专利名称:为消息创建预测过滤器的方法和装置的制作方法
技术领域:
本发明的实施方式涉及通过网络传送的消息通信。更具体地,本发明涉及 一种利用消息特征的信誉数据库为消息创建预测过滤器的方法和装置。
背景技术:
人们通过多种方式彼此通信。例如, 一个人可通过网络(例如,因特网) 发送信息(例如,电子邮件、文本消息、多媒体消息等)至接收方。通常电子 邮件具有发送方地址、接收方地址、标题、主体以及其他部分。在电子邮件到 达接收方之前,其由邮件服务器处理。邮件服务器可包括过滤器,该过滤器与 消息的具体特征相关。如果出现某些特征(例如,域名、名称服务器、来源国 家、主IP地址等),已知其包含垃圾或有害联系的消息源,然后该电子邮件 被过滤并被阻止到达接收方。否则,该电子邮件被传递至接收方。消息的某些特征的出现可表明该消息对于硬件、软件和/或数据可能是危险的(例如,SPAM、钓鱼攻击(phish)、恶意软件、病毒、木马、蠕虫、拒 绝服务攻击和/或其他的垃圾消息)。SPAM是一种商业消息,例如电子邮件, 将广告显示给用户。钓鱼攻击是在合法消息的借口下欺骗性地从有信誉的公司 获得个人密码的过程。恶意软件、病毒、木马、蠕虫、拒绝服务攻击是嵌入电 子邮件中的潜在的危险程序的示例,并可以在接收方的计算机上被执行。过滤器帮助保护接收方的硬件、软件和数据免受损害。过滤器是包含关于 一般垃圾消息的特征的信息的数据结构,其由软件程序来使用,以阻止这些垃 圾消息的传送。例如,为已知发送SPAM、钓鱼攻击和其他垃圾消息的域创建 过滤器。也可为已知包括在SPAM电子邮件内的域创建过滤器。在任一情况 下,仅在电子邮件已经发送至接收方并确定为SPAM之后,为域创建过滤器。 因此,在为垃圾消息创建过滤器之前,可能发生损害。因此,需要一种在垃圾消息发送至接收方之前为域创建过滤器的方法和装置。发明内容本发明通常涉及一种用于为消息创建预测过滤器的方法和装置。在一个实 施方式中,过滤器信息连接到信誉数据库。如果消息特征的信誉与过滤器信息 相关联,则为该消息特征生成一个或多个过滤器。在一个实施方式中,预先生成SPAM过滤器。在又一实施方式中,利用启发式(heuristics)检测一个或多 个消息特征。基于检测一个或多个特征的结果, 一个或多个消息特征被列入黑 名单。如果消息特征的信誉与黑名单特征相关联,则生成一个或多个附加的消 息过滤器。
因此为了更详细地理解本发明的以上所述特征,将参照附图中示出的实施 方式对以上简要概述的本发明进行更具体描述。然而,应该注意,附图中只示 出了本发明典型的实施方式,因此不能认为是对本发明范围的限定,本发明可 允许其他等效的实施方式。图1示出了利用在本发明的一个实施方式中形成的过滤器生成模块的网 络的结构框图;图2示出了根据本发明的一个或多个实施方式用于生成过滤器的方法的 流程图;图3示出了根据本发明的一个或多个实施方式用于将消息特征列入黑名 单的流程图;虽然在此利用数个实施方式及示例性附图以示例的方式描述本发明,但本 发明的技术人员将认识到,本发明并不限于附图的实施方式或所述附图。应当 理解,附图以及其详细描述并不是意欲将本发明限制在所公开的特定形式,但 是相反地,本发明覆盖落入由所附权利要求限定的本发明的精神和范围之内的 所有修改、等价物和代替物。在此所使用的标题仅是用于编制的目的,并不意 在限制说明书和权利要求的范围。如在本申请通篇所使用的,随意使用"可以" (即,意思是必须)。同样,单词"包括"意思是包括但不限于。
具体实施方式
本发明的实施方式包括用于为消息创建预测过滤器的方法和装置。该装置 包含在后端消息系统的系统中,其中后端消息系统接收过滤器信息,并基于消 息特征的信誉,为该消息特征生成一个或多个附加过滤器。后端消息系统利用 现场统计为每一个消息特征更新信誉。图1示出了联网的计算机系统100的结构框图,计算机网络系统100包括发送方102、邮件服务器104、接收方106和后端系统108,其中每一个连接 到网络110。容易理解,虽然图1示例性地引用SPAM作为被过滤的消息类型, 可采用联网的计算机系统100用于为其他类型的垃圾电子邮件消息创建过滤 器,例如钓鱼攻击和嵌入病毒、蠕虫、木马等之中的至少一个的其他电子邮件。网络UO包含通信系统,其通过电线、电缆、光纤和/或由多种类型的己 知诸如集线器、转换器、路由器等网络元件实现的无线链路来连接计算机系统。 网络110可采用多种已知的协议,以在网络资源之间传送信息。例如,网络 IIO可以是利用诸如以太网、WiFi、 WiMax、 GPRS等多种通信设施的因特网 或企业内部互联网的一部分。发送方102可以是通过网络IIO发送电子邮件的设备,例如计算机、服务 器、个人数字助理(PDA)等。为了说明本发明的目的,发送方102是将SPAM 发送到接收方106的设备。通常通过包含域名和邮件名字的电子邮件来识别发 送方102。例如,邮件名字是与域名相关联的服务器内的用户名。如下所述, 发送方102也与一个或多个消息特征相关联。接收方106是能够连接到联网的计算机系统100并通过利用邮件服务器 104发送/接收电子邮件的任何设备。例如,接收方106可以是计算机、平板计 算机、个人数字助理(PDA)、诸如移动电话的移动通信设备等。接收方106包括CPU 122、辅助电路123、存储器124。 CPU 122可包括 本领域中已知的一个或多个微处理器。支持CPU 122工作的辅助电路123可 包括高速缓冲存储器、电源、时钟电路、数据寄存器、1/0接口等。存储器124 可包括随机接入存储器、只读存储器、可移动存储器、闪存和这些类型的存储 器的任意多种组合。存储器124通常指主存储器,并且部分地用作高速缓冲存 储器或缓冲存储器。存储器124存储多种软件包,包括邮件用户代理126和反 SPAM客户应用程序128。邮件用户代理126使得接收方能够与邮件服务器104 中存储邮件的收件箱相连。反SPAM客户应用程序128包括利用接收方106的SPAM策略和/或由后端系统108生成的过滤器来阻止SPAM传递至接收方 的软件。邮件服务器104通常设计为保持、组织电子邮件消息、并将电子邮件消息 从一个计算机(例如,发送方102)传送至另一个计算机(例如,接收方106) 的计算机和/或计算机系统。邮件服务器104也可在电子邮件被传送至接收方 106之前处理和/或存储电子邮件。邮件服务器104包括中央处理单元(CPU) 112、辅助电路114和存储器 116。 CPU 112可包括本领域中已知的微处理器。用于邮件服务器104的辅助 电路114可包括高速缓冲存储器、电源、时钟电路、数据寄存器、1/0接口等。 存储器116类似于上述的接收方106的存储器112。存储器116存储包括反 SPAM服务器应用程序118和邮件传送代理120的多种软件包。反SPAM服 务器应用程序118包括利用由后端系统108生成的SPAM过滤器来阻止被识 别为SPAM的电子邮件传递至接收方的软件。在一个实施方式中,SPAM过 滤器可用于阻止从邮件服务器的用户发送的SPAM的传送(例如,SPAM过 滤器用作出境过滤器)。邮件传送代理120在接收方106和发送方102之间接 收电子邮件。假定接收方106也可以发送电子邮件,并且发送方102也可以接 收电子邮件。邮件传送代理120可将电子邮件转发至另一台计算机,作为传递 过程的一部分。在联网的计算机系统100中,后端系统108利用数据服务(例如,数据存 储和/或处理)和/或应用程序服务(例如,软件代理和处理)支持邮件服务器 104和/或接收方106。应当假定一个或多个后端系统能够支持运行多种邮件服 务器应用程序的一个或多个服务器计算机,和/或能够支持运行多种客户应用 程序的一个或多个接收计算机。为了表述清楚,图1仅示出了一个仅仅支持一 个邮件服务器和一个接收计算机的后端系统。后端系统108包括辅助电路130、中央处理单元(CPU) 132和存储器134。 辅助电路130有助于实现CPU 132的功能性,并可包括高速缓冲存储器、电 源、时钟电路、数据寄存器、1/0接口等。CPU 132可包括本领域中已知的微 处理器。如上所述,存储器134与存储器122相似。存储器134存储多种软件 包和过滤器生成模块136。过滤器生成模块136是一组处理器可执行的指令, 用于生成在邮件服务器104和接收方106中使用的用于过滤SPAM的过滤器。后端系统108连接到信誉数据库138和特征关系数据库140。每个数据库 是数据记录的集合。信誉数据库138存储用于多种消息特征的信誉,包括黑名单特征。信誉通常是表明与垃圾消息的总数相关的消息特征的值。消息特征的 信誉由于多种原因或高或低。例如,如以下说明,被列入黑名单的主IP地址、 被列入黑名单的域、和/或被列入黑名单的名字服务器具有低信誉。在另一个示例中,具有现有的反SPAM过滤器的域也具有低信誉。特征关系数据库140存储关于诸如主IP地址、名字服务器、域名等的多 种特征之间的关系(即,关联)的信息。例如,如果域分解为主IP地址,则 域与主IP地址相关。另外,主IP地址与寄主该IP地址的名字服务器相关。 在一个实施方式中,如果主IP地址具有消息过滤器,然后任何标有该域(例 如,在主体中,头为发送方域等)的邮件被做标记,和/或被阻止到达接收方 106,如下所示。多种消息特征包括但不限于关于以下内容的信息网站内容;具有恶意软 件、间谍软件和SPAM的多个网站;名字服务器;主IP地址;来源国家;域 注册的所在地;域区文件记录的生存时间;与域相关的多个名字服务器;whois 数据(即,域注册信息查找);名字服务器对域的变化次数;表明名字服务器 与域是否具有相同名字的值;表明域是否用于域检测的值(即,在ICANN规 则下的所属高级域的域注册开始时,利用五天"宽限期"来检测域名的可销售 性的注册者的实践活动);主IP地址的国家位置;基于客户现场统计数据, 从域或主IP地址发送的电子邮件、垃圾邮件和/或病毒量;已知用于发送广告、 恶意软件或SPAM的其他跟踪类目、开放转发、IP地址分配的主IP地址和/ 或域以及IP地址或IP地址的范围的使用历史。基于当前可用于公共消费的多个特征,以及基于从该范围中的客户返回的 现有产品的信息信誉系统所特有的一些特征建立信誉系统138。利用来自多种 产品和应用程序(例如,反SPAM服务器应用程序118和反SPAM客户应用 程序128)的范围统计数据来更新信誉数据库138,所述产品和应用程序用于 跟踪和采集可公开获得的数据,例如关于网站内容、来源国家数据等的信息。 现场统计数据通常用于测量SPAM的增长。在一个实施方式中,现场统计数 据提供关于反SPAM过滤器的触发特性以及全部己处理的邮件量的反馈。现 场统计数据也可包括关于全部SPAM的出现、SPAM中的趋势和SPAM中的常用语的信息。在多数情况下,既可由个人用户也可由法人实体、政府机构等 来生成现场统计数据。从美国、以及欧洲、非洲、亚洲、澳洲、加拿大、中美 洲和南美洲采集现场统计数据。同样地,由于特征变得或多或少与当前世界上出现的SPAM相关联,因 此,特定消息特征的信誉随着时间改变。例如,如果特定主IP地址在信誉数据库138中已经保持了高信誉,则该主IP地址将很可能不与将来的SPAM相 关联。在一个实施方式中,分解为该特定IP地址的域也将很可能不与SPAM 相关联。因此,当邮件消息的主体具有分解为特定IP地址的其中一个域,该 邮件消息很可能不是SPAM。除非存在其他原因来阻止该邮件消息,否则应该 继续到接收方的收件箱。另一方面,如果该特定主IP地址具有非常低的信誉,那么分解为该主IP 地址的域也具有非常低的信誉。主IP地址可能由于多种原因而具有非常低的 信誉。即使在SPAM中实际上并没有使用分解为该主IP地址的一个或多个域, 其很有可能用在SPAM中,这是由于其与特定主IP地址的关系。因此,为所 有的分解为特定主IP地址的域创建预测过滤器。在一个或多个实施方式中, 每个过滤器将包含用于识别域的信息(例如,在主体、消息标题、主题和/或 邮件的任意其他部分中)。为这类域创建的预测过滤器可与用于阻止SPAM 传送的反SPAM服务器应用程序118和/或反SPAM客户应用程序128进行通信。在本发明的一个实施方式中,如果消息特征的信誉与最近消息过滤器中的 一个或多个消息特征相关联和/或相关,则后端系统108与邮件服务器104和 接收方106合作生成一个或多个消息过滤器(例如,SPAM过滤器)。后端系 统108在产生垃圾消息之前生成新的消息过滤器(即,以预测的方式产生过滤 器)。例如,如果后端系统108接收最近的消息过滤器,该消息过滤器配置为 过滤在主体中具有特定主IP地址的电子邮件,如上所述,那么后端系统108 将在信誉数据库138中査找特定主IP地址,并识别与特定主IP地址相关联的 一个或多个消息特征。在此示例中,所述一个或多个消息特征可以是名字服务 器、分解为特定主IP地址的域名、来源国家等。如果所述一个或多个消息特 征的任意一个的信誉表明该消息特征在不久的将来很可能与SPAM相关联, 那么为该消息特征创建一个或多个消息过滤器。在一个实施方式中,所述一个或多个消息过滤器与邮件服务器104中的反SPAM服务器应用程序118和/或接收方106中的反SPAM客户应用程序128 进行通信。反SPAM服务器应用程序118和/或反SPAM客户应用程序128可 使用一个或多个消息过滤器来评估进来的/外发的电子邮件消息,识别作为 SPAM的一个或多个电子邮件消息,然后阻止SPAM传送到它们预期的接收方。图2示出了用于生成过滤器的方法200的流程图。方法200始于步骤202, 进入到步骤204。在步骤204, 一个或多个SPAM过滤器连接到后端系统108。 在步骤204期间,在整个世界范围内,反SPAM应用服务器和产品为最新的 SPAM中所流行的特征产生SPAM过滤器,随后将SPAM过滤器传递到后端 系统108。在步骤206,基于存储在信誉数据库138中的消息特征的信誉,确定是否 生成一个或多个预测SPAM过滤器,其中所述消息特征与一个或多个SPAM 过滤器相关联。在歩骤206期间,包含在SPAM过滤器中的消息特征用于识 别信誉数据库138中的其他消息特征,其中所述消息特征呈现出与SPAM过 滤器相关。例如域名与名字服务器(例如,域名服务器)相关联,其中名字服 务器将域名映射到IP地址。因此,如果为域名创建SPAM过滤器,且名字服 务器的信誉表明该名字服务器的很可能用于映射为SPAM已知的域(例如, SPAMMY域),那么应当为使用该名字服务器的每一个域创建SPAM过滤器。 此外,如果该名字服务器位于尼日利亚,作为来源国家消息特征的尼日利亚的 信誉表明来自尼日利亚的电子邮件很可能是SPAM,那么应当为来源于尼曰利 亚的任一名字服务器的电子邮件生成SPAM过滤器。如果能够生成一个或多个预测SPAM过滤器,方法200则进入步骤208。 在步骤208,为每个相关消息特征生成一个或多个预测SPAM过滤器,其中所 述每个相关消息特征的信誉表明该相关消息特征在将来很可能与SPAM相关。 创建具有足够的关于相关消息特征的信息的数据结构,以阻止具有该相关消息 特征的电子邮件的传送。在一个实施方式中,每个和每一个预测SPAM过滤 器散布在全世界的反SPAM产品和应用程序中。如果没有预测过滤器生成,那么方法200进入步骤210。如果在信誉数据 库138中没有与SPAM过滤器相关联的消息特征,禾B/或相关消息特征的信誉没有表明该相关消息特征将很可能用于SPAM,则不产生预测过滤器。例如,如上所述,即使己知用于发送SPAM的名字服务器与消息特征尼日利亚相关 联,其中尼日利亚由名字服务器产生的SPAM的来源国家,由于很多其他因 素,尼日利亚仍然可以不具有为来源于尼日利亚任一名字服务器的所有电子邮 件授权产生SPAM过滤器的信誉值。在一个实施方式中,在与数百个合法电 子邮件用户使用的非SPAM名字服务器混合在一起的尼日利亚所有名字服务 器中,可能只有一个为SPAM已知的名字服务器。在来源于尼日利亚每个电 子邮件中放入统一的过滤器将是不公平和轻率的。很多情况下,非SPAM电 子邮件将被看成SPAM并被且过滤掉。在步骤210,基于SPAM过滤器使用的消息特征的信誉,确定是否改变一 个或多个SPAM过滤器和/或信誉。在步骤210期间,如果信誉未表明该消息 过滤器很有可能在将来的SPAM中使用,该消息特征的SPAM过滤器将不再 能够有效地阻止SPAM的传送。替代地,SPAM过滤器将阻止合法电子邮件 的传送。在一个实施方式中,消息过滤器的信誉基于世界范围内的由多种反 SPAM和电子邮件产品以及应用程序产生的现场统计数据而改变。如果一个或 多个SPAM过滤器和/或信誉应被改变,那么该方法将进入步骤212。如果没 有SPAM过滤器和/或信誉应被改变,那么该方法将进入步骤214。在步骤212,改变一个或多个SPAM过滤器和/或信誉。在步骤214,方法 200进入方法300,如在以下图3中所述。在一个实施方式中,由于需要更多 SPAM过滤器,可重复进行方法200。在一个可选的实施方式中,方法200在 步骤214结束。在任一情况下,使用由世界范围的多种反SPAM和电子邮件 产品以及应用程序产生的统计数据的一个或多个部分来更新信誉数据库。图3示出了用于另外处理SPAM过滤器和信誉数据库138的方法300的 流程图。如上所述,方法300从方法200的步骤212继续。在一个实施方式中, 方法300始于步骤302并进入歩骤304。在步骤304,利用启发式检测一个或多个消息特征,以确定是否能够创建 一个或多个预测SPAM过滤器。在一个实施方式中,仅检测没有被选择用于 SPAM过滤器生成的信誉数据库138的消息特征。从现场统计数据和/或网络 程序调用(例如,ping、 trace、 whois、 nslookup等)收集启发式使用的信息。 启发式检测可包括但不限于确定域的主IP地址是否已经被列入黑名单,确定网页的内容是否包括先前识别的SPAM或恶意软件内容,确定名字服务器是否具有可配置百分比的SPAM网站,确定域注册日期(例如,从VeriSign或 whois査找中获得)比可定义的时限更近,和/或确定在主IP地址和已知的僵 尸计算机(zombies)或僵尸网络(botnets)之间是否重叠。在另一个实施方 式中,启发式检测可将消息特征与SPAMMY分布(profile)(例如,关于与 SPAM相关联的消息特征的数据)相比较,以确定是否应该生成过滤器。例如, 将.org域的发起注册者与SPAMMY分布相比较。在另一个实施方式中,利用 规则的表述,将域名和/或名字服务器与SPAMMY分布(例如,SPAMMY用 语)相比较。在步骤306,确定启发式检测是否返回肯定的结果。如果该结果是肯定的, 那么方法300进入步骤308。如果该结果是否定的,那么该方法进入步骤310。 在歩骤308, 一个或多个特征被列入黑名单,且改变它们在信誉数据库中的信 誉表明它们已经被列入黑名单。例如,如果名字服务器满足或超过可配置的百 分比,如上所述,该名字服务器自身被列入黑名单,并生成该名字服务器的过 滤器。在另一个实施方式中,如果IP地址具有十个或更多名字服务器,且每 个名字服务器都仅具有一个与该名字服务器具有相似名字的域,则该IP地址 被列入黑名单,和/或生成过滤器。在一个实施方式中,如果特征被列入黑名 单,则为每个相关特征生成一个或多个SPAM过滤器,所述每个相关特征的 信誉表明该相关特征将包含在SPAM中。在步骤310,使用现场统计数据来更新信誉数据库138。在进行步骤310 期间,基于SPAM的变脸(changing face)来修改信誉数据库的一个或多个消 息特征的信誉。例如,SPAM的个人犯罪不时地改变它们的技术(例如,改变 它们的域、主IP地址、来源国家等)。更新信誉,以反映该域和/或主IP地址 不再与SPAM相关联的事实。如果存在现有的SPAM过滤器用于该域和/或主 IP地址,则如上所述,其应该被改变(例如,终止服务),。在步骤312,结 束该方法。以下是一个或多个实施方式的示例。随着由该范围中的产品和应用程序产 生反SPAM过滤器,确定域abc.com为SPAM,并创建过滤器。在创建过滤器 时,记录主IP地址和名字服务器(abc.com, 123.123.123.123,名字服务器l)。 随着时间的流逝,在域def.com和ghi.com上生成附加的过滤器,这是因为这些域具有相同的IP地址,如abc.com (123.123.123.123)。此时,该IP地址 被列入黑名单,且进入后端系统108中的分解为主IP地址123.123.123.123的 任何域都为该地址自动创建过滤器。随着过程的继续,附加的IP地址被列入 黑名单,(124.124.124.124、 125.125.125.125和126.126.126.126),这是因为 这些IP地址都位于相同的名字服务器上,如123.123.123.123 (名字服务器1)。 这里,名字服务器1被列入黑名单,并导致位于名字服务器1上的所有IP地 址被列入黑名单,名字服务器1依次将这些IP地址上的所有域列入黑名单。 利用启发式,利用从当前的反SPAM过滤器采集的现场数据,来预测最好立 即过滤哪些消息特征,例如域。如果看起来写在域abc.com上的SPAM过滤器 触发(firing)并捕获大量SPAM,那么域abc.com和通过IP地址和名字服务器与 该域相关的域族将被选择作为反SPAM过滤器的候选。 概要来说,前述过程操作如下过滤器-> abc.com-> 123.123.123.123 ->名字服务器1 过滤器-> def.com->123.123.123.123 ->名字服务器1 过滤器->ghi.com-> 123.123.123.123 ->名字服务器1 黑名单—> 123.123.123.123自动过滤器-> xdc.com-> 123.123.123 ->名字服务器1 自动过滤器-〉skw.com-> 123.123.123 -〉名字服务器1 过滤器-> kef.com-> 124.124.124.124->名字服务器1 过滤器->jkl.com-> 124.124.124.124->名字服务器1 过滤器->swe.com-> 124.124.124.124->名字服务器1 黑名单画> 124.124.124.124自动过滤器画> rrr.com-> 124.124.124.124->名字服务器1 过滤器-> qls.com-> 125.125.125.125 ->名字服务器1 过滤器-> toc.com-> 125.125.125.125 ->名字服务器1 过滤器->llk.com-> 125.125.125.125 ->名字服务器1 黑名单-> 125.125.125.125过滤器->spm.com-> 126.126.126.126->名字服务器1 过滤器-> pam.com-> 126.126.126.126->名字服务器1 过滤器-> opo.com-〉 126.126.126.126->名字服务器1黑名单-> 126.126.126.126黑名单-> 名字服务器1自动过滤器-> 123.com-〉 121.122.100.101 ->名字服务器1 自动过滤器-> 45r.com-> 122.100.12.100->名字服务器1 虽然前述涉及本发明的实施方式,但在不偏离本发明的基本范围内可设计 其它的和进一步的实施方式,并且本发明的范围由以下权利要求书确定。
权利要求
1、一种为消息预测性地创建过滤器的方法,包括将过滤器信息连接到信誉数据库;以及如果消息特征的信誉与所述过滤器信息的至少一部分相关联,则为所述消息特征生成至少一个过滤器。
2、 根据权利要求1所述的方法,其特征在于,所述生成至少一个过滤器的步骤还包括将所述过滤器信息与所述信誉数据库中的信誉信息相比较。
3、 根据权利要求1所述的方法,其特征在于,还包括如果所述过滤器信 息的至少一部分的信誉不再与特定的信誉相关联,则改变所述过滤器信息的至 少一部分。
4、 根据权利要求1所述的方法,其特征在于,还包括利用启发式检测所 述信誉数据库的至少一个消息特征。
5、 根据权利要求4所述的方法,其特征在于,还包括基于所述启发式的 决定,将所述至少一个消息特征列入黑名单。
6、 根据权利要求1所述的方法,其特征在于,使用由不同消息客户和过 滤应用程序产生的统计数据来更新所述信誉数据库。
7、 根据权利要求1所述的方法,其特征在于,所述消息特征包括关于以 下内容的至少一个信息网站内容;具有恶意软件、间谍软件和SPAM中的 至少一个的多个网站;名字服务器;主IP地址;来源国家;域注册的所在国 家;域区文件记录的生存时间;与域相关的多个名字服务器;whois数据;所 述名字服务器对所述域的变化次数;表明所述名字服务器是否与所述域具有相 同名字的值;表明所述域是否用于域检测的值;至少一个所述主IP地址的国 家位置;基于客户现场统计数据从所述域和主IP地址中的至少一个发送的电 子邮件、垃圾邮件和/或病毒量中的至少一个;己知用于发送SPAM的跟踪类 目、开放转发、IP地址分配的多个主IP地址和域;以及至少一个IP地址的使 用历史和IP地址的范围。
8、 根据权利要求1所述的方法,其特征在于,所述过滤器信息包括至少 一个过滤器,用于名字服务器、域名、来源国家和主IP地址中的至少一个, 其中所述至少一个过滤器与最近的SPAM相关。
9、 根据权利要求4所述的方法,其特征在于,所述启发式包括以下之中 的至少一个确定所述域的主IP地址是否已经被列入黑名单,确定网页的内容是否包括先前识别的SPAM或恶意软件内容,确定名字服务器是否具有可配置百分比的SPAM网站,确定域注册日期是否比可定义的时限更近,确定在主IP地址和已知的僵尸计算机或僵尸计算机中的至少一个之间是否重叠,以及将消息特征与SPAM的常用语的分布相比较以确定是否应该生成过滤器。
10、 根据权利要求6所述的方法,其特征在于,所述统计数据包括关于网 站内容、来源国家数据、全部SPAM的出现、全部电子邮件的使用、SPAM 中的趋势、SPAM中的常用语、和过滤器的触发特性之中至少一个的信息。
11、 一种用于为消息创建预测过滤器的装置,包括 信誉数据库;以及过滤器生成模块,其用于将过滤器信息连接到所述信誉数据库,并基于与 所述过滤器消息的至少一部分相关联的消息特征的信誉为所述消息特征生成 至少一个过滤器。
12、 根据权利要求ll所述的装置,其特征在于,还包括用于将所述过滤 器信息与所述信誉数据库内的信誉信息相比较的装置。
13、 根据权利要求ll所述的装置,其特征在于,还包括如果所述过滤器 信息的至少一部分的信誉不再与特定的信誉相关联则改变所述过滤器信息的 至少一部分的装置。
14、 根据权利要求ll所述的装置,其特征在于,还包括用于依靠启发式 来检测所述信誉数据库的至少一个消息特征的装置。
15、 根据权利要求14所述的装置,其特征在于,还包括用于基于所述启发式的决定将所述至少一个特征列入黑名单的装置。
16、 根据权利要求ll所述的装置,其特征在于,还包括用于利用由不同 的消息客户和过滤应用程序产生的统计数据来更新所述信誉数据流的装置。
17、 一种用于创建预测过滤器的系统,包括 接收计算机和邮件服务器中的至少一个,以提供过滤器信息; 后端系统,用于将所述过滤器信息连接到信誉数据库,所述后端系统包括过滤器生成模块,以基于与所述过滤器消息的至少一部分相关联的消息特征的 信誉为所述消息特征生成至少一个过滤器。
18、根据权利要求17所述的系统,其特征在于,所述邮件服务器和接收 计算机中的至少一个提供统计数据,以更新所述消息特征的信誉。
全文摘要
本发明公开了一种为消息创建预测过滤器的方法和装置。在一个实施方式中,过滤器信息连接到信誉数据库。如果消息特征的信誉与过滤器信息的一个或多个部分相关联,则为消息特征生成一个或多个过滤器。在一个实施方式中,生成SPAM过滤器。在又一实施方式中,使用启发式来检测一个或多个消息特征。基于启发式的决定,将一个或多个消息特征列入黑名单。如果消息特征的信誉与列入黑名单的特征相关联,生成一个或多个附加的消息过滤器。
文档编号H04L29/06GK101335721SQ20081011143
公开日2008年12月31日 申请日期2008年6月12日 优先权日2007年6月28日
发明者埃米特·卡西迪, 迪伦·莫尔斯 申请人:赛门铁克公司