即時(shí)的,電子郵件內(nèi)嵌url的信譽(yù)確定的制作方法
【專利說(shuō)明】即時(shí)的,電子郵件內(nèi)嵌URL的信譽(yù)確定
[0001]置量
[0002]本公開大致涉及惡意軟件檢測(cè)領(lǐng)域���。更具體而言�,但不以限制的方式��,其涉及采用信譽(yù)來(lái)確定是否允許遍歷電子郵件中內(nèi)嵌超鏈接的技術(shù)�。
[0003]反惡意軟件系統(tǒng)已經(jīng)提供了電子郵件網(wǎng)關(guān)(email gateway)以在傳送至電子郵件客戶端之前進(jìn)行電子郵件檢查�,網(wǎng)絡(luò)網(wǎng)關(guān)(web gateway)在允許遍歷(traversal)超鏈接之前進(jìn)行統(tǒng)一資源定位符(URL)檢查�。這樣的檢查常常會(huì)考慮電子郵件或URL的信譽(yù)。信譽(yù)是基于從全球來(lái)源收集到的信息用于確定電子郵件或URL有效性的一個(gè)概念��。電子郵件或URL的信譽(yù)不是固定的����,是可以基于從全球來(lái)源收集到的數(shù)據(jù)隨時(shí)間變化的。在當(dāng)前反惡意軟件系統(tǒng)中存在一個(gè)弱點(diǎn)����,即可能使網(wǎng)絡(luò)釣魚電子郵件或其他不需要的電子郵件通過(guò)傳送至收件人,因?yàn)橛靡源_定電子郵件信譽(yù)的電子郵件網(wǎng)關(guān)所使用的服務(wù)器對(duì)于特定主機(jī)或內(nèi)容還不具有足夠的了解�。然后電子郵件收件人可能會(huì)點(diǎn)擊消息中的超鏈接,但超鏈接本身并不具有與其相關(guān)聯(lián)的足夠的信譽(yù)信息以防止遍歷該超鏈接�。
[0004]附圖簡(jiǎn)要說(shuō)明
[0005]圖1是圖示了根據(jù)一個(gè)實(shí)施例的一種執(zhí)行即時(shí)(just-1n-time)電子郵件內(nèi)嵌URL信譽(yù)確定的系統(tǒng)的框圖。
[0006]圖2是圖示了根據(jù)另一個(gè)實(shí)施例的一種執(zhí)行即時(shí)電子郵件內(nèi)嵌URL信譽(yù)確定的系統(tǒng)的框圖��。
[0007]圖3是圖示了根據(jù)再另一個(gè)實(shí)施例的一種執(zhí)行即時(shí)電子郵件內(nèi)嵌URL信譽(yù)確定的系統(tǒng)的框圖����。
[0008]圖4是圖示了根據(jù)一個(gè)實(shí)施例的一種執(zhí)行即時(shí)電子郵件內(nèi)嵌URL信譽(yù)確定的技術(shù)的一部分的流程圖�。
[0009]圖5是圖示了根據(jù)一個(gè)實(shí)施例的一種執(zhí)行即時(shí)電子郵件內(nèi)嵌URL信譽(yù)確定的技術(shù)的一部分的流程圖。
[0010]圖6是圖示了根據(jù)一個(gè)實(shí)施例的一種執(zhí)行基于即時(shí)電子郵件內(nèi)嵌URL信譽(yù)確定的自適應(yīng)內(nèi)容過(guò)濾技術(shù)的流程圖��。
[0011]圖7是圖示了根據(jù)一個(gè)實(shí)施例的一種用于本文中所描述技術(shù)的計(jì)算設(shè)備的框圖。
[0012]詳細(xì)說(shuō)曰月
[0013]在以下描述中��,出于解釋的目的��,許多具體細(xì)節(jié)被公開以提供本發(fā)明的透徹理解���。然而�,對(duì)于本領(lǐng)域的技術(shù)人員而言���,本發(fā)明顯然無(wú)需這些具體細(xì)節(jié)亦可實(shí)施��。在另一些實(shí)例中�,結(jié)構(gòu)和設(shè)備以框圖的形式被示出��,以避免模糊本發(fā)明�。對(duì)于無(wú)腳注或后綴的數(shù)字的引用應(yīng)理解為對(duì)于對(duì)應(yīng)引用數(shù)字的所有腳注和后綴實(shí)例的引用。另外����,本公開中所使用的語(yǔ)言主要出于可讀性和指導(dǎo)性的目的進(jìn)行選擇的,并且可能未以描繪或限制本發(fā)明主題��,訴諸于對(duì)于確定該發(fā)明主題必要的權(quán)利要求而進(jìn)行選擇。說(shuō)明書中引用的“一個(gè)實(shí)施例(one embodiment) ”或“一實(shí)施例(an embodiment) ”表示所描述的與實(shí)施例相關(guān)的特定特征���、結(jié)構(gòu)��、或特性被包括于本發(fā)明的至少一個(gè)實(shí)施例中����,而多次引用“一個(gè)實(shí)施例(oneembodiment) ”或“一實(shí)施例(an embodiment) ”不應(yīng)被理解為所有都必定是指相同的實(shí)施例�����。
[0014]如本文所使用的�,術(shù)語(yǔ)“計(jì)算機(jī)系統(tǒng)(a computer system) ”可以指單一個(gè)計(jì)算機(jī)或一起工作以執(zhí)行所描述的在計(jì)算機(jī)系統(tǒng)上或由計(jì)算機(jī)系統(tǒng)所執(zhí)行的功能的多個(gè)計(jì)算機(jī)。
[0015]如本文所使用的�,術(shù)語(yǔ)“超鏈接(hyperlink)”是指可被用以訪問(wèn)資源的信息,所述資源可以是遠(yuǎn)程資源�����,例如網(wǎng)站��,或本地資源�,例如文件系統(tǒng)中的文件或當(dāng)前文檔中的位置�。超鏈接包括標(biāo)識(shí)將要訪問(wèn)資源的資源定位符。盡管在此通常被描述為統(tǒng)一資源定位符(URL),資源定位符可以是對(duì)于標(biāo)識(shí)資源有用的任何信息�,包括由資源向訪問(wèn)請(qǐng)求所應(yīng)用的參數(shù)或選項(xiàng)。如本文所使用的�����,遍歷(traverse)超鏈接或遍歷資源定位符是指一嘗試(attempt)��,其通過(guò)發(fā)送包含URL的網(wǎng)絡(luò)請(qǐng)求至采用諸如超文本傳輸協(xié)議(HTTP)或超文本傳輸協(xié)議文本(HTTPS)的協(xié)議的網(wǎng)絡(luò)服務(wù)器��,允許網(wǎng)絡(luò)服務(wù)器基于URL中的信息響應(yīng)網(wǎng)絡(luò)請(qǐng)求�����,以此來(lái)訪問(wèn)由在超鏈接中指定URL所指向的資源�����。
[0016]以下詳細(xì)描述的各種實(shí)施例允許額外的背景(context)與電子郵件中包含的超鏈接相關(guān)聯(lián)�,以允許在嘗試遍歷超鏈接時(shí)確定電子郵件的信譽(yù)。由于遍歷有時(shí)發(fā)生在電子郵件的原始掃描之后���,原始掃描和用戶嘗試遍歷超鏈接之間的時(shí)間延遲可提供時(shí)間使電子郵件網(wǎng)關(guān)或本文描述的系統(tǒng)的其他部分得以更多地了解電子郵件�����,并且由此給出一個(gè)更準(zhǔn)確的信譽(yù)確定���。
[0017]通過(guò)將信息編碼至電子郵件中的URL中�����,編碼信息可被提取并被用于請(qǐng)求原始電子郵件的當(dāng)前信譽(yù)且合并該信譽(yù)和在遍歷時(shí)關(guān)于URL所做的任何判斷�����。因此����,這允許采用內(nèi)嵌信息來(lái)實(shí)時(shí)地檢查即時(shí)信譽(yù)�����。
[0018]圖1是圖示了一種執(zhí)行即時(shí)電子郵件內(nèi)嵌URL信譽(yù)確定的系統(tǒng)100實(shí)施例的框圖����。電子郵件網(wǎng)關(guān)110采用客戶端130接收寄給收件人的電子郵件。電子郵件網(wǎng)關(guān)110可采用本領(lǐng)域已知的任何所期望的技術(shù)進(jìn)行接收���。電子郵件網(wǎng)關(guān)110可在電子郵件上執(zhí)行信譽(yù)檢查���,在本示例中,是采用信譽(yù)服務(wù)器120的服務(wù)來(lái)執(zhí)行信譽(yù)檢查�����。
[0019]為了進(jìn)行該初始電子郵件信譽(yù)檢查�,電子郵件網(wǎng)關(guān)110可在收到電子郵件時(shí)提取充足的信息來(lái)進(jìn)行電子郵件信譽(yù)確定,例如數(shù)據(jù)簽名�����、報(bào)頭(header)數(shù)據(jù)����、以及信封(envelope)數(shù)據(jù)。信息可包括電子郵件本身��,或電子郵件的部分�。信息也可包括關(guān)于電子由P件通過(guò)其被接收的連接的信息,例如發(fā)送電子郵件服務(wù)器的IP地址���。
[0020]盡管在圖1中被圖示為在云端(in the clound)提供服務(wù)的單一信譽(yù)服務(wù)器120��,但信譽(yù)服務(wù)器120可以是本地信譽(yù)服務(wù)器���,其可進(jìn)而訪問(wèn)一個(gè)或多個(gè)其他信譽(yù)服務(wù)器的服務(wù)���,包括諸如由McAfee公司的全球威脅智能(Global Threat Intelligence)系統(tǒng)所提供全球信譽(yù)服務(wù)器。信譽(yù)信息可以任何期望的形式被提供至電子郵件網(wǎng)關(guān)110�����,采用任何期望的協(xié)議來(lái)進(jìn)行信譽(yù)信息通信�。在一個(gè)示例中,信譽(yù)得分可由信譽(yù)服務(wù)器120提供�。如在圖1中所示,信譽(yù)服務(wù)器120被置于云端150中���,且可在任何地方從電子郵件網(wǎng)關(guān)110訪問(wèn)����。
[0021]一旦從信譽(yù)服務(wù)器120接收信譽(yù)信息���,電子郵件網(wǎng)關(guān)110可選擇將電子郵件遞送至客戶端130��、阻止電子郵件遞送����、或采取任何其他期望的操作。如果電子郵件要被遞送至客戶端130����,電子郵件網(wǎng)關(guān)110可進(jìn)一步分析電子郵件的內(nèi)容以確定電子郵件是否包含超鏈接。如果有超鏈接被檢測(cè)到����,電子郵件網(wǎng)關(guān)將修改超鏈接的資源定位符以包括標(biāo)識(shí)電子由P件消息的信息����。標(biāo)識(shí)信息通常包括消息標(biāo)識(shí)符,例如包含于電子郵件的消息ID報(bào)頭中的部分�,但可以是足以允許之后確定URL是最初被內(nèi)嵌于電子郵件中的,并且唯一地標(biāo)識(shí)電子郵件的任何信息�����。標(biāo)識(shí)信息在遍歷超鏈接時(shí)被插入至超鏈接中以供以后使用�����。URL仍然可用作資源定位符�����,從而使得用戶可點(diǎn)擊包含URL的超鏈接從而以通常的方式遍歷該超鏈接。在超鏈接具有相關(guān)聯(lián)的超鏈接文本數(shù)據(jù)的情況下��,對(duì)于URL的修改可能無(wú)法立即在電子郵件中可見��。
[0022]其他信息可按需要被編碼至URL中�,例如與電子郵件相關(guān)聯(lián)的環(huán)境信息。例如���,驗(yàn)證信息可被編碼至URL中以允許網(wǎng)絡(luò)網(wǎng)關(guān)或獲得URL的系統(tǒng)100的其他部分來(lái)確定編碼是由電子元件網(wǎng)關(guān)110所產(chǎn)生的����。另外����,被插入至URL的編碼信息可被加密,以防止對(duì)標(biāo)識(shí)信息的未授權(quán)的解碼�,以允許檢測(cè)對(duì)編碼信息未授權(quán)的插入或修改。
[0023]電子郵件網(wǎng)關(guān)也可產(chǎn)生對(duì)應(yīng)于電子郵件的元信息���,將元信息儲(chǔ)存在本地或遠(yuǎn)程數(shù)據(jù)庫(kù)中����,由消息標(biāo)識(shí)符鍵控(keye