專利名稱:動態(tài)電子郵件帳號收集攻擊檢測和緩解的制作方法
技術領域:
本技術領域一般涉及動態(tài)地檢測并緩解電子郵件帳號收集攻擊的系統(tǒng)和方法。背景被稱為因特網的全球計算機網絡系統(tǒng)可用于在用戶之間傳遞和發(fā)送消息或電子 郵件(即�,email) 0使用因特網電子郵件服務器來方便了從其它電子郵件服務器和用戶處 接收到的電子郵件消息的傳輸。在一達成一致的電子郵件標準(諸如例如�,SMTP,其代表簡單郵件傳輸協(xié)議)中����, 所利用的符合該標準的電子郵件服務器可接收或拒絕從另一電子郵件服務器處接收到的消息。電子郵件服務器接收或拒絕電子郵件消息的決定通常由電子郵件服務器通過使 用服務器被配置成接收其郵件的電子郵件地址的列表檢查電子郵件接收者的地址來驅動。 如果未在此類列表內找到接收者的地址����,則服務器使用對首先向服務器發(fā)送該電子郵件的 相連客戶機的相關聯(lián)的錯誤代碼拒絕該電子郵件。對使用已知用戶的列表(也被稱為“目錄服務”)來確定是否接受傳入電子郵件的 電子郵件服務器的操作者而言��,存在字典或帳號收集攻擊的機會��。字典攻擊是由未經授權的個體或系統(tǒng)進行的通過分析從大量被拒絕的電子郵件 和消息返回的錯誤代碼和消息來得到特定因特網域的已知有效電子郵件地址的列表的嘗 試�����。收集并生成此未經授權的列表的目的是將該列表出售給將會將其用于發(fā)送未經要求的 電子郵件(SPAM)的實體��。通過嘗試向給定域名內的大量不同電子郵件地址發(fā)送單個或各種電子郵件消息 來以自動方式開始字典攻擊的過程�。試驗性地址名稱有時是順序自動化和生成的(例如, aaiexample. com, abiexample. com)或可按包括隨機或偽隨機方式的其它模式生成以努力 避免檢測����。用于檢測并緩解帳號收集攻擊以及緩解攻擊的動態(tài)系統(tǒng)將減少垃圾郵件程度并 阻止未經授權的實體得到特定域的已知良好電子郵件地址�����。
發(fā)明內容
提供本概述以便以簡化的形式介紹將在以下說明性實施例的詳細描述中進一步 描述的一些概念����。本發(fā)明內容并不旨在標識出所要求保護的主題的關鍵特征或必要特征���, 也不旨在用于限定所要求保護的主題的范圍。通常���,動態(tài)電子郵件帳號收集攻擊檢測和緩解提供通過分析和確定在一段較短時 間內測量到對特定域的電子郵件傳遞的局部增加正在發(fā)生來檢測到正在發(fā)動帳號收集攻 擊的能力���。在檢測到攻擊時,通過接受該域的所有電子郵件消息并刪除目的地不是有效用 戶地址的電子郵件消息�,隨后使惡意發(fā)送者(個體或系統(tǒng))相信已經傳遞了被刪除的電子 郵件來緩解該攻擊。在各實施例中��,或將虛假的成功電子郵件傳遞通知轉發(fā)給發(fā)送者��,或阻 止不成功傳遞通知被轉發(fā)給發(fā)送者�。一旦攻擊停止,則電子郵件服務器回復到其標準操作行為����。在另一形式中,電子郵件管理系統(tǒng)包括輸入/輸出部分���,其被配置成接收電子郵件并接受所接收的電子郵件以供傳遞到預期接收者(如果確定該預期接收者是有效接收 者)��,且包括處理部分�����,其被配置成確定所接收到的電子郵件的預期接收者的有效性�����,且如 果確定預期接收者是無效的����,則其通過確定電子郵件的來源并在不向該來源提供刪除通知 的情況下刪除電子郵件來處理惡意電子郵件?���;蛘撸上蛟搧碓窗l(fā)送錯誤的虛假成功傳遞 通知���。如此處所述的動態(tài)電子郵件帳號收集攻擊檢測和緩解阻止字典或帳號收集攻擊 的發(fā)起者成功地得到特定域的已知良好電子郵件地址��?���?蓪⑾到y(tǒng)設置成動態(tài)地并自動地緩 解此類攻擊���。在示例實施例中��,動態(tài)電子郵件帳號收集攻擊檢測和緩解系統(tǒng)動態(tài)地開啟和關閉 緩解技術��,并僅在被攻擊時將緩解技術開啟����,其在除了它確定自己正遭受攻擊外的所有時 間內維持典型的電子郵件反射消息系統(tǒng)�����。
以上概述以及以下詳細描述在結合附圖閱讀時可被更好地理解��。出于示出動態(tài)電 子郵件帳號收集攻擊檢測和緩解的目的����,在附圖中示出了其示例性構造;然而�����,動態(tài)電子郵 件帳號收集攻擊檢測和緩解不限于所公開的具體方法和手段����。圖1是用于實現(xiàn)動態(tài)電子郵件帳號收集攻擊檢測和緩解的示例處理器的框圖����。圖2是其中可以實現(xiàn)客戶的合適計算環(huán)境的圖示����。圖3是動態(tài)電子郵件帳號收集攻擊檢測和緩解的示例過程的概括流程圖。說明性實施例的詳細描述如此處所述的動態(tài)電子郵件帳號收集攻擊檢測和緩解允許動態(tài)檢測并緩解對電 子郵件服務器�、路由器、以及其它消息傳遞設備的字典或帳號收集攻擊�����。已知個體或被編程 的設備可出于對其不具有控制�、篡改、或查看的授權的電子郵件服務器設備的惡意目的而 嘗試確定有效電子郵件地址����。在頂層概覽中,可通過參考圖3快速地理解動態(tài)電子郵件帳號收集攻擊檢測和緩 解的一種形式���。動態(tài)電子郵件帳號收集攻擊檢測和緩解的此形式包括一種方法的步驟����,該 方法包括接收電子郵件消息(20)�����、確定電子郵件接收者的有效性(22)�、如果該接收者是無 效的,則確定字典或帳號收集攻擊是否在進行(24)�����,且如果是�,則確定惡意電子郵件的來源 并在不向電子郵件的來源發(fā)送出錯消息的情況下刪除該電子郵件(26)。傳統(tǒng)風格的電子郵件路由和其它消息路由可通過使用標準包括基于接收者地址 的消息路由的SMTP(簡單郵件傳輸協(xié)議)來進行�。如在符合該標準的電子郵件服務器或 路由器中所使用的,服務器或路由器接受或拒絕從另一電子郵件服務器接收到的消息�����。在 SMTP標準中���,如果例如通過地址中的錯誤或其它錯誤發(fā)現(xiàn)電子郵件消息是可拒絕的���,則創(chuàng) 建出錯消息并將其發(fā)送回所接收到的電子郵件的來源。在作出接受或拒絕電子郵件的決定時��,電子郵件服務器通常使用服務器被配置成 接受其郵件的電子郵件地址的列表來檢查電子郵件接收者的地址�。如果未在列表內找到接 收者的地址�����,則服務器使用對相連的來源或客戶機相關聯(lián)的錯誤代碼來拒絕該電子郵件�����。
根據(jù)動態(tài)電子郵件帳號收集攻擊檢測和緩解的示例實施例�����,通過將在給定時間段內嘗試對其傳遞的給定域的獨特接收者的數(shù)量與給定域的獨特有效電子郵件地址的總數(shù) 相比較來檢測帳號收集攻擊嘗試�����。如果對域中的不同地址的嘗試的數(shù)量顯著高于給定域的 有效電子郵件地址的總數(shù)����,則其指示目錄攻擊��。例如�����,如果“example, com”域具有500個有效電子郵件地址,且被配置成接受針對 "example, com"的電子郵件的電子郵件服務器在兩分鐘內接收到對“example, com”處的超 過1000個獨特電子郵件地址的傳遞電子郵件的嘗試�����,則其指示目錄攻擊正在發(fā)生��。獨特電子郵件地址的總數(shù)對不同域而言將是可變的��,這將同樣造成對設置閾值數(shù) 量或在其中觀察���、記錄并紀錄對由電子郵件服務器維護的域中的每一個的傳入電子郵件消 息發(fā)送嘗試的時間段的改變。為簡明起見�,電子郵件服務器可路由一個或多個域的電子郵 件。此外��,可監(jiān)視替換變量并改變閾值以確定攻擊正在進行����,如常見但無效的電子郵 件地址,順序或按字母表排序的地址����、或可隨著時間發(fā)現(xiàn)的其它模式,這些模式包括地址名 稱的非順序或偽隨機模式��、接收電子郵件的次數(shù)�、以及傳入電子郵件的來源或客戶機等����。此 夕卜����,可計算不同關系并利用相應閾值級別以確定攻擊是否正在發(fā)生,如確定無效電子郵件 接收相較域中的有效電子郵件地址的總數(shù)的比率或百分比���。還可利用許多各種度量來確定 攻擊是否正在發(fā)生��。此外�����,因為特定域的有效電子郵件地址的數(shù)量可能隨著時間改變��,所以同樣閾值 數(shù)量也可相應地改變��。通過使得所利用的各檢測閾值能夠基于被觀察的域的狀態(tài)(例如有 效電子郵件地址的數(shù)量)的改變自動改變���,本發(fā)明系統(tǒng)進而在其對攻擊的可能響應方面變 為動態(tài)。域的其它屬性還可隨著時間改變���,以迫使檢測閾值級別或數(shù)量的相應自動改變����。響應于帳號收集或字典攻擊的緩解技術可通過更改圍繞進行接收的電子郵件服 務器如何實施其傳遞規(guī)則的邏輯來達成。例如�,在確定電子郵件服務器被攻擊時,更改電子 郵件服務器對所接收到的電子郵件的響應���。具體而言�����,電子郵件服務器將被重新配置成接受被攻擊的域的所有電子郵件。該 方法將隨后向發(fā)送者返回標準結果代碼以指示成功的傳遞�����。在接受郵件之后�����,進行接收的 郵件服務器將在其域的有效電子郵件地址的列表或目錄中查找接收者電子郵件地址�����。如果 該地址在有效地址的列表中,則如常傳遞該電子郵件��,如果不在��,則在沒有對發(fā)送者的任何 通知的情況下銷毀該電子郵件���。僅在字典攻擊繼續(xù)時采用此緩解方法�。一旦攻擊停止�����,電子郵件服務器回復到其 接受已知良好用戶的郵件并拒絕相應域的所有其它人的郵件的原始狀態(tài)����。此緩解技術的自 動開啟和自動關閉創(chuàng)造了使攻擊對其惡意目的而言無價值的動態(tài)且穩(wěn)健的方法。圖1是用于實現(xiàn)動態(tài)電子郵件帳號收集攻擊檢測和緩解的示例性處理器68的圖 示��。處理器68包括處理部分70��、存儲器部分72和輸入/輸出部分74�����。處理部分70�、存儲 器部分72和輸入/輸出部分74被耦合在一起(耦合未在圖1中示出)以允許它們之間的 通信���。輸入/輸出部分74能夠提供和/或接收用于執(zhí)行如上所述的動態(tài)電子郵件帳號收集 攻擊檢測和緩解的組件。例如����,如上所述,輸入/輸出部分74能夠提供/接收電子郵件消 息并傳送出錯消息�����、以及傳送指示成功的電子郵件傳遞的標準結果代碼�����、或其組合��。此外�, 如果確定預期接收者是有效的���,則輸入/輸出部分可將所接收到的電子郵件消息轉發(fā)給預期接收者�����,和/或接受電子郵件供傳遞給預期接收者的電子郵件�。處理部分70能夠實現(xiàn)如上所述的動態(tài)電子郵件帳號收集攻擊檢測和緩解。例如�����, 處理部分70能夠確定帳號收集攻擊何時發(fā)生���、改變其接受或拒絕電子郵件消息的策略�、改 變其在帳號收集攻擊不再發(fā)生時接受或拒絕電子郵件消息的策略�。此外,如上所述��,處理部 分70可計算����、更改并確定創(chuàng)建用于確定攻擊檢測的準則的各種動態(tài)閾值。此外�����,處理部分 可在確定預期接收者無效時確定惡意電子郵件的來源�����、確定惡意攻擊活動正在進行��、以及 在不對來源提供或造成刪除通知的情況下刪除電子郵件。結合輸入/輸出部分��,處理器可 確定轉發(fā)到電子郵件來源的標準結果代碼�����。在攻擊緩解期間��,其可向來源給予已經傳遞了 所接收到的惡意電子郵件的錯誤印象����。
處理器68可被實現(xiàn)為客戶機處理器和/或服務器處理器。在一基本配置中���,處理 器68可包括至少一個處理部分70和存儲器部分72�����。如上所述����,存儲器部分72可存儲結合 實現(xiàn)動態(tài)電子郵件帳號收集攻擊檢測和緩解利用的任何信息���。取決于處理器的精確配置和 類型��,存儲器部分72可以是易失性的(如RAM) 76�����、非易失性的(如ROM���、閃存等)78、或其組 合�����。處理器68可以具有附加特征/功能��。例如���,處理器68可以包括附加存儲(可移動存 儲80和/或不可移動存儲82)����,包括但不限于���,磁盤或光盤�����、磁帶��、閃存���、智能卡或其組合�����。 諸如存儲器部分72���、76、78����、80和82等計算機存儲介質包括以用于存儲諸如計算機可讀指 令、數(shù)據(jù)結構�、程序模塊或其它數(shù)據(jù)等信息的任意方法或技術來實現(xiàn)的易失性和非易失性、 可移動和不可移動介質�����。計算機存儲介質包括���,但不限于�����,RAM�����、R0M�����、EEPR0M�����、閃存或其它存 儲器技術��、CD-ROM��、數(shù)字多功能盤(DVD)或其它光盤存儲����、磁帶盒����、磁帶����、磁盤存儲或其它磁 存儲設備����、兼容通用串行總線(USB)的存儲器、智能卡����、或能用于存儲所需信息且可以由處 理器68訪問的任何其它介質。任何這樣的計算機存儲介質都可以是處理器68的一部分����。處理器68還可包含允許處理器68與諸如例如其它設備等其它設備進行通信的通 信連接88。通信連接88是通信介質的一個示例�����。通信介質通常以諸如載波或其它傳輸機 制等已調制數(shù)據(jù)信號來體現(xiàn)計算機可讀指令��、數(shù)據(jù)結構���、程序模塊或其它數(shù)據(jù)�,且包含任何 信息傳遞介質。術語“已調制數(shù)據(jù)信號”指的是其一個或多個特征以在信號中編碼信息的方 式被設定或更改的信號��。作為示例而非限制�����,通信介質包括有線介質�,諸如有線網絡或直接 線連接��,以及無線介質����,諸如聲學、RF�����、紅外線和其它無線介質��。如此處所使用的術語“計算 機可讀介質”包括存儲介質和通信介質兩者����。處理器68也可具有輸入設備86,諸如鍵盤���、 鼠標�����、筆�����、語音輸入設備�、觸摸輸入設備等。還可包括輸出設備84��,如顯示器�����、揚聲器��、打印機寸�����。圖2和以下討論提供了其中可實現(xiàn)動態(tài)電子郵件帳號收集攻擊檢測和緩解的合 適計算環(huán)境的簡要概括描述���。雖然不是必需����,但動態(tài)電子郵件帳號收集攻擊檢測和緩解的 各方面能在諸如由客戶機工作站或服務器等計算機上執(zhí)行的諸如程序模塊等計算機可執(zhí) 行指令的一般上下文中描述。一般而言�����,程序模塊包括執(zhí)行特定任務或實現(xiàn)特定抽象數(shù)據(jù) 類型的例程����、程序����、對象、組件���、數(shù)據(jù)結構等����。此外��,動態(tài)電子郵件帳號收集攻擊檢測和緩解 的實現(xiàn)可用其它計算機系統(tǒng)配置來實施�,包括手持設備、多處理器系統(tǒng)�����、基于微處理器的系 統(tǒng)或可編程消費電子產品、網絡PC�����、小型計算機���、大型計算機等�。此外�����,動態(tài)電子郵件帳號收 集攻擊檢測和緩解也可以在其中任務由通過通信網絡鏈接的遠程處理設備來執(zhí)行的分布 式計算環(huán)境中實施�����。在分布式計算環(huán)境中�����,程序模塊可以位于本地和遠程存儲器存儲設備中��。
計算機系統(tǒng)可被大致分為三個組件組硬件組件�、硬件/軟件接口系統(tǒng)組件��、以及 應用程序組件(也被稱為“用戶組件”或“軟件組件”)���。在計算機系統(tǒng)的各實施例中,硬件 組件可包括中央處理單元(CPU) 721 ����;存儲器(R0M764和RAM 725兩者);基本輸入/輸出系 統(tǒng)(BIOS) 766 ��;以及諸如鍵盤740���、鼠標762、監(jiān)視器747和/或打印機(未示出)等各種輸 入/輸出(I/O)設備���。硬件組件包括計算機系統(tǒng)的基本物理基礎結構�。應用程序組件包括各種軟件程序�,包括但不限于編譯器、數(shù)據(jù)庫系統(tǒng)�����、文字處理程 序�、業(yè)務程序���、視頻游戲等。應用程序提供用于利用計算機資源來解決問題����、提供解決方案、 及處理各種用戶(機器���、其它計算機系統(tǒng)和/或最終用戶)的數(shù)據(jù)的手段��。在一示例實施 例中����,應用程序執(zhí)行與實現(xiàn)如上所述的動態(tài)電子郵件帳號收集攻擊檢測和緩解相關聯(lián)的功 能��。硬件/軟件接口系統(tǒng)組件包括(并且在某些實施例中只包括)操作系統(tǒng)�,其本身 在大多數(shù)情況下包括外殼和內核?�!安僮飨到y(tǒng)”(OS)是擔當應用程序和計算機硬件之間的 中介的特殊程序�。硬件/軟件接口系統(tǒng)組件還可以包括虛擬機管理器(VMM)、公共語言運行 庫(CLR)或其功能等效物��、Java虛擬機(JVM)或其功能等效物�、或者作為對計算機系統(tǒng)中 的操作系統(tǒng)的替換或補充的其它這樣的軟件組件�。硬件/軟件接口系統(tǒng)的目的在于提供用 戶可在其中執(zhí)行應用程序的環(huán)境��。硬件/軟件接口系統(tǒng)通常在啟動時被加載到計算機系統(tǒng)中���,并且之后管理計算機 系統(tǒng)中的所有應用程序��。應用程序通過經由應用程序接口(API)請求服務來與硬件/軟件 接口系統(tǒng)交互��。某些應用程序使得最終用戶能夠經由諸如命令語言或圖形用戶界面(GUI) 等用戶界面來與硬件/軟件接口系統(tǒng)交互����。硬件/軟件接口系統(tǒng)傳統(tǒng)上執(zhí)行用于應用程序的各種服務�����。在其中多個程序可 同時運行的多任務硬件/軟件接口系統(tǒng)中��,硬件/軟件接口系統(tǒng)確定各應用程序應該以何 種次序運行以及在為輪換而切換至另一應用程序之前應該允許每一個應用程序多長時間���。 硬件/軟件接口系統(tǒng)還管理多個應用程序之間的內部存儲器的共享,并且處理來自諸如硬 盤���、打印機和撥號端口等附連硬件設備的輸入以及對其的輸出�����。硬件/軟件接口系統(tǒng)還將 關于操作的狀態(tài)和可能已發(fā)生的任何錯誤的消息發(fā)送給每一個應用程序(并且在某些情 況下發(fā)送給最終用戶)���。硬件/軟件接口系統(tǒng)還可卸載批作業(yè)(例如��,打印)的管理以使得 啟動應用程序免除該工作并能夠繼續(xù)執(zhí)行其它處理和/或操作�����。在能提供并行處理的計算 機上���,硬件/軟件接口系統(tǒng)還管理劃分程序以使其同時在多于一個的處理器上運行。硬件/軟件接口系統(tǒng)外殼(被稱為“外殼”)是對硬件/軟件接口系統(tǒng)的交互式最 終用戶接口�。(外殼也稱為“命令解釋程序”,或在操作系統(tǒng)中被稱為“操作系統(tǒng)外殼”)�。夕卜 殼是可直接由應用程序和/或最終用戶訪問的硬件/軟件接口系統(tǒng)的外層。與外殼相反�����, 內核是直接與硬件組件交互的硬件/軟件接口系統(tǒng)的最內層�。如圖2所示,示例性通用計算系統(tǒng)包括常規(guī)計算設備760等,其包括處理單元721���、 系統(tǒng)存儲器762和將包括系統(tǒng)存儲器的各種系統(tǒng)組件耦合到處理單元721的系統(tǒng)總線723�����。 系統(tǒng)總線723可以是幾種類型的總線結構中的任何一種�,包括存儲器總線或存儲控制器��、 外圍總線�����、以及使用各種總線體系結構中的任一種的局部總線�����。系統(tǒng)存儲器包括只讀存儲 器(ROM) 764和隨機存取存儲器(RAM) 725�����?���;据斎?輸出系統(tǒng)(BIOS) 766被存儲在ROM764中,它包含幫助在諸如啟動期間在計算設備760內的元件之間傳遞信息的基本例程��。計算設備760還可包括對硬盤(硬盤未示出)讀寫的硬盤驅動器727�、對可移動磁盤728 (例 如,軟盤�����、移動存儲)讀寫的磁盤驅動器729 (例如��,軟盤驅動器)���、以及對諸如⑶-ROM或其 它光學介質等可移動光盤731讀寫的光盤驅動器730�����。硬盤驅動器727�����、磁盤驅動器728 和光盤驅動器730分別通過硬盤驅動器接口 732���、磁盤驅動器接口 733和光盤驅動器接口 734來連接到系統(tǒng)總線723。驅動器及其相關聯(lián)的計算機可讀介質為計算設備760提供了 對計算機可讀指令���、數(shù)據(jù)結構��、程序模塊和其它數(shù)據(jù)的非易失性存儲��。雖然此處所描述的示 例性環(huán)境采用了硬盤�、可移動磁盤729和可移動光盤731,但本領域的技術人員可以理解���, 在示例性操作環(huán)境中也可以使用可儲存可由計算機訪問的數(shù)據(jù)的其它類型的計算機可讀 介質��,如磁帶盒���、閃存卡、數(shù)字視頻盤����、貝努利盒式磁帶、隨機存取存儲器(RAM)�、只讀存儲器 (ROM)等等。同樣��,示例性環(huán)境還可包括諸如熱傳感器和安全或火警系統(tǒng)等許多類型的監(jiān)控 設備���,以及其它信息源����。多個程序模塊可被存儲在硬盤����、磁盤729、光盤731�����、R0M 764或RAM 725中����,包括操 作系統(tǒng)735、一個或多個應用程序736���、其它程序模塊737和程序數(shù)據(jù)738��。用戶可通過諸如 鍵盤740和定點設備762 (例如���,鼠標)等輸入設備將命令和信息輸入到計算設備760中。 其它輸入設備(未示出)可以包括話筒�����、操縱桿、游戲鍵盤��、圓盤式衛(wèi)星天線����、掃描儀等。這 些和其它輸入設備通常由耦合至系統(tǒng)總線的串行端口接口 746連接至處理單元721���,但也 可以由其它接口�,諸如并行端口���、游戲端口或通用串行總線(USB)連接�����。監(jiān)視器747或其它 類型的顯示設備也經由接口����,諸如視頻適配器748連接至系統(tǒng)總線723�����。除監(jiān)視器747之 夕卜����,計算機通常包括其它外圍輸出設備(未示出)�,諸如揚聲器或打印機等�。圖2的示例性 環(huán)境還包括主機適配器755、小型計算機系統(tǒng)接口(SCSI)總線756和連接到SCSI總線756 的外部存儲設備762�����。計算設備760可使用至諸如遠程計算機749等一個或多個遠程計算機的邏輯連接 在網絡化環(huán)境中操作��。遠程計算機749可以是另一計算設備(例如�,個人計算機)���、服務器�、 路由器����、網絡PC、對等設備或其它常見的網絡節(jié)點�����,且通常包括上文相對于計算設備760描 述的許多或所有元件�����,盡管在圖2中只示出了存儲器存儲設備750 (軟盤驅動器)。圖2所 描繪的邏輯連接包括局域網(LAN)751和廣域網(WAN) 752����。這樣的網絡環(huán)境常見于辦公室、 企業(yè)范圍計算機網絡���、內聯(lián)網和因特網���。當在LAN聯(lián)網環(huán)境中使用時,計算設備760通過網絡接口或適配器753連接至LAN 751�����。當在WAN聯(lián)網環(huán)境中使用時�,計算設備760可包括調制解調器754或用于通過諸如因 特網等廣域網752來建立通信的其它裝置?�;驗閮戎没驗橥庵玫恼{制解調器754經由串行 端口接口 746連接到系統(tǒng)總線723����。在網絡化環(huán)境中,相對于計算設備760描繪的程序模塊 或其部分可被儲存在遠程存儲器存儲設備中���?�?梢岳斫?,所示的網絡連接是示例性的,且可 以使用在計算機之間建立通信鏈路的其它手段���。盡管可以想像動態(tài)電子郵件帳號收集攻擊檢測和緩解的多個實施例尤其適用于 計算機化系統(tǒng)����,然而在本說明中不意味著將動態(tài)電子郵件帳號收集攻擊檢測和緩解限于此 類實施例����。相反�,此處所使用的術語“計算機系統(tǒng)”旨在包括能夠存儲和處理信息和/或能 夠使用所存儲的信息來控制設備本身的行為或執(zhí)行的任何及所有設備,而不管那些設備本 質上是否為電子的�、機械的、邏輯的�、或虛擬的。
此處所述的各種技術可結合硬件或軟件�����,或在適當時以其組合來實現(xiàn)��。因此,用于 實現(xiàn)動態(tài)電子郵件帳號收集攻擊檢測和緩解的方法和裝置或其某些方面或部分��,可以采取 包含在諸如軟盤�����、CD-ROM���、硬盤驅動器或任何其它機器可讀存儲介質等有形介質中的程序 代碼(即�����,指令)的形式��,其中�����,當程序代碼被加載至諸如計算機等機器并由其運行時����,該機 器成為用于實現(xiàn)動態(tài)電子郵件帳號收集攻擊檢測和緩解的裝置�。如果需要,程序可以用匯編語言或機器語言來實現(xiàn)。在任何情況下����,語言可以是編 譯的或解釋的語言,且與硬件實現(xiàn)相結合���。用于實現(xiàn)動態(tài)電子郵件帳號收集攻擊檢測和緩 解的方法和裝置也可以經由以通過某種傳輸介質傳輸?shù)某绦虼a的形式體現(xiàn)的通信來實 現(xiàn)���,傳輸介質比如通過電線或電纜、通過光纖或經由任何其它傳輸形式����,其中,當程序代碼 由諸如EPR0M��、門陣列���、可編程邏輯器件(PLD)、客戶計算機等機器接收���、加載并執(zhí)行時����。當 在通用處理器上實現(xiàn)時,程序代碼與處理器相結合來提供一種用于調用動態(tài)電子郵件帳號 收集攻擊檢測和緩解的功能的獨特裝置�。另外,結合動態(tài)電子郵件帳號收集攻擊檢測和緩 解使用的任何存儲技術總是可以是硬件和軟件的組合��。
盡管已結合各個附圖的各示例實施例對動態(tài)電子郵件帳號收集攻擊檢測和緩解 進行了描述����,但是可以理解,可以使用其它類似的實施例��,或可以對所述實施例進行修改或 添加�,來實現(xiàn)動態(tài)電子郵件帳號收集攻擊檢測和緩解的相同功能而不背離本發(fā)明。因此����,此 處所描述的動態(tài)電子郵件帳號收集攻擊檢測和緩解不應限于任何單個實施例,而是應該根 據(jù)所附權利要求書的廣度和范圍來解釋��。
權利要求
一種電子郵件管理系統(tǒng)�����,包括輸入/輸出部分(74)�,所述輸入/輸出部分被配置成接收(20)電子郵件;如果確定(22)預期接收者是有效的�����,則接受所接收到的電子郵件以供傳遞給所述預期接收者;以及處理部分�,所述處理部分被配置成確定(22)所接收到的電子郵件的預期接收者的有效性;以及如果確定(22)所述預期接收者是無效的����,則確定(26)所述電子郵件的來源;以及在不向所述來源提供刪除通知的情況下刪除(26)所述電子郵件�。
2.如權利要求1所述的電子郵件管理系統(tǒng),其特征在于��,所述輸入/輸出部分被配置成 接受具有相應多個預期接收者的多個電子郵件�。
3.如權利要求1所述的電子郵件管理系統(tǒng),其特征在于所述處理部分還被配置成確定指示所述電子郵件的成功傳遞的標準結果代碼����;以及 所述輸入/輸出部分還被配置成向所確定的來源發(fā)送所述標準結果代碼,以向所述來 源給予所述電子郵件被傳遞給所述預期接收者的印象�。
4.如權利要求1所述的電子郵件管理系統(tǒng)�,其特征在于,所接收到的電子郵件是字典 攻擊的一部分�。
5.如權利要求1所述的電子郵件管理系統(tǒng),其特征在于����,所述處理部分還被配置成通 過確定在給定時間段內嘗試對其傳遞所接收到的電子郵件的給定域的獨特接收者的數(shù)量 是否超過預先確定的數(shù)量來確定所接收到的電子郵件是惡意行動的一部分�。
6.如權利要求1所述的電子郵件管理系統(tǒng)�����,其特征在于���,所述處理部分還被配置成通 過確定在給定時間段內嘗試對其傳遞所接收到的電子郵件的給定域的獨特接收者的百分 比是否超過預先確定的數(shù)量來確定所接收到的電子郵件是惡意行動的一部分����。
7.如權利要求1所述的電子郵件管理系統(tǒng)����,其特征在于,所述處理部分被配置成 如果檢測到惡意行動則開啟帳號收集緩解技術�;以及如果未檢測到惡意行動則關閉所述帳號收集緩解技術。
8.一種電子郵件管理方法�����,包括 接收(20)電子郵件���;確定(22)所接收到的電子郵件的預期接收者的有效性��;以及 如果確定所述預期接收者是有效的���,則接受(22�����、26)所述電子郵件以供傳遞給所述預 期接收者����;以及如果確定(22)所述預期接收者是無效的��,則 確定(26)所述電子郵件的來源��;以及在不向所述來源提供刪除通知的情況下刪除(26)所述電子郵件以創(chuàng)建帳號收集緩解 技術���。
9.如權利要求8所述的方法�,其特征在于����,還包括接收具有相應多個預期接收者的多 個電子郵件。
10.如權利要求8所述的方法����,其特征在于,還包括向所述電子郵件的來源發(fā)送標準結果代碼以向所述來源給予所述電子郵件被傳遞給所述預期接收者的印象����。
11.如權利要求8所述的方法,其特征在于���,還包括通過確定在給定時間段內嘗試對其 傳遞所接收到的電子郵件的給定域的獨特接收者的數(shù)量是否超過預先確定的數(shù)量來確定 所接收到的電子郵件是惡意行動的一部分��。
12.如權利要求8所述的方法�,其特征在于���,還包括通過確定在給定時間段內嘗試對其 傳遞所接收到的電子郵件的給定域的獨特接收者的百分比是否超過預先確定的數(shù)量來確 定所接收到的電子郵件是惡意行動的一部分�。
13.如權利要求8所述的方法��,其特征在于��,還包括如果檢測到惡意行動則激活所述緩解技術��;以及如果未檢測到惡意行動則關閉所述緩解技術��。
14.一種包括用于通過執(zhí)行以下步驟來管理電子郵件的計算機可執(zhí)行指令的計算機可 讀介質(72��、762���、764��、725�����、728�、730、762�����、729)接收(20)電子郵件���;確定(22)所接收到的電子郵件的預期接收者的有效性����;以及如果確定(22)所述預期接收者是有效的���,則接受所述電子郵件以供傳遞給所述預期 接收者��;以及如果確定(22)所述預期接收者是無效的�,則確定(26)所述電子郵件的來源;以及在不向所述來源提供刪除通知的情況下刪除(26)所述電子郵件以形成帳號收集緩解 技術����。
15.如權利要求14所述的計算機可讀介質���,其特征在于�,多個電子郵件由相應多個預 期接收者接收����。
16.如權利要求14所述的計算機可讀介質,其特征在于�,所述計算機可執(zhí)行指令還用 于向所述電子郵件的來源發(fā)送標準結果代碼以向所述來源給予所述惡意電子郵件被傳遞 給所述預期接收者的印象。
17.如權利要求14所述的計算機可讀介質���,其特征在于�����,所接收到的電子郵件是字典 攻擊的一部分�。
18.如權利要求14所述的計算機可讀介質�,其特征在于,所述計算機可執(zhí)行指令還用 于確定帳號收集攻擊正在發(fā)生�����。
19.如權利要求14所述的計算機可讀介質,其特征在于����,所述計算機可執(zhí)行指令還用 于通過確定在給定時間段內嘗試對其傳遞所接收到的電子郵件的給定域的獨特接收者的 數(shù)量是否超過預先確定的數(shù)量來確定所接收到的電子郵件是惡意行動的一部分。
20.如權利要求14所述的計算機可讀介質�,其特征在于,所述計算機可執(zhí)行指令還用 于通過確定在給定時間段內嘗試對其傳遞所接收到的電子郵件的給定域的獨特接收者的 百分比是否超過預先確定的數(shù)量來確定所接收到的電子郵件是惡意行動的一部分��。
全文摘要
動態(tài)帳號收集攻擊檢測和緩解系統(tǒng)通過更改圍繞進行接收的電子郵件服務器如何實施其電子郵件傳遞規(guī)則的邏輯來達成�����。電子郵件服務器對所接收到的電子郵件的所設想的響應在確定該服務器正被攻擊時改變����,進而阻止未經授權地獲取由該電子郵件服務器保存的有效電子郵件地址和其它信息。
文檔編號G06Q50/00GK101809612SQ200880109419
公開日2010年8月18日 申請日期2008年9月26日 優(yōu)先權日2007年9月27日
發(fā)明者C·F·麥科爾根, M·E·羅特索科, S·J·博林格 申請人:微軟公司