经认证的通信者数据库的制作方法

专利名称：经认证的通信者数据库的制作方法
技术领域：
本主题公开一般地涉及电子通信并且更具体地涉及认证发送者以保证
关于各种框架(modality)的电子通信和信息传送。
背景技术：
企业采用许多协议用于内部和/或外部通信和信息传送，以确保可靠 性、安全性以及与特定策略的兼容性。例如，内部和/或外部通信和信息传 送可包括，但不限于即时消息(IM)、电子邮件(email)、网际协议 (IP)电话、web邮件、web浏览、经由两个或多个计算机的网络(或可 连接网络、基于处理器的设备)的文本消息、等等。这些电子通信媒体因 为提供了比传统技术和/或完全不同的非电子通信更少侵入的、便宜、容 易、点到点的通信而流行。存在许多其它好处，例如，IM是容易支持一 到多的通信的电子通信。此外，除了其他方面以外，不必使参与者同步并 且可以更加容易地规划内容。遗憾的是，这些媒体具有威胁它们使用的便 利性和可信度的对手和/或协议，即垃圾邮件、病毒、恶意代码等。
已经开发并使用了各种系统和技术来与垃圾邮件和其它形式的关于电 子通信介质的恶意消息相抗衡。随着包含垃圾邮件、病毒、恶意代码等的 恶意行为的增加，企业不断地搜寻有效的技术来保护网络以及与其相关联 的各自的数据通信。因而，传统技术(例如基于内容的过滤器、基于IP地 址的过滤器等)在识别和阻塞与电子通信相关的伪装的垃圾邮件消息时正 在变得无效。企业和数据通信的完整性绝对要成功，其中，必须改进以确 保安全性和/或保护技术要更加不可攻击、更加健壮、并且更加难于渗透。


图1示出了使用通信者数据库来降低关于垃圾邮件分类的误报的示例
5系统的框图。
图2示出了便于建立根据本说明书的一个方面的通信者数据库的过程 的示例流程图。
图3示出了便于使用通信者数据库来智能分类垃圾邮件的过程的示例 流程图。
图4示出了根据实施例的包括消息过滤器组件的系统的示例框图。 图5示出了根据本公开的一个方面的消息过滤器组件的示例框图。 图6示出了根据一个方面使用数据库生成组件来建立通信者数据库的 示例框图。
图7示出了可操作来执行所公开体系结构的计算机的框图。 图8示出了根据本主题说明书的示例计算环境的示意性框图
发明内容
概览
下面给出了简化概览以提供对这里描述的一些实施例的基本理解。这 不是所公开实施例的广泛的概览。它既不意在标识本说明书的关键或紧要 元素也不意在描绘其主题的范围。其唯一目的是以简化的形式给出本说明 书的一些概念作为对稍后给出的示例实施例的更加详细的描述的序言。
本说明书涉及使用来自发送域的认证信息来建立信任并降低与通信接 受和/或分类有关的误报(false positives)。应当理解，"误报"指将证明 是无害的情况错误地识别为威胁或危险的情况。通过使用经过认证的信 息，接收域可以构造已知通信者的数据库，从中可以更好地通知决定(例 如，白名单和黑名单)。此外，可以直接使用该经过认证的信息来对过滤 探索式方法(filtering heuristics)进行偏向(bias)。
下面的描述和附图详细地阐述了本说明书的某些说明性实施例。但 是，这些实施例可以是指示性的，但这些实施例只是可以使用本说明书 的原理的各种方法中的少数，并且本说明书意在包括许多和/或所有这样 的实施例及其等价物。当结合附图进行考虑时，从以下对示例实施例的 描述中，本说明书的其它优点和新颖特征将会变得显而易见。
具体实施例方式
现在参考附图描述说明书，在整个说明书中，使用相似的标号来指代 相似的元件。在下面的描述中，为了说明的目的，阐述了许多具体细节以 提供对主题说明书的透彻理解。但是，显然，可以在没有这些具体细节的 情况下实施本说明书。在其它实例中，为了便于描述本说明书，以框图的 形式示出了公知的结构和设备。
如在此应用中所使用的，术语"组件"和"系统"意在指计算机相关 的实体，硬件、硬件和软件的组合、软件或者执行中的软件。例如，组件 可以是，但是不限于是在处理器上运行的进程、处理器、对象、可执行 物、执行线程、程序、和/或计算机。为了说明，在服务器上运行的应用程 序和服务器两者都可以是组件。 一个或多个组件可驻留在处理器和/或执行 线程内，并且组件可以位于一台计算机上和/或分布在两台或多台计算机之 间。
如这里所使用的，术语"推断"或"推论" 一般指根据经由事件和/或 数据所捕获的观测结果的集合来对系统、环境、和/或用户进行推理或推导 它们的状态的过程。例如，可以使用推论来标识特定上下文或动作，或者 推论可生成状态的概率分布。推论可以是概率性的，也就是，基于数据和 事件的考虑对感兴趣状态的概率分布的计算。推论还可以指根据事件和/或 数据的集合来组成高级事件所采用的技术。这些推论导致了根据所观测的 事件和/或所存储的事件数据的集合、事件是否以紧密时间接近性互相关 联、以及事件和数据是否来自一个或多个事件和数据源来构造新的事件和 动作。
开始参考附图，图1示出了包括通信接口组件102和通信者数据库 104的系统100，所述通信者数据库104采用关系信息来建立关于接受和/ 或拒绝通信的决定。可以采用通信者数据库104来容纳与1到N个联系人 相关联的关系信息。如图l所示，1到N个通信者，或联系人可以各个或 全体称为联系人106。
如上所述，在没有通信者信息(例如，认证和关系信息)的情况下，很容易査看认证域及其当前行为并错误地断定其是记入黑名单
(blacklisting)很好的候选者。通信者数据库104可能会揭示，尽管有明 显的不良行为，但是偏向于'无用数据'或垃圾邮件将是不明智的。同样 地，使用通信者信息， 一些训练后正发送合法通信者的域将立即变得明 显，并且因此它们的通信者可以偏向于传送，降低了误报率。应当理解， 误报对电子通信产业来说是非常有害的。
这样，能够有力保证过滤器不会扔掉合法的，尤其是来自众所周知的 通信者的邮件是一个优点。系统100的通信者数据库104是可以训练的或 者可以随着时间的过去来学习对应于联系人106的特性。接着，这个联系 人信息的数据库可以用来基于发送者的几乎任何标准(criteria)对接受还 是拒绝发送者(例如加入白名单或黑名单)做出智能的决策，所述发送者 的几乎任何规则包括，但不限于，发送者域、发送者关系、发送者历史、 发送者上下文、接收者上下文等(所有这些都可以包括在联系人106信息 内)。
继续参考图1，当通信接口组件102收到通信时，可以执行确定与发 送者有关的规则和信息的分析。该信息可以用来建立是否接受通信。如下 面将更详细描述的，在发送者身份被认证之后，可以使用通信者数据库 104来决定是接受还是拒绝来自发送者的通信和/数据。在一个方面中，对 关系进行分析，例如，用与目标接收者和/或信任的联系人的分离度数来增 大可能性并固有地降低误报率。如这里所使用的，"分离度数"(degrees of separation)指通过个体的网络到达一个个体所需要的跳数。换句话说， 它表示两个个体之间的认识人链中的连接(或中间人)数。还应当理解， "分离度数"是指这样的理论；在地球上的任何人都能通过具有不超过指 定数目的中间人的认识人链连接到地球上任何其他人，例如，对于"6度 分离"，为5个中间人。
在对抗垃圾邮件的战争中，传统的垃圾邮件过滤器在误报率和漏报率 之间进行权衡。还应当理解，"漏报"(false negative)可以指将证明是 有害的情况错误识别为良性情况。即，垃圾邮件过滤器变得越积极，过滤 器将合法邮件分类为垃圾邮件(例如，误报)的可能性就越高。最常见的，部署反垃圾邮件软件的那些人当然地关注误报率，因为其极其难于测 量。而且，后果(例如，错过销售、错过紧急情况、错过通信等等)可能 是灾难性的并且极其昂贵。
为了减少误报率，知道用户或组织与谁有规律地通信是有用的。这 样，通过利用关系信息的这种编制(例如，通信者数据库104)可以关于 具体消息作出精明决定。 一个难点在于，最常见的情况下，邮件是不经过 认证的，这样对于攻击者来说，通过简单地将电子邮件的源欺骗为接收者 很可能认为是好角色的某人而获取便利是不足挂齿的。换句话说，没有认 证，攻击者可以仅仅装成一个信任源从而欺骗用户，使得用户因为认为它 是从信任源接收到的而接受通信。
对于小的"白名单"，诸如在邮件阅读器软件中使用的那些，单个用
户地址薄的内容的"模糊性"(obscurity)中存在一定量的安全性。但
是，对于更大的集合，诸如组织，"模糊性"不是非常模糊。因此，攻击 者选择名字来绕过传统的过滤器将是相对容易的。
这里，通信接口组件102可以认证所接收到的通信并且此后使用通信 者数据库104来接受或拒绝通信。可以基于用户(或者其它)定义的策略 做出该决定，例如，接收来自具有离接收者X度分离的被认证发送者的通 信。换句话说，只要进入消息可以被认证为来自具体源(例如，用户、域 等)，就可以使用该认证源信息(例如，身份)作为创建通信者数据库 104内的通信者元组(与联系人106相关联)的基础。应当理解，"元 组"最通常指诸如关系型数据库的数据库中的记录或行。
每次接收到新消息或通信时可以接着更新通信者元组。应当理解，更 新不必发生在接收之后。例如，更新可以根据批处理发生。此外，应当理 解，如果在通信角度来看不需要，那么更新根本不必发生。
继续上面的示例，该更新使得能够跟踪那些通信者(106)的使用模 式。应当理解，在垃圾邮件的情况下，通常将使用模式描述为从具有很少 或没有从目标域发起的反向通信的给定源接收到的许多封电子邮件。对于 域或用户之间的合法通信，可能会期待更加"平衡"的使用模式。§卩，从 一个域发出的消息数与从另一个域发出的消息数近似相等。应当理解，可
9以存在许多指示关于通信的好和坏的度量。
在此示例中并且给定这些计算/计数属性两者，对于接收者可以采用
"白"偏(biasing)和"黑"偏两者。可以通过査找具有统计上显著的样
本的平衡通信的用户或域来计算白偏。应当理解，结合其它诸如累计垃圾 邮件得分经验等的度量，还可以完成该加入白/黑名单。
两个域之间的通信通常落入三种使用模式中的一种。第一类涉及与由 于假设用户机器被感染而与偶然的局外人进行的所期望通信高度关联的 域。第二类涉及与不期望的通信高度关联的域。最后，第三类可以涉及具 有想要的和不想要的通信的混合(例如商业邮件服务)的域，或涉及几乎 不存在或不存在经验的域。应当理解，提供这些类别以对所描述实施例添
加观察(perspective)，并且这些类别并不意在在任何方面限制实施例的 范围。
基于身份的域的出现，尤其是对于以域密钥识别邮件(DKIM)形式 的电子邮件，给出了可靠并自动建立一个域是否正在与另一个域进行通信 以及确定域之间的通信的"平衡"的能力。DKIM是一种电子邮件认证方 法，其专注于从签字到校验邮件传送代理的端到端完整性。应当意识到的 是，更通常地，签字邮件传送代理代表发送者起作用，而且校验邮件传送 代理代表接收者起作用。
DKIM协议只是可以根据本说明书的方面使用的认证机制的一个示 例。可以结合电子邮件以及其它通信协议/框架(modality)来使用可替换 的认证机制，而不偏离本说明书的精神和/或范围。例如，在可替换实施例 中，可以使用结合通信框架所采用的其它已知的用于认证的协议(例如， SPF、 PGP/SMIME)。作为示例，可以结合电子邮件、文本消息、语音通 信、即时消息会话等使用除了上述DKIM以外的认证机制。
此外，应当理解，认证不必是显式的。而是，可以使用隐式的认证机 制而不会偏离本说明书的范围。当用户正在公司VPN (虚拟专用网络)后 面操作时，可以实现隐式认证的示例。因此，可以隐式地对来自VPN后 面的其它用户的通信进行认证。同样地，这些可替换情况将会包括在本说 明书和其后所附权利要求的范围内。
10如上所述，经由可以更新通信者数据库104中的相应元组的通信接口
组件102可以采用联系人106跟踪。继续来自上面的示例，具有平衡通信 的域极有可能与之前所描述的第一类别(例如，所期望的通信源)相关。 具有这种平衡特性的域将会是加入白名单和/或偏向正常传递的好的候选 者。
类似地，具有不平衡通信的域可能与上面的第二类别相关联，但是， 进一步的输入对于精确地对域进行分类将会是有帮助的，进一步的输入例 如是累计的垃圾邮件得分平均值、病毒发送数等。这里的一个关键思想在 于编制并维护认证通信数据库104可以允许管理员(和其他实体)知道在 他们的域中已知通信者(106)是谁以便降低误报。此外，当在做出某种 减缓决定之前对表面上存在不良行为的域实际上是否在该域内具有某些跟 随或关系进行评估时，该通信者数据库104可以产生有用的信息。该精明 和智能的决策过程可以在保护作为整体的目标域的同时固有地降低误报。
图2说明了建立根据本说明书的一个方面的通信者数据库(例如，图 1的104)的方法。虽然，为了简化说明的目的，这里例如以流程图的形 式示出的一个或多个方法被示出和描述为一系列动作，但是应该理解和意 识到的是，主题说明书并不受到动作顺序的限制，因为，根据本说明书， 一些动作能够以不同的顺序和/或与来自这里所示出和描述的其它动作同时 发生。例如，本领域技术人员将会理解并意识到，方法可以可替换地被表 示为例如状态图中的一系列相关状态或事件。此外，不是所有图示的动作 对实现根据本说明书的方法都是必需的。
初始地，在202处，可以接收来自发送源的电子通信。该通信可以表 示大部分类型的信息传送，包括但不限于电子邮件、即时消息(IM)、文 本消息、VOIP (IP上的语音)通信等。此外，应当意识到的是，消息可 以包含音频、视频、文本或其任意组合。例如，根据本说明书的方面可以 解决包括可听和可视信息两者的视频呼叫。
接着，在204处，认证发送者源(例如，发送者域)。如上所述，可 以使用大部分认证机制，例如，DKIM。 一旦认证了发送者源，在206 处，可以做出决定来识别在通信者数据库中是否存在元组。换句话说，可以使用通信者数据库的搜索来确定先前是否为特定的发送者源生成了元 组。
如果元组不存在，在208处，生成对应于所认证的发送者源的元组。 将会理解，元组可以包括大部分对发送者进行标识的信息，例如，身份、 域信息、与其他通信者或联系人的关系、垃圾邮件评级、流量/消息计数
器信息等。可替换地，如果对应的元组己经存在，则在210处，可以用额
外的和/或修改了的信息更新该元组。作为示例，可以关于发送者通信更新 关系信息。
现在参考图3，说明了根据本说明书的实施例、使用通信者数据库来 接受或拒绝来自发送者的数据的方法。在302处，接收到通信，例如，电 子邮件、IM、文本消息、VOIP通信等。接收到后，可以在304处使用大 部分适当的认证来认证发送者，所述大部分适当的认证包括但不限于 DKIM协议。
在306处，可以做出决定来确定发送者的身份是否被确认。如果身份 在304处未由认证过程确认，则在308处拒绝通信。可替换地，如果认证 成功，则在310处，在通信者数据库中査找发送者。
如上所述，可以使用通信者数据库来维护关于发送者的信息和规则。 作为示例，数据库可以包括许多元组，这些元组定义诸如发送者身份、可 替换身份、域、垃圾邮件评级、关系等的规则。应当理解，通信者数据库 可位于单个位置或可替换地遍布许多位置，而不会偏离本创新的精神和/或 范围。
基于通信者数据库中发现的信息，可以在312处做出识别发送者是被 接受还是被拒绝的决定。如果不可接受，则在308处拒绝通信。另一方 面，如果认为发送者是达到标准的，则在314处接受通信。将会理解，这 里描述的方法可以通过增大与安全通信有关的概率来降低误报。换句话 说，可以使用在通信者数据库内维护的规则来增大与正确地将通信分类为 安全或不安全(例如，垃圾邮件或非垃圾邮件)相关联的概率。如之前所 述，应当理解，关于优良性和不良性决定，存在其它度量并且可以在可替 换方面中使用它们。
12图4说明了根据本说明书的系统100的可替换框图。更具体地，图4 说明了包括在通信接口组件102内的消息过滤器组件402。如上简要描述 的，通信接口组件102可以位于网络设备(例如路由器、交换机)内，由 此可以有效过滤(例如允许或拒绝)通信。在其它方面，接口组件102可 以在接收设备自身内被维护。作为示例，接口组件102可以在诸如个人电 脑(PC)、膝上型/笔记本电脑、移动电话、个人数字助理(PDA)、个 人音乐播放器等的客户端设备内被维护。在这些示例中的任何一个中，通 信者数据库104可以共同位于该设备内、遍布网络或以其任何组合。
可以使用消息过滤器组件402来管理有关所接收通信的接受和/或拒绝 的确定。例如，可以由用户设置策略阈值，并且该阈值被结合到用于接受 和/或拒绝通信的策略中。该策略标准可以几乎是任何期望的标准，包括交 叉通信统计、分离度数统计、消息内容限制等。此外，消息过滤器组件 402可以考虑接收者的上下文以及发送者的上下文，以便辅助接受和/或拒 绝的确定。作为示例，分离策略阈值可以用于基于接收者上下文(例如位 置、从事的活动、能力(例如，工作、在家))等来允许或拒绝通信。类 似地，可以由消息过滤器组件使用发送者上下文来建立接受/保持 (retention)确定。
作为示例，内容过滤器可以与分离度数结合使用来将来自具体发送者 的某些内容认作为垃圾邮件，同时允许其它有用的通信。类似地，发送者 的上下文(例如星期六晚上在家)可以用于有效地确定垃圾邮件通信的概 率。将会意识到，可以搜集和/或维持几乎任何规则，或者规则可以与通信 者数据库104内维持的其它信息一起使用并且同样可以用来建立接受/保持 确定。
现在参考图5，示出了消息过滤器组件402的示例框图。如所示的， 消息过滤器组件402可以包括认证发送者标准的认证组件502。例如，认 证组件502可以确定发送者是他们所声称的发送者，正在从他们所声称从 其发送的域发送，等等。此外，如上所述，本领域中已知的几乎任何认证 机制都可以用于完成认证。例如，DKIM认证可以用于建立认证。
在被认证后，映射组件504可以用于定位通信者数据库104内的所认证发送者。映射组件504还可以用于将发送者映射到数据库内的其它通信
者。如所示的，分析组件506可以用于确定是否应当接受和/或拒绝通信。
以下示例被包括以向说明书添加观察(perspective)。因此，将会理 解，其它阈值和/或标准可以用于建立接受/保持确定，而不偏离本创新的 精神和范围。在以下示例中，映射组件504可以与分析组件506结合使用 来确定离所信任联系人的分离度数。因此，可以设置界限来标识(一个或 多个)可以接受阈值。
如前所述，所认证通信者数据库(图1的104)可以用于相当快速地 确定具有类似情况的一类大量域的状态(例如，需要的、不需要的)。另 外，所认证数据库(图1的104)可以用于评估具有很少或者新兴数据的 域，和对于其存在许多数据的域，但是数据是不一致的。后者尤其相关于 较大的域，其中存在较大的用户基础，其中提供者对于他们用户的行为不 具有非常良好的控制，例如大规模电子邮件服务。在这些情况中，没有分 析组件506可能没有足够的信息来做出更大的断言。因此，分析组件506 可以对通信者数据库(图 1的104)的内容起杠杆作用，以基于其它信 息来进行推论和预测，以便对消息的最终处置进行偏向。
所认证通信者数据库不必仅仅包含关于正在讨论的通信的信息，而是 也可以包含有关用户(例如发送者、接收者)过去的通信的信息。在大规 模电子邮件提供者的情况中，域的总名誉被混合，或者在新引入域的情况 中，域的总名誉显现，在以上情况中，分析组件506可以针对与正在讨论 的通信或发送者相关联的其它用户的经验来挖掘通信者数据库。特别是， 很可能是这样的情况，即使数据太缺乏不能进行更大的断言，如果相同域 中的已知/可信任通信者之间的分离度数低，则这是新的但可接受的引入的 可能性也增大。
作为特定示例，假设mat@xyzcompany.com接收到来自 sniglit@emailprovider.com的一封邮件。遗憾的是，可能有太少的先前命中 来关于snigH顿emailprovider.com是好的或者坏的角色进行更大的断言。 然而，如果 mat@xyzcompany.com 可以确定在他自己和 sniglit@emailprovider.com之间的分离度数低，假设小于或者等于3，那么
14可能值得使接收者偏向于接收，而不是垃圾邮件。换言之，如果
fred@xyzcompany.com曾 与barney@xyzcompany.com通 信 ， barney@xyzcompany.com 曾与 sniglit@emailprovider.com 通信， 贝U mat@xyzcompany.com有理由推断由于分离度数为3，因此应当将 sniglit@emailprovider.com偏向于接收，而不是垃圾邮件。
另外，将会理解，关于得出垃圾邮件确定，可以考虑通信者元组的 '强度，。例如，如果 mat@xyzcompany.com 经常与 fred@xyzcompany.com 通信， 而 fred@xyzcompany.com 经常与 barney@xyzcompany.com通f言，而barney@xyzcompany.com I见在正与 sniglit@emailprovider.com通信，贝树于mat@xyzcompany.com是否从未与 fred@xyzcompany.com通信可以有更好的表示。
将会理解，这里使用的"通信"指所有形式的通信(例如一对一、一 对多、多对一和多对多)，不仅仅是从垃圾邮件发出者到受害人的广播。 遵循相同的推理，相反也可以成立。例如，如果在可允许分离度数内，用 户的通信者中没有通信者曾与该对象(例如，发送者)通信，那么过滤可 能偏向于丢弃而不是接收。
消息的目标和也曾与正在讨论的对象通信的已知通信者之间的分离度 数可以提供有用的接收者信息，尤其是在没有足够用于做出更大断言的统 计关联的所认证通信者数据库(图1的104)条目(例如，元组)中。具 体地，分离度数的使用可用作为对接收或者丢弃消息的偏向。
本质上，利用低保真度的统计，用户可以基于他们与谁通信，他们的 联系人与谁通信等等来对早期的警告起杠杆作用。如果可接受分离度数内 的人选择与新的对象通信，则偏向于接收很可能产生更少的误报。因为未 引入的域或用户到目前为止最可能成为垃圾邮件的送信人，所以积极的处 理显然是一个优点。
现在转到图6，示出了系统100的可替换示例体系结构图。更具体 地，如图6中所示，接口组件102可以包括在适当时自动建立和/或更新通 信者数据库104的数据库生成组件602。垃圾邮件，更正式地称为主动提 供的商业电子邮件，其特征常常在于从有时候是接收者已知的、但通常
15不是其已知的实体发送的消息。在关于将通信分类为垃圾邮件来降低误报 的努力中，认证努力专注于提供域级标识(例如，DKIM)以及识别作者
或发送者的机制。这里，数据库生成组件602可以使用这些身份(以及例 如上下文的其它信息)形成通信者数据库104。
将会意识到，认证可以导致更精确的"白"和"黑"偏向判定，这是 因为电子邮件将被认证。在没有认证的情况下，传统上执行的加入白名单 的一种形式是，如果用户(初始地或者回复来自发送者的消息)选择与之 通信，则将地址置于白名单上。使用认证，这甚至可以放大到更大的组， 像整个企业，并且因而对更大范围的经验起杠杆作用，以确定单个发送者 或发送域是否可能是好的角色。
尽管该种方案很可能是有用的，但它仅仅在已知的好或坏的通信者的 数据库的完备性范围内有用。传统上，这些通信者仅仅从电子邮件会话收 获。遗憾的是，电子邮件仅仅是进行引入的一种方式。例如，用户可以从 在线商店购买产品，在线商店转而发送确认电子邮件，或者用户向具有他 们的会话启动协议统一资源标识符或嵌入的SIP URI的另一个用户发送电 子邮件，该另一个用户转而呼叫他们的通信者。这可能导致正常的事务邮 件或者交叉协议使用模式而看起来可疑，即使更大的描述将描绘更好的评 估也是如此。
为了数据库生成组件602创建更全面的通信者数据库104，特别有用 的是，考虑实际所能考虑的跨越尽可能多的协议的来自个体或更大集合的 实体(例如域)的尽可能多的形式的所请求会话，以便就给定会话实际上 是否为所请求的得到更清晰的描述。因此，web (例如HTTP (超文本传 输协议))、电话(SIP)和即时通信(IM)都对给定域或域内的个体是 否为接收者已知的更大描述有用。掌握住该知识，用于各种协议的过滤软 件可以更精确地知道如何将它的部署偏向于发送者，因而降低了对于已知 的好的发送者的误报并且允许对未知源的更积极的过滤。
在一个方面中，数据库生成组件602可以通过发起会话的用户软件主 动地创建和/或更新通信者数据库104。在另一个方面中，数据库104可以 由可以访问谁向谁发起了会话的网络基础结构，例如代理和路由器被动地建立。其它方面还组合这些机制以建立通信者数据库104。此外，用户可 以按照需要手动建立和/或修改通信者数据库104的条目。
如上所述，通信者数据库104可以从许多不同的协议源，例如简单邮 件传输协议(SMTP) 、 HTTP、 IM、 SIP等获取。因此，通过支持使用多 种协议，可以建立已知通信者的更全面的视图。因此，系统100可以更精 确地分类已知和未知的源。
为了建立通信者数据库104，数据库生成组件602可以跟踪其它域中 的通信者的细节。例如，组件602可以使用计数器来聚集通信以及通信模 式的数量。如上所述，通信数据库104内搜集和维护的信息可以用于降低 对于己知的好的通信者的误报率，对加入黑名单和垃圾邮件偏向判定提供 更多的输入等。
在一个示例中，用于电子邮件的通信者数据库104可以包括以下信
息
我们的域联系人mat@xyzcompany.com 他们的域联系人mike@abccompany.com 我们的域到他们的域的命中数量100 他们的域到我们的域的命中数量76
该通信记录很可能确定 mike@abccompany.com 禾口 mat@xyzcompany.com经常通{言。该信息还确定abccompany.com对于 xyzcompany.com—般是已知的。如前所述，该信息可以用于关于所接收通 信做出智能和精明的偏向判定。结果，可以降低误报以增加任何白名单和 黑名单类型过滤的精确性。
尽管这是非常有用的信息，但是也存在误用的可能性，因为实际的通 信者可能是非常让人感兴趣的信息。而且，存在对保持包括显式的姓名元 组的通信者数据库104的潜在的严肃的私密性考虑，更不用说意外公开的 可能性。
这里，通信者数据库104的一个主要目的是跟踪全部通信模式。换言 之，包括到达/出发(to/from)元组以跟踪通信模式的通信者数据库104主 要关心通信模式本身，而不是任何绝对意义上谁与谁通信的细节。因此，在一个方面中，为了通信者数据库104的目的，节点不必保持为纯文本形
式，以便提供跟踪整体通信模式的所述效用。尽管，如果期望，可能维护 节点身份。
在一个实施例中，在通信者数据库104中获得某些私密性的简单方法 可以是执行简单的单向哈希。这在某些情况下可能是足够的，但是可能具
有不合要求的特征能够容易地构建所选择文本(例如
chambers@xyzcompany.com)。为了与此抗衡，通信者数据库104也可以 维护秘密密钥。在操作中，密钥可以用于执行纯文本上的密钥哈希。在该 情况下，攻击者将不仅需要所选择文本，而且也要访问秘密密钥以便揭示 信息。将会理解，可以对所认证通信者数据库104的输入数据执行单向哈 希或某些其它加密转换，以提供对抗潜在滥用的私密层，同时仍然保持通 信者数据库104的效用。
现在参考图7，示出了可操作来执行所公开体系结构的计算机的框 图。为了提供用于本主题说明书的各个方面的附加上下文，图7和以下论 述意在对适合的计算环境700提供简要的一般性描述，在计算环境700中 可以实现说明书的各个方面。尽管以上在可以在一个或多个计算机上运行 的计算机可执行指令的一般上下文中已描述了说明书，然而，本领域技术 人员将会认识到，说明书也可与其它程序模块组合和/或作为硬件和软件的 组合来实现。
通常，程序模块包括例程、程序、组件、数据结构等，它们执行特定 任务或者实现特定的抽象数据类型。而且，本领域技术人员将会意识到， 本发明方法可以用其它计算机系统结构实现，包括单处理器或多处理器计 算机系统、小型机、大型计算机、以及个人计算机、手持计算设备、基于 微处理器或可编程消费电子设备等，它们中的每一个可以可操作地连接到 一个或多个相关联的设备。
所示出的说明书的方面也可以在分布式计算环境中实现，其中某些任 务由通过通信网络连接的远程处理设备执行。在分布式计算环境中，程序 模块可以位于本地或远程存储设备两者中。
计算机通常包括各种计算机可读介质。计算机可读介质可以是可以由计算机访问的任何可用的介质并且包括易失性和非易失性介质、可移除和 不可移除介质。作为示例，并且不是限制，计算机可读介质可包括计算机 存储介质和通信介质。计算机存储介质包括以用于存储信息的任何方法或 技术实现的易失性和非易失性、可移除和不可移除介质，所述信息例如计 算机可读指令、数据结构、程序模块或其它数据。计算机存储介质包括但
不限于RAM、 ROM、 EEPROM、闪存或其它存储技术、CD-ROM、多功 能激光视盘(DVD)或其它光盘存储器、盒式磁带、磁带、磁盘存储器或 其它磁存储设备，或者可以用于存储期望信息并且可以由计算机访问的任 何其它介质。
通信介质通常包含计算机可读指令、数据结构、程序模块或例如载波 或其它传输机制的调制数据信号中的其它数据，并且包括任何信息递送介 质。术语"调制数据信号"指其特性中的一个或多个以将信息编码到信号 中的方式被设置和改变了的信号。作为示例，并非限制，通信介质包括有 线介质，例如有线网络或直接有线连接，以及无线介质，例如声音、RF、 红外和其它无线介质。以上的任何的组合也应当被包括在计算机可读介质 的范围内。
再次参考图7，用于实现说明书各个方面的示例环境700包括计算机 702，计算机702包括处理单元704、系统存储器706和系统总线708。系 统总线708将包括但不限于系统存储器706的系统组件耦合到处理单元 704。处理单元704可以是各种商业上可以得到的处理器中的任何一个。 双微处理器和其它多处理器体系结构也可以用作为处理单元704。
系统总线708可以是多种类型的总线结构中的任何一种，其可以使用 各种商业上可以得到的总线体系结构中的任何一种进一步互连到存储总线 (具有或不具有存储控制器)，外围总线，以及局域总线。系统存储器 706包括只读存储器(ROM) 710和随机访问存储器(RAM) 712。基本 输入/输出系统(BIOS)存储在非易失性存储器710中，例如ROM、 EPROM、 EEPROM，该BIOS包含例如在启动期间帮助在计算机702内的 元件之间传送信息的基本例程。RAM 712也可以包括高速RAM，例如用 于高速缓存数据的静态RAM。
19计算机702还包括内部硬盘驱动(HDD) 714 (例如EIDE 、 SATA)、该内部硬盘驱动714也可以在适当框架(未示出)中为外部使 用而配置，磁盘驱动器(FDD) 716 (例如从可移除磁盘718读取或向其 写入)、和光驱720 (例如读取CD-ROM盘722，或者从其它高容量光介 质，例如DVD读取或者向其写入)。硬盘驱动714、磁盘驱动716和光驱 720可以分别通过硬盘驱动接口 724、磁盘驱动接口 726和光驱接口 728连 接到系统总线708。用于外部驱动器实现的接口 724包括通用串行总线 (USB)禾卩IEEE 1394接口技术中的至少一个或两者。其它外部驱动器连 接技术处于本主题说明书的预期之内。
驱动器和它们的关联计算机可读介质提供了对数据、数据结构、计算 机可执行指令等等的非易失性存储。对于计算机702，驱动和介质以适当 的数字格式提供了对任何数据的存储。尽管上面计算机可读介质的描述指 HDD、可移除磁盘、和诸如CD或DVD之类的可移除光盘，本领域技术 人员应当意识到，计算机可读的其它类型的介质，例如zip驱动器、盒式 磁带、闪速存储卡、盒式磁盘等也可以用在示例操作环境中，并且此外， 任何这些介质可以包含用于执行本说明书方法的计算机可执行指令。
许多程序模块可以存储在驱动和RAM 712中，包括操作系统730、 一 个或多个应用程序732、其它程序模块734和程序数据736。操作系统、 应用、模块、和/或数据的全部或部分也可以高速缓存在RAM 712中，将 会意识到，本说明书可以用各种商业上可以得到的操作系统或操作系统的 组合来实现。
用户可以通过一个或多个有线/无线输入设备(例如键盘738和诸如鼠 标740的点击设备，)将命令和信息输入到计算机702。其它输入设备 (未示出)可以包括麦克风、IR远程控制、游戏杆、游戏衬垫、铁笔、触 摸屏等。这些和其它输入设备通常通过耦合到系统总线708的输入设备接 口 742连接到处理单元704，但是可以通过其它接口连接，其它接口例如 是并口、 IEEE 1394串口、游戏端口、 USB端口、 IR接口等。
监视器744或其它类型的显示设备也经由接口 (例如，视频适配器 746)连接到系统总线708。除了监视器744，计算机通常包括其它的外围
20输出设备(未示出)，例如扬声器、打印机等。
计算机702可以经由到一个或多个远程计算机(例如，(一个或多
个)(一个或多个)远程计算机748)的有线和/或无线通信使用逻辑连接在网络环境中操作。(一个或多个)远程计算机748可以是工作站、服务器计算机、路由器、个人计算机、便携式计算机、基于微处理器的娱乐设备、对等设备或其它公共网络节点，并且通常包括关于计算机702描述的许多或全部元件，尽管为了简短的目的，仅仅示出了存储器/存储装置750。描绘的逻辑连接包括到局域网(LAN) 752和/或更大的网络，例如广域网(WAN) 754的有线/无线连接。这些LAN和WAN连网环境是办公室和公司中的平常物，并且便利了企业范围的计算机网络，例如企业网，它们都可以连接到全球通信网络，例如因特网。
当在LAN连网环境中使用时，计算机702通过有线和/或无线通信网络接口或适配器756连接到本地网络752。适配器756可以便利到LAN752的有线或无线通信，该LAN 752也可以包括布置在其上的无线接入点，用于与无线适配器756通信。
当在WAN连网环境中使用时，计算机702可以包括调制解调器758，或者连接到WAN 754上的通信服务器，或者被连接到WAN 754上的通信服务器，或具有用于例如通过因特网来建立WAN 754上的通信的其它装置。调制解调器758可以是内部的或外部的，并且可以是有线或无线的设备，并且经由串口接口 742连接到系统总线708。在连网环境中，关于计算机702描绘的程序模块，或者其部分，可以存储在远程存储器/存储装置750中。将会意识到，示出的网络连接是示例性的并且可以使用在计算机之间建立通信连接的其它装置。
计算机702可操作为与可操作地布置在无线通信中的任何无线设备或实体进行通信，所述装置或实体例如是打印机、扫描仪、桌面和/或便携式计算机、便携式数据助理、通信卫星、关联于无线可检测标签的任何装置或位置(例如亭子、新闻站、公共厕所)、和电话。这至少包括Wi-Fi和BluetoothTM无线技术。因此，通信可以是如具有常规网络的预定义结构或
者仅仅是至少两个设备之间的特别通信。Wi-Fi、或无线保真，允许从在家里的睡椅、旅馆房间的床、或者工作处的会议室连接到因特网，不用导线。Wi-Fi是类似于移动电话中所使用的无线技术，其使得这些设备(例如，计算机)能够在室内和室外发送和
接收数据，在基站范围内的任何地方发送和接收数据。Wi-Fi网络使用称为IEEE 802.11 (a、 b、 g等)的无线电技术来提供安全、可靠、快速的无线连接。Wi-Fi网络可以用于将计算机互相连接，将其连接到因特网，并且将其连接到有线网络(有线网络使用IEEE 802.3或以太网)。Wi-Fi网络例如在未授权的2.4禾口 5GHz无线电频带中，以11Mbps (802.11a)或54Mbps (802.11b)数据率操作，或者具有包含两种频带(双频带)的产
品，所以网络可以提供类似于许多办公室中使用的基本10BaseT有线以太网网络的真实世界性能。
现在参考图8，示出了根据本主题说明书的示例计算环境800的示意性框图。系统800包括(一个或多个)客户端802。(一个或多个)客户端802可以是硬件和/或软件(例如，线程、进程、计算设备)。客户端802例如可以通过使用本说明书来容纳(一个或多个)cookie和/或相关联的上下文信息。
系统800还包括(一个或多个)服务器804。(一个或多个)服务器804也可以是硬件和/或软件(例如线程、进程、计算设备)。服务器804例如可以容纳通过使用本说明书来执行转换的线程。客户端802和服务器804之间的一个可能通信可以采用适于在两个或多个计算机进程之间发送的数据包的形式。数据包例如可包括cookie和/或相关联的上下文信息。系统800包括可以用于辅助(一个或多个)客户端802和(一个或多个)服务器804之间的通信的通信框架806 (例如全球通信网络，例如因特网)。
可以经由有线(包括光纤)和/或无线技术来辅助通信。客户端802可操作地连接到可以用于存储(一个或多个)客户端802本地的信息(例如，(一个或多个)cookie和/或相关联的上下文信息)的(一个或多个)客户端数据存储器808。类似地，服务器804可操作地连接到可以用于存储服务器804本地的信息的(一个或多个)服务器数据存储器810。
22上面所描述的包括本说明书的示例。当然不可能为了描述本主题说明书的目的而每个可以设想到的组件或方法的组合，但是本领域普通技术人员可以认识到，许多本说明的另外的组合和改变是可能的。因此，本说明旨在包含落入所附权利要求的精神和范围的所有这些改变、修改和变化。此外，对于详细描述或权利要求中所使用的术语"包括"，该术语旨在以类似于术语"包含"的方式是包含的，如"包含"当用作为权利要求中的转换词时所被解释的那样。
权利要求
1.一种辅助对发送者的认证的系统，包括通信者数据库，所述通信者数据库维护多个联系人之间的关系信息，其中，所述关系信息定义了至少两个联系人之间的分离度数，其中所述通信者数据库从简单邮件传输协议(SMTP)、HTTP(超文本传输协议)、IM(即时消息)协议、IP上的语音(VoIP)协议、或者可确定发信方的真实性的其它协议中的至少一个协议中获取；和通信接口组件，所述通信接口组件接收来自所述发送者的通信并且根据所述关系信息接受或拒绝所述通信。
2. 根据权利要求1所述的系统，还包括通信消息过滤器组件，所述通信消息过滤器组件定义了控制接受或拒绝所述通信的标准，其中所述通信是电子邮件、即时消息、文本消息或IP上的语音(VoIP)消息中的至少 一个。
3. 根据权利要求1所述的系统，还包括认证所述发送者的身份的通信 者认证组件。
4. 根据权利要求3所述的系统，还包括映射，所述映射将所述身份映 射到所述多个联系人的子集，其中所述关系信息由所述发送者和所述多个 联系人的子集之间的所述映射来定义。
5. 根据权利要求4所述的系统，还包括分析组件，所述分析组件分析 所述通信的内容，其中，所述通信接口组件在接受或拒绝所述通信时使用 所述分析。
6. 根据权利要求1所述的系统，还包括辅助所述关系信息的建立的联 系人分类组件。
7. 根据权利要求6所述的系统，还包括通信者认证组件，所述通信者 认证组件认证所述发送者的身份，其中，所述联系人分类组件使用所述身 份来建立所述关系信息。
8. 根据权利要求7所述的系统，还包括关系分析组件，所述关系分析 组件根据与所述联系人的子集相关联的关系信息来评估所述发送者的身份。
9. 根据权利要求8所述的系统，还包括元组生成组件，所述元组生成 组件建立对应于所述发送者的元组，其中，所述通信接口组件使用所述元 组来接受或拒绝所述通信。
10. 根据权利要求9所述的系统，其中，所述元组包括所述发送者的身份、所述发送者的上下文、所述发送者的位置或根据所述发送者定义所 述联系人的子集之间的相关性的关系信息中的至少一个。
11. 根据权利要求1所述的系统，其中所述通信是即时通信、电子邮件或VOIP消息中的至少一个。
12. —种方法，包括 接收来自发送者的通信； 认证所述发送者的身份；以及根据所述发送者到多个联系人的关联接受或拒绝所述通信。
13. 根据权利要求12所述的方法，还包括建立对应于身份的数据库元组，其中，所述数据库元组包括将所述发 送者关联到所述多个联系人的子集的关联信息；以及根据策略来分析所述数据库元组，所述策略根据所述关联信息来定义 接受或拒绝所述通信。
14. 根据权利要求13所述的方法，还包括建立控制接受或拒绝所述通 信的确定的所述策略。
15. 根据权利要求12所述的方法，还包括-分析所述通信的内容并且当接受或拒绝所述通信时使用所述内容。
16. 根据权利要求12所述的方法，所述通信是即时消息、电子邮件或 VOIP消息中的一个。
17. —种设备，包括用于管理多个联系人之间的多个关系的装置，其中所述多个联系人中 每一个的身份被秘密维护；用于认证消息发送者身份的装置；以及用于根据所述多个关系的子集基于所述身份接受或拒绝所述消息的装置。
18. 根据权利要求17所述的系统，还包括用于建立多个联系人之间的 所述多个关系的装置。
19. 根据权利要求17所述的系统，还包括用于至少部分地基于用于接 受或拒绝所述消息的所述装置建立的结果来更新所述多个关系的装置。
20. 根据权利要求17所述的系统，还包括 用于建立上下文的装置；以及用于将所述上下文结合到用于接受或拒绝所述消息的所述装置中的装置。
全文摘要
公开了一种可以关于垃圾邮件通信的标识和/或分类智能地降低误报率的系统。来自发送域的认证信息可以存储并且用于建立信任和降低接受和/或分类通信有关的误报。已知通信者的通信者数据库可使用所认证信息来构建。因此，可以通过使用关系和通信者数据库内维护的通信者通信模式数据来更好地通知判定(例如，白名单和黑名单)。
文档编号G06F7/00GK101636713SQ200880008364
公开日2010年1月27日 申请日期2008年3月11日 优先权日2007年3月15日
发明者迈克尔·艾伦·托马斯 申请人:思科技术公司