專利名稱:多維聲譽評分的制作方法
技術(shù)領(lǐng)域:
本文件通常涉及用于處理通信(communication)的系統(tǒng)和方法,尤其是涉及用于
給與通信相關(guān)的實體進行分類的系統(tǒng)和方法�。
背景 在反垃圾郵件行業(yè)中,垃圾郵件發(fā)送者使用各種創(chuàng)造性的裝置來躲避垃圾郵件過濾器進行的檢測。這樣�,通信從其起源的實體可提供是否應允許給定通信進入企業(yè)網(wǎng)絡環(huán)境的另一指示。 然而���,用于消息發(fā)送者進行分析的當前工具包括互聯(lián)網(wǎng)協(xié)議(IP)黑名單(有時稱為實時黑名單(RBL))和IP白名單(實時白名單(RWL))�����。白名單和黑名單當然對垃圾郵件分類過程增加了益處��;然而����,白名單和黑名單內(nèi)在地 限于響應于每個查詢而提供一個二進制類型(YES/NO)�����。而且�,黑名單和白名單獨立地處理實體,并忽略與實體相關(guān)的各種屬性所提供的證據(jù)�����。
概述 提供了分布式聲譽體系結(jié)構(gòu)的系統(tǒng)和方法�。分布式聲譽系統(tǒng)可包括通信接口�����、數(shù)據(jù)匯聚引擎��、分析器�、關(guān)聯(lián)引擎和聲譽引擎�。通信接口可與布置在全局網(wǎng)絡內(nèi)的多個代理進行通信。數(shù)據(jù)匯聚引擎可通過通信接口匯聚所收集的數(shù)據(jù)��。分析器可分析數(shù)據(jù)�,以識別分別與發(fā)起所接收的通信相關(guān)聯(lián)的屬性。關(guān)聯(lián)引擎可關(guān)聯(lián)實體的屬性并識別實體之間的關(guān)系�。聲譽引擎可識別實體之間的關(guān)系并根據(jù)其與一個或更多個其它實體的關(guān)系更新與一個或更多個實體相關(guān)聯(lián)的聲譽。通信接口也可將更新的聲譽信息傳遞到在全局網(wǎng)絡上操作的設(shè)備����。 可操作來獲得并分配聲譽的其它系統(tǒng)可包括通信接口、數(shù)據(jù)匯聚引擎�、分析器、關(guān)聯(lián)引擎����、聲譽引擎和業(yè)務量控制引擎。通信接口可從全局網(wǎng)絡內(nèi)的代理或中央服務器接收信息��。數(shù)據(jù)匯聚引擎可匯聚來自通信接口的所接收的信息�����。分析器可分析所接收的信息�,以識別分別與發(fā)起所接收的通信的實體相關(guān)聯(lián)的屬性。關(guān)聯(lián)引擎可關(guān)聯(lián)實體的屬性并識別實體之間的關(guān)系��。聲譽引擎可識別實體之間的關(guān)系并根據(jù)其與一個或更多個其它實體的關(guān)系更新與一個或更多個實體相關(guān)聯(lián)的聲譽��。業(yè)務量控制引擎可根據(jù)更新的聲譽確定與通信相關(guān)聯(lián)的處理����。 給通信實體分配聲譽的方法可包括將多個代理布置在網(wǎng)絡內(nèi),所述多個代理與安全設(shè)備相關(guān)聯(lián)�,所述安全設(shè)備可操作來保護相關(guān)聯(lián)的網(wǎng)絡免受違反與相關(guān)聯(lián)的網(wǎng)絡關(guān)聯(lián)的策略的通信;收集與發(fā)起通信的實體相關(guān)聯(lián)的數(shù)據(jù)��,其中收集數(shù)據(jù)包括使用多個代理來收集與通信相關(guān)聯(lián)的數(shù)據(jù)���;匯聚所收集的數(shù)據(jù)�����;分析所匯聚的數(shù)據(jù)以識別分別與發(fā)起通信的實體相關(guān)聯(lián)的屬性���;關(guān)聯(lián)屬性以識別實體之間的關(guān)系��;根據(jù)通過關(guān)聯(lián)屬性而識別的與一個或更多個其它實體的關(guān)系來更新與一個或更多個實體相關(guān)的聲譽���;以及將更新的聲譽信息傳遞到所述多個代理中的一個或更多個代理。 向通信實體分配聲譽的方法可包括收集與發(fā)起通信的實體相關(guān)聯(lián)的數(shù)據(jù)�����,其中收集數(shù)據(jù)包括從多個代理接收數(shù)據(jù)以收集與通信相關(guān)聯(lián)的數(shù)據(jù)�����;匯聚所收集的數(shù)據(jù)�;分析所匯聚的數(shù)據(jù)以識別分別與發(fā)起通信的實體相關(guān)聯(lián)的屬性;關(guān)聯(lián)屬性以識別實體之間的關(guān)系����;根據(jù)通過關(guān)聯(lián)屬性而識別的與一個或更多個其它實體的關(guān)系來更新與一個或更多個實體相關(guān)聯(lián)的聲譽;以及根據(jù)更新的聲譽信息處理通信����。
圖1是描述示例性網(wǎng)絡的結(jié)構(gòu)圖,本公開的系統(tǒng)和方法可在該網(wǎng)絡中進行操作�����。
圖2是描述本公開的示例性網(wǎng)絡體系結(jié)構(gòu)的結(jié)構(gòu)圖。 圖3是描述通信和實體的例子的結(jié)構(gòu)圖���,其包括用于檢測實體之間的關(guān)系的標識符和屬性。 圖4是描述用于檢測關(guān)系并給實體分配風險的操作方案的流程圖�。 圖5是示出示例性網(wǎng)絡體系結(jié)構(gòu)的結(jié)構(gòu)圖,其包括局部安全代理所儲存的局部聲
譽和一個或多個服務器所儲存的全局聲譽����。 圖6是示出基于局部聲譽反饋的全局聲譽的確定的結(jié)構(gòu)圖。 圖7是示出全局聲譽和局部聲譽之間的示例性轉(zhuǎn)化(resolution)的流程圖�。 圖8是用于調(diào)節(jié)與聲譽服務器相關(guān)聯(lián)的過濾器的設(shè)置的示例性圖形用戶界面。 圖9是示出用于互聯(lián)網(wǎng)協(xié)議語音電話(VoIP)或短消息服務(SMS)通信的基于聲
譽的連接抑制(connection throttling)的結(jié)構(gòu)圖�����。 圖10是示出基于聲譽的負載均衡器的結(jié)構(gòu)圖��。 圖11A是示出用于基于地理位置的身份驗證的示例性操作方案的流程圖�����。 圖11B是示出用于基于地理位置的身份驗證的另一示例性操作方案的流程圖��。 圖11C是示出用于基于地理位置的身份驗證的另一示例性操作方案的流程圖。 圖12是示出用于基于聲譽的動態(tài)隔離的示例性操作方案的流程圖���。 圖13是圖像垃圾郵件通信的示例性圖形用戶界面顯示�。 圖14是示出用于檢測圖像垃圾郵件的示例性操作方案的流程圖���。 圖15A是示出用于分析通信的結(jié)構(gòu)的操作方案的流程圖��。 圖15B是示出用于分析圖像的特征的操作方案的流程圖�。 圖15C是示出用于標準化圖像以用于垃圾郵件處理的操作方案的流程圖�。 圖15D是示出用于分析圖像的指紋以在多個圖像中找到共同片段的操作方案的
流程圖。 詳細說明 圖1是描述示例性網(wǎng)絡環(huán)境的結(jié)構(gòu)圖��,本公開的系統(tǒng)和方法可在該網(wǎng)絡中進行操作��。安全代理(security agent) 100—般可存在于在網(wǎng)絡110 (例如��,企業(yè)網(wǎng))內(nèi)部的防火墻系統(tǒng)(未示出)和服務器(未示出)之間����。如應被理解的,網(wǎng)絡110可包括很多服務器�,包括例如可由與網(wǎng)絡110相關(guān)的企業(yè)使用的電子郵件服務器、網(wǎng)絡服務器和各種應用服務器。 安全代理100監(jiān)控進入和離開網(wǎng)絡110的通信��。 一般通過互聯(lián)網(wǎng)120從連接到互聯(lián)網(wǎng)120的很多實體130a_f接收這些通信����。實體130a_f中的一個或更多個可為通信業(yè)務量的合法發(fā)起者。然而���,實體130a-f中的一個或更多個也可為發(fā)起不需要的通信的聲譽差的實體�。因此����,安全代理100包括聲譽引擎��。聲譽引擎可檢查通信并確定與發(fā)起通信的實體相關(guān)聯(lián)的聲譽�。安全代理100接著根據(jù)發(fā)端實體的聲譽對通信執(zhí)行動作。如果聲譽指示 通信的發(fā)起者聲譽好��,那么例如���,安全代理可將通信轉(zhuǎn)發(fā)到通信的接收者�。然而����,如果聲譽 指示通信的發(fā)起者聲譽差�����,那么其中例如���,安全代理可隔離通信,對消息執(zhí)行更多的測試����, 或要求來自消息發(fā)起者的身份驗證。在美國專利公布號2006/0015942中詳細描述了聲譽 引擎���,該申請由此通過引用被并入���。 圖2是描述本公開的示例性網(wǎng)絡體系結(jié)構(gòu)的結(jié)構(gòu)圖。安全代理100a-n被示為在 邏輯上分別存在于網(wǎng)絡llOa-n與互聯(lián)網(wǎng)120之間�����。雖然沒有在圖2中示出�,但應理解,防 火墻可安裝在安全代理100a-n和互聯(lián)網(wǎng)120之間���,以提供防止未授權(quán)的通信進入相應的網(wǎng) 絡110a-n的保護���。而且�����,結(jié)合防火墻系統(tǒng)可配置侵入檢測系統(tǒng)(IDS)(未示出)�,以識別活 動的可疑模式并在這樣的活動被識別出時用信號通知警報��。 雖然這樣的系統(tǒng)對網(wǎng)絡提供了某種保護��,但它們一般不處理應用層安全威脅���。例 如,黑客常常試圖使用各種網(wǎng)絡類型的應用(例如���,電子郵件���、網(wǎng)絡、即時消息(IM)�,等等) 來產(chǎn)生與網(wǎng)絡110a-n的前文本連接,以便利用由使用實體130a-e的這些不同的應用所產(chǎn) 生的安全漏洞����。然而�,不是所有的實體130a-e都暗示對網(wǎng)絡100a-n的威脅���。 一些實體 130a-e發(fā)起合法的業(yè)務量����,允許公司的雇員與商業(yè)伙伴更有效地進行通信�����。雖然對可能的 威脅來說檢查通信是有用的�����,但是維持當前的威脅信息可能很難��,因為攻擊被不斷地改進 以解決最近的過濾技術(shù)��。因此��,安全代理lOOa-n可對通信運行多次測試���,以確定通信是否 是合法的��。 此外�����,包括在通信中的發(fā)送者信息可用于幫助確定通信是否是合法的����。因此,復 雜的安全代理lOOa-n可跟蹤實體并分析實體的特征����,以幫助確定是否允許通信進入網(wǎng)絡 110a-n??山又o實體110a-n分配聲譽。對通信的決定可考慮發(fā)起通信的實體130a-e的 聲譽�����。而且�, 一個或更多個中央系統(tǒng)200可收集關(guān)于實體130a-e的信息�,并將所收集的數(shù) 據(jù)分發(fā)到其它中央系統(tǒng)200和/或安全代理lOOa-n。 聲譽引擎可幫助識別大量惡意通信�,而沒有通信的內(nèi)容的廣泛和可能昂貴的局部 分析(local analysis)。聲譽引擎也可幫助識別合法通信����,并優(yōu)先考慮其傳輸�����,且減小了 對合法通信進行錯誤分類的風險����。而且���,聲譽引擎可在物理世界或虛擬世界中對識別惡意 以及合法事務的問題提供動態(tài)和預言性的方法�。例子包括在電子郵件��、即時消息����、VoIP、 SMS或利用發(fā)送者聲譽和內(nèi)容的分析的其它通信協(xié)議系統(tǒng)中過濾惡意通信的過程��。安全代 理lOOa-n可接著應用全局或局部策略�����,以確定關(guān)于通信對聲譽結(jié)果執(zhí)行什么動作(例如拒 絕���、隔離����、負載均衡、以所分配的優(yōu)先級傳輸��、以額外的細查局部地進行分析)���。
然而���,實體130a-e可用各種方法連接到互聯(lián)網(wǎng)。如應理解的���,實體130a-e可同時 或在一段時間內(nèi)具有多個標識符(例如����,電子郵件地址����、IP地址、標識符文件���,等等)�����。例 如��,具有變化的IP地址的郵件服務器可隨著時間的過去具有多個身份���。而且,一個標識符 可與多個實體相關(guān)���,例如��,當IP地址被很多用戶支持的組織共享時�。而且����,用于連接到互聯(lián) 網(wǎng)的特定方法可能使實體130a-e的識別模糊不清。例如���,實體130b可利用互聯(lián)網(wǎng)服務提 供商(ISP)200連接到互聯(lián)網(wǎng)�����。很多ISP 200使用動態(tài)主機配置協(xié)議(DHCP)來將IP地址 動態(tài)地分配給請求連接的實體130b��。實體130a-e也可通過欺騙合法實體來偽裝其身份�����。 因此�,收集關(guān)于每個實體130a-e的特征的數(shù)據(jù)可幫助對實體130a-e加以分類,并確定如何 處理通信��。
在虛擬世界和物理世界中創(chuàng)建和欺騙身份的容易性可能產(chǎn)生用戶惡意動作的動 機�,而不承擔該動作的后果。例如��,在互聯(lián)網(wǎng)上被罪犯盜取的合法實體的IP地址(或在物 理世界中的被盜的護照)可能使該罪犯能夠通過假裝被盜的身份而相對容易地參與惡意 行動����。然而,通過給物理實體和虛擬實體分配聲譽并識別它們可能使用的多個身份��,聲譽系 統(tǒng)可能影響聲譽好的實體和聲譽差的實體來負責任地操作��,以免變得聲譽差且不能與其它 網(wǎng)絡實體交流或交互��。 圖3是描述通信和實體的例子的結(jié)構(gòu)圖��,其包括利用用于檢測實體之間的關(guān)系的 標識符和屬性。安全代理100a-b可通過檢查被送往相關(guān)網(wǎng)絡的通信來收集數(shù)據(jù)�。安全代 理100a-b也可通過檢查由相關(guān)網(wǎng)絡分程傳遞的通信來收集數(shù)據(jù)。通信的檢查和分析可允 許安全代理100a-b收集關(guān)于發(fā)送和接收消息的實體300a-c的信息�����,其中包括傳輸模式����、數(shù) 量(volume)�����、或?qū)嶓w是否有發(fā)送某些類型的消息(例如���,合法消息���、垃圾郵件、病毒��、群發(fā)郵 件����,等等)的傾向。 如圖3所示,每個實體300a-c分別與一個或更多個標識符310a-c相關(guān)聯(lián)��。標識 符310a-c可例如包括IP地址����、統(tǒng)一資源定位器(URL)、電話號碼���、M用戶名���、消息內(nèi)容、域���, 或可描述實體的任何其它標識符�����。而且���,標識符310a-c與一個或更多個屬性320a-c相關(guān) 聯(lián)。如應理解的����,屬性320a-c符合所描述的特定標識符310a-c���。例如,消息內(nèi)容標識符可 包括屬性����,例如惡意軟件(malware)、數(shù)量�����、內(nèi)容類型�、運行狀態(tài)����,等等。類似地�����,與標識符例 如IP地址相關(guān)聯(lián)的屬性320a-c可包括與實體300a-c相關(guān)聯(lián)的一個或更多個IP地址���。
此外�����,應理解�����,可從通信330a-c(例如����,電子郵件)收集的該數(shù)據(jù)一般包括發(fā)起通 信的實體的一些標識符和屬性。因此�����,通信330a-c提供用于將關(guān)于實體的信息傳遞到安全 代理100a����、100b的傳送。通過檢查包括在消息中的標題信息���、分析消息的內(nèi)容����,以及通過匯 聚安全代理100a��、100b以前收集的信息(例如�����,合計從實體接收的通信的數(shù)量),安全代理 100a���、100b可檢測這些屬性����。 可匯聚并利用來自多個安全代理100a����、100b的數(shù)據(jù)����。例如,數(shù)據(jù)可由中央系統(tǒng)匯 聚和利用���,中央系統(tǒng)接收與所有實體300a-c相關(guān)聯(lián)的標識符和屬性����,安全代理100a���、100b 為實體300a-c接收了通信�����?�?蛇x地����,彼此傳遞關(guān)于實體300a-c的標識符和屬性信息的安 全代理100a、100b可作為分布式系統(tǒng)進行操作�����。利用數(shù)據(jù)的過程可使實體300a-c的屬性 彼此關(guān)聯(lián)�,從而確定實體300a-c之間的關(guān)系(例如,事件出現(xiàn)����、數(shù)量,和/或其它確定因素 之間的關(guān)聯(lián))���。 這些關(guān)系可接著用于根據(jù)與每個標識符相關(guān)的屬性的關(guān)聯(lián)為所有標識符建立多 維聲譽"矢量"���。例如,如果具有聲譽差的已知聲譽的聲譽差的實體300a發(fā)送具有第一組屬 性350a的消息330a����,且接著未知實體300b發(fā)送具有第二組屬性350b的消息330b����,則安全 代理100a可確定第一組屬性350a的全部或一部分是否匹配第二組屬性350b的全部或一 部分����。當?shù)谝唤M屬性350a的某個部分匹配第二組屬性350b的某個部分時,可根據(jù)包括匹 配的屬性330a����、33b的特定標識符320a、320b來建立關(guān)系��。被發(fā)現(xiàn)具有匹配的屬性的特定 標識符340a��、340b可用于確定與實體300a�、300b之間的關(guān)系相關(guān)聯(lián)的強度����。關(guān)系的強度可 幫助確定聲譽差的實體300a的聲譽差的性質(zhì)中有多少被歸于未知實體300b的聲譽。
然而�,還應認識到,未知實體300b可發(fā)起包括屬性350c的通信330c�����,屬性350c與 發(fā)源于已知的聲譽好的實體300c的通信330d的一些屬性350d匹配。被發(fā)現(xiàn)具有匹配的屬性的特定標識符340c����、340d可用于確定與實體300b、300c之間的關(guān)系相關(guān)聯(lián)的強度��。關(guān) 系的強度可幫助確定聲譽好的實體300c的聲譽好的性質(zhì)中有多少被歸于未知實體300b的聲譽���。 分布式聲譽引擎還允許關(guān)于最近的威脅前景的全球情報的實時協(xié)作共享�,對可由 過濾或風險分析系統(tǒng)執(zhí)行的局部分析提供即時保護的益處��,以及甚至在可能的新威脅出現(xiàn) 之前就識別這種新威脅的惡意來源��。使用位于很多不同地理位置處的傳感器�����,可與中央系 統(tǒng)200或與分布式安全代理100a��、100b —起快速共享關(guān)于新威脅的信息�����。如應理解的,這 樣的分布式傳感器可包括局部安全代理100a��、100b���,以及局部聲譽好的客戶機����、業(yè)務量監(jiān)控 器����,或適合于收集通信數(shù)據(jù)的任何其它設(shè)備(例如,開關(guān)�����、路由器�����、服務器�����,等等)�。
例如,安全代理100a����、 100b可與中央系統(tǒng)200進行通信,以提供威脅和聲譽信息的 共享�����?���?蛇x地,安全代理100a�、100b可在彼此之間傳遞威脅和聲譽信息,以提供最新的和準 確的威脅信息���。在圖3的例子中��,第一安全代理300a擁有關(guān)于未知實體300b和聲譽差的 實體300a之間的關(guān)系的信息����,而第二安全代理300b擁有關(guān)于未知實體300b和聲譽好的實 體300c之間的關(guān)系的信息��。在沒有共享信息的情況下,第一安全代理300a可根據(jù)所檢測的 關(guān)系對通信采取特定的動作��。然而����,知道未知實體300b和聲譽好的實體300c之間的關(guān)系, 第一安全代理300a可利用來自未知實體300b的收到的通信來采取不同的動作�。安全代理 之間的關(guān)系信息的共享因而提供更完整的一組關(guān)系信息,將針對該關(guān)系信息作出確定����。
系統(tǒng)試圖將聲譽(反映一般傾向和/或分類)分配給物理實體,例如執(zhí)行事務的 個人或自動化系統(tǒng)����。在虛擬世界中,實體由在實體正執(zhí)行的特定事務(例如�����,發(fā)送消息或從 銀行帳號轉(zhuǎn)移資金)中聯(lián)系到這些實體的標識符(例如IP�、URL、內(nèi)容)表示�����。因此根據(jù)那 些標識符的總體行為和歷史模式以及那些標識符與其它標識符的關(guān)系����,例如發(fā)送消息的IP 與包括在那些消息中的URL的關(guān)系,聲譽可被分配到那些標識符����。如果在標識符之間存在 強關(guān)聯(lián),則單個標識符的"差"聲譽可能使其它鄰近的標識符的聲譽惡化����。例如,發(fā)送具有 差聲譽的URL的IP將由于URL的聲譽而使其自己的聲譽惡化�。最后,單獨的標識符聲譽可 被匯聚成與那些標識符相關(guān)聯(lián)的實體的單個聲譽(風險評分)�。 應注意,屬性可分成很多類別��。例如��,證據(jù)屬性可表示關(guān)于實體的物理���、數(shù)字或數(shù) 字化的物理數(shù)據(jù)�����。該數(shù)據(jù)可歸于單個已知或未知的實體���,或在多個實體之間共享(形成實 體關(guān)系)��。與消息安全有關(guān)的證據(jù)屬性的例子包括IP(互聯(lián)網(wǎng)協(xié)議)地址�、已知的域名���、URL���、 實體所使用的數(shù)字指紋或簽名、TCP簽名����,等等。 作為另一例子���,行為屬性可表示關(guān)于實體或證據(jù)屬性的人或機器分配的觀測結(jié) 果�����。這樣的屬性可包括來自一個或多個行為參數(shù)文件(behavioralprofile)的一個��、很多 或所有屬性���。例如�,通常與垃圾郵件發(fā)送者相關(guān)聯(lián)的行為屬性可依據(jù)從該實體發(fā)送的大量 通信���。 用于特定類型的行為的很多行為屬性可被合并以得出行為參數(shù)文件。行為參數(shù)文 件可包括一組預定義的行為屬性��。分配給這些參數(shù)文件的屬性特征包括與限定匹配參數(shù)文 件的實體的傾向有關(guān)的行為事件���。與消息安全有關(guān)的行為參數(shù)文件的例子可包括"垃圾郵 件發(fā)送者"、"詐騙者"和"合法發(fā)送者"�。與每個參數(shù)文件相關(guān)的事件和/或證據(jù)屬性限定 參數(shù)文件應被分配到的適當實體。這可包括特定的一組發(fā)送模式��、黑名單事件或證據(jù)數(shù)據(jù) 的特定屬性�����。 一些例子包括發(fā)送者/接收者身份識別�;時間間隔和發(fā)送模式;有效載荷的嚴重度(severity)和配置��;消息結(jié)構(gòu)���;消息質(zhì)量����;協(xié)議和相關(guān)的簽名;通信介質(zhì)�。 應理解,共享相同的證據(jù)屬性中的一些或全部的實體具有證據(jù)關(guān)系�。類似地,共享
行為屬性的實體具有行為關(guān)系�����。這些關(guān)系幫助形成相關(guān)參數(shù)文件的邏輯組�,該關(guān)系接著被
適應性地應用,以增強參數(shù)文件或略微差不多符合所分配的參數(shù)文件地來識別實體����。 圖4是描述用于檢測關(guān)系并給實體分配風險的操作方案400的流程圖。操作方案
在步驟410通過收集網(wǎng)絡數(shù)據(jù)開始��。數(shù)據(jù)收集可例如由安全代理100�����、客戶設(shè)備�、交換機�����、路
由器或任何其它設(shè)備完成����,所述其它設(shè)備可操作來從網(wǎng)絡實體(例如����,電子郵件服務器�����、網(wǎng)
絡服務器�����、頂服務器��、ISP�����、文件傳輸協(xié)議(FTP)服務器���、gopher服務器�����、VoIP設(shè)備等)接收通信�。 在步驟420,標識符與所收集的數(shù)據(jù)(例如通信數(shù)據(jù))相關(guān)聯(lián)����。步驟420可由可操 作來從很多傳感器設(shè)備匯聚數(shù)據(jù)的安全代理100或中央系統(tǒng)200執(zhí)行,包括例如一個或更 多個安全代理IOO����。可選地���,步驟420可由安全代理100本身執(zhí)行�����。標識符可基于所接收 的通信的類型��。例如���,電子郵件可包括一組信息(例如��,發(fā)起者和收信方的IP地址���、文本內(nèi) 容、附件等)��,而VoIP通信可包括一組不同的信息(例如��,主叫電話號碼(或如果從VoIP客 戶發(fā)起則為IP地址)��、接收的電話號碼(或如果指定VoIP電話則為IP地址)�����、語音內(nèi)容�����, 等等)��。步驟420也可包括分配具有相關(guān)標識符的通信的屬性���。 在步驟430,分析與實體相關(guān)聯(lián)的屬性,以確定在實體之間是否存在任何關(guān)系��,為 這些實體收集通信信息�。步驟430可例如由中央系統(tǒng)200或一個或更多個分布式安全代理 IOO執(zhí)行。分析可包括比較與不同實體有關(guān)的屬性以找到實體之間的關(guān)系����。而且,根據(jù)作為 關(guān)系的基礎(chǔ)的特定屬性�����,強度可與關(guān)系相關(guān)聯(lián)�����。 在步驟440�,風險矢量被分配給實體。作為例子�����,風險矢量可由中央系統(tǒng)200或一 個或更多個安全代理100分配��。分配給實體130 (圖1-2) �����、300(圖3)的風險矢量可基于在 實體之間存在的關(guān)系,并基于形成關(guān)系的基礎(chǔ)的標識符���。 在步驟450�,可根據(jù)風險矢量執(zhí)行動作��。該動作可例如由安全代理100執(zhí)行����。可對 與實體相關(guān)聯(lián)的收到的通信執(zhí)行動作�����,風險矢量被分配給該實體�����。其中�,所述動作可包括允 許���、拒絕����、隔離、負載均衡����、以所分配的優(yōu)先級傳輸、以額外的細查局部地進行分析����。然而,應 理解���,可單獨地得到聲譽矢量��。 圖5是示出示例性網(wǎng)絡體系結(jié)構(gòu)的結(jié)構(gòu)圖�����,其包括由局部聲譽引擎510a-e得到的 局部聲譽500a-e和一個或更多個服務器530所儲存的全局聲譽520�����。局部聲譽引擎510a-e 例如可與局部安全代理����,例如安全代理100相關(guān)聯(lián)?�?蛇x地�,局部聲譽引擎510a-e可例如 與本地客戶機相關(guān)聯(lián)。聲譽引擎510a-e中的每個包括一個或更多個實體的列表�����,聲譽引擎 510a-e為這些實體儲存所得到的聲譽500a-e���。 然而���,這些儲存的得到的聲譽在聲譽引擎之間可能是不一致的,因為每個聲譽引 擎可觀察到不同類型的業(yè)務量���。例如��,聲譽引擎1510a可包括指示特定實體是聲譽好的聲 譽����,而聲譽引擎2510b可包括指示同一實體是聲譽差的聲譽���。這些局部的聲譽不一致性可 基于從實體接收的不同業(yè)務量����?���?蛇x地,不一致性可基于來自局部聲譽引擎1510a的用戶 的�、指示通信是合法的反饋,而局部聲譽引擎2510b提供指示同一通信是不合法的反饋�。
服務器530從局部聲譽引擎510a-e接收聲譽信息。然而�����,如上所述����, 一些局部聲 譽信息可能與其它局部聲譽信息不一致。服務器530可在局部聲譽500a-e之間進行仲裁�,以根據(jù)局部聲譽信息500a-e確定全局聲譽520。在一些例子中�����,全局聲譽信息520可接著 被提供回局部聲譽引擎510a-e���,以給這些引擎510a-e提供最新的聲譽信息�����?���?蛇x地,局部 聲譽引擎510a-e可操作來查詢服務器530以得到聲譽信息�。在一些例子中,服務器530使 用全局聲譽信息520響應于查詢���。 在其它例子中�,服務器530將局部聲譽偏置(bias)應用到全局聲譽520����。局部聲 譽偏置可對全局聲譽執(zhí)行變換,以給局部聲譽引擎510a-e提供全局聲譽矢量����,其根據(jù)發(fā)起 查詢的特定局部聲譽引擎510a-e的偏好而進行偏置。因此��,管理員或用戶對垃圾郵件消息 指示高容忍度(tolerance)的局部聲譽引擎510a可接收解釋所指示的容忍度的全局聲譽 矢量�����。返回到聲譽引擎510a的聲譽矢量的特定分量可能包括由于與聲譽矢量的其余部分 的關(guān)系而降低重要性的聲譽矢量的部分�����。同樣����,局部聲譽引擎510b可接收放大與病毒聲譽 有關(guān)的聲譽矢量的分量的聲譽矢量,局部聲譽引擎510b指示例如來自具有發(fā)起病毒的聲 譽的實體的低容忍度通信��。 圖6是示出基于局部聲譽反饋的全局聲譽的確定的結(jié)構(gòu)圖���。局部聲譽引擎600可 操作來通過網(wǎng)絡610向服務器620發(fā)送查詢��。在一些例子中�,局部聲譽引擎600響應于從 未知實體接收通信而發(fā)起查詢��?����?蛇x地��,局部聲譽引擎600可響應于接收任何通信而發(fā)起 查詢,從而促進更加新的聲譽信息的使用��。 服務器620可操作來使用全局聲譽確定響應于查詢�����。中央服務器620可使用全局 聲譽匯聚引擎630得到全局聲譽����。全局聲譽匯聚引擎630可操作來從相應的多個局部聲譽 引擎接收多個局部聲譽640。在一些例子中���,多個局部聲譽640可由聲譽引擎周期性地發(fā)送 到服務器620���。可選地�����,多個局部聲譽640可由服務器在從局部聲譽引擎600中之一接收到 查詢時取回�。 使用與每個局部聲譽引擎有關(guān)的置信值(confidence value)并接著積累結(jié)果,可 合并局部聲譽�����。置信值可指示與相關(guān)聲譽引擎所產(chǎn)生的局部聲譽相關(guān)聯(lián)的置信度。與個人 相關(guān)聯(lián)的聲譽引擎例如可接收在全局聲譽確定中較低的權(quán)重�����。相反���,與在大型網(wǎng)絡上操作 的聲譽引擎相關(guān)聯(lián)的局部聲譽可根據(jù)與該聲譽引擎相關(guān)聯(lián)的置信值接收全局聲譽確定中 較大的權(quán)重。 在一些例子中�����,置信值650可基于從用戶接收的反饋�。例如,可給接收很多反饋的 聲譽引擎分配與該聲譽引擎相關(guān)的局部聲譽640的低置信值650���,這些反饋指示通信未被 正確地處理����,因為與通信相關(guān)的局部聲譽信息640指示錯誤的動作��。類似地����,可給接收反饋 的聲譽引擎分配與該聲譽引擎相關(guān)的局部聲譽640的高置信值650��,該反饋根據(jù)局部聲譽 信息640指示通信被正確地處理����,局部聲譽信息640與指示正確的動作的通信相關(guān)聯(lián)�。與 不同聲譽引擎相關(guān)聯(lián)的置信值的調(diào)整可使用調(diào)節(jié)器660來完成,調(diào)節(jié)器660可操作來接收 輸入信息并根據(jù)所接收的輸入調(diào)節(jié)置信值�����。在一些例子中���,根據(jù)被儲存的用于被錯誤地分 類的實體的統(tǒng)計資料����,置信值650可由聲譽引擎本身提供到服務器620�。在其它例子中,用 于對局部聲譽信息加權(quán)的信息可被傳遞到服務器620��。 在一些例子中����,偏置670可應用于最終形成的全局聲譽矢量����。偏置670可標準化 聲譽矢量�����,以向聲譽引擎600提供標準化的全局聲譽矢量��?����?蛇x地���,可應用偏置670以解釋 與發(fā)起聲譽查詢的聲譽引擎600相關(guān)的局部偏好。因此��,聲譽引擎600可接收與查詢的聲 譽引擎600的確定的偏好匹配的全局聲譽矢量���。聲譽引擎600可根據(jù)從服務器620接收的全局聲譽矢量對通信采取動作��。 圖7是示出全局聲譽和局部聲譽之間的示例性轉(zhuǎn)化的結(jié)構(gòu)圖��。局部安全代理700 與服務器720進行通信�,以從服務器720取回全局聲譽信息。局部安全代理700可在702 接收通信���。局部安全代理可在704關(guān)聯(lián)通信以識別消息的屬性�。消息的屬性可包括例如發(fā) 端實體���、消息內(nèi)容的指紋��、消息大小����,等等���。局部安全代理700在對服務器720的查詢中包 括該信息���。在其它例子中,局部安全代理700可將整個消息轉(zhuǎn)發(fā)到服務器720�����,且服務器可 執(zhí)行消息的關(guān)聯(lián)和分析�。 服務器720使用從查詢接收的信息,來根據(jù)服務器720的配置725確定全局聲譽�。 配置725可包括多個聲譽信息����,包括指示被查詢的實體是聲譽差的信息(730)和指示被查 詢的實體是聲譽好的信息(735)����。配置725也可將權(quán)重740應用于每個匯聚的聲譽730、 735����。聲譽得分確定器745可提供用于給匯聚的聲譽信息730、735加權(quán)(740)并產(chǎn)生全局 聲譽矢量的引擎���。 局部安全代理700接著在706向局部聲譽引擎發(fā)送查詢��。局部聲譽引擎708執(zhí)行 局部聲譽的確定并在710返回局部聲譽矢量。局部安全代理700也接收以全局聲譽矢量形 式的�、對發(fā)送到服務器720的聲譽查詢的響應。局部安全代理700接著在712將局部聲譽 矢量和全局聲譽矢量混合在一起��。接著在714關(guān)于所接收的消息采取動作����。
圖8是用于調(diào)整與聲譽服務器相關(guān)聯(lián)的過濾器的設(shè)置的示例性圖形用戶界面 800。圖形用戶界面800可允許局部安全代理的用戶在一些不同的類別810��,例如"病毒"、 "蠕蟲"��、"特洛伊木馬"����、"網(wǎng)絡釣魚"、"間諜軟件"���、"垃圾郵件"��、"內(nèi)容"和"群發(fā)"中調(diào)整局部 過濾器的配置���。然而,應理解����,所述類別810只是例子,且本公開不限于在這里被選為例子 的類別810��。 在一些例子中���,類別810可分成兩種或更多類型的類別����。例如,圖8的類別810分 成類別810的"安全設(shè)置"類型820以及類別的"策略設(shè)置"類型830����。在每個類別810和 類型820、830中���,混合器條形表示840可允許用戶調(diào)整與通信或?qū)嶓w聲譽的相應類別810 相關(guān)聯(lián)的特定過濾器設(shè)置�。 而且�,雖然"策略設(shè)置"類型830的類別810可根據(jù)用戶自己的判斷被自由調(diào)節(jié),但 是"安全設(shè)置"類型820的類別可被限制到在一范圍內(nèi)調(diào)整��?�?僧a(chǎn)生該差別���,以便阻止用戶 更改安全代理的安全設(shè)置超過可接受的范圍��。例如,不滿意的雇員可能試圖降低安全設(shè)置�, 從而允許企業(yè)網(wǎng)易受攻擊。因此���,在"安全設(shè)置"類型820中置于類別810上的范圍850可 操作來在將安全保持在最低水平�����,以防止網(wǎng)絡被危害����。然而,如應注意的��,"策略設(shè)置"類型 830的類別810是不危害網(wǎng)絡安全的那些類型的類別810��,而是如果設(shè)置降低可能只是使用 戶或企業(yè)不方便�����。 此外����,應認識到,在各種例子中����,范圍限制850可置于全部類別810上。因此�,局部 安全代理將阻止用戶將混合器條形表示840設(shè)置在所提供的范圍850之外。還應注意�����,在 一些例子中,范圍可不顯示在圖形用戶界面800上��。替代地���,范圍850將被從圖形用戶界面 800提取出來�����,且所有設(shè)置將為相關(guān)的設(shè)置����。因此����,類別800可顯示并看起來似乎允許設(shè)置 的滿范圍,同時將設(shè)置變換成在所提供的范圍內(nèi)的設(shè)置�����。例如���,"病毒"類別810的范圍850 在本例中被設(shè)置在水平標記8和13之間���。如果圖形用戶界面800設(shè)置成從圖形用戶界面 800提取出可允許的范圍850,則"病毒"類別810將允許混合器條形表示840設(shè)置在0和14之間的任何位置��。然而�����,圖形用戶界面800可將0-14設(shè)置變換成在8到13的范圍850 內(nèi)的設(shè)置�。因此,如果用戶請求在0和14之間中間的設(shè)置���,則圖形用戶界面可將該設(shè)置變 換成在8和13中間的設(shè)置�。 圖9是示出用于互聯(lián)網(wǎng)協(xié)議語音電話(VoIP)或短消息服務(SMS)通信的基于聲 譽的連接抑制的結(jié)構(gòu)圖����。如應理解的,主叫IP電話900可向接收的IP電話910安排VoIP 呼叫�����。這些IP電話900���、910可以是例如計算機執(zhí)行的軟電話軟件����、網(wǎng)絡支持的電話,等等����。 主叫IP電話900可通過網(wǎng)絡920 (例如互聯(lián)網(wǎng))安排VoIP呼叫。接收的IP電話910可通 過局域網(wǎng)930 (例如企業(yè)網(wǎng))接收VoIP呼叫�。 當建立VoIP呼叫時,主叫IP電話已建立與局域網(wǎng)930的連接��。該連接可與電子 郵件�、網(wǎng)絡、即時消息或其它互聯(lián)網(wǎng)應用可被用于提供與網(wǎng)絡的未調(diào)節(jié)(unregulated)的 連接的方式類似被使用��。因此��,可使用與接收的IP電話的連接���,從而根據(jù)所建立的連接使 在局域網(wǎng)930上操作的計算機940�、950處于入侵����、病毒����、特洛伊木馬�、蠕蟲和各種其它類型 的攻擊的危險中�����。而且�,由于VoIP通信的時間敏感性質(zhì),一般不檢查這些通信���,以確保沒有 誤用連接�。例如�,語音會話實時地發(fā)生。如果語音會話的一些分組被延遲�,則會話變得不自 然且難以理解。因此����,一旦建立了連接,就一般不能檢查分組的內(nèi)容���。 然而�,局部安全代理960可使用從聲譽引擎或服務器970接收的聲譽信息來確定 與主叫IP電話相關(guān)的聲譽。局部安全代理960可使用發(fā)端實體的聲譽來確定是否允許與 發(fā)端實體的連接��。因此���,安全代理960可防止與聲譽差的實體的連接����,如不遵守局部安全代 理960的策略的聲譽所指示的�����。 在一些例子中��,局部安全代理960可包括連接抑制引擎���,其可操作來使用在主叫 IP電話900和接收的IP電話910之間建立的連接來控制正被傳輸?shù)姆纸M的流動速率�����。因 此����,可允許具有差聲譽的發(fā)端實體900產(chǎn)生與接收的IP電話910的連接��。然而,分組通過 量將被定上限��,從而防止發(fā)端實體900使用連接來攻擊局域網(wǎng)930��?��?蛇x地,連接抑制可通 過執(zhí)行從聲譽差的實體發(fā)起的任何分組的詳細檢查來完成���。如上所述���,所有VoIP分組的 詳細檢查不是有效的。因此��,可為與聲譽好的實體相關(guān)聯(lián)的連接最大化服務質(zhì)量(QoS)��, 同時減少與聲譽差的實體的連接相關(guān)聯(lián)的QoS�����?��?蓪εc聲譽差的實體相關(guān)聯(lián)的連接執(zhí)行 標準通信詢問技術(shù)��,以便發(fā)行從發(fā)端實體接收的任何被傳輸?shù)姆纸M是否包括對網(wǎng)絡930 的威脅�。在美國專利號6,941�,467、7����,089, 590�����、7��, 096�����, 498和7�����, 124,438中以及在美國專 利申請?zhí)?006/0015942��、2006/0015563�、2003/0172302�����、2003/0172294��、2003/0172291和 2003/0173166中描述了各種詢問技術(shù)和系統(tǒng)����,由此以上這些通過引用被并入�。
圖10是示出基于聲譽的負載均衡器1000的操作的結(jié)構(gòu)圖。負載均衡器1000可 操作來通過網(wǎng)絡1030(例如互聯(lián)網(wǎng))(分別地)從聲譽好的實體IOIO和聲譽差的實體1020 接收通信�����。負載均衡器1000與聲譽引擎1040進行通信���,以確定與進入或傳出的通信相關(guān) 聯(lián)的實體1010、 1020的聲譽�。 聲譽引擎1030可操作來給負載均衡器提供聲譽矢量。聲譽矢量可以各種不同的 類別指示與通信相關(guān)聯(lián)的實體1010�、 1020的聲譽。例如�,就發(fā)起垃圾郵件的實體1010、 1020 而言�����,聲譽矢量可指示實體1010U020的良好聲譽,同時就發(fā)起病毒的實體1010��、1020而 言���,也指示相同實體1010�、 1020的差聲譽���。 負載均衡器1000可使用聲譽矢量來確定關(guān)于與實體1010���、 1020相關(guān)聯(lián)的通信執(zhí)行什么動作。在聲譽好的實體1010與通信相關(guān)聯(lián)的情況下���,消息被發(fā)送到消息傳輸代理 (MTA) 1050并被傳輸給接收者1060�。 在聲譽差的實體1020擁有病毒的聲譽但沒有其它類型的聲譽差的活動的聲譽的 情況下�,通信被轉(zhuǎn)發(fā)到多個病毒檢測器1070中之一。負載均衡器1000可操作來根據(jù)病毒 檢測器的當前容量和發(fā)端實體的聲譽來確定使用多個病毒檢測器1070中的哪一個�����。例如, 負載均衡器1000可將通信發(fā)送到被最少利用的病毒檢測器���。在其它例子中���,負載均衡器 1000可確定與發(fā)端實體相關(guān)聯(lián)的差聲譽度,并將聲譽稍微差的通信發(fā)送到被最少利用的病 毒檢測器�����,同時將聲譽非常差的通信發(fā)送到被高度利用的病毒檢測器�,從而抑制與聲譽非 常差的實體相關(guān)聯(lián)的連接的QoS。 類似地�����,在聲譽差的實體1020有發(fā)起垃圾郵件通信的聲譽但沒有其它類型的聲 譽差的活動的聲譽的情況下����,負載均衡器可將通信發(fā)送到專門的垃圾郵件檢測器1080以 排除其它類型的測試�����。應理解��,在通信與發(fā)起多種類型的聲譽差的活動的聲譽差的實體 1020相關(guān)聯(lián)的情況下�����,可發(fā)送通信以測試已知實體1020要顯示的每種類型的聲譽差的活 動,同時避免與不知道實體1020要顯示的聲譽差的活動相關(guān)聯(lián)的測試�。
在一些例子中,每個通信可接收用于多種類型的不合法內(nèi)容的例行測試�。然而,當 與通信相關(guān)聯(lián)的實體1020顯示某些類型的活動的聲譽時���,通信也可被隔離以用于內(nèi)容的 詳細測試隔離��,實體顯示對于發(fā)起該內(nèi)容的聲譽�����。 在又一些例子中���,每個通信可接收相同類型的測試。然而����,與聲譽好的實體1010 相關(guān)聯(lián)的通信被發(fā)送到有最短隊列的測試模塊或具有空閑的處理容量的測試模塊。另一方 面�����,與聲譽差的實體1020相關(guān)聯(lián)的通信被發(fā)送到有最長隊列的測試模塊1070、1080�。因此, 與聲譽好的實體1010相關(guān)聯(lián)的通信可接受超過與聲譽差的實體相關(guān)聯(lián)的通信的傳輸優(yōu)先 權(quán)���。因此對于聲譽好的實體1010�����,服務質(zhì)量被最大化����,同時對于聲譽差的實體1020�����,服務質(zhì) 量被降低���。因此,基于聲譽的負載平衡可通過降低聲譽差的實體連接到網(wǎng)絡930的能力來 保護網(wǎng)絡免于攻擊�����。 圖IIA是示出用于收集基于地理位置的數(shù)據(jù)以進行身份驗證分析的示例性操作 方案的流程圖。在步驟1100�����,操作方案從各種登錄嘗試收集數(shù)據(jù)���。步驟1100可例如由局部 安全代理����,例如圖1的安全代理100執(zhí)行�����。其中���,所收集的數(shù)據(jù)可包括與登錄嘗試相關(guān)聯(lián)的 IP地址��、登錄嘗試的時間���、在成功之前的登陸嘗試的次數(shù),或所嘗試的任何不成功的口令的 詳細資料���。所收集的數(shù)據(jù)接著在步驟1105被分析�����,以得出統(tǒng)計信息���,例如登錄嘗試的地理 位置���。步驟1105可例如由聲譽引擎執(zhí)行。接著在步驟1110與登錄嘗試相關(guān)聯(lián)的統(tǒng)計信息 被儲存�����。該儲存可例如由系統(tǒng)數(shù)據(jù)存儲器執(zhí)行����。 圖11B是示出用于基于地理位置的身份驗證的另一示例性操作方案的流程圖。在 步驟1115接收登錄嘗試�����。登錄嘗試可例如由可操作來通過網(wǎng)絡提供安全財務數(shù)據(jù)的安全 網(wǎng)絡服務器接收��。接著在步驟1120確定登錄嘗試是否匹配所儲存的用戶名和口令組合����。步 驟1120可例如由可操作來驗證登錄嘗試的安全服務器執(zhí)行。如果用戶名和口令不匹配所 存儲的用戶名/ 口令組合�,則在步驟1125宣布登錄嘗試失敗。 然而����,如果用戶名和口令確實匹配合法用戶名/ 口令組合,則在步驟1130確定登 錄嘗試的起源�。登錄嘗試的起源可由如圖1所示的局部安全代理100確定?��?蛇x地�����,登錄 嘗試的起源可由聲譽引擎確定�。登錄嘗試的起源可接著與在圖IIA中得出的統(tǒng)計信息比較�,如在步驟1135中示出的。步驟1135可例如由局部安全代理100或聲譽引擎執(zhí)行�����。在 步驟1140確定起源是否與統(tǒng)計期望匹配�����。如果實際起源匹配統(tǒng)計期望,則在步驟1145驗 證用戶����。 可選地,如果實際起源不匹配對于起源的統(tǒng)計期望�,則在步驟1150執(zhí)行進一步的 處理。應理解�,進一步的處理可包括從用戶請求進一步的信息,以驗證他或她的真實性��。這 樣的信息可包括例如家庭地址��、母親的婚前姓�、出生地點,或關(guān)于用戶已知的任何其它部分 的信息(例如秘密問題)�。額外處理的其它例子可包括搜索以前的登錄嘗試,以確定當前登 錄嘗試的地點是否確實是異常的或僅僅是巧合的�����。此外��,與發(fā)起登錄嘗試的實體相關(guān)聯(lián)的 聲譽可被得出并用于確定是否允許登錄�。 圖IIC是示出用于使用發(fā)端實體的聲譽進行基于地理位置的驗證以確認身份驗 證的另一示例性操作方案的流程圖。在步驟1115接收登錄嘗試�����。登錄嘗試可例如由可操 作來通過網(wǎng)絡提供安全財務數(shù)據(jù)的安全網(wǎng)絡服務器接收。接著在步驟1160確定登錄嘗試 是否匹配所儲存的用戶名和口令組合��。步驟1160可例如由可操作來驗證登錄嘗試的安全 服務器執(zhí)行�����。如果用戶名和口令不匹配所存儲的用戶名/ 口令組合�,則在步驟1165宣布登 錄嘗試失敗����。 然而,如果用戶名和口令確實匹配合法的用戶名/ 口令組合�,則在步驟1170確定 登錄嘗試的起源。登錄嘗試的起源可由如圖1所示的局部安全代理100確定�����?����?蛇x地�����,登 錄嘗試的起源可由聲譽引擎確定。接著可取回與發(fā)起登錄嘗試的實體相關(guān)聯(lián)的聲譽��,如在 步驟1175中示出的���。步驟1175可例如由聲譽引擎執(zhí)行�����。在步驟1180確定發(fā)端實體的聲 譽是否是聲譽好的����。如果發(fā)端實體是聲譽好的��,則在步驟1185驗證用戶身份�����。
可選地����,如果發(fā)端實體是聲譽差的,則在步驟1190執(zhí)行進一步的處理。應理解�����,進 一步的處理可包括從用戶請求進一步的信息�,以驗證他或她的真實性。這樣的信息可包括 例如家庭地址�、母親的婚前姓、出生地點����,或關(guān)于用戶已知的任何其它部分的信息(例如秘 密問題)��。額外處理的其它例子可包括搜索以前的登錄嘗試�����,以確定當前登錄嘗試的地點是 否確實是異常的或僅僅是巧合的����。 因此,應理解�,可應用聲譽系統(tǒng)來識別金融交易中的欺詐行為。聲譽系統(tǒng)可根據(jù)交 易發(fā)起者的聲譽或?qū)嶋H交易中的數(shù)據(jù)(來源�����、目的地、金額����,等等)來提高交易的風險評分。 在這樣的情況下�,金融機構(gòu)可根據(jù)發(fā)端實體的聲譽更好地確定特定交易是欺騙性的概率。
圖12是示出用于基于聲譽的動態(tài)隔離的示例性操作方案的流程圖���。在步驟1200 接收通信�����。接著在步驟1205分析通信�,以確定它們是否與未知實體相關(guān)聯(lián)�����。然而應注意�����, 該操作方案可應用于所接收的任何通信����,而不僅僅是從以前的未知實體接收的通信�。例如���, 從聲譽差的實體接收的通信可被動態(tài)地隔離����,直到確定了所接收的通信不對網(wǎng)絡造成威脅 為止��。在通信不與新實體相關(guān)聯(lián)的場合���,通信經(jīng)歷對進入的通信的正常處理���,如在步驟1210 中示出的��。 如果通信與新實體相關(guān)聯(lián)�,則在步驟1215初始化動態(tài)隔離計數(shù)器。接著在步驟 1220�����,從新實體接收的通信被發(fā)送到動態(tài)隔離���。接著在步驟1225檢查計數(shù)器以確定計數(shù)器 的時間是否已經(jīng)過去了��。如果計數(shù)器的時間沒有過去�,則在步驟1230遞減計數(shù)器。在步驟 1235可分析實體的行為以及被隔離的通信�����。在步驟1240確定實體的行為或被隔離的通信 是否是異常的����。如果沒有發(fā)現(xiàn)異常情況,則操作方案返回到步驟1220�,在這里隔離新的通信。 然而����,如果在步驟1240發(fā)現(xiàn)實體的行為或通信是異常的,則在步驟1245給實體分 配聲譽差的聲譽�。通過將通知發(fā)送到管理員或發(fā)端實體所發(fā)送的通信的接收者來結(jié)束過 程。 返回到步驟1220�����,隔離和檢查通信和實體行為的過程繼續(xù)進行�,直到發(fā)現(xiàn)異常行 為為止�,或直到在步驟1225動態(tài)的隔離計數(shù)器的時間過去為止����。如果動態(tài)的隔離計數(shù)器的 時間過去了,則在步驟1255給實體分配聲譽��??蛇x地,在實體不是未知實體的情況下�,在步 驟1245或1255可更新聲譽。在步驟1260通過釋放動態(tài)隔離來結(jié)束該操作方案���,其中動態(tài) 的隔離計數(shù)器的時間已經(jīng)過去���,而在通信中或在發(fā)端實體的行為中沒有發(fā)現(xiàn)異常情況。
圖13是可被分類為不想要的圖像或消息的圖像垃圾郵件通信的示例性圖形用戶 界面1300的顯示���。如應理解的,圖像垃圾郵件對傳統(tǒng)垃圾郵件過濾器造成問題���。圖像垃圾 郵件通過將垃圾郵件的文本消息轉(zhuǎn)換成圖像格式來繞過垃圾郵件的傳統(tǒng)文本分析�����。圖13 示出圖像垃圾郵件的例子��。消息顯示圖像1310��。雖然圖像1300看起來是文本�,但它僅僅是 文本消息的圖形編碼。 一般地�,圖像垃圾郵件也包括文本消息1320,文本消息1320包括被 正確地構(gòu)造的但在消息背景下沒有意義的句子����。消息1320設(shè)計成躲避接通通信的垃圾郵 件過濾器,在該通信內(nèi)只包括圖像1310�����。而且�,消息1320設(shè)計成欺騙濾波器,這些濾波器對 包括圖像1310的通信的文本應用粗略的測試�。進一步地,當這些消息確實在頭部1330中 包括關(guān)于消息的起源的信息時���,用于發(fā)出圖像垃圾郵件的實體的聲譽可能是未知的�����,直到 該實體被發(fā)覺發(fā)送圖像垃圾郵件為止�。 圖14是示出用于檢測不想要的圖像(例如,圖像垃圾郵件)的示例性操作方案的 流程圖�。應理解,附圖14中所示的很多步驟可單獨地或結(jié)合附圖14中所示的其它步驟中 的任何一個或全部來執(zhí)行����,以提供圖像垃圾郵件的某種檢測。然而�,附圖14中的每個步驟 的使用提供了用于檢測圖像垃圾郵件的全面的過程。 過程在步驟1400以通信的分析開始�。步驟1400 —般包括分析通信,以確定通信 是否包括受到圖像垃圾郵件處理的圖像�。在步驟1410,操作方案執(zhí)行通信的結(jié)構(gòu)分析�,以確 定圖像是否包括垃圾郵件。接著在步驟1420分析圖像的頭部��。圖像頭部的分析允許系統(tǒng) 確定關(guān)于圖像格式本身是否存在異常情況(例如�����,協(xié)議錯誤�、訛誤���,等等)�。在步驟1430分 析圖像的特征。特征分析旨在確定圖像的任何特征是否是異常的���。 可在步驟1440標準化圖像��。圖像的標準化一般包括移除可能被垃圾郵件發(fā)送者 添加以避免圖像指紋識別技術(shù)的隨機噪聲����。圖像標準化旨在將圖像轉(zhuǎn)換成在圖像中可容易 比較的格式����。可對被標準化的圖像執(zhí)行指紋分析�,以確定圖像是否匹配來自以前接收的已 知圖像垃圾郵件的圖像。 圖15A是示出用于分析通信的結(jié)構(gòu)的操作方案的流程圖�����。操作方案在步驟1500 以消息結(jié)構(gòu)的分析開始����。在步驟1505,分析通信的超文本標記語言(HTML)結(jié)構(gòu)���,以引入 n-元文法(n-gram)標記作為貝葉斯分析的額外符號(token)�。這樣的處理可為異常情 況分析包括在圖像垃圾郵件通信中的文本1320?��?煞治鱿⒌腍TML結(jié)構(gòu)��,以定義元令牌 (meta-token)����。元令牌是消息的HTML內(nèi)容�,其被處理以丟棄任何不相關(guān)的HTML標記,并通 過移除白空區(qū)而被壓縮以生成用于貝葉斯分析的"符號"�����。上述符號中的每個可用作對貝葉 斯分析的輸入�,以與以前接收的通信比較。
操作方案接著在步驟1515包括圖像檢測���。圖像檢測可包括將圖像分割成多個部
分���,以及對這些部分執(zhí)行指紋識別來確定指紋是否匹配以前接收的圖像的部分。 圖15B是示出用于下述過程的操作方案的流程圖,即分析圖像的特征���,以提取用
于輸入到聚類引擎(clustering engine)中的消息的特征,以便識別符合已知圖像垃圾郵
件的圖像的組成部分�����。操作方案在步驟1520開始���,在這里圖像的多個高水平特征被檢測�����,
以用在機器學習算法中�。這樣的特征可包括數(shù)值����,例如獨特的顏色的數(shù)量、噪聲黑色像素
(noise black pixel)的數(shù)量�、水平方向中邊緣(形狀之間的銳轉(zhuǎn)變)的數(shù)量,等等�。 操作方案所提取的特征之一可包括圖像的柱狀圖模式的數(shù)量,如在步驟1525示
出的�����。通過檢查圖像的光譜密度來產(chǎn)生模式的數(shù)量。如應理解的�����,人工圖像一般包括比自
然圖像少的模式����,這是因為自然圖像顏色一般擴散到廣譜(broad spectrum)。 如上所述�����,從圖像提取的特征可用于識別異常情況���。在一些例子中����,異常情況可包
括分析消息的特征以確定多個特征與所儲存的不想要的圖像的特征的相似性的程度���?���?蛇x
地,在一些例子中��,也可分析圖像特征��,以與已知的聲譽好的圖像比較����,以確定與聲譽好的
圖像的相似性���。應理解�,單獨的所提取的特征都不能決定分類�����。例如��,特定的特征可與60%
的不想要的消息相關(guān)聯(lián)����,同時也與40%的想要的消息相關(guān)聯(lián)。而且���,當與特征相關(guān)聯(lián)的數(shù)值
變化時�����,消息是想要的或是不想要的概率可能變化��。有很多可指示輕微傾向的特征�����。如果
合并這些特征中的每個�,則圖像垃圾郵件檢測系統(tǒng)可進行分類決定。 接著在步驟1530檢查高寬比�����,以確定關(guān)于圖像尺寸或高寬比的是否存在任何異 常情況��。圖像尺寸或高寬比與已知圖像垃圾郵件所共有的已知尺寸或高寬比的相似性可指 示這種在高寬比中的異常情況�。例如,圖像垃圾郵件能夠以特定的尺寸出現(xiàn)��,以使圖像垃圾 郵件看起來更像普通電子郵件����。包括下述圖像的消息更可能是垃圾郵件本身,即這些圖像 與已知垃圾郵件圖像享有共同的尺寸��。可選地�����,存在不有利于垃圾郵件的圖像尺寸(例如��, 如果垃圾郵件發(fā)送者將消息插入圖像中���,則1英寸xl英寸的正方形圖像可能是難以讀取 的)�。已知不利于垃圾郵件的插入的包括圖像的消息較不可能是圖像垃圾郵件���。因此,消息 的高寬比可與在圖像垃圾郵件中使用的共同的高寬比進行比較���,以確定圖像是不想要的圖 像或圖像是聲譽好的圖像的概率��。 在步驟1535���,檢查圖像的頻率分布��。一般地�,自然圖像有具有相對少的明顯的頻率 梯度(gradation)的均勻頻率分布�。另一方面����,圖像垃圾郵件一般包括常變的頻率分布��,這 是因為黑色字母被放置在黑暗背景上�����。因此��,這樣的不均勻的頻率分布可指示圖像垃圾郵 件����。 在步驟1540,可分析信噪比���。高信噪比可指示垃圾郵件發(fā)送者可能試圖通過將噪 聲引入圖像中來躲避指紋識別技術(shù)��。由此增加噪聲水平可指示圖像是不想要的圖像的概率 增加����。 應理解��,可在整個圖像的規(guī)模上提取一些特征����,而可從圖像的子部分提取其它特 征�。例如����,圖像可被細分成多個子部分。每個矩形可使用快速付立葉變換(FFT)變換到頻域 中�����。在被變換的圖像中����,在多個方向上的頻率的優(yōu)勢(predominance)可作為特征被提取。 也可檢查所變換的圖像的這些子部分��,以確定高頻和低頻的數(shù)量�����。在被變換的圖像中��,離原 點較遠的點表現(xiàn)出較高的頻率�。類似于其它被提取的特征�����,這些特征可接著與已知的合法 和不想要的圖像比較,以確定未知圖像與每個類型的已知圖像共享哪些特性���。而且��,被變換的(例如頻域)圖像也可分成子部分(例如���,片段(slice)、矩形���、同心圓�����,等等)�����,并與來自
已知圖像(例如�,已知的不想要的圖像和已知的合法的圖像)的數(shù)據(jù)比較����。 圖15C是示出用于標準化圖像以用于垃圾郵件處理的的操作方案的流程圖���。在步
驟1545,從圖像除去模糊和噪聲���。如前所述����,這些可能由垃圾郵件發(fā)送者引入來躲避指紋識
別技術(shù)��,例如通過改變無用信息的總數(shù)的散列法��,使得它不與任何以前接收的已知圖像垃
圾郵件的無用信息的指紋匹配��。模糊和噪聲的移除可描述用于除去垃圾郵件發(fā)送者所引入
的人為噪聲的幾種技術(shù)��。應理解�,人為噪聲可包括垃圾郵件發(fā)送者所使用的技術(shù),例如條帶
效應(其中包括在圖像中的字體變化�����,以改變圖像的無用信息)���。 在步驟1550����,邊緣檢測算法可在標準化的圖像上執(zhí)行����。在一些例子中,被進行邊緣 檢測的圖像被使用并提供到光學字符識別引擎����,以將被進行邊緣檢測的圖像轉(zhuǎn)換成文本。 邊緣檢測可用于從圖片除去不必要的細節(jié)����,該細節(jié)可能在相對于其他圖像處理該圖像中造 成低效率。 在步驟1555��,可應用中值濾波�����。應用中值濾波來除去隨機的像素噪聲�。這樣的隨 機像素可對圖像的內(nèi)容分析造成問題。中值濾波可幫助除去垃圾郵件發(fā)送者所引入的單像 素類型的噪聲���。應理解��,單像素噪聲由垃圾郵件發(fā)送者使用圖像編輯器引入��,以改變圖像中 的一個或多個像素����,這可使圖像在一些區(qū)域中看起來呈顆粒狀的,從而使圖像更難以檢測�����。
在步驟1560����,量化圖像。圖像的量化除去不必要的顏色信息����。這種顏色信息一般 需要更多的處理,并與垃圾郵件的試圖傳播無關(guān)����。而且,垃圾郵件發(fā)送者可稍微改變圖像中 的顏色方案�����,并再次改變雜亂信息����,以便已知圖像垃圾郵件的雜亂信息不匹配從顏色變化 的圖像垃圾郵件得出的雜亂信息。 在步驟1565��,執(zhí)行對比度擴展�����。使用對比度擴展�,圖像中的顏色標度從黑到白被最 大化,即使顏色只在灰度陰影中變化也是如此�����。給圖像的最亮的陰影分配白值�,而給圖像中 最暗的陰影分配黑值。與原始圖像中最亮和最暗的陰影相比��,給所有其它陰影分配他們在 光譜(spectrum)中的相對位置����。對比度擴展幫助限定圖像中可能沒有充分利用可用光譜 的細節(jié)�,因而可幫助阻止垃圾郵件發(fā)送者使用不同部分的光譜來避免指紋識別技術(shù)����。垃圾 郵件發(fā)送者有時故意改變圖像的密度范圍,以使一些類型的特征識別引擎無效����。對比度擴 展也可幫助標準化圖像,以便它可與其它圖像比較�����,以識別包含在圖像中的共同特征�。
圖15D是示出用于分析圖像的指紋以在多個圖像中找到共同片段的操作方案的 流程圖。在步驟1570���,操作方案通過界定圖像內(nèi)的區(qū)域開始�����。接著對所界定的區(qū)域執(zhí)行風 選算法(winnowing algorithm)�����,以識別圖像的相關(guān)部分���,在步驟1575應在該圖像上提取 指紋���。在步驟1580����,操作方案對從風選操作得到的片段進行指紋識別,并確定在所接收的圖 像和已知垃圾郵件圖像的指紋之間是否存在匹配���。在每個專利申請公布號2006/0251068 中描述了類似的風選指紋識別方法���,該專利由此通過引用被并入。 如這里在說明書中使用的且在接下來的全部權(quán)利要求中���,"一 (a)"�����、"一個(an)"和 "所述(the)"的意思包括復數(shù)涵義�,除非上下文另外清楚地指出�。此外,如這里在說明書中 使用的且在接下來的全部權(quán)利要求中�����,"在…中"的意思包括、"在…中"和"在…上"�,除非上 下文另外清楚地指出。最后����,如這里在說明書中使用的且在接下來的全部權(quán)利要求中,"和" 和"或"的意思包括聯(lián)合的和分離的涵義�����,并可互換地使用���,除非上下文另外清楚地指出�。
范圍可在這里表示為從"大約"一個特定的值和/或到"大約"另一特定的值�����。當表示這樣的范圍時���,另一實施方式包括從一個特定的值和/或到另一特定的值�����。類似地�����,當
值被表示為近似值時���,通過使用前面的"大約",應理解�,特定的值形成另一實施方式。應進
一步理解���,每個范圍的端點相對于另一端點來說是重要的����,并獨立于另一端點���。 描述了本發(fā)明的很多實施方式����。然而�,應理解,可進行各種更改����,而不偏離本發(fā)明
的實質(zhì)和范圍���。因此,其它實施方式處于下面的權(quán)利要求的范圍內(nèi)�����。
權(quán)利要求
一種計算機實現(xiàn)的方法�,其可操作來將聲譽分配給與所接收的通信相關(guān)聯(lián)的通信實體,所述方法包括以下步驟將多個代理布置在網(wǎng)絡內(nèi)��,所述多個代理與安全設(shè)備相關(guān)聯(lián)���,所述安全設(shè)備可操作來保護相關(guān)聯(lián)的網(wǎng)絡免受違反與所述相關(guān)網(wǎng)絡關(guān)聯(lián)的策略的通信��;收集與發(fā)起通信的實體相關(guān)聯(lián)的數(shù)據(jù)��,其中收集數(shù)據(jù)的所述步驟包括使用所述多個代理來收集與所述通信相關(guān)聯(lián)的數(shù)據(jù)�����;匯聚所收集的所述數(shù)據(jù)����;分析所匯聚的所述數(shù)據(jù)以識別分別與發(fā)起通信的實體相關(guān)聯(lián)的屬性;關(guān)聯(lián)所述屬性以識別實體之間的關(guān)系���;根據(jù)通過關(guān)聯(lián)所述屬性而識別的與一個或更多個其它實體的關(guān)系���,來更新與一個或更多個實體相關(guān)聯(lián)的聲譽;以及將更新的聲譽信息傳遞到所述多個代理中的一個或更多個���。
2. 如權(quán)利要求1所述的方法���,其中所述聲譽包括以多個類別指示實體的聲譽的聲譽矢 量�����,所述類別表示所述實體或相關(guān)的實體所從事的活動的類型����。
3. 如權(quán)利要求2所述的方法,進一步包括使用所傳遞的所述更新的聲譽信息來確定是 否允許互聯(lián)網(wǎng)協(xié)議語音電話連接或短消息服務連接���。
4. 如權(quán)利要求3所述的方法����,進一步包括比較所述聲譽信息與策略,以確定是否允許 互聯(lián)網(wǎng)協(xié)議語音電話連接或短消息服務連接���。
5. 如權(quán)利要求4所述的方法���,其中所述策略由所述策略所屬的所述相關(guān)聯(lián)的網(wǎng)絡的管 理員定義。
6. 如權(quán)利要求2所述的方法�,進一步包括使用所傳遞的所述聲譽信息來確定從多個詢 問引擎中選擇的一個或更多個選擇的詢問引擎,其中所選擇的所述詢問引擎將詢問所接收 的通信�����。
7. 如權(quán)利要求6所述的方法����,其中所述一個或更多個選擇的詢問引擎省略對風險進行 測試的所述多個詢問引擎中的任何一個,其中所述聲譽矢量沒有暗示所述風險���。
8. 如權(quán)利要求2所述的方法�����,進一步包括使用所傳遞的所述聲譽信息來確定多個代理 中的哪一個代理用于所接收的通信的詢問�����。
9. 如權(quán)利要求8所述的方法����,其中與不遵守所述相關(guān)聯(lián)的網(wǎng)絡的策略的實體相關(guān)聯(lián)的 通信被分配給具有經(jīng)受最高的詢問量的詢問隊列的代理。
10. 如權(quán)利要求8所述的方法���,其中與遵守所述相關(guān)聯(lián)的網(wǎng)絡的策略的實體相關(guān)聯(lián)的 通信被分配給具有經(jīng)受最低的詢問量的詢問隊列的代理��。
11. 如權(quán)利要求2所述的方法�,其中所述聲譽包括下述項中的一個或更多個發(fā)起垃圾 郵件的聲譽�、發(fā)起圖像垃圾郵件的聲譽、發(fā)起攻擊的聲譽��、侵入的聲譽�、發(fā)起網(wǎng)絡釣魚通信 的聲譽��、基于地理位置的聲譽����,或發(fā)起群發(fā)郵件的聲譽。
12. 如權(quán)利要求2所述的方法��,其中所述多個代理包括局部聲譽信息,所述局部聲譽信 息包括分別與一個或更多個實體相關(guān)聯(lián)的一個或更多個聲譽���。
13. 如權(quán)利要求12所述的方法����,進一步包括 匯聚所述局部聲譽信息��;以及 根據(jù)所述局部聲譽信息的匯聚獲得全局聲譽矢量�����。
14. 如權(quán)利要求13所述的方法����,進一步包括 從代理接收聲譽查詢;響應于所述聲譽查詢獲得所述全局聲譽矢量����;以及 將所述全局聲譽矢量傳遞到發(fā)起所述聲譽查詢的所述代理。
15. 如權(quán)利要求14所述的方法�����,其中所述局部聲譽信息包括多個局部聲譽和與所述局 部聲譽相關(guān)聯(lián)的置信值����,其中匯聚所述局部聲譽信息的步驟包括通過相關(guān)聯(lián)的置信值調(diào) 整所述局部聲譽中的每一個����,以及合并所調(diào)整的所述局部聲譽來產(chǎn)生本地全局聲譽矢量���。
16. 如權(quán)利要求15所述的方法�����,進一步包括對所述本地全局聲譽矢量應用變換����,以產(chǎn) 生所述全局聲譽矢量�。
17. 如權(quán)利要求16所述的方法,其中所述變換包括與發(fā)起所述聲譽查詢的所述代理相 關(guān)聯(lián)的局部偏置��。
18. 如權(quán)利要求17所述的方法����,其中所述局部偏置可操作來根據(jù)與所述相關(guān)聯(lián)的網(wǎng)絡 相關(guān)的偏好來調(diào)整本地全局偏置����。
19. 如權(quán)利要求1所述的方法��,其中所述實體包括網(wǎng)絡實體�����,所述網(wǎng)絡實體可操作來接 收超文本傳輸協(xié)議請求并響應于所述超文本傳輸協(xié)議請求來傳遞一個或更多個網(wǎng)頁��,其中 與所述網(wǎng)絡實體相關(guān)聯(lián)的聲譽包括用于聲譽差的網(wǎng)頁的通信的聲譽�。
20. —種計算機實現(xiàn)的方法����,其可操作來將聲譽分配給與所接收的通信相關(guān)聯(lián)的通信 實體,所述方法包括以下步驟收集與發(fā)起通信的實體相關(guān)聯(lián)的數(shù)據(jù)���,其中收集數(shù)據(jù)的所述步驟包括從多個代理接收 數(shù)據(jù)以收集與所述通信相關(guān)聯(lián)的數(shù)據(jù)���; 匯聚所收集的所述數(shù)據(jù);分析所匯聚的所述數(shù)據(jù)以識別分別與發(fā)起通信的實體相關(guān)聯(lián)的屬性���; 關(guān)聯(lián)所述屬性以識別實體之間的關(guān)系�;根據(jù)通過關(guān)聯(lián)所述屬性而識別的與一個或更多個其它實體的關(guān)系����,來更新與一個或更 多個實體相關(guān)聯(lián)的聲譽�����;以及根據(jù)所更新的所述聲譽信息來處理通信���。
21. —種分布式系統(tǒng),其可操作來獲得并傳遞與通信實體相關(guān)聯(lián)的聲譽���,所述分布式系 統(tǒng)包括通信接口 ���,其可操作來與布置在全局網(wǎng)絡內(nèi)的多個代理進行通信,所述多個代理可操 作來獲得與從其接收通信的實體相關(guān)聯(lián)的局部聲譽�����,其中所述多個代理進一步可操作來收 集與所接收的通信相關(guān)聯(lián)的數(shù)據(jù)���;一個或更多個數(shù)據(jù)匯聚引擎��,其可操作來通過所述通信接口匯聚所收集的所述數(shù)據(jù)�; 分析器���,其可操作來分析所述數(shù)據(jù)��,以識別分別與發(fā)起所接收的所述通信相關(guān)聯(lián)的屬性����;關(guān)聯(lián)引擎����,其可操作來關(guān)聯(lián)所述實體的所述屬性并識別所述實體之間的關(guān)系; 聲譽引擎��,其可操作來識別所述實體之間的關(guān)系并根據(jù)其與一個或更多個其它實體的 關(guān)系更新與一個或更多個實體相關(guān)聯(lián)的聲譽����;以及其中所述通信接口進一步可操作來將更新的聲譽信息傳遞到在所述全局網(wǎng)絡上操作的設(shè)備。
22. 如權(quán)利要求21所述的系統(tǒng)�����,其中所述聲譽包括以多個類別指示實體的聲譽的聲譽 矢量�,所述類別表示所述實體所從事的活動的類型。
23. 如權(quán)利要求22所述的系統(tǒng)���,其中在所述全局網(wǎng)絡上操作的所述設(shè)備可操作來使用 所傳遞的所述更新的聲譽信息���,以確定是否允許互聯(lián)網(wǎng)協(xié)議語音電話連接或短消息服務連 接���。
24. 如權(quán)利要求23所述的系統(tǒng),其中所述設(shè)備可操作來比較所述聲譽信息與策略�,以 確定是否允許互聯(lián)網(wǎng)協(xié)議語音電話連接或短消息服務連接。
25. 如權(quán)利要求24所述的系統(tǒng)�����,其中所述策略由所述設(shè)備所屬的相關(guān)聯(lián)的網(wǎng)絡的管理 員定義���。
26. 如權(quán)利要求22所述的系統(tǒng)�,進一步包括負載均衡器�,所述負載均衡器可操作來使 用所傳遞的所述聲譽信息來確定從多個詢問引擎中選擇的一個或更多個選擇的詢問引擎, 其中所述一個或更多個選擇的詢問引擎將詢問所接收的通信���。
27. 如權(quán)利要求26所述的系統(tǒng)�����,其中所述一個或更多個選擇的詢問引擎包括對風險進 行測試的所述多個詢問引擎中的詢問引擎��,所述聲譽矢量暗示所述風險�。
28. 如權(quán)利要求22所述的系統(tǒng),進一步包括負載均衡器����,所述負載均衡器可操作來使 用所傳遞的聲譽信息來確定多個代理中的哪個用于所接收的通信的詢問。
29. 如權(quán)利要求28所述的系統(tǒng)�����,其中與不遵守相關(guān)聯(lián)的網(wǎng)絡的策略的實體相關(guān)聯(lián)的通 信被分配給具有經(jīng)受最高的詢問量的詢問隊列的代理�。
30. 如權(quán)利要求28所述的系統(tǒng)���,其中與不遵守相關(guān)聯(lián)的網(wǎng)絡的策略的實體相關(guān)聯(lián)的通 信被分配給具有經(jīng)受最低的詢問量的詢問隊列的代理�����。
31. 如權(quán)利要求22所述的系統(tǒng)�,其中所述聲譽包括下述項中的一個或多個發(fā)起垃圾 郵件的聲譽�、發(fā)起圖像垃圾郵件的聲譽、發(fā)起攻擊的聲譽����、侵入的聲譽、發(fā)起網(wǎng)絡釣魚通信 的聲譽�����,或發(fā)起群發(fā)郵件的聲譽。
32. 如權(quán)利要求22所述的系統(tǒng)����,其中所述多個代理包括局部聲譽信息,所述局部聲譽 信息包括分別與一個或更多個實體相關(guān)聯(lián)的一個或更多個聲譽�����。
33. 如權(quán)利要求32所述的系統(tǒng)�����,進一步包括聲譽匯聚引擎�����,所述聲譽匯聚引擎可操作 來匯聚從所述多個代理取回的所述局部聲譽信息��,并根據(jù)所述局部聲譽信息的匯聚獲得全 局聲譽矢量�����。
34. 如權(quán)利要求33所述的系統(tǒng)�����,其中所述通信接口可操作來從代理接收聲譽查詢,且 所述聲譽匯聚引擎可操作來響應于所述聲譽查詢獲得所述全局聲譽矢量���,由此所述通信接 口能夠?qū)⑺鋈致曌u矢量傳遞到發(fā)起所述聲譽查詢的代理���。
35. 如權(quán)利要求34所述的系統(tǒng),其中所述局部聲譽信息包括多個局部聲譽和與所述局 部聲譽相關(guān)聯(lián)的置信值����,其中聲譽匯聚引擎可操作來通過相關(guān)聯(lián)的置信值調(diào)整所述局部聲 譽中的每一個并合并所調(diào)整的所述局部聲譽來產(chǎn)生本地全局聲譽矢量���。
36. 如權(quán)利要求35所述的系統(tǒng)���,其中所述聲譽匯聚引擎進一步可操作來對所述本地全 局聲譽矢量應用變換,以產(chǎn)生所述全局聲譽矢量����。
37. 如權(quán)利要求36所述的系統(tǒng),其中所述變換包括與發(fā)起所述聲譽查詢的所述代理相 關(guān)聯(lián)的局部偏置����。
38. 如權(quán)利要求37所述的系統(tǒng),其中所述局部偏置可操作來根據(jù)與相關(guān)聯(lián)的網(wǎng)絡相關(guān)聯(lián)的偏好來調(diào)整本地全局偏置。
39. 如權(quán)利要求21所述的系統(tǒng)��,其中所述實體包括網(wǎng)絡實體��,所述網(wǎng)絡實體可操作來 接收超文本傳輸協(xié)議請求并響應于所述超文本傳輸協(xié)議請求來傳遞一個或更多個網(wǎng)頁��;其 中與所述網(wǎng)絡實體相關(guān)聯(lián)的聲譽包括用于聲譽差的網(wǎng)頁的通信的聲譽��。
40. —種可操作來獲得與通信實體相關(guān)聯(lián)的聲譽的系統(tǒng)��,包括通信接口 ��,其可操作來從全局網(wǎng)絡內(nèi)的多個代理或中央服務器接收信息�����,所述多個代理可操作來收集與所接收的通信相關(guān)聯(lián)的數(shù)據(jù)�����;一個或更多個數(shù)據(jù)匯聚引擎���,其可操作來匯聚從所述通信接口接收的信息��;分析器����,其可操作來分析所接收的所述信息,以識別分別與發(fā)起所接收的所述通信的實體相關(guān)聯(lián)的屬性���;關(guān)聯(lián)引擎����,其可操作來關(guān)聯(lián)所述實體的所述屬性并識別所述實體之間的關(guān)系���; 聲譽引擎�,其可操作來識別所述實體之間的關(guān)系并根據(jù)其與一個或更多個其它實體的關(guān)系更新與一個或更多個實體相關(guān)聯(lián)的聲譽��;以及業(yè)務量控制引擎��,其可操作來根據(jù)所更新的所述聲譽確定與通信相關(guān)聯(lián)的處理��。
全文摘要
用于給通信實體分配聲譽的方法和系統(tǒng)包括從分布的代理收集通信數(shù)據(jù)�,匯聚通信數(shù)據(jù)���,分析通信數(shù)據(jù)��,以及根據(jù)通信數(shù)據(jù)識別通信實體之間的關(guān)系����。
文檔編號G06Q50/00GK101730903SQ200880009762
公開日2010年6月9日 申請日期2008年1月24日 優(yōu)先權(quán)日2007年1月24日
發(fā)明者A·J·N·特里維迪, A·M·埃爾南德斯, D·阿爾佩羅維奇, J·A·齊齊亞斯基, J·古爾德, L·L·維利斯, M·施特赫爾, P·A·施內(nèi)克, P·朱格, P·格里夫, S·克拉澤, T·富特-倫諾瓦, T·朗格, W·楊, Y·唐 申請人:邁可菲公司