专利名称:一种垃圾邮件处理系统及分检垃圾邮件的方法
技术领域:
本发明涉及电子信息传输中的处理技术,特别是涉及到对垃圾邮件的处理、分检以及对恶意来访者的有效防范。
背景技术:
随着网络信息社会的到来,垃圾邮件一直在困扰着邮箱服务器的管理者和广大的用户。为了清除日益增多的垃圾邮件,邮箱服务器的管理者设计了白、黑名单的审核系统,将有过失的邮箱地址和域名列入黑名单,将绝对可信任的列入白名单,从而可以快速处理邮件。现有的白、黑名单技术太过于绝对化,不能有效得解决黑白名单动态变化的情况。假如一个垃圾邮件发件者利用偷来的邮箱(白名单邮箱)发垃圾邮件,或是白名单用户机器异常(中毒或中木马),那么白、黑名单反而会带来严重的负面效果。现有的白、黑名单的成员地址产生过于人工化,并不能很好的解决自动产生和随时增补的问题。
现有技术中还在邮箱服务器STMP中设置了垃圾邮件过虑系统或病毒分析系统,能够对各种违规关键词和可疑代码出现的邮件进行有效的拦截,但并不能对通过的邮件做出绝对可靠的结论。现有的邮件过滤系统过于分散(黑、白名单、垃圾过滤器,病毒过滤器各自独立运作),不能对目标对象当前是否可靠产生一个动态的综合总体评价,无法以时间的综合影响来评价对象,进行判断。即时间综合影响判断还不能在现有邮件过滤系统中体现。
现有的过滤器只是利用正常邮件、垃圾邮件的内容或结构区别特征进行过滤。假如能利用收件人对待正常邮件、垃圾邮件的处理态度特征对过滤判定过程进行影响,则可大大提高整个过滤系统的性能。但现有的邮件过滤系统并无此能力。
发明内容
本发明目的在解决现有的垃圾邮件处理中黑、白名单的生成基本依靠人工来完成,无法适应黑、白名单动态变化的问题,以及垃圾邮件得临时动态随机特点,导致恶意发件人被黑名单的有效堵截不能长久的问题。
为解决上述问题,本发明提供了一种垃圾邮件处理系统,该系统包括设置在邮件服务器SMTP中的垃圾邮件过滤器模块、病毒分析器模块,其特征在于还包括(1)邮箱监视器模块,用于监视邮箱操作行为,对邮件分检;(2)按邮件地址记录有邮件信任度数值的信任度数据库;以及(3)信任度评判模块,该模块调用信用度数据库中存储的当前邮件的信任度值与预定的参考信任度数值比较分检当前邮件;邮箱过滤器模块根据过滤器模块,病毒分析器模块,以及信任度评判模块对邮件的处理结果,修改信任度数据库中存储的该邮件的信任度数值,降低被分检为垃圾邮件的邮件信任度值,升高被分检为正常邮件的邮件信任度值。
优选的,所述信任度评判模块评判的方式为绝对信任判断或者相对信任判断。
优选的,初始状态下,信任度数据库中存储的信任度值为低。
优选的,信任度数据库中存储有域级的信任度关系数据;邮件监视器模块的裁决范围为邮箱地址所在的域,即邮件监视器模块收集转呈当前邮件的邮件地址,并依据对当前邮件的分检结果修改转呈当前邮件的邮件地址的信任度数据。
本发明中,垃圾邮件处理系统中的邮件信任度判定系统,参考借鉴社会的个人信用的评估机制,建立一套对邮件来源地址、域的综合评估机制,除含括现有垃圾邮件过滤引擎,反病毒引擎的对来源地址、域的评价影响外,还独创性的加入时间综合影响、收件人对待正常邮件、垃圾邮件的处理态度特征影响的邮箱监视系统,并在绝对信任判断与相对信任判断两个层次上对邮件进行信任判决,以达到具有时间和历史积累作用形成的邮件信任度数据库,实际上它是一个包含有自动生成的黑白名单的动态数据库。在以上系统中,垃圾邮件过滤系统、病毒分析系统,邮箱监视系统,都是信任度判决者。每一次判决均会对邮件信任度数据库产生影响,使其不断更新,对准确的阻截垃圾邮件具有显著的支持作用。
本发明还提供了一种分检垃圾邮件的方法,该方法应用的系统包括经过黑、白名单审核模块、垃圾邮件过滤器模块、病毒分析器模块,其特征在于该方法包括步骤(1)按邮件的地址从信任度数据库中找出相对应源地址的信任度数值与设定范围相比较,大于设定范围最大值以上的判定为正常邮件,将邮件分检入正常邮箱;小于设定范围最小值以下的判定为垃圾邮件,将邮件分检入垃圾邮箱;落在设定范围的最大最小值之间的进行步骤(2);(2)经垃圾过滤器模块和病毒分析器模块做进一步分检处理,在两次过滤分检处理过程中,任何一次过滤不合格,则将邮件判定为垃圾邮件,分检到垃圾邮箱,两次过滤均合格的进行步骤(3);(3)将信任度数据库中相对应源地址的信任度数值与设定范围最大最小值的平均值进行比对,大于该平均值的邮件判定为正常邮件,将邮件分检入正常邮箱,小于该平均值的邮件判定为垃圾邮件,将邮件分检入垃圾邮箱;(4)按对邮件处理的结果,修订信任度数据库中邮件来源地址对应的信任度值,增加正常邮件地址对应的信任度值,减少垃圾邮件地址对应的信任度值。
优选的,对分检过程中所做出的每一次判定结果,均修订信任度数据库中邮件来源地址对应的信任度值。
优选的,服务器接收邮件后,首先核对信用度数据库中记录,判定是否为初访用户,若不是则转入步骤(1)处理,若是则先在配套数据库中对应初访邮箱地址赋予一个偏低的信任度数值,再转入步骤(1)处理。
优选的,修订信任度数据库中邮件来源地址对应的信任度值的步骤还包括依据对当前邮件来源地址对应的信任度值的增减,增减获得的转发当前邮件的其他邮件地址的信任度值。
本发明的积极效果在于在邮件服务器中对目标对象形成一个有效的整体信任度的评估体系,以邮件信任度,实际上是以发件人的信任度来评价收到邮件的可靠程度,可以在现有的邮件辩识系统中有效得提高过滤拦截率与减小误判率。更重要的意义在于评估体系以动态的信用度变化来代替绝对的黑白名单,有更高的自适应能力,可以适应动态变化的邮件环境,又可以解决自动黑白名单生成困难的问题。系统可以体现历史时间累积效应的影响,历史时间的累积效应会使得目标对象的信任度趋向可以正确表达其是否可靠的水平,故可更准确的分辩邮件,而人本恶原则,更适合于过滤有动态发件人特征的垃圾邮件。本邮件信任度判定系统中,综合加入以人对正常邮件、垃圾邮件的不同情感处理态度特征进行判定影响,比现有的系统更加的科学有效。长时间应用下对域的累积作用,与传递原则的应用,有助于在系统级快速形成一个安全目标对象信任关系网,使垃圾邮件发起者更加难以渗入。
图1是根据配套数据库中的邮箱信任度值进行邮件判决的图示。
图2是垃圾邮件处理系统中,实现信任评估及邮件判断的示意图。
图3是本发明分检垃圾邮件的示意图。
图4是监视器模块扩大到域级监视的示例。
图中,1绝对信任判断、2垃圾邮件过滤器模块、3病毒过滤器模块、4邮件监视器模块、5相对信任判断、6信任度数据库、7正常邮箱、8垃圾邮箱、A9用户、B10用户、C11用户、12收信系统。
具体实施例方式
下面结合附图进一步说明本发明的目的是如何实现的。
为了更简明、清楚的陈述发明内容首先介绍专用术语。
邮件信任度用于代表作用对象(对邮件系统来说,作用对象是发件人或发件域)的可信程度。邮件信任度值越低则作用对象越不可靠,反之,越高则越可靠。在本邮件信任度判定系统中,可靠指的是正常邮件的可能机率越可靠,其为正常邮件的机率高,反之,其为正常邮件的机率越低。在邮件信任系统中以人本恶为原则基于垃圾邮件发件人信任度较低而又经常变换地址。
信任度判决者在信任度判定系统中,信任判决者担任法官的角色,可以对所有的行为进行判定。对行为的裁决定性,会产生判决结果,直接影响作用对象的信任度数值的变动。
信任判决由信任判决者对目标对象的行为是否违反信用的一次判定,会产生合法或违法、无法判定三种对目标对象的作用结果,分别对应信用度增加、信用度大幅下降、信用度不变三种信用度值变化结果。经过信任判决的长期累积作用,使得作用对象的邮件信任度趋向于可以正确表达其是否可靠。
信任判定由信任度判定系统依当前目标对象的信任度对其某次邮件行为是否可靠所做出的一个评估判断,分绝对信任判断与相对信任判断两种。
绝对信任判断是根据目标对象的信任度,对其某次行为进行绝对的性质判断,产生可靠、不可靠、未确定三种结果。其特点是只有信任度非常明显的接近最小或最大值,已可明显的表现是否可靠才做出可靠或不可靠的判断结果,而其余一概判断为未确定。
相对信任判断是根据目标对象的信任度,对其某次行为是否可靠进行可能性预测,产生可能可靠与可能不可靠两种预测结果。其特点是只要可靠与不可靠的两种机率中有一种大于对方,就承认机率大的一方,做出相对的预测。
参见图1。图1中,a是信任度预设的最小值,c是信任度预设的最大值,b是信任度预设的中间值。在绝对信任度判定中,小于a将判定为绝对不可靠、大于c将判定为绝对可靠、在a-c之间判定为未确定。在相对信任度判定中,a-b之间判定为可能不可靠、b-c之间判定为可能可靠。
本发明的核心在于以信任评估、邮件判断与系统级扩展三种方式相结合,建立一套对邮件来源地址、域的综合评估机制,除包括现有反垃圾邮件引擎,反病毒引擎的对来源地址、域的评价影响外,还独创性的加入时间综合影响、收件人对待正常邮件、垃圾邮件的处理态度特征影响,并在绝对信任判断与相对信任判断两个层次上对邮件进行判断分流,以达到比现有更好的自适应分类效果。
本发明在垃圾邮件处理系统中涉及到垃圾邮件过滤器模块2、病毒过滤器模块3、邮件监视器模块4以及专门设置的信任度数据库6和现有技术的收信系统12。
图2是垃圾邮件处理系统中,实现信任评估及邮件判断的示意图。其中,垃圾邮件过滤器模块2,病毒邮件过滤器模块3,邮件监视器模块4分别对邮件的可信与否进行判断,并将信任度数据存储在信任度数据库6中,初始状态时,信任度为低。
垃圾邮件过滤器模块2通过垃圾过滤引擎判定邮件是否为垃圾邮件,从而对邮件来源地址、域进行奖励(增加信用度)与惩罚(减少信用度)的判决;病毒邮件过滤器模块3通过病毒过滤引擎判定邮件是否含可疑代码,从而对邮件来源地址、域进行奖励与惩罚等判决。
邮件监视器模块4是依据邮箱拥有者,对正常邮件、垃圾邮件两种不同邮件的处理行为特征,具体实现可以以邮箱操作行为规则集的方式,归纳出一个规则集,从而对邮件来源地址、域进行奖励与惩罚。例如正常邮箱内邮件打开很短若干秒内即被删除,甚至未被打开就被删除,表示对其有厌恶的处理倾向,故将对发件人产生惩罚裁决;打开超过一定量的或是产生回复,转发操作的,表示对其有喜好、关注倾向,故将对发件人产生奖励裁决;垃圾箱内的邮件被打开超过一定或是被转移到正常邮箱,表示对其有喜好、关注倾向,将对发件人产生奖励裁决;发邮件,表示对收件人有友好倾向,将对其产生奖励裁决。
结合图2和图3,本发明中对垃圾邮件的分检方法包括(1)收信系统12收到邮件后,按邮件的地址从信任度数据库6中调出相对应源地址的信任度数值,进行绝对信任判断,以图1为例,若大于预先设定的c值,判决为正常邮件,直接发往正常邮箱7,即目标地址邮箱,若小于预先设定的a值,则直接发送到垃圾邮箱8,c可根据具体情况设置为2b的75%-95%大小,设定的最大值越大信任度越高。设定的最小值,可根据具体情况设置为2b的5%-25%大小,设定的最小值越小信任度越低。若该邮件对应地址的信任度值在a与c之间,则进行步骤(2)。
(2)将信任度值在a与c之间的邮件,发往垃圾邮件过滤器模块2以及病毒过滤器模块3进行病毒过滤,其中任一次过滤不合格,则将邮件发送至圾邮箱8;若两层过滤均通过,则进行步骤(3)。
(3)重新调出配套数据库6中调出相对应源地址的信任度数值,进行相对信任判断,仍以图1为例,大于b值的判定为正常邮件,送到正常邮箱7,即目标邮箱,小于b值的判定为垃圾邮件,发送到垃圾邮箱8。
(4)当邮件被分检到不同的邮箱后,邮箱监视器模块4将根据邮件的处理结果修改其信任度值,并更新信任度数据库6。
图3所示信任关系邮件系统在两个层次上对邮件判定提供支援绝对信任判断1与相对信任判断5。绝对信任判断1,起最高优先的定性作用,根据信任度对邮件行为进行分类判定与分流,由于其判定的条件非常苛刻,故有非常高的准确性,可用于代替现有的黑白名单技术,并且解决了黑白名单的自动生成问题,与动态自适应变化问题。相对信任判定5,发生在过滤器们都无法判定其为垃圾邮件的情况下,为最低优先级,此时根据信任度对其好坏做一个可能性预测,形成最终判定。两层的信任判定,是以如果明显可靠,马上进行绝对判断,如果不明显,则在最后进行预测评估,这个思想来进行的设计。其在绝对信任判断1可达到非常理想的绝对好坏分类效果,而在相对信任判断5,则是最后提高过滤率的手段。
在分检过程中所做出的每一次判定结果均经过管理软件支持,对信任度数据库6内对应地址的信任度值做出奖励或惩罚性的修改;对信任度数据库6的修改,是由收件邮箱拥有者对正常邮件、垃圾邮件的处理和操作方式决定,具体可以由邮箱操作行为为规范化的模式归纳为一个规则集,从而决定对邮件来源地址,或收件地址的信任度数据库作出相应信任度修改的判定;自动生成动态的黑白名单,即列在绝对可信任范围或绝对不可信任范围。
图4中,实线表示邮件发送方向、虚线表示信任度作用方向、终点对于起点的信任度增加。
结合图4,邮件监视器模块4的监测范围扩展到邮件的传递,由某用户A9向某用户B10传输的邮件经过某用户B10转发到某用户C11,则由监视器系统向某用户A9做出对某用户C11信任的信任度奖励判定,并修改配套数据库对应信任度值,从而形成安全的目标邮箱地址之间稳定的相互信任的关系网结构。
结合图4所示,对信任度数据库6的修正,是根据转发正常邮件的操作由邮箱监视器系统做出的判定对源地址信任度的奖励,从而形成安全目标对象之间的相互信任关系滤网。这就是系统级扩展,是基于信任关系扩展到整个邮件体系,由点到面的扩展应用。扩展如下一、把所有信任判决的作用积累到作用对象的域,就可以形成一个域级的信任关系,扩展至系统级应用;二、为了加强信任关系的生成与作用,作如下断言,一个信任的对象,其信任的对象也可能是可靠的。将其作用于信任关系系统,定义作用对象的信任度有传递关系某用户A9向某用户B10发信(某用户B10在某用户A9的信任度增加),某用户B10向某用户C11发信(某用户C11在某用户B10的信任度增加),则此传递关系会导致产生某用户A9向某用户C11发信的同样效果(某用户C11在某用户A9的信任度增加),效果的幅度与中间对象(某用户B10)的信任度成正比。此传递关系为不可逆单向传递,由邮件系统作为信任裁决者向某用户A9做出对某用户C11的信任度奖励。经于传递作用,可以加剧信任各角色信任度的变化速度,目的是使现有安全的目标对象之间形成一个稳定的相互信任的关系网结构社区,而使得作为外来者的垃圾邮件发起对象,更加难以渗透。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改,等同替代和改进等,均应包含在本发明的保护范围内。
权利要求
1.一种垃圾邮件处理系统,该系统包括设置在邮件服务器SMTP中的垃圾邮件过滤器模块、病毒分析器模块,其特征在于还包括(1)邮箱监视器模块,用于监视邮箱操作行为,对邮件分检;(2)按邮件地址记录有邮件信任度数值的信任度数据库;以及(3)信任度评判模块,该模块调用信用度数据库中存储的当前邮件的信任度值与预定的参考信任度数值比较分检当前邮件;邮箱过滤器模块根据过滤器模块,病毒分析器模块,以及信任度评判模块对邮件的处理结果,修改信任度数据库中存储的该邮件的信任度数值,降低被分检为垃圾邮件的邮件信任度值,升高被分检为正常邮件的邮件信任度值。
2.根据权利要求1所述的一种垃圾邮件处理系统,其特征在于所述信任度评判模块评判的方式为绝对信任判断或者相对信任判断。
3.根据权利要求1所述的一种垃圾邮件处理系统,其特征在于初始状态下,信任度数据库中存储的信任度值为低。
4.根据权利要求1,2或3述的一种垃圾邮件处理系统,其特征在于信任度数据库中存储有域级的信任度关系数据;邮件监视器模块的裁决范围为邮箱地址所在的域,即邮件监视器模块收集转呈当前邮件的邮件地址,并依据对当前邮件的分检结果修改转呈当前邮件的邮件地址的信任度数据。
5.一种分检垃圾邮件的方法,该方法应用的系统包括经过黑、白名单审核模块、垃圾邮件过滤器模块、病毒分析器模块,其特征在于该方法包括步骤(1)按邮件的地址从信任度数据库中找出相对应源地址的信任度数值与设定范围相比较,大于设定范围最大值以上的判定为正常邮件,将邮件分检入正常邮箱;小于设定范围最小值以下的判定为垃圾邮件,将邮件分检入垃圾邮箱;落在设定范围的最大最小值之间的进行步骤(2);(2)经垃圾过滤器模块和病毒分析器模块做进一步分检处理,在两次过滤分检处理过程中,任何一次过滤不合格,则将邮件判定为垃圾邮件,分检到垃圾邮箱,两次过滤均合格的进行步骤(3);(3)将信任度数据库中相对应源地址的信任度数值与设定范围最大最小值的平均值进行比对,大于该平均值的邮件判定为正常邮件,将邮件分检入正常邮箱,小于该平均值的邮件判定为垃圾邮件,将邮件分检入垃圾邮箱;(4)按对邮件处理的结果,修订信任度数据库中邮件来源地址对应的信任度值,增加正常邮件地址对应的信任度值,减少垃圾邮件地址对应的信任度值。
6.根据权利要求5所述的分检垃圾邮件的方法,其特征在于对分检过程中所做出的每一次判定结果,均修订信任度数据库中邮件来源地址对应的信任度值。
7.根据权利要求5或6所述的分检垃圾邮件的方法,其特征在于服务器接收邮件后,首先核对信用度数据库中记录,判定是否为初访用户,若不是则转入步骤(1)处理,若是则先在配套数据库中对应初访邮箱地址赋予一个偏低的信任度数值,再转入步骤(1)处理。
8.根据权利要求5或6所述的分检垃圾邮件的方法,其特征在于修订信任度数据库中邮件来源地址对应的信任度值的步骤还包括依据对当前邮件来源地址对应的信任度值的增减,增减获得的转发当前邮件的其他邮件地址的信任度值。
全文摘要
本发明涉及一种垃圾邮件处理系统,包括设置在邮件服务器SMTP中的垃圾邮件过滤器模块、病毒分析器模块,还包括(1)邮箱监视器模块,用于监视邮箱操作行为,对邮件分检;(2)按邮件地址记录有邮件信任度数值的信任度数据库;以及(3)信任度评判模块,该模块调用信用度数据库中存储的当前邮件的信任度值与预定的参考信任度数值比较分检当前邮件;邮箱过滤器模块根据过滤器模块,病毒分析器模块,以及信任度评判模块对邮件的处理结果,修改信任度数据库中存储的该邮件的信任度数值,降低被分检为垃圾邮件的邮件信任度值,升高被分检为正常邮件的邮件信任度值。应用本发明的系统能够提高对邮件的处理、分检效果,增强对恶意来访的防范。
文档编号H04L12/56GK101060421SQ20061003515
公开日2007年10月24日 申请日期2006年4月19日 优先权日2006年4月19日
发明者周颢, 谢尚成 申请人:腾讯科技(深圳)有限公司