:
[0109] 可选的,所述缓存中包括白名单,用于存储可信任发件服务器的外发IP地址以及 误判的非正常发件方IP地址。
[0110] 上述技术方案具有如下有益效果:因采用了根据基于实时黑名单的IP历史记录及 衰减值结合计算信誉值来进行IP地址分类的技术手段,所以不仅保持了实时黑名单简便高 效的优点,还可根据已知黑名单发现未知黑名单,大幅降低了误判率和漏判率,提高了邮件 收发质量。
[0111]实施例二
[0112] 图2为本发明实施例一种基于IP信誉值的邮件反垃圾系统的结构图,如图所示,包 括:
[0113] 邮件服务器201,用于识别发件方IP地址;
[0114] IP过滤单元202,用于查询缓存中的分类信息,确认所述发件方IP地址是否正常; 所述分类信息包括指定时间段内所接收邮件对应的IP地址及所述IP地址是否正常的标识; 本实施例优选的,所述指定时间段为最近的一个时间段,如,缓存中记录的是最近一个小时 内接收邮件对应的IP地址,并包括其是否正常的标识。
[0115] IP分类器203,用于当所述缓存中不能查到该发件方IP地址时,则进行IP分类计 算,得到该发件方IP地址的分类信息并写入所述缓存中;
[0116] 该IP分类器包括:
[0117] 历史记录查询子单元2031,用于查询邮件服务器保存的IP历史记录中,该发件方 IP地址出现的历史时亥Ijt的列表hist(x,c) =〈tl,t2,t3,···>,〇 = 0或1;其中,C = O表示计算 该发件方IP地址的出现的历史时刻的列表,c = l表示计算该发件方IP地址所属类别中所有 IP地址出现的历史时刻的列表;
[0118] 邮件服务器保存的IP历史记录包括实时黑名单列表RBL,以及部分已过期的RBL。
[0119] 比如,RBL保存的是1个月内的黑名单,而IP历史记录保存的是3个月的黑名单,而 该3个月的黑名单包括最近的一个月内的黑名单RBL,和已经过期的2个月的黑名单,SMP 历史记录的数据来源是RBL,但比RBL的时间区间更长。
[0120] 需要说明的是,这里的IP历史记录以及RBL都是黑名单的列表,而上边提到的缓存 中的分类信息是接收到的所有邮件的IP地址信息;且优选的,缓存仅记录1个小时的数据, 而RBL记录1个月的数据,IP历史记录记录3个月的数据。
[0121] 本实施例使用的RBL包括三个来源:
[0122] I、spamhaus (-个国际性非营利组织,其主要任务是跟踪国际互联网的垃圾邮件 团伙,实时黑名单技术,协助执法机构辨别,追查全世界的垃圾邮件);
[0123] 2、spamcop(同spamhaus-样,是一个非盈利组织);
[0124] 3、邮件系统其他反垃圾模块(如账号黑名单,关键词过滤,内容过滤等)的反馈。
[0125] 优选的,IP历史记录只保存最近一段时期内(如3个月)的记录,一方面可以减少存 储量和计算量,另一方面,超过一定时期的记录对计算IP信誉值的影响很小。系统根据发件 方IP地址获取其是否在spamhaus、spamcop中,若在则记录至上述RBL中。邮件系统其他反垃 圾模块定期(如10分钟)反馈发送过垃圾邮件的IP信息,记录至上述RBL中,得到完整的IP历 史记录。
[0126] 实时黑名单列表RBL是有时效性的,一个IP这段时间发出的是垃圾邮件,但另一段 时间可能发出的是好邮件,因此RBL中的IP记录会实时动态变化。另外,一个IP列入RBL后, 近期很可能会再次被列入。因此记录并运用IP的历史行为,而不是只依据当前生效的RBL, 将提高垃圾邮件的拦截量,降低好邮件的误判量。
[0127] 历史记录衰减值计算子单元2032,用于计算每个历史时刻t相对当前时刻tn?的衰 减值decay(t,h) = 2-(t_-t)/h;其中,h为衰减因子,其单位与时间差的单位相同;即,IP列 入RBL的时间越长,对计算信誉值的影响越小。
[0128] 同类别IP个数查询子单元2033,用于查询该发件方IP地址所属的类别包含的IP个 数size(x,c),c = 0或1;其中,c = 0时,size(x,c) = l,c = l时表示查询所述发件方IP地址所 述类别包含的IP个数;
[0129] 信誉值计算子单元2034,用于计算该发件方IP地址的信誉值以及该发件方IP地址 所属类别的信誉值
;其中,c = 0时,ro为该发件方IP 地址的信誉值;c = 1时^为该发件方IP地址所属类别的信誉值;
[0130]二分类器2035,用于根据所述信誉值对所述发件方IP地址进行二分类,得到其分 类信息并写入所述缓存中;
[0131]后续反垃圾单元204,用于当该发件方IP地址的分类信息为正常时,进行后续反垃 圾程序;
[0132] 垃圾邮件处理单元205,用于当该发件方IP地址的分类信息为非正常时,将所述邮 件丢弃。
[0133] 可选的,该发件方IP地址所属类别为所述邮件的发件服务器域名对应的IP聚类或 所述邮件的后缀对应的IP聚类;和/或,与该发件方IP地址属同一自治系统AS的IP聚类。
[0134] 本实施例优选的,IP聚类包括两类数据:
[0135] 发件方服务器和账号的域名。
[0136] 如alibaba发件服务器的域名有XXX.mail .alibaba.com,则根据服务器域名信息, 可对相同域名下的IP地址聚类。mail225-129.mail .alibaba.com对应IP 42.156.225.129, mai 1232-237 .mail .alibaba .com 对应 IP42.120.232.237,从而将 42.156.225.129 和 42.120.232.237聚成一类,并且分配惟一类值。
[0137] 同样,邮箱账号的后缀也可以用来聚类IP。例如,通过账号XXX@sc0101.com,可将 23 · 228 · 67 · 20-23 · 228 · 67 · 30 聚成一类。
[0138] 路由信息
[0139] 在互联网中,一个自治系统(Autonomous System,AS)是一个有权自主地决定在本 系统中应采用何种路由协议的小型单位。因此,属于同一 AS下的IP地址具有高度相关性。
[0140] 可选的,所述历史记录衰减值计算子单元进行衰减值计算时:
[0141] 若tn?_t>d,则t相对当前时亥ljt_的衰减值
[0142]否则,decay (t,h) = 1;其中,d为所述邮件服务器中记录的该发件方IP地址的失效 时间。
[0143] 优选的,所述信誉值计算子单元还用于:
[0144] 计算归一化信誉值
[0145] 其中,MAX为rdPn的最大值:
[0146] 可选的,所述缓存中包括白名单,用于存储可信任发件服务器的外发IP地址以及 误判的非正常发件方IP地址;
[0147] 以及,所述IP过滤单元202还用于在所述查询缓存中的分类信息之前,确认所述发 件方IP地址未在所述白名单中。
[0148] 上述方案有如下有益效果:
[0149] 因采用了根据基于实时黑名单的IP历史记录及衰减值结合计算信誉值来进行IP 地址分类的技术手段,所以不仅保持了实时黑名单简便高效的优点,还可根据已知黑名单 发现未知黑名单,大幅降低了误判率和漏判率,提高了邮件收发质量。
[0150] 实施例三
[0151] 以下将结合一具体IP历史记录对上述过程进行更具体的阐释。
[0152] 图3为本发明实施例三,一种基于IP信誉值的邮件反垃圾方法的流程图。
[0153] 如图所示,包括以下步骤:
[0154] 步骤301,邮件服务器接收邮件,识别发件方的IP地址为211.93.3.240;
[0155] 步骤302,经查询,在缓存中不能查到该发件方IP地址;所述分类信息包括指定时 间段内所接收邮件对应的IP地址及所述IP地址是否正常的标识;
[0156] 本实施例优选的,所述指定时间段为最近的一个时间段,比如缓存中的分类信息 包括1小时内所有的IP地址信息以及其是否为正常IP的标识。经查询,缓存中的最近一小时 的IP记录中没有该发件方IP。
[0157] 步骤303,进行IP分类计算,得到该发件方IP地址的分类信息;
[0158] 步骤3031,查询邮件服务器保存的IP历史记录中,该发件方IP地址出现的历史时 亥1Jt的列表;
[0159] 邮件服务器保存的IP历史记录包括实时黑名单列表RBL,以及部分已过期的RBL。 [0160]需要说明的是,这里的IP历史记录以及RBL都是黑名单的列表,而上边提到的缓存 中的分类信息是接收到的所有邮件的IP地址信息;且优选的,缓存仅记录1个小时的数据, 而RBL记录1个月的数据,IP历史记录记录3个月的数据。
[01