專利名稱:電子消息源信譽(yù)信息系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
在此揭露的實(shí)施例大體涉及用于監(jiān)控網(wǎng)絡(luò)活動(dòng)����、創(chuàng)建反映所 監(jiān)控的活動(dòng)的信息池、以及基于反映所監(jiān)控活動(dòng)的信息管理網(wǎng)絡(luò) 活動(dòng)的系統(tǒng)�����。
背景技術(shù):
Petry等人的美國專利申請(qǐng)公開No.2003/0158905("活動(dòng)的 EMS專利申請(qǐng)�,,)的全部?jī)?nèi)容在此作為參考被結(jié)合進(jìn)來用于所有目 的���。所述活動(dòng)的EMS專利申請(qǐng)描述了 一種活動(dòng)的電子消息管理系 統(tǒng)����,所述系統(tǒng)包括一個(gè)實(shí)時(shí)反饋回路����,其中數(shù)據(jù)從入局連接嘗試、 出局發(fā)送嘗試和消息內(nèi)容分析中的電子消息中被收集����,并寫入數(shù) 據(jù)矩陣��。
在2005年5月��,本申請(qǐng)的受讓人Postini公司每周處理大于 30億的消息�����。從這個(gè)處理中收集的消息對(duì)國際互聯(lián)網(wǎng)上電子郵件 通信量的活動(dòng)提供了有價(jià)值的了解�����。已經(jīng)被基于內(nèi)容的電子郵件消息過濾阻擋的攻擊性電子郵件制造者或"垃圾郵件制造者,���,已 經(jīng)開始使用強(qiáng)力方法來戰(zhàn)勝現(xiàn)有的許多電子郵件消息過濾產(chǎn)品和 服務(wù)�����。在許多情況下�,強(qiáng)力方法對(duì)端用戶的消息箱來說甚至構(gòu)不 成威脅�,因?yàn)樗鼈兪菄H互聯(lián)網(wǎng)的服務(wù)器和網(wǎng)絡(luò)-包括由ISP、大 學(xué)和公司網(wǎng)絡(luò)維護(hù)的路由器-的整體負(fù)擔(dān)。例如,在 一 些情況中��, 垃圾郵件制造者會(huì)發(fā)送數(shù)百萬的隨機(jī)消息用于影響基于內(nèi)容的電 子郵件過濾器的過濾參數(shù)��,因?yàn)檫@些過濾器一般都適應(yīng)于國際互 聯(lián)網(wǎng)上消息通信量的模式����。這些消息甚至不包括商業(yè)廣告。它們 通常本質(zhì)上是不重復(fù)的�,但是是隨機(jī)的,并發(fā)送到垃圾郵件制造 者的數(shù)據(jù)庫中隨機(jī)的已知的電子郵件地址�����。由于消息不具有已知 的模式����,所以沒有被配置為基于原地址而檢測(cè)電子郵件消息的攻 擊性發(fā)送者來阻擋消息的基于內(nèi)容的電子郵件過濾器通常會(huì)允許 這些消息通過并傳到用戶。此外����,由于這種電子郵件過濾大部分 在公司或ISP位置被執(zhí)行,并且有時(shí)遠(yuǎn)在終端用戶的郵件服務(wù)器 或甚至在用戶的個(gè)人電子郵件客戶端���,這種類型的電子郵件過濾
沒有做任何事情來減少ISP或公司網(wǎng)絡(luò)必須處理的網(wǎng)絡(luò)通信量的級(jí)別���。
發(fā)明內(nèi)容
在此描述使用電子消息源信譽(yù)系統(tǒng)的過濾系統(tǒng)和方法。所述
源信譽(yù)系統(tǒng)以實(shí)時(shí)威脅識(shí)別網(wǎng)絡(luò)("RTIN")數(shù)據(jù)庫的形式保持源 國際互聯(lián)網(wǎng)協(xié)議(IP)地址信息的信息池�,所述數(shù)據(jù)庫可提供源IP 地址的信譽(yù)���,并可被用于源信譽(yù)系統(tǒng)的客戶來過濾網(wǎng)絡(luò)通信量。 所述源信譽(yù)系統(tǒng)提供了多種訪問源信譽(yù)信息的途徑��。這種途徑的 例子可以包括域名服務(wù)器(DNS)類型查詢��,為路由器提供路由器表 數(shù)據(jù)服務(wù)���,或其它途徑���。這個(gè)整體概念的各個(gè)方面包括用于增加源IP地址信譽(yù)信息的 信息池的系統(tǒng)和方法,用于訪問所述源信譽(yù)信息(例如經(jīng)由加密鑰 匙等)的認(rèn)證過程���,在源信譽(yù)信息池中保持的信息類型,以及訪問 或提供源信譽(yù)信息的方法���。
可從各種數(shù)據(jù)源所述得到源信譽(yù)信息���。這種數(shù)據(jù)源的 一 個(gè)例 子是通信量監(jiān)控系統(tǒng),其產(chǎn)生實(shí)時(shí)國際互聯(lián)網(wǎng)通信量信息�。所述 通信量監(jiān)控系統(tǒng)可包括通信量監(jiān)控器,其被配置用于基于電子郵 件通信量收集實(shí)時(shí)信息���。所述通信量監(jiān)控器可保持通信量日志����, 其包括由通信量監(jiān)控器收集的信息所反映的數(shù)據(jù)。然后源信譽(yù)系 統(tǒng)可以執(zhí)行對(duì)通信量日志的分析來生成對(duì)來自于各個(gè)域或IP地址 的電子郵件活動(dòng)的評(píng)估����。 一個(gè)域的評(píng)估可以被延遲直到來自所述 域的電子郵件通信量的閾值量已經(jīng)被評(píng)估。
數(shù)據(jù)源的另 一 個(gè)例子是兩次攻擊系統(tǒng)�,其提供 一 種方法來減 少4晉誤 一 確定垃圾郵件的識(shí)別。當(dāng)所述兩次攻擊系統(tǒng)懷疑來自一 個(gè)給定IP地址的電子郵件是垃圾郵件時(shí)��,它將4企查自上一次從那 個(gè)IP地址接收被懷疑垃圾郵件以來經(jīng)過的時(shí)間量���。如果經(jīng)過了規(guī) 定量或更多的時(shí)間那么所述兩次攻擊系統(tǒng)將認(rèn)為所述懷疑的電子 郵件是垃圾郵件的可能性比較小���。否則如果經(jīng)過了少于規(guī)定量的 時(shí)間,那么所述系統(tǒng)認(rèn)為所述懷疑的電子郵件是垃圾郵件的可能 性更大�,并將發(fā)送IP地址識(shí)別為可能的垃圾郵件源。所述兩次攻 擊通信系統(tǒng)可保持 一 個(gè)從這個(gè)過程中得到的信息的數(shù)據(jù)庫���,例如 將被確定為可能是垃圾郵件源的IP地址列表�。然后所述信息可以 被提供給源信譽(yù)系統(tǒng)作為數(shù)據(jù)源。
數(shù)據(jù)源的另 一 個(gè)例子可以是 一 種系統(tǒng)��,所述系統(tǒng)基于所接收 的地址為已知不存在的電子郵件地址的電子郵件來4全測(cè)垃圾郵 件��,例如一種"突然死亡"系統(tǒng)�����。"突然死亡"系統(tǒng)可提供一種基于其地址為不存在的電子郵件地址的電子郵件消息的實(shí)例來識(shí)別 垃圾郵件的源�。發(fā)送到不存在的電子郵件地址的大容量電子郵件
可能是一種目錄收集攻擊(DHA)的跡象,所以源IP地址可以被識(shí) 別為DHA的源并很可能是垃圾郵件的源���。所述突然死亡系統(tǒng)可以 以各種方式檢測(cè)發(fā)送到不存在的電子郵件地址的電子郵件�����。在一 些情況中���,突然死亡系統(tǒng)可以將入局電子郵件的發(fā)送地址與郵箱 模式列表相比較,所述郵箱模式包括不太可能被用在真實(shí)郵箱地 址中的字符組合�。同樣不屬于真實(shí)用戶的"種子"電子郵件地址 可以在國際互聯(lián)網(wǎng)����、"世界性的新聞組網(wǎng)絡(luò)系統(tǒng)"(usenet)、或其它 地方上傳播���。所述突然死亡系統(tǒng)可檢測(cè)發(fā)送到這些"種子"地址 之一的電子郵件并且將源IP地址標(biāo)記為可能的垃圾郵件源���。突然 死亡系統(tǒng)可包括一數(shù)據(jù)庫��,該數(shù)據(jù)庫用于存儲(chǔ)與地址為不存在或 "種子"地址的電子郵件的實(shí)例的信息�����。數(shù)據(jù)庫可還可存儲(chǔ)IP地 址信息例如�,由突然死亡系統(tǒng)確定為垃圾郵件和/或DHA源的可 能的IP地址��。然后所述信息可作為數(shù)據(jù)源提供到源信譽(yù)系統(tǒng)����。
數(shù)據(jù)源的另 一個(gè)例子包括一種IP地址信息數(shù)據(jù)庫(或多個(gè)數(shù) 據(jù)庫)。信息可由提供關(guān)于所接收垃圾郵件和發(fā)送垃圾郵件的IP 地址的信息的客戶來提供���。信息還可由關(guān)于IP地址的系統(tǒng)管理員 來提供�����。IP地址信息數(shù)據(jù)庫可包括阻止列表���,比如已知為垃圾郵 件或其它惡意活動(dòng)源的IP地址的列表����。IP地址信息數(shù)據(jù)庫可包括 已經(jīng)在某種程度上可靠的"灰度列表"IP地址���,例如其中IP地址 根據(jù)它們的可靠程度被記分�����。IP地址信息數(shù)據(jù)還可包括已知不可 能是垃圾郵件或其它惡意活動(dòng)的源的可靠IP地址的列表�����。
可靠IP地址可通過包括對(duì)似乎不可能發(fā)送垃圾郵件的域的識(shí) 別過程來識(shí)別���。這可包括基于預(yù)期行為為IP地址指定可靠級(jí)別, 其中可靠級(jí)別跨越垃圾郵件會(huì)或不會(huì)被發(fā)送的可能性的多個(gè)范圍����。可靠級(jí)別可基于其它事實(shí)����、商業(yè)、行業(yè)或其它啟發(fā)之中�。當(dāng) IP地址與某些4亍業(yè)相關(guān)時(shí),可凈皮識(shí)別����,例如當(dāng) 一 些IP地址屬于金 融或法學(xué)機(jī)構(gòu)或甚至覆蓋許多通常可靠實(shí)體的"通?��?煽?的類 別時(shí)�����,其可以被識(shí)別�。在某些實(shí)施例中����,類別可以與某個(gè)可靠級(jí) 別綁定,所以指定為一類的IP地址或域可被自動(dòng)地指定相關(guān)聯(lián)的 可靠級(jí)別���。
如果��,從歷史來看��, 一個(gè)特定IP地址是已知的垃圾郵件源或 其他惡意或不期望的國際互聯(lián)網(wǎng)活動(dòng)����,那么這個(gè)信息可以被保持 在IP地址信息數(shù)據(jù)庫中。如果�����,從歷史來看����, 一個(gè)IP地址是已知 的可接受電子郵件源或其他國際互聯(lián)網(wǎng)通信量,那么這個(gè)信息也 可以被存儲(chǔ)在IP地址信息數(shù)據(jù)庫中��。在一些實(shí)施例中��,IP地址可 以被根據(jù)歷史信息標(biāo)記或分等級(jí)�。標(biāo)記或分等級(jí)可以表示可接受 的或不期望的過去的活動(dòng)。在 一 些實(shí)施例中�,可以實(shí)施的逐步增 加活動(dòng)的檢測(cè)系統(tǒng),其能夠基于對(duì)源自所述IP地址的惡意活動(dòng)或 地址的阻止的增加的^f企測(cè)來降低所述IP地址的等級(jí)��,例如指示可 靠性的降低級(jí)別��。如果在一段時(shí)間內(nèi)檢測(cè)到垃圾郵件或其他惡意 活動(dòng)的明顯減少����,那么IP地址也可以重新獲得提高的等級(jí)���,例如 認(rèn)為變得更可靠。這個(gè)信息可以基于國際互聯(lián)網(wǎng)通信量監(jiān)控器的 實(shí)時(shí)通信量信息的預(yù)定時(shí)間間隔被更新�。
所述源信譽(yù)系統(tǒng)包括RTIN引擎�����,其可基于從一個(gè)或多個(gè)數(shù)據(jù) 源接收的信息來評(píng)估IP地址���。許多風(fēng)險(xiǎn)度量可以被使用以達(dá)到可 靠性程度或?qū)τ蚧騃P地址是否可靠的確認(rèn)�。風(fēng)險(xiǎn)度量的例子包括 涉及垃圾郵件��、病毒�����、電子郵件炸彈和目錄收集攻擊的度量���。對(duì) 這些度量中每一個(gè)的測(cè)量都可以基于預(yù)定比例而做出��,例如��,從1 到100的比例���,表示主題源IP地址專注于這些行為的程度�。然后 IP地址可以基于這些測(cè)量而被標(biāo)記����,例如,范圍在50到100的對(duì)于垃圾郵件的測(cè)量的分?jǐn)?shù)意味著對(duì)象IP地址被認(rèn)為是相當(dāng)大的垃 圾郵件源����。否則,如果垃圾郵件測(cè)量低于50,那么所述IP地址在 一定程度上是可靠的���,其中可靠性的級(jí)別依賴于測(cè)量數(shù)值����。例如�, 具有垃圾郵件測(cè)量的范圍在1 - 10的IP地址被認(rèn)為比具有垃圾郵
件測(cè)量的范圍在40 - 50的IP地址更可靠。
在一些實(shí)施例中�,IP地址的所有者可以被識(shí)別(例如,通過執(zhí) 行DNS或"whois"調(diào)查4乘作)以將 一 個(gè)行業(yè)因素包4舌在對(duì)IP地址 的評(píng)估中����,所述行業(yè)因素代表了給定擁有所述IP地址的行業(yè)或?qū)?體的情況下,IP地址在多大程度上會(huì)是垃圾郵件或其他惡意活動(dòng) 的源���。達(dá)到可靠性預(yù)定級(jí)別的域或IP地址也可以這樣被正確地識(shí) 別�。在一 些實(shí)施例中, 一皮識(shí)別為為可靠的域或IP i也址可以 一皮添加 到可靠IP地址的數(shù)據(jù)庫�����。
保持在RTIN數(shù)據(jù)庫中的信息類型可包括比如數(shù)據(jù)指示的信 息�����,用于IP地址或IP地址塊�,所述主題地址可能是垃圾郵件�����、病 毒�����、DHA或其他惡意活動(dòng)的源的可能性���。例如����,對(duì)于每個(gè)IP地址, 所述RTIN數(shù)據(jù)庫可包括用于比如垃圾郵件�����、病毒或DHA的一個(gè) 或多個(gè)分類的分?jǐn)?shù)����,所述分?jǐn)?shù)提供了一種指示,即所述主題IP地 址有多大可能性專注于與各個(gè)分類相關(guān)的活動(dòng)��。對(duì)源信譽(yù)數(shù)據(jù)庫 的查詢可從用于特定類型信息的請(qǐng)求變化到更一般的請(qǐng)求�����,例如�����, 請(qǐng)求與特定IP地址或地址塊相關(guān)的所有可用信息����。
用于增加、存儲(chǔ)和提供到源信譽(yù)數(shù)據(jù)庫的訪問的特定體系結(jié) 構(gòu)可以變化���。合適的體系結(jié)構(gòu)的例子在此被揭露����,但是也可以在 不脫離本公開內(nèi)容的精神和范圍的情況下使用其他體系結(jié)構(gòu)。
實(shí)施例通過附圖中的示例被圖示�����,其中相同的參考數(shù)字代表類似的部分�,并且其中
圖1顯示的是圖示的源信譽(yù)系統(tǒng)的例子的框圖2顯示了 RTIN引擎的第一實(shí)施例的框圖3顯示了 RTIN引擎的第二實(shí)施例的框圖4顯示了通信量監(jiān)控系統(tǒng)的實(shí)施例的框圖5顯示了兩次攻擊系統(tǒng)的實(shí)施例的框圖6顯示了圖示圖5中顯示的兩次攻擊系統(tǒng)執(zhí)行過程的實(shí)施 例的流程圖7顯示了突然死亡系統(tǒng)的實(shí)施例的框圖8顯示了圖示圖7中顯示的突然死亡系統(tǒng)執(zhí)行過程的實(shí)施 例的流程圖9顯示了圖示圖1中顯示的源信譽(yù)系統(tǒng)執(zhí)行過程的實(shí)施例 的流程圖IO顯示了圖示訪問圖1中顯示的源信譽(yù)系統(tǒng)的過程的實(shí)施
例的流程圖11顯示了 一組國際互聯(lián)網(wǎng)自主系統(tǒng)的框圖12顯示了客戶路由器的例子的框圖;以及
圖13顯示了圖示使用對(duì)應(yīng)于圖1中顯示的源信譽(yù)系統(tǒng)的黑洞
技術(shù)的通信量流向?qū)嵗目驁D�����。
具體實(shí)施例方式
圖1顯示了圖示過濾系統(tǒng)100實(shí)例的框圖����,所述系統(tǒng)基于源 IP地址的信譽(yù)對(duì)網(wǎng)絡(luò)通信量進(jìn)行過濾�����。根據(jù)圖示的實(shí)施例�,系統(tǒng) 100包括一個(gè)或多個(gè)數(shù)據(jù)源102a、 102b(共同為102)��、源信譽(yù)系統(tǒng) 104和一個(gè)或多個(gè)客戶系統(tǒng)106a、 106b(共同為106)����。所述源信譽(yù) 系統(tǒng)104包括實(shí)時(shí)威脅識(shí)別(RTIN)引擎108和可選客戶配置數(shù)據(jù)庫110。
RTIN引擎108負(fù)責(zé)從許多數(shù)據(jù)源102中找到IP地址信息���, 處理找到的信息以在RTIN數(shù)據(jù)庫114中發(fā)展并保持用于IP地址 或IP地址塊的源信譽(yù)簡(jiǎn)檔��,并且管理源信譽(yù)簡(jiǎn)檔信息對(duì)客戶系統(tǒng) 106的分配�。應(yīng)注意客戶系統(tǒng)106a和106b分別包括客戶路由器 107a和107b(共同為107)�。在一些實(shí)施例中,RTIN引擎108可管 理簡(jiǎn)檔信息直4妻向客戶3各由器107的分配�����。在一些實(shí)施例中�����,RTIN 引擎108可根據(jù)存儲(chǔ)在數(shù)據(jù)庫110中的客戶信息來管理IP地址簡(jiǎn) 檔信息的分配��。例如��,信息分配方法和提供給客戶系統(tǒng)106a的信 息類型可與客戶系統(tǒng)106b的不同�。RTIN引擎108可參考存儲(chǔ)在 數(shù)據(jù)庫110中的數(shù)據(jù)來確保根據(jù)客戶106a和106b的獨(dú)有屬性和/ 或配置來對(duì)他們進(jìn)行合適的處理。
RTIN引擎108可基于從一個(gè)或多個(gè)數(shù)據(jù)源102接收的信息來 評(píng)估IP地址。任何風(fēng)險(xiǎn)度量可被使用以達(dá)到可靠性程度或?qū)υ? 域是否可靠的確認(rèn)����。風(fēng)險(xiǎn)度量的例子包括涉及垃圾郵件、病毒����、 電子郵件炸彈和目錄收集攻擊的度量。對(duì)這些度量中每 一 個(gè)的測(cè) 量都可以基于預(yù)定比例而〗故出���,例如��,/人1到IOO的比例���,表示 主題源IP地址專注于這些行為的程度。然后IP地址可以基于這些 測(cè)量而被標(biāo)記����,例如��,范圍在50到100的對(duì)于垃圾郵件的測(cè)量的 分?jǐn)?shù)意味著主題IP地址被認(rèn)為是相當(dāng)大的垃圾郵件源����。否則,如 果垃圾郵件測(cè)量低于50,那么所述IP地址在一定程度上是可靠的�����, 其中可靠性的級(jí)別依賴于測(cè)量數(shù)值���。例如��,具有垃圾郵件測(cè)量的 范圍在1-10的IP地址被認(rèn)為比具有垃圾郵件測(cè)量的范圍在40 -50的IP地址更可靠���。
在一些實(shí)施例中,IP地址的所有者可以纟皮識(shí)別(例如�,通過執(zhí) 行DNS或"whois,����,調(diào)查操作)以將一個(gè)行業(yè)因素包括在對(duì)IP地址的評(píng)估中,所述行業(yè)因素代表了給定擁有所述IP地址的行業(yè)或?qū)?體的情況下�,IP地址在多大程度上會(huì)是垃圾郵件或其他惡意活動(dòng) 的源。達(dá)到可靠性預(yù)定級(jí)別的域或IP地址也可以這樣被正確地識(shí) 別��。在一些實(shí)施例中���,被識(shí)別為是可靠的域或IP地址可以被添加
到可靠IP地址的^:據(jù)庫�。
對(duì)于產(chǎn)生RTIN數(shù)據(jù)庫114,源信譽(yù)系統(tǒng)104的管理員可查詢 并評(píng)估在各種數(shù)據(jù)源102可用的信息的各種領(lǐng)域的組合,比如消 息數(shù)量與從特定IP地址發(fā)送的垃圾郵件消息數(shù)量的比率���。其他測(cè)
量包括��,但不局限于 *發(fā)送的消息數(shù)量 *被認(rèn)為是垃圾郵件的消息數(shù)量 *收件人的數(shù).量 *連接嘗試的數(shù)量 *連接成功的數(shù)量 *連接失敗的數(shù)量 *第400類錯(cuò)誤的數(shù)量 *第500類錯(cuò)誤的數(shù)量 *以字節(jié)表示的平均消息大小 *平均連接持續(xù)時(shí)間 病毒數(shù)量
RTIN引擎108可掃描數(shù)據(jù)源102中的一些或全部����,查詢哪個(gè) 源IP地址干擾了垃圾郵件攻擊策略�、目錄收集攻擊策略、病毒策 略或服務(wù)拒絕攻擊策略���,或RTIN引擎108 #4居對(duì)#:據(jù)源102內(nèi)部 的數(shù)據(jù)的分析來分級(jí)或分類源IP地址����。
RTIN數(shù)據(jù)庫114將允許特定源IP地址清除其記錄���,但是沒 有必要以與發(fā)展其壞的記錄相同的分級(jí)來接收健康的干凈的清單�。例如��,可能采取十次"清理���,��,搡作來降低源IP地址的DHA 分?jǐn)?shù)�����。這些分級(jí)可根據(jù)經(jīng)驗(yàn)觀察或設(shè)計(jì)目標(biāo)而被調(diào)節(jié)����,并且它們 在不同環(huán)境下-例如之前攻擊的嚴(yán)重性/級(jí)別或其他關(guān)于所述IP 地址的已知信息-甚至可以是不同的��。
程序上����,基于來自客戶106的請(qǐng)求,RTIN引擎108可在用逗 號(hào)分隔的名稱/數(shù)值對(duì)的列表中提供IP地址比值����。這對(duì)增加額外數(shù) 值和與以前的系統(tǒng)兼容提供了很大的靈活性。
如前所述��,發(fā)展正面信譽(yù)而不是發(fā)展負(fù)面的信譽(yù)是可能的����, 比如通過4亍業(yè)指定IP地址范圍的知識(shí)。因此���,可靠源IP地址-例 如由IBM或3M或GM擁有的服務(wù)器-很可能被假設(shè)為發(fā)送有效 電子郵件而不是垃圾郵件或DHA等����。然后所述分級(jí)可包括正面信 譽(yù)分?jǐn)?shù),其可與來自客戶06的分?jǐn)?shù)信譽(yù)請(qǐng)求一同返回��。其還有 可能提供更多粒狀行業(yè)特定信息�����,例如醫(yī)學(xué)的����、法律的或會(huì)計(jì)的, 因此屬于那些行業(yè)之一的IP地址相對(duì)于屬于那些4亍業(yè)之一的客戶 更不太可能被阻止�����。
對(duì)相對(duì)于前面詳述的方法的源信譽(yù)系統(tǒng)104的元素的區(qū)分����, 比如呼叫者ID類型系統(tǒng)和黑名單,是RTIN數(shù)據(jù)庫114客觀地基 于系統(tǒng)104基于網(wǎng)絡(luò)性能而做出的測(cè)量���。不需要人們記錄或報(bào)告 垃圾郵件制造者�����。簡(jiǎn)潔地說�,源信譽(yù)系統(tǒng)104不在乎你說你是誰 或你注冊(cè)為誰����。如果你正做壞事,你將被識(shí)別為正在做壞事并切 這將影響到你發(fā)送的電子郵件被RTIN數(shù)據(jù)庫114指令客戶系統(tǒng) 106將其過濾的性能����。呼叫者ID不會(huì)停止人們從已知服務(wù)器發(fā)送 垃圾郵件,其只會(huì)阻止來自于除了與為特定電子郵件識(shí)別的SMTP 信息相關(guān)聯(lián)的服務(wù)器的電子郵件����,所以呼叫者ID并不是對(duì)垃圾郵 件的完全解決方案。此外����,呼叫者ID方法并不對(duì)目錄收集攻擊進(jìn) 行保護(hù),因?yàn)楹艚姓逫D評(píng)估需要訪問消息的有效負(fù)載���。然而所述基于啟發(fā)式的方法在很多情況下僅通過電子郵件與源IP地址的關(guān) 聯(lián)來阻止來自垃:歐郵件制造者的電子郵件���,所述源IP地址已經(jīng)被
確認(rèn)為被垃圾郵件制造者正面地使用��,或被合法的發(fā)送者正面地 使用����,比如某些行業(yè)或商業(yè)類型����。對(duì)于這種過濾的行業(yè)啟發(fā)式方 法的擴(kuò)展討論,參閱名為"使用商業(yè)啟發(fā)式過濾電子消息的系統(tǒng)
和方法"的美國專利申請(qǐng)No. 10/832,407�����,其與本^^開內(nèi)容共同分
配并在此全部結(jié)合進(jìn)來作為參考用于所有目的���。
RTIN數(shù)據(jù)庫中保持的信息類型因此可包括信息�����,比如用于IP 地址或IP地址塊的指示所述主題地址可能是垃圾郵件���、病毒、DHA 或其他惡意活動(dòng)的源的可能性的數(shù)據(jù)���。例如����,在一些實(shí)施例中, 對(duì)于每個(gè)IP地址����,所述RTIN數(shù)據(jù)庫可包括用于比如垃;及郵件����、 癥直《r w a AA — A《實(shí)水乂》i M東+ -片a A老個(gè)i罷肚了 一拙i& ;
即所述主題IP地址有多大可能性專注于與各個(gè)分類相關(guān)的活動(dòng)。
圖2顯示了 RTIN引擎108的第 一 實(shí)施例的框圖���。根據(jù)所述第 一實(shí)施例���,RTIN引擎108包括一個(gè)或多個(gè)RTIN月良務(wù)器。在圖示 的例子中RTIN引擎108包括第一和第二 RTIN服務(wù)器112a和 112b(共同為"112")����。每一個(gè)服務(wù)器112都能夠處理并存儲(chǔ)相同 信息。因此�����,如果服務(wù)器112中的一個(gè)由于維護(hù)或其他原因而停 機(jī)時(shí),提供給客戶106的服務(wù)可以是連續(xù)的���。因此��,使用多個(gè)RTIN 服務(wù)器112能夠搭建更堅(jiān)固的系統(tǒng)104����?����?蛇x實(shí)施例可包括任意數(shù) 量的RTIN服務(wù)器112�。
每個(gè)RTIN服務(wù)器112都包括RTIN數(shù)據(jù)庫114a、 114b(共同 為"114")�,源IP地址信譽(yù)信息被保持在其中。RTIN服務(wù)器112 可以被設(shè)置為周期性地對(duì)數(shù)據(jù)源102查詢IP地址信息�����,處理所述 IP地址信息以發(fā)展用于IP地址的源信譽(yù)簡(jiǎn)檔的數(shù)據(jù)�����,并相應(yīng)地更 新RTIN數(shù)據(jù)庫114中的簡(jiǎn)檔數(shù)據(jù)����。在如圖2中顯示的包括多于一個(gè)的RTIN服務(wù)器112的實(shí)施例中�����,服務(wù)器U2a和112b的每一個(gè) 都可包括各自的包括相同信息的RTIN數(shù)據(jù)庫114a����、 114b���。
RTIN服務(wù)器112還管理源IP地址信譽(yù)信息到客戶106的分 配。服務(wù)器112是可由客戶106訪問的�����,盡管在一些實(shí)施例中這 種訪問可在必要時(shí)被限制和管理��。例如�,RTIN服務(wù)器112可被配 置為僅允許源信譽(yù)系統(tǒng)的簽約客戶106對(duì)RTIN數(shù)據(jù)庫114中數(shù)據(jù) 的安全和認(rèn)證的訪問。所述客戶106可查詢服務(wù)器112并基于存 儲(chǔ)在RTIN數(shù)據(jù)庫114中的信息接收響應(yīng)���。
存儲(chǔ)在RTIN數(shù)據(jù)庫114中的數(shù)據(jù)可被客戶訪問或以多種不同 方式提供給客戶��。RTIN數(shù)據(jù)可被訪問的一種方式是通過DNS類 型的查找算法����,客戶106發(fā)送由RTIN控制器(關(guān)聯(lián)于RTIN服務(wù)器 112(參見圖3))處理的認(rèn)證的DNS類型的查詢。這些DNS類型查 找可由客戶106發(fā)送以查明對(duì)于特定發(fā)送服務(wù)器IP地址(對(duì)于請(qǐng)求 SMTP連接的發(fā)送電子郵件的服務(wù)器)���,所述發(fā)送服務(wù)器是否具有 壞的或好的信譽(yù)��。
RTIN控制器可參考存儲(chǔ)在客戶配置數(shù)據(jù)庫110中的客戶數(shù) 據(jù)�。因此�����,例如���,客戶106a可發(fā)送用于發(fā)送服務(wù)器IP地址的DNS 類型的查詢到系統(tǒng)104�����。所述查詢由RTIN il良務(wù)器112之一處理���。 RTIN服務(wù)器112可根據(jù)客戶配置數(shù)據(jù)庫IIO中的配置信息來從其 RTIN數(shù)據(jù)庫114中提供信息。對(duì)于客戶查詢的響應(yīng)可包括對(duì)RTIN 客戶106提供分?jǐn)?shù)���,所述分?jǐn)?shù)指示了特定發(fā)送服務(wù)器IP地址是否 可能與垃圾郵件���、或目錄收集攻擊��、或服務(wù)拒絕攻擊相關(guān)聯(lián)����,或 在正面的一面��,正面的分?jǐn)?shù)可關(guān)聯(lián)于特定發(fā)送服務(wù)器��,指示了所 述發(fā)送服務(wù)器可能與合法電子郵件相關(guān)聯(lián)����。當(dāng)訂戶的電子郵件系 統(tǒng)接收到電子郵件連接請(qǐng)求時(shí)查找可以在實(shí)時(shí)進(jìn)行���。
圖3顯示了 RTIN引擎108的第二實(shí)施例的框圖���。所述第二實(shí)
19施例與第一實(shí)施例的不同之處在于在第一實(shí)施例中由RTIN服務(wù) 器112執(zhí)行的功能在第二實(shí)施例中在RTIN控制器116a、 116b(共 同為"116")和RTIN服務(wù)器118a���、 U8b(共同為"118")之間被 分割�。因此���,根據(jù)第二實(shí)施例���,RTIN引擎108包括一個(gè)或多個(gè)RTIN 控制器116和一個(gè)或多個(gè)RTIN服務(wù)器118���。每一個(gè)控制器116和 服務(wù)器118中保持各自的RTIN數(shù)據(jù)庫114a、 114b�����、 114c��、 114d(共 同為"114")���。如在第一實(shí)施例中���,多對(duì)控制器116和服務(wù)器118 的使用能夠搭建更堅(jiān)固的系統(tǒng)104。
RTIN控制器116和RTIN服務(wù)器11 8之間的任務(wù)分割可以變 化�����,例如�,RTIN控制器116可負(fù)責(zé)周期性地查詢數(shù)據(jù)源102以收 集IP地址信息,處理所述IP地址信息以發(fā)展源IP地址信譽(yù)數(shù)據(jù)�, 并更新控制器116和服務(wù)器118的RTIN數(shù)據(jù)庫114�。 RTIN服務(wù) 器118可負(fù)責(zé)管理將存儲(chǔ)在其RTIN數(shù)據(jù)庫114中的源IP地址信 譽(yù)信息對(duì)客戶106的分配�,包括處理來自客戶106的查詢。
回到圖1,源信譽(yù)系統(tǒng)104可訪問任意數(shù)量的數(shù)據(jù)源102�����。雖 然框圖顯示了兩個(gè)數(shù)據(jù)源102a和102b��, ^f旦是應(yīng)當(dāng)注意到可以在不 脫離本公開內(nèi)容的精神和范圍的情況下使用任意數(shù)量的數(shù)據(jù)源 102���。
數(shù)據(jù)源102的規(guī)格已可以改變�。在一些實(shí)施例中���,例如����,監(jiān) 控電子郵件流量的系統(tǒng)可被用作數(shù)據(jù)源102�。圖4顯示了電子郵件 通信量監(jiān)控系統(tǒng)120的一個(gè)實(shí)施例的框圖��。所述通信量監(jiān)控系統(tǒng) 120產(chǎn)生實(shí)時(shí)電子郵件通信量統(tǒng)計(jì)量����。所述通信量監(jiān)控系統(tǒng)120 可以包括在活動(dòng)EMS專利申請(qǐng)(參考上面描述的)中描述的活動(dòng)電 子消息管理系統(tǒng)的組件和過程����。所述通信監(jiān)控系統(tǒng)120包括消息 處理過程122����。所述消息處理過程122負(fù)責(zé)建立并監(jiān)控從比如服務(wù) 器124的發(fā)送電子郵件服務(wù)器到比如服務(wù)器126的接收郵件服務(wù)器的入局SMTP連才妄嘗試。
所述過程122連接到通信量監(jiān)控器128����。所述通信量監(jiān)控器 128收集實(shí)時(shí)到來的SMTP連接數(shù)據(jù)、消息元數(shù)據(jù)和消息發(fā)送信 息�,包括來自過程122的源和目的數(shù)據(jù)。所述源和目的數(shù)據(jù)可包 括與發(fā)送郵件服務(wù)器124相關(guān)聯(lián)的源數(shù)據(jù)和與接收郵件服務(wù)器 126相關(guān)聯(lián)的目的數(shù)據(jù)��。由通信量監(jiān)控器128保持的數(shù)據(jù)點(diǎn)的特定 例子可包括��,對(duì)于源IP地址和目的數(shù)據(jù)/信息的每個(gè)組合
參在上一分鐘內(nèi)由源建立到通信量監(jiān)控系統(tǒng)120的連接數(shù)量
*來自當(dāng)前打開的源的連接數(shù)量
參在上一分鐘內(nèi)由通信量監(jiān)控系統(tǒng)120建立到代表源的客戶 的連接數(shù)量
*由通信量監(jiān)控系統(tǒng)120建立到代表當(dāng)前打開的源的客戶的 連接數(shù)量
*由通信量監(jiān)控系統(tǒng)120建立到代表源的客戶的失敗的連接 嘗試的數(shù)量
*從源到通信量監(jiān)控系統(tǒng)120的連接的持續(xù)時(shí)間的平均值和
標(biāo)準(zhǔn)偏移
參由通信量監(jiān)控系統(tǒng)120建立到代表源的客戶的連接的持續(xù) 時(shí)間的平均值和標(biāo)準(zhǔn)偏移
*從源到客戶所有消息的大小的平均值和標(biāo)準(zhǔn)偏移 *從源到客戶的接受消息的數(shù)量的平均值和標(biāo)準(zhǔn)偏移 *由源發(fā)送到客戶的消息的數(shù)量(總和)
參由源發(fā)送到被通信量監(jiān)控系統(tǒng)120識(shí)別為垃圾郵件制造者 的客戶的消息的數(shù)量
參由源發(fā)送到被通信量監(jiān)控系統(tǒng)120識(shí)別為包括病毒的客戶 的消息的數(shù)量*由源發(fā)送到浮皮通信量監(jiān)控系統(tǒng)120根據(jù)連接管理記錄而反 彈的客戶的消息的數(shù)量
由源發(fā)送到被我們根據(jù)連接管理記錄而將其放入黑洞的客
戶的消息的數(shù)量
*由源發(fā)送到被我們根據(jù)連接管理記錄而隔離的客戶的消息
的數(shù)量
*由源發(fā)送到被通信量監(jiān)控系統(tǒng)120假脫機(jī)(spool)的客戶的
消息的數(shù)量
參在包括源和客戶的連接上看到的第400類錯(cuò)誤的數(shù)量 參在包括源和客戶的連接上看到的第500類錯(cuò)誤的數(shù)量 因此����,所述通信量監(jiān)控系統(tǒng)120可根據(jù)用于通過系統(tǒng)120被 路由的發(fā)送服務(wù)器的源IP地址來存儲(chǔ)實(shí)時(shí)統(tǒng)計(jì)量。
盡管圖4將通信量監(jiān)控器作為單獨(dú)的通信量監(jiān)控器128顯示���, 但是實(shí)際的實(shí)施可具有更少或更多的通信量監(jiān)控器�。例如��,其可 根據(jù)訂戶的地理或主要語言來分割通信量監(jiān)控器。
在一些實(shí)施例中����,通信量監(jiān)控系統(tǒng)120可負(fù)責(zé)在所有的發(fā)送 服務(wù)器或消息傳輸代理("MTAs")上保持相對(duì)短期的信息,例如 60秒��。所有的那些發(fā)送IP地址都被存儲(chǔ)在通信量監(jiān)控器128內(nèi)部 的存儲(chǔ)器格子中��,其保持關(guān)于那些源IP地址的多種信息���,比如它 們發(fā)送了多少消息���,它們產(chǎn)生了多少"第500類錯(cuò)誤"或其它類 型的錯(cuò)誤,以及基于內(nèi)容掃描��,它們發(fā)送了多少垃圾郵件消息��。 在一些實(shí)施例中��,所述通信量監(jiān)控系統(tǒng)120可以在任何時(shí)候-波配 置為僅知道過去60秒中發(fā)生了什么�����,而如果一個(gè)單獨(dú)連接打開長(zhǎng) 于60秒�,所述通信量監(jiān)控系統(tǒng)120可繼續(xù)積累所述連接的數(shù)據(jù)只 要所述連接存在。
數(shù)據(jù)源102的另 一個(gè)例子是一個(gè)系統(tǒng)����,所述系統(tǒng)監(jiān)控電子郵件并在給定時(shí)間期間基于電子郵件的容量檢測(cè)是垃圾郵件源的IP 地址。圖5顯示了這樣的系統(tǒng)的一個(gè)實(shí)施例的框圖��。圖5中顯示
的系統(tǒng)是一 個(gè)兩次攻擊系統(tǒng)130�����。所述兩次攻擊系統(tǒng)130提供了 一
種減少錯(cuò)誤-正確垃圾郵件識(shí)別的方法�����。發(fā)送被錯(cuò)誤地識(shí)別為垃 圾郵件的電子郵件的IP地址通常不會(huì)發(fā)送纟皮識(shí)別為垃圾郵件的大 容量電子郵件�����。因此�����,當(dāng)所述兩次攻擊系統(tǒng)130懷疑一個(gè)來自IP 地址的電子郵件為垃圾郵件時(shí)�����,其將檢查自從懷疑的垃圾郵件從 那個(gè)IP地址接收以來所經(jīng)過的時(shí)間總量。如果經(jīng)過了規(guī)定的或更 多的時(shí)間����,那么所述兩次攻擊系統(tǒng)130將認(rèn)為所述懷疑的電子郵 件是垃圾郵件的可能性很小。否則�,如果經(jīng)過了少于規(guī)定量的時(shí) 間,那么所述系統(tǒng)130將認(rèn)為所述懷疑的電子郵件為垃圾郵件的 可能性很大并將發(fā)送IP地址識(shí)別為可能的垃圾郵件源��。
所述雙機(jī)系統(tǒng)130包括消息處理過程122,比如操考圖4描述 的過程122�。所述消息處理過程122還是負(fù)責(zé)建立并監(jiān)控從比如服 務(wù)器134的發(fā)送電子郵件服務(wù)器到比如服務(wù)器136的接收郵件服 務(wù)器的到來SMTP連接嘗試,以及確定與發(fā)送消息相關(guān)聯(lián)的源和 目的數(shù)據(jù)���。所述過程122被連接到兩次攻擊引擎132�����。所述兩次攻 擊引擎132被配置為與消息處理過程122和所述過程122獲取的 數(shù)據(jù)一同工作����。所述引擎132可額外被配置為檢測(cè)到來電子郵件 是否呈現(xiàn)為垃圾郵件����。在 一 些可選實(shí)施例中�����,這個(gè)確定可以由過 程122做出并且所述檢測(cè)被提供給引擎132。在一些這種實(shí)施例 中��,所述兩次攻擊引擎132可接收到與電子郵件在一起的一些被 懷l是為垃圾郵件的指示�����。在其他這種可選實(shí)施例中��,所述系統(tǒng)130 可被配置為只接收被懷疑為垃圾郵件的電子郵件����,在這種情況中 不需要那種影響的指示器。垃圾郵件檢測(cè)可以基于任何已知垃圾 郵件檢測(cè)方法���,例如�,基于電子郵件內(nèi)容�。引擎132被連接到兩次攻擊數(shù)據(jù)庫138。所述引擎132可使用 數(shù)據(jù)庫138用于存儲(chǔ)關(guān)于被懷疑的電子郵件是垃圾郵件的實(shí)例的 信息���。數(shù)據(jù)庫138還存儲(chǔ)IP地址信息�����,例如��,被引擎132確定為 可能是垃》及郵件源的IP地址�����。所述信息可用于RTIN引擎108����。
圖6顯示了圖示由兩次攻擊系統(tǒng)130執(zhí)行的兩次攻擊過程的 流程圖。在塊140�,來自于主題IP地址的入局電子郵件被識(shí)別為 很可能是垃圾郵件,例如通過消息處理過程122��。在塊142,所述 兩次攻擊引擎132查詢數(shù)據(jù)庫138所述主題的IP地址����。如果懷疑 的電子郵件之前/人所述主題IP地址接收過,那么數(shù)據(jù)庫138將包
括上一次懷疑的電子郵件被接收的時(shí)間����。所述兩次攻擊引擎132 提取上 一 次懷疑的電子郵件的時(shí)間。應(yīng)注意到如果不存在主題IP 地址的數(shù)據(jù)�,那么過程可以跳到塊148�����。在塊144����,引擎132確定 在當(dāng)前懷疑的電子郵件和之前懷疑的電子郵件之間經(jīng)過了多少時(shí) 間以及時(shí)間總量是否小于預(yù)定的閾值�,所述閾值可以是任意量的 時(shí)間并可根據(jù)歷史信息被設(shè)定���。閾值的一個(gè)例子可以是兩個(gè)小時(shí)�。 如果閾值時(shí)間總量還沒有經(jīng)過(在塊144為"是")���,那么所述電子 郵件被認(rèn)為是垃圾郵件并且所述過程繼續(xù)到塊146��。在塊146,所 述電子郵件被隔離或者作為垃圾郵件處理�。同樣��,數(shù)據(jù)庫138被 更新以識(shí)別所述垃;及電子郵件的源IP地址為已知的垃:敗郵件源����。 然后,在塊148��,數(shù)據(jù)庫138被更新,所以當(dāng)前懷疑的電子郵件的 時(shí)間取代了上 一 次懷#是的電子郵件的時(shí)間以用于以后對(duì)所述過程 的反復(fù)�。應(yīng)注意到在塊144,如果閾值時(shí)間總量已經(jīng)經(jīng)過了 (在塊 144為"否"),那么所述過程跳過塊146并進(jìn)入到塊148��。
數(shù)據(jù)源102的另一個(gè)例子可以是一種系統(tǒng)�����,用于基于接收的
圖7顯示了這種系統(tǒng)的 一 個(gè)實(shí)施例的框圖�����。圖7中顯示的所述系統(tǒng)是突然死亡系統(tǒng)150�����。所述系統(tǒng)150提供一種基于發(fā)送到不存在 的電子郵件地址的電子郵件消息的實(shí)例來識(shí)別垃圾郵件的源��。發(fā)
送到不存在的電子郵件地址的大容量電子郵件可能是DHA的指 示��,所以源IP地址可以被識(shí)別為DHA的源并且可能是垃圾郵件 的源�����。在 一 些情況中���,不屬于真實(shí)用戶的"種子"電子郵件地址 可以在國際互聯(lián)網(wǎng)上�����、"世界性的新聞組網(wǎng)絡(luò)系統(tǒng)"或其他地方傳 # ���。然后系統(tǒng)150可以纟全測(cè)發(fā)送到這些"種子����,�����,地址之一的電子 郵件并將所述源IP地址標(biāo)記為可能的垃圾郵件源����。
突然死亡系統(tǒng)150還包括消息處理過程122��,就像參考圖4 和5描述的過程122��。所述消息處理過程122還是負(fù)責(zé)建立并監(jiān)控 從比如服務(wù)器154的發(fā)送電子郵件服務(wù)器到比如服務(wù)器156的接 收郵件服務(wù)器的入局SMTP連接嘗試����,以及確定與發(fā)送消息相關(guān) 聯(lián)的源和目的數(shù)據(jù)�。所述過程122被連接到突然死亡引擎152����。所 述突然死亡引擎152一皮配置為與消息處理過-呈122和所述過程122 獲取的數(shù)據(jù)一同工作。所述引擎152可額外被配置為檢測(cè)到來電 子郵件是否呈現(xiàn)為不存在的地址或"種子"地址�����。在一些可選實(shí) 施例中����,這個(gè)確定可以由過程122做出,并且所述檢測(cè)被提供給 引擎152�。在一些這種實(shí)施例中,所述突然死亡引擎152可接收到 與電子郵件在一起的一些已經(jīng)被發(fā)送到不存在的或"種子"的指 示�。在其他這種可選實(shí)施例中,所述系統(tǒng)150可被配置為只接收 發(fā)送到不存在或"種子�,,地址的電子郵件�����,在這種情況中不需要 那種影響的指示器���。
引擎152被連接到突然死亡數(shù)據(jù)庫158�����。所述引擎152可使用 數(shù)據(jù)庫158用于存儲(chǔ)關(guān)于發(fā)送到不存在的或"種子"地址的電子 郵件的實(shí)例的信息��。數(shù)據(jù)庫158還存儲(chǔ)IP地址信息����,例如,被引 擎152確定為可能是垃圾郵件和/或DHA的源的IP地址��。所述信息可用于RTIN引擎108�。
圖8顯示了圖示由突然死亡系統(tǒng)150執(zhí)行的突然死亡過程的 流程圖。在塊160�,來自主題IP地址的到來電子郵件已經(jīng):故識(shí)別 為已經(jīng)被發(fā)送到不存在的電子郵件地址,例如����,通過消息處理過 程122�。在一些情況中,這可能意味著所述對(duì)象電子郵件引起接收 郵件服務(wù)器156產(chǎn)生第500類錯(cuò)誤���,即意味著接收郵件服務(wù)器156 不識(shí)別電子郵件消息的地址���。所述電子郵件可能被標(biāo)記為具有匹 配"種子"地址或突然死亡地址才莫式("SD4莫式")的地址���。SD才莫 式是不可能是真實(shí)郵箱的郵箱(例如,ptexql@)��。突然死亡引擎152 可以保持這種SD模式的列表���。在塊162,突然死亡引擎152確定 發(fā)送地址是否與SD模式之一匹配����。如果是��,那么所述過程繼續(xù)到 塊164�。否則塊164被跳過。在塊164,突然死亡引擎152檢驗(yàn)SD 模式是否被使用在存在的�����、合法的電子郵件地址中����。例如,如果 戶斤述電子由卩件一皮發(fā)送至J "ptexql@xyz.com��,,����,另卩么由卩茅貴"ptexql" 將匹配于SD沖莫式"ptexql"。然而�����,有可能存在同樣匹配于所述 SD才莫式的電子郵件巾艮戶�����。所以��,在塊164,所述突然死亡引擎1 52 可以查詢?cè)铝紕?wù)器"xyz.com"以確定郵箱"ptexql@xyz.com"是否 真實(shí)存在����。如果是,那么突然死亡過程可以結(jié)束并且所述電子郵 件可以被正常發(fā)送���。否則,所述過程繼續(xù)到塊166��。應(yīng)注意到如果 在塊162,收件人不匹配于SD模式�����,那么所述過程同樣繼續(xù)到塊 166。
在塊166���,做出發(fā)送地址是否十分模糊的決定���。例如,如果所 述電子郵件為發(fā)送到"ptexql@xyz.com"并且合法的電子郵件帳 戶 "prexql@xyz.com"存在�����,那么由于這兩個(gè)地址非常類似����,所 以很有可能發(fā)送者在輸入發(fā)送地址的時(shí)侯出現(xiàn)錯(cuò)誤。因此���,塊166 可包括將發(fā)送地址與存在地址相比4支以確{人發(fā)送地址和<壬何存在地址之間的不同的數(shù)量是否大于預(yù)定的不同(例如字符)的數(shù)量���,例 如,大于一個(gè)或兩個(gè)不同���。如果不是(在塊166為"否")���,那么突
然死亡引擎152認(rèn)為所述電子郵件可能是被錯(cuò)誤輸入的合法的電 子郵件�����。否貝'j(在塊166為"是")���,那么所述電子郵件被認(rèn)為是垃 圾郵件,并且突然死亡引擎152更新突然死亡數(shù)據(jù)庫158以識(shí)別 所述源IP地址為可能的垃;及郵件源���。
再次回來參考圖1����,數(shù)據(jù)源102的另 一個(gè)例子可包括IP地址 信息數(shù)據(jù)庫(或多個(gè)數(shù)據(jù)庫)����。所述信息可由提供關(guān)于接收的垃圾郵 件和發(fā)送所述垃圾郵件的IP地址的信息的客戶106提供。所述信 息還可由關(guān)于IP地址的系統(tǒng)管理員提供����。IP地址信息數(shù)據(jù)庫可包 括阻止列表,比如已知為垃圾郵件或其它惡意活動(dòng)的源的IP地址 的列表��。IP地址信息數(shù)據(jù)庫可包括已經(jīng)在某種程度上可靠的"灰 度列表'���,IP地址��,例如其中IP地址根據(jù)它們的可靠程度被記分����。 IP地址信息數(shù)據(jù)還可包括已知不可能是垃圾郵件或其它惡意活動(dòng) 的源的可靠IP地址的列表�����。
可靠IP地址可通過包括對(duì)似乎不可能發(fā)送垃3及郵件的域的識(shí) 別過程來識(shí)別�����。這可包括基于預(yù)期行為為IP地址指定可靠級(jí)別�, 其中可靠級(jí)別跨越垃圾郵件會(huì)或不會(huì)被發(fā)送的可能性的很多程 度?����?煽考?jí)別可基于其它事實(shí)�����、商業(yè)����、行業(yè)或其它探索之中����。IP 地址可被識(shí)別為與某些行業(yè)相關(guān)�����,例如IP地址塊可識(shí)別為屬于金 融或法學(xué)機(jī)構(gòu)或甚至覆蓋許多通?����?煽繉?shí)體的"通??煽?的類 別。在某些實(shí)施例中��,類別可以與某個(gè)可靠級(jí)別相關(guān)聯(lián)�,所以指 定為一個(gè)類別的IP地址或域可自動(dòng)地指定給所述相關(guān)聯(lián)的可靠級(jí) 別。
如果�����,從歷史來看�����, 一個(gè)特定IP地址是已知的垃圾郵件源或 其他惡意或不期望的國際互聯(lián)網(wǎng)活動(dòng),那么這個(gè)信息可以被保持在IP地址信息數(shù)據(jù)庫中�。如果,從歷史來看�, 一個(gè)IP地址是已知 的可接受電子郵件源或其他國際互聯(lián)網(wǎng)通信量��,那么這個(gè)信息也 可以凈皮存儲(chǔ)在IP地址信息數(shù)據(jù)庫中�����。在一些實(shí)施例中�����,IP地址可 以被根據(jù)歷史信息標(biāo)記或分等級(jí)���。標(biāo)記或等級(jí)可以表示可接受的 或不期望的過去的活動(dòng)��。在 一 些實(shí)施例中��,可以實(shí)施逐步增加活 動(dòng)檢測(cè)系統(tǒng)����,其能夠基于對(duì)源自所述IP地址的惡意活動(dòng)或地址塊 的增加的4企測(cè)來降低所述IP地址的例如指示可靠性的降4氐級(jí)別的 等級(jí)���。如杲在 一 段時(shí)間內(nèi)檢測(cè)到垃圾郵件或其他惡意活動(dòng)的明顯 減少����,那么IP地址也可以重新獲得提高的等級(jí),例如變得認(rèn)為更 可靠���。這個(gè)信息可以以基于國際互聯(lián)網(wǎng)通信量監(jiān)控器的實(shí)時(shí)通信 量信息的預(yù)定時(shí)間間隔被更新����。
現(xiàn)在轉(zhuǎn)到圖9��,顯示的流程示了增加RTIN數(shù)據(jù)庫114的 過程的實(shí)施例�。在這個(gè)實(shí)施例中,通信量監(jiān)控系統(tǒng)120可用作數(shù) 據(jù)源102之一��。
開始于塊170�����,通信量監(jiān)控器128接收實(shí)時(shí)通信量統(tǒng)計(jì)量更 新��。然后��,在塊172的狀態(tài),通信量監(jiān)控器128收集實(shí)時(shí)到來SMTP 連接數(shù)據(jù)�、消息元數(shù)據(jù)和消息發(fā)送信息,包括源和目的數(shù)據(jù)�。源 和目的數(shù)據(jù)可包括與發(fā)送郵件服務(wù)器124相關(guān)聯(lián)的源數(shù)據(jù)和與接 收郵件服務(wù)器126相關(guān)聯(lián)的目的數(shù)據(jù)。因此通信量監(jiān)控器128根 據(jù)用于發(fā)送服務(wù)器的通過系統(tǒng)120被路由的IP地址來存儲(chǔ)實(shí)時(shí)統(tǒng) 計(jì)量��。在特定實(shí)施中�,通信量監(jiān)控器128可負(fù)責(zé)在所有的發(fā)送服 務(wù)器或MTA上保持相對(duì)短期的信息,例如60秒�。所有的那些發(fā) 送IP地址都被存儲(chǔ)在通信量監(jiān)控器128內(nèi)部的存儲(chǔ)器格子中��,其 保持關(guān)于那些源IP地址的多種信息��,比如它們發(fā)送了多少消息���, 它們產(chǎn)生了多少"第500類錯(cuò)誤"或其它類型的錯(cuò)誤���,以及基于 內(nèi)容掃描,它們發(fā)送了多少垃圾郵件消息�����。在一些實(shí)施例中�����,所述通信量監(jiān)控器128可以在任何時(shí)候被配置為僅知道過去60秒中 發(fā)生了什么,而如果一個(gè)單獨(dú)連接打開長(zhǎng)于60秒�,所述通信量監(jiān) 控器128可繼續(xù)積累所述連接的數(shù)據(jù)只要所述連接存在。
下面��,如在圖9的塊174中指示的����,RTIN引擎108查詢數(shù)據(jù) 源102。在當(dāng)前實(shí)施例中��,這包括查詢通信量監(jiān)控系統(tǒng)120,以及 掃描存儲(chǔ)在通信量監(jiān)控器128中的數(shù)據(jù)����。通信量監(jiān)控器128的掃 描可以使周期性的,例如比60秒更頻繁�����,比如每1 5秒發(fā)生 一 次����。 理想地,掃描之間的時(shí)間周期應(yīng)小于數(shù)據(jù)被保留在通信量監(jiān)控器 128中的時(shí)間總量����。
RTIN引擎108可查詢額外數(shù)據(jù)源102,比如上面描述的那些���。 例如,在 一 些實(shí)施例中�,RTIN引擎108可查詢兩次攻擊數(shù)據(jù)庫138 、 突然死亡數(shù)據(jù)庫158����、和/或上面描述的其他數(shù)據(jù)庫。
一旦從各個(gè)數(shù)據(jù)源102收集了數(shù)據(jù)�����,RTIN引擎108就可以像 圖9中塊176指示的那樣處理查詢的結(jié)果����。在從通信量監(jiān)控系統(tǒng) 120收集數(shù)據(jù)的情況下��,RTIN引擎108可在通信量監(jiān)控器128中 收集數(shù)據(jù)���,并使用解釋器過程分析所述數(shù)據(jù)以識(shí)別可以遵照的消 息的通信量?jī)?nèi)部的消息的模式���。所述解釋器過程可以是像上面提 到的活動(dòng)EMS專利申請(qǐng)中描述的解釋器過程。所述解釋器過程通 過分析源和目的數(shù)據(jù)以及寫入到通信量監(jiān)控器的元數(shù)據(jù)來確定與 電子郵件消息相關(guān)聯(lián)的模式或甚至是用戶發(fā)送所述消息的行為。 在一些實(shí)施例中��,所述解釋器過程可考慮從額外數(shù)據(jù)源102接收 的數(shù)據(jù)���。
作為示意性方法����,所述解釋器過程可識(shí)別四種類型的攻擊-DHA�����、垃圾郵件攻擊����、病毒爆發(fā)和郵件炸彈/服務(wù)拒絕攻擊-盡管 RTIN數(shù)據(jù)庫114可以被靈活定義為識(shí)別許多其他類型的信息或關(guān) 于特定IP地址的攻擊。作為特定例子����,如果源IP地址纟皮;險(xiǎn)測(cè)到專注于這四種攻擊中的 一 個(gè)或多個(gè),那么與那個(gè)源IP地址和識(shí)別的 攻擊的特定類型相關(guān)聯(lián)的計(jì)數(shù)器可以被加1�。作為特定實(shí)施例,如
果RTIN引擎108在午夜掃描通信量監(jiān)控系統(tǒng)120并確定源IP地 址"XYZ"正專注于DHA,那么單獨(dú)計(jì)數(shù)可以被添加到RTIN數(shù) 據(jù)庫114中相關(guān)的"XYZ"源IP地址條目的類別中����。如果這是對(duì) 于這個(gè)源IP地址的新條目���,那么其相關(guān)的源為DHA=1。如果在下 一分鐘的掃描過程中����,識(shí)別到"XYZ"源依然在攻擊,那么其源 將^^皮增加1�����,產(chǎn)生一個(gè)更新的關(guān)聯(lián)分?jǐn)?shù)為DHA=2����。所述過程可繼 續(xù)增長(zhǎng)到例如99的最大值。如果對(duì)于99次直接掃描���,源IP地址 "XYZ"基于通信量監(jiān)控分析還在攻擊某個(gè)人,那么計(jì)數(shù)器將被增 加到99��,其可被定義為最大值����。
如在圖9中的塊178所指示的,來自解釋器處理的結(jié)果的數(shù) 據(jù)被用來更新RTIN數(shù)據(jù)庫114����。根據(jù)從額外數(shù)據(jù)源接收的數(shù)據(jù)的 特性�,可能合適的是直接使用從一些數(shù)據(jù)源102接收的數(shù)據(jù)來更 新RTIN數(shù)據(jù)庫而不需要解釋性的處理�。例如,如果一個(gè)數(shù)據(jù)源 102提供了 一個(gè)IP地址應(yīng)當(dāng)被阻止的信息���。
在顯示的可選塊179, RTIN控制器116將RTIN數(shù)據(jù)更新推 給RTIN服務(wù)器118���。所述可選塊可被用于如圖3中顯示的第二實(shí) 施例的實(shí)施例??蛇x塊179不必用于其他實(shí)施例,比如圖2中顯 示的第 一實(shí)施例����。塊179實(shí)際上被提供以使得在RTIN服務(wù)器118 處的RTIN數(shù)據(jù)庫114可以被同步于在RTIN控制器116處的RTIN 數(shù)據(jù)庫114。
應(yīng)注意到雖然通信量監(jiān)控器128僅短期地保持?jǐn)?shù)據(jù)�,RTIN數(shù) 據(jù)庫114可保持積累的和更新的關(guān)于IP地址的信息更長(zhǎng)時(shí)間。
客戶106可通過許多方式利用RTIN數(shù)據(jù)庫中的源信譽(yù)信息�����。 一種方式是客戶系統(tǒng)做出關(guān)于正在請(qǐng)求TCP連接的IP地址的DNS類型查詢�。下面將參考顯示在圖10中的流程圖來描述這種DNS 類型查詢?nèi)绾斡煽蛻?06執(zhí)行到系統(tǒng)104的例子。
開始于塊180,客戶106 4妻收來自源IP地址的TCP連接請(qǐng)求�。 例如�����,源IP地址可能正嘗試建立與客戶106的SMTP連4妻以發(fā)送 電子郵件消息����。所述客戶系統(tǒng)106在確認(rèn)所述連接請(qǐng)求前將查詢 所述源信譽(yù)系統(tǒng)104�。在一些實(shí)施例中,如塊182所示的�,所述客 戶系統(tǒng)106包括用于通過有效鑰匙產(chǎn)生認(rèn)證的查詢的RTIN客戶 機(jī)。
對(duì)于提供用于商業(yè)簽署的源信譽(yù)系統(tǒng)104���,所期望的是所述 RTIN數(shù)據(jù)庫114只可由付費(fèi)給所述簽署的用戶來訪問��。因此�,系 統(tǒng)104可提供認(rèn)證的訪問到RTIN數(shù)據(jù)庫114,由此安全鑰匙(在一 種示意性方法中)被結(jié)合在從RTIN客戶106發(fā)送來的DNS類型查 找命令中��。RTIN查找命令的格式可以是為將要查找的IP地址預(yù) 先準(zhǔn)備的雜亂安全鑰匙的形式�。因此,例如一個(gè)雜亂安全鑰匙可 以是 "45492147 ��,���,�,而將要查找的特定 IP 地址可以是 127.000.000.001 �����。
那么在那個(gè)實(shí)例中全部命令4各式就可以是 "RTIN.45492147.127.000.000.001.RTIN.postinicorp.com,�,。因jt匕�, 通常的方法是客戶106使用想要查找的IP或"機(jī)器"地址,在IP 地址前預(yù)先準(zhǔn)備MD5雜亂的安全鑰匙�����,并做出到RTIN引擎108 的DNS類型查詢�。所述RTIN訪問安全鑰匙可以周期性;也過期�����, 這將提高系統(tǒng)的安全���。在一種示意性方法中�,每個(gè)鑰匙都可以在 60天周期內(nèi)是有效的�����,而新鑰匙每30天提供一次,由此連續(xù)的鑰 匙將有30天的重疊�����。鑰匙可以通過許多方法的任何一個(gè)被提供����, 包括通過計(jì)算機(jī)可讀媒質(zhì)分配或通過安全在線訪問和驗(yàn)證??梢?預(yù)先提供多組鑰匙,以使得特定訂戶可具有相當(dāng)于2年的鑰匙���, 并可由訂戶周期性地更新����。然后在塊186, —旦客戶系統(tǒng)106獲得了對(duì)源信譽(yù)系統(tǒng)104 的訪問�����,那么所述客戶系統(tǒng)106查詢RTIN引擎108關(guān)于所述源IP 地址的信息�����。然后在塊188,如果實(shí)施了認(rèn)證的請(qǐng)求,RTIN引擎 108認(rèn)證所述請(qǐng)求�����,并且在塊190�, RTIN引擎108查詢RTIN數(shù)據(jù) 庫114關(guān)于源IP地址的信息���。在塊192, RTIN數(shù)據(jù)庫114向RTIN 引擎返回查詢結(jié)果����。然后��,在塊194, RTIN引擎108提供查詢結(jié) 果給客戶106���。
在一些實(shí)施例中��,塊194可包括根據(jù)存儲(chǔ)在客戶配置數(shù)據(jù)庫 110中的客戶屬性來處理所述查詢結(jié)果�。例如�,存儲(chǔ)在數(shù)據(jù)庫110 中的客戶配置文件可包括可靠的或已知的惡意IP地址的列表。所 述列表可被用來修改從RTIN數(shù)據(jù)庫114接收的信息�。例如,如果 RTIN數(shù)據(jù)庫114包括所述源IP地址可能是垃圾郵件源的信息并 應(yīng)當(dāng)被阻止����,但是客戶的配置包括對(duì)包含所述源IP地址的永遠(yuǎn)不 應(yīng)被阻止的IP地址塊的信息����,那么客戶的屬性可以優(yōu)先以使得 RTIN引擎108凈艮告源IP地址是不應(yīng)被阻止的一個(gè)�。
最后,在塊196,客戶106接收到查詢結(jié)果���。在此刻���,客戶系 統(tǒng)106可基于所述查詢結(jié)果和對(duì)客戶106的本地策略來響應(yīng)來自 于所述源IP地址的連接請(qǐng)求。
盡管上面描述的訪問方法被描述為DNS類型方法�����,但是查詢 并不是標(biāo)準(zhǔn)DNS查詢���。例如���,DNS查詢通常包括提交域名給DNS 服務(wù)器,然后其將返回IP地址����。相反����,所述被用來訪問RTIN數(shù) 據(jù)庫的查詢是IP地址本身��,并且返回的信息也是RTIN數(shù)據(jù)庫已 經(jīng)知道的關(guān)于作為發(fā)送電子郵件服務(wù)器的特定IP地址的特性�。
客戶106利用RTIN數(shù)據(jù)庫114中的源信譽(yù)信息的另 一種方法 包括系統(tǒng)104直接向客戶路由器提供信息的過程?,F(xiàn)在將參考圖 11 13描述RTIN數(shù)據(jù)如何被提供給客戶路由器的過程。所述過程建立在之前識(shí)別為應(yīng)用其在電子郵件分組/路由器級(jí)別的技術(shù)之 上���。國際互聯(lián)網(wǎng)上和公司內(nèi)部網(wǎng)中的消息路由器共同生成穿過數(shù) 百萬個(gè)路由器的分組路由路徑���,以便從最低級(jí)IP地址發(fā)送到國際 互聯(lián)網(wǎng)中的消息可以找到到達(dá)其期望目的地的路由,這些消息路 由器適配于消息通信量處理速度和在某些路由器上的傳播次數(shù)�, 并且還不斷適配于已經(jīng)"停機(jī)"或不可用的路由器。這種國際互 聯(lián)網(wǎng)中分組路由體系的適應(yīng)性是作為為公司�����、教育和客戶用戶提 供發(fā)送電子消息的可靠手段的國際互聯(lián)網(wǎng)廣泛普及的因素之一���。
用于對(duì)國際互聯(lián)網(wǎng)路由器共享消息路由路徑的標(biāo)準(zhǔn)協(xié)議已經(jīng)
被"國際互聯(lián)網(wǎng)標(biāo)準(zhǔn)草案���,�,(RFC)開發(fā)��,國際互聯(lián)網(wǎng)協(xié)會(huì)通過所述 草案建立其標(biāo)準(zhǔn)�。這些年來開發(fā)的協(xié)議包括外部網(wǎng)關(guān)協(xié)議(EGP), 其在國際互聯(lián)網(wǎng)的早期被廣泛使用,以及邊界網(wǎng)關(guān)協(xié)議(BGP),其 正日漸取代EGP作為優(yōu)選國際互聯(lián)網(wǎng)傳輸協(xié)議����。當(dāng)前啦文多的BGP 是邊界網(wǎng)關(guān)協(xié)議4(BGP-4),其在RFC 1771中被描述。
為了理解BGP,可以把國際互聯(lián)網(wǎng)想象成自主系統(tǒng)的集合��。 例如�,國際互聯(lián)網(wǎng)的 一部分可以被描述為圖11中顯示的一組自主 系統(tǒng)200 204。每個(gè)自主系統(tǒng)200~204可使用邊界路由器206 210 直才妄與某些其他自主系統(tǒng)200 204通信��。此外��,每個(gè)自主系統(tǒng) 200 204與其它不是直接連接的自主系統(tǒng)200 204通信�。例如,自 主系統(tǒng)(AS-A)200可使用自主系統(tǒng)(AS-C)202作為經(jīng)過服務(wù)而與自 主系統(tǒng)(AS-E)204進(jìn)行通信�。也可能是自主系統(tǒng)(AS-A)200使用自 主系統(tǒng)(AS-B)201和(AS-D)203作為經(jīng)過服務(wù)而與自主系統(tǒng) (AS-E)204進(jìn)行通信。因此��,路由器RA 206可選擇多條路徑來允 許自主系統(tǒng)(AS-A)200和(AS-E)204之間通信�。應(yīng)注意到圖11僅 提供了非常簡(jiǎn)單的視圖,例如�,通信經(jīng)常通過提供經(jīng)過服務(wù)的自 主系統(tǒng)的內(nèi)部^各由器而#皮中繼�。為了使;洛由器RA 206請(qǐng)求與路由器RE 210的通信��,其必須 首先知道到達(dá)路由器RE 210的一條或多條路徑�。路由器RA 206 可使用BGP從路由器RB 207和路由器RC 208學(xué)習(xí)可能的路徑。 BGP是由例如路由器206 210的路由器使用來交換網(wǎng)絡(luò)可到達(dá)性 信息的協(xié)議�����。所以在圖ll所示的例子中���,路由器RC 208可使用 BGP來通知路由器RA 206到達(dá)AS-E 204的可用路徑;同樣�,路 由器RB 207可通過AS-D 203的路由器RD 209(假設(shè)路由器RD 209已經(jīng)通知了 3各由器RB 207到達(dá)AS-E 204的^各徑)使用BGP來 通知^各由器RA 206到達(dá)AS-E 204的可用^各徑。這種^各由信息的 交換通常發(fā)生在初始建立直接網(wǎng)絡(luò)連接的時(shí)候��,例如���,當(dāng)路由器 RA 206被初始連4妻到���;洛由器RB 207時(shí)。路由器RA 206將使用從 路由器RB 207接收的路由信息來建立BGP路由表�。經(jīng)過 一段時(shí) 間后BGP i 各由表可^皮更新,因?yàn)閬V人路由器RB 207(以及從其他路 由器�����,比如路由器RC 208)接收了路由更新。
回到圖1�����, RTIN引擎108可被配置為分別與客戶系統(tǒng)106a和 106b的路由器107a和107b通信���。雖然每個(gè)客戶系統(tǒng)106被顯示 為具有單獨(dú)路由器107����,但是每個(gè)客戶106可包括任意數(shù)量的路由 器107����。
圖12顯示了客戶系統(tǒng)107的實(shí)例的框圖。路由器107包括路 由表212和同位表214�����。 RTIN引擎108可被配置為使用BGP協(xié)議 進(jìn)行通信��。所以�, 一旦同位表214被適當(dāng)?shù)嘏渲脼榘≧TIN引擎 108作為同位體,那么RTIN引擎108可以指令路由器107更新路 由表212�����,并且才艮據(jù)存儲(chǔ)在RTIN數(shù)據(jù)庫114中的信息提供路由數(shù) 據(jù)以存儲(chǔ)在路由表212中。
因此���,RTIN引擎108的另 一個(gè)特點(diǎn)是其可提供連接數(shù)據(jù)給客 戶路由器107����,所述客戶路由器107可有效阻止特定IP地址與相應(yīng)客戶系統(tǒng)106建立聯(lián)系�。RTIN引擎108查詢數(shù)據(jù)源102并形成 國際互聯(lián)網(wǎng)通信量的集中圖像。在一些實(shí)施例中�,RTIN引擎108 可將從國際互聯(lián)網(wǎng)通信量數(shù)據(jù)收集的信息與存儲(chǔ)在配置數(shù)據(jù)庫 110中的客戶屬性相比較,并基于所述比較產(chǎn)生應(yīng)對(duì)每個(gè)客戶系統(tǒng) 106進(jìn)行阻止的侵犯性IP地址���。在其他實(shí)施例中,預(yù)定閾值或判 定點(diǎn)可被用于產(chǎn)生阻止的IP地址列表�。然后RTIN引擎108對(duì)許 多獨(dú)立(或組)侵犯性IP地址"假裝"為具有路由器特定知識(shí)的路 由器。RTIN引擎108發(fā)布更新命令到路由器107并使用BGP將 用于侵犯性IP地址的黑洞路由信息中繼給路由器107�����。然后路由 器107根據(jù)從RTIN引擎108接收的新的黑洞路由信息更新他們各 自的路由表212�����。 、
由RTIN引擎108發(fā)布的黑洞路由信息使用黑洞路由取代了之 前存儲(chǔ)在路由表212中的用于侵犯性IP地址的已存在路由信息��。 黑洞路由是路由到除了與所述侵犯性IP地址相關(guān)聯(lián)的系統(tǒng)的位 置�。在一些實(shí)施例中,黑洞路由可以是到由客戶106提供并存儲(chǔ) 在配置數(shù)據(jù)庫110中的可選位置的路由�。
使用黑洞路由取代合法路由的影響可以通過圖13進(jìn)行解釋。 在圖13中�����,路由器220是從源系統(tǒng)222到目的客戶系統(tǒng)106的合 法路由�����。路由器220可包括通過許多經(jīng)過服務(wù)系統(tǒng)226進(jìn)行的路 由�����。
為了在源系統(tǒng)222和目的客戶系統(tǒng)106之間建立TCP連接��, 在兩個(gè)系統(tǒng)222和106之間必須發(fā)生消息或分組的交換���。源系統(tǒng) 222可通過發(fā)送第 一分組到目的系統(tǒng)106的IP地址來發(fā)起與目的 系統(tǒng)106建立TCP連接的嘗試��。 一旦所述第一分組被發(fā)送���,源系 統(tǒng)222就等4寺來自目的系統(tǒng)106的確認(rèn)��。所述初始分組沿著3各由 220傳輸并由目的系統(tǒng)224接收���。當(dāng)接收到所述初始分組時(shí),目的系統(tǒng)224準(zhǔn)備并發(fā)送一個(gè)確認(rèn)分組�����。假定目的系統(tǒng)106的路由器 知道合法路由��,所述路由可能與路由220相同或不同��,回到源系 統(tǒng)222,所述確認(rèn)被發(fā)送回源系統(tǒng)222并由其4妾收���,于是可以發(fā)生 源和目的系統(tǒng)222和106之間的進(jìn) 一 步通^f言�����。
另 一 方面,假設(shè)RTIN引擎108已將源系統(tǒng)222識(shí)別為侵犯性 系統(tǒng)�。在某些實(shí)施例中,這可能意味著源系統(tǒng)222所展示的特定 行為模式與目的系統(tǒng)106設(shè)定的標(biāo)準(zhǔn)相符���。在RTIN引擎108已經(jīng) 識(shí)別了源系統(tǒng)222之后�����,例如通過IP地址或IP地址塊����,RTIN引 擎108將指令目的系統(tǒng)106的一個(gè)或多個(gè)路由器107更新他們的 路由表212以使得到源系統(tǒng)222的合法路由被黑洞路由228所取 代。然后當(dāng)源系統(tǒng)222隨后嘗試與目的系統(tǒng)106建立連接時(shí)����,所 述連接嘗試將是不成功的。源系統(tǒng)222將初始分組發(fā)送到目的系 統(tǒng)106的IP地址����,并且所述初始分組將從源系統(tǒng)152經(jīng)由合法路 由150被發(fā)送到目的系統(tǒng)106。作為響應(yīng)�����,目的系統(tǒng)106將準(zhǔn)備并 發(fā)布確認(rèn)消息�����。然而,由于目的系統(tǒng)106的3各由器1 07所知道的 到達(dá)源系統(tǒng)222的IP地址的唯 一 路由是黑洞路由���,所以確認(rèn)消息 沒有被發(fā)送到源系統(tǒng)222 ���。相反,所述確認(rèn)消息被指向黑洞地址 230�����。在經(jīng)過特定時(shí)間周期之后���,源系統(tǒng)222所做出的TCP連接嘗 試將會(huì)"超時(shí)"并且源系統(tǒng)222將認(rèn)為目的系統(tǒng)106不可用或者 不可到達(dá)����。因此阻止了來自源系統(tǒng)222的進(jìn)一步通信��。
如上所述�,通過將黑洞技術(shù)與源信譽(yù)系統(tǒng)結(jié)合使用,源信譽(yù) 系統(tǒng)對(duì)電子郵件威脅提供了客觀的�、準(zhǔn)確的和直接的識(shí)別并通過 在路由器級(jí)別上阻止與侵犯性系統(tǒng)的通信從而防止這種威脅的出 現(xiàn)。侵犯性IP地址凈皮實(shí)時(shí)觀測(cè)和列表���,不是通過部分的和效率低 的人工報(bào)告過程,所述過程來自于傳統(tǒng)實(shí)時(shí)黑名單(RBLs),并經(jīng) 常遭受指責(zé)。源信譽(yù)系統(tǒng)也是客觀的�����,因?yàn)橐坏┣址刚咔宄怂鼈兊南⑿袨?��,源信譽(yù)系統(tǒng)就自動(dòng)從列表中被移除�。今天的許多
RBLs在懷疑事件之后將IP地址劉在列表上很長(zhǎng)時(shí)間��?��;诟怕?分?jǐn)?shù)使用源信譽(yù)系統(tǒng)來評(píng)估威脅����,而不是簡(jiǎn)單的是/否過程���,使得 合伙人使用分層分析技術(shù)做出是否接受電子郵件的決定���。結(jié)果, 源信譽(yù)系統(tǒng)將產(chǎn)生更少的錯(cuò)誤肯定���,也就是合法IP地址被錯(cuò)誤地 認(rèn)定為惡意的��。
根據(jù)在此描述的概念的源信譽(yù)系統(tǒng)考慮到防御目錄收集攻 擊���,即垃圾郵件制造著通過猜測(cè)內(nèi)部地址并通過注冊(cè)來"收獲" 一個(gè)企業(yè)的完整電子郵件目錄�����,在這個(gè)例子中沒有接收到返回的 "郵箱沒找到"消息��。源信譽(yù)系統(tǒng)通過將整個(gè)目標(biāo)系統(tǒng)顯得不可用 或"沒找到'���,以使得這種攻擊效率很低。雖然RBL通常僅列出專
但是源信譽(yù)系統(tǒng)提供了對(duì)那些執(zhí)行目錄收集攻擊和基于電子郵件 的服務(wù)拒絕攻擊的洞察����。源信譽(yù)系統(tǒng)通過IP地址跟蹤并關(guān)聯(lián)目錄 收集攻擊和垃圾郵件攻擊,并且結(jié)果是驚人的��。DHA可以占用到 典型電子郵件服務(wù)器的到來SMTP通信量和容量的40% ,并且通 常是垃圾郵件活動(dòng)的引導(dǎo)指示器�。
雖然上面根據(jù)在此描述的原理描述了各種實(shí)施例,但是應(yīng)當(dāng) 理解它們?cè)诖藘H被呈現(xiàn)為例子���,其并且不是限制性的��。因此��,本 發(fā)明的寬度和范圍不應(yīng)被上面描述的任何 一 個(gè)示意性實(shí)施例所限 制����,而只應(yīng)被根據(jù)從所述公開內(nèi)容發(fā)表的權(quán)利要求和它們的等同 體而定義�����。此外�����,上述優(yōu)點(diǎn)和特點(diǎn)被提供在所描述的實(shí)施例中���, 但不應(yīng)限制將這種得到的權(quán)利要求應(yīng)用到完成上述優(yōu)點(diǎn)之一或全 部的過程和結(jié)構(gòu)中�����。
此外��,這里的部分標(biāo)題被提供用來與37 CFR 1.77的建議保持 一致或提供組織的提示����。這些標(biāo)題不應(yīng)限制或定性可以從所述公開內(nèi)容發(fā)表的任何權(quán)利要求所列出的本發(fā)明�。特別是并通過示例��, 盡管標(biāo)題涉及"技術(shù)領(lǐng)域"���,這種權(quán)利要求不應(yīng)被從描述所謂的技 術(shù)領(lǐng)域的這個(gè)標(biāo)題下選擇的語言所限制。而且����,在"背景技術(shù)" 中描述的技術(shù)不能被直譯為承認(rèn)所述技術(shù)對(duì)所述公開內(nèi)容中的所 有發(fā)明都是現(xiàn)有技術(shù)。"發(fā)明內(nèi)容"也不能被認(rèn)為是在發(fā)表的權(quán)利 要求所提出的本發(fā)明的特征���。此外�,在所述公開內(nèi)容中以單獨(dú)的 形式參考的"發(fā)明"都不能被用來爭(zhēng)辯在所述公開內(nèi)容中僅有單 一點(diǎn)的新穎性���。多個(gè)發(fā)明可以根據(jù)從所述公開內(nèi)容發(fā)表的多個(gè)權(quán) 利要求的限制而提出�,并且這種權(quán)利要求從而也定義了本發(fā)明及 其等同體���,因此它們被保護(hù)���。在所有例子中,這種權(quán)利要求的范 圍應(yīng)按照所述公開內(nèi)容被考慮��,而不應(yīng)被這里提出的標(biāo)題所約束�。
權(quán)利要求
1.一種網(wǎng)絡(luò)通信量過濾系統(tǒng)����,用于過濾經(jīng)過計(jì)算機(jī)網(wǎng)絡(luò)的電子消息流�,所述系統(tǒng)包括引擎,配置為基于與源IP地址相關(guān)聯(lián)的信譽(yù)數(shù)據(jù)產(chǎn)生源信譽(yù)簡(jiǎn)檔�����;簡(jiǎn)檔數(shù)據(jù)庫���,與引擎相關(guān)聯(lián)用于存儲(chǔ)信譽(yù)數(shù)據(jù);以及其中所述引擎被進(jìn)一步配置為向外部系統(tǒng)提供源信譽(yù)簡(jiǎn)檔���。
2. 如權(quán)利要求1所述的系統(tǒng)�,其中所述引擎被配置為響應(yīng)更新的信譽(yù)數(shù)據(jù)而產(chǎn)生更新的源信譽(yù)簡(jiǎn)檔�����。
3. 如權(quán)利要求2所述的系統(tǒng)����,其中更新的信譽(yù)數(shù)據(jù)被實(shí)時(shí)提供。
4. 如權(quán)利要求1所述的系統(tǒng)��,其中源信譽(yù)簡(jiǎn)檔包括具有至少一 項(xiàng)信譽(yù)數(shù)據(jù)的列表。
5. 如權(quán)利要求1所述的系統(tǒng)����,其中信譽(yù)數(shù)據(jù)包括從以下內(nèi)容組 成的組中選擇的至少 一 個(gè)被認(rèn)為是從源IP地址發(fā)送的垃圾郵件的消息數(shù)量;從源IP地址發(fā)送的消息的收件人的數(shù)量���;來自源IP地址的連接嘗試的數(shù)量�;來自源IP地址的連接成功的數(shù)量��;來自源IP地址的連接失敗的數(shù)量��;來自源IP地址的當(dāng)前打開的連接的數(shù)量�����;由源IP地址的消息接發(fā)嘗試所引起的第40 0類錯(cuò)誤的數(shù)量��;由源IP地址的消息接發(fā)嘗試所引起的第500類錯(cuò)誤的數(shù)量�;從源IP地址發(fā)送的以字節(jié)表示的平均消息大小����;來自于源IP地址的平均連接持續(xù)時(shí)間;從源IP地址發(fā)送的病毒數(shù)量;從源IP地址發(fā)送的消息的數(shù)量��;以及從源IP地址發(fā)送的消息的全部數(shù)量�����。
6. 如權(quán)利要求1所述的系統(tǒng)����,其中源信譽(yù)簡(jiǎn)檔包括由引擎做出 的信譽(yù)數(shù)據(jù)評(píng)估。
7. 如;f又利要求6所述的系統(tǒng)����,其中所述評(píng)估包括為源IP地址 產(chǎn)生信譽(yù)分?jǐn)?shù)��,所述信譽(yù)分?jǐn)?shù)指示了來自于源IP地址的電子消息 是不需要的可能性��。
8. 如權(quán)利要求7所述的系統(tǒng)�,其中所述引擎被進(jìn)一步配置為基 于與源IP地址相關(guān)聯(lián)的新的信譽(yù)數(shù)據(jù)來改變信譽(yù)分?jǐn)?shù)。
9. 如權(quán)利要求1所述的系統(tǒng)���,其中所述引擎被配置為從數(shù)據(jù)源 接收信譽(yù)數(shù)據(jù)���,所述數(shù)據(jù)源是在以下內(nèi)容組成的組中所選擇的至 少一個(gè)網(wǎng)絡(luò)通信量監(jiān)控系統(tǒng)、兩次攻擊系統(tǒng)和突然死亡系統(tǒng)。
10. 如權(quán)利要求1所述的系統(tǒng)�����,其中所述引擎被配置為從包括 客戶系統(tǒng)的數(shù)據(jù)源接收信譽(yù)數(shù)據(jù)����,并且所述信譽(yù)數(shù)據(jù)包括至少一 個(gè)從黑名單、阻止發(fā)送者列表和灰度列表組成的組中所選擇的列 表���。
11. 如權(quán)利要求1所述的系統(tǒng)�,其中所述引擎被配置為從數(shù)據(jù) 源接收信譽(yù)數(shù)據(jù)����,所述數(shù)據(jù)源包括使用基于商業(yè)的啟發(fā)式選擇技 術(shù)所選擇的批準(zhǔn)的發(fā)送者IP地址。
12. 如權(quán)利要求1所述的系統(tǒng)�����,其中所述引擎被配置為響應(yīng)從 所述外部系統(tǒng)接收的查詢而提供信譽(yù)簡(jiǎn)檔給外部系統(tǒng)�����。
13. 如;f又利要求12所述的系統(tǒng)��,其中所述查詢包括相應(yīng)于源 IP地址的DNS查詢。
14. 如權(quán)利要求12所述的系統(tǒng)��,其中所述引擎被進(jìn)一步配置為 在響應(yīng)所述查詢之前認(rèn)證所述外部系統(tǒng)��。
15. 如權(quán)利要求1所述的系統(tǒng)���,其中所述引擎以電子消息路徑 數(shù)據(jù)的形式將信譽(yù)簡(jiǎn)檔提供給外部系統(tǒng)��,所述電子消息路徑數(shù)據(jù) 被使用在與所述客戶系統(tǒng)相關(guān)聯(lián)的路由器的路由表中以改變來自 于源IP地址的電子消息的方向���。
16. 如權(quán)利要求1所述的系統(tǒng),其中所述引擎包括一服務(wù)器���, 其被配置為查詢數(shù)據(jù)源的信譽(yù)數(shù)據(jù)���,從數(shù)據(jù)源接收信譽(yù)數(shù)據(jù)���,評(píng) 估所接收的信譽(yù)數(shù)據(jù)以發(fā)展源信譽(yù)簡(jiǎn)檔�����,更新簡(jiǎn)檔數(shù)據(jù)庫����,以及 向外部系統(tǒng)分發(fā)所述源信譽(yù)簡(jiǎn)檔或信譽(yù)數(shù)據(jù)。
17. 如權(quán)利要求16所述的系統(tǒng)��,其中所述引擎進(jìn)一步包括與所 述服務(wù)器相關(guān)聯(lián)的并被配置為存儲(chǔ)信譽(yù)數(shù)據(jù)的信譽(yù)數(shù)據(jù)數(shù)據(jù)庫��。
18. 如權(quán)利要求l所述的系統(tǒng)�����,其中所述引擎包括一個(gè)服務(wù)器 和一個(gè)控制器���,其中所述控制器被配置為查詢數(shù)據(jù)源的信譽(yù)數(shù)據(jù)����,從數(shù)據(jù)源接收信譽(yù)數(shù)據(jù)�����,評(píng)估所接收的信譽(yù)數(shù)據(jù)以發(fā)展源信譽(yù)簡(jiǎn) 檔����,更新簡(jiǎn)檔數(shù)據(jù)庫,以及所述服務(wù)器被配置為向外部系統(tǒng)分發(fā) 所述源信譽(yù)簡(jiǎn)檔或信譽(yù)數(shù)據(jù)��。
19. 如權(quán)利要求1所述的系統(tǒng),其中所述外部系統(tǒng)是簽約使用 所述過濾系統(tǒng)的客戶系統(tǒng)����。
20. —種過濾經(jīng)過計(jì)算機(jī)網(wǎng)絡(luò)的電子消息流的方法,所述方法 包括接收與源IP地址相關(guān)聯(lián)的信譽(yù)數(shù)據(jù)�; 存儲(chǔ)所述信譽(yù)數(shù)據(jù);基于所述信譽(yù)數(shù)據(jù)產(chǎn)生源信譽(yù)簡(jiǎn)檔�;以及 向外部系統(tǒng)提供所述源信譽(yù)簡(jiǎn)檔。
21. 如權(quán)利要求20所述的方法�����,進(jìn)一步包括響應(yīng)接收更新的信 譽(yù)數(shù)據(jù)以更新源信譽(yù)簡(jiǎn)檔��。
22. 如權(quán)利要求21所述的方法�,其中更新的信譽(yù)數(shù)據(jù)被實(shí)時(shí)提供。
23. 如權(quán)利要求20所述的方法�����,其中提供源信譽(yù)簡(jiǎn)檔包括提供 具有至少 一 項(xiàng)信譽(yù)數(shù)據(jù)的列表��。
24. 如權(quán)利要求20所述的方法��,其中信譽(yù)數(shù)據(jù)包括從以下內(nèi)容 組成的組中選擇的至少 一 個(gè)從源IP地址發(fā)送的被認(rèn)為是垃圾郵件的消息數(shù)量�;接收從源IP地址發(fā)送的消息的收件人的數(shù)量;來自源IP地址的連接嘗試的數(shù)量�;來自源IP地址的連接成功的數(shù)量;來自源IP地址的連接失敗的數(shù)量�;來自源IP地址的當(dāng)前打開的連接的數(shù)量;由源IP地址消息接發(fā)嘗試所引起的第400類錯(cuò)誤的數(shù)量��;由源IP地址的消息接發(fā)嘗試所引起的第500類錯(cuò)誤的數(shù)量�����;發(fā)送于源IP地址的以字節(jié)表示的平均消息大?。粊碜杂谠碔P地址的平均連接持續(xù)時(shí)間�;/人源IP地址發(fā)送的病毒數(shù)量;從源IP地址發(fā)送的消息的數(shù)量�����;以及從源IP地址發(fā)送的消息的全部數(shù)量�����。
25. 如權(quán)利要求20所述的方法����,其中提供源信譽(yù)簡(jiǎn)檔包括提供 對(duì)信譽(yù)數(shù)據(jù)的評(píng)估���。
26. 如權(quán)利要求25所述的方法,其中所述評(píng)估包括為源IP地 址產(chǎn)生信譽(yù)分?jǐn)?shù)��,所述信譽(yù)分?jǐn)?shù)指示了來自于源IP地址的電子消 息是不需要的可能性�����。
27. 如權(quán)利要求26所述的方法�,進(jìn)一步包括基于與源IP地址 相關(guān)聯(lián)的新的信譽(yù)數(shù)據(jù)來改變信譽(yù)分?jǐn)?shù)。
28. 如權(quán)利要求20所述的方法�����,其中接收信譽(yù)數(shù)據(jù)包括從以下內(nèi)容組成的組中所選擇的至少 一 個(gè)接收信譽(yù)數(shù)據(jù)網(wǎng)絡(luò)通信量監(jiān) 控系統(tǒng)�����、兩次攻擊系統(tǒng)和突然死亡系統(tǒng)�����。
29. 如權(quán)利要求20所述的方法����,其中接收信譽(yù)數(shù)據(jù)包括從客盧 系統(tǒng)接收信譽(yù)數(shù)據(jù),并且所述信譽(yù)數(shù)據(jù)包括至少 一 個(gè)從黑名單�����、 阻止發(fā)送者列表和灰度列表組成的組中所選擇的列表��。
30. 如權(quán)利要求20所述的方法����,其中接收信譽(yù)數(shù)據(jù)包括接收包 括使用基于商業(yè)的啟發(fā)式選擇技術(shù)所選擇的批準(zhǔn)的發(fā)送者IP地址 的信譽(yù)數(shù)據(jù)。
31. 如權(quán)利要求20所述的方法��,其中提供進(jìn)一步包括響應(yīng)從所 述客戶系統(tǒng)接收的查詢而向客戶系統(tǒng)提供源信譽(yù)筒檔����。
32. 如權(quán)利要求31所述的方法,其中所述查詢包括相應(yīng)于源 IP i也址的DNS查詢��。
33. 如權(quán)利要求32所述的方法��,其中所述方法進(jìn)一步包括在響 應(yīng)所述查詢之前i人i正所述客戶系統(tǒng)�����。
34. 如權(quán)利要求20所述的方法��,其中提供進(jìn)一步包括以電子消 息路徑數(shù)據(jù)的形式將源信譽(yù)簡(jiǎn)檔提供給客戶系統(tǒng),所述電子消息 路徑數(shù)據(jù)被使用在與所述客戶系統(tǒng)相關(guān)聯(lián)的路由器的路由表中以 改變來自于源IP地址的電子消息的方向��。
35. 如權(quán)利要求34所述的方法����,其中所述電子消息被改變方向 到網(wǎng)絡(luò)中的黑洞。
36. 如權(quán)利要求20所述的方法��,其中向外部系統(tǒng)提供信譽(yù)筒檔 包括提供所述信譽(yù)簡(jiǎn)檔給簽約使用所述過濾方法的客戶系統(tǒng)����。
37. —種產(chǎn)生源IP地址信譽(yù)信息的方法,所述方法包括 從源IP地址接收表現(xiàn)為垃圾郵件的當(dāng)前電子消息��; 查詢數(shù)據(jù)庫以提取之前被懷疑為垃圾郵件的電子消息從所述源IP地址被接收的時(shí)間�����;計(jì)算接收當(dāng)前電子消息和接收之前電子消息時(shí)間之間所經(jīng)過的時(shí)間量���;確定所經(jīng)過的時(shí)間量是否小于預(yù)定闞值��;以及 如果所經(jīng)過的時(shí)間量小于所述預(yù)定的閾值�,那么將所述源IP 地址識(shí)別為垃;及郵件源。
38. 如權(quán)利要求37所述的方法�,進(jìn)一步包括響應(yīng)關(guān)于所述源 IP地址的查詢而將所述識(shí)別提供給客戶系統(tǒng)。
39. 如權(quán)利要求37所述的方法�����,進(jìn)一步包括基于計(jì)算接收另一 個(gè)表現(xiàn)為垃圾郵件的電子消息和接收之前被懷疑為垃圾郵件的消 息之間所經(jīng)過的時(shí)間���,識(shí)別源IP地址為不是垃:圾郵件源,并確定 所經(jīng)過的時(shí)間量現(xiàn)在大于預(yù)定的閾值�。
全文摘要
在此公開的是使用電子消息源信譽(yù)系統(tǒng)的過濾系統(tǒng)和方法。所述源信譽(yù)系統(tǒng)以實(shí)時(shí)威脅識(shí)別網(wǎng)絡(luò)(“RTIN”)數(shù)據(jù)庫的形式保持源國際互聯(lián)網(wǎng)協(xié)議(IP)地址信息池��,其可提供客戶用來過濾網(wǎng)絡(luò)通信量的源IP地址的信譽(yù)�。所述源信譽(yù)系統(tǒng)提供多種訪問所述源信譽(yù)信息的途徑。這種途徑的例子可包括域名服務(wù)器(DNS)類型查詢�����、具有路由表數(shù)據(jù)的服務(wù)路由器或其他途徑���。
文檔編號(hào)H04L12/58GK101288060SQ200580016715
公開日2008年10月15日 申請(qǐng)日期2005年5月25日 優(yōu)先權(quán)日2004年5月25日
發(fā)明者克雷格·S·克羅托, 多里昂·A·卡羅爾, 彼得·K·蘭德, 斯科特·M·佩特里, 肯尼思·K·奧庫姆拉 申請(qǐng)人:波斯蒂尼公司