即时的电子邮件内嵌URL的信誉确定的制作方法

本公开大致涉及恶意软件检测领域。更具体而言，但不以限制的方式，其涉及采用信誉来确定是否允许遍历电子邮件中内嵌超链接的技术。

背景技术：

反恶意软件系统已经提供了电子邮件网关(emailgateway)以在传送至电子邮件客户端之前进行电子邮件检查，网络网关(webgateway)在允许遍历(traversal)超链接之前进行统一资源定位符(url)检查。这样的检查常常会考虑电子邮件或url的信誉。信誉是基于从全球来源收集到的信息用于确定电子邮件或url有效性的一个概念。电子邮件或url的信誉不是固定的，是可以基于从全球来源收集到的数据随时间变化的。在当前反恶意软件系统中存在一个弱点，即可能使网络钓鱼电子邮件或其他不需要的电子邮件通过传送至收件人，因为用以确定电子邮件信誉的电子邮件网关所使用的服务器对于特定主机或内容还不具有足够的了解。然后电子邮件收件人可能会点击消息中的超链接，但超链接本身并不具有与其相关联的足够的信誉信息以防止遍历该超链接。

附图说明

图1是图示了根据一个实施例的一种执行即时(just-in-time)电子邮件内嵌url信誉确定的系统的框图。

图2是图示了根据另一个实施例的一种执行即时电子邮件内嵌url信誉确定的系统的框图。

图3是图示了根据再另一个实施例的一种执行即时电子邮件内嵌url信誉确定的系统的框图。

图4是图示了根据一个实施例的一种执行即时电子邮件内嵌url信誉确定的技术的一部分的流程图。

图5是图示了根据一个实施例的一种执行即时电子邮件内嵌url信誉确定的技术的一部分的流程图。

图6是图示了根据一个实施例的一种执行基于即时电子邮件内嵌url信誉确定的自适应内容过滤技术的流程图。

图7是图示了根据一个实施例的一种用于本文中所描述技术的计算设备的框图。

具体实施方式

在以下描述中，出于解释的目的，许多具体细节被公开以提供本发明的透彻理解。然而，对于本领域的技术人员而言，本发明显然无需这些具体细节亦可实施。在另一些实例中，结构和设备以框图的形式被示出，以避免模糊本发明。对于无脚注或后缀的数字的引用应理解为对于对应引用数字的所有脚注和后缀实例的引用。另外，本公开中所使用的语言主要出于可读性和指导性的目的进行选择的，并且可能未以描绘或限制本发明主题，诉诸于对于确定该发明主题必要的权利要求而进行选择。说明书中引用的“一个实施例(oneembodiment)”或“一实施例(anembodiment)”表示所描述的与实施例相关的特定特征、结构、或特性被包括于本发明的至少一个实施例中，而多次引用“一个实施例(oneembodiment)”或“一实施例(anembodiment)”不应被理解为所有都必定是指相同的实施例。

如本文所使用的，术语“计算机系统(acomputersystem)”可以指单一个计算机或一起工作以执行所描述的在计算机系统上或由计算机系统所执行的功能的多个计算机。

如本文所使用的，术语“超链接(hyperlink)”是指可被用以访问资源的信息，所述资源可以是远程资源，例如网站，或本地资源，例如文件系统中的文件或当前文档中的位置。超链接包括标识将要访问资源的资源定位符。尽管在此通常被描述为统一资源定位符(url)，资源定位符可以是对于标识资源有用的任何信息，包括由资源向访问请求所应用的参数或选项。如本文所使用的，遍历(traverse)超链接或遍历资源定位符是指一尝试(attempt)，其通过发送包含url的网络请求至采用诸如超文本传输协议(http)或超文本传输协议文本(https)的协议的网络服务器，允许网络服务器基于url中的信息响应网络请求，以此来访问由在超链接中指定url所指向的资源。

以下详细描述的各种实施例允许额外的背景(context)与电子邮件中包含的超链接相关联，以允许在尝试遍历超链接时确定电子邮件的信誉。由于遍历有时发生在电子邮件的原始扫描之后，原始扫描和用户尝试遍历超链接之间的时间延迟可提供时间使电子邮件网关或本文描述的系统的其他部分得以更多地了解电子邮件，并且由此给出一个更准确的信誉确定。

通过将信息编码至电子邮件中的url中，编码信息可被提取并被用于请求原始电子邮件的当前信誉且合并该信誉和在遍历时关于url所做的任何判断。因此，这允许采用内嵌信息来实时地检查即时信誉。

图1是图示了一种执行即时电子邮件内嵌url信誉确定的系统100实施例的框图。电子邮件网关110采用客户端130接收寄给收件人的电子邮件。电子邮件网关110可采用本领域已知的任何所期望的技术进行接收。电子邮件网关110可在电子邮件上执行信誉检查，在本示例中，是采用信誉服务器120的服务来执行信誉检查。

为了进行该初始电子邮件信誉检查，电子邮件网关110可在收到电子邮件时提取充足的信息来进行电子邮件信誉确定，例如数据签名、报头(header)数据、以及信封(envelope)数据。信息可包括电子邮件本身，或电子邮件的部分。信息也可包括关于电子邮件通过其被接收的连接的信息，例如发送电子邮件服务器的ip地址。

尽管在图1中被图示为在云端(intheclound)提供服务的单一信誉服务器120，但信誉服务器120可以是本地信誉服务器，其可进而访问一个或多个其他信誉服务器的服务，包括诸如由mcafee公司的全球威胁智能(globalthreatintelligence)系统所提供全球信誉服务器。信誉信息可以任何期望的形式被提供至电子邮件网关110，采用任何期望的协议来进行信誉信息通信。在一个示例中，信誉得分可由信誉服务器120提供。如在图1中所示，信誉服务器120被置于云端150中，且可在任何地方从电子邮件网关110访问。

一旦从信誉服务器120接收信誉信息，电子邮件网关110可选择将电子邮件递送至客户端130、阻止电子邮件递送、或采取任何其他期望的操作。如果电子邮件要被递送至客户端130，电子邮件网关110可进一步分析电子邮件的内容以确定电子邮件是否包含超链接。如果有超链接被检测到，电子邮件网关将修改超链接的资源定位符以包括标识电子邮件消息的信息。标识信息通常包括消息标识符，例如包含于电子邮件的消息id报头中的部分，但可以是足以允许之后确定url是最初被内嵌于电子邮件中的，并且唯一地标识电子邮件的任何信息。标识信息在遍历超链接时被插入至超链接中以供以后使用。url仍然可用作资源定位符，从而使得用户可点击包含url的超链接从而以通常的方式遍历该超链接。在超链接具有相关联的超链接文本数据的情况下，对于url的修改可能无法立即在电子邮件中可见。

其他信息可按需要被编码至url中，例如与电子邮件相关联的环境信息。例如，验证信息可被编码至url中以允许网络网关或获得url的系统100的其他部分来确定编码是由电子邮件网关110所产生的。另外，被插入至url的编码信息可被加密，以防止对标识信息的未授权的解码，以允许检测对编码信息未授权的插入或修改。

电子邮件网关也可产生对应于电子邮件的元信息，将元信息储存在本地或远程数据库中，由消息标识符键控(keyed)。当在遍历超链接时确定电子邮件的信誉时，元信息被保存以供以后使用。元信息可包括一个或多个数据签名，例如电子邮件的哈希值、电子邮件的报头数据、和电子邮件的信封数据。其他元信息可按需要被保存，包括整个原始电子邮件和所有连接/协议信息。

在修改电子邮件中的url之后，电子邮件网关可采用任何期望的电子邮件递送技术将电子邮件递送至收件人的邮箱中(在图1中，客户端130的用户)。递送可涉及将电子邮件递送至在邮件服务器中的邮箱，其随后通过客户端130上的客户端软件进行访问。然而，如有需要，递送也可涉及将电子邮件递送至客户端130。晚些时候，当客户端130的用户例如通过点击电子邮件中的超链接而试图遍历超链接时，电子邮件软件通过发送url请求发起遍历。遍历尝试可被网络网关140拦截，网络网关140通常作为客户端130的代理服务器。

一旦从客户端130接收url信息，网络网关140可分析url并确定url最初作为超链接被内嵌于电子邮件中。网络网关140可采用任何期望的技术来选择是否允许遍历超链接，包括从信誉服务器，例如信誉服务器120，请求信誉信息。如果url未被内嵌于电子邮件中，那么网络网关140可基于该决定按需要进行动作。在url被内嵌于电子邮件中的情况下，url的信誉检查可被延迟，如下文所述。

然而，如果url被确定已被内嵌于电子邮件中，网络网关140也可采用任何期望的通信技术，将从url中提取的标识信息传递至电子邮件网关110。电子邮件网关110然后可复查电子邮件本身的信誉，如之前一样从信誉服务器120获取信誉信息，但现在会获得可能被更新的信誉信息，其在电子邮件消息的原始分析和超链接遍历尝试之间的过渡期间产生。

在电子邮件网关在其初始的电子邮件处理过程中储存关于电子邮件的元信息的情况下，该元信息可基于由网络网关140提供的标识信息而被提取，并被用以获得电子邮件当前信誉。

该更新的电子邮件信誉信息然后可被提供至网络网关140，允许网络网关140使用url的当前信誉和url被内嵌于其中的电子邮件的当前信誉来决定是否允许遍历超链接。电子邮件信誉信息可被请求并在获得url本身的信誉信息之前、之后、或同时被获得。

其结果是，网络网关140能够不仅仅基于url的信誉，而是该url的超链接内嵌所在的电子邮件的当前信誉，来采取任何需要的动作，包括对url更严格的审查(greaterscrutiny)、阻止url、或重定向遍历至备用站点。

如果url被允许通过网络网关，网关也可对从网络服务器被返回并再次遍历网络网关的数据应用不同的过滤策略。取决于url请求是否被包含在电子邮件和该电子邮件的信誉中，具有不同设置的不同内容过滤器组可被应用。例如，如果电子邮件的信誉指出电子邮件是垃圾邮件信息，启发式的反恶意软件扫描器可进入其最高检测模式。

图1的系统是示例性的且仅作为示例，并且可采用图1中所阐述的系统的变型。例如，电子邮件网关110可提供其本身的信誉服务功能，而非使用信誉服务器120的服务。在这样的系统中，一旦为电子邮件信誉确定提取充足的信息，电子邮件网关110可在数据库中记录从电子邮件提取的信息(未被示于图1中)，由被插入至url中的标识信息进行键控。一旦接收从网络网关140的通信，电子邮件网关110不查询信誉服务器120，而是可用消息标识符作为查询数据库的密钥，允许电子邮件网关110从数据库中的信息产生信誉信息。

即使是电子邮件网关110采用远程信誉服务器120的服务，电子邮件网关110可在数据库中储存关于电子邮件的信息，其随后可在从网络网关140接收请求时被传递至信誉服务器120。

图2是图示了即时电子邮件和url信誉确定的系统200(其为前述系统的变型)的另一个实施例的框图。在示于图2的系统中，电子邮件网关110不是储存关于电子邮件消息的信息以便以后在超链接遍历时为确定电子邮件的信誉而检索和使用，而是电子邮件网关110可在电子邮件自身中传输该信息，例如通过进一步的url修改，或如虚线所指，将该信息传输至网络网关140，网络网关140可储存该信息以在从信誉服务器120请求信誉信息时使用。在这样的变型中，网络网关140不需要具备从电子邮件网关110请求信誉信息的能力。如果网络网关140保存了关于由电子邮件网关110所处理的电子邮件的信息的数据库(未示出)，它可使用该信息来执行其自身信誉确定，而非查询信誉服务器120。另外，网络网关140可从数据库获得信息，并用它查询信誉服务器120以获得电子邮件的当前信誉。如之前一样，网络网关140随后可用url和电子邮件二者的当前信誉来确定响应于超链接的遍历要采取什么动作。

图3是图示了即时电子邮件和url信誉确定的系统300(其为前述系统的变型)的再另一个实施例的框图。在该变型中，电子邮件网关110可用指向url缩短(shortening)服务360的替代url替换超链接中的url。url缩短服务360是重定向服务器，从而使电子邮件在被电子邮件网关110接收时，遍历替代url引起重定向遍历内嵌于电子邮件的原始url的目的地(destination)。尽管被称为缩短服务，因为替代url通常被编码为短的url(例如，http://macaf.ee/x4q53fly)；然而，替代url可以是任意期望的长度，包括比原始url更长，并且可包括根据需要的url查询参数。

电子邮件网关110还将关于原始url的信息和充足的信息(例如以上所描述的信息)提供至缩短服务360以允许缩短服务360重定向原始url位置的遍历以及执行信誉检查，其中通过查询信誉信息的本地数据库，或通过从信誉服务器120为电子邮件和url之一或两者查询信誉信息而执行信誉检查。在这样的系统中，缩短服务通常保持由电子邮件网关110提供至其的信息的数据库。电子邮件网关通常将url提供给缩短服务360，缩短服务360会返回缩短了的url至电子邮件网关110，电子邮件网关110用缩短了的url替换原始url。缩短服务360在数据库中保持原始和缩短url之间的联系，允许其重定向遍历至最初所期望的目的地。从电子邮件网关110收到的用于确定电子邮件信誉的其他信息也可被储存在数据库中。如先前所述的实施例，图3中的系统可基于url或其内嵌所在的电子邮件的信誉，允许或禁止遍历超链接，或执行任何其他所期望的动作。

当与缩短服务360通信时，电子邮件网关110也可传输任何期望的策略信息，例如指示缩短服务360采取何种动作的信息、关于任何错误/警告消息定制(包括应用标记(branding))的信息、以及关于是否允许用户看见原始url的信息。

尽管在图1-3中被图示为单一计算机，其中所示系统的每个元素可采用多计算机实现，其中的任意项可使用一个或多个处理器。

图4-6是图示了根据一个实施例的一种即时电子邮件内嵌url信誉确定技术的各部分的流程图。图4示出了当电子邮件被收到时所执行的部分。图5示出了当包含该url的超链接被遍历时所执行的部分。图6示出了当作为遍历的结果接收到内容时所执行的部分。

在方框410中，电子邮件通过电子邮件网关110被接收。在方框420中，采用任意期望的用于建立电子邮件信誉的技术(例如查询本地数据库或远程信誉服务器，诸如信誉服务器120)对电子邮件的信誉进行检查。

在方框430中，如果电子邮件的信誉表明电子邮件不应该被递送至客户端130，电子邮件网关110可拒绝该电子邮件。附加于或替代于拒绝电子邮件，可在此时基于电子邮件的信誉采取任何其他期望的动作。

在方框440中，电子邮件由电子邮件网关110进行分析以确定它是否包含任何超链接。在方框480中，如果在电子邮件中不存在超链接，那么电子邮件可被简单地发送至客户端130。如果在电子邮件中发现超链接，那么在方框450中，消息标识符可被产生以唯一地标识电子邮件。在方框460中，可在递送电子邮件至客户端130(在方框480中)之前，将消息标识符编码至包含于超链接的url中。

在一些实现中，为防止恶意的或无意的url修改以致错误地标识电子邮件，编码可包含校验和或其他类型的安全编码以允许网络网关140或分析url的的任何其他系统元素确定修改已被作出。任何期望的技术可被用以对消息标识符安全地进行编码。

在方框470中，电子邮件网关110可储存信息以供以后用于在遍历超链接时确定电子邮件的信誉。如以上所描述的，该信息可被储存在本地数据库或被远程存储。另外，如以上所描述的，信誉信息可被直接编码进url本身之中。

这样，当在方框480中电子邮件被发送至客户端时，url包含充足的信息以允许网络网关140或其他系统元素，除在接收电子邮件时检查信誉之外，在遍历超链接时标识并检查在其中内嵌url的电子邮件的信誉。一些实现可在接收电子邮件时取消方框420-430中的信誉检查，将信誉检查延迟直至发生遍历超链接。

尽管图4示出了仅处理单一超链接，方框440-460可根据需要重复多次以处理所有位于电子邮件中的超链接。

如以上所描述的，替代于修改在电子邮件中最初接收到的url，url可被诸如由url缩短服务360所提供的指向重定向服务器的替代url所替换。

图5示出了在遍历时的url处理。在以下的讨论中，技术是根据图1中的系统进行描述的，但图2-3中系统的实现将执行相似的步骤。在方框510中，网络网关140接收超链接遍历请求，超链接遍历请求通常为对超链接的url中指定位置作出文本传输协议(http)连接或超文本传输协议安全(https)连接的请求。在方框520中，网络网关140可扫描url并执行安全检查，例如从信誉服务器120请求url的信誉。附加于或作为信誉检查的替代，任何其他期望类型的安全检查可在此时被执行。在方框530中，如果安全检查的结果表明遍历应该被拒绝，那么请求可被拒绝。替代地，可由网络网关140返回其他结果，包括发送消息或对于作出请求的客户端130的其他响应，其可导致显示关于url或安全检查结果的信息。

如果遍历是可被允许的，那么在方框540中，网络网关通过查找由电子邮件网关添加的编码信息，确定超链接是否被内嵌于电子邮件中。如果超链接未被内嵌于电子邮件中，那么在方框580中，常规的遍历超链接可被执行。然而，如果从电子邮件中的超链接中获得url，那么在方框550中，编码的信息被检验且电子邮件的标识被确定，例如通过从url中提取消息标识符。然后，在方框560中，电子邮件的当前信誉可通过查询本地数据库或信誉服务器120被确定。如在图1中所示，该查询可如下执行：网络网关140请求电子邮件网关110执行信誉检查，将消息标识符或其他电子邮件标识信息传送给电子邮件网关110，允许电子邮件网关110获得用以从信誉服务器120请求电子邮件信誉的必要的信誉信息数据。一旦信誉被电子邮件网关110所获得，在这样的系统中，信誉被返回至网络网关140以作分析。

网络网关140，在已经接收或确定在其中内嵌有超链接的电子邮件的当前信誉(该当前信誉在电子邮件的原始信誉被电子邮件网关110所考虑后可能已改变过)情况下，在方框570中确定是否拒绝遍历超链接。如果遍历未被拒绝，那么在方框580中网络网关可重定向遍历请求至由url所指的超链接的目的地。在一些实施例中，在url中由电子邮件网关所编码的信息可被移除，在将url放在http或https请求中传送至目的地之前，将url返回至其原始状态，以保证遍历的完整性。

图6是图示了在从超链接的目的地接收内容时由网络网关140执行的技术的部分。在方框610中，内容信息被接收。在方框620中，如果遍历源自电子邮件，那么在方框630中，内容可适应性地被过滤，基于电子邮件的当前信誉而修改过滤。在一些实现中，网络网关140可在此时再获得电子邮件的信誉。过滤也可基于url的当前信誉来修改(adapted)。在方框640中，发送接收到的数据。

在图4-6的流程图中执行步骤的顺序是示例性的且仅作为示例，并且其他的步骤和步骤的顺序可被采用。例如，尽管以上所描述的，在检查电子邮件信誉之前检查url信誉，网络网关140可首先执行即时电子邮件信誉检查，允许关于电子邮件的信息被用于url的信誉检查。此外，尽管是以信誉检查被描述，如图4的讨论中所指出的，任何所需形式的安全检查可被执行，以替代或附加于信誉检查。

现参考图7，用以提供电子邮件网关110、客户端130、网络网关140、信誉服务器120、以及缩短服务360的示例计算机700以框图的形式被示出。示例计算机700包括可选择性地被连接至输入设备或系统760(例如，键盘、鼠标、触摸屏等)和显示770的系统单元710。程序储存设备(psd)780(有时是指硬盘)被包括于系统单元710。用以通过网络与其他计算及合作基础设备(未示出)进行通信的网络接口740也被包括于系统单元710。网络接口740可被包括于系统单元710之中，或在系统单元710的外部。任一情况下，系统单元710被通信地耦接至网络接口740。程序储存设备780代表任意形式的非易失性存储，包括但不限于，光学的以及磁力的所有形式，包括固态的、储存元件，包括可移动介质，并且可被包括于系统单元710之中或在系统单元710的外部。程序储存设备780可被用于储存控制系统单元710的软件、为计算机700所用的数据、或其两者。

系统单元710可被编程以执行依照本公开(图4-5中的示例)的方法。系统单元710包括处理器单元(pu)720、输入-输出(i/o)接口750以及存储器730。处理单元720可包括任何可编程控制器设备，包括一个或多个在计算机中常用的处理器系列中的成员，包括多核处理器。存储器730可包括一个或多个存储器模块，且包括随机访问存储器(ram)、只读存储器(rom)、科编程只读存储器(prom)、可编程读写存储器、和固态存储器。本领域的普通技术人员还将认识到，pu720也可包括一些内部存储器，包括，举例而言，缓存存储器。

应当理解的是，以上的描述旨在是说明性的，而不是限制性。例如，上述的实施例可用于彼此组合。对于本领域的技术人员而言，在阅读以上描述之后，许多其他的实施例将是显而易见的。因此，本发明的范围应参照所附的权利要求及其等效的全部范围而确定。