專利名稱:網(wǎng)絡聲譽評分的制作方法
技術(shù)領域:
本文件通常涉及用于處理通信(communication)的系統(tǒng)和方法����,尤其是涉及用于
給與通信相關(guān)的實體進行分類的系統(tǒng)和方法。
背景 在反垃圾郵件行業(yè)中,垃圾郵件發(fā)送者使用各種創(chuàng)造性的裝置來躲避垃圾郵件過濾器進行的檢測����。這樣,通信從其起源的實體可提供是否應允許給定通信進入企業(yè)網(wǎng)絡環(huán)境的另一指示�����。 然而���,用于消息發(fā)送者進行分析的當前工具包括互聯(lián)網(wǎng)協(xié)議(IP)黑名單(有時稱為實時黑名單(RBL))和IP白名單(實時白名單(RWL))�。白名單和黑名單當然對垃圾郵件分類過程增加了益處;然而�,白名單和黑名單內(nèi)在地限于響應于每個查詢而提供一個二進制類型(YES/NO)。而且��,黑名單和白名單獨立地處理實體,并忽略與實體相關(guān)的各種屬性所提供的證據(jù)�����。
概述 提供了用于網(wǎng)絡聲譽評分的系統(tǒng)和方法��。用于給基于網(wǎng)絡的實體分配聲譽的系統(tǒng)可包括通信接口��、通信分析器、聲譽引擎和決策引擎��。通信接口可接收網(wǎng)絡通信����,且通信分析器可分析網(wǎng)絡通信以確定與網(wǎng)絡通信相關(guān)聯(lián)的實體��。聲譽引擎可根據(jù)以前收集的與實體相關(guān)聯(lián)的數(shù)據(jù)提供與實體相關(guān)聯(lián)的聲譽,且決策引擎可根據(jù)聲譽確定網(wǎng)絡通信是否被傳遞到接收者����。 用于給基于網(wǎng)絡的實體分配聲譽的方法可包括在邊緣保護設備處接收超文本傳輸協(xié)議通信�;識別與所接收的超文本傳輸協(xié)議通信相關(guān)聯(lián)的實體�����;查詢聲譽引擎以得到與實體相關(guān)聯(lián)的聲譽指示符�;從聲譽引擎接收聲譽指示符����;以及根據(jù)與實體相關(guān)聯(lián)的所接收的聲譽指示符關(guān)于超文本傳輸協(xié)議通信采取行動���。 在處理器上操作來執(zhí)行匯聚局部聲譽數(shù)據(jù)以產(chǎn)生全局聲譽矢量的計算機可讀介質(zhì)的例子可執(zhí)行以下步驟從請求的局部聲譽引擎接收聲譽查詢;取回多個局部聲譽��,所述局部聲譽分別與多個局部聲譽引擎相關(guān)聯(lián)�;匯聚多個局部聲譽;從局部聲譽的匯聚得到全局聲譽�����;以及以全局聲譽響應于聲譽查詢����。 其它示例性系統(tǒng)可包括通信接口和聲譽引擎。通信接口可從中央服務器接收全局聲譽信息�����,全局聲譽與實體相關(guān)聯(lián)���。聲譽引擎可根據(jù)所定義的局部偏好而偏置從中央服務器接收的全局聲譽�����。 另一示例性系統(tǒng)可包括通信接口 ����、聲譽模塊和業(yè)務量控制模塊。通信接口可從分布式聲譽引擎接收分布的聲譽信息��。聲譽模塊可匯聚分布的聲譽信息并根據(jù)分布的聲譽信息的匯聚得出全局聲譽���,聲譽模塊也可根據(jù)聲譽模塊所接收的通信得出局部聲譽信息�。業(yè)務量控制模塊可根據(jù)全局聲譽和局部聲譽確定與通信相關(guān)聯(lián)的處理�。 提供了用于匯聚聲譽信息的系統(tǒng)和方法。用于匯聚聲譽信息的系統(tǒng)可包括集中式聲譽引擎和匯聚引擎��。集中式聲譽引擎可從多個局部聲譽引擎接收反饋���。匯聚引擎可根據(jù)多個局部聲譽的匯聚得到被查詢的實體的全局聲譽。集中式聲譽引擎可響應于從局部聲譽引擎接收聲譽查詢而進一步向局部聲譽引擎提供被查詢的實體的全局聲譽�。
匯聚聲譽信息的方法可包括從請求的局部聲譽引擎接收聲譽查詢;取回多個局 部聲譽��,所述局部聲譽分別與多個局部聲譽引擎相關(guān)聯(lián)����;匯聚多個局部聲譽���;從局部聲譽 的匯聚得到全局聲譽;以及以全局聲譽響應于聲譽查詢��。 在處理器上操作來匯聚局部聲譽數(shù)據(jù)以產(chǎn)生全局聲譽矢量的計算機可讀介質(zhì)的 例子可執(zhí)行以下步驟從請求的局部聲譽引擎接收聲譽查詢���;取回多個局部聲譽���,所述局 部聲譽分別與多個局部聲譽引擎相關(guān)聯(lián);匯聚多個局部聲譽����;從局部聲譽的匯聚得到全局 聲譽;以及以全局聲譽響應于聲譽查詢����。 其它示例性聲譽匯聚系統(tǒng)可包括通信接口和聲譽引擎。通信接口可從中央服務器 接收全局聲譽信息�����,全局聲譽與實體相關(guān)聯(lián)�����。聲譽引擎可根據(jù)所定義的局部偏好偏置從中 央服務器接收的全局聲譽。 進一步的示例性系統(tǒng)可包括通信接口 �、聲譽模塊和業(yè)務量控制模塊。通信接口可 從分布式聲譽引擎接收分布的聲譽信息�。聲譽模塊可匯聚分布的聲譽信息并根據(jù)分布的 聲譽信息的匯聚得出全局聲譽,聲譽模塊也可根據(jù)聲譽模塊所接收的通信得出局部聲譽信 息�����。業(yè)務量控制模塊可根據(jù)全局聲譽和局部聲譽確定與通信相關(guān)聯(lián)的處理���。
提供了用于基于聲譽的網(wǎng)絡安全系統(tǒng)的系統(tǒng)和方法��?����;诼曌u的網(wǎng)絡安全系統(tǒng)可 包括通信接口��、通信分析器�、聲譽引擎和安全引擎���。通信接口可接收與網(wǎng)絡相關(guān)聯(lián)的進入的 通信的和傳出的通信。通信分析器可得到與通信相關(guān)聯(lián)的外部實體�����。聲譽引擎可得到與外 部實體相關(guān)聯(lián)的聲譽矢量。安全引擎可接收聲譽矢量并向詢問引擎發(fā)送通信����,其中安全引 擎根據(jù)聲譽矢量確定詢問引擎中的哪一個詢問通信。 其它基于聲譽的網(wǎng)絡安全系統(tǒng)可包括通信接口��、通信分析器�����、聲譽引擎和安全引 擎�����。通信接口可接收與網(wǎng)絡相關(guān)聯(lián)的進入的通信的和傳出的通信���。通信分析器可得到與通 信相關(guān)聯(lián)的外部實體��。聲譽引擎可得到與外部實體相關(guān)聯(lián)的聲譽�。安全引擎將優(yōu)先權(quán)信息 分配給通信����,其中安全引擎在外部實體是聲譽好的實體的情況下可向通信分配高優(yōu)先權(quán)���, 并在外部實體是聲譽差的實體的情況下可向通信分配低優(yōu)先權(quán),由此優(yōu)先權(quán)信息由一個或 更多個詢問引擎使用來提高對聲譽好的實體的服務的質(zhì)量�����。 根據(jù)安全威脅的聲譽來有效地處理通信的方法可包括根據(jù)與通信相關(guān)聯(lián)的發(fā)源 或目的地信息來接收與外部實體相關(guān)聯(lián)的通信��;識別與所接收的通信相關(guān)聯(lián)的外部實體��; 根據(jù)與外部實體相關(guān)聯(lián)的聲譽好的和聲譽差的標準得出與外部實體相關(guān)聯(lián)的聲譽����;根據(jù)與 外部實體相關(guān)聯(lián)的所得出的聲譽向通信分配優(yōu)先權(quán);根據(jù)分配給通信的優(yōu)先權(quán)對通信執(zhí)行 一個或更多個測試����。 根據(jù)聲譽有效地處理通信的方法可包括根據(jù)與通信相關(guān)聯(lián)的發(fā)源或目的地信息 來接收與外部實體相關(guān)聯(lián)的通信;識別與所接收的超文本傳輸協(xié)議通信相關(guān)聯(lián)的外部實 體����;根據(jù)與外部實體相關(guān)聯(lián)的聲譽好的和聲譽差的標準得出與外部實體相關(guān)聯(lián)的聲譽;將 通信分配到從多個詢問引擎中選擇的一個或更多個詢問引擎���,所述一個或更多個詢問引擎 的選擇基于與外部實體相關(guān)聯(lián)的所得出的聲譽和詢問引擎的能力�;以及對通信執(zhí)行所述一 個或更多個詢問引擎��。 提供了用于基于聲譽的連接抑制的系統(tǒng)和方法����。用于基于聲譽的連接抑制的系統(tǒng) 可包括通信接口、聲譽引擎和連接控制引擎���。通信接口可在建立到外部實體的連接之前接收與外部實體相關(guān)聯(lián)的連接請求�����。聲譽引擎可得出與外部實體相關(guān)聯(lián)的聲譽�����。連接控制引 擎可根據(jù)外部實體的所得出的聲譽拒絕對到被保護網(wǎng)絡的連接請求���。 根據(jù)聲譽抑制連接請求的方法可包括接收連接請求,所述連接請求與外部實體 有關(guān)���;查詢聲譽引擎以得到與外部實體相關(guān)聯(lián)的聲譽�����;將所述聲譽與相關(guān)聯(lián)于被保護的企 業(yè)網(wǎng)的策略進行比較�;根據(jù)確定與連接請求有關(guān)的外部實體的聲譽遵守策略,來允許連接 請求�;以及根據(jù)確定與互聯(lián)網(wǎng)協(xié)議語音電話連接請求有關(guān)的外部實體的聲譽不遵守策略, 來抑制連接請求�����。
圖1是描述示例性網(wǎng)絡的結(jié)構(gòu)圖����,本公開的系統(tǒng)和方法可在該網(wǎng)絡中進行操作。
圖2是描述本公開的示例性網(wǎng)絡體系結(jié)構(gòu)的結(jié)構(gòu)圖�����。 圖3是描述通信和實體的例子的結(jié)構(gòu)圖����,其包括用于檢測實體之間的關(guān)系的標識 符和屬性。 圖4是描述用于檢測關(guān)系并給實體分配風險的操作方案的流程圖�����。 圖5是示出示例性網(wǎng)絡體系結(jié)構(gòu)的結(jié)構(gòu)圖,其包括局部安全代理所儲存的局部聲
譽和一個或多個服務器所儲存的全局聲譽�。 圖6是示出基于局部聲譽反饋的全局聲譽的確定的結(jié)構(gòu)圖。 圖7是示出全局聲譽和局部聲譽之間的示例性轉(zhuǎn)化(resolution)的流程圖�。 圖8是用于調(diào)節(jié)與聲譽服務器相關(guān)聯(lián)的過濾器的設置的示例性圖形用戶界面。 圖9是示出用于互聯(lián)網(wǎng)協(xié)議語音電話(VoIP)或短消息服務(SMS)通信的基于聲
譽的連接抑制(connection throttling)的結(jié)構(gòu)圖���。 圖10是示出基于聲譽的負載均衡器的結(jié)構(gòu)圖。 圖11A是示出用于基于地理位置的身份驗證的示例性操作方案的流程圖��。 圖11B是示出用于基于地理位置的身份驗證的另一示例性操作方案的流程圖�����。 圖11C是示出用于基于地理位置的身份驗證的另一示例性操作方案的流程圖�。 圖12是示出用于基于聲譽的動態(tài)隔離的示例性操作方案的流程圖。 圖13是圖像垃圾郵件通信的示例性圖形用戶界面顯示�。 圖14是示出用于檢測圖像垃圾郵件的示例性操作方案的流程圖。 圖15A是示出用于分析通信的結(jié)構(gòu)的操作方案的流程圖���。 圖15B是示出用于分析圖像的特征的操作方案的流程圖����。 圖15C是示出用于標準化圖像以用于垃圾郵件處理的操作方案的流程圖��。 圖15D是示出用于分析圖像的指紋以在多個圖像中找到共同片段的操作方案的
流程圖。 詳細說明 圖1是描述示例性網(wǎng)絡環(huán)境的結(jié)構(gòu)圖���,本公開的系統(tǒng)和方法可在該網(wǎng)絡中進行操 作�。安全代理(security agent) 100—般可存在于在網(wǎng)絡110 (例如�����,企業(yè)網(wǎng))內(nèi)部的防火 墻系統(tǒng)(未示出)和服務器(未示出)之間�。如應被理解的,網(wǎng)絡110可包括很多服務器��, 包括例如可由與網(wǎng)絡110相關(guān)的企業(yè)使用的電子郵件服務器�、網(wǎng)絡服務器和各種應用服務 器。
安全代理100監(jiān)控進入和離開網(wǎng)絡110的通信��。 一般通過互聯(lián)網(wǎng)120從連接到互 聯(lián)網(wǎng)120的很多實體130a_f接收這些通信�����。實體130a_f中的一個或更多個可為通信業(yè)務 量的合法發(fā)起者�。然而,實體130a-f中的一個或更多個也可為發(fā)起不需要的通信的聲譽差 的實體�����。因此,安全代理100包括聲譽引擎���。聲譽引擎可檢查通信并確定與發(fā)起通信的實 體相關(guān)聯(lián)的聲譽��。安全代理100接著根據(jù)發(fā)端實體的聲譽對通信執(zhí)行動作����。如果聲譽指示 通信的發(fā)起者聲譽好����,那么例如��,安全代理可將通信轉(zhuǎn)發(fā)到通信的接收者��。然而��,如果聲譽 指示通信的發(fā)起者聲譽差�,那么其中例如,安全代理可隔離通信�,對消息執(zhí)行更多的測試, 或要求來自消息發(fā)起者的身份驗證���。在美國專利公布號2006/0015942中詳細描述了聲譽 引擎���,該申請由此通過引用被并入���。 圖2是描述本公開的示例性網(wǎng)絡體系結(jié)構(gòu)的結(jié)構(gòu)圖。安全代理100a-n被示為在 邏輯上分別存在于網(wǎng)絡llOa-n與互聯(lián)網(wǎng)120之間���。雖然沒有在圖2中示出�����,但應理解���,防 火墻可安裝在安全代理100a-n和互聯(lián)網(wǎng)120之間,以提供防止未授權(quán)的通信進入相應的網(wǎng) 絡110a-n的保護��。而且���,結(jié)合防火墻系統(tǒng)可配置侵入檢測系統(tǒng)(IDS)(未示出)�����,以識別活 動的可疑模式并在這樣的活動被識別出時用信號通知警報��。 雖然這樣的系統(tǒng)對網(wǎng)絡提供了某種保護��,但它們一般不處理應用層安全威脅���。例 如����,黑客常常試圖使用各種網(wǎng)絡類型的應用(例如�����,電子郵件�、網(wǎng)絡、即時消息(IM)���,等等) 來產(chǎn)生與網(wǎng)絡110a-n的前文本連接,以便利用由使用實體130a-e的這些不同的應用所產(chǎn) 生的安全漏洞����。然而,不是所有的實體130a-e都暗示對網(wǎng)絡100a-n的威脅�����。 一些實體 130a-e發(fā)起合法的業(yè)務量�����,允許公司的雇員與商業(yè)伙伴更有效地進行通信。雖然對可能的 威脅來說檢查通信是有用的��,但是維持當前的威脅信息可能很難��,因為攻擊被不斷地改進 以解決最近的過濾技術(shù)�����。因此��,安全代理100a-n可對通信運行多次測試��,以確定通信是否 是合法的���。 此外�����,包括在通信中的發(fā)送者信息可用于幫助確定通信是否是合法的�。因此��,復 雜的安全代理100a-n可跟蹤實體并分析實體的特征����,以幫助確定是否允許通信進入網(wǎng)絡 110a-n�??山又o實體110a-n分配聲譽。對通信的決定可考慮發(fā)起通信的實體130a-e的 聲譽�����。而且�����, 一個或更多個中央系統(tǒng)200可收集關(guān)于實體130a-e的信息�����,并將所收集的數(shù) 據(jù)分發(fā)到其它中央系統(tǒng)200和/或安全代理100a-n��。 聲譽引擎可幫助識別大量惡意通信�,而沒有通信的內(nèi)容的廣泛和可能昂貴的局部 分析(local analysis)���。聲譽引擎也可幫助識別合法通信��,并優(yōu)先考慮其傳輸�����,且減小了 對合法通信進行錯誤分類的風險��。而且����,聲譽引擎可在物理世界或虛擬世界中對識別惡意 以及合法事務的問題提供動態(tài)和預言性的方法。例子包括在電子郵件�、即時消息、VoIP�����、 SMS或利用發(fā)送者聲譽和內(nèi)容的分析的其它通信協(xié)議系統(tǒng)中過濾惡意通信的過程����。安全代 理100a-n可接著應用全局或局部策略,以確定關(guān)于通信對聲譽結(jié)果執(zhí)行什么動作(例如拒 絕��、隔離��、負載均衡�����、以所分配的優(yōu)先級傳輸、以額外的細查局部地進行分析)��。
然而���,實體130a-e可用各種方法連接到互聯(lián)網(wǎng)��。如應理解的��,實體130a-e可同時 或在一段時間內(nèi)具有多個標識符(例如�����,電子郵件地址�����、IP地址��、標識符文件���,等等)�����。例 如,具有變化的IP地址的郵件服務器可隨著時間的過去具有多個身份�。而且,一個標識符 可與多個實體相關(guān)���,例如���,當IP地址被很多用戶支持的組織共享時。而且��,用于連接到互聯(lián) 網(wǎng)的特定方法可能使實體130a-e的識別模糊不清�����。例如��,實體130b可利用互聯(lián)網(wǎng)服務提供商(ISP)200連接到互聯(lián)網(wǎng)��。很多ISP 200使用動態(tài)主機配置協(xié)議(DHCP)來將IP地址 動態(tài)地分配給請求連接的實體130b���。實體130a-e也可通過欺騙合法實體來偽裝其身份����。 因此,收集關(guān)于每個實體130a-e的特征的數(shù)據(jù)可幫助對實體130a-e加以分類���,并確定如何 處理通信��。 在虛擬世界和物理世界中創(chuàng)建和欺騙身份的容易性可能產(chǎn)生用戶惡意動作的動 機��,而不承擔該動作的后果�。例如��,在互聯(lián)網(wǎng)上被罪犯盜取的合法實體的IP地址(或在物 理世界中的被盜的護照)可能使該罪犯能夠通過假裝被盜的身份而相對容易地參與惡意 行動���。然而���,通過給物理實體和虛擬實體分配聲譽并識別它們可能使用的多個身份,聲譽系 統(tǒng)可能影響聲譽好的實體和聲譽差的實體來負責任地操作��,以免變得聲譽差且不能與其它 網(wǎng)絡實體交流或交互���。 圖3是描述通信和實體的例子的結(jié)構(gòu)圖��,其包括利用用于檢測實體之間的關(guān)系的 標識符和屬性��。安全代理100a-b可通過檢查被送往相關(guān)網(wǎng)絡的通信來收集數(shù)據(jù)���。安全代 理100a-b也可通過檢查由相關(guān)網(wǎng)絡分程傳遞的通信來收集數(shù)據(jù)。通信的檢查和分析可允 許安全代理100a-b收集關(guān)于發(fā)送和接收消息的實體300a-c的信息���,其中包括傳輸模式����、數(shù) 量(volume)�、或?qū)嶓w是否有發(fā)送某些類型的消息(例如,合法消息�����、垃圾郵件����、病毒、群發(fā)郵 件����,等等)的傾向。 如圖3所示��,每個實體300a-c分別與一個或更多個標識符310a-c相關(guān)聯(lián)��。標識 符310a-c可例如包括IP地址、統(tǒng)一資源定位器(URL)��、電話號碼����、M用戶名、消息內(nèi)容��、域�����, 或可描述實體的任何其它標識符����。而且,標識符310a-c與一個或更多個屬性320a-c相關(guān) 聯(lián)�。如應理解的,屬性320a-c符合所描述的特定標識符310a-c�。例如,消息內(nèi)容標識符可 包括屬性�,例如惡意軟件(malware)、數(shù)量��、內(nèi)容類型���、運行狀態(tài)�����,等等�。類似地���,與標識符例 如IP地址相關(guān)聯(lián)的屬性320a-c可包括與實體300a-c相關(guān)聯(lián)的一個或更多個IP地址��。
此外����,應理解�����,可從通信330a-c(例如�,電子郵件)收集的該數(shù)據(jù)一般包括發(fā)起通 信的實體的一些標識符和屬性。因此�����,通信330a-c提供用于將關(guān)于實體的信息傳遞到安全 代理100a�����、100b的傳送。通過檢查包括在消息中的標題信息��、分析消息的內(nèi)容����,以及通過匯 聚安全代理100a、100b以前收集的信息(例如��,合計從實體接收的通信的數(shù)量)����,安全代理 100a、100b可檢測這些屬性���。 可匯聚并利用來自多個安全代理100a�、100b的數(shù)據(jù)�。例如,數(shù)據(jù)可由中央系統(tǒng)匯 聚和利用�,中央系統(tǒng)接收與所有實體300a-c相關(guān)聯(lián)的標識符和屬性,安全代理100a��、100b 為實體300a-c接收了通信?�?蛇x地���,彼此傳遞關(guān)于實體300a-c的標識符和屬性信息的安 全代理100a�、100b可作為分布式系統(tǒng)進行操作���。利用數(shù)據(jù)的過程可使實體300a-c的屬性 彼此關(guān)聯(lián)��,從而確定實體300a-c之間的關(guān)系(例如,事件出現(xiàn)�、數(shù)量,和/或其它確定因素 之間的關(guān)聯(lián))�����。 這些關(guān)系可接著用于根據(jù)與每個標識符相關(guān)的屬性的關(guān)聯(lián)為所有標識符建立多 維聲譽"矢量"�。例如,如果具有聲譽差的已知聲譽的聲譽差的實體300a發(fā)送具有第一組屬 性350a的消息330a���,且接著未知實體300b發(fā)送具有第二組屬性350b的消息330b����,則安全 代理100a可確定第一組屬性350a的全部或一部分是否匹配第二組屬性350b的全部或一 部分。當?shù)谝唤M屬性350a的某個部分匹配第二組屬性350b的某個部分時���,可根據(jù)包括匹 配的屬性330a�、33b的特定標識符320a、320b來建立關(guān)系。被發(fā)現(xiàn)具有匹配的屬性的特定標識符340a��、340b可用于確定與實體300a�、300b之間的關(guān)系相關(guān)聯(lián)的強度。關(guān)系的強度可 幫助確定聲譽差的實體300a的聲譽差的性質(zhì)中有多少被歸于未知實體300b的聲譽���。
然而,還應認識到�,未知實體300b可發(fā)起包括屬性350c的通信330c,屬性350c與 發(fā)源于已知的聲譽好的實體300c的通信330d的一些屬性350d匹配���。被發(fā)現(xiàn)具有匹配的 屬性的特定標識符340c�����、340d可用于確定與實體300b�、300c之間的關(guān)系相關(guān)聯(lián)的強度����。關(guān) 系的強度可幫助確定聲譽好的實體300c的聲譽好的性質(zhì)中有多少被歸于未知實體300b的 聲譽。 分布式聲譽引擎還允許關(guān)于最近的威脅前景的全球情報的實時協(xié)作共享,對可由 過濾或風險分析系統(tǒng)執(zhí)行的局部分析提供即時保護的益處�,以及甚至在可能的新威脅出現(xiàn) 之前就識別這種新威脅的惡意來源。使用位于很多不同地理位置處的傳感器����,可與中央系 統(tǒng)200或與分布式安全代理100a、100b —起快速共享關(guān)于新威脅的信息��。如應理解的�,這 樣的分布式傳感器可包括局部安全代理100a、100b���,以及局部聲譽好的客戶機�����、業(yè)務量監(jiān)控 器,或適合于收集通信數(shù)據(jù)的任何其它設備(例如�,開關(guān)、路由器��、服務器�����,等等)。
例如�����,安全代理100a�����、 100b可與中央系統(tǒng)200進行通信����,以提供威脅和聲譽信息的 共享?���?蛇x地,安全代理100a��、100b可在彼此之間傳遞威脅和聲譽信息���,以提供最新的和準 確的威脅信息�。在圖3的例子中�,第一安全代理300a擁有關(guān)于未知實體300b和聲譽差的 實體300a之間的關(guān)系的信息,而第二安全代理300b擁有關(guān)于未知實體300b和聲譽好的實 體300c之間的關(guān)系的信息����。在沒有共享信息的情況下�����,第一安全代理300a可根據(jù)所檢測的 關(guān)系對通信采取特定的動作�����。然而����,知道未知實體300b和聲譽好的實體300c之間的關(guān)系����, 第一安全代理300a可利用來自未知實體300b的收到的通信來采取不同的動作。安全代理 之間的關(guān)系信息的共享因而提供更完整的一組關(guān)系信息�����,將針對該關(guān)系信息作出確定�����。
系統(tǒng)試圖將聲譽(反映一般傾向和/或分類)分配給物理實體����,例如執(zhí)行事務的 個人或自動化系統(tǒng)。在虛擬世界中��,實體由在實體正執(zhí)行的特定事務(例如��,發(fā)送消息或從 銀行帳號轉(zhuǎn)移資金)中聯(lián)系到這些實體的標識符(例如IP��、URL�、內(nèi)容)表示。因此根據(jù)那 些標識符的總體行為和歷史模式以及那些標識符與其它標識符的關(guān)系�,例如發(fā)送消息的IP 與包括在那些消息中的URL的關(guān)系,聲譽可被分配到那些標識符���。如果在標識符之間存在 強關(guān)聯(lián)����,則單個標識符的"差"聲譽可能使其它鄰近的標識符的聲譽惡化�。例如,發(fā)送具有 差聲譽的URL的IP將由于URL的聲譽而使其自己的聲譽惡化�。最后,單獨的標識符聲譽可 被匯聚成與那些標識符相關(guān)聯(lián)的實體的單個聲譽(風險評分)�����。 應注意,屬性可分成很多類別����。例如,證據(jù)屬性可表示關(guān)于實體的物理����、數(shù)字或數(shù) 字化的物理數(shù)據(jù)。該數(shù)據(jù)可歸于單個已知或未知的實體����,或在多個實體之間共享(形成實 體關(guān)系)。與消息安全有關(guān)的證據(jù)屬性的例子包括IP(互聯(lián)網(wǎng)協(xié)議)地址����、已知的域名、URL����、 實體所使用的數(shù)字指紋或簽名、TCP簽名����,等等�。 作為另一例子���,行為屬性可表示關(guān)于實體或證據(jù)屬性的人或機器分配的觀測結(jié) 果。這樣的屬性可包括來自一個或多個行為參數(shù)文件(behavioralprofile)的一個�����、很多 或所有屬性��。例如�����,通常與垃圾郵件發(fā)送者相關(guān)聯(lián)的行為屬性可依據(jù)從該實體發(fā)送的大量 通信��。 用于特定類型的行為的很多行為屬性可被合并以得出行為參數(shù)文件��。行為參數(shù)文 件可包括一組預定義的行為屬性�����。分配給這些參數(shù)文件的屬性特征包括與限定匹配參數(shù)文件的實體的傾向有關(guān)的行為事件�。與消息安全有關(guān)的行為參數(shù)文件的例子可包括"垃圾郵 件發(fā)送者"、"詐騙者"和"合法發(fā)送者"�。與每個參數(shù)文件相關(guān)的事件和/或證據(jù)屬性限定 參數(shù)文件應被分配到的適當實體。這可包括特定的一組發(fā)送模式�����、黑名單事件或證據(jù)數(shù)據(jù) 的特定屬性。 一些例子包括發(fā)送者/接收者身份識別�����;時間間隔和發(fā)送模式����;有效載荷的 嚴重度(severity)和配置;消息結(jié)構(gòu)�;消息質(zhì)量;協(xié)議和相關(guān)的簽名�;通信介質(zhì)。
應理解��,共享相同的證據(jù)屬性中的一些或全部的實體具有證據(jù)關(guān)系�����。類似地�����,共享 行為屬性的實體具有行為關(guān)系。這些關(guān)系幫助形成相關(guān)參數(shù)文件的邏輯組��,該關(guān)系接著被 適應性地應用�,以增強參數(shù)文件或略微差不多符合所分配的參數(shù)文件地來識別實體�����。
圖4是描述用于檢測關(guān)系并給實體分配風險的操作方案400的流程圖��。操作方案 在步驟410通過收集網(wǎng)絡數(shù)據(jù)開始����。數(shù)據(jù)收集可例如由安全代理100、客戶設備��、交換機���、路 由器或任何其它設備完成�����,所述其它設備可操作來從網(wǎng)絡實體(例如�����,電子郵件服務器�����、網(wǎng) 絡服務器��、頂服務器�����、ISP��、文件傳輸協(xié)議(FTP)服務器�、gopher服務器、VoIP設備等)接收 通信��。 在步驟420�,標識符與所收集的數(shù)據(jù)(例如通信數(shù)據(jù))相關(guān)聯(lián)。步驟420可由可操 作來從很多傳感器設備匯聚數(shù)據(jù)的安全代理100或中央系統(tǒng)200執(zhí)行��,包括例如一個或更 多個安全代理IOO�。可選地��,步驟420可由安全代理100本身執(zhí)行���。標識符可基于所接收 的通信的類型���。例如���,電子郵件可包括一組信息(例如,發(fā)起者和收信方的IP地址����、文本內(nèi) 容�、附件等),而VoIP通信可包括一組不同的信息(例如���,主叫電話號碼(或如果從VoIP客 戶發(fā)起則為IP地址)����、接收的電話號碼(或如果指定VoIP電話則為IP地址)��、語音內(nèi)容����, 等等)。步驟420也可包括分配具有相關(guān)標識符的通信的屬性����。 在步驟430�����,分析與實體相關(guān)聯(lián)的屬性���,以確定在實體之間是否存在任何關(guān)系,為 這些實體收集通信信息����。步驟430可例如由中央系統(tǒng)200或一個或更多個分布式安全代理 100執(zhí)行。分析可包括比較與不同實體有關(guān)的屬性以找到實體之間的關(guān)系�。而且,根據(jù)作為 關(guān)系的基礎的特定屬性�,強度可與關(guān)系相關(guān)聯(lián)。 在步驟440���,風險矢量被分配給實體����。作為例子���,風險矢量可由中央系統(tǒng)200或一 個或更多個安全代理100分配�����。分配給實體130 (圖1-2) ��、300(圖3)的風險矢量可基于在 實體之間存在的關(guān)系�����,并基于形成關(guān)系的基礎的標識符��。 在步驟450����,可根據(jù)風險矢量執(zhí)行動作����。該動作可例如由安全代理100執(zhí)行?���?蓪?與實體相關(guān)聯(lián)的收到的通信執(zhí)行動作,風險矢量被分配給該實體����。其中�,所述動作可包括允 許�、拒絕、隔離�����、負載均衡���、以所分配的優(yōu)先級傳輸���、以額外的細查局部地進行分析。然而�,應 理解,可單獨地得到聲譽矢量�����。 圖5是示出示例性網(wǎng)絡體系結(jié)構(gòu)的結(jié)構(gòu)圖��,其包括由局部聲譽引擎510a-e得到的 局部聲譽500a-e和一個或更多個服務器530所儲存的全局聲譽520�����。局部聲譽引擎510a-e 例如可與局部安全代理����,例如安全代理100相關(guān)聯(lián)�����?�?蛇x地����,局部聲譽引擎510a-e可例如 與本地客戶機相關(guān)聯(lián)�����。聲譽引擎510a-e中的每個包括一個或更多個實體的列表�,聲譽引擎 510a-e為這些實體儲存所得到的聲譽500a-e。 然而���,這些儲存的得到的聲譽在聲譽引擎之間可能是不一致的,因為每個聲譽引 擎可觀察到不同類型的業(yè)務量�。例如,聲譽引擎1510a可包括指示特定實體是聲譽好的聲 譽��,而聲譽引擎2510b可包括指示同一實體是聲譽差的聲譽�。這些局部的聲譽不一致性可基于從實體接收的不同業(yè)務量�?����?蛇x地�,不一致性可基于來自局部聲譽引擎1510a的用戶 的、指示通信是合法的反饋���,而局部聲譽引擎2510b提供指示同一通信是不合法的反饋�����。
服務器530從局部聲譽引擎510a-e接收聲譽信息����。然而��,如上所述��, 一些局部聲 譽信息可能與其它局部聲譽信息不一致�����。服務器530可在局部聲譽500a-e之間進行仲裁�����, 以根據(jù)局部聲譽信息500a-e確定全局聲譽520。在一些例子中�����,全局聲譽信息520可接著 被提供回局部聲譽引擎510a-e�,以給這些引擎510a-e提供最新的聲譽信息?����?蛇x地�����,局部 聲譽引擎510a-e可操作來查詢服務器530以得到聲譽信息��。在一些例子中����,服務器530使 用全局聲譽信息520響應于查詢���。 在其它例子中�����,服務器530將局部聲譽偏置(bias)應用到全局聲譽520���。局部聲 譽偏置可對全局聲譽執(zhí)行變換��,以給局部聲譽引擎510a-e提供全局聲譽矢量���,其根據(jù)發(fā)起 查詢的特定局部聲譽引擎510a-e的偏好而進行偏置。因此�,管理員或用戶對垃圾郵件消息 指示高容忍度(tolerance)的局部聲譽引擎510a可接收解釋所指示的容忍度的全局聲譽 矢量。返回到聲譽引擎510a的聲譽矢量的特定分量可能包括由于與聲譽矢量的其余部分 的關(guān)系而降低重要性的聲譽矢量的部分����。同樣,局部聲譽引擎510b可接收放大與病毒聲譽 有關(guān)的聲譽矢量的分量的聲譽矢量����,局部聲譽引擎510b指示例如來自具有發(fā)起病毒的聲 譽的實體的低容忍度通信。 圖6是示出基于局部聲譽反饋的全局聲譽的確定的結(jié)構(gòu)圖�。局部聲譽引擎600可 操作來通過網(wǎng)絡610向服務器620發(fā)送查詢。在一些例子中�,局部聲譽引擎600響應于從 未知實體接收通信而發(fā)起查詢。可選地�,局部聲譽引擎600可響應于接收任何通信而發(fā)起 查詢,從而促進更加新的聲譽信息的使用����。 服務器620可操作來使用全局聲譽確定響應于查詢。中央服務器620可使用全局 聲譽匯聚引擎630得到全局聲譽��。全局聲譽匯聚引擎630可操作來從相應的多個局部聲譽 引擎接收多個局部聲譽640�。在一些例子中,多個局部聲譽640可由聲譽引擎周期性地發(fā)送 到服務器620�。可選地����,多個局部聲譽640可由服務器在從局部聲譽引擎600中之一接收到 查詢時取回。 使用與每個局部聲譽引擎有關(guān)的置信值(confidence value)并接著積累結(jié)果�����,可 合并局部聲譽���。置信值可指示與相關(guān)聲譽引擎所產(chǎn)生的局部聲譽相關(guān)聯(lián)的置信度���。與個人 相關(guān)聯(lián)的聲譽引擎例如可接收在全局聲譽確定中較低的權(quán)重�����。相反,與在大型網(wǎng)絡上操作 的聲譽引擎相關(guān)聯(lián)的局部聲譽可根據(jù)與該聲譽引擎相關(guān)聯(lián)的置信值接收全局聲譽確定中 較大的權(quán)重�。 在一些例子中,置信值650可基于從用戶接收的反饋�。例如,可給接收很多反饋的 聲譽引擎分配與該聲譽引擎相關(guān)的局部聲譽640的低置信值650�����,這些反饋指示通信未被 正確地處理����,因為與通信相關(guān)的局部聲譽信息640指示錯誤的動作。類似地��,可給接收反饋 的聲譽引擎分配與該聲譽引擎相關(guān)的局部聲譽640的高置信值650�����,該反饋根據(jù)局部聲譽 信息640指示通信被正確地處理�,局部聲譽信息640與指示正確的動作的通信相關(guān)聯(lián)。與 不同聲譽引擎相關(guān)聯(lián)的置信值的調(diào)整可使用調(diào)節(jié)器660來完成�,調(diào)節(jié)器660可操作來接收 輸入信息并根據(jù)所接收的輸入調(diào)節(jié)置信值���。在一些例子中,根據(jù)被儲存的用于被錯誤地分 類的實體的統(tǒng)計資料��,置信值650可由聲譽引擎本身提供到服務器620�����。在其它例子中�,用 于對局部聲譽信息加權(quán)的信息可被傳遞到服務器620。
在一些例子中��,偏置670可應用于最終形成的全局聲譽矢量�。偏置670可標準化 聲譽矢量,以向聲譽引擎600提供標準化的全局聲譽矢量�。可選地��,可應用偏置670以解釋 與發(fā)起聲譽查詢的聲譽引擎600相關(guān)的局部偏好�。因此,聲譽引擎600可接收與查詢的聲 譽引擎600的確定的偏好匹配的全局聲譽矢量�����。聲譽引擎600可根據(jù)從服務器620接收的 全局聲譽矢量對通信采取動作����。 圖7是示出全局聲譽和局部聲譽之間的示例性轉(zhuǎn)化的結(jié)構(gòu)圖�。局部安全代理700 與服務器720進行通信���,以從服務器720取回全局聲譽信息。局部安全代理700可在702 接收通信���。局部安全代理可在704關(guān)聯(lián)通信以識別消息的屬性�����。消息的屬性可包括例如發(fā) 端實體����、消息內(nèi)容的指紋���、消息大小�,等等���。局部安全代理700在對服務器720的查詢中包 括該信息�����。在其它例子中�,局部安全代理700可將整個消息轉(zhuǎn)發(fā)到服務器720,且服務器可 執(zhí)行消息的關(guān)聯(lián)和分析��。 服務器720使用從查詢接收的信息�����,來根據(jù)服務器720的配置725確定全局聲譽�。 配置725可包括多個聲譽信息,包括指示被查詢的實體是聲譽差的信息(730)和指示被查 詢的實體是聲譽好的信息(735)�����。配置725也可將權(quán)重740應用于每個匯聚的聲譽730�、 735。聲譽得分確定器745可提供用于給匯聚的聲譽信息730�����、735加權(quán)(740)并產(chǎn)生全局 聲譽矢量的引擎�。 局部安全代理700接著在706向局部聲譽引擎發(fā)送查詢。局部聲譽引擎708執(zhí)行 局部聲譽的確定并在710返回局部聲譽矢量�����。局部安全代理700也接收以全局聲譽矢量形 式的、對發(fā)送到服務器720的聲譽查詢的響應���。局部安全代理700接著在712將局部聲譽 矢量和全局聲譽矢量混合在一起��。接著在714關(guān)于所接收的消息采取動作��。
圖8是用于調(diào)整與聲譽服務器相關(guān)聯(lián)的過濾器的設置的示例性圖形用戶界面 800����。圖形用戶界面800可允許局部安全代理的用戶在一些不同的類別810���,例如"病毒"、 "蠕蟲"�、"特洛伊木馬"、"網(wǎng)絡釣魚"�、"間諜軟件"、"垃圾郵件"���、"內(nèi)容"和"群發(fā)"中調(diào)整局部 過濾器的配置���。然而,應理解���,所述類別810只是例子�,且本公開不限于在這里被選為例子 的類別810。 在一些例子中�,類別810可分成兩種或更多類型的類別。例如�����,圖8的類別810分 成類別810的"安全設置"類型820以及類別的"策略設置"類型830�����。在每個類別810和 類型820���、830中���,混合器條形表示840可允許用戶調(diào)整與通信或?qū)嶓w聲譽的相應類別810 相關(guān)聯(lián)的特定過濾器設置。 而且���,雖然"策略設置"類型830的類別810可根據(jù)用戶自己的判斷被自由調(diào)節(jié)�,但 是"安全設置"類型820的類別可被限制到在一范圍內(nèi)調(diào)整����?��?僧a(chǎn)生該差別,以便阻止用戶 更改安全代理的安全設置超過可接受的范圍���。例如��,不滿意的雇員可能試圖降低安全設置��, 從而允許企業(yè)網(wǎng)易受攻擊�。因此�����,在"安全設置"類型820中置于類別810上的范圍850可 操作來在將安全保持在最低水平����,以防止網(wǎng)絡被危害�。然而,如應注意的���,"策略設置"類型 830的類別810是不危害網(wǎng)絡安全的那些類型的類別810�����,而是如果設置降低可能只是使用 戶或企業(yè)不方便��。 此外�,應認識到,在各種例子中����,范圍限制850可置于全部類別810上。因此����,局部 安全代理將阻止用戶將混合器條形表示840設置在所提供的范圍850之外。還應注意�,在 一些例子中,范圍可不顯示在圖形用戶界面800上���。替代地����,范圍850將被從圖形用戶界面800提取出來��,且所有設置將為相關(guān)的設置�����。因此,類別800可顯示并看起來似乎允許設置的滿范圍�����,同時將設置變換成在所提供的范圍內(nèi)的設置����。例如,"病毒"類別810的范圍850在本例中被設置在水平標記8和13之間����。如果圖形用戶界面800設置成從圖形用戶界面800提取出可允許的范圍850,則"病毒"類別810將允許混合器條形表示840設置在0和14之間的任何位置�����。然而����,圖形用戶界面800可將0-14設置變換成在8到13的范圍850內(nèi)的設置��。因此����,如果用戶請求在O和14之間中間的設置�����,則圖形用戶界面可將該設置變換成在8和13中間的設置��。 圖9是示出用于互聯(lián)網(wǎng)協(xié)議語音電話(VoIP)或短消息服務(SMS)通信的基于聲譽的連接抑制的結(jié)構(gòu)圖�。如應理解的����,主叫IP電話900可向接收的IP電話910安排VoIP呼叫。這些IP電話900��、910可以是例如計算機執(zhí)行的軟電話軟件���、網(wǎng)絡支持的電話��,等等�。主叫IP電話900可通過網(wǎng)絡920 (例如互聯(lián)網(wǎng))安排VoIP呼叫�。接收的IP電話910可通過局域網(wǎng)930 (例如企業(yè)網(wǎng))接收VoIP呼叫。 當建立VoIP呼叫時�����,主叫IP電話已建立與局域網(wǎng)930的連接。該連接可與電子郵件��、網(wǎng)絡�����、即時消息或其它互聯(lián)網(wǎng)應用可被用于提供與網(wǎng)絡的未調(diào)節(jié)(unregulated)的連接的方式類似被使用�����。因此�����,可使用與接收的IP電話的連接����,從而根據(jù)所建立的連接使在局域網(wǎng)930上操作的計算機940、950處于入侵��、病毒���、特洛伊木馬、蠕蟲和各種其它類型的攻擊的危險中��。而且,由于VoIP通信的時間敏感性質(zhì)���,一般不檢查這些通信����,以確保沒有誤用連接����。例如,語音會話實時地發(fā)生���。如果語音會話的一些分組被延遲��,則會話變得不自然且難以理解����。因此����,一旦建立了連接,就一般不能檢查分組的內(nèi)容����。 然而���,局部安全代理960可使用從聲譽引擎或服務器970接收的聲譽信息來確定與主叫IP電話相關(guān)的聲譽。局部安全代理960可使用發(fā)端實體的聲譽來確定是否允許與發(fā)端實體的連接�。因此,安全代理960可防止與聲譽差的實體的連接���,如不遵守局部安全代理960的策略的聲譽所指示的���。 在一些例子中,局部安全代理960可包括連接抑制引擎��,其可操作來使用在主叫IP電話900和接收的IP電話910之間建立的連接來控制正被傳輸?shù)姆纸M的流動速率�����。因此��,可允許具有差聲譽的發(fā)端實體900產(chǎn)生與接收的IP電話910的連接�。然而,分組通過量將被定上限���,從而防止發(fā)端實體900使用連接來攻擊局域網(wǎng)930�����?���?蛇x地��,連接抑制可通過執(zhí)行從聲譽差的實體發(fā)起的任何分組的詳細檢查來完成���。如上所述�����,所有VoIP分組的詳細檢查不是有效的�。因此�,可為與聲譽好的實體相關(guān)聯(lián)的連接最大化服務質(zhì)量(QoS),同時減少與聲譽差的實體的連接相關(guān)聯(lián)的QoS�。可對與聲譽差的實體相關(guān)聯(lián)的連接執(zhí)行標準通信詢問技術(shù)���,以便發(fā)行從發(fā)端實體接收的任何被傳輸?shù)姆纸M是否包括對網(wǎng)絡930的威脅����。在美國專利號6�����, 941, 467�、7, 089��, 590��、7�����, 096�, 498和7, 124�����, 438中以及在美國專利申請?zhí)?006/0015942����、2006/0015563、2003/0172302���、2003/0172294����、2003/0172291和2003/0173166中描述了各種詢問技術(shù)和系統(tǒng),由此以上這些通過引用被并入�。
圖10是示出基于聲譽的負載均衡器1000的操作的結(jié)構(gòu)圖。負載均衡器1000可操作來通過網(wǎng)絡1030(例如互聯(lián)網(wǎng))(分別地)從聲譽好的實體1010和聲譽差的實體1020接收通信���。負載均衡器1000與聲譽引擎1040進行通信,以確定與進入或傳出的通信相關(guān)聯(lián)的實體1010�����、 1020的聲譽�����。 聲譽引擎1030可操作來給負載均衡器提供聲譽矢量�。聲譽矢量可以各種不同的類別指示與通信相關(guān)聯(lián)的實體1010、 1020的聲譽����。例如,就發(fā)起垃圾郵件的實體1010���、 1020而言�����,聲譽矢量可指示實體1010U020的良好聲譽��,同時就發(fā)起病毒的實體1010�����、1020而言���,也指示相同實體1010���、 1020的差聲譽。 負載均衡器1000可使用聲譽矢量來確定關(guān)于與實體1010��、 1020相關(guān)聯(lián)的通信執(zhí)行什么動作�。在聲譽好的實體1010與通信相關(guān)聯(lián)的情況下,消息被發(fā)送到消息傳輸代理(MTA) 1050并被傳輸給接收者1060�。 在聲譽差的實體1020擁有病毒的聲譽但沒有其它類型的聲譽差的活動的聲譽的情況下,通信被轉(zhuǎn)發(fā)到多個病毒檢測器1070中之一����。負載均衡器1000可操作來根據(jù)病毒檢測器的當前容量和發(fā)端實體的聲譽來確定使用多個病毒檢測器1070中的哪一個。例如,負載均衡器1000可將通信發(fā)送到被最少利用的病毒檢測器�����。在其它例子中���,負載均衡器1000可確定與發(fā)端實體相關(guān)聯(lián)的差聲譽度�����,并將聲譽稍微差的通信發(fā)送到被最少利用的病毒檢測器,同時將聲譽非常差的通信發(fā)送到被高度利用的病毒檢測器���,從而抑制與聲譽非常差的實體相關(guān)聯(lián)的連接的QoS�。 類似地��,在聲譽差的實體1020有發(fā)起垃圾郵件通信的聲譽但沒有其它類型的聲譽差的活動的聲譽的情況下�����,負載均衡器可將通信發(fā)送到專門的垃圾郵件檢測器1080以排除其它類型的測試��。應理解�����,在通信與發(fā)起多種類型的聲譽差的活動的聲譽差的實體1020相關(guān)聯(lián)的情況下,可發(fā)送通信以測試已知實體1020要顯示的每種類型的聲譽差的活動�,同時避免與不知道實體1020要顯示的聲譽差的活動相關(guān)聯(lián)的測試。
在一些例子中�����,每個通信可接收用于多種類型的不合法內(nèi)容的例行測試�����。然而��,當與通信相關(guān)聯(lián)的實體1020顯示某些類型的活動的聲譽時����,通信也可被隔離以用于內(nèi)容的詳細測試隔離,實體顯示對于發(fā)起該內(nèi)容的聲譽����。 在又一些例子中,每個通信可接收相同類型的測試�。然而,與聲譽好的實體1010相關(guān)聯(lián)的通信被發(fā)送到有最短隊列的測試模塊或具有空閑的處理容量的測試模塊�。另一方面�����,與聲譽差的實體1020相關(guān)聯(lián)的通信被發(fā)送到有最長隊列的測試模塊1070���、1080。因此�����,與聲譽好的實體1010相關(guān)聯(lián)的通信可接受超過與聲譽差的實體相關(guān)聯(lián)的通信的傳輸優(yōu)先權(quán)����。因此對于聲譽好的實體1010,服務質(zhì)量被最大化�,同時對于聲譽差的實體1020�����,服務質(zhì)量被降低�。因此,基于聲譽的負載平衡可通過降低聲譽差的實體連接到網(wǎng)絡930的能力來保護網(wǎng)絡免于攻擊��。 圖IIA是示出用于收集基于地理位置的數(shù)據(jù)以進行身份驗證分析的示例性操作方案的流程圖���。在步驟1100�����,操作方案從各種登錄嘗試收集數(shù)據(jù)���。步驟1100可例如由局部安全代理��,例如圖1的安全代理100執(zhí)行�。其中����,所收集的數(shù)據(jù)可包括與登錄嘗試相關(guān)聯(lián)的IP地址、登錄嘗試的時間��、在成功之前的登陸嘗試的次數(shù)�����,或所嘗試的任何不成功的口令的詳細資料���。所收集的數(shù)據(jù)接著在步驟1105被分析�����,以得出統(tǒng)計信息�����,例如登錄嘗試的地理位置����。步驟1105可例如由聲譽引擎執(zhí)行。接著在步驟1110與登錄嘗試相關(guān)聯(lián)的統(tǒng)計信息被儲存����。該儲存可例如由系統(tǒng)數(shù)據(jù)存儲器執(zhí)行。 圖11B是示出用于基于地理位置的身份驗證的另一示例性操作方案的流程圖�����。在步驟1115接收登錄嘗試��。登錄嘗試可例如由可操作來通過網(wǎng)絡提供安全財務數(shù)據(jù)的安全網(wǎng)絡服務器接收���。接著在步驟1120確定登錄嘗試是否匹配所儲存的用戶名和口令組合。步驟1120可例如由可操作來驗證登錄嘗試的安全服務器執(zhí)行�����。如果用戶名和口令不匹配所存儲的用戶名/ 口令組合,則在步驟1125宣布登錄嘗試失敗�。 然而,如果用戶名和口令確實匹配合法用戶名/ 口令組合���,則在步驟1130確定登錄嘗試的起源����。登錄嘗試的起源可由如圖1所示的局部安全代理100確定����。可選地�����,登錄嘗試的起源可由聲譽引擎確定��。登錄嘗試的起源可接著與在圖IIA中得出的統(tǒng)計信息比較���,如在步驟1135中示出的����。步驟1135可例如由局部安全代理100或聲譽引擎執(zhí)行����。在步驟1140確定起源是否與統(tǒng)計期望匹配�����。如果實際起源匹配統(tǒng)計期望�����,則在步驟1145驗證用戶�����。 可選地�,如果實際起源不匹配對于起源的統(tǒng)計期望�,則在步驟1150執(zhí)行進一步的處理。應理解�����,進一步的處理可包括從用戶請求進一步的信息��,以驗證他或她的真實性��。這樣的信息可包括例如家庭地址��、母親的婚前姓����、出生地點,或關(guān)于用戶已知的任何其它部分的信息(例如秘密問題)���。額外處理的其它例子可包括搜索以前的登錄嘗試�����,以確定當前登錄嘗試的地點是否確實是異常的或僅僅是巧合的�。此外�,與發(fā)起登錄嘗試的實體相關(guān)聯(lián)的聲譽可被得出并用于確定是否允許登錄。 圖IIC是示出用于使用發(fā)端實體的聲譽進行基于地理位置的驗證以確認身份驗證的另一示例性操作方案的流程圖����。在步驟1115接收登錄嘗試。登錄嘗試可例如由可操作來通過網(wǎng)絡提供安全財務數(shù)據(jù)的安全網(wǎng)絡服務器接收���。接著在步驟1160確定登錄嘗試是否匹配所儲存的用戶名和口令組合���。步驟1160可例如由可操作來驗證登錄嘗試的安全服務器執(zhí)行。如果用戶名和口令不匹配所存儲的用戶名/ 口令組合,則在步驟1165宣布登錄嘗試失敗�。 然而,如果用戶名和口令確實匹配合法的用戶名/ 口令組合�,則在步驟1170確定登錄嘗試的起源。登錄嘗試的起源可由如圖1所示的局部安全代理100確定��?����?蛇x地����,登錄嘗試的起源可由聲譽引擎確定。接著可取回與發(fā)起登錄嘗試的實體相關(guān)聯(lián)的聲譽����,如在步驟1175中示出的。步驟1175可例如由聲譽引擎執(zhí)行����。在步驟1180確定發(fā)端實體的聲譽是否是聲譽好的。如果發(fā)端實體是聲譽好的����,則在步驟1185驗證用戶身份��。
可選地����,如果發(fā)端實體是聲譽差的���,則在步驟1190執(zhí)行進一步的處理。應理解�����,進一步的處理可包括從用戶請求進一步的信息����,以驗證他或她的真實性。這樣的信息可包括例如家庭地址���、母親的婚前姓���、出生地點,或關(guān)于用戶已知的任何其它部分的信息(例如秘密問題)����。額外處理的其它例子可包括搜索以前的登錄嘗試,以確定當前登錄嘗試的地點是否確實是異常的或僅僅是巧合的。 因此���,應理解��,可應用聲譽系統(tǒng)來識別金融交易中的欺詐行為��。聲譽系統(tǒng)可根據(jù)交易發(fā)起者的聲譽或?qū)嶋H交易中的數(shù)據(jù)(來源���、目的地、金額���,等等)來提高交易的風險評分����。在這樣的情況下�,金融機構(gòu)可根據(jù)發(fā)端實體的聲譽更好地確定特定交易是欺騙性的概率。
圖12是示出用于基于聲譽的動態(tài)隔離的示例性操作方案的流程圖����。在步驟1200接收通信。接著在步驟1205分析通信���,以確定它們是否與未知實體相關(guān)聯(lián)����。然而應注意,該操作方案可應用于所接收的任何通信��,而不僅僅是從以前的未知實體接收的通信�����。例如����,從聲譽差的實體接收的通信可被動態(tài)地隔離��,直到確定了所接收的通信不對網(wǎng)絡造成威脅為止����。在通信不與新實體相關(guān)聯(lián)的場合,通信經(jīng)歷對進入的通信的正常處理��,如在步驟1210中示出的��。 如果通信與新實體相關(guān)聯(lián)�,則在步驟1215初始化動態(tài)隔離計數(shù)器。接著在步驟1220����,從新實體接收的通信被發(fā)送到動態(tài)隔離��。接著在步驟1225檢查計數(shù)器以確定計數(shù)器的時間是否已經(jīng)過去了���。如果計數(shù)器的時間沒有過去,則在步驟1230遞減計數(shù)器�。在步驟1235可分析實體的行為以及被隔離的通信。在步驟1240確定實體的行為或被隔離的通信是否是異常的�����。如果沒有發(fā)現(xiàn)異常情況�,則操作方案返回到步驟1220,在這里隔離新的通信���。 然而�����,如果在步驟1240發(fā)現(xiàn)實體的行為或通信是異常的����,則在步驟1245給實體分配聲譽差的聲譽�����。通過將通知發(fā)送到管理員或發(fā)端實體所發(fā)送的通信的接收者來結(jié)束過程。 返回到步驟1220�,隔離和檢查通信和實體行為的過程繼續(xù)進行,直到發(fā)現(xiàn)異常行為為止���,或直到在步驟1225動態(tài)的隔離計數(shù)器的時間過去為止�����。如果動態(tài)的隔離計數(shù)器的時間過去了�����,則在步驟1255給實體分配聲譽?�?蛇x地�,在實體不是未知實體的情況下,在步驟1245或1255可更新聲譽�。在步驟1260通過釋放動態(tài)隔離來結(jié)束該操作方案,其中動態(tài)的隔離計數(shù)器的時間已經(jīng)過去���,而在通信中或在發(fā)端實體的行為中沒有發(fā)現(xiàn)異常情況��。
圖13是可被分類為不想要的圖像或消息的圖像垃圾郵件通信的示例性圖形用戶界面1300的顯示���。如應理解的����,圖像垃圾郵件對傳統(tǒng)垃圾郵件過濾器造成問題�。圖像垃圾郵件通過將垃圾郵件的文本消息轉(zhuǎn)換成圖像格式來繞過垃圾郵件的傳統(tǒng)文本分析。圖13示出圖像垃圾郵件的例子��。消息顯示圖像1310����。雖然圖像1300看起來是文本,但它僅僅是文本消息的圖形編碼�����。 一般地�,圖像垃圾郵件也包括文本消息1320,文本消息1320包括被正確地構(gòu)造的但在消息背景下沒有意義的句子�����。消息1320設計成躲避接通通信的垃圾郵件過濾器��,在該通信內(nèi)只包括圖像1310。而且����,消息1320設計成欺騙濾波器,這些濾波器對包括圖像1310的通信的文本應用粗略的測試�����。進一步地�����,當這些消息確實在頭部1330中包括關(guān)于消息的起源的信息時��,用于發(fā)出圖像垃圾郵件的實體的聲譽可能是未知的�����,直到該實體被發(fā)覺發(fā)送圖像垃圾郵件為止��。 圖14是示出用于檢測不想要的圖像(例如����,圖像垃圾郵件)的示例性操作方案的流程圖��。應理解,附圖14中所示的很多步驟可單獨地或結(jié)合附圖14中所示的其它步驟中的任何一個或全部來執(zhí)行�,以提供圖像垃圾郵件的某種檢測。然而���,附圖14中的每個步驟的使用提供了用于檢測圖像垃圾郵件的全面的過程�����。 過程在步驟1400以通信的分析開始�。步驟1400 —般包括分析通信����,以確定通信是否包括受到圖像垃圾郵件處理的圖像。在步驟1410�����,操作方案執(zhí)行通信的結(jié)構(gòu)分析�,以確定圖像是否包括垃圾郵件。接著在步驟1420分析圖像的頭部����。圖像頭部的分析允許系統(tǒng)確定關(guān)于圖像格式本身是否存在異常情況(例如,協(xié)議錯誤、訛誤���,等等)�����。在步驟1430分析圖像的特征���。特征分析旨在確定圖像的任何特征是否是異常的。 可在步驟1440標準化圖像���。圖像的標準化一般包括移除可能被垃圾郵件發(fā)送者添加以避免圖像指紋識別技術(shù)的隨機噪聲���。圖像標準化旨在將圖像轉(zhuǎn)換成在圖像中可容易比較的格式?����?蓪Ρ粯藴驶膱D像執(zhí)行指紋分析�����,以確定圖像是否匹配來自以前接收的已知圖像垃圾郵件的圖像��。 圖15A是示出用于分析通信的結(jié)構(gòu)的操作方案的流程圖���。操作方案在步驟1500以消息結(jié)構(gòu)的分析開始��。在步驟1505���,分析通信的超文本標記語言(HTML)結(jié)構(gòu),以引入n-元文法(n-gram)標記作為貝葉斯分析的額外符號(token)����。這樣的處理可為異常情況分析包括在圖像垃圾郵件通信中的文本1320?���?煞治鱿⒌腍TML結(jié)構(gòu),以定義元令牌(meta-token)�。元令牌是消息的HTML內(nèi)容,其被處理以丟棄任何不相關(guān)的HTML標記�,并通過移除白空區(qū)而被壓縮以生成用于貝葉斯分析的"符號"。上述符號中的每個可用作對貝葉斯分析的輸入����,以與以前接收的通信比較。 操作方案接著在步驟1515包括圖像檢測���。圖像檢測可包括將圖像分割成多個部
分�,以及對這些部分執(zhí)行指紋識別來確定指紋是否匹配以前接收的圖像的部分。 圖15B是示出用于下述過程的操作方案的流程圖�,即分析圖像的特征,以提取用
于輸入到聚類引擎(clustering engine)中的消息的特征����,以便識別符合已知圖像垃圾郵
件的圖像的組成部分。操作方案在步驟1520開始��,在這里圖像的多個高水平特征被檢測���,
以用在機器學習算法中���。這樣的特征可包括數(shù)值,例如獨特的顏色的數(shù)量�����、噪聲黑色像素
(noise black pixel)的數(shù)量��、水平方向中邊緣(形狀之間的銳轉(zhuǎn)變)的數(shù)量����,等等���。 操作方案所提取的特征之一可包括圖像的柱狀圖模式的數(shù)量��,如在步驟1525示
出的�����。通過檢查圖像的光譜密度來產(chǎn)生模式的數(shù)量�。如應理解的,人工圖像一般包括比自
然圖像少的模式����,這是因為自然圖像顏色一般擴散到廣譜(broad spectrum)。 如上所述�����,從圖像提取的特征可用于識別異常情況���。在一些例子中����,異常情況可包
括分析消息的特征以確定多個特征與所儲存的不想要的圖像的特征的相似性的程度����?��?蛇x
地,在一些例子中���,也可分析圖像特征����,以與已知的聲譽好的圖像比較,以確定與聲譽好的
圖像的相似性。應理解���,單獨的所提取的特征都不能決定分類��。例如�����,特定的特征可與60%
的不想要的消息相關(guān)聯(lián)�,同時也與40%的想要的消息相關(guān)聯(lián)。而且���,當與特征相關(guān)聯(lián)的數(shù)值
變化時����,消息是想要的或是不想要的概率可能變化。有很多可指示輕微傾向的特征��。如果
合并這些特征中的每個�����,則圖像垃圾郵件檢測系統(tǒng)可進行分類決定����。 接著在步驟1530檢查高寬比�����,以確定關(guān)于圖像尺寸或高寬比的是否存在任何異常情況��。圖像尺寸或高寬比與已知圖像垃圾郵件所共有的已知尺寸或高寬比的相似性可指示這種在高寬比中的異常情況���。例如�����,圖像垃圾郵件能夠以特定的尺寸出現(xiàn)����,以使圖像垃圾郵件看起來更像普通電子郵件。包括下述圖像的消息更可能是垃圾郵件本身����,即這些圖像與已知垃圾郵件圖像享有共同的尺寸?����?蛇x地�,存在不有利于垃圾郵件的圖像尺寸(例如,如果垃圾郵件發(fā)送者將消息插入圖像中��,則1英寸xl英寸的正方形圖像可能是難以讀取的)���。已知不利于垃圾郵件的插入的包括圖像的消息較不可能是圖像垃圾郵件�。因此�,消息的高寬比可與在圖像垃圾郵件中使用的共同的高寬比進行比較,以確定圖像是不想要的圖像或圖像是聲譽好的圖像的概率�。 在步驟1535,檢查圖像的頻率分布�����。一般地,自然圖像有具有相對少的明顯的頻率梯度(gradation)的均勻頻率分布����。另一方面,圖像垃圾郵件一般包括常變的頻率分布��,這是因為黑色字母被放置在黑暗背景上��。因此��,這樣的不均勻的頻率分布可指示圖像垃圾郵件��。 在步驟1540���,可分析信噪比。高信噪比可指示垃圾郵件發(fā)送者可能試圖通過將噪聲引入圖像中來躲避指紋識別技術(shù)����。由此增加噪聲水平可指示圖像是不想要的圖像的概率增加。 應理解�����,可在整個圖像的規(guī)模上提取一些特征,而可從圖像的子部分提取其它特征���。例如��,圖像可被細分成多個子部分�。每個矩形可使用快速付立葉變換(FFT)變換到頻域中�����。在被變換的圖像中����,在多個方向上的頻率的優(yōu)勢(predominance)可作為特征被提取。也可檢查所變換的圖像的這些子部分�����,以確定高頻和低頻的數(shù)量����。在被變換的圖像中,離原點較遠的點表現(xiàn)出較高的頻率��。類似于其它被提取的特征�����,這些特征可接著與已知的合法和不想要的圖像比較,以確定未知圖像與每個類型的已知圖像共享哪些特性����。而且,被變換的(例如頻域)圖像也可分成子部分(例如�,片段(slice)、矩形��、同心圓����,等等),并與來自已知圖像(例如�����,已知的不想要的圖像和已知的合法的圖像)的數(shù)據(jù)比較�。
圖15C是示出用于標準化圖像以用于垃圾郵件處理的的操作方案的流程圖����。在步驟1545,從圖像除去模糊和噪聲���。如前所述���,這些可能由垃圾郵件發(fā)送者引入來躲避指紋識別技術(shù)���,例如通過改變無用信息的總數(shù)的散列法,使得它不與任何以前接收的已知圖像垃圾郵件的無用信息的指紋匹配��。模糊和噪聲的移除可描述用于除去垃圾郵件發(fā)送者所引入的人為噪聲的幾種技術(shù)����。應理解,人為噪聲可包括垃圾郵件發(fā)送者所使用的技術(shù)���,例如條帶效應(其中包括在圖像中的字體變化���,以改變圖像的無用信息)。 在步驟1550�����,邊緣檢測算法可在標準化的圖像上執(zhí)行��。在一些例子中��,被進行邊緣檢測的圖像被使用并提供到光學字符識別引擎,以將被進行邊緣檢測的圖像轉(zhuǎn)換成文本�����。邊緣檢測可用于從圖片除去不必要的細節(jié)��,該細節(jié)可能在相對于其他圖像處理該圖像中造成低效率�����。 在步驟1555��,可應用中值濾波���。應用中值濾波來除去隨機的像素噪聲��。這樣的隨機像素可對圖像的內(nèi)容分析造成問題���。中值濾波可幫助除去垃圾郵件發(fā)送者所引入的單像素類型的噪聲��。應理解�,單像素噪聲由垃圾郵件發(fā)送者使用圖像編輯器引入,以改變圖像中的一個或多個像素�����,這可使圖像在一些區(qū)域中看起來呈顆粒狀的,從而使圖像更難以檢測�。
在步驟1560,量化圖像��。圖像的量化除去不必要的顏色信息����。這種顏色信息一般需要更多的處理,并與垃圾郵件的試圖傳播無關(guān)�。而且,垃圾郵件發(fā)送者可稍微改變圖像中的顏色方案����,并再次改變雜亂信息,以便已知圖像垃圾郵件的雜亂信息不匹配從顏色變化的圖像垃圾郵件得出的雜亂信息��。 在步驟1565��,執(zhí)行對比度擴展���。使用對比度擴展���,圖像中的顏色標度從黑到白被最大化�����,即使顏色只在灰度陰影中變化也是如此����。給圖像的最亮的陰影分配白值�����,而給圖像中最暗的陰影分配黑值���。與原始圖像中最亮和最暗的陰影相比��,給所有其它陰影分配他們在光譜(spectrum)中的相對位置�����。對比度擴展幫助限定圖像中可能沒有充分利用可用光譜的細節(jié)�����,因而可幫助阻止垃圾郵件發(fā)送者使用不同部分的光譜來避免指紋識別技術(shù)。垃圾郵件發(fā)送者有時故意改變圖像的密度范圍��,以使一些類型的特征識別引擎無效。對比度擴展也可幫助標準化圖像�����,以便它可與其它圖像比較�����,以識別包含在圖像中的共同特征�����。
圖15D是示出用于分析圖像的指紋以在多個圖像中找到共同片段的操作方案的流程圖��。在步驟1570�����,操作方案通過界定圖像內(nèi)的區(qū)域開始�。接著對所界定的區(qū)域執(zhí)行風選算法(winnowing algorithm),以識別圖像的相關(guān)部分�,在步驟1575應在該圖像上提取指紋。在步驟1580�����,操作方案對從風選操作得到的片段進行指紋識別,并確定在所接收的圖像和已知垃圾郵件圖像的指紋之間是否存在匹配���。在每個專利申請公布號2006/0251068中描述了類似的風選指紋識別方法��,該專利由此通過引用被并入�����。 如這里在說明書中使用的且在接下來的全部權(quán)利要求中�,"一 (a)"�、"一個(an)"禾口"所述(the)"的意思包括復數(shù)涵義,除非上下文另外清楚地指出����。此外,如這里在說明書中使用的且在接下來的全部權(quán)利要求中���,"在…中"的意思包括��、"在…中"和"在…上"���,除非上下文另外清楚地指出。最后,如這里在說明書中使用的且在接下來的全部權(quán)利要求中��,"和"和"或"的意思包括聯(lián)合的和分離的涵義�,并可互換地使用�����,除非上下文另外清楚地指出���。
范圍可在這里表示為從"大約"一個特定的值和/或到"大約"另一特定的值����。當表示這樣的范圍時���,另一實施方式包括從一個特定的值和/或到另一特定的值��。類似地��,當值被表示為近似值時��,通過使用前面的"大約"�����,應理解�,特定的值形成另一實施方式。應進一步理解�����,每個范圍的端點相對于另一端點來說是重要的����,并獨立于另一端點。
描述了本發(fā)明的很多實施方式����。然而,應理解�,可進行各種更改,而不偏離本發(fā)明的實質(zhì)和范圍����。因此,其它實施方式處于下面的權(quán)利要求的范圍內(nèi)�。
權(quán)利要求
一種計算機實現(xiàn)的方法,其可操作來將聲譽分配給與超文本傳輸協(xié)議通信相關(guān)聯(lián)的基于網(wǎng)絡的實體�����,所述方法包括以下步驟在邊緣保護設備處接收超文本傳輸協(xié)議通信;識別與所接收的所述超文本傳輸協(xié)議通信相關(guān)聯(lián)的實體���;查詢聲譽引擎以得到與所述實體相關(guān)聯(lián)的聲譽指示符�����;從所述聲譽引擎接收所述聲譽指示符;根據(jù)與所述實體相關(guān)聯(lián)的所接收的所述聲譽指示符���,來關(guān)于所述超文本傳輸協(xié)議通信采取動作���。
2. 如權(quán)利要求1所述的方法,其中所述實體是包括目的地統(tǒng)一資源定位符����、域或IP地址的網(wǎng)絡實體。
3. 如權(quán)利要求1所述的方法�����,其中所述實體的聲譽基于從所述實體接收的以前的通信以及可得到的關(guān)于所述實體的公共或?qū)S镁W(wǎng)絡信息�����,所述公共或?qū)S镁W(wǎng)絡信息包括所有權(quán)或托管信息。
4. 如權(quán)利要求3所述的方法����,其中所述以前的通信包括下述項中的一個或更多個電子消息、超文本傳輸協(xié)議通信��、即時消息�����、文件傳輸協(xié)議通信�、簡單對象訪問協(xié)議消息、實時傳輸協(xié)議分組�����、短消息服務通信��、多媒體消息服務通信�,或互聯(lián)網(wǎng)協(xié)議語音電話通信。
5. 如權(quán)利要求1所述的方法����,其中所述動作是丟棄所述通信并通知與所述超文本傳輸協(xié)議通信相關(guān)聯(lián)的企業(yè)網(wǎng)用戶。
6. 如權(quán)利要求1所述的方法�,其中所述實體與多種不同類型的網(wǎng)絡通信相關(guān)聯(lián)���,所述網(wǎng)絡通信包括至少超文本傳輸協(xié)議類型的通信,以及包括電子郵件通信���、文件傳輸協(xié)議通信����、即時消息通信���、gopher通信、短消息服務通信或互聯(lián)網(wǎng)協(xié)議語音電話通信中的至少一個��。
7. 如權(quán)利要求1所述的方法���,其中所述聲譽引擎根據(jù)與所述實體相關(guān)聯(lián)的聲譽好的標準和與所述實體相關(guān)聯(lián)的聲譽差的標準的匯聚來確定所述聲譽指示符���。
8. 如權(quán)利要求7所述的方法,其中所述聲譽指示符是根據(jù)多個不同的標準來指示聲譽的矢量的����。
9. 如權(quán)利要求8所述的方法,進一步包括檢查聲譽矢量��,以根據(jù)所述實體的聲譽矢量來確定與所述邊緣保護設備所保護的企業(yè)網(wǎng)相關(guān)聯(lián)的策略是否允許與所述實體的通信。
10. 如權(quán)利要求1所述的方法�����,其中所述聲譽引擎是可操作來給多個邊緣保護設備提供聲譽信息的聲譽服務器����。
11. 如權(quán)利要求io所述的方法,其中所述聲譽引擎可操作來儲存全局聲譽指示符����,并在輸出所述聲譽指示符之前使用局部偏置來偏置所述全局聲譽指示符。
12. 如權(quán)利要求1所述的方法�����,其中所述聲譽指示符包括聲譽矢量��,所述聲譽矢量包括所述實體的多維分類��。
13. 如權(quán)利要求12所述的方法�,其中所述多維分類包括以色情文學類別、新聞類別�����、計算機類別、安全類別��、網(wǎng)絡釣魚類別��、間諜軟件類別����、病毒類別或攻擊類別中的兩個或更多個進行的消息的分類。
14. 如權(quán)利要求12所述的方法���,其中所述聲譽指示符進一步包括與所述實體的所述多維分類中的每一個相關(guān)聯(lián)的置信度�����。
15. 如權(quán)利要求1所述的方法,進一步包括檢測統(tǒng)一資源定位符的隨機化��。
16. 如權(quán)利要求15所述的方法�����,其中通過產(chǎn)生所述統(tǒng)一資源定位符的雜亂信息并比較所述雜亂信息與以前識別的聲譽差的統(tǒng)一資源定位符�,來確定所述統(tǒng)一資源定位符的隨機化。
17. 如權(quán)利要求15所述的方法�,其中通過對所述統(tǒng)一資源定位符的多個部分進行指紋識別并比較所述雜亂信息與以前識別的聲譽差的統(tǒng)一資源定位符�����,來確定所述統(tǒng)一資源定位符的隨機化�����。
18. —種在邊緣保護設備上的網(wǎng)絡聲譽系統(tǒng)����,所述網(wǎng)絡聲譽系統(tǒng)可操作來接收網(wǎng)絡通信并向與所述通信相關(guān)聯(lián)的實體分配聲譽����,所述系統(tǒng)包括通信接口,其可操作來接收網(wǎng)絡通信���;通信分析器�,其可操作來分析所述網(wǎng)絡通信以確定與所述網(wǎng)絡通信相關(guān)聯(lián)的實體�����;聲譽引擎�,其可操作來根據(jù)以前收集的與所述實體相關(guān)聯(lián)的數(shù)據(jù)來提供與所述實體相關(guān)聯(lián)的聲譽,以及決策引擎��,其可操作來從所述聲譽引擎接收聲譽指示符,并確定所述網(wǎng)絡通信是否被傳遞到接收者�。
19. 如權(quán)利要求18所述的系統(tǒng),其中所述實體的所述聲譽基于從所述實體接收的以前的通信��,所述以前的通信包括下述項中的一個或更多個電子消息���、超文本傳輸協(xié)議通信���、即時消息、文件傳輸協(xié)議通信����、簡單對象訪問協(xié)議消息、實時傳輸協(xié)議分組�、短消息服務通信、或互聯(lián)網(wǎng)協(xié)議語音電話通信���。
20. 如權(quán)利要求18所述的系統(tǒng),其中所述決策引擎可操作來在所述通信沒有傳輸?shù)剿鼋邮照叩那闆r下通知與所述超文本傳輸協(xié)議通信相關(guān)聯(lián)的企業(yè)網(wǎng)用戶�。
21. 如權(quán)利要求18所述的系統(tǒng),其中所述聲譽引擎根據(jù)與所述實體相關(guān)聯(lián)的聲譽好的標準和與所述實體相關(guān)聯(lián)的聲譽差的標準來確定所述聲譽指示符����。
22. 如權(quán)利要求21所述的系統(tǒng)��,其中所述聲譽指示符是根據(jù)多個不同的標準指示聲譽的矢量�����。
23. 如權(quán)利要求22所述的系統(tǒng)���,進一步包括檢查聲譽矢量,以根據(jù)所述實體的聲譽矢量確定與所述邊緣保護設備所保護的企業(yè)網(wǎng)相關(guān)聯(lián)的策略是否允許與所述實體的通信�。
24. 如權(quán)利要求18所述的系統(tǒng),其中所述聲譽引擎是可操作來給多個邊緣保護設備提供聲譽信息的聲譽服務器����,并且所述聲譽引擎可操作來儲存全局聲譽指示符,以及在輸出所述聲譽指示符之前使用局部偏置來偏置所述全局聲譽指示符����。
25. 如權(quán)利要求18所述的系統(tǒng),進一步包括詢問引擎��,所述詢問引擎可操作來對所述通信執(zhí)行多個測試并確定與所述網(wǎng)絡通信相關(guān)聯(lián)的參數(shù)文件����。
26. 如權(quán)利要求25所述的系統(tǒng),其中所述決策引擎可操作來根據(jù)與所述網(wǎng)絡通信相關(guān)聯(lián)的所述參數(shù)文件來確定是否轉(zhuǎn)發(fā)所述網(wǎng)絡通信。
27. 如權(quán)利要求26所述的系統(tǒng)��,其中所述聲譽引擎可操作來使用所述參數(shù)文件更新與所述實體相關(guān)聯(lián)的聲譽信息�����。
28. 如權(quán)利要求18所述的系統(tǒng)��,其中所述聲譽包括聲譽矢量����,所述聲譽矢量包括所述實體的多維分類。
29. 如權(quán)利要求28所述的系統(tǒng)����,其中所述多維分類包括以色情文學類別、新聞類別�����、計算機類別��、安全類別���、網(wǎng)絡釣魚類別�����、間諜軟件類別�����、病毒類別或攻擊類別中的兩個或更多個進行的消息的分類�。
30. 如權(quán)利要求28所述的系統(tǒng)��,其中所述聲譽進一步包括與所述實體的所述多維分類中的每一個相關(guān)聯(lián)的置信度����。
31. 如權(quán)利要求18所述的系統(tǒng),進一步包括檢測統(tǒng)一資源定位符的隨機化�。
32. 如權(quán)利要求31所述的方法,其中通過產(chǎn)生所述統(tǒng)一資源定位符的雜亂信息并比較所述雜亂信息與以前識別的聲譽差的統(tǒng)一資源定位符�,來確定所述統(tǒng)一資源定位符的隨機化。
33. 如權(quán)利要求31所述的方法����,其中通過對所述統(tǒng)一資源定位符的多個部分進行指紋識別并比較所述雜亂信息與以前識別的聲譽差的統(tǒng)一資源定位符,來確定所述統(tǒng)一資源定位符的隨機化��。����。
34. 具有軟件程序代碼的一個或更多個計算機可讀介質(zhì),所述軟件程序代碼可操作來向與所接收的通信相關(guān)聯(lián)的發(fā)送消息的實體分配聲譽�����,所述軟件程序代碼包括在邊緣保護設備處接收超文本傳輸協(xié)議通信����;識別與所接收的所述超文本傳輸協(xié)議通信相關(guān)聯(lián)的實體;查詢聲譽引擎以得到與所述實體相關(guān)聯(lián)的聲譽指示符�;從所述聲譽引擎接收所述聲譽指示符;根據(jù)與所述實體相關(guān)聯(lián)的所接收的所述聲譽指示符���,關(guān)于所述超文本傳輸協(xié)議通信采取行動�。
35. —種聲譽系統(tǒng)��,所述系統(tǒng)包括集中式聲譽引擎����,其可操作來從多個局部聲譽引擎接收反饋,所述多個局部聲譽引擎可操作來根據(jù)一個或更多個實體以及分別地相關(guān)聯(lián)的所述局部聲譽引擎而確定局部聲譽����;匯聚引擎�����,其可操作來根據(jù)多個局部聲譽的匯聚得到被查詢的實體的全局聲譽;以及其中所述集中式聲譽引擎可操作來響應于從所述局部聲譽引擎中的一個或更多個接收聲譽查詢而向所述局部聲譽引擎中的所述一個或更多個提供被查詢的實體的全局聲譽��。
36. 如權(quán)利要求35所述的系統(tǒng)�,其中所述匯聚引擎可操作來儲存與分別的局部聲譽引擎相關(guān)聯(lián)的置信值,所述匯聚引擎進一步可操作來使用與所述多個局部聲譽中的每一個相關(guān)聯(lián)的所述置信值�、通過其分別的局部聲譽引擎,來匯聚所述多個局部聲譽�。
37. 如權(quán)利要求36所述的系統(tǒng),其中所述局部聲譽系統(tǒng)是所述集中式聲譽系統(tǒng)的子系統(tǒng)�����,并根據(jù)所述局部聲譽引擎所接收的通信在局部規(guī)模上執(zhí)行聲譽評分�,且所述集中式聲譽引擎根據(jù)所述集中式聲譽引擎所接收的通信和從所述局部聲譽引擎接收的聲譽信息來執(zhí)行聲譽評分。
38. 如權(quán)利要求36所述的系統(tǒng)����,其中所述局部聲譽在所述局部聲譽的匯聚之前根據(jù)其分別的置信值而被加權(quán)。
39. 如權(quán)利要求38所述的系統(tǒng)����,其中根據(jù)從所述多個局部聲譽引擎接收的反饋來調(diào)節(jié)所述置信值���。
40. 如權(quán)利要求35所述的系統(tǒng),其中所述局部聲譽和全局聲譽是識別其所相關(guān)聯(lián)的分別的實體的特征的矢量���。
41. 如權(quán)利要求40所述的系統(tǒng)�,其中所述特征包括下述項中的一個或更多個垃圾郵件特征��、網(wǎng)絡釣魚特征�����、群發(fā)郵件特征�、病毒源特征、合法通信特征�����、入侵特征�����、攻擊特征�、間 諜軟件特征,或地理位置特征���。
42. 如權(quán)利要求35所述的系統(tǒng)���,其中所述局部聲譽基于聲譽好的標準和聲譽差的標準 的匯聚�����。
43. 如權(quán)利要求35所述的系統(tǒng),其中所述集中式聲譽系統(tǒng)可操作來根據(jù)發(fā)起聲譽查詢 的所述局部聲譽引擎而對所述全局聲譽應用局部聲譽偏置�����。
44. 如權(quán)利要求43所述的系統(tǒng)����,其中所述局部聲譽偏置是基于從發(fā)起所述聲譽查詢的 所述局部聲譽引擎接收的輸入的。
45. 如權(quán)利要求43所述的系統(tǒng)��,其中所述局部聲譽偏置是基于從發(fā)起所述聲譽查詢的 所述局部聲譽引擎接收的反饋的�����。
46. 如權(quán)利要求43所述的系統(tǒng)���,其中所述局部聲譽偏置可操作來根據(jù)所述局部聲譽偏 置增強聲譽的某種標準�����,同時減少聲譽的另一種標準����。
47. 如權(quán)利要求35所述的系統(tǒng),其中局部聲譽引擎可操作來在將所述全局聲譽應用于 從被查詢的所述實體接收的通信之前將局部聲譽偏置應用于所述全局聲譽����。
48. 如權(quán)利要求35所述的系統(tǒng),其中關(guān)于與所述局部聲譽引擎相關(guān)聯(lián)的被保護的企業(yè) 網(wǎng)����,所述局部聲譽引擎響應于接收與外部實體相關(guān)聯(lián)的通信而發(fā)起聲譽查詢。
49. 如權(quán)利要求48所述的系統(tǒng)�,其中所述局部聲譽引擎響應于與不確定的所述外部實 體相關(guān)聯(lián)的局部聲譽而發(fā)起所述聲譽查詢。
50. 如權(quán)利要求35所述的系統(tǒng)����,其中所述集中式聲譽引擎進一步可操作來匯聚與所述 多個實體中的一個或更多個相關(guān)聯(lián)的多個身份的聲譽。
51. 如權(quán)利要求50所述的系統(tǒng)�����,其中所述集中式聲譽引擎進一步可操作來使關(guān)聯(lián)的屬 性與不同的身份相關(guān)聯(lián),以識別所述身份之間的關(guān)系���,并將與一個實體相關(guān)聯(lián)的聲譽的一 部分分配給另一個實體的聲譽����,其中在實體之間識別關(guān)系����。
52. —種產(chǎn)生全局聲譽的方法,包括以下步驟 從請求的局部聲譽引擎接收聲譽查詢�;取回多個局部聲譽,所述局部聲譽分別與多個局部聲譽引擎相關(guān)聯(lián)����; 匯聚所述多個局部聲譽����; 從所述局部聲譽的匯聚得到全局聲譽;以及 以所述全局聲譽響應所述聲譽查詢��。
53. 如權(quán)利要求52所述的方法�����,進一步包括取回與所述局部聲譽引擎相關(guān)聯(lián)的置信 值�����,所述取回步驟使用所述置信值來得出所述全局聲譽。
54. 如權(quán)利要求53所述的方法���,其中所述得出步驟進一步包括使用所述全局聲譽的分 別的置信值來對所述全局聲譽加權(quán)��,并合并被加權(quán)的聲譽以產(chǎn)生所述全局聲譽�。
55. 如權(quán)利要求54所述的方法�,進一步包括根據(jù)來自所述多個局部聲譽引擎的反饋來 調(diào)節(jié)所述置信值。
56. 如權(quán)利要求52所述的方法����,其中所述局部聲譽和全局聲譽是識別其所相關(guān)聯(lián)的分 別的實體的特征的矢量。
57. 如權(quán)利要求56所述的方法�,其中所述特征包括下述項中的一個或更多個垃圾郵件特征、網(wǎng)絡釣魚特征��、群發(fā)郵件特征�、間諜軟件特征,或合法郵件特征��。
58. 如權(quán)利要求52所述的方法���,其中所述局部聲譽是基于聲譽好的標準和聲譽差的標 準的匯聚的��。
59. 如權(quán)利要求52所述的方法�����,進一步包括將局部聲譽偏置應用于所述局部聲譽的匯 聚以產(chǎn)生全局聲譽矢量�,所述局部聲譽偏置是基于所述請求的局部聲譽引擎的。
60. 如權(quán)利要求59所述的方法�,其中所述局部聲譽偏置是基于從所述請求的局部聲譽 引擎接收的輸入的。
61. 如權(quán)利要求59所述的方法��,其中所述局部聲譽偏置是基于從所述請求的局部聲譽 引擎接收的反饋的�����。
62. 如權(quán)利要求59所述的方法�,進一步包括根據(jù)所述局部聲譽偏置增強聲譽的某種標 準���,并且根據(jù)所述局部聲譽偏置減少聲譽的另一種標準����。
63. 如權(quán)利要求52所述的方法�����,其中關(guān)于與所述請求的局部聲譽引擎相關(guān)聯(lián)的被保護 的企業(yè)網(wǎng),所述請求的局部聲譽引擎響應于接收與外部實體相關(guān)聯(lián)的通信而發(fā)起所述聲譽 查詢�。
64. 如權(quán)利要求63所述的方法,其中所述請求的局部聲譽引擎響應于與不確定的所述 外部實體相關(guān)聯(lián)的局部聲譽而發(fā)起所述聲譽查詢�。
65. 如權(quán)利要求52所述的方法,其中得到所述全局聲譽的所述步驟進一步基于所述多 個局部聲譽引擎中的任何一個都不能得到的公共信息和專用信息��。
66. 具有軟件程序代碼的一個或更多個計算機可讀介質(zhì)���,所述軟件程序代碼可操作來 執(zhí)行匯聚多個局部聲譽矢量以產(chǎn)生全局聲譽矢量的步驟���,所述步驟包括從請求的局部聲譽引擎接收聲譽查詢;取回多個局部聲譽��,所述局部聲譽分別與多個局部聲譽引擎相關(guān)聯(lián)��; 匯聚所述多個局部聲譽�����; 從所述局部聲譽的匯聚得到全局聲譽�����;以及 以所述全局聲譽響應聲譽查詢。
67. —種聲譽系統(tǒng)�����,所述系統(tǒng)包括通信接口 �,其可操作來從中央服務器接收全局聲譽信息,所述中央服務器可操作來根 據(jù)從一個或更多個局部聲譽引擎接收的反饋確定全局聲譽��,所述全局聲譽分別與一個或更 多個實體相關(guān)聯(lián)��;聲譽引擎�����,其可操作來根據(jù)所定義的局部偏好而偏置從所述中央服務器接收的所述全 局聲譽�����;以及其中所述集中式聲譽引擎可操作來響應于從所述通信接口接收聲譽查詢而向所述通 信接口提供所查詢的實體的全局聲譽����。
68. —種聲譽系統(tǒng)�,所述系統(tǒng)包括通信接口 ,其可操作來從一個或更多個分布式聲譽引擎接收分布的聲譽信息����,所述分 布式聲譽引擎可操作來檢查通信并得出與發(fā)起所述通信的一個或更多個實體相關(guān)聯(lián)的聲 譽�;聲譽模塊�����,其可操作來匯聚所述分布的聲譽信息并根據(jù)所述分布的聲譽信息的匯聚得 出全局聲譽�,所述聲譽模塊進一步可操作來根據(jù)所述聲譽模塊所接收的通信得出局部聲譽信息;以及業(yè)務量控制模塊���,其可操作來根據(jù)所述全局聲譽和所述局部聲譽確定與通信相關(guān)聯(lián)的 處理����。
69. —種基于聲譽的網(wǎng)絡安全系統(tǒng)���,所述系統(tǒng)包括通信接口 ����,其可操作來接收與網(wǎng)絡相關(guān)聯(lián)的進入的通信和傳出的通信��; 通信分析器���,其可操作來得到與通信相關(guān)聯(lián)的外部實體����;聲譽引擎,其可操作來得到與所述外部實體相關(guān)聯(lián)的聲譽矢量��,所述聲譽矢量包括以 多個類別進行的聲譽好的和聲譽差的標準的匯聚��,所述多個類別包括不同類型的通信����;安全引擎,其可操作來接收所述聲譽矢量并向多個詢問引擎中的一個或更多個發(fā)送所 述通信�����,其中所述安全引擎可操作來根據(jù)所述聲譽矢量確定向所述多個詢問引擎中的哪一 個發(fā)送所述通信����。
70. 如權(quán)利要求69所述的系統(tǒng),其中所述安全引擎可操作來避免向未經(jīng)授權(quán)的無用詢 問引擎發(fā)送所述通信�����,其中所述聲譽矢量不指示所述外部實體具有參與所述未經(jīng)授權(quán)的詢 問弓I擎所識別的活動的聲譽����。
71. 如權(quán)利要求69所述的系統(tǒng)����,其中所述一個或更多個詢問引擎中的每一個包括所述 詢問引擎的多個實例�。
72. 如權(quán)利要求71所述的系統(tǒng)�,其中在選擇詢問引擎時,所述安全引擎能夠選擇所述 詢問引擎的選定實例�����,其中所述詢問引擎的所述選定實例是根據(jù)所述詢問引擎的所述選定 實例的能力而被選擇的���。
73. 如權(quán)利要求69所述的系統(tǒng)��,其中所述安全引擎可操作來在所述外部實體是聲譽好 的實體的情況下將高優(yōu)先級分配給與所述多個詢問引擎相關(guān)聯(lián)的詢問隊列中的通信��,并在 所述外部實體是聲譽差的實體的情況下將低優(yōu)先級分配給所述詢問隊列中的通信�。
74. 如權(quán)利要求73所述的系統(tǒng)��,其中對聲譽好的實體最大化服務質(zhì)量���,而對聲譽差的 實體最小化服務質(zhì)量���。
75. 如權(quán)利要求69所述的系統(tǒng)�,其中所述一個或更多個詢問引擎中的每一個包括所述 詢問引擎的多個實例��,所述詢問引擎的所述實例可操作來駐留在邊緣保護設備或企業(yè)客戶 機設備上����。
76. 如權(quán)利要求69所述的系統(tǒng),其中所述聲譽引擎是可操作來向多個邊緣保護設備或 客戶機設備提供聲譽信息的聲譽服務器���。
77. —種基于聲譽的網(wǎng)絡安全系統(tǒng)����,所述系統(tǒng)包括通信接口 �����,其可操作來接收與網(wǎng)絡相關(guān)聯(lián)的進入的和傳出的通信�; 通信分析器,其可操作來得到與通信相關(guān)聯(lián)的外部實體�;聲譽引擎,其可操作來得到與所述外部實體相關(guān)聯(lián)的聲譽���,所述聲譽包括與所述外部 實體相關(guān)聯(lián)的聲譽好的和聲譽差的標準的匯聚���;安全引擎��,其可操作來給通信分配優(yōu)先權(quán)信息�,其中所述安全引擎可操作來接收所述 聲譽并在所述外部實體是聲譽好的實體的情況下給通信分配高優(yōu)先權(quán)��,且在所述外部實體 是聲譽差的實體的情況下給通信分配低優(yōu)先權(quán)��,由此所述優(yōu)先權(quán)信息被一個或更多個詢問 引擎使用來提高聲譽好的實體的服務質(zhì)量����。
78. —種計算機實現(xiàn)的方法�����,其可操作來根據(jù)與外部實體相關(guān)聯(lián)的聲譽而有效地處理通信���,所述方法包括以下步驟根據(jù)與所述通信相關(guān)聯(lián)的發(fā)源或目的地信息來接收與外部實體相關(guān)聯(lián)的通信�; 識別與所接收的所述通信相關(guān)聯(lián)的所述外部實體���;根據(jù)與所述外部實體相關(guān)聯(lián)的聲譽好的和聲譽差的標準得出與所述外部實體相關(guān)聯(lián) 的聲譽���;根據(jù)與所述外部實體相關(guān)聯(lián)的所得出的聲譽向所述通信分配優(yōu)先權(quán); 根據(jù)分配給所述通信的所述優(yōu)先權(quán)對所述通信執(zhí)行一個或更多個測試。
79. 如權(quán)利要求78所述的方法��,進一步包括對于被分配了高優(yōu)先權(quán)的消息最大化服務質(zhì)量����。
80. 如權(quán)利要求78所述的方法,其中所得到的所述聲譽是聲譽矢量�,所述聲譽矢量以 多個類別傳遞所述外部實體相關(guān)聯(lián)的聲譽。
81. 如權(quán)利要求80所述的方法��,進一步包括如果與所述通信相關(guān)聯(lián)的所述聲譽矢量指 示所述外部實體關(guān)于被繞過的測試所測試的標準是聲譽好的實體�����,則繞過所述一個或更多 個測試中的任何一個����。
82. 如權(quán)利要求78所述的方法,其中所述一個或更多個測試中的每一個包括可操作來 執(zhí)行所述一個或更多個測試的多個引擎�����。
83. 如權(quán)利要求82所述的方法���,其中所述安全引擎可操作來根據(jù)所述引擎的能力而均 勻地在多個引擎上分配通信的測試����,所述通信包括所接收的通信。
84. 如權(quán)利要求78所述的方法����,其中所述一個或更多個測試由可操作來執(zhí)行所述測試 的多個引擎執(zhí)行,所述引擎可操作來駐留在邊緣保護設備或企業(yè)客戶設備上��。
85. 如權(quán)利要求78所述的方法�����,其中所述聲譽從聲譽服務器取回����,所述聲譽服務器可 操作來向多個邊緣保護設備和客戶設備提供聲譽信息���。
86. 如權(quán)利要求78所述的方法���,其中所述聲譽從局部聲譽引擎取回。
87. —種計算機實現(xiàn)的方法�����,其可操作來根據(jù)與外部實體相關(guān)聯(lián)的聲譽而有效地處理 通信,所述方法包括根據(jù)與所述通信相關(guān)聯(lián)的發(fā)源或目的地信息來接收與外部實體相關(guān)聯(lián)的通信�; 識別與所接收的超文本傳輸協(xié)議通信相關(guān)聯(lián)的所述外部實體;根據(jù)與所述外部實體相關(guān)聯(lián)的聲譽好的和聲譽差的標準得出與所述外部實體相關(guān)聯(lián) 的聲譽�;將所述通信分配給從多個詢問引擎中選擇的一個或更多個詢問引擎,所述一個或更多 個詢問引擎的選擇是基于與所述外部實體相關(guān)聯(lián)的所得出的聲譽以及所述詢問引擎的能 力的�����;以及對所述通信執(zhí)行所述一個或更多個詢問引擎����。
88. 具有軟件程序代碼的一個或更多個計算機可讀介質(zhì),所述軟件程序代碼可操作來 根據(jù)與通信相關(guān)聯(lián)的外部實體的聲譽有效地處理所述通信�,所述軟件程序代碼包括根據(jù)與所述通信相關(guān)聯(lián)的發(fā)源或目的地信息來接收與外部實體相關(guān)聯(lián)的通信; 識別與所接收的超文本傳輸協(xié)議通信相關(guān)聯(lián)的所述外部實體���;根據(jù)與所述外部實體相關(guān)聯(lián)的聲譽好的和聲譽差的標準得到與所述外部實體相關(guān)聯(lián) 的聲譽��;根據(jù)與所述外部實體相關(guān)聯(lián)的所得到的聲譽將優(yōu)先權(quán)分配給所述通信�����; 根據(jù)分配給所述通信的所述優(yōu)先權(quán)對所述通信執(zhí)行一個或更多個測試�����。
89. —種計算機實現(xiàn)的方法����,其可操作來根據(jù)與外部實體相關(guān)聯(lián)的聲譽來處理通信,所 述方法包括根據(jù)與所述通信相關(guān)聯(lián)的發(fā)源或目的地信息來接收與外部實體相關(guān)聯(lián)的通信�����; 識別與所接收的所述通信相關(guān)聯(lián)的所述外部實體��;根據(jù)與所述外部實體相關(guān)聯(lián)的聲譽好的和聲譽差的標準得出與所述外部實體相關(guān)聯(lián) 的聲譽�����;根據(jù)與所述外部實體相關(guān)聯(lián)的所得出的聲譽向所述通信分配處理路徑�。
90. —種用于互聯(lián)網(wǎng)協(xié)議語音電話通信的基于聲譽的連接抑制系統(tǒng)���,所述系統(tǒng)包括 通信接口 �,其可操作來在外部實體和與所述通信接口相關(guān)聯(lián)的被保護網(wǎng)絡之間建立連接之前�����,接收與所述外部實體相關(guān)聯(lián)的互聯(lián)網(wǎng)協(xié)議語音電話連接請求�; 聲譽引擎��,其可操作來得出與所述外部實體相關(guān)聯(lián)的聲譽�����;以及連接控制引擎�����,其可操作來根據(jù)與所述互聯(lián)網(wǎng)協(xié)議語音電話連接請求相關(guān)聯(lián)的所述外 部實體的所得出的聲譽拒絕到所述被保護網(wǎng)絡的所述互聯(lián)網(wǎng)協(xié)議語音電話連接請求�。
91. 如權(quán)利要求90所述的系統(tǒng)��,其中所述聲譽引擎根據(jù)與所述外部實體相關(guān)聯(lián)的聲譽好的標準和聲譽差的標準的匯聚而得出所述外部實體的聲譽��。
92. 如權(quán)利要求90所述的系統(tǒng)�����,其中所述連接控制引擎防止聲譽差的實體產(chǎn)生與所述 被保護網(wǎng)絡的連接����。
93. 如權(quán)利要求92所述的系統(tǒng),其中所述聲譽差的實體可操作來試圖將互聯(lián)網(wǎng)協(xié)議語 音電話通信發(fā)送到所述被保護網(wǎng)絡��,力圖對不合法的活動產(chǎn)生與所述被保護網(wǎng)絡的前文本 互聯(lián)網(wǎng)協(xié)議語音電話連接并利用所述前文本互聯(lián)網(wǎng)協(xié)議語音電話連接��。
94. 如權(quán)利要求90所述的系統(tǒng),其中所述通信接口進一步可操作來接收短消息服務連 接請求����,且所述連接控制引擎可操作來根據(jù)與發(fā)起所述短消息服務連接請求的短消息服務 實體相關(guān)聯(lián)的聲譽來拒絕所述短消息服務連接請求。
95. 如權(quán)利要求90所述的系統(tǒng)���,進一步包括消息詢問引擎�����,所述消息詢問引擎可操作 來檢查從所述外部實體發(fā)起的通信的內(nèi)容���,以確定所述外部實體是否使用互聯(lián)網(wǎng)協(xié)議語音 電話連接。
96. 如權(quán)利要求90所述的系統(tǒng)���,其中所述聲譽引擎是聲譽服務器�����,所述聲譽服務器可 操作來從所述連接控制引擎接收聲譽查詢并給所述連接控制引擎提供所得到的聲譽。
97. 如權(quán)利要求96所述的系統(tǒng)�����,其中所述聲譽服務器通過匯聚與所述外部實體相關(guān)聯(lián) 的多個局部聲譽來得到所述外部實體的所述聲譽,所述多個局部聲譽由多個局部聲譽引擎 提供�。
98. 如權(quán)利要求90所述的系統(tǒng),所述連接控制引擎包括策略�,所述聲譽與所述策略比 較以確定是否允許所述互聯(lián)網(wǎng)協(xié)議語音電話連接請求。
99. 如權(quán)利要求98所述的系統(tǒng)����,所述策略定義外部實體的一個或更多個類別,到所述 外部實體的互聯(lián)網(wǎng)協(xié)議語音電話請求被允許���。
100. 如權(quán)利要求90所述的系統(tǒng)���,所述連接控制引擎可操作來對于從聲譽差的外部實體接收的任何連接降低服務質(zhì)量,并對于從聲譽好的外部實體接收的任何連接最大化服務質(zhì)量�����。
101. 如權(quán)利要求90所述的方法����,進一步包括接收多個同時的連接請求;關(guān)聯(lián)所述同 時的連接請求以確定所述請求包括攻擊�;以及更新與關(guān)聯(lián)于所述同時的連接請求的一個或 更多個實體相關(guān)聯(lián)的聲譽,以便引起所述多個連接請求的抑制�。
102. 如權(quán)利要求90所述的方法���,進一步包括得到與所述外部相關(guān)聯(lián)的聲譽,所述聲譽 指示所述外部實體的參與拒絕服務攻擊的聲譽�,其中參與拒絕服務攻擊的聲譽根據(jù)來自電 話聽筒的輸入或策略觸發(fā)所述連接控制引擎以立即抑制連接。
103. 如權(quán)利要求90所述的方法����,其中請求到所述被保護網(wǎng)絡上的設備的連接,所述設 備包括移動的位置感知設備��。
104. —種用于短消息通信的基于聲譽的連接抑制系統(tǒng)��,所述系統(tǒng)包括通信接口 �����,其可操作來在所述外部實體和與所述通信接口相關(guān)聯(lián)的被保護網(wǎng)絡之間建 立連接之前�����,接收與外部實體相關(guān)聯(lián)的短消息服務連接請求�;聲譽引擎,其可操作來得到與所述外部實體相關(guān)聯(lián)的聲譽�����;以及連接控制引擎�,其可操作來根據(jù)與所述短消息服務連接請求相關(guān)聯(lián)的得到的所述外部 實體的聲譽,拒絕到所述被保護網(wǎng)絡的所述短消息服務連接請求�����。
105. 如權(quán)利要求104所述的系統(tǒng)��,其中所述聲譽引擎根據(jù)與所述外部實體相關(guān)聯(lián)的聲 譽好的標準和聲譽差的標準的匯聚�����,來得到所述外部實體的所述聲譽��。
106. 如權(quán)利要求105所述的系統(tǒng)���,其中所述連接控制引擎防止聲譽差的實體產(chǎn)生與所 述被保護網(wǎng)絡的連接�����。
107. 如權(quán)利要求106所述的系統(tǒng)�,其中所述聲譽差的實體可操作來試圖將短消息服務 通信發(fā)送到所述被保護網(wǎng)絡���,力圖對于不合法的活動產(chǎn)生與所述被保護網(wǎng)絡的前文本短消 息服務連接并利用所述前文本短消息服務連接��。
108. 如權(quán)利要求104所述的系統(tǒng)�����,進一步包括消息詢問引擎�����,所述消息詢問引擎可操 作來檢查從所述外部實體發(fā)起的通信的內(nèi)容���,以確定所述外部實體是否使用短消息服務連 接�����。
109. 如權(quán)利要求104所述的系統(tǒng)�����,其中所述聲譽引擎是聲譽服務器����,所述聲譽服務器 可操作來從所述連接控制引擎接收聲譽查詢并給所述連接控制引擎提供所得到的聲譽�����。
110. 如權(quán)利要求109所述的系統(tǒng),其中所述聲譽服務器通過匯聚與所述外部實體相關(guān) 聯(lián)的多個局部聲譽來得到所述外部實體的聲譽�,所述多個局部聲譽由多個局部聲譽引擎提 供�����。
111. 如權(quán)利要求104所述的系統(tǒng)���,其中所述連接控制引擎包括策略�,所述聲譽與所述 策略比較以確定是否允許所述互聯(lián)網(wǎng)協(xié)議語音電話連接請求�。
112. 如權(quán)利要求111所述的系統(tǒng),其中所述策略定義外部實體的一個或個多個類別��, 到所述外部實體的互聯(lián)網(wǎng)協(xié)議語音電話請求被允許����。
113. —種基于聲譽的連接抑制的方法,包括以下步驟接收互聯(lián)網(wǎng)協(xié)議語音電話連接請求���,所述互聯(lián)網(wǎng)協(xié)議語音電話連接請求與外部實體有關(guān)���;查詢聲譽引擎以得到與所述外部實體相關(guān)聯(lián)的聲譽; 將所述聲譽與相關(guān)聯(lián)于被保護的企業(yè)網(wǎng)的策略進行比較;根據(jù)確定與所述互聯(lián)網(wǎng)協(xié)議語音電話連接請求有關(guān)的所述外部實體的所述聲譽遵守 所述策略��,來允許所述連接請求����。根據(jù)確定與所述互聯(lián)網(wǎng)協(xié)議語音電話連接請求有關(guān)的所述外部實體的所述聲譽不遵 守所述策略,來抑制所述連接請求�����。
114. 一種基于聲譽的連接抑制的方法�����,包括以下步驟接收連接請求��,所述連接請求請求外部實體和被保護的企業(yè)網(wǎng)之間的連接����; 查詢聲譽引擎以得到與所述外部實體相關(guān)聯(lián)的聲譽,所述聲譽包括與所述外部實體相關(guān)聯(lián)的聲譽好的和聲譽差的標準的匯聚���;將所述聲譽與相關(guān)聯(lián)于所述被保護的企業(yè)網(wǎng)的策略進行比較�;根據(jù)確定與所述互聯(lián)網(wǎng)協(xié)議語音電話連接請求有關(guān)的所述外部實體的所述聲譽遵守 所述策略�����,來允許所述連接請求。根據(jù)確定與所述互聯(lián)網(wǎng)協(xié)議語音電話連接請求有關(guān)的所述外部實體的所述聲譽不遵 守所述策略����,來抑制所述連接請求。
115. —種基于聲譽的防火墻���,包括防火墻,其可操作來接收被送往被保護網(wǎng)絡的數(shù)據(jù)分組并根據(jù)與所述被保護網(wǎng)絡相關(guān) 聯(lián)的安全策略來確定所述數(shù)據(jù)分組的處理��,所述安全策略包括基于與所述數(shù)據(jù)分組相關(guān)聯(lián) 的外部實體的聲譽的至少一個規(guī)則��;聲譽引擎���,其可操作來確定與所述數(shù)據(jù)分組相關(guān)聯(lián)的所述外部實體��,并根據(jù)所述外部 實體的確定向所述防火墻提供聲譽�;以及其中處理步驟包括允許所述數(shù)據(jù)分組進入到所述被保護網(wǎng)絡或拒絕所述數(shù)據(jù)分組進 入到所述被保護網(wǎng)絡����。
116. —種系統(tǒng),包括安全控制接口 ��,其可操作來產(chǎn)生多個安全控制表示,所述多個安全控制表示中的每一 個可操作來控制與被保護實體相關(guān)聯(lián)的多個安全設置�����;以及策略控制接口 ����,其可操作來產(chǎn)生多個策略控制表示,所述多個策略控制表示中的每一 個可操作來控制與被保護實體相關(guān)聯(lián)的多個策略設置���;過濾模塊�����,其可操作來根據(jù)所述多個安全設置并根據(jù)所述多個策略設置來過濾一個或 更多個通信流�����。
117. 如權(quán)利要求116所述的系統(tǒng)���,其中所述安全控制表示包括在多個安全類別中的多 個安全滑塊表示,所述安全滑塊表示可操作來控制與所述被保護網(wǎng)絡相關(guān)聯(lián)的所述安全設置��。
118. 如權(quán)利要求117所述的系統(tǒng)�,其中所述多個安全類別包括病毒類別���、網(wǎng)絡釣魚類 別、蠕蟲類別或特洛伊木馬類別中的兩個或更多個�����。
119. 如權(quán)利要求118所述的系統(tǒng)���,其中所述多個安全控制表示每一個都可操作來對于 所述安全設置中相關(guān)聯(lián)的一個安全設置調(diào)節(jié)閾靈敏度�。
120. 如權(quán)利要求119所述的系統(tǒng)�,其中所述閾靈敏度包括通信流特征和與所述安全類 別相關(guān)聯(lián)的特征之間的相似性水平���。
121. 如權(quán)利要求117所述的系統(tǒng)���,其中所述策略控制表示包括在多個策略類別中的多 個策略滑塊表示,所述策略滑塊表示可操作來控制與所述被保護網(wǎng)絡相關(guān)聯(lián)的所述策略設置���。
122. 如權(quán)利要求121所述的系統(tǒng)���,其中所述多個策略類別包括垃圾郵件類別、內(nèi)容類 別�����、間諜軟件類別或群發(fā)郵件類別中的兩個或更多個。
123. 如權(quán)利要求122所述的系統(tǒng)����,其中所述多個策略控制表示每一個都可操作來對于 所述策略設置中相關(guān)聯(lián)的一個策略設置調(diào)節(jié)閾靈敏度。
124. 如權(quán)利要求123所述的系統(tǒng)�,其中所述閾靈敏度包括通信流特征和與所述策略類 別相關(guān)聯(lián)的特征之間的相似性水平。
125. 如權(quán)利要求116所述的系統(tǒng)���,其中所述被保護實體是計算設備�����、通信設備��、移動設 備����,或網(wǎng)絡中之一���。
126. 如權(quán)利要求116所述的系統(tǒng)���,其中所述安全控制接口和所述策略控制接口由管理 員控制��。
127. 如權(quán)利要求41所述的系統(tǒng)���,其中所述安全控制接口和所述策略控制接口由終端 用戶控制。
128. 如權(quán)利要求127所述的系統(tǒng)����,其中所述安全控制接口包括與所述多個安全控制表 示相關(guān)聯(lián)的多個范圍,所述安全控制設置可操作來在所述范圍內(nèi)被調(diào)節(jié)�。
129. —種計算機實現(xiàn)的方法,包括 從管理員接收多個范圍�����;向用戶提供安全控制接口 ���,所述安全控制接口包括與安全控制相關(guān)聯(lián)的多個安全控制 表示,每個安全控制機制包括來自所述多個范圍中的相關(guān)聯(lián)的范圍�,所述相關(guān)聯(lián)的范圍限 定與分別的安全控制相關(guān)聯(lián)的最小設置和最大設置;通過所述安全控制接口從所述用戶接收多個安全控制設置����;調(diào)節(jié)與從所述用戶接收的多個控制設置有關(guān)的多個閾值,所述多個閾值與可能的違反 安全的類別的容忍度相關(guān)聯(lián)�;以及根據(jù)所述多個閾值過濾來自與所述用戶相關(guān)聯(lián)的被保護實體的通信流���。
130. 如權(quán)利要求129所述的系統(tǒng),其中所述安全控制表示包括在多個安全類別中的多 個安全滑塊表示�����,所述安全滑塊表示可操作來控制與所述被保護網(wǎng)絡相關(guān)聯(lián)的所述安全設 置��。
131. 如權(quán)利要求130所述的系統(tǒng)�,其中所述多個安全類別包括病毒類別、網(wǎng)絡釣魚類 別����、蠕蟲類別、特洛伊木馬類別�����、垃圾郵件類別�����、內(nèi)容類別����、間諜軟件類別或群發(fā)郵件類別中 的兩個或更多個�。
132. 如權(quán)利要求131所述的系統(tǒng)���,其中所述多個安全控制表示每一個都可操作來對于 所述安全設置中相關(guān)聯(lián)的一個安全設置調(diào)節(jié)閾靈敏度����。
133. 如權(quán)利要求132所述的系統(tǒng)�,其中所述閾靈敏度包括通信流特征和與所述安全類 別相關(guān)聯(lián)的特征之間的相似性水平。
134. 如權(quán)利要求129所述的系統(tǒng)�����,其中所述被保護實體是計算設備����、通信設備、移動設 備或網(wǎng)絡中之一��。
135. 具有軟件程序代碼的一個或更多個計算機可讀介質(zhì)���,所述軟件程序代碼可操作來 實現(xiàn)對進入和傳出的通信流的過濾調(diào)節(jié),所述軟件程序代碼包括從管理員接收多個范圍����;向用戶提供安全控制接口 ���,所述安全控制接口包括與多個安全控制設置相關(guān)聯(lián)的多個 安全控制表示,每個安全控制機制包括來自所述多個范圍中的相關(guān)聯(lián)的范圍����,所述相關(guān)聯(lián) 的范圍限定與分別的安全控制相關(guān)聯(lián)的最小設置和最大設置;通過所述安全控制接口從所述用戶接收輸入�����,所述輸入要求所述多個安全控制設置的 調(diào)節(jié)�;調(diào)節(jié)與從所述用戶接收的多個控制設置有關(guān)的多個閾值,所述多個閾值與可能的違反 安全的類別的容忍度相關(guān)聯(lián)���;以及根據(jù)所述多個閾值過濾來自與所述用戶相關(guān)聯(lián)的被保護實體的通信流��。
全文摘要
用于在一個或更多個數(shù)據(jù)處理器上進行操作的方法和系統(tǒng)�����,其用于根據(jù)以前收集的數(shù)據(jù)給基于網(wǎng)絡的實體分配聲譽����。
文檔編號G06F17/30GK101730892SQ200880009672
公開日2010年6月9日 申請日期2008年1月24日 優(yōu)先權(quán)日2007年1月24日
發(fā)明者A·J·N·特里維迪, A·M·埃爾南德斯, D·阿爾佩羅維奇, J·A·齊齊亞斯基, L·L·維利斯, M·施特赫爾, P·A·施內(nèi)克, P·朱格, P·格里夫, S·克拉澤, T·富特-倫諾瓦, T·朗格, W·楊, Y·唐 申請人:邁可菲公司