輸入數(shù)4^F等)作為響應(yīng)����。
可以使用的""HHf信協(xié)議的例子是域名系統(tǒng)(DNS )服務(wù)器����,它可以以IP ;^ki止形式的返回值172. x. y. z作為響應(yīng)??梢杂孟旅娴膩V〉iUM^碼該IP地扯
(jr印—v256》(l啤l mod 256)
、2x邵
被查詢的發(fā)錄的名譽(yù)可以按照如下公iWl回值中進(jìn)^t^碼
r印-(-l產(chǎn)X(256;y + z)
因此�����,當(dāng)x-O時(shí)�,返回的名f^l^一個(gè)正數(shù),并且當(dāng)x-l時(shí)�����,返回的名譽(yù)是 一個(gè)負(fù)數(shù)��。名譽(yù)的^t值由y和z的值確定。這種編碼方案使得服務(wù)器通過DNS 協(xié)^il回的名M的范圍在[-65535�, 65535]以內(nèi)。它還留出了七個(gè)(7 )未<吏 用的比特�,叫做x的七個(gè)高階比特。這些比特可以被保留用作名譽(yù)系統(tǒng)的擴(kuò)展��。 (例如��,可以將名^^數(shù)的壽^il回^^詢者���。)
圖8在430描述了一個(gè)用于處理在網(wǎng)絡(luò)"0上接收的傳輸?shù)南到y(tǒng)���。該傳輸 可以是許多不同類型的通信,諸如從一個(gè)或多個(gè)消息實(shí)體450^L送的電子郵件 (e-mail)���。系統(tǒng)43(HMit^系統(tǒng)460來幫助處狄自消息實(shí)體450的通信。 過濾系統(tǒng)460檢查與來自消息實(shí)體450的通信相關(guān)的特性���,并JL^于該檢查�����,對(duì) 該通信^C動(dòng)作���。例如�����,可以確定一^Nt信A^合法的���,從而該通信不應(yīng)被過濾系 統(tǒng)460 it;慮掉,并且應(yīng)提供給接收系統(tǒng)70�����,以將^送到預(yù)定的接收者���。
為了適當(dāng)提高消息分類的準(zhǔn)確性(例如垃M合法消息)����,如圖9所示��,過 濾系統(tǒng)460可以配備消息^H古程序500����。消息評(píng)估器(message profiler) 500使用多種消息分類技術(shù),或者如圖9所示�����,使用過濾器510如寸消息分類。消息 if^古器500可以使用的消息分類技^MUt濾器510的例子包括
^/^ZW5Y^W5V -^#分類技術(shù)���,才娥消息發(fā)錄的IP i條來^Wf反向 ^U服務(wù)(DNS )查找��,以檢查(1)對(duì)于該IP地址在DNS系統(tǒng)中S二否存在一個(gè) 域�,以及(2 )如^MLit樣的域��,該^1否與發(fā)送者聲明要>^^>發(fā)送消息的域 相匹配�。
a瓜,^t分類技術(shù),才娥消息發(fā)錄的ip ;緣來4Wt—
個(gè)或多個(gè)實(shí)時(shí)黑名單(RBL)查詢�����,以檢查該IP地ibl否^t^^可RBL標(biāo)識(shí)為可能 ^^送不M的消息的IP i^:��。
_一種分類技術(shù)�����,推據(jù)消息發(fā)送者的IP地妙/或它們的似 和M消息發(fā)^^特性來^Wf—個(gè)或多個(gè)名譽(yù)服務(wù)器查詢���,以接收描述該發(fā)it^ 的名譽(yù)的^^數(shù)。
差f吝^/措效"^# W^M^:^e^務(wù)6SLSV , - #分類技術(shù),計(jì) 算一組消息散列(hash)����,并查詢集中靜態(tài)查瀏良務(wù)(SLS),以確定計(jì)算的消 息擬'j在最近的郵件流中出現(xiàn)的多頻繁�。
漆惑^"^#;^^^^ _作為例子,該技術(shù)可以包括系統(tǒng)定義的頭部分析 (SDHA)�����、用戶定義的頭部分析(UDHA)等等��。
,鍵定乂W^T為v^f ^SQffiO - —組分類技術(shù)�,枱T—個(gè)消息并識(shí)別該消
息的頭部是否 了某些系統(tǒng)定義的可^#識(shí)不缺的消息發(fā)絲的特性。
02^0 -~~l且分類技術(shù)�����,^r^""個(gè)消息并確定該消 息的頭部是否械了某些用戶定義的可育M示識(shí)不絲的消息發(fā)錄的棒性�����。
發(fā)^^^E^且分類技術(shù)��,扭行查找����,以確定(l)發(fā)a所聲明的^A 否發(fā)布了被授權(quán)為該域發(fā)送郵件的郵件服務(wù)器的記錄�����,以及(2)如^L布了這 樣的記錄�����,該^^是否授權(quán)該發(fā)送者的IP地扯^RJ^斤聲明的域發(fā)送郵件��。通常 使用的發(fā)iil^iH^支術(shù)的例子包括發(fā)ill^策^fE^ (SPF)和發(fā)送者ID�����。
^f:辟;C理過濾-一種統(tǒng)計(jì)分類技術(shù)��,根據(jù)消息中的文本令牌(單詞)組���, 來^i十消息落入指定種類的聯(lián)^Ht旨。
對(duì)^#- -^分類技術(shù)�,搜索消息內(nèi)容中已經(jīng)與特定的消息類別相關(guān)聯(lián)的單詞。
秉類余類--"#分類技術(shù)�,基于對(duì)特征間的相似性的測(cè)量�����,^it信聚類為不 同的組,諸如缺的����、不缺的(例如垃圾)等等。^ft^類�,使得組內(nèi)的相似 性高而組間的相似性低。該列表不是 "窮舉�,并且可以適于包括頭他的發(fā)現(xiàn)的技術(shù)。該列表中的某 些描述構(gòu)成了一個(gè)單獨(dú)的技術(shù)�,而其他的描述構(gòu)成了許多相似的或非常相關(guān)的技
術(shù)的組合。當(dāng)多種技^NW合在^^述時(shí)�����,消息^N古器500允it^種技術(shù)有它
自己的置^ft;^值�。
消息if^古器500^^基于門限的技術(shù)樹消息分類。消息^N古器5004線 的每種分類技術(shù)510*—個(gè)相關(guān)的置信度值520�����。當(dāng)消4^iiiiff^H古����,消息 ;刊古器500在分類技術(shù)中重復(fù)�����,并允^^種技林嘗財(cái)該消息分類����。每種分類
的結(jié)果^fP是
范圍內(nèi)的小數(shù)值����。當(dāng)每種分類技^p重復(fù)it^,消息i^N古器
5 00使用下面的公式來為該消息計(jì)算一個(gè)分?jǐn)?shù)(Score)
其中SVi是與分類技術(shù)i相關(guān)聯(lián)的置信度值�����,而Ci是由^^類^支術(shù)i產(chǎn)生的在
之間的^^#����。
在用非線性計(jì)分函IUMM分類技術(shù)時(shí),可以^^下面的公式
at
化�。m = S (x G +肌'x )
其中SV"和SVH是與分類技術(shù)i相關(guān)聯(lián)的置信度值,而G是由分類4支術(shù)i產(chǎn)生的 在[O����, 1]之間的^^0。
如果消息的分 過了在520確定的某些特定門限T,那么該消息被宣布屬 于第一種定義的種類�。如果消息分?jǐn)?shù)低于該門限,它被宣布屬于相反的種類�。然 后系統(tǒng)可以才N&消息分l^斤iiS����,J的門限來^it當(dāng)?shù)膭?dòng)作,諸如隔離該消息�、丟 棄該消息(^Mfc^如530所示的刪除該消息而不傳送)、重寫該消息的iJi以包 ^"-些特定的字符串(例如"懷^1垃圾")��、將消息^f^"iH^加密引擎以^i也 傳送�,等等。系統(tǒng)還可以允許指定多個(gè)門限并對(duì)每個(gè)門P艮應(yīng)用不同的動(dòng)作����,這意 味著對(duì)消息評(píng)估器500的分類結(jié)絲更好的置信度。
消息^H古器500的有效'脈準(zhǔn)確性是絲于齡因素的��,諸如與分類技術(shù) 510相關(guān)聯(lián)的SVi或SV"/SVh置信度但520的集合���?����?梢允褂每烧{(diào)整的消息分類
配置來生成一^H^化的值的H^�����,以及相關(guān)的門FM^作的^���,并JUil些可以
周期'^i也生成��,以使消息^H古器500保^:新的保護(hù)更新�,該最新保護(hù)4t"^^:
續(xù)改變的消息流模iUi操怍的分類技術(shù)的分lfc^布的頻繁變化�����。這樣���,消息^N古
器的配置包:fe—個(gè)矢量
18(sv,����, sv2�����,…��,svo
(錄了所有N種分類技術(shù)的置信度值)。
如圖10所示����,消息分類調(diào)整器餅600可以^g&置用預(yù)整消息^H古器 500,通ii^所有可能的矢量的矢量空間中^t^搜索���,并指定使^N古器對(duì)于
"HH^先選擇的門限的it^準(zhǔn)確性最大的矢量。調(diào)整器600可以采用不同的方法 iMiJiJ逸泉�,諸M過^^I啟發(fā)式的方法610。
圖11示出了^^1遺傳算法650的啟發(fā)式方法�����,以Wf矢量空間搜索的調(diào)整 器����。這個(gè)概念以來自進(jìn)^^絲遺傳算法為1^,其中基因型(^il為染色體)
通過它們的顯型(表述為生物有機(jī)體)^M^目竟?fàn)?���。隨著時(shí)間的過去,生物進(jìn)化
產(chǎn)生了高適應(yīng)性的和復(fù)雜的有機(jī)體����,它們能夠在它們所先艮的環(huán)境中生存。相似
的,遺傳算法搜索包括一個(gè)問題的多^H吳選方案的矢量空間�,其中每^H美^r案 凈iL^述為一個(gè)矢量。通it^H^方案的產(chǎn)生進(jìn)行多次^^以���,遺傳算法i^進(jìn)化出
對(duì)該問 ^適合的方案�。
遺傳算法能夠,時(shí)間的過去而進(jìn)化出對(duì)一個(gè)問題的好的方案����,這^^于一
種準(zhǔn)確i^f古候選方案相對(duì)于其^M^^案的相對(duì)適應(yīng)水平的機(jī)制的存在。從而�,
遺傳算法650被設(shè)計(jì)為具有適應(yīng)性(Fitness)函數(shù)660,它對(duì)實(shí)際問^^中的 ^美^r案的it應(yīng)'ltii行了準(zhǔn)確的^^���。
下面是一個(gè)可以用來優(yōu)化消息誶f古器500的適應(yīng)性函數(shù)660:
ISC4T1 _ MSTAiCES11 — T"5"7*2 —艦5TAJC幼—T + 1 F"固=^-^ + C--^
函數(shù)中的術(shù)語定義如下
NaT產(chǎn)來自屬于第一類別的4^Mt據(jù)集的消息矢量的數(shù)目�; N園-來自屬于第4別的4HW^據(jù)集的消息矢量的數(shù)目����; C-對(duì)于來自第二類別的誤分類的消息的常lfc^數(shù);
Scm—MISTAKEi-來自第一消息類別的被誤分類到^類別的消息矢量i的消息
評(píng)估絲數(shù)����;
SCAT2 MISTAKE產(chǎn)來自第二消息類別的被誤分類到^f^別的消息矢量i的消息
評(píng)估絲數(shù);
丁=消息評(píng)估^1字門限�����,當(dāng)高于該門限,消息就被認(rèn)為屬于第一類別�。 該函lfc4^了與一種配置作出的^^相關(guān)的代價(jià),這種^^在嘗試對(duì)預(yù)先分類的數(shù)據(jù)齡中的消息矢量進(jìn)行正確分類過程中作出的��。相應(yīng)的���,為了遺傳算
法的目的��,較低的適應(yīng)性值被iM;是,的����。該函數(shù)中的第一個(gè)術(shù)語a了與來 自第一類別的被誤分類到屬于第4別(例如將不絲的消息分類成合法的,也 稱為誤否定)的消息相關(guān)的代價(jià)���,以^二個(gè)術(shù)語表述了與來自第二類別的^皮誤 分類到屬于第一類別(例如#法的消息分類成不缺的����,也稱為誤肯定)的消 息相關(guān)的代價(jià)����。該和*了一種s&置在嘗W消息矢量進(jìn)行分類時(shí)j^i^的點(diǎn) 的總數(shù)����。直觀的�,每個(gè)術(shù)語14^^1^^述了平均分 ^^率,^M^述了平均 分^^數(shù)量����。注意第二個(gè)術(shù)語將乘以常數(shù)c。該常數(shù)(可以設(shè)置為值20)* 了對(duì)來自一種類別的消息誤分類相對(duì)于對(duì)來自相反類別的消息誤分類的相對(duì)代
價(jià)���。通過將Ci5^; 20,這指示出對(duì)來自第4別的消息的分#^^對(duì)來自第 二類別的消息的分絲誤的代價(jià)的20倍�。例如�,如果消息評(píng)估器500湖于對(duì) M的和不to的郵件進(jìn)行分類,第一類別表示不M的郵件(例如垃圾)����,第 4別表示合法的消息。那么上述函數(shù)^iM;對(duì)合法消息的誤分類(誤肯定)是 對(duì)不M消息的誤分類(誤否定)的代�����,20倍��。i^映出在現(xiàn)實(shí)世界的反垃
圾環(huán)嫂下���,誤肯定比誤否定絲了更高的風(fēng)險(xiǎn)�。如果用消息^H古器500iMi行與
策^^合l^目關(guān)的分類,誤肯定^^一個(gè)消息包^t感信息����,但是消息斧f古器500 沒有將其這樣才朽己,因此該消息4iUbi^逆了由一個(gè)組織選��,要應(yīng)用到特定類 別的策略���。
圖12描述了一個(gè)可以使用消息評(píng)估器的操怍場(chǎng)景����。參加圖12����,該操怍場(chǎng)景 包括在步驟710接Jlt^一個(gè)消息實(shí)體在網(wǎng)絡(luò)J^L送的通信�����。然后在710使用多種 消息分類技術(shù)����,以分類該通信���。每種消息分類技術(shù)與一個(gè)置信度值相關(guān)聯(lián),該置 信度朋于從該消息分類技術(shù)生成一個(gè)消息分類輸出���。每種分類的輸出可以是數(shù) 字值��、iL^值��、或者類別值���。在步驟720,將消息分類輸出組合��,以在步驟730 生成一個(gè)消息"^H古分?jǐn)?shù)�。在步驟740使用該消息if^古分絲決定對(duì)于與該消息實(shí) 糾目關(guān)聯(lián)的通信絲什么動(dòng)作。
應(yīng)該W^似于il^描述的^M:理流程���,可以更換��、修#/或增加處理 和處理的順序�,并且仍達(dá)到期望的結(jié)果���。例如����,可以為如下操怍場(chǎng)景配置消息評(píng) 估器,該場(chǎng)景認(rèn)i��。洲只用一種技術(shù)不能^i械消息分成兩個(gè)不同的種類�,諸如 在M的(合法的)和不M的(垃圾、釣魚攻擊�����、病毒等等)消息通^ff之間區(qū) 分���,或者確定消息是否符^-種特定的纟射只策略��、法律或法規(guī)���。在這個(gè)操作場(chǎng)景 中,可以將這樣gt置的消息^H古器設(shè)計(jì)為
1.提^""個(gè)4錄����,以^i午多消息分類技術(shù)的結(jié)^i且合成一種絲的分類(諸如"不缺的"或"合法的"����、"符合HIPPA的"�、"逸良GLBA的���,�,����、"違 反HR策略的,����,,等等)�����,而械前指定彬頓哪種分類技術(shù)����。
2. 從"^種分類^L術(shù)的邏輯中分離它的重要性(通過它對(duì)M的分類的貢獻(xiàn) ^4述),從而可以調(diào)整一種技術(shù)的重要1^K平�,以反映它的準(zhǔn)確性隨時(shí)間的變 化。
3. 提^-"種機(jī)制���,通過該機(jī)制來描述該才錄內(nèi)的每種分類技術(shù)的相^^要 性和它們獨(dú)自的準(zhǔn)確性的相關(guān)性���,從而可以調(diào)整該框架���,以^^這種信息iMil,J m^分類的非常好的準(zhǔn)確率�����。
4. 提fr"種機(jī)制���,通過該機(jī)制^MC現(xiàn)該^^內(nèi)的每種分類技術(shù)的相^1^要 性����,從而可以"調(diào)整"該沖^UMf給定環(huán)境下的分類準(zhǔn)確率最大化�����。
另外�,可以將消息評(píng)估器配置為在^&#作場(chǎng)景下操怍。例如�,圖13描述 了一個(gè)消息^H古器,其適用于進(jìn)行自適應(yīng)性的消息阻塞和列"譽(yù)好的名單的操 作�����。參考圖13��,除了對(duì)單獨(dú)的消息的分類��,消息"^f古器餅500的絲結(jié)秘 可以���,于在820基于接收到的發(fā)i^的消息的消息^H古分IUMt消息的發(fā)送 者進(jìn)行分類�����。如絲一個(gè)指定的時(shí)間段內(nèi)(例如小時(shí)�����、天����、周)從一^#^1^送 者接收的消息的平均分M過了一個(gè)指定的門限Tu���,并且該^^fc^布的標(biāo)準(zhǔn)偏差 小于STu�,可以將該發(fā)iH^分類為"名譽(yù)不好的"(該信息4it^^在數(shù)據(jù)務(wù)賭區(qū) 840)�。然后過程800可以使用來自數(shù)據(jù)存儲(chǔ)區(qū)840的數(shù)據(jù),來確定^MJ1樣的發(fā) iil^^的所有消息和連接在810都可以被丟棄,而在接下來的X個(gè)小時(shí)都不進(jìn) 行處理�����。相應(yīng)的�,如果該平均分?jǐn)?shù)低于門限T"其標(biāo)準(zhǔn)偏差也小于STY,可以將 該發(fā)i^^L為合法的(其信息4皮^##在數(shù)據(jù)���,區(qū)830)����,并JUU亥發(fā)iil^發(fā)送 的消息可以由過程800允許繞過特定的���、可以引起該過濾系統(tǒng)460的大量處理��、 網(wǎng)絡(luò)i^W銷的ii^教術(shù)(例如消息^f古器500的it^)��。
消息^H古器還可以與^l系統(tǒng)內(nèi)部和夕NP的適應(yīng)性訓(xùn)練湘關(guān)^f^ ���。 4線這
里所述的發(fā)錄分類器的系姊方法,消息^H古器可以柳i^il練在該^H古內(nèi)使 用的44ti^慮4支術(shù)�����,以及M完全位iS^f古4^卜的it^4支術(shù)。這樣的技術(shù)包括 Bayesian��、支持矢執(zhí)(SVM)和^fc^計(jì)內(nèi)^it^4支術(shù)�����,以;S^^于簽名的技術(shù)����, 諸:fc^計(jì)查4Hj^務(wù)(SLS)和消息聚類類型技術(shù)��。對(duì)這樣的技術(shù)的訓(xùn)練策略可以 由消息^N古器才N&發(fā)^l"的名f^供的����、已分類的合法的和不缺的消息的 集合,該名譽(yù)是錄自發(fā)錄的消息的總分?jǐn)?shù)中^^的���。來自分類為名譽(yù)不好的 發(fā)絲的消息可以作為不缺的消4^提供到&慮系統(tǒng)訓(xùn)練器���,并且絲的消息 ^^w合法的^j^^^送的流中取出。如上所述����,消息評(píng)估器500可以^^基于名譽(yù)的方法作為一種分類方法�。 圖14在900描述了一種名譽(yù)系統(tǒng)�����,它可以由it;慮系統(tǒng)460在處S^網(wǎng)絡(luò)上接收 的來自消息實(shí)體450的傳輸中使用����。更特別的,過濾系統(tǒng)460使用名譽(yù)系統(tǒng)900 來幫助確定(至少部分確定)應(yīng)該對(duì)消息實(shí)體的通信^L什么過濾動(dòng)作(如M ^f可動(dòng)作的話)�。例如,通信可以被確定為來自一個(gè)名譽(yù)好的源�����,從而該通信不
itii系統(tǒng)460在950識(shí)別了接收的通信的發(fā)錄��,并且向名譽(yù)系統(tǒng)900提 供該識(shí)別信息���。名譽(yù)系統(tǒng)900通過計(jì)算消息實(shí)體M出特定特性的旨����,來"^H古 J^詢的發(fā)ill^的身份的名譽(yù)�。#^計(jì)算的旨來確定一個(gè)整沐的名#^數(shù),并 且將之提供給過濾系統(tǒng)460�����。名^^lt可以是lt字的、W的����、或者類別的。
過濾系統(tǒng)460在952確定對(duì)發(fā)送者的通信應(yīng)該釆取什么動(dòng)作���。過濾系統(tǒng)460 可以將來自名譽(yù)系統(tǒng)900的名^^U^作消息分類itE器,該名#^數(shù)絲以相 應(yīng)的調(diào)整過的置信度值����,然后與其他消息分類過濾器結(jié)果IU^—起。
可以按許多不同的方式iM&置名譽(yù)系統(tǒng)��,以幫助過濾系統(tǒng)��。例如�,圖15描 述了^S&置用于計(jì)算名^^數(shù)的名譽(yù)系統(tǒng)900?����?梢酝ㄟ^指定一組二元的�、可測(cè) 試的標(biāo)準(zhǔn)1002來建立系統(tǒng)的配置1000�����,這些標(biāo)準(zhǔn)表現(xiàn)為好的和壞的發(fā)送者的強(qiáng) 鑒別器����。P (NR I CO可以i^義為假^JLill^符合質(zhì)量/標(biāo)準(zhǔn)d的情況下該發(fā)i^ 名譽(yù)不好的旨���,并且P (R I CO可以^l義為假i^^l^符合質(zhì)量/標(biāo)準(zhǔn)Ci的情 況下該發(fā)i^"名譽(yù)好的旨����。
對(duì)于每個(gè)質(zhì)量/標(biāo)準(zhǔn)Ci�����,可以^ff周期性的(例*天��、每周�、每月等等) 采樣練習(xí)來重^fi十算P (NR I C,)。采樣練習(xí)可以包^i^擇已知質(zhì)量/標(biāo)準(zhǔn)d對(duì)其為 真的N個(gè)發(fā)送者的隨機(jī)采樣集S�����。該采樣中的發(fā)i^然后^^成以下的集合之 一名譽(yù)好的(R)�����、名譽(yù)不好的(NR)或未知的(U)。仏是在該采樣中名譽(yù)好 的發(fā)送者的數(shù)目����,N冊(cè)是名譽(yù)不好的發(fā)送者的數(shù)目,等等��。然后����,使用下面的公式 來4^i十P(NRlCi)和P(RlCi):
<formula>formula see original document page 22</formula>
為了這個(gè)目的���,確定N-30為一個(gè)足夠大的采樣尺寸���,以獲得對(duì)于每個(gè)質(zhì): /標(biāo)準(zhǔn)Ci的P (NR I Ci)和P (R I Ci)的準(zhǔn)確^;bi十。在為所有的標(biāo)準(zhǔn)計(jì)算了 P (NR I CO和P (R I CO ^��,計(jì)算出的絲柳于為名 譽(yù)空間中的每個(gè)發(fā)iH^i十算總名譽(yù)不好的絲1004��, P冊(cè)��,和總名譽(yù)好的缺 1006�����, P"可以^^下面的公^U^計(jì)算這些^^:
*順
尸《
w 「1-尸(層IC,)如果適用標(biāo)準(zhǔn),適蹄細(xì)#
ui 否則
w 「卜如果適用標(biāo)準(zhǔn),、翻標(biāo)準(zhǔn)的#
if i 否則
在實(shí)驗(yàn)中�,上面的公iW于大范圍的輸入標(biāo)準(zhǔn)的結(jié)合^非常好,并JL^實(shí)
際中���,它們的表^目似于用于精確計(jì)^^r入標(biāo)準(zhǔn)的"名譽(yù)不好"和"名譽(yù)好"的
4亍為的自^^HHf旨的/^式的M��。
在為每個(gè)發(fā)ill^i十算了PM和^之后�,^^下面的名譽(yù)公iUM;該發(fā)i^i十
/(尸NR '尸R ) = (Cl + C2尸NR + C2尸R + C3《+ C3尸R2 + C"l戶NR尸R + C5"^R
+《+《R尸r2 +《尸R X(尸NR- )3+ ���。(尸NR- PR ))
其中
q = 86.50 c2 =-193.45 c3 = —35.19 c4 =581.09 c5 = 234.81 c6 =—233.18 c7 =0.51
應(yīng)該衝眸不同的函數(shù)可以用作名#^數(shù)確定器1008�����,并且除了用函lfc^ 述�,還可以以許多不同的形式^^述����。作為i兌明,圖16在1100描述了一個(gè)用于
確^:名f^^數(shù)的^^^形式�。該^^示出了由上面的函^:產(chǎn)生的#^p冊(cè)和pR的值的
名譽(yù)分?jǐn)?shù),P冊(cè)和Pr在O. O和l. O之間變化。例如在1110所示的�����,對(duì)于P^0.9 和P^0.2的組合���,獲#"~個(gè)名^^數(shù)53�����。該名#^^|_相對(duì)較高的指示符�,指 示了該發(fā)i^不應(yīng)被iM;^^譽(yù)好的�����。如果P冊(cè)和Pr是相同的(例女"象在1120所 示的�,如果P冊(cè)-0.7和Pe0.7��,名譽(yù)分?jǐn)?shù)就為O) �, ^^得的名譽(yù)^ilbl: 0。名#20 數(shù)可以是負(fù)值���,以指示當(dāng)P-大于P冊(cè)時(shí)發(fā)ill^是相對(duì)名譽(yù)好的�。例如,如果<棘 1130所示的�����,P =0. 5和Pr-0.8�����,那么名f^iblL"12�����。
"譽(yù)系M^發(fā)ill^的通信的處理中可以^^許多不同類型的標(biāo)準(zhǔn)�,諸如使 用名譽(yù)不好的標(biāo)準(zhǔn)和名譽(yù)好的標(biāo)準(zhǔn)來確定名^^數(shù)。這樣的標(biāo)準(zhǔn)的例子在2004 年12月5日提交的序列號(hào)為60/625�, 507,名稱為"消息實(shí)體的^^類 (CLASSIFICATION OF MESSAGING ENTITIES)���,����,美國臨時(shí)申請(qǐng)中所7i^f�����。
i^E公開的系^方法只是通過舉問方式來提出的,并且不^:要l^制4^發(fā)明 的范圍��。上述的系統(tǒng)和方法的M變型對(duì)于4^貞域技^M^員而言是顯而易見的���, 從而被iM;包括^^^發(fā)明的范圍之內(nèi)�����。例如��, 一種系M^方法可以^S己置為處理 許多不同類型的通信�,諸如合法消息或不M的通信或il^預(yù)先選����,策略的通 信。作為^Ni兌明�,不M的通^r以包^i:^病毒通信,預(yù)先選#^策略可 以包括團(tuán)體通信策略�、消息策略、法^L^名譽(yù)策略����、或者國際通信策略�。
i^E公開的系^方法的廣范圍和變型的另一^J^'J子是,該系#方法可以 實(shí)現(xiàn)在^Mt類型的計(jì)�����,體系結(jié)構(gòu)上�,諸如在不同類型的網(wǎng)絡(luò)g上。作為舉例 說明�����,圖17描述了一種服務(wù)器訪問體系結(jié)構(gòu)�����,其中可以^^)所>^開的系#方 法(例如在圖17的1330所示的)�����。這個(gè)例子中的體系結(jié)構(gòu)包括一個(gè)團(tuán)體的局域 網(wǎng)1290和位于該局域網(wǎng)1290內(nèi)的許多計(jì),系統(tǒng)����。這些系統(tǒng)可以包括應(yīng)用服務(wù) 器1220,諸如Web服務(wù)器和e-mail服務(wù)器�、運(yùn)^f^如e-mai 1閱讀器和Web瀏 覽器的本Afe^l戶端1230的用戶工作站、以;Sj^":H^據(jù)庫和網(wǎng)結(jié)���,連接的盤的^t據(jù) ^i殳備1210�����。這些系縫過諸如以太網(wǎng)1250的局域網(wǎng)ij^目通信��。防火墻系 統(tǒng)1240位于局域網(wǎng)和因特網(wǎng)1260之間��。連接到因特網(wǎng)1260的是夕Np服務(wù)器 1270的Ji^夕h"tp^l戶端1280�。應(yīng)該理解>^/>開可以是任意的網(wǎng)絡(luò),包括^ 限制于內(nèi)聯(lián)網(wǎng)�����、無線網(wǎng)�、廣域網(wǎng)、局域網(wǎng)�����、以及它們的組合���,以利于部件之間的 通信���。
4^kjl戶端1230可以通it^^t信網(wǎng)訪問應(yīng)用服務(wù)器1220和共享的數(shù)據(jù) 賴區(qū)1210。夕h"lpjl戶端1280可以通過因特網(wǎng)1260訪問夕Mp應(yīng)用服務(wù)器1270����。 ^^J5良務(wù)器1220或者^hk^戶端1230要求訪問夕Np服務(wù)器1270,或者夕Np 客戶端1280或夕h"lp月良務(wù)器1270要求訪問本^JJ1務(wù)器1220的情況下���,在給定的 應(yīng)用服務(wù)器的適當(dāng)協(xié)議中的電子通信流經(jīng)防火墻系統(tǒng)1240的"一直開放"的端 o��。
i^E公開的系統(tǒng)1330可以位于連接到諸如以太網(wǎng)1280的本^if信網(wǎng)的硬
24^H殳備中或一個(gè)或多個(gè)服務(wù)器上�����,并JL^邏輯上襯防火墻系統(tǒng)1240與^^iiy良 務(wù)器1220和客戶端1230之間�。嘗試穿過防火墻系統(tǒng)1240ijU^Ail離開4^kit 信網(wǎng)絡(luò)的與應(yīng)用相關(guān)的電子通信被路由到系統(tǒng)1330���。
在圖17的例子中�,系統(tǒng)1330可以^CS&置為^H^并處理關(guān)于^t百萬計(jì)的發(fā) ill^的名^lt據(jù)�����,作為iMiM threat )管理系統(tǒng)的1分�����。這將允許iW管理系 始寸于允許或阻塞電子郵件(e-mail)作出^i^的it知的決定。
系統(tǒng)1330可以用于處理許多不同類型的e-mail,并且其用于eiail傳 輸�、傳iH^處理的^t協(xié)議包括SMTP和P0P3。這些協(xié)議分別指用于擬良務(wù)^L 間傳送e-mail消息的標(biāo)準(zhǔn)和用于與eiail消息相關(guān)的服務(wù)器-客戶通信的標(biāo) 準(zhǔn)���。這些協(xié)i^E由IETF (因特網(wǎng)X^任務(wù)組)發(fā)布的特別RFC (請(qǐng)求榜)中分 別進(jìn)^ft定義����。SMTP協(xié)議在RFC 1221中定義�,而P0P3協(xié)議在RFC 1939中定義。
自從有了這些標(biāo)準(zhǔn)�,在eiail領(lǐng)域就產(chǎn)生了各種需求,導(dǎo)致進(jìn)一步的標(biāo)準(zhǔn) 的產(chǎn)生����,包括增強(qiáng)的或附加的協(xié)議。例如�,對(duì)SMTP標(biāo)準(zhǔn)產(chǎn)生的^4t增強(qiáng)導(dǎo)致了 擴(kuò)展SMTP的產(chǎn)生。擴(kuò)展的例子可以見于(1) RFC 1869���,它通it^l義一種^^置 來定:^于擴(kuò)展SMTP業(yè)務(wù)的才E^��,從而服務(wù)器SMTP可以通知客戶端SMTP關(guān)于 它所支持的業(yè)務(wù)的擴(kuò)展���,以及(2)RFC 1891��,它定義了對(duì)SMTP業(yè)務(wù)的一種擴(kuò) 展��,允許SMTP客戶指定(a)在特定條件下應(yīng)該產(chǎn)生的傳送狀態(tài)通知(DSN)�����, (b)這樣的通知是否應(yīng)該返回消息的內(nèi)容,以及(c)附加信息�����,與DSN"^^返 回���,允許發(fā)i^識(shí)別發(fā)出的DSN的接)M"����,以;SJL送的原始消息所在的事務(wù)�。
另夕卜,狄出了 IMAP協(xié)議���,作為P0P3協(xié)議的抓����,它支持e-mail服務(wù)器 與客戶端之間的更多的高級(jí)交互。該協(xié)i化RFC 2060中描述��。
在網(wǎng)絡(luò)Jiii廣泛^^絲的通信機(jī)制��。這些通信機(jī)制包括����,斜限制于,IP 上的語音(VoIP )和即時(shí)消息����。VoIP被用于IP電話,以提^H吏用網(wǎng)際協(xié)議(IP ) 來管理i^"信息的傳送的^a設(shè)施�。即時(shí)消息是一種涉;5L^戶^^通傳送實(shí)時(shí)通 信(例如對(duì)話)的即時(shí)消息業(yè)務(wù)的通信。
隨著因特網(wǎng)的^^先^廣泛��,它還為用戶帶來新的麻煩�。特別的,^jfc^期由 個(gè)人用戶接收到的坦圾信息量急劇增加�����。本說明書所使用的垃 _指或者;^^至 請(qǐng)求的���、或者是接^不M的任意的通信收據(jù)����。可以按照i^E公開的iM己置一 種系統(tǒng)和方法�,以解決這些類型的未經(jīng)請(qǐng)求的或不 的通信。這對(duì)于減少消耗 團(tuán)體資源并影響生產(chǎn)率的e-mail垃:&A有幫助的�����。
要進(jìn)一步說明的是i^E公開的系統(tǒng)和方法所使用的數(shù)IW號(hào)可以通過網(wǎng)絡(luò) (例如局域網(wǎng)��、廣域網(wǎng)��、因特網(wǎng)等等)�、光纖介質(zhì)��、載波�、無限網(wǎng)等等來傳送,以與一個(gè)或多個(gè)數(shù)據(jù)處理設(shè)備通信���。數(shù)字信號(hào)可以^*^所乂>^的提#^~個(gè)
設(shè)備或來自一^H更備的任意的或4^P的^:據(jù)����。
另夕卜,ilE描述的方法和系統(tǒng)可以通過^^而實(shí)現(xiàn)iH午多不同類型的處 理設(shè)備上�,該餅偶包括了可以由一個(gè)或多個(gè)處理HWt^絲指令,軟#^ 序指令可以包括源代碼�����、目標(biāo)代碼����、枳器碼、或者能夠被^Mt來使皿理系M^ ^E所描述的方法的任意^k^W數(shù)據(jù)���。
系統(tǒng)和方法的數(shù)據(jù)(例如關(guān)聯(lián)�����、,等等)可以一種或多種不同類型的計(jì)算 機(jī)實(shí)現(xiàn)的方法^M!"^實(shí)現(xiàn)�����,諸如不同類型的^i殳備和編,造(例:N^據(jù)存 儲(chǔ)器�����、RAM�、 R0M、閃存����、平面文件、數(shù)據(jù)庫���、編程數(shù)據(jù)結(jié)構(gòu)��、編程變量���、IF-THEN (或類似類型)^Ji構(gòu)造,等等)�。要說明的是數(shù)據(jù)結(jié)構(gòu)描述了在數(shù)據(jù)庫�����、程序�����、
朋的i式����。 0 、 "
可以在許多不同類型的計(jì)^/L可讀介質(zhì)上提供所述系M^方法,這些可讀介 質(zhì)包^i十^4M^f幾制(例如CD-R0M��、軟盤���、RAM����、閃存���、計(jì)算^>^驅(qū)動(dòng)�、等等)����, 它包含由處理H^3ll行以使克^E描述的方法的操怍和實(shí)m^描述的系統(tǒng)的 指令。
^描述的計(jì)#^件�、軟件m、功能以及數(shù)據(jù)結(jié)構(gòu)可以 :接或間接的
W目連接���,以y^午它們的,所需的^:據(jù)的流動(dòng)�����。ii要注意i^件才旨4^^^可以
例如實(shí)現(xiàn)為代碼的^^單元�����、或者代碼的軟件功^#"元���、或者對(duì)象(在面向?qū)?br>
象的范例中)���、或者小程序、或者計(jì)W^本語言�����、或者另一種計(jì)WMW或固 件��。4N^手邊的情況�����,軟^件和/或功能可以位于一個(gè)單獨(dú)的設(shè)備上或者位于 雑的多橫備上����。
應(yīng)該理解����,就^^這里的說明書^t篇的權(quán)禾�����,虔求中使用的�����,"一個(gè)"�����、
"一"和"該"的意思包括JJt引用�,除非上下文明確的說明不包括����。還有,像 ^il里的說明書R后的it^權(quán)矛決求中使用的��,"中"的意思包括"中���,��,和
"上"����,除非上下文明確的說明不包括。最后��,像在這里的i兌明書和之后的it^ ;J5U'虔求中使用的�����,"和��,�,和"或,�,的意思包:括聯(lián)合性(conjunctive)的和分 離性(disjunctive)的兩者,并且可以互^^吏用�����,除非上下文明確的說明不可 以�����;短語"異或"可以柳于說明只能應(yīng)用分離的含義的情況����。
權(quán)利要求
1���、一種用于在一個(gè)或多個(gè)數(shù)據(jù)處理器上操作以將名譽(yù)分配給消息實(shí)體的方法����,包括接收標(biāo)識(shí)與消息實(shí)體的通信相關(guān)的一個(gè)或多個(gè)特性的數(shù)據(jù);基于接收的標(biāo)識(shí)數(shù)據(jù)來確定名譽(yù)分?jǐn)?shù)����;其中確定的名譽(yù)分?jǐn)?shù)指示該消息實(shí)體的名譽(yù);其中確定的名譽(yù)分?jǐn)?shù)用于決定對(duì)與該消息實(shí)體相關(guān)的通信采取什么動(dòng)作���。
2��、 積3��,虔求1的方法���,其中確定的名#^數(shù)*^發(fā)到一個(gè)或多個(gè)計(jì)#^系 統(tǒng),以用于it 慮傳輸�。
3、 ^3U'JJ^求1的方法���,其中確定的名^^Wt^iik^發(fā)^^�,以用于 雄傳輸。
4��、 權(quán)矛虔求l的方法���,進(jìn)一步包括 基于接收的標(biāo)識(shí)數(shù)據(jù)來確W糊示絲�;其中名射旨示旨指示出消息實(shí)體的名譽(yù)度�,該名^v^l&于識(shí)別出的一個(gè) 或多>^1信特性>^1^者符—個(gè)或多個(gè)與名譽(yù)相關(guān)的標(biāo)準(zhǔn)的程度; 其中確定名#^數(shù)包括基于所確定的概率的菜*1^確定名#^數(shù)����。
5、 權(quán)利要求l的方法����,進(jìn)一步包拾 指定用于區(qū)分名譽(yù)好的和名譽(yù)不好的類別的標(biāo)準(zhǔn)的集合; 其中該標(biāo)準(zhǔn)包括名譽(yù)不好的標(biāo)準(zhǔn)和名譽(yù)好的標(biāo)準(zhǔn)�����; 4M統(tǒng)計(jì)采樣來估計(jì)消息實(shí)禍^J見出每個(gè)標(biāo)準(zhǔn)的^^概率�����; 為^^個(gè)消息實(shí)體計(jì)算名譽(yù)����,其中計(jì)算步驟包括通過計(jì)算^jt^定該消息實(shí)體所體見的或符合的標(biāo)準(zhǔn)^��,和^L^符^^個(gè) 這樣的標(biāo)準(zhǔn)的消息實(shí)體實(shí)際上是名譽(yù)好的消息實(shí)體的單獨(dú)^fr概率的情況下,該 消息實(shí)體名譽(yù)好的聯(lián)^H^財(cái)?shù)墓烙?jì)值�,來計(jì)算該消息實(shí)體應(yīng)得到好的名譽(yù)的 缺;通過計(jì)算^^定該消息實(shí)體所,的或符合的標(biāo)準(zhǔn)集合����,和^L^符^^個(gè)這樣的標(biāo)準(zhǔn)的消息實(shí)體實(shí)際上是名^r、的消息實(shí)體的單獨(dú)4Hf概率的情況下�����,該消息實(shí)體名譽(yù)不好的聯(lián)^Hf概率的估計(jì)值��,來計(jì)算該消息實(shí)體應(yīng)得到否定名譽(yù)的W;通it^t這些絲應(yīng)用函tt為消息實(shí)體計(jì)算名譽(yù)�����。
6���、 積力溪求5的方法�,其中每個(gè)消息實(shí)體的名^L以32位���、帶點(diǎn)的十進(jìn) 制IPiM:的形式編碼���;f斤i^法i^一步包^r:創(chuàng)建一個(gè)^服務(wù)器(DNS)地區(qū)���,它包括4r^消息實(shí)體內(nèi)的所有消息實(shí)體 的名譽(yù);以及通過DNS協(xié)議將消息實(shí)體的名考^發(fā)給利用該名譽(yù)來工作的一個(gè)或多個(gè)計(jì) ,系統(tǒng)�����。
7�����、 權(quán)矛漆求5的方法���,其中標(biāo)準(zhǔn)^^是AUt樣的組中選擇出來的量度平 均垃圾"^古H^數(shù)�;反向J^服務(wù)器查找^JBL; —個(gè)或多個(gè)實(shí)時(shí)黑名單(RBL) 上的成員��;郵件量�;郵件^L性;郵件n; i^^位置�����;惡意軟件行為;i^類 型��;無類域間路由(CIDR)塊��,包括一些指U發(fā)im圾的網(wǎng)際協(xié)iiUkJy:;用戶 申訴率�;蜜罐檢測(cè)率;不能傳送的傳輸比率�;識(shí)別的與法律��、法規(guī)的一致性�����;傳 輸行為的已建立好的標(biāo)準(zhǔn)�;辦連續(xù)性;對(duì)接》^"命令的響應(yīng)性��;以及它們的組 合���。
8����、 權(quán)矛虔求5的方法��,其中用于將消息實(shí)體的名譽(yù)編碼成32位帶點(diǎn)的十 進(jìn)制IP艦的函奴/尸=172.邵一卜爿.(|re*v256*+od256). 、2 X re/; J
9����、 ^L矛JJ^求1的方法,進(jìn)一步包拾 基于接收的標(biāo)識(shí)數(shù)據(jù)確定名糊示,��;其中名對(duì)旨示旨指示出消息實(shí)體的名譽(yù)度��,該名譽(yù)^i^于識(shí)別出的一個(gè) 或多個(gè)通信特性# 者符—個(gè)或多個(gè)與名譽(yù)相關(guān)的標(biāo)準(zhǔn)的程度��; 其中確定名#^數(shù)包括基于所確定的概率的集成確定名#^數(shù)�; 其中所i^^^數(shù)的確^l^于給所確定的概率的llj^應(yīng)用 一個(gè)函數(shù); 其中該函翁j^該消息實(shí)體體現(xiàn)出與名譽(yù)相關(guān)的標(biāo)準(zhǔn)的每個(gè)概率的函數(shù)����。
10、 一種利用傳^riLiii^的名^iMtWt傳^r^i的方法���,該方法包拾識(shí)別關(guān)于來自^C送者的傳輸?shù)闹辽僖籢H^性��; 向包^i玄傳^^特���,性的名譽(yù)系M^t實(shí)時(shí)查詢; 接jjt^示與該傳^目關(guān)的名譽(yù)的分?jǐn)?shù)��;對(duì)應(yīng)于該發(fā)錄的名譽(yù)的分?jǐn)?shù)范圍,對(duì)來自該發(fā)狄的傳mW詢作��。
11�、 權(quán)矛決求10的方法,其中所述動(dòng)作包括以下的動(dòng)作至少之一在一段 預(yù)定時(shí)間內(nèi)或?qū)^定的傳輸數(shù)目拒"自該發(fā)iH^的所有進(jìn)一步的傳輸��;在一傳輸��;在二段&定時(shí)間內(nèi)或?qū)︻A(yù)定的傳輸數(shù)目隔離所有來自該發(fā)絲的進(jìn)一步 的傳輸���;在一段預(yù)定時(shí)間內(nèi)或?qū)^定的傳輸數(shù)目對(duì)于來自該發(fā)i^的所有進(jìn)一步傳輸繞過特定it^測(cè)試。
12�、 積3,jJ^求10的方法�,其中識(shí)別至少一>|^#性的步驟包^^取關(guān)于該傳 輸?shù)奈ㄒ粯?biāo)識(shí)信息,或者aii關(guān)于該傳輸?shù)奈ㄒ粯?biāo)識(shí)信息���,或者它們的組合�。
13�、 一種利用傳輸?shù)陌l(fā)iii^的名考^^uM3yt^傳^i且的過濾的方法,該方法包括基于內(nèi)容的相似'^者傳輸發(fā)iil^行為的相似性����,將多傳輸^^^-"^;識(shí)別關(guān)于該^^且中的每*輸?shù)闹辽僖籢#性���;向名譽(yù)系^ft查詢,并接^lt^^示^^j^ill^的名譽(yù)的^^數(shù)���;基于組中名譽(yù)^^名譽(yù)不好的發(fā)iil^的百分比���,對(duì)傳^a分類。
14�����、 權(quán)禾�����,J^求13的方法�����,其中識(shí)別至少一^性的步驟包^R取關(guān)于該傳 輸?shù)奈ㄒ粯?biāo)識(shí)信息����,或者驗(yàn)證關(guān)于該傳輸?shù)奈ㄒ粯?biāo)識(shí)信息,或者它們的組合�。
15���、 一種利用可訓(xùn)雜輸集合中傳輸?shù)陌l(fā)送者的名考^^UM3f^tit濾系統(tǒng) 的調(diào)^^訓(xùn)練的方法,該方法包^:識(shí)別關(guān)于來自;^送者的傳輸?shù)闹辽僖籢#性���; 向名譽(yù)系鍵^t查詢�����,并接iM^示^C^的名譽(yù)的^^數(shù)��; 基于發(fā)錄的名#^數(shù)落入的范圍��,微輸分類成多個(gè)類別����; 微#它們的分類類別^11^另一個(gè)出慮系統(tǒng)的訓(xùn)練器���,以用于優(yōu)化該過 濾系統(tǒng)。
16��、 �;J5U,虔求15的方法����,其中識(shí)別至少一^N陣性的步驟包^^取關(guān)于該傳 輸?shù)奈ㄒ粯?biāo)識(shí)信息�,或者^ii關(guān)于該傳輸?shù)奈ㄒ粯?biāo)識(shí)信息�,或者它們的組合。
17���、 一種在一個(gè)或多個(gè)數(shù)據(jù)處理器上操作以對(duì)來自消息實(shí)體的通信進(jìn)行分 類的方法包括從消息實(shí)^^it信�;<捐多種消息分類技術(shù)糾該通信分類����;將消息分類輸出組合,以生成消息^H古分?jǐn)?shù)�;其中該消息i^N古分皿用于決定對(duì)于與該消息實(shí)糾目關(guān)的通信i^^什么動(dòng)作。
18�、 權(quán)利要求17的方法,其中該通信是eiail消息或VoIP通信或即時(shí)消
19�����、 積j�����,虔求17的方法,其中該通信是合法的e-mail消息或垃M^病毒 或i^A團(tuán)體策略的通信����。
20、 權(quán)矛J^求17的方法��,其中消息分類技術(shù)包括從下組中選#^至少樹技術(shù)反向DNS (RDNS) ^^類4支術(shù)��、實(shí)時(shí)黑名單(RBL)分類技術(shù)�����、名譽(yù)服務(wù)器 分類技術(shù)�、基于簽名的分類技術(shù)、基于指紋的分類技術(shù)��、消息頭部^"析分類4支術(shù)���、 發(fā)ill^棘^^類技術(shù)�、貝葉斯itE統(tǒng)計(jì)分類技術(shù)��、聚類分類技術(shù)��、以及內(nèi)容 雄分類技術(shù)��。
21����、 權(quán)矛溪求17的方法,其中每種消息分類技^^一個(gè)置信度似目關(guān)聯(lián)��, 該置信度^^該消息分類技術(shù)生成消息分類輸出中4捐�。
22、 權(quán)矛決求21的方法�����,其中來自每種分類技術(shù)的過濾^i被乘以與其相 關(guān)的置信度值��,以生成消息分類輸出����。
23、 權(quán)矛漆求22的方法�,其中消息^H古分?jǐn)?shù)的確^l:通it:其中SVi是與分類技術(shù)i相關(guān)聯(lián)的置信度值,而Ci是由分類技術(shù)i產(chǎn)生的分類技械出�。
24、 權(quán)矛決求22的方法�,其中消息^H古分?jǐn)?shù)的確^^通it:S睛=2 ( S Vu x C/ + SV^' x C〖2)其中SVn和SV"是與分類技術(shù)i相關(guān)聯(lián)的置信度值,而Ci是由分類技術(shù)i 產(chǎn)生的分類技木渝出���。
25�����、 權(quán)矛虔求17的方法��,其中至少一種消息分類技術(shù)包括名譽(yù)計(jì)分技術(shù)�; 其中名譽(yù)計(jì)分技術(shù)為消息實(shí)體^^一個(gè)名^率;其中名射旨示旨指示出消息 實(shí)體的名^"度�,該名譽(yù)^&于識(shí)別出的一個(gè)或多^t信特性^^者符^""個(gè) 或多個(gè)與名譽(yù)相關(guān)的標(biāo)準(zhǔn)的程度。
26����、 一種用于在一個(gè)或多個(gè)數(shù)據(jù)處理器上操怍以對(duì)來自消息實(shí)體的通信進(jìn) 行分類的系統(tǒng)包拾多種消息分類技術(shù);其中這多種分類技 ^置為對(duì)從消息實(shí)#^收的通信進(jìn)行分類���; 消息^N古邏輯����,^m置為將消息分類輸出組合�����,以生成消息"^H古分?jǐn)?shù)�����; 其中該消息^N古分Wt用于決定對(duì)于與該消息實(shí)糾目關(guān)的通信^^什么動(dòng)作�。
27、 權(quán)矛決求26的系統(tǒng)�,其中該通信是合法消息或不i^的通信或ii^預(yù) 先選擇的策略的通信;并且其中不^的通信包^&^病毒通信��;其中預(yù)^yw策略包括團(tuán)傳遞信策略�����、消息策略�、';m^L章策略、或國 際通信策略�。
28、 權(quán)矛虔求26的系統(tǒng)�,其中每種消息分類技轉(zhuǎn)與一個(gè)置信度值相關(guān)聯(lián), 該置信度值湖于從該消息分類技術(shù)生成消息分類輸出�����;以及其中來自每種分類技術(shù)的過濾^t被乘以與其相關(guān)的置信度值��,以生成消息 分類輸出�����。
29、 權(quán)禾���,J^求28的系統(tǒng)�����,其中調(diào)整器餅湖于調(diào)整與消息分類技^目關(guān) 的置信度值�。
30���、 權(quán)矛j^求29的系統(tǒng)�,其中調(diào)整器^使用啟發(fā)式方法來調(diào)整置信度值�����。
31����、 權(quán)矛漆求29的系統(tǒng),其中調(diào)整器餅^(M遺傳算法來調(diào)整置信度值����; 其中該遺傳算法被設(shè)計(jì)為具有適應(yīng)性函數(shù)�����,該函恕寸實(shí)際問題域中的候^r案的適應(yīng)性建模;以及其中該適應(yīng)性函lfc^述了與一種配置作出的^^相關(guān)的代價(jià)�����,這種4t"^l在 嘗試對(duì)預(yù)先分類的數(shù)據(jù)條^中的消息矢量進(jìn)行正確分類過程中作出的���。
32��、 相力決求31的系統(tǒng)�,其中該系鍵^S&置為進(jìn)行自適應(yīng)性的消息阻S^ 列W譽(yù)好名單����。
33、 一種在一個(gè)或多個(gè)數(shù)據(jù)處理器上將的用于由一種或多種消息分類技 術(shù)^^來調(diào)整消息分類M的方法�����,包括^^調(diào)整器餅來調(diào)整與消息分類技斜目關(guān)的消息分類械�����; 其中從消息實(shí),iliJt信;其中被調(diào)整的消息分類械由多種消息分類技術(shù)^^來分絲^'J的通信����;其中來自多種消息分類技術(shù)的消息分類輸出^i且合,以生成消息刑古分?jǐn)?shù); 其中該消息^H古分WJc用于決定對(duì)于與該消息實(shí)糾目關(guān)的通信^^什么動(dòng)作��。
34�、 ;K矛J^"求33的方法�,其中消息分類M包括置信度值。
35�����、 權(quán)矛虔求34的方法�,其中調(diào)整器^^f賴啟發(fā)式方法來調(diào)整置信度值。
36�����、 相力J^求35的方法���,其中調(diào)整器^^^遺傳算法來調(diào)整置信度值����。
37、 相j�,決求36的方法,其中該遺傳算法被設(shè)計(jì)為具有適應(yīng)性函數(shù)�����,該函 ^t對(duì)實(shí)際問^^中的^l^方案的適應(yīng)性建模���;以及其中該適應(yīng)性函lfc^述了與一種配置作出的4t^相關(guān)的代價(jià),這種4^l:在嘗^t預(yù)先分類的數(shù)據(jù)n^中的消息矢量進(jìn)行正確分類過程中作出的��。
38�、 積力虔求36的方法,其中適應(yīng)性函^b^:<formula>formula see original document page 7</formula>其中N,狄自屬于笫一類別的4H^t據(jù)集的消息矢量的數(shù)目��; 其中N^絲自屬于第4別的4S^t據(jù)集的消息矢量的數(shù)目����; 其中C是對(duì)于來自第二類別的誤分類的消息的常^t^數(shù);其中SomM皿mA^自第一消息類別的被誤分類到^MI別的消息矢量i的消息評(píng)估絲數(shù)�����;其中S"t2,皿Ailt自第二消息類別的被誤分類到M類別的消息矢量i的 消息評(píng)估絲數(shù)���;其中T是消息^M古^:字門限��,當(dāng)高于該門限�,消息^^皮iM7屬于第一類別。
39��、 積力虔求36的方法��,其中該方法^S&置為進(jìn)行自適應(yīng)性的消息阻S^ 列M譽(yù)好名單�。
全文摘要
在一個(gè)或多個(gè)數(shù)據(jù)處理器上操作的處理通信的方法和系統(tǒng),以根據(jù)消息的分類或消息發(fā)送者的特性來確定是否應(yīng)該將通信發(fā)送給接收者�。
文檔編號(hào)G06F11/32GK101443736SQ200580046047
公開日2009年5月27日 申請(qǐng)日期2005年11月4日 優(yōu)先權(quán)日2004年11月5日
發(fā)明者D·阿爾佩洛維奇, G·拉詹, M·莫耶, P·朱奇 申請(qǐng)人:安全計(jì)算公司