专利名称:网络声誉评分的制作方法
技术领域:
本文件通常涉及用于处理通信(communication)的系统和方法,尤其是涉及用于
给与通信相关的实体进行分类的系统和方法。
背景 在反垃圾邮件行业中,垃圾邮件发送者使用各种创造性的装置来躲避垃圾邮件过滤器进行的检测。这样,通信从其起源的实体可提供是否应允许给定通信进入企业网络环境的另一指示。 然而,用于消息发送者进行分析的当前工具包括互联网协议(IP)黑名单(有时称为实时黑名单(RBL))和IP白名单(实时白名单(RWL))。白名单和黑名单当然对垃圾邮件分类过程增加了益处;然而,白名单和黑名单内在地限于响应于每个查询而提供一个二进制类型(YES/NO)。而且,黑名单和白名单独立地处理实体,并忽略与实体相关的各种属性所提供的证据。
概述 提供了用于网络声誉评分的系统和方法。用于给基于网络的实体分配声誉的系统可包括通信接口、通信分析器、声誉引擎和决策引擎。通信接口可接收网络通信,且通信分析器可分析网络通信以确定与网络通信相关联的实体。声誉引擎可根据以前收集的与实体相关联的数据提供与实体相关联的声誉,且决策引擎可根据声誉确定网络通信是否被传递到接收者。 用于给基于网络的实体分配声誉的方法可包括在边缘保护设备处接收超文本传输协议通信;识别与所接收的超文本传输协议通信相关联的实体;查询声誉引擎以得到与实体相关联的声誉指示符;从声誉引擎接收声誉指示符;以及根据与实体相关联的所接收的声誉指示符关于超文本传输协议通信采取行动。 在处理器上操作来执行汇聚局部声誉数据以产生全局声誉矢量的计算机可读介质的例子可执行以下步骤从请求的局部声誉引擎接收声誉查询;取回多个局部声誉,所述局部声誉分别与多个局部声誉引擎相关联;汇聚多个局部声誉;从局部声誉的汇聚得到全局声誉;以及以全局声誉响应于声誉查询。 其它示例性系统可包括通信接口和声誉引擎。通信接口可从中央服务器接收全局声誉信息,全局声誉与实体相关联。声誉引擎可根据所定义的局部偏好而偏置从中央服务器接收的全局声誉。 另一示例性系统可包括通信接口 、声誉模块和业务量控制模块。通信接口可从分布式声誉引擎接收分布的声誉信息。声誉模块可汇聚分布的声誉信息并根据分布的声誉信息的汇聚得出全局声誉,声誉模块也可根据声誉模块所接收的通信得出局部声誉信息。业务量控制模块可根据全局声誉和局部声誉确定与通信相关联的处理。 提供了用于汇聚声誉信息的系统和方法。用于汇聚声誉信息的系统可包括集中式声誉引擎和汇聚引擎。集中式声誉引擎可从多个局部声誉引擎接收反馈。汇聚引擎可根据多个局部声誉的汇聚得到被查询的实体的全局声誉。集中式声誉引擎可响应于从局部声誉引擎接收声誉查询而进一步向局部声誉引擎提供被查询的实体的全局声誉。
汇聚声誉信息的方法可包括从请求的局部声誉引擎接收声誉查询;取回多个局 部声誉,所述局部声誉分别与多个局部声誉引擎相关联;汇聚多个局部声誉;从局部声誉 的汇聚得到全局声誉;以及以全局声誉响应于声誉查询。 在处理器上操作来汇聚局部声誉数据以产生全局声誉矢量的计算机可读介质的 例子可执行以下步骤从请求的局部声誉引擎接收声誉查询;取回多个局部声誉,所述局 部声誉分别与多个局部声誉引擎相关联;汇聚多个局部声誉;从局部声誉的汇聚得到全局 声誉;以及以全局声誉响应于声誉查询。 其它示例性声誉汇聚系统可包括通信接口和声誉引擎。通信接口可从中央服务器 接收全局声誉信息,全局声誉与实体相关联。声誉引擎可根据所定义的局部偏好偏置从中 央服务器接收的全局声誉。 进一步的示例性系统可包括通信接口 、声誉模块和业务量控制模块。通信接口可 从分布式声誉引擎接收分布的声誉信息。声誉模块可汇聚分布的声誉信息并根据分布的 声誉信息的汇聚得出全局声誉,声誉模块也可根据声誉模块所接收的通信得出局部声誉信 息。业务量控制模块可根据全局声誉和局部声誉确定与通信相关联的处理。
提供了用于基于声誉的网络安全系统的系统和方法。基于声誉的网络安全系统可 包括通信接口、通信分析器、声誉引擎和安全引擎。通信接口可接收与网络相关联的进入的 通信的和传出的通信。通信分析器可得到与通信相关联的外部实体。声誉引擎可得到与外 部实体相关联的声誉矢量。安全引擎可接收声誉矢量并向询问引擎发送通信,其中安全引 擎根据声誉矢量确定询问引擎中的哪一个询问通信。 其它基于声誉的网络安全系统可包括通信接口、通信分析器、声誉引擎和安全引 擎。通信接口可接收与网络相关联的进入的通信的和传出的通信。通信分析器可得到与通 信相关联的外部实体。声誉引擎可得到与外部实体相关联的声誉。安全引擎将优先权信息 分配给通信,其中安全引擎在外部实体是声誉好的实体的情况下可向通信分配高优先权, 并在外部实体是声誉差的实体的情况下可向通信分配低优先权,由此优先权信息由一个或 更多个询问引擎使用来提高对声誉好的实体的服务的质量。 根据安全威胁的声誉来有效地处理通信的方法可包括根据与通信相关联的发源 或目的地信息来接收与外部实体相关联的通信;识别与所接收的通信相关联的外部实体; 根据与外部实体相关联的声誉好的和声誉差的标准得出与外部实体相关联的声誉;根据与 外部实体相关联的所得出的声誉向通信分配优先权;根据分配给通信的优先权对通信执行 一个或更多个测试。 根据声誉有效地处理通信的方法可包括根据与通信相关联的发源或目的地信息 来接收与外部实体相关联的通信;识别与所接收的超文本传输协议通信相关联的外部实 体;根据与外部实体相关联的声誉好的和声誉差的标准得出与外部实体相关联的声誉;将 通信分配到从多个询问引擎中选择的一个或更多个询问引擎,所述一个或更多个询问引擎 的选择基于与外部实体相关联的所得出的声誉和询问引擎的能力;以及对通信执行所述一 个或更多个询问引擎。 提供了用于基于声誉的连接抑制的系统和方法。用于基于声誉的连接抑制的系统 可包括通信接口、声誉引擎和连接控制引擎。通信接口可在建立到外部实体的连接之前接收与外部实体相关联的连接请求。声誉引擎可得出与外部实体相关联的声誉。连接控制引 擎可根据外部实体的所得出的声誉拒绝对到被保护网络的连接请求。 根据声誉抑制连接请求的方法可包括接收连接请求,所述连接请求与外部实体 有关;查询声誉引擎以得到与外部实体相关联的声誉;将所述声誉与相关联于被保护的企 业网的策略进行比较;根据确定与连接请求有关的外部实体的声誉遵守策略,来允许连接 请求;以及根据确定与互联网协议语音电话连接请求有关的外部实体的声誉不遵守策略, 来抑制连接请求。
图1是描述示例性网络的结构图,本公开的系统和方法可在该网络中进行操作。
图2是描述本公开的示例性网络体系结构的结构图。 图3是描述通信和实体的例子的结构图,其包括用于检测实体之间的关系的标识 符和属性。 图4是描述用于检测关系并给实体分配风险的操作方案的流程图。 图5是示出示例性网络体系结构的结构图,其包括局部安全代理所储存的局部声
誉和一个或多个服务器所储存的全局声誉。 图6是示出基于局部声誉反馈的全局声誉的确定的结构图。 图7是示出全局声誉和局部声誉之间的示例性转化(resolution)的流程图。 图8是用于调节与声誉服务器相关联的过滤器的设置的示例性图形用户界面。 图9是示出用于互联网协议语音电话(VoIP)或短消息服务(SMS)通信的基于声
誉的连接抑制(connection throttling)的结构图。 图10是示出基于声誉的负载均衡器的结构图。 图11A是示出用于基于地理位置的身份验证的示例性操作方案的流程图。 图11B是示出用于基于地理位置的身份验证的另一示例性操作方案的流程图。 图11C是示出用于基于地理位置的身份验证的另一示例性操作方案的流程图。 图12是示出用于基于声誉的动态隔离的示例性操作方案的流程图。 图13是图像垃圾邮件通信的示例性图形用户界面显示。 图14是示出用于检测图像垃圾邮件的示例性操作方案的流程图。 图15A是示出用于分析通信的结构的操作方案的流程图。 图15B是示出用于分析图像的特征的操作方案的流程图。 图15C是示出用于标准化图像以用于垃圾邮件处理的操作方案的流程图。 图15D是示出用于分析图像的指纹以在多个图像中找到共同片段的操作方案的
流程图。 详细说明 图1是描述示例性网络环境的结构图,本公开的系统和方法可在该网络中进行操 作。安全代理(security agent) 100—般可存在于在网络110 (例如,企业网)内部的防火 墙系统(未示出)和服务器(未示出)之间。如应被理解的,网络110可包括很多服务器, 包括例如可由与网络110相关的企业使用的电子邮件服务器、网络服务器和各种应用服务 器。
安全代理100监控进入和离开网络110的通信。 一般通过互联网120从连接到互 联网120的很多实体130a_f接收这些通信。实体130a_f中的一个或更多个可为通信业务 量的合法发起者。然而,实体130a-f中的一个或更多个也可为发起不需要的通信的声誉差 的实体。因此,安全代理100包括声誉引擎。声誉引擎可检查通信并确定与发起通信的实 体相关联的声誉。安全代理100接着根据发端实体的声誉对通信执行动作。如果声誉指示 通信的发起者声誉好,那么例如,安全代理可将通信转发到通信的接收者。然而,如果声誉 指示通信的发起者声誉差,那么其中例如,安全代理可隔离通信,对消息执行更多的测试, 或要求来自消息发起者的身份验证。在美国专利公布号2006/0015942中详细描述了声誉 引擎,该申请由此通过引用被并入。 图2是描述本公开的示例性网络体系结构的结构图。安全代理100a-n被示为在 逻辑上分别存在于网络llOa-n与互联网120之间。虽然没有在图2中示出,但应理解,防 火墙可安装在安全代理100a-n和互联网120之间,以提供防止未授权的通信进入相应的网 络110a-n的保护。而且,结合防火墙系统可配置侵入检测系统(IDS)(未示出),以识别活 动的可疑模式并在这样的活动被识别出时用信号通知警报。 虽然这样的系统对网络提供了某种保护,但它们一般不处理应用层安全威胁。例 如,黑客常常试图使用各种网络类型的应用(例如,电子邮件、网络、即时消息(IM),等等) 来产生与网络110a-n的前文本连接,以便利用由使用实体130a-e的这些不同的应用所产 生的安全漏洞。然而,不是所有的实体130a-e都暗示对网络100a-n的威胁。 一些实体 130a-e发起合法的业务量,允许公司的雇员与商业伙伴更有效地进行通信。虽然对可能的 威胁来说检查通信是有用的,但是维持当前的威胁信息可能很难,因为攻击被不断地改进 以解决最近的过滤技术。因此,安全代理100a-n可对通信运行多次测试,以确定通信是否 是合法的。 此外,包括在通信中的发送者信息可用于帮助确定通信是否是合法的。因此,复 杂的安全代理100a-n可跟踪实体并分析实体的特征,以帮助确定是否允许通信进入网络 110a-n。可接着给实体110a-n分配声誉。对通信的决定可考虑发起通信的实体130a-e的 声誉。而且, 一个或更多个中央系统200可收集关于实体130a-e的信息,并将所收集的数 据分发到其它中央系统200和/或安全代理100a-n。 声誉引擎可帮助识别大量恶意通信,而没有通信的内容的广泛和可能昂贵的局部 分析(local analysis)。声誉引擎也可帮助识别合法通信,并优先考虑其传输,且减小了 对合法通信进行错误分类的风险。而且,声誉引擎可在物理世界或虚拟世界中对识别恶意 以及合法事务的问题提供动态和预言性的方法。例子包括在电子邮件、即时消息、VoIP、 SMS或利用发送者声誉和内容的分析的其它通信协议系统中过滤恶意通信的过程。安全代 理100a-n可接着应用全局或局部策略,以确定关于通信对声誉结果执行什么动作(例如拒 绝、隔离、负载均衡、以所分配的优先级传输、以额外的细查局部地进行分析)。
然而,实体130a-e可用各种方法连接到互联网。如应理解的,实体130a-e可同时 或在一段时间内具有多个标识符(例如,电子邮件地址、IP地址、标识符文件,等等)。例 如,具有变化的IP地址的邮件服务器可随着时间的过去具有多个身份。而且,一个标识符 可与多个实体相关,例如,当IP地址被很多用户支持的组织共享时。而且,用于连接到互联 网的特定方法可能使实体130a-e的识别模糊不清。例如,实体130b可利用互联网服务提供商(ISP)200连接到互联网。很多ISP 200使用动态主机配置协议(DHCP)来将IP地址 动态地分配给请求连接的实体130b。实体130a-e也可通过欺骗合法实体来伪装其身份。 因此,收集关于每个实体130a-e的特征的数据可帮助对实体130a-e加以分类,并确定如何 处理通信。 在虚拟世界和物理世界中创建和欺骗身份的容易性可能产生用户恶意动作的动 机,而不承担该动作的后果。例如,在互联网上被罪犯盗取的合法实体的IP地址(或在物 理世界中的被盗的护照)可能使该罪犯能够通过假装被盗的身份而相对容易地参与恶意 行动。然而,通过给物理实体和虚拟实体分配声誉并识别它们可能使用的多个身份,声誉系 统可能影响声誉好的实体和声誉差的实体来负责任地操作,以免变得声誉差且不能与其它 网络实体交流或交互。 图3是描述通信和实体的例子的结构图,其包括利用用于检测实体之间的关系的 标识符和属性。安全代理100a-b可通过检查被送往相关网络的通信来收集数据。安全代 理100a-b也可通过检查由相关网络分程传递的通信来收集数据。通信的检查和分析可允 许安全代理100a-b收集关于发送和接收消息的实体300a-c的信息,其中包括传输模式、数 量(volume)、或实体是否有发送某些类型的消息(例如,合法消息、垃圾邮件、病毒、群发邮 件,等等)的倾向。 如图3所示,每个实体300a-c分别与一个或更多个标识符310a-c相关联。标识 符310a-c可例如包括IP地址、统一资源定位器(URL)、电话号码、M用户名、消息内容、域, 或可描述实体的任何其它标识符。而且,标识符310a-c与一个或更多个属性320a-c相关 联。如应理解的,属性320a-c符合所描述的特定标识符310a-c。例如,消息内容标识符可 包括属性,例如恶意软件(malware)、数量、内容类型、运行状态,等等。类似地,与标识符例 如IP地址相关联的属性320a-c可包括与实体300a-c相关联的一个或更多个IP地址。
此外,应理解,可从通信330a-c(例如,电子邮件)收集的该数据一般包括发起通 信的实体的一些标识符和属性。因此,通信330a-c提供用于将关于实体的信息传递到安全 代理100a、100b的传送。通过检查包括在消息中的标题信息、分析消息的内容,以及通过汇 聚安全代理100a、100b以前收集的信息(例如,合计从实体接收的通信的数量),安全代理 100a、100b可检测这些属性。 可汇聚并利用来自多个安全代理100a、100b的数据。例如,数据可由中央系统汇 聚和利用,中央系统接收与所有实体300a-c相关联的标识符和属性,安全代理100a、100b 为实体300a-c接收了通信。可选地,彼此传递关于实体300a-c的标识符和属性信息的安 全代理100a、100b可作为分布式系统进行操作。利用数据的过程可使实体300a-c的属性 彼此关联,从而确定实体300a-c之间的关系(例如,事件出现、数量,和/或其它确定因素 之间的关联)。 这些关系可接着用于根据与每个标识符相关的属性的关联为所有标识符建立多 维声誉"矢量"。例如,如果具有声誉差的已知声誉的声誉差的实体300a发送具有第一组属 性350a的消息330a,且接着未知实体300b发送具有第二组属性350b的消息330b,则安全 代理100a可确定第一组属性350a的全部或一部分是否匹配第二组属性350b的全部或一 部分。当第一组属性350a的某个部分匹配第二组属性350b的某个部分时,可根据包括匹 配的属性330a、33b的特定标识符320a、320b来建立关系。被发现具有匹配的属性的特定标识符340a、340b可用于确定与实体300a、300b之间的关系相关联的强度。关系的强度可 帮助确定声誉差的实体300a的声誉差的性质中有多少被归于未知实体300b的声誉。
然而,还应认识到,未知实体300b可发起包括属性350c的通信330c,属性350c与 发源于已知的声誉好的实体300c的通信330d的一些属性350d匹配。被发现具有匹配的 属性的特定标识符340c、340d可用于确定与实体300b、300c之间的关系相关联的强度。关 系的强度可帮助确定声誉好的实体300c的声誉好的性质中有多少被归于未知实体300b的 声誉。 分布式声誉引擎还允许关于最近的威胁前景的全球情报的实时协作共享,对可由 过滤或风险分析系统执行的局部分析提供即时保护的益处,以及甚至在可能的新威胁出现 之前就识别这种新威胁的恶意来源。使用位于很多不同地理位置处的传感器,可与中央系 统200或与分布式安全代理100a、100b —起快速共享关于新威胁的信息。如应理解的,这 样的分布式传感器可包括局部安全代理100a、100b,以及局部声誉好的客户机、业务量监控 器,或适合于收集通信数据的任何其它设备(例如,开关、路由器、服务器,等等)。
例如,安全代理100a、 100b可与中央系统200进行通信,以提供威胁和声誉信息的 共享。可选地,安全代理100a、100b可在彼此之间传递威胁和声誉信息,以提供最新的和准 确的威胁信息。在图3的例子中,第一安全代理300a拥有关于未知实体300b和声誉差的 实体300a之间的关系的信息,而第二安全代理300b拥有关于未知实体300b和声誉好的实 体300c之间的关系的信息。在没有共享信息的情况下,第一安全代理300a可根据所检测的 关系对通信采取特定的动作。然而,知道未知实体300b和声誉好的实体300c之间的关系, 第一安全代理300a可利用来自未知实体300b的收到的通信来采取不同的动作。安全代理 之间的关系信息的共享因而提供更完整的一组关系信息,将针对该关系信息作出确定。
系统试图将声誉(反映一般倾向和/或分类)分配给物理实体,例如执行事务的 个人或自动化系统。在虚拟世界中,实体由在实体正执行的特定事务(例如,发送消息或从 银行帐号转移资金)中联系到这些实体的标识符(例如IP、URL、内容)表示。因此根据那 些标识符的总体行为和历史模式以及那些标识符与其它标识符的关系,例如发送消息的IP 与包括在那些消息中的URL的关系,声誉可被分配到那些标识符。如果在标识符之间存在 强关联,则单个标识符的"差"声誉可能使其它邻近的标识符的声誉恶化。例如,发送具有 差声誉的URL的IP将由于URL的声誉而使其自己的声誉恶化。最后,单独的标识符声誉可 被汇聚成与那些标识符相关联的实体的单个声誉(风险评分)。 应注意,属性可分成很多类别。例如,证据属性可表示关于实体的物理、数字或数 字化的物理数据。该数据可归于单个已知或未知的实体,或在多个实体之间共享(形成实 体关系)。与消息安全有关的证据属性的例子包括IP(互联网协议)地址、已知的域名、URL、 实体所使用的数字指纹或签名、TCP签名,等等。 作为另一例子,行为属性可表示关于实体或证据属性的人或机器分配的观测结 果。这样的属性可包括来自一个或多个行为参数文件(behavioralprofile)的一个、很多 或所有属性。例如,通常与垃圾邮件发送者相关联的行为属性可依据从该实体发送的大量 通信。 用于特定类型的行为的很多行为属性可被合并以得出行为参数文件。行为参数文 件可包括一组预定义的行为属性。分配给这些参数文件的属性特征包括与限定匹配参数文件的实体的倾向有关的行为事件。与消息安全有关的行为参数文件的例子可包括"垃圾邮 件发送者"、"诈骗者"和"合法发送者"。与每个参数文件相关的事件和/或证据属性限定 参数文件应被分配到的适当实体。这可包括特定的一组发送模式、黑名单事件或证据数据 的特定属性。 一些例子包括发送者/接收者身份识别;时间间隔和发送模式;有效载荷的 严重度(severity)和配置;消息结构;消息质量;协议和相关的签名;通信介质。
应理解,共享相同的证据属性中的一些或全部的实体具有证据关系。类似地,共享 行为属性的实体具有行为关系。这些关系帮助形成相关参数文件的逻辑组,该关系接着被 适应性地应用,以增强参数文件或略微差不多符合所分配的参数文件地来识别实体。
图4是描述用于检测关系并给实体分配风险的操作方案400的流程图。操作方案 在步骤410通过收集网络数据开始。数据收集可例如由安全代理100、客户设备、交换机、路 由器或任何其它设备完成,所述其它设备可操作来从网络实体(例如,电子邮件服务器、网 络服务器、頂服务器、ISP、文件传输协议(FTP)服务器、gopher服务器、VoIP设备等)接收 通信。 在步骤420,标识符与所收集的数据(例如通信数据)相关联。步骤420可由可操 作来从很多传感器设备汇聚数据的安全代理100或中央系统200执行,包括例如一个或更 多个安全代理IOO。可选地,步骤420可由安全代理100本身执行。标识符可基于所接收 的通信的类型。例如,电子邮件可包括一组信息(例如,发起者和收信方的IP地址、文本内 容、附件等),而VoIP通信可包括一组不同的信息(例如,主叫电话号码(或如果从VoIP客 户发起则为IP地址)、接收的电话号码(或如果指定VoIP电话则为IP地址)、语音内容, 等等)。步骤420也可包括分配具有相关标识符的通信的属性。 在步骤430,分析与实体相关联的属性,以确定在实体之间是否存在任何关系,为 这些实体收集通信信息。步骤430可例如由中央系统200或一个或更多个分布式安全代理 100执行。分析可包括比较与不同实体有关的属性以找到实体之间的关系。而且,根据作为 关系的基础的特定属性,强度可与关系相关联。 在步骤440,风险矢量被分配给实体。作为例子,风险矢量可由中央系统200或一 个或更多个安全代理100分配。分配给实体130 (图1-2) 、300(图3)的风险矢量可基于在 实体之间存在的关系,并基于形成关系的基础的标识符。 在步骤450,可根据风险矢量执行动作。该动作可例如由安全代理100执行。可对 与实体相关联的收到的通信执行动作,风险矢量被分配给该实体。其中,所述动作可包括允 许、拒绝、隔离、负载均衡、以所分配的优先级传输、以额外的细查局部地进行分析。然而,应 理解,可单独地得到声誉矢量。 图5是示出示例性网络体系结构的结构图,其包括由局部声誉引擎510a-e得到的 局部声誉500a-e和一个或更多个服务器530所储存的全局声誉520。局部声誉引擎510a-e 例如可与局部安全代理,例如安全代理100相关联。可选地,局部声誉引擎510a-e可例如 与本地客户机相关联。声誉引擎510a-e中的每个包括一个或更多个实体的列表,声誉引擎 510a-e为这些实体储存所得到的声誉500a-e。 然而,这些储存的得到的声誉在声誉引擎之间可能是不一致的,因为每个声誉引 擎可观察到不同类型的业务量。例如,声誉引擎1510a可包括指示特定实体是声誉好的声 誉,而声誉引擎2510b可包括指示同一实体是声誉差的声誉。这些局部的声誉不一致性可基于从实体接收的不同业务量。可选地,不一致性可基于来自局部声誉引擎1510a的用户 的、指示通信是合法的反馈,而局部声誉引擎2510b提供指示同一通信是不合法的反馈。
服务器530从局部声誉引擎510a-e接收声誉信息。然而,如上所述, 一些局部声 誉信息可能与其它局部声誉信息不一致。服务器530可在局部声誉500a-e之间进行仲裁, 以根据局部声誉信息500a-e确定全局声誉520。在一些例子中,全局声誉信息520可接着 被提供回局部声誉引擎510a-e,以给这些引擎510a-e提供最新的声誉信息。可选地,局部 声誉引擎510a-e可操作来查询服务器530以得到声誉信息。在一些例子中,服务器530使 用全局声誉信息520响应于查询。 在其它例子中,服务器530将局部声誉偏置(bias)应用到全局声誉520。局部声 誉偏置可对全局声誉执行变换,以给局部声誉引擎510a-e提供全局声誉矢量,其根据发起 查询的特定局部声誉引擎510a-e的偏好而进行偏置。因此,管理员或用户对垃圾邮件消息 指示高容忍度(tolerance)的局部声誉引擎510a可接收解释所指示的容忍度的全局声誉 矢量。返回到声誉引擎510a的声誉矢量的特定分量可能包括由于与声誉矢量的其余部分 的关系而降低重要性的声誉矢量的部分。同样,局部声誉引擎510b可接收放大与病毒声誉 有关的声誉矢量的分量的声誉矢量,局部声誉引擎510b指示例如来自具有发起病毒的声 誉的实体的低容忍度通信。 图6是示出基于局部声誉反馈的全局声誉的确定的结构图。局部声誉引擎600可 操作来通过网络610向服务器620发送查询。在一些例子中,局部声誉引擎600响应于从 未知实体接收通信而发起查询。可选地,局部声誉引擎600可响应于接收任何通信而发起 查询,从而促进更加新的声誉信息的使用。 服务器620可操作来使用全局声誉确定响应于查询。中央服务器620可使用全局 声誉汇聚引擎630得到全局声誉。全局声誉汇聚引擎630可操作来从相应的多个局部声誉 引擎接收多个局部声誉640。在一些例子中,多个局部声誉640可由声誉引擎周期性地发送 到服务器620。可选地,多个局部声誉640可由服务器在从局部声誉引擎600中之一接收到 查询时取回。 使用与每个局部声誉引擎有关的置信值(confidence value)并接着积累结果,可 合并局部声誉。置信值可指示与相关声誉引擎所产生的局部声誉相关联的置信度。与个人 相关联的声誉引擎例如可接收在全局声誉确定中较低的权重。相反,与在大型网络上操作 的声誉引擎相关联的局部声誉可根据与该声誉引擎相关联的置信值接收全局声誉确定中 较大的权重。 在一些例子中,置信值650可基于从用户接收的反馈。例如,可给接收很多反馈的 声誉引擎分配与该声誉引擎相关的局部声誉640的低置信值650,这些反馈指示通信未被 正确地处理,因为与通信相关的局部声誉信息640指示错误的动作。类似地,可给接收反馈 的声誉引擎分配与该声誉引擎相关的局部声誉640的高置信值650,该反馈根据局部声誉 信息640指示通信被正确地处理,局部声誉信息640与指示正确的动作的通信相关联。与 不同声誉引擎相关联的置信值的调整可使用调节器660来完成,调节器660可操作来接收 输入信息并根据所接收的输入调节置信值。在一些例子中,根据被储存的用于被错误地分 类的实体的统计资料,置信值650可由声誉引擎本身提供到服务器620。在其它例子中,用 于对局部声誉信息加权的信息可被传递到服务器620。
在一些例子中,偏置670可应用于最终形成的全局声誉矢量。偏置670可标准化 声誉矢量,以向声誉引擎600提供标准化的全局声誉矢量。可选地,可应用偏置670以解释 与发起声誉查询的声誉引擎600相关的局部偏好。因此,声誉引擎600可接收与查询的声 誉引擎600的确定的偏好匹配的全局声誉矢量。声誉引擎600可根据从服务器620接收的 全局声誉矢量对通信采取动作。 图7是示出全局声誉和局部声誉之间的示例性转化的结构图。局部安全代理700 与服务器720进行通信,以从服务器720取回全局声誉信息。局部安全代理700可在702 接收通信。局部安全代理可在704关联通信以识别消息的属性。消息的属性可包括例如发 端实体、消息内容的指纹、消息大小,等等。局部安全代理700在对服务器720的查询中包 括该信息。在其它例子中,局部安全代理700可将整个消息转发到服务器720,且服务器可 执行消息的关联和分析。 服务器720使用从查询接收的信息,来根据服务器720的配置725确定全局声誉。 配置725可包括多个声誉信息,包括指示被查询的实体是声誉差的信息(730)和指示被查 询的实体是声誉好的信息(735)。配置725也可将权重740应用于每个汇聚的声誉730、 735。声誉得分确定器745可提供用于给汇聚的声誉信息730、735加权(740)并产生全局 声誉矢量的引擎。 局部安全代理700接着在706向局部声誉引擎发送查询。局部声誉引擎708执行 局部声誉的确定并在710返回局部声誉矢量。局部安全代理700也接收以全局声誉矢量形 式的、对发送到服务器720的声誉查询的响应。局部安全代理700接着在712将局部声誉 矢量和全局声誉矢量混合在一起。接着在714关于所接收的消息采取动作。
图8是用于调整与声誉服务器相关联的过滤器的设置的示例性图形用户界面 800。图形用户界面800可允许局部安全代理的用户在一些不同的类别810,例如"病毒"、 "蠕虫"、"特洛伊木马"、"网络钓鱼"、"间谍软件"、"垃圾邮件"、"内容"和"群发"中调整局部 过滤器的配置。然而,应理解,所述类别810只是例子,且本公开不限于在这里被选为例子 的类别810。 在一些例子中,类别810可分成两种或更多类型的类别。例如,图8的类别810分 成类别810的"安全设置"类型820以及类别的"策略设置"类型830。在每个类别810和 类型820、830中,混合器条形表示840可允许用户调整与通信或实体声誉的相应类别810 相关联的特定过滤器设置。 而且,虽然"策略设置"类型830的类别810可根据用户自己的判断被自由调节,但 是"安全设置"类型820的类别可被限制到在一范围内调整。可产生该差别,以便阻止用户 更改安全代理的安全设置超过可接受的范围。例如,不满意的雇员可能试图降低安全设置, 从而允许企业网易受攻击。因此,在"安全设置"类型820中置于类别810上的范围850可 操作来在将安全保持在最低水平,以防止网络被危害。然而,如应注意的,"策略设置"类型 830的类别810是不危害网络安全的那些类型的类别810,而是如果设置降低可能只是使用 户或企业不方便。 此外,应认识到,在各种例子中,范围限制850可置于全部类别810上。因此,局部 安全代理将阻止用户将混合器条形表示840设置在所提供的范围850之外。还应注意,在 一些例子中,范围可不显示在图形用户界面800上。替代地,范围850将被从图形用户界面800提取出来,且所有设置将为相关的设置。因此,类别800可显示并看起来似乎允许设置的满范围,同时将设置变换成在所提供的范围内的设置。例如,"病毒"类别810的范围850在本例中被设置在水平标记8和13之间。如果图形用户界面800设置成从图形用户界面800提取出可允许的范围850,则"病毒"类别810将允许混合器条形表示840设置在0和14之间的任何位置。然而,图形用户界面800可将0-14设置变换成在8到13的范围850内的设置。因此,如果用户请求在O和14之间中间的设置,则图形用户界面可将该设置变换成在8和13中间的设置。 图9是示出用于互联网协议语音电话(VoIP)或短消息服务(SMS)通信的基于声誉的连接抑制的结构图。如应理解的,主叫IP电话900可向接收的IP电话910安排VoIP呼叫。这些IP电话900、910可以是例如计算机执行的软电话软件、网络支持的电话,等等。主叫IP电话900可通过网络920 (例如互联网)安排VoIP呼叫。接收的IP电话910可通过局域网930 (例如企业网)接收VoIP呼叫。 当建立VoIP呼叫时,主叫IP电话已建立与局域网930的连接。该连接可与电子邮件、网络、即时消息或其它互联网应用可被用于提供与网络的未调节(unregulated)的连接的方式类似被使用。因此,可使用与接收的IP电话的连接,从而根据所建立的连接使在局域网930上操作的计算机940、950处于入侵、病毒、特洛伊木马、蠕虫和各种其它类型的攻击的危险中。而且,由于VoIP通信的时间敏感性质,一般不检查这些通信,以确保没有误用连接。例如,语音会话实时地发生。如果语音会话的一些分组被延迟,则会话变得不自然且难以理解。因此,一旦建立了连接,就一般不能检查分组的内容。 然而,局部安全代理960可使用从声誉引擎或服务器970接收的声誉信息来确定与主叫IP电话相关的声誉。局部安全代理960可使用发端实体的声誉来确定是否允许与发端实体的连接。因此,安全代理960可防止与声誉差的实体的连接,如不遵守局部安全代理960的策略的声誉所指示的。 在一些例子中,局部安全代理960可包括连接抑制引擎,其可操作来使用在主叫IP电话900和接收的IP电话910之间建立的连接来控制正被传输的分组的流动速率。因此,可允许具有差声誉的发端实体900产生与接收的IP电话910的连接。然而,分组通过量将被定上限,从而防止发端实体900使用连接来攻击局域网930。可选地,连接抑制可通过执行从声誉差的实体发起的任何分组的详细检查来完成。如上所述,所有VoIP分组的详细检查不是有效的。因此,可为与声誉好的实体相关联的连接最大化服务质量(QoS),同时减少与声誉差的实体的连接相关联的QoS。可对与声誉差的实体相关联的连接执行标准通信询问技术,以便发行从发端实体接收的任何被传输的分组是否包括对网络930的威胁。在美国专利号6, 941, 467、7, 089, 590、7, 096, 498和7, 124, 438中以及在美国专利申请号2006/0015942、2006/0015563、2003/0172302、2003/0172294、2003/0172291和2003/0173166中描述了各种询问技术和系统,由此以上这些通过引用被并入。
图10是示出基于声誉的负载均衡器1000的操作的结构图。负载均衡器1000可操作来通过网络1030(例如互联网)(分别地)从声誉好的实体1010和声誉差的实体1020接收通信。负载均衡器1000与声誉引擎1040进行通信,以确定与进入或传出的通信相关联的实体1010、 1020的声誉。 声誉引擎1030可操作来给负载均衡器提供声誉矢量。声誉矢量可以各种不同的类别指示与通信相关联的实体1010、 1020的声誉。例如,就发起垃圾邮件的实体1010、 1020而言,声誉矢量可指示实体1010U020的良好声誉,同时就发起病毒的实体1010、1020而言,也指示相同实体1010、 1020的差声誉。 负载均衡器1000可使用声誉矢量来确定关于与实体1010、 1020相关联的通信执行什么动作。在声誉好的实体1010与通信相关联的情况下,消息被发送到消息传输代理(MTA) 1050并被传输给接收者1060。 在声誉差的实体1020拥有病毒的声誉但没有其它类型的声誉差的活动的声誉的情况下,通信被转发到多个病毒检测器1070中之一。负载均衡器1000可操作来根据病毒检测器的当前容量和发端实体的声誉来确定使用多个病毒检测器1070中的哪一个。例如,负载均衡器1000可将通信发送到被最少利用的病毒检测器。在其它例子中,负载均衡器1000可确定与发端实体相关联的差声誉度,并将声誉稍微差的通信发送到被最少利用的病毒检测器,同时将声誉非常差的通信发送到被高度利用的病毒检测器,从而抑制与声誉非常差的实体相关联的连接的QoS。 类似地,在声誉差的实体1020有发起垃圾邮件通信的声誉但没有其它类型的声誉差的活动的声誉的情况下,负载均衡器可将通信发送到专门的垃圾邮件检测器1080以排除其它类型的测试。应理解,在通信与发起多种类型的声誉差的活动的声誉差的实体1020相关联的情况下,可发送通信以测试已知实体1020要显示的每种类型的声誉差的活动,同时避免与不知道实体1020要显示的声誉差的活动相关联的测试。
在一些例子中,每个通信可接收用于多种类型的不合法内容的例行测试。然而,当与通信相关联的实体1020显示某些类型的活动的声誉时,通信也可被隔离以用于内容的详细测试隔离,实体显示对于发起该内容的声誉。 在又一些例子中,每个通信可接收相同类型的测试。然而,与声誉好的实体1010相关联的通信被发送到有最短队列的测试模块或具有空闲的处理容量的测试模块。另一方面,与声誉差的实体1020相关联的通信被发送到有最长队列的测试模块1070、1080。因此,与声誉好的实体1010相关联的通信可接受超过与声誉差的实体相关联的通信的传输优先权。因此对于声誉好的实体1010,服务质量被最大化,同时对于声誉差的实体1020,服务质量被降低。因此,基于声誉的负载平衡可通过降低声誉差的实体连接到网络930的能力来保护网络免于攻击。 图IIA是示出用于收集基于地理位置的数据以进行身份验证分析的示例性操作方案的流程图。在步骤1100,操作方案从各种登录尝试收集数据。步骤1100可例如由局部安全代理,例如图1的安全代理100执行。其中,所收集的数据可包括与登录尝试相关联的IP地址、登录尝试的时间、在成功之前的登陆尝试的次数,或所尝试的任何不成功的口令的详细资料。所收集的数据接着在步骤1105被分析,以得出统计信息,例如登录尝试的地理位置。步骤1105可例如由声誉引擎执行。接着在步骤1110与登录尝试相关联的统计信息被储存。该储存可例如由系统数据存储器执行。 图11B是示出用于基于地理位置的身份验证的另一示例性操作方案的流程图。在步骤1115接收登录尝试。登录尝试可例如由可操作来通过网络提供安全财务数据的安全网络服务器接收。接着在步骤1120确定登录尝试是否匹配所储存的用户名和口令组合。步骤1120可例如由可操作来验证登录尝试的安全服务器执行。如果用户名和口令不匹配所存储的用户名/ 口令组合,则在步骤1125宣布登录尝试失败。 然而,如果用户名和口令确实匹配合法用户名/ 口令组合,则在步骤1130确定登录尝试的起源。登录尝试的起源可由如图1所示的局部安全代理100确定。可选地,登录尝试的起源可由声誉引擎确定。登录尝试的起源可接着与在图IIA中得出的统计信息比较,如在步骤1135中示出的。步骤1135可例如由局部安全代理100或声誉引擎执行。在步骤1140确定起源是否与统计期望匹配。如果实际起源匹配统计期望,则在步骤1145验证用户。 可选地,如果实际起源不匹配对于起源的统计期望,则在步骤1150执行进一步的处理。应理解,进一步的处理可包括从用户请求进一步的信息,以验证他或她的真实性。这样的信息可包括例如家庭地址、母亲的婚前姓、出生地点,或关于用户已知的任何其它部分的信息(例如秘密问题)。额外处理的其它例子可包括搜索以前的登录尝试,以确定当前登录尝试的地点是否确实是异常的或仅仅是巧合的。此外,与发起登录尝试的实体相关联的声誉可被得出并用于确定是否允许登录。 图IIC是示出用于使用发端实体的声誉进行基于地理位置的验证以确认身份验证的另一示例性操作方案的流程图。在步骤1115接收登录尝试。登录尝试可例如由可操作来通过网络提供安全财务数据的安全网络服务器接收。接着在步骤1160确定登录尝试是否匹配所储存的用户名和口令组合。步骤1160可例如由可操作来验证登录尝试的安全服务器执行。如果用户名和口令不匹配所存储的用户名/ 口令组合,则在步骤1165宣布登录尝试失败。 然而,如果用户名和口令确实匹配合法的用户名/ 口令组合,则在步骤1170确定登录尝试的起源。登录尝试的起源可由如图1所示的局部安全代理100确定。可选地,登录尝试的起源可由声誉引擎确定。接着可取回与发起登录尝试的实体相关联的声誉,如在步骤1175中示出的。步骤1175可例如由声誉引擎执行。在步骤1180确定发端实体的声誉是否是声誉好的。如果发端实体是声誉好的,则在步骤1185验证用户身份。
可选地,如果发端实体是声誉差的,则在步骤1190执行进一步的处理。应理解,进一步的处理可包括从用户请求进一步的信息,以验证他或她的真实性。这样的信息可包括例如家庭地址、母亲的婚前姓、出生地点,或关于用户已知的任何其它部分的信息(例如秘密问题)。额外处理的其它例子可包括搜索以前的登录尝试,以确定当前登录尝试的地点是否确实是异常的或仅仅是巧合的。 因此,应理解,可应用声誉系统来识别金融交易中的欺诈行为。声誉系统可根据交易发起者的声誉或实际交易中的数据(来源、目的地、金额,等等)来提高交易的风险评分。在这样的情况下,金融机构可根据发端实体的声誉更好地确定特定交易是欺骗性的概率。
图12是示出用于基于声誉的动态隔离的示例性操作方案的流程图。在步骤1200接收通信。接着在步骤1205分析通信,以确定它们是否与未知实体相关联。然而应注意,该操作方案可应用于所接收的任何通信,而不仅仅是从以前的未知实体接收的通信。例如,从声誉差的实体接收的通信可被动态地隔离,直到确定了所接收的通信不对网络造成威胁为止。在通信不与新实体相关联的场合,通信经历对进入的通信的正常处理,如在步骤1210中示出的。 如果通信与新实体相关联,则在步骤1215初始化动态隔离计数器。接着在步骤1220,从新实体接收的通信被发送到动态隔离。接着在步骤1225检查计数器以确定计数器的时间是否已经过去了。如果计数器的时间没有过去,则在步骤1230递减计数器。在步骤1235可分析实体的行为以及被隔离的通信。在步骤1240确定实体的行为或被隔离的通信是否是异常的。如果没有发现异常情况,则操作方案返回到步骤1220,在这里隔离新的通信。 然而,如果在步骤1240发现实体的行为或通信是异常的,则在步骤1245给实体分配声誉差的声誉。通过将通知发送到管理员或发端实体所发送的通信的接收者来结束过程。 返回到步骤1220,隔离和检查通信和实体行为的过程继续进行,直到发现异常行为为止,或直到在步骤1225动态的隔离计数器的时间过去为止。如果动态的隔离计数器的时间过去了,则在步骤1255给实体分配声誉。可选地,在实体不是未知实体的情况下,在步骤1245或1255可更新声誉。在步骤1260通过释放动态隔离来结束该操作方案,其中动态的隔离计数器的时间已经过去,而在通信中或在发端实体的行为中没有发现异常情况。
图13是可被分类为不想要的图像或消息的图像垃圾邮件通信的示例性图形用户界面1300的显示。如应理解的,图像垃圾邮件对传统垃圾邮件过滤器造成问题。图像垃圾邮件通过将垃圾邮件的文本消息转换成图像格式来绕过垃圾邮件的传统文本分析。图13示出图像垃圾邮件的例子。消息显示图像1310。虽然图像1300看起来是文本,但它仅仅是文本消息的图形编码。 一般地,图像垃圾邮件也包括文本消息1320,文本消息1320包括被正确地构造的但在消息背景下没有意义的句子。消息1320设计成躲避接通通信的垃圾邮件过滤器,在该通信内只包括图像1310。而且,消息1320设计成欺骗滤波器,这些滤波器对包括图像1310的通信的文本应用粗略的测试。进一步地,当这些消息确实在头部1330中包括关于消息的起源的信息时,用于发出图像垃圾邮件的实体的声誉可能是未知的,直到该实体被发觉发送图像垃圾邮件为止。 图14是示出用于检测不想要的图像(例如,图像垃圾邮件)的示例性操作方案的流程图。应理解,附图14中所示的很多步骤可单独地或结合附图14中所示的其它步骤中的任何一个或全部来执行,以提供图像垃圾邮件的某种检测。然而,附图14中的每个步骤的使用提供了用于检测图像垃圾邮件的全面的过程。 过程在步骤1400以通信的分析开始。步骤1400 —般包括分析通信,以确定通信是否包括受到图像垃圾邮件处理的图像。在步骤1410,操作方案执行通信的结构分析,以确定图像是否包括垃圾邮件。接着在步骤1420分析图像的头部。图像头部的分析允许系统确定关于图像格式本身是否存在异常情况(例如,协议错误、讹误,等等)。在步骤1430分析图像的特征。特征分析旨在确定图像的任何特征是否是异常的。 可在步骤1440标准化图像。图像的标准化一般包括移除可能被垃圾邮件发送者添加以避免图像指纹识别技术的随机噪声。图像标准化旨在将图像转换成在图像中可容易比较的格式。可对被标准化的图像执行指纹分析,以确定图像是否匹配来自以前接收的已知图像垃圾邮件的图像。 图15A是示出用于分析通信的结构的操作方案的流程图。操作方案在步骤1500以消息结构的分析开始。在步骤1505,分析通信的超文本标记语言(HTML)结构,以引入n-元文法(n-gram)标记作为贝叶斯分析的额外符号(token)。这样的处理可为异常情况分析包括在图像垃圾邮件通信中的文本1320。可分析消息的HTML结构,以定义元令牌(meta-token)。元令牌是消息的HTML内容,其被处理以丢弃任何不相关的HTML标记,并通过移除白空区而被压縮以生成用于贝叶斯分析的"符号"。上述符号中的每个可用作对贝叶斯分析的输入,以与以前接收的通信比较。 操作方案接着在步骤1515包括图像检测。图像检测可包括将图像分割成多个部
分,以及对这些部分执行指纹识别来确定指纹是否匹配以前接收的图像的部分。 图15B是示出用于下述过程的操作方案的流程图,即分析图像的特征,以提取用
于输入到聚类引擎(clustering engine)中的消息的特征,以便识别符合已知图像垃圾邮
件的图像的组成部分。操作方案在步骤1520开始,在这里图像的多个高水平特征被检测,
以用在机器学习算法中。这样的特征可包括数值,例如独特的颜色的数量、噪声黑色像素
(noise black pixel)的数量、水平方向中边缘(形状之间的锐转变)的数量,等等。 操作方案所提取的特征之一可包括图像的柱状图模式的数量,如在步骤1525示
出的。通过检查图像的光谱密度来产生模式的数量。如应理解的,人工图像一般包括比自
然图像少的模式,这是因为自然图像颜色一般扩散到广谱(broad spectrum)。 如上所述,从图像提取的特征可用于识别异常情况。在一些例子中,异常情况可包
括分析消息的特征以确定多个特征与所储存的不想要的图像的特征的相似性的程度。可选
地,在一些例子中,也可分析图像特征,以与已知的声誉好的图像比较,以确定与声誉好的
图像的相似性。应理解,单独的所提取的特征都不能决定分类。例如,特定的特征可与60%
的不想要的消息相关联,同时也与40%的想要的消息相关联。而且,当与特征相关联的数值
变化时,消息是想要的或是不想要的概率可能变化。有很多可指示轻微倾向的特征。如果
合并这些特征中的每个,则图像垃圾邮件检测系统可进行分类决定。 接着在步骤1530检查高宽比,以确定关于图像尺寸或高宽比的是否存在任何异常情况。图像尺寸或高宽比与已知图像垃圾邮件所共有的已知尺寸或高宽比的相似性可指示这种在高宽比中的异常情况。例如,图像垃圾邮件能够以特定的尺寸出现,以使图像垃圾邮件看起来更像普通电子邮件。包括下述图像的消息更可能是垃圾邮件本身,即这些图像与已知垃圾邮件图像享有共同的尺寸。可选地,存在不有利于垃圾邮件的图像尺寸(例如,如果垃圾邮件发送者将消息插入图像中,则1英寸xl英寸的正方形图像可能是难以读取的)。已知不利于垃圾邮件的插入的包括图像的消息较不可能是图像垃圾邮件。因此,消息的高宽比可与在图像垃圾邮件中使用的共同的高宽比进行比较,以确定图像是不想要的图像或图像是声誉好的图像的概率。 在步骤1535,检查图像的频率分布。一般地,自然图像有具有相对少的明显的频率梯度(gradation)的均匀频率分布。另一方面,图像垃圾邮件一般包括常变的频率分布,这是因为黑色字母被放置在黑暗背景上。因此,这样的不均匀的频率分布可指示图像垃圾邮件。 在步骤1540,可分析信噪比。高信噪比可指示垃圾邮件发送者可能试图通过将噪声引入图像中来躲避指纹识别技术。由此增加噪声水平可指示图像是不想要的图像的概率增加。 应理解,可在整个图像的规模上提取一些特征,而可从图像的子部分提取其它特征。例如,图像可被细分成多个子部分。每个矩形可使用快速付立叶变换(FFT)变换到频域中。在被变换的图像中,在多个方向上的频率的优势(predominance)可作为特征被提取。也可检查所变换的图像的这些子部分,以确定高频和低频的数量。在被变换的图像中,离原点较远的点表现出较高的频率。类似于其它被提取的特征,这些特征可接着与已知的合法和不想要的图像比较,以确定未知图像与每个类型的已知图像共享哪些特性。而且,被变换的(例如频域)图像也可分成子部分(例如,片段(slice)、矩形、同心圆,等等),并与来自已知图像(例如,已知的不想要的图像和已知的合法的图像)的数据比较。
图15C是示出用于标准化图像以用于垃圾邮件处理的的操作方案的流程图。在步骤1545,从图像除去模糊和噪声。如前所述,这些可能由垃圾邮件发送者引入来躲避指纹识别技术,例如通过改变无用信息的总数的散列法,使得它不与任何以前接收的已知图像垃圾邮件的无用信息的指纹匹配。模糊和噪声的移除可描述用于除去垃圾邮件发送者所引入的人为噪声的几种技术。应理解,人为噪声可包括垃圾邮件发送者所使用的技术,例如条带效应(其中包括在图像中的字体变化,以改变图像的无用信息)。 在步骤1550,边缘检测算法可在标准化的图像上执行。在一些例子中,被进行边缘检测的图像被使用并提供到光学字符识别引擎,以将被进行边缘检测的图像转换成文本。边缘检测可用于从图片除去不必要的细节,该细节可能在相对于其他图像处理该图像中造成低效率。 在步骤1555,可应用中值滤波。应用中值滤波来除去随机的像素噪声。这样的随机像素可对图像的内容分析造成问题。中值滤波可帮助除去垃圾邮件发送者所引入的单像素类型的噪声。应理解,单像素噪声由垃圾邮件发送者使用图像编辑器引入,以改变图像中的一个或多个像素,这可使图像在一些区域中看起来呈颗粒状的,从而使图像更难以检测。
在步骤1560,量化图像。图像的量化除去不必要的颜色信息。这种颜色信息一般需要更多的处理,并与垃圾邮件的试图传播无关。而且,垃圾邮件发送者可稍微改变图像中的颜色方案,并再次改变杂乱信息,以便已知图像垃圾邮件的杂乱信息不匹配从颜色变化的图像垃圾邮件得出的杂乱信息。 在步骤1565,执行对比度扩展。使用对比度扩展,图像中的颜色标度从黑到白被最大化,即使颜色只在灰度阴影中变化也是如此。给图像的最亮的阴影分配白值,而给图像中最暗的阴影分配黑值。与原始图像中最亮和最暗的阴影相比,给所有其它阴影分配他们在光谱(spectrum)中的相对位置。对比度扩展帮助限定图像中可能没有充分利用可用光谱的细节,因而可帮助阻止垃圾邮件发送者使用不同部分的光谱来避免指纹识别技术。垃圾邮件发送者有时故意改变图像的密度范围,以使一些类型的特征识别引擎无效。对比度扩展也可帮助标准化图像,以便它可与其它图像比较,以识别包含在图像中的共同特征。
图15D是示出用于分析图像的指纹以在多个图像中找到共同片段的操作方案的流程图。在步骤1570,操作方案通过界定图像内的区域开始。接着对所界定的区域执行风选算法(winnowing algorithm),以识别图像的相关部分,在步骤1575应在该图像上提取指纹。在步骤1580,操作方案对从风选操作得到的片段进行指纹识别,并确定在所接收的图像和已知垃圾邮件图像的指纹之间是否存在匹配。在每个专利申请公布号2006/0251068中描述了类似的风选指纹识别方法,该专利由此通过引用被并入。 如这里在说明书中使用的且在接下来的全部权利要求中,"一 (a)"、"一个(an)"禾口"所述(the)"的意思包括复数涵义,除非上下文另外清楚地指出。此外,如这里在说明书中使用的且在接下来的全部权利要求中,"在…中"的意思包括、"在…中"和"在…上",除非上下文另外清楚地指出。最后,如这里在说明书中使用的且在接下来的全部权利要求中,"和"和"或"的意思包括联合的和分离的涵义,并可互换地使用,除非上下文另外清楚地指出。
范围可在这里表示为从"大约"一个特定的值和/或到"大约"另一特定的值。当表示这样的范围时,另一实施方式包括从一个特定的值和/或到另一特定的值。类似地,当值被表示为近似值时,通过使用前面的"大约",应理解,特定的值形成另一实施方式。应进一步理解,每个范围的端点相对于另一端点来说是重要的,并独立于另一端点。
描述了本发明的很多实施方式。然而,应理解,可进行各种更改,而不偏离本发明的实质和范围。因此,其它实施方式处于下面的权利要求的范围内。
权利要求
一种计算机实现的方法,其可操作来将声誉分配给与超文本传输协议通信相关联的基于网络的实体,所述方法包括以下步骤在边缘保护设备处接收超文本传输协议通信;识别与所接收的所述超文本传输协议通信相关联的实体;查询声誉引擎以得到与所述实体相关联的声誉指示符;从所述声誉引擎接收所述声誉指示符;根据与所述实体相关联的所接收的所述声誉指示符,来关于所述超文本传输协议通信采取动作。
2. 如权利要求1所述的方法,其中所述实体是包括目的地统一资源定位符、域或IP地址的网络实体。
3. 如权利要求1所述的方法,其中所述实体的声誉基于从所述实体接收的以前的通信以及可得到的关于所述实体的公共或专用网络信息,所述公共或专用网络信息包括所有权或托管信息。
4. 如权利要求3所述的方法,其中所述以前的通信包括下述项中的一个或更多个电子消息、超文本传输协议通信、即时消息、文件传输协议通信、简单对象访问协议消息、实时传输协议分组、短消息服务通信、多媒体消息服务通信,或互联网协议语音电话通信。
5. 如权利要求1所述的方法,其中所述动作是丢弃所述通信并通知与所述超文本传输协议通信相关联的企业网用户。
6. 如权利要求1所述的方法,其中所述实体与多种不同类型的网络通信相关联,所述网络通信包括至少超文本传输协议类型的通信,以及包括电子邮件通信、文件传输协议通信、即时消息通信、gopher通信、短消息服务通信或互联网协议语音电话通信中的至少一个。
7. 如权利要求1所述的方法,其中所述声誉引擎根据与所述实体相关联的声誉好的标准和与所述实体相关联的声誉差的标准的汇聚来确定所述声誉指示符。
8. 如权利要求7所述的方法,其中所述声誉指示符是根据多个不同的标准来指示声誉的矢量的。
9. 如权利要求8所述的方法,进一步包括检查声誉矢量,以根据所述实体的声誉矢量来确定与所述边缘保护设备所保护的企业网相关联的策略是否允许与所述实体的通信。
10. 如权利要求1所述的方法,其中所述声誉引擎是可操作来给多个边缘保护设备提供声誉信息的声誉服务器。
11. 如权利要求io所述的方法,其中所述声誉引擎可操作来储存全局声誉指示符,并在输出所述声誉指示符之前使用局部偏置来偏置所述全局声誉指示符。
12. 如权利要求1所述的方法,其中所述声誉指示符包括声誉矢量,所述声誉矢量包括所述实体的多维分类。
13. 如权利要求12所述的方法,其中所述多维分类包括以色情文学类别、新闻类别、计算机类别、安全类别、网络钓鱼类别、间谍软件类别、病毒类别或攻击类别中的两个或更多个进行的消息的分类。
14. 如权利要求12所述的方法,其中所述声誉指示符进一步包括与所述实体的所述多维分类中的每一个相关联的置信度。
15. 如权利要求1所述的方法,进一步包括检测统一资源定位符的随机化。
16. 如权利要求15所述的方法,其中通过产生所述统一资源定位符的杂乱信息并比较所述杂乱信息与以前识别的声誉差的统一资源定位符,来确定所述统一资源定位符的随机化。
17. 如权利要求15所述的方法,其中通过对所述统一资源定位符的多个部分进行指纹识别并比较所述杂乱信息与以前识别的声誉差的统一资源定位符,来确定所述统一资源定位符的随机化。
18. —种在边缘保护设备上的网络声誉系统,所述网络声誉系统可操作来接收网络通信并向与所述通信相关联的实体分配声誉,所述系统包括通信接口,其可操作来接收网络通信;通信分析器,其可操作来分析所述网络通信以确定与所述网络通信相关联的实体;声誉引擎,其可操作来根据以前收集的与所述实体相关联的数据来提供与所述实体相关联的声誉,以及决策引擎,其可操作来从所述声誉引擎接收声誉指示符,并确定所述网络通信是否被传递到接收者。
19. 如权利要求18所述的系统,其中所述实体的所述声誉基于从所述实体接收的以前的通信,所述以前的通信包括下述项中的一个或更多个电子消息、超文本传输协议通信、即时消息、文件传输协议通信、简单对象访问协议消息、实时传输协议分组、短消息服务通信、或互联网协议语音电话通信。
20. 如权利要求18所述的系统,其中所述决策引擎可操作来在所述通信没有传输到所述接收者的情况下通知与所述超文本传输协议通信相关联的企业网用户。
21. 如权利要求18所述的系统,其中所述声誉引擎根据与所述实体相关联的声誉好的标准和与所述实体相关联的声誉差的标准来确定所述声誉指示符。
22. 如权利要求21所述的系统,其中所述声誉指示符是根据多个不同的标准指示声誉的矢量。
23. 如权利要求22所述的系统,进一步包括检查声誉矢量,以根据所述实体的声誉矢量确定与所述边缘保护设备所保护的企业网相关联的策略是否允许与所述实体的通信。
24. 如权利要求18所述的系统,其中所述声誉引擎是可操作来给多个边缘保护设备提供声誉信息的声誉服务器,并且所述声誉引擎可操作来储存全局声誉指示符,以及在输出所述声誉指示符之前使用局部偏置来偏置所述全局声誉指示符。
25. 如权利要求18所述的系统,进一步包括询问引擎,所述询问引擎可操作来对所述通信执行多个测试并确定与所述网络通信相关联的参数文件。
26. 如权利要求25所述的系统,其中所述决策引擎可操作来根据与所述网络通信相关联的所述参数文件来确定是否转发所述网络通信。
27. 如权利要求26所述的系统,其中所述声誉引擎可操作来使用所述参数文件更新与所述实体相关联的声誉信息。
28. 如权利要求18所述的系统,其中所述声誉包括声誉矢量,所述声誉矢量包括所述实体的多维分类。
29. 如权利要求28所述的系统,其中所述多维分类包括以色情文学类别、新闻类别、计算机类别、安全类别、网络钓鱼类别、间谍软件类别、病毒类别或攻击类别中的两个或更多个进行的消息的分类。
30. 如权利要求28所述的系统,其中所述声誉进一步包括与所述实体的所述多维分类中的每一个相关联的置信度。
31. 如权利要求18所述的系统,进一步包括检测统一资源定位符的随机化。
32. 如权利要求31所述的方法,其中通过产生所述统一资源定位符的杂乱信息并比较所述杂乱信息与以前识别的声誉差的统一资源定位符,来确定所述统一资源定位符的随机化。
33. 如权利要求31所述的方法,其中通过对所述统一资源定位符的多个部分进行指纹识别并比较所述杂乱信息与以前识别的声誉差的统一资源定位符,来确定所述统一资源定位符的随机化。。
34. 具有软件程序代码的一个或更多个计算机可读介质,所述软件程序代码可操作来向与所接收的通信相关联的发送消息的实体分配声誉,所述软件程序代码包括在边缘保护设备处接收超文本传输协议通信;识别与所接收的所述超文本传输协议通信相关联的实体;查询声誉引擎以得到与所述实体相关联的声誉指示符;从所述声誉引擎接收所述声誉指示符;根据与所述实体相关联的所接收的所述声誉指示符,关于所述超文本传输协议通信采取行动。
35. —种声誉系统,所述系统包括集中式声誉引擎,其可操作来从多个局部声誉引擎接收反馈,所述多个局部声誉引擎可操作来根据一个或更多个实体以及分别地相关联的所述局部声誉引擎而确定局部声誉;汇聚引擎,其可操作来根据多个局部声誉的汇聚得到被查询的实体的全局声誉;以及其中所述集中式声誉引擎可操作来响应于从所述局部声誉引擎中的一个或更多个接收声誉查询而向所述局部声誉引擎中的所述一个或更多个提供被查询的实体的全局声誉。
36. 如权利要求35所述的系统,其中所述汇聚引擎可操作来储存与分别的局部声誉引擎相关联的置信值,所述汇聚引擎进一步可操作来使用与所述多个局部声誉中的每一个相关联的所述置信值、通过其分别的局部声誉引擎,来汇聚所述多个局部声誉。
37. 如权利要求36所述的系统,其中所述局部声誉系统是所述集中式声誉系统的子系统,并根据所述局部声誉引擎所接收的通信在局部规模上执行声誉评分,且所述集中式声誉引擎根据所述集中式声誉引擎所接收的通信和从所述局部声誉引擎接收的声誉信息来执行声誉评分。
38. 如权利要求36所述的系统,其中所述局部声誉在所述局部声誉的汇聚之前根据其分别的置信值而被加权。
39. 如权利要求38所述的系统,其中根据从所述多个局部声誉引擎接收的反馈来调节所述置信值。
40. 如权利要求35所述的系统,其中所述局部声誉和全局声誉是识别其所相关联的分别的实体的特征的矢量。
41. 如权利要求40所述的系统,其中所述特征包括下述项中的一个或更多个垃圾邮件特征、网络钓鱼特征、群发邮件特征、病毒源特征、合法通信特征、入侵特征、攻击特征、间 谍软件特征,或地理位置特征。
42. 如权利要求35所述的系统,其中所述局部声誉基于声誉好的标准和声誉差的标准 的汇聚。
43. 如权利要求35所述的系统,其中所述集中式声誉系统可操作来根据发起声誉查询 的所述局部声誉引擎而对所述全局声誉应用局部声誉偏置。
44. 如权利要求43所述的系统,其中所述局部声誉偏置是基于从发起所述声誉查询的 所述局部声誉引擎接收的输入的。
45. 如权利要求43所述的系统,其中所述局部声誉偏置是基于从发起所述声誉查询的 所述局部声誉引擎接收的反馈的。
46. 如权利要求43所述的系统,其中所述局部声誉偏置可操作来根据所述局部声誉偏 置增强声誉的某种标准,同时减少声誉的另一种标准。
47. 如权利要求35所述的系统,其中局部声誉引擎可操作来在将所述全局声誉应用于 从被查询的所述实体接收的通信之前将局部声誉偏置应用于所述全局声誉。
48. 如权利要求35所述的系统,其中关于与所述局部声誉引擎相关联的被保护的企业 网,所述局部声誉引擎响应于接收与外部实体相关联的通信而发起声誉查询。
49. 如权利要求48所述的系统,其中所述局部声誉引擎响应于与不确定的所述外部实 体相关联的局部声誉而发起所述声誉查询。
50. 如权利要求35所述的系统,其中所述集中式声誉引擎进一步可操作来汇聚与所述 多个实体中的一个或更多个相关联的多个身份的声誉。
51. 如权利要求50所述的系统,其中所述集中式声誉引擎进一步可操作来使关联的属 性与不同的身份相关联,以识别所述身份之间的关系,并将与一个实体相关联的声誉的一 部分分配给另一个实体的声誉,其中在实体之间识别关系。
52. —种产生全局声誉的方法,包括以下步骤 从请求的局部声誉引擎接收声誉查询;取回多个局部声誉,所述局部声誉分别与多个局部声誉引擎相关联; 汇聚所述多个局部声誉; 从所述局部声誉的汇聚得到全局声誉;以及 以所述全局声誉响应所述声誉查询。
53. 如权利要求52所述的方法,进一步包括取回与所述局部声誉引擎相关联的置信 值,所述取回步骤使用所述置信值来得出所述全局声誉。
54. 如权利要求53所述的方法,其中所述得出步骤进一步包括使用所述全局声誉的分 别的置信值来对所述全局声誉加权,并合并被加权的声誉以产生所述全局声誉。
55. 如权利要求54所述的方法,进一步包括根据来自所述多个局部声誉引擎的反馈来 调节所述置信值。
56. 如权利要求52所述的方法,其中所述局部声誉和全局声誉是识别其所相关联的分 别的实体的特征的矢量。
57. 如权利要求56所述的方法,其中所述特征包括下述项中的一个或更多个垃圾邮件特征、网络钓鱼特征、群发邮件特征、间谍软件特征,或合法邮件特征。
58. 如权利要求52所述的方法,其中所述局部声誉是基于声誉好的标准和声誉差的标 准的汇聚的。
59. 如权利要求52所述的方法,进一步包括将局部声誉偏置应用于所述局部声誉的汇 聚以产生全局声誉矢量,所述局部声誉偏置是基于所述请求的局部声誉引擎的。
60. 如权利要求59所述的方法,其中所述局部声誉偏置是基于从所述请求的局部声誉 引擎接收的输入的。
61. 如权利要求59所述的方法,其中所述局部声誉偏置是基于从所述请求的局部声誉 引擎接收的反馈的。
62. 如权利要求59所述的方法,进一步包括根据所述局部声誉偏置增强声誉的某种标 准,并且根据所述局部声誉偏置减少声誉的另一种标准。
63. 如权利要求52所述的方法,其中关于与所述请求的局部声誉引擎相关联的被保护 的企业网,所述请求的局部声誉引擎响应于接收与外部实体相关联的通信而发起所述声誉 查询。
64. 如权利要求63所述的方法,其中所述请求的局部声誉引擎响应于与不确定的所述 外部实体相关联的局部声誉而发起所述声誉查询。
65. 如权利要求52所述的方法,其中得到所述全局声誉的所述步骤进一步基于所述多 个局部声誉引擎中的任何一个都不能得到的公共信息和专用信息。
66. 具有软件程序代码的一个或更多个计算机可读介质,所述软件程序代码可操作来 执行汇聚多个局部声誉矢量以产生全局声誉矢量的步骤,所述步骤包括从请求的局部声誉引擎接收声誉查询;取回多个局部声誉,所述局部声誉分别与多个局部声誉引擎相关联; 汇聚所述多个局部声誉; 从所述局部声誉的汇聚得到全局声誉;以及 以所述全局声誉响应声誉查询。
67. —种声誉系统,所述系统包括通信接口 ,其可操作来从中央服务器接收全局声誉信息,所述中央服务器可操作来根 据从一个或更多个局部声誉引擎接收的反馈确定全局声誉,所述全局声誉分别与一个或更 多个实体相关联;声誉引擎,其可操作来根据所定义的局部偏好而偏置从所述中央服务器接收的所述全 局声誉;以及其中所述集中式声誉引擎可操作来响应于从所述通信接口接收声誉查询而向所述通 信接口提供所查询的实体的全局声誉。
68. —种声誉系统,所述系统包括通信接口 ,其可操作来从一个或更多个分布式声誉引擎接收分布的声誉信息,所述分 布式声誉引擎可操作来检查通信并得出与发起所述通信的一个或更多个实体相关联的声 誉;声誉模块,其可操作来汇聚所述分布的声誉信息并根据所述分布的声誉信息的汇聚得 出全局声誉,所述声誉模块进一步可操作来根据所述声誉模块所接收的通信得出局部声誉信息;以及业务量控制模块,其可操作来根据所述全局声誉和所述局部声誉确定与通信相关联的 处理。
69. —种基于声誉的网络安全系统,所述系统包括通信接口 ,其可操作来接收与网络相关联的进入的通信和传出的通信; 通信分析器,其可操作来得到与通信相关联的外部实体;声誉引擎,其可操作来得到与所述外部实体相关联的声誉矢量,所述声誉矢量包括以 多个类别进行的声誉好的和声誉差的标准的汇聚,所述多个类别包括不同类型的通信;安全引擎,其可操作来接收所述声誉矢量并向多个询问引擎中的一个或更多个发送所 述通信,其中所述安全引擎可操作来根据所述声誉矢量确定向所述多个询问引擎中的哪一 个发送所述通信。
70. 如权利要求69所述的系统,其中所述安全引擎可操作来避免向未经授权的无用询 问引擎发送所述通信,其中所述声誉矢量不指示所述外部实体具有参与所述未经授权的询 问弓I擎所识别的活动的声誉。
71. 如权利要求69所述的系统,其中所述一个或更多个询问引擎中的每一个包括所述 询问引擎的多个实例。
72. 如权利要求71所述的系统,其中在选择询问引擎时,所述安全引擎能够选择所述 询问引擎的选定实例,其中所述询问引擎的所述选定实例是根据所述询问引擎的所述选定 实例的能力而被选择的。
73. 如权利要求69所述的系统,其中所述安全引擎可操作来在所述外部实体是声誉好 的实体的情况下将高优先级分配给与所述多个询问引擎相关联的询问队列中的通信,并在 所述外部实体是声誉差的实体的情况下将低优先级分配给所述询问队列中的通信。
74. 如权利要求73所述的系统,其中对声誉好的实体最大化服务质量,而对声誉差的 实体最小化服务质量。
75. 如权利要求69所述的系统,其中所述一个或更多个询问引擎中的每一个包括所述 询问引擎的多个实例,所述询问引擎的所述实例可操作来驻留在边缘保护设备或企业客户 机设备上。
76. 如权利要求69所述的系统,其中所述声誉引擎是可操作来向多个边缘保护设备或 客户机设备提供声誉信息的声誉服务器。
77. —种基于声誉的网络安全系统,所述系统包括通信接口 ,其可操作来接收与网络相关联的进入的和传出的通信; 通信分析器,其可操作来得到与通信相关联的外部实体;声誉引擎,其可操作来得到与所述外部实体相关联的声誉,所述声誉包括与所述外部 实体相关联的声誉好的和声誉差的标准的汇聚;安全引擎,其可操作来给通信分配优先权信息,其中所述安全引擎可操作来接收所述 声誉并在所述外部实体是声誉好的实体的情况下给通信分配高优先权,且在所述外部实体 是声誉差的实体的情况下给通信分配低优先权,由此所述优先权信息被一个或更多个询问 引擎使用来提高声誉好的实体的服务质量。
78. —种计算机实现的方法,其可操作来根据与外部实体相关联的声誉而有效地处理通信,所述方法包括以下步骤根据与所述通信相关联的发源或目的地信息来接收与外部实体相关联的通信; 识别与所接收的所述通信相关联的所述外部实体;根据与所述外部实体相关联的声誉好的和声誉差的标准得出与所述外部实体相关联 的声誉;根据与所述外部实体相关联的所得出的声誉向所述通信分配优先权; 根据分配给所述通信的所述优先权对所述通信执行一个或更多个测试。
79. 如权利要求78所述的方法,进一步包括对于被分配了高优先权的消息最大化服务质量。
80. 如权利要求78所述的方法,其中所得到的所述声誉是声誉矢量,所述声誉矢量以 多个类别传递所述外部实体相关联的声誉。
81. 如权利要求80所述的方法,进一步包括如果与所述通信相关联的所述声誉矢量指 示所述外部实体关于被绕过的测试所测试的标准是声誉好的实体,则绕过所述一个或更多 个测试中的任何一个。
82. 如权利要求78所述的方法,其中所述一个或更多个测试中的每一个包括可操作来 执行所述一个或更多个测试的多个引擎。
83. 如权利要求82所述的方法,其中所述安全引擎可操作来根据所述引擎的能力而均 匀地在多个引擎上分配通信的测试,所述通信包括所接收的通信。
84. 如权利要求78所述的方法,其中所述一个或更多个测试由可操作来执行所述测试 的多个引擎执行,所述引擎可操作来驻留在边缘保护设备或企业客户设备上。
85. 如权利要求78所述的方法,其中所述声誉从声誉服务器取回,所述声誉服务器可 操作来向多个边缘保护设备和客户设备提供声誉信息。
86. 如权利要求78所述的方法,其中所述声誉从局部声誉引擎取回。
87. —种计算机实现的方法,其可操作来根据与外部实体相关联的声誉而有效地处理 通信,所述方法包括根据与所述通信相关联的发源或目的地信息来接收与外部实体相关联的通信; 识别与所接收的超文本传输协议通信相关联的所述外部实体;根据与所述外部实体相关联的声誉好的和声誉差的标准得出与所述外部实体相关联 的声誉;将所述通信分配给从多个询问引擎中选择的一个或更多个询问引擎,所述一个或更多 个询问引擎的选择是基于与所述外部实体相关联的所得出的声誉以及所述询问引擎的能 力的;以及对所述通信执行所述一个或更多个询问引擎。
88. 具有软件程序代码的一个或更多个计算机可读介质,所述软件程序代码可操作来 根据与通信相关联的外部实体的声誉有效地处理所述通信,所述软件程序代码包括根据与所述通信相关联的发源或目的地信息来接收与外部实体相关联的通信; 识别与所接收的超文本传输协议通信相关联的所述外部实体;根据与所述外部实体相关联的声誉好的和声誉差的标准得到与所述外部实体相关联 的声誉;根据与所述外部实体相关联的所得到的声誉将优先权分配给所述通信; 根据分配给所述通信的所述优先权对所述通信执行一个或更多个测试。
89. —种计算机实现的方法,其可操作来根据与外部实体相关联的声誉来处理通信,所 述方法包括根据与所述通信相关联的发源或目的地信息来接收与外部实体相关联的通信; 识别与所接收的所述通信相关联的所述外部实体;根据与所述外部实体相关联的声誉好的和声誉差的标准得出与所述外部实体相关联 的声誉;根据与所述外部实体相关联的所得出的声誉向所述通信分配处理路径。
90. —种用于互联网协议语音电话通信的基于声誉的连接抑制系统,所述系统包括 通信接口 ,其可操作来在外部实体和与所述通信接口相关联的被保护网络之间建立连接之前,接收与所述外部实体相关联的互联网协议语音电话连接请求; 声誉引擎,其可操作来得出与所述外部实体相关联的声誉;以及连接控制引擎,其可操作来根据与所述互联网协议语音电话连接请求相关联的所述外 部实体的所得出的声誉拒绝到所述被保护网络的所述互联网协议语音电话连接请求。
91. 如权利要求90所述的系统,其中所述声誉引擎根据与所述外部实体相关联的声誉好的标准和声誉差的标准的汇聚而得出所述外部实体的声誉。
92. 如权利要求90所述的系统,其中所述连接控制引擎防止声誉差的实体产生与所述 被保护网络的连接。
93. 如权利要求92所述的系统,其中所述声誉差的实体可操作来试图将互联网协议语 音电话通信发送到所述被保护网络,力图对不合法的活动产生与所述被保护网络的前文本 互联网协议语音电话连接并利用所述前文本互联网协议语音电话连接。
94. 如权利要求90所述的系统,其中所述通信接口进一步可操作来接收短消息服务连 接请求,且所述连接控制引擎可操作来根据与发起所述短消息服务连接请求的短消息服务 实体相关联的声誉来拒绝所述短消息服务连接请求。
95. 如权利要求90所述的系统,进一步包括消息询问引擎,所述消息询问引擎可操作 来检查从所述外部实体发起的通信的内容,以确定所述外部实体是否使用互联网协议语音 电话连接。
96. 如权利要求90所述的系统,其中所述声誉引擎是声誉服务器,所述声誉服务器可 操作来从所述连接控制引擎接收声誉查询并给所述连接控制引擎提供所得到的声誉。
97. 如权利要求96所述的系统,其中所述声誉服务器通过汇聚与所述外部实体相关联 的多个局部声誉来得到所述外部实体的所述声誉,所述多个局部声誉由多个局部声誉引擎 提供。
98. 如权利要求90所述的系统,所述连接控制引擎包括策略,所述声誉与所述策略比 较以确定是否允许所述互联网协议语音电话连接请求。
99. 如权利要求98所述的系统,所述策略定义外部实体的一个或更多个类别,到所述 外部实体的互联网协议语音电话请求被允许。
100. 如权利要求90所述的系统,所述连接控制引擎可操作来对于从声誉差的外部实体接收的任何连接降低服务质量,并对于从声誉好的外部实体接收的任何连接最大化服务质量。
101. 如权利要求90所述的方法,进一步包括接收多个同时的连接请求;关联所述同 时的连接请求以确定所述请求包括攻击;以及更新与关联于所述同时的连接请求的一个或 更多个实体相关联的声誉,以便引起所述多个连接请求的抑制。
102. 如权利要求90所述的方法,进一步包括得到与所述外部相关联的声誉,所述声誉 指示所述外部实体的参与拒绝服务攻击的声誉,其中参与拒绝服务攻击的声誉根据来自电 话听筒的输入或策略触发所述连接控制引擎以立即抑制连接。
103. 如权利要求90所述的方法,其中请求到所述被保护网络上的设备的连接,所述设 备包括移动的位置感知设备。
104. —种用于短消息通信的基于声誉的连接抑制系统,所述系统包括通信接口 ,其可操作来在所述外部实体和与所述通信接口相关联的被保护网络之间建 立连接之前,接收与外部实体相关联的短消息服务连接请求;声誉引擎,其可操作来得到与所述外部实体相关联的声誉;以及连接控制引擎,其可操作来根据与所述短消息服务连接请求相关联的得到的所述外部 实体的声誉,拒绝到所述被保护网络的所述短消息服务连接请求。
105. 如权利要求104所述的系统,其中所述声誉引擎根据与所述外部实体相关联的声 誉好的标准和声誉差的标准的汇聚,来得到所述外部实体的所述声誉。
106. 如权利要求105所述的系统,其中所述连接控制引擎防止声誉差的实体产生与所 述被保护网络的连接。
107. 如权利要求106所述的系统,其中所述声誉差的实体可操作来试图将短消息服务 通信发送到所述被保护网络,力图对于不合法的活动产生与所述被保护网络的前文本短消 息服务连接并利用所述前文本短消息服务连接。
108. 如权利要求104所述的系统,进一步包括消息询问引擎,所述消息询问引擎可操 作来检查从所述外部实体发起的通信的内容,以确定所述外部实体是否使用短消息服务连 接。
109. 如权利要求104所述的系统,其中所述声誉引擎是声誉服务器,所述声誉服务器 可操作来从所述连接控制引擎接收声誉查询并给所述连接控制引擎提供所得到的声誉。
110. 如权利要求109所述的系统,其中所述声誉服务器通过汇聚与所述外部实体相关 联的多个局部声誉来得到所述外部实体的声誉,所述多个局部声誉由多个局部声誉引擎提 供。
111. 如权利要求104所述的系统,其中所述连接控制引擎包括策略,所述声誉与所述 策略比较以确定是否允许所述互联网协议语音电话连接请求。
112. 如权利要求111所述的系统,其中所述策略定义外部实体的一个或个多个类别, 到所述外部实体的互联网协议语音电话请求被允许。
113. —种基于声誉的连接抑制的方法,包括以下步骤接收互联网协议语音电话连接请求,所述互联网协议语音电话连接请求与外部实体有关;查询声誉引擎以得到与所述外部实体相关联的声誉; 将所述声誉与相关联于被保护的企业网的策略进行比较;根据确定与所述互联网协议语音电话连接请求有关的所述外部实体的所述声誉遵守 所述策略,来允许所述连接请求。根据确定与所述互联网协议语音电话连接请求有关的所述外部实体的所述声誉不遵 守所述策略,来抑制所述连接请求。
114. 一种基于声誉的连接抑制的方法,包括以下步骤接收连接请求,所述连接请求请求外部实体和被保护的企业网之间的连接; 查询声誉引擎以得到与所述外部实体相关联的声誉,所述声誉包括与所述外部实体相关联的声誉好的和声誉差的标准的汇聚;将所述声誉与相关联于所述被保护的企业网的策略进行比较;根据确定与所述互联网协议语音电话连接请求有关的所述外部实体的所述声誉遵守 所述策略,来允许所述连接请求。根据确定与所述互联网协议语音电话连接请求有关的所述外部实体的所述声誉不遵 守所述策略,来抑制所述连接请求。
115. —种基于声誉的防火墙,包括防火墙,其可操作来接收被送往被保护网络的数据分组并根据与所述被保护网络相关 联的安全策略来确定所述数据分组的处理,所述安全策略包括基于与所述数据分组相关联 的外部实体的声誉的至少一个规则;声誉引擎,其可操作来确定与所述数据分组相关联的所述外部实体,并根据所述外部 实体的确定向所述防火墙提供声誉;以及其中处理步骤包括允许所述数据分组进入到所述被保护网络或拒绝所述数据分组进 入到所述被保护网络。
116. —种系统,包括安全控制接口 ,其可操作来产生多个安全控制表示,所述多个安全控制表示中的每一 个可操作来控制与被保护实体相关联的多个安全设置;以及策略控制接口 ,其可操作来产生多个策略控制表示,所述多个策略控制表示中的每一 个可操作来控制与被保护实体相关联的多个策略设置;过滤模块,其可操作来根据所述多个安全设置并根据所述多个策略设置来过滤一个或 更多个通信流。
117. 如权利要求116所述的系统,其中所述安全控制表示包括在多个安全类别中的多 个安全滑块表示,所述安全滑块表示可操作来控制与所述被保护网络相关联的所述安全设置。
118. 如权利要求117所述的系统,其中所述多个安全类别包括病毒类别、网络钓鱼类 别、蠕虫类别或特洛伊木马类别中的两个或更多个。
119. 如权利要求118所述的系统,其中所述多个安全控制表示每一个都可操作来对于 所述安全设置中相关联的一个安全设置调节阈灵敏度。
120. 如权利要求119所述的系统,其中所述阈灵敏度包括通信流特征和与所述安全类 别相关联的特征之间的相似性水平。
121. 如权利要求117所述的系统,其中所述策略控制表示包括在多个策略类别中的多 个策略滑块表示,所述策略滑块表示可操作来控制与所述被保护网络相关联的所述策略设置。
122. 如权利要求121所述的系统,其中所述多个策略类别包括垃圾邮件类别、内容类 别、间谍软件类别或群发邮件类别中的两个或更多个。
123. 如权利要求122所述的系统,其中所述多个策略控制表示每一个都可操作来对于 所述策略设置中相关联的一个策略设置调节阈灵敏度。
124. 如权利要求123所述的系统,其中所述阈灵敏度包括通信流特征和与所述策略类 别相关联的特征之间的相似性水平。
125. 如权利要求116所述的系统,其中所述被保护实体是计算设备、通信设备、移动设 备,或网络中之一。
126. 如权利要求116所述的系统,其中所述安全控制接口和所述策略控制接口由管理 员控制。
127. 如权利要求41所述的系统,其中所述安全控制接口和所述策略控制接口由终端 用户控制。
128. 如权利要求127所述的系统,其中所述安全控制接口包括与所述多个安全控制表 示相关联的多个范围,所述安全控制设置可操作来在所述范围内被调节。
129. —种计算机实现的方法,包括 从管理员接收多个范围;向用户提供安全控制接口 ,所述安全控制接口包括与安全控制相关联的多个安全控制 表示,每个安全控制机制包括来自所述多个范围中的相关联的范围,所述相关联的范围限 定与分别的安全控制相关联的最小设置和最大设置;通过所述安全控制接口从所述用户接收多个安全控制设置;调节与从所述用户接收的多个控制设置有关的多个阈值,所述多个阈值与可能的违反 安全的类别的容忍度相关联;以及根据所述多个阈值过滤来自与所述用户相关联的被保护实体的通信流。
130. 如权利要求129所述的系统,其中所述安全控制表示包括在多个安全类别中的多 个安全滑块表示,所述安全滑块表示可操作来控制与所述被保护网络相关联的所述安全设 置。
131. 如权利要求130所述的系统,其中所述多个安全类别包括病毒类别、网络钓鱼类 别、蠕虫类别、特洛伊木马类别、垃圾邮件类别、内容类别、间谍软件类别或群发邮件类别中 的两个或更多个。
132. 如权利要求131所述的系统,其中所述多个安全控制表示每一个都可操作来对于 所述安全设置中相关联的一个安全设置调节阈灵敏度。
133. 如权利要求132所述的系统,其中所述阈灵敏度包括通信流特征和与所述安全类 别相关联的特征之间的相似性水平。
134. 如权利要求129所述的系统,其中所述被保护实体是计算设备、通信设备、移动设 备或网络中之一。
135. 具有软件程序代码的一个或更多个计算机可读介质,所述软件程序代码可操作来 实现对进入和传出的通信流的过滤调节,所述软件程序代码包括从管理员接收多个范围;向用户提供安全控制接口 ,所述安全控制接口包括与多个安全控制设置相关联的多个 安全控制表示,每个安全控制机制包括来自所述多个范围中的相关联的范围,所述相关联 的范围限定与分别的安全控制相关联的最小设置和最大设置;通过所述安全控制接口从所述用户接收输入,所述输入要求所述多个安全控制设置的 调节;调节与从所述用户接收的多个控制设置有关的多个阈值,所述多个阈值与可能的违反 安全的类别的容忍度相关联;以及根据所述多个阈值过滤来自与所述用户相关联的被保护实体的通信流。
全文摘要
用于在一个或更多个数据处理器上进行操作的方法和系统,其用于根据以前收集的数据给基于网络的实体分配声誉。
文档编号G06F17/30GK101730892SQ200880009672
公开日2010年6月9日 申请日期2008年1月24日 优先权日2007年1月24日
发明者A·J·N·特里维迪, A·M·埃尔南德斯, D·阿尔佩罗维奇, J·A·齐齐亚斯基, L·L·维利斯, M·施特赫尔, P·A·施内克, P·朱格, P·格里夫, S·克拉泽, T·富特-伦诺瓦, T·朗格, W·杨, Y·唐 申请人:迈可菲公司