即时的,电子邮件内嵌url的信誉确定的制作方法
【专利说明】即时的,电子邮件内嵌URL的信誉确定
[0001]置量
[0002]本公开大致涉及恶意软件检测领域。更具体而言,但不以限制的方式,其涉及采用信誉来确定是否允许遍历电子邮件中内嵌超链接的技术。
[0003]反恶意软件系统已经提供了电子邮件网关(email gateway)以在传送至电子邮件客户端之前进行电子邮件检查,网络网关(web gateway)在允许遍历(traversal)超链接之前进行统一资源定位符(URL)检查。这样的检查常常会考虑电子邮件或URL的信誉。信誉是基于从全球来源收集到的信息用于确定电子邮件或URL有效性的一个概念。电子邮件或URL的信誉不是固定的,是可以基于从全球来源收集到的数据随时间变化的。在当前反恶意软件系统中存在一个弱点,即可能使网络钓鱼电子邮件或其他不需要的电子邮件通过传送至收件人,因为用以确定电子邮件信誉的电子邮件网关所使用的服务器对于特定主机或内容还不具有足够的了解。然后电子邮件收件人可能会点击消息中的超链接,但超链接本身并不具有与其相关联的足够的信誉信息以防止遍历该超链接。
[0004]附图简要说明
[0005]图1是图示了根据一个实施例的一种执行即时(just-1n-time)电子邮件内嵌URL信誉确定的系统的框图。
[0006]图2是图示了根据另一个实施例的一种执行即时电子邮件内嵌URL信誉确定的系统的框图。
[0007]图3是图示了根据再另一个实施例的一种执行即时电子邮件内嵌URL信誉确定的系统的框图。
[0008]图4是图示了根据一个实施例的一种执行即时电子邮件内嵌URL信誉确定的技术的一部分的流程图。
[0009]图5是图示了根据一个实施例的一种执行即时电子邮件内嵌URL信誉确定的技术的一部分的流程图。
[0010]图6是图示了根据一个实施例的一种执行基于即时电子邮件内嵌URL信誉确定的自适应内容过滤技术的流程图。
[0011]图7是图示了根据一个实施例的一种用于本文中所描述技术的计算设备的框图。
[0012]详细说曰月
[0013]在以下描述中,出于解释的目的,许多具体细节被公开以提供本发明的透彻理解。然而,对于本领域的技术人员而言,本发明显然无需这些具体细节亦可实施。在另一些实例中,结构和设备以框图的形式被示出,以避免模糊本发明。对于无脚注或后缀的数字的引用应理解为对于对应引用数字的所有脚注和后缀实例的引用。另外,本公开中所使用的语言主要出于可读性和指导性的目的进行选择的,并且可能未以描绘或限制本发明主题,诉诸于对于确定该发明主题必要的权利要求而进行选择。说明书中引用的“一个实施例(one embodiment) ”或“一实施例(an embodiment) ”表示所描述的与实施例相关的特定特征、结构、或特性被包括于本发明的至少一个实施例中,而多次引用“一个实施例(oneembodiment) ”或“一实施例(an embodiment) ”不应被理解为所有都必定是指相同的实施例。
[0014]如本文所使用的,术语“计算机系统(a computer system) ”可以指单一个计算机或一起工作以执行所描述的在计算机系统上或由计算机系统所执行的功能的多个计算机。
[0015]如本文所使用的,术语“超链接(hyperlink)”是指可被用以访问资源的信息,所述资源可以是远程资源,例如网站,或本地资源,例如文件系统中的文件或当前文档中的位置。超链接包括标识将要访问资源的资源定位符。尽管在此通常被描述为统一资源定位符(URL),资源定位符可以是对于标识资源有用的任何信息,包括由资源向访问请求所应用的参数或选项。如本文所使用的,遍历(traverse)超链接或遍历资源定位符是指一尝试(attempt),其通过发送包含URL的网络请求至采用诸如超文本传输协议(HTTP)或超文本传输协议文本(HTTPS)的协议的网络服务器,允许网络服务器基于URL中的信息响应网络请求,以此来访问由在超链接中指定URL所指向的资源。
[0016]以下详细描述的各种实施例允许额外的背景(context)与电子邮件中包含的超链接相关联,以允许在尝试遍历超链接时确定电子邮件的信誉。由于遍历有时发生在电子邮件的原始扫描之后,原始扫描和用户尝试遍历超链接之间的时间延迟可提供时间使电子邮件网关或本文描述的系统的其他部分得以更多地了解电子邮件,并且由此给出一个更准确的信誉确定。
[0017]通过将信息编码至电子邮件中的URL中,编码信息可被提取并被用于请求原始电子邮件的当前信誉且合并该信誉和在遍历时关于URL所做的任何判断。因此,这允许采用内嵌信息来实时地检查即时信誉。
[0018]图1是图示了一种执行即时电子邮件内嵌URL信誉确定的系统100实施例的框图。电子邮件网关110采用客户端130接收寄给收件人的电子邮件。电子邮件网关110可采用本领域已知的任何所期望的技术进行接收。电子邮件网关110可在电子邮件上执行信誉检查,在本示例中,是采用信誉服务器120的服务来执行信誉检查。
[0019]为了进行该初始电子邮件信誉检查,电子邮件网关110可在收到电子邮件时提取充足的信息来进行电子邮件信誉确定,例如数据签名、报头(header)数据、以及信封(envelope)数据。信息可包括电子邮件本身,或电子邮件的部分。信息也可包括关于电子由P件通过其被接收的连接的信息,例如发送电子邮件服务器的IP地址。
[0020]尽管在图1中被图示为在云端(in the clound)提供服务的单一信誉服务器120,但信誉服务器120可以是本地信誉服务器,其可进而访问一个或多个其他信誉服务器的服务,包括诸如由McAfee公司的全球威胁智能(Global Threat Intelligence)系统所提供全球信誉服务器。信誉信息可以任何期望的形式被提供至电子邮件网关110,采用任何期望的协议来进行信誉信息通信。在一个示例中,信誉得分可由信誉服务器120提供。如在图1中所示,信誉服务器120被置于云端150中,且可在任何地方从电子邮件网关110访问。
[0021]一旦从信誉服务器120接收信誉信息,电子邮件网关110可选择将电子邮件递送至客户端130、阻止电子邮件递送、或采取任何其他期望的操作。如果电子邮件要被递送至客户端130,电子邮件网关110可进一步分析电子邮件的内容以确定电子邮件是否包含超链接。如果有超链接被检测到,电子邮件网关将修改超链接的资源定位符以包括标识电子由P件消息的信息。标识信息通常包括消息标识符,例如包含于电子邮件的消息ID报头中的部分,但可以是足以允许之后确定URL是最初被内嵌于电子邮件中的,并且唯一地标识电子邮件的任何信息。标识信息在遍历超链接时被插入至超链接中以供以后使用。URL仍然可用作资源定位符,从而使得用户可点击包含URL的超链接从而以通常的方式遍历该超链接。在超链接具有相关联的超链接文本数据的情况下,对于URL的修改可能无法立即在电子邮件中可见。
[0022]其他信息可按需要被编码至URL中,例如与电子邮件相关联的环境信息。例如,验证信息可被编码至URL中以允许网络网关或获得URL的系统100的其他部分来确定编码是由电子元件网关110所产生的。另外,被插入至URL的编码信息可被加密,以防止对标识信息的未授权的解码,以允许检测对编码信息未授权的插入或修改。
[0023]电子邮件网关也可产生对应于电子邮件的元信息,将元信息储存在本地或远程数据库中,由消息标识符键控(keye