專利名稱:多維聲譽(yù)評(píng)分的制作方法
技術(shù)領(lǐng)域:
本文件通常涉及用于處理通信(communication)的系統(tǒng)和方法,尤其是涉及用于給與通信相關(guān)的實(shí)體進(jìn)行分類的系統(tǒng)和方法��。
背景技術(shù):
在反垃圾郵件行業(yè)中�����,垃圾郵件發(fā)送者使用各種創(chuàng)造性的裝置來(lái)躲避垃圾郵件過(guò)濾器進(jìn)行的檢測(cè)���。這樣��,通信從其起源的實(shí)體可提供是否應(yīng)允許給定通信進(jìn)入企業(yè)網(wǎng)絡(luò)環(huán)境的另一指不。然而�����,用于消息發(fā)送者進(jìn)行分析的當(dāng)前工具包括互聯(lián)網(wǎng)協(xié)議(IP)黑名單(有時(shí)稱為實(shí)時(shí)黑名單(RBL))和IP白名單(實(shí)時(shí)白名單(RWL))�。白名單和黑名單當(dāng)然對(duì)垃圾郵件分類過(guò)程增加了益處;然而�,白名單和黑名單內(nèi)在地限于響應(yīng)于每個(gè)查詢而提供一個(gè)二進(jìn)制類型(YES/N0)。而且���,黑名單和白名單獨(dú)立地處理實(shí)體�,并忽略與實(shí)體相關(guān)的各種屬性所提供的證據(jù)。
發(fā)明內(nèi)容
提供了分布式聲譽(yù)體系結(jié)構(gòu)的系統(tǒng)和方法����。分布式聲譽(yù)系統(tǒng)可包括通信接口、數(shù)據(jù)匯聚引擎�、分析器、關(guān)聯(lián)引擎和聲譽(yù)引擎��。通信接口可與布置在全局網(wǎng)絡(luò)內(nèi)的多個(gè)代理進(jìn)行通信����。數(shù)據(jù)匯聚引擎可通過(guò)通信接口匯聚所收集的數(shù)據(jù)。分析器可分析數(shù)據(jù)����,以識(shí)別分別與發(fā)起所接收的通信相關(guān)聯(lián)的屬性。關(guān)聯(lián)引擎可關(guān)聯(lián)實(shí)體的屬性并識(shí)別實(shí)體之間的關(guān)系�����。聲譽(yù)引擎可識(shí)別實(shí)體之間的關(guān)系并根據(jù)其與一個(gè)或更多個(gè)其它實(shí)體的關(guān)系更新與一個(gè)或更多個(gè)實(shí)體相關(guān)聯(lián)的聲譽(yù)��。通信接口也可將更新的聲譽(yù)信息傳遞到在全局網(wǎng)絡(luò)上操作的設(shè)備�����。可操作來(lái)獲得并分配聲譽(yù)的其它系統(tǒng)可包括通信接口��、數(shù)據(jù)匯聚引擎��、分析器�、關(guān)聯(lián)引擎、聲譽(yù)引擎和業(yè)務(wù)量控制引擎����。通信接口可從全局網(wǎng)絡(luò)內(nèi)的代理或中央服務(wù)器接收信息。數(shù)據(jù)匯聚引擎可匯聚來(lái)自通信接口的所接收的信息�。分析器可分析所接收的信息,以識(shí)別分別與發(fā)起所接收的通信的實(shí)體相關(guān)聯(lián)的屬性�。關(guān)聯(lián)引擎可關(guān)聯(lián)實(shí)體的屬性并識(shí)別實(shí)體之間的關(guān)系。聲譽(yù)引擎可識(shí)別實(shí)體之間的關(guān)系并根據(jù)其與一個(gè)或更多個(gè)其它實(shí)體的關(guān)系更新與一個(gè)或更多個(gè)實(shí)體相關(guān)聯(lián)的聲譽(yù)�����。業(yè)務(wù)量控制引擎可根據(jù)更新的聲譽(yù)確定與通信相關(guān)聯(lián)的處理�。給通信實(shí)體分配聲譽(yù)的方法可包括:將多個(gè)代理布置在網(wǎng)絡(luò)內(nèi)��,所述多個(gè)代理與安全設(shè)備相關(guān)聯(lián)����,所述安全設(shè)備可操作來(lái)保護(hù)相關(guān)聯(lián)的網(wǎng)絡(luò)免受違反與相關(guān)聯(lián)的網(wǎng)絡(luò)關(guān)聯(lián)的策略的通信��;收集與發(fā)起通信的實(shí)體相關(guān)聯(lián)的數(shù)據(jù)�,其中收集數(shù)據(jù)包括使用多個(gè)代理來(lái)收集與通信相關(guān)聯(lián)的數(shù)據(jù)�;匯聚所收集的數(shù)據(jù);分析所匯聚的數(shù)據(jù)以識(shí)別分別與發(fā)起通信的實(shí)體相關(guān)聯(lián)的屬性���;關(guān)聯(lián)屬性以識(shí)別實(shí)體之間的關(guān)系��;根據(jù)通過(guò)關(guān)聯(lián)屬性而識(shí)別的與一個(gè)或更多個(gè)其它實(shí)體的關(guān)系來(lái)更新與一個(gè)或更多個(gè)實(shí)體相關(guān)的聲譽(yù)����;以及將更新的聲譽(yù)信息傳遞到所述多個(gè)代理中的一個(gè)或更多個(gè)代理�。向通信實(shí)體分配聲譽(yù)的方法可包括:收集與發(fā)起通信的實(shí)體相關(guān)聯(lián)的數(shù)據(jù),其中收集數(shù)據(jù)包括從多個(gè)代理接收數(shù)據(jù)以收集與通信相關(guān)聯(lián)的數(shù)據(jù)��;匯聚所收集的數(shù)據(jù)���;分析所匯聚的數(shù)據(jù)以識(shí)別分別與發(fā)起通信的實(shí)體相關(guān)聯(lián)的屬性���;關(guān)聯(lián)屬性以識(shí)別實(shí)體之間的關(guān)系;根據(jù)通過(guò)關(guān)聯(lián)屬性而識(shí)別的與一個(gè)或更多個(gè)其它實(shí)體的關(guān)系來(lái)更新與一個(gè)或更多個(gè)實(shí)體相關(guān)聯(lián)的聲譽(yù)���;以及根據(jù)更新的聲譽(yù)信息處理通信���。
圖1是描述示例性網(wǎng)絡(luò)的結(jié)構(gòu)圖�,本公開的系統(tǒng)和方法可在該網(wǎng)絡(luò)中進(jìn)行操作�。圖2是描述本公開的示例性網(wǎng)絡(luò)體系結(jié)構(gòu)的結(jié)構(gòu)圖。圖3是描述通信和實(shí)體的例子的結(jié)構(gòu)圖��,其包括用于檢測(cè)實(shí)體之間的關(guān)系的標(biāo)識(shí)符和屬性��。圖4是描述用于檢測(cè)關(guān)系并給實(shí)體分配風(fēng)險(xiǎn)的操作方案的流程圖��。圖5是示出示例性網(wǎng)絡(luò)體系結(jié)構(gòu)的結(jié)構(gòu)圖���,其包括局部安全代理所儲(chǔ)存的局部聲譽(yù)和一個(gè)或多個(gè)服務(wù)器所儲(chǔ)存的全局聲譽(yù)����。圖6是示出基于局部聲譽(yù)反饋的全局聲譽(yù)的確定的結(jié)構(gòu)圖�。圖7是示出全局聲譽(yù)和局部聲譽(yù)之間的示例性轉(zhuǎn)化(resolution)的流程圖。圖8是用于調(diào)節(jié)與聲譽(yù)服務(wù)器相關(guān)聯(lián)的過(guò)濾器的設(shè)置的示例性圖形用戶界面�����。圖9是示出用于互聯(lián)網(wǎng)協(xié)議語(yǔ)音電話(VoIP)或短消息服務(wù)(SMS)通信的基于聲譽(yù)的連接抑制(connection throttling)的結(jié)構(gòu)圖��。圖10是示出基于聲譽(yù)的負(fù)載均衡器的結(jié)構(gòu)圖��。圖1lA是示出用于基于地理位置的身份驗(yàn)證的示例性操作方案的流程圖����。圖1lB是示出用于基于地理位置的身份驗(yàn)證的另一示例性操作方案的流程圖。圖1lC是示出用于基于地理位置的身份驗(yàn)證的另一示例性操作方案的流程圖��。圖12是示出用于基于聲譽(yù)的動(dòng)態(tài)隔離的示例性操作方案的流程圖�����。圖13是圖像垃圾郵件通信的示例性圖形用戶界面顯示����。圖14是示出用于檢測(cè)圖像垃圾郵件的示例性操作方案的流程圖。圖15A是示出用于分析通信的結(jié)構(gòu)的操作方案的流程圖����。圖15B是示出用于分析圖像的特征的操作方案的流程圖。圖15C是示出用于標(biāo)準(zhǔn)化圖像以用于垃圾郵件處理的操作方案的流程圖��。圖1 是示出用于分析圖像的指紋以在多個(gè)圖像中找到共同片段的操作方案的流程圖�����。
具體實(shí)施例方式圖1是描述示例性網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)圖,本公開的系統(tǒng)和方法可在該網(wǎng)絡(luò)中進(jìn)行操作�。安全代理(security agent) 100—般可存在于在網(wǎng)絡(luò)110 (例如,企業(yè)網(wǎng))內(nèi)部的防火墻系統(tǒng)(未示出)和服務(wù)器(未示出)之間�����。如應(yīng)被理解的��,網(wǎng)絡(luò)110可包括很多服務(wù)器�,包括例如可由與網(wǎng)絡(luò)110相關(guān)的企業(yè)使用的電子郵件服務(wù)器、網(wǎng)絡(luò)服務(wù)器和各種應(yīng)用服務(wù)器����。安全代理100監(jiān)控進(jìn)入和離開網(wǎng)絡(luò)110的通信。一般通過(guò)互聯(lián)網(wǎng)120從連接到互聯(lián)網(wǎng)120的很多實(shí)體130a-f接收這些通信����。實(shí)體130a-f中的一個(gè)或更多個(gè)可為通信業(yè)務(wù)量的合法發(fā)起者。然而���,實(shí)體130a-f中的一個(gè)或更多個(gè)也可為發(fā)起不需要的通信的聲譽(yù)差的實(shí)體��。因此��,安全代理100包括聲譽(yù)引擎����。聲譽(yù)引擎可檢查通信并確定與發(fā)起通信的實(shí)體相關(guān)聯(lián)的聲譽(yù)����。安全代理100接著根據(jù)發(fā)端實(shí)體的聲譽(yù)對(duì)通信執(zhí)行動(dòng)作。如果聲譽(yù)指示通信的發(fā)起者聲譽(yù)好�,那么例如,安全代理可將通信轉(zhuǎn)發(fā)到通信的接收者�。然而,如果聲譽(yù)指示通信的發(fā)起者聲譽(yù)差�,那么其中例如,安全代理可隔離通信��,對(duì)消息執(zhí)行更多的測(cè)試���,或要求來(lái)自消息發(fā)起者的身份驗(yàn)證�。在美國(guó)專利公布號(hào)2006/0015942中詳細(xì)描述了聲譽(yù)引擎��,該申請(qǐng)由此通過(guò)引用被并入�����。圖2是描述本公開的示例性網(wǎng)絡(luò)體系結(jié)構(gòu)的結(jié)構(gòu)圖。安全代理100a-n被示為在邏輯上分別存在于網(wǎng)絡(luò)110a-n與互聯(lián)網(wǎng)120之間�。雖然沒(méi)有在圖2中示出,但應(yīng)理解�����,防火墻可安裝在安全代理100a-n和互聯(lián)網(wǎng)120之間��,以提供防止未授權(quán)的通信進(jìn)入相應(yīng)的網(wǎng)絡(luò)110a-n的保護(hù)���。而且����,結(jié)合防火墻系統(tǒng)可配置侵入檢測(cè)系統(tǒng)(IDS)(未示出)�,以識(shí)別活動(dòng)的可疑模式并在這樣的活動(dòng)被識(shí)別出時(shí)用信號(hào)通知警報(bào)。雖然這樣的系統(tǒng)對(duì)網(wǎng)絡(luò)提供了某種保護(hù)�����,但它們一般不處理應(yīng)用層安全威脅���。例如��,黑客常常試圖使用各種網(wǎng)絡(luò)類型的應(yīng)用(例如�����,電子郵件��、網(wǎng)絡(luò)�����、即時(shí)消息(IM)���,等等)來(lái)產(chǎn)生與網(wǎng)絡(luò)110a-n的前文本連接,以便利用由使用實(shí)體130a_e的這些不同的應(yīng)用所產(chǎn)生的安全漏洞�。然而,不是所有的實(shí)體130a_e都暗示對(duì)網(wǎng)絡(luò)100a_n的威脅���。一些實(shí)體130a-e發(fā)起合法的業(yè)務(wù)量�����,允許公司的雇員與商業(yè)伙伴更有效地進(jìn)行通信�。雖然對(duì)可能的威脅來(lái)說(shuō)檢查通信是有用的���,但是維持當(dāng)前的威脅信息可能很難����,因?yàn)楣舯徊粩嗟馗倪M(jìn)以解決最近的過(guò)濾技術(shù)。因此��,安全代理100a-n可對(duì)通信運(yùn)行多次測(cè)試�,以確定通信是否是合法的。此外����,包括在通信中的發(fā)送者信息可用于幫助確定通信是否是合法的。因此��,復(fù)雜的安全代理100a-n可跟蹤實(shí)體并分析實(shí)體的特征����,以幫助確定是否允許通信進(jìn)入網(wǎng)絡(luò)110a-n?��?山又o實(shí)體110a-n分配聲譽(yù)�。對(duì)通信的決定可考慮發(fā)起通信的實(shí)體130a_e的聲譽(yù)����。而且,一個(gè)或更多個(gè)中央系統(tǒng)200可收集關(guān)于實(shí)體130a_e的信息���,并將所收集的數(shù)據(jù)分發(fā)到其它中央系統(tǒng)200和/或安全代理100a-n���。聲譽(yù)引擎可幫助識(shí)別大量惡意通信����,而沒(méi)有通信的內(nèi)容的廣泛和可能昂貴的局部分析(local analysis)�。聲譽(yù)引擎也可幫助識(shí)別合法通信,并優(yōu)先考慮其傳輸��,且減小了對(duì)合法通信進(jìn)行錯(cuò)誤分類的風(fēng)險(xiǎn)��。而且��,聲譽(yù)引擎可在物理世界或虛擬世界中對(duì)識(shí)別惡意以及合法事務(wù)的問(wèn)題提供動(dòng)態(tài)和預(yù)言性的方法���。例子包括在電子郵件、即時(shí)消息�����、VoIP��、SMS或利用發(fā)送者聲譽(yù)和內(nèi)容的分析的其它通信協(xié)議系統(tǒng)中過(guò)濾惡意通信的過(guò)程��。安全代理100a-n可接著應(yīng)用全局或局部策略,以確定關(guān)于通信對(duì)聲譽(yù)結(jié)果執(zhí)行什么動(dòng)作(例如拒絕����、隔離、負(fù)載均衡�����、以所分配的優(yōu)先級(jí)傳輸�、以額外的細(xì)查局部地進(jìn)行分析)。然而���,實(shí)體130a_e可用各種方法連接到互聯(lián)網(wǎng)����。如應(yīng)理解的�����,實(shí)體130a_e可同時(shí)或在一段時(shí)間內(nèi)具有多個(gè)標(biāo)識(shí)符(例如����,電子郵件地址、IP地址、標(biāo)識(shí)符文件�����,等等)���。例如��,具有變化的IP地址的郵件服務(wù)器可隨著時(shí)間的過(guò)去具有多個(gè)身份���。而且,一個(gè)標(biāo)識(shí)符可與多個(gè)實(shí)體相關(guān)����,例如,當(dāng)IP地址被很多用戶支持的組織共享時(shí)�����。而且�����,用于連接到互聯(lián)網(wǎng)的特定方法可能使實(shí)體130a-e的識(shí)別模糊不清�����。例如��,實(shí)體130b可利用互聯(lián)網(wǎng)服務(wù)提供商(ISP) 200連接到互聯(lián)網(wǎng)��。很多ISP 200使用動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)來(lái)將IP地址動(dòng)態(tài)地分配給請(qǐng)求連接的實(shí)體130b��。實(shí)體130a_e也可通過(guò)欺騙合法實(shí)體來(lái)偽裝其身份�。因此,收集關(guān)于每個(gè)實(shí)體130a_e的特征的數(shù)據(jù)可幫助對(duì)實(shí)體130a_e加以分類,并確定如何處理通信��。在虛擬世界和物理世界中創(chuàng)建和欺騙身份的容易性可能產(chǎn)生用戶惡意動(dòng)作的動(dòng)機(jī)�����,而不承擔(dān)該動(dòng)作的后果��。例如�����,在互聯(lián)網(wǎng)上被罪犯盜取的合法實(shí)體的IP地址(或在物理世界中的被盜的護(hù)照)可能使該罪犯能夠通過(guò)假裝被盜的身份而相對(duì)容易地參與惡意行動(dòng)�����。然而,通過(guò)給物理實(shí)體和虛擬實(shí)體分配聲譽(yù)并識(shí)別它們可能使用的多個(gè)身份��,聲譽(yù)系統(tǒng)可能影響聲譽(yù)好的實(shí)體和聲譽(yù)差的實(shí)體來(lái)負(fù)責(zé)任地操作����,以免變得聲譽(yù)差且不能與其它網(wǎng)絡(luò)實(shí)體交流或交互。圖3是描述通信和實(shí)體的例子的結(jié)構(gòu)圖�����,其包括利用用于檢測(cè)實(shí)體之間的關(guān)系的標(biāo)識(shí)符和屬性�����。安全代理100a-b可通過(guò)檢查被送往相關(guān)網(wǎng)絡(luò)的通信來(lái)收集數(shù)據(jù)���。安全代理100a-b也可通過(guò)檢查由相關(guān)網(wǎng)絡(luò)分程傳遞的通信來(lái)收集數(shù)據(jù)��。通信的檢查和分析可允許安全代理100a-b收集關(guān)于發(fā)送和接收消息的實(shí)體300a_c的信息����,其中包括傳輸模式���、數(shù)量(volume)、或?qū)嶓w是否有發(fā)送某些類型的消息(例如,合法消息���、垃圾郵件�、病毒����、群發(fā)郵件,等等)的傾向�����。如圖3所示���,每個(gè)實(shí)體300a_c分別與一個(gè)或更多個(gè)標(biāo)識(shí)符310a_c相關(guān)聯(lián)�。標(biāo)識(shí)符310a-c可例如包括IP地址���、統(tǒng)一資源定位器(URL)�、電話號(hào)碼���、頂用戶名���、消息內(nèi)容����、域�����,或可描述實(shí)體的任何其它標(biāo)識(shí)符���。而且��,標(biāo)識(shí)符310a_c與一個(gè)或更多個(gè)屬性320a_c相關(guān)聯(lián)����。如應(yīng)理解的�,屬性320a_c符合所描述的特定標(biāo)識(shí)符310a_c。例如���,消息內(nèi)容標(biāo)識(shí)符可包括屬性��,例如惡意軟件(malware)�、數(shù)量���、內(nèi)容類型���、運(yùn)行狀態(tài),等等�。類似地,與標(biāo)識(shí)符例如IP地址相關(guān)聯(lián)的屬性320a-c可包括與實(shí)體300a-c相關(guān)聯(lián)的一個(gè)或更多個(gè)IP地址��。此外�����,應(yīng)理解�,可從通信330a_c(例如,電子郵件)收集的該數(shù)據(jù)一般包括發(fā)起通信的實(shí)體的一些標(biāo)識(shí)符和屬性�����。因此���,通信330a_c提供用于將關(guān)于實(shí)體的信息傳遞到安全代理IOOaUOOb的傳送��。通過(guò)檢查包括在消息中的標(biāo)題信息��、分析消息的內(nèi)容�����,以及通過(guò)匯聚安全代理IOOaUOOb以前收集的信息(例如����,合計(jì)從實(shí)體接收的通信的數(shù)量),安全代理IOOaUOOb可檢測(cè)這些屬性�����?�?蓞R聚并利用來(lái)自多個(gè)安全代理100a���、IOOb的數(shù)據(jù)��。例如�,數(shù)據(jù)可由中央系統(tǒng)匯聚和利用���,中央系統(tǒng)接收與所有實(shí)體300a-c相關(guān)聯(lián)的標(biāo)識(shí)符和屬性���,安全代理IOOaUOOb為實(shí)體300a_c接收了通信?��?蛇x地�����,彼此傳遞關(guān)于實(shí)體300a_c的標(biāo)識(shí)符和屬性信息的安全代理100a�����、100b可作為分布式系統(tǒng)進(jìn)行操作�����。利用數(shù)據(jù)的過(guò)程可使實(shí)體300a_c的屬性彼此關(guān)聯(lián)�����,從而確定實(shí)體300a_c之間的關(guān)系(例如�,事件出現(xiàn)�、數(shù)量,和/或其它確定因素之間的關(guān)聯(lián))�。這些關(guān)系可接著用于根據(jù)與每個(gè)標(biāo)識(shí)符相關(guān)的屬性的關(guān)聯(lián)為所有標(biāo)識(shí)符建立多維聲譽(yù)“矢量”。例如�����,如果具有聲譽(yù)差的已知聲譽(yù)的聲譽(yù)差的實(shí)體300a發(fā)送具有第一組屬性350a的消息330a����,且接著未知實(shí)體300b發(fā)送具有第二組屬性350b的消息330b���,則安全代理IOOa可確定第一組屬性350a的全部或一部分是否匹配第二組屬性350b的全部或一部分。當(dāng)?shù)谝唤M屬性350a的某個(gè)部分匹配第二組屬性350b的某個(gè)部分時(shí)���,可根據(jù)包括匹配的屬性330a����、33b的特定標(biāo)識(shí)符320a�����、320b來(lái)建立關(guān)系��。被發(fā)現(xiàn)具有匹配的屬性的特定標(biāo)識(shí)符340a����、340b可用于確定與實(shí)體300a、300b之間的關(guān)系相關(guān)聯(lián)的強(qiáng)度�。關(guān)系的強(qiáng)度可幫助確定聲譽(yù)差的實(shí)體300a的聲譽(yù)差的性質(zhì)中有多少被歸于未知實(shí)體300b的聲譽(yù)。然而��,還應(yīng)認(rèn)識(shí)到,未知實(shí)體300b可發(fā)起包括屬性350c的通信330c����,屬性350c與發(fā)源于已知的聲譽(yù)好的實(shí)體300c的通信330d的ー些屬性350d匹配。被發(fā)現(xiàn)具有匹配的屬性的特定標(biāo)識(shí)符340c���、340d可用于確定與實(shí)體300b����、300c之間的關(guān)系相關(guān)聯(lián)的強(qiáng)度�����。關(guān)系的強(qiáng)度可幫助確定聲譽(yù)好的實(shí)體300c的聲譽(yù)好的性質(zhì)中有多少被歸于未知實(shí)體300b的聲譽(yù)��。分布式聲譽(yù)引擎還允許關(guān)于最近的威脅前景的全球情報(bào)的實(shí)時(shí)協(xié)作共享�����,對(duì)可由過(guò)濾或風(fēng)險(xiǎn)分析系統(tǒng)執(zhí)行的局部分析提供即時(shí)保護(hù)的益處����,以及甚至在可能的新威脅出現(xiàn)之前就識(shí)別這種新威脅的惡意來(lái)源���。使用位于很多不同地理位置處的傳感器���,可與中央系統(tǒng)200或與分布式安全代理IOOaUOOb —起快速共享關(guān)于新威脅的信息����。如應(yīng)理解的��,這樣的分布式傳感器可包括局部安全代理100a����、100b,以及局部聲譽(yù)好的客戶機(jī)、業(yè)務(wù)量監(jiān)控器����,或適合于收集通信數(shù)據(jù)的任何其它設(shè)備(例如,開關(guān)���、路由器���、服務(wù)器,等等)����。例如,安全代理100a、IOOb可與中央系統(tǒng)200進(jìn)行通信�����,以提供威脅和聲譽(yù)信息的共享���?���?蛇x地����,安全代理100a��、IOOb可在彼此之間傳遞威脅和聲譽(yù)信息�,以提供最新的和準(zhǔn)確的威脅信息。在圖3的例子中����,第一安全代理300a擁有關(guān)于未知實(shí)體300b和聲譽(yù)差的實(shí)體300a之間的關(guān)系的信息,而第二安全代理300b擁有關(guān)于未知實(shí)體300b和聲譽(yù)好的實(shí)體300c之間的關(guān)系的信息�����。在沒(méi)有共享信息的情況下,第一安全代理300a可根據(jù)所檢測(cè)的關(guān)系對(duì)通信采取特定的動(dòng)作����。然而,知道未知實(shí)體300b和聲譽(yù)好的實(shí)體300c之間的關(guān)系��,第一安全代理300a可利用來(lái)自未知實(shí)體300b的收到的通信來(lái)采取不同的動(dòng)作���。安全代理之間的關(guān)系信息的共享因而提供更完整的一組關(guān)系信息����,將針對(duì)該關(guān)系信息作出確定����。系統(tǒng)試圖將聲譽(yù)(反映一般傾向和/或分類)分配給物理實(shí)體,例如執(zhí)行事務(wù)的個(gè)人或自動(dòng)化系統(tǒng)���。在虛擬世界中�����,實(shí)體由在實(shí)體正執(zhí)行的特定事務(wù)(例如�����,發(fā)送消息或從銀行帳號(hào)轉(zhuǎn)移資金)中聯(lián)系到這些實(shí)體的標(biāo)識(shí)符(例如IP���、URL��、內(nèi)容)表示�����。因此根據(jù)那些標(biāo)識(shí)符的總體行為和歷史模式以及那些標(biāo)識(shí)符與其它標(biāo)識(shí)符的關(guān)系�����,例如發(fā)送消息的IP與包括在那些消息中的URL的關(guān)系���,聲譽(yù)可被分配到那些標(biāo)識(shí)符。如果在標(biāo)識(shí)符之間存在強(qiáng)關(guān)聯(lián)���,則單個(gè)標(biāo)識(shí)符的“差”聲譽(yù)可能使其它鄰近的標(biāo)識(shí)符的聲譽(yù)惡化。例如���,發(fā)送具有差聲譽(yù)的URL的IP將由于URL的聲譽(yù)而使其自己的聲譽(yù)惡化����。最后,単獨(dú)的標(biāo)識(shí)符聲譽(yù)可被匯聚成與那些標(biāo)識(shí)符相關(guān)聯(lián)的實(shí)體的單個(gè)聲譽(yù)(風(fēng)險(xiǎn)評(píng)分)�����。應(yīng)注意�,屬性可分成很多類別。例如����,證據(jù)屬性可表示關(guān)于實(shí)體的物理、數(shù)字或數(shù)字化的物理數(shù)據(jù)��。該數(shù)據(jù)可歸于單個(gè)已知或未知的實(shí)體���,或在多個(gè)實(shí)體之間共享(形成實(shí)體關(guān)系)����。與消息安全有關(guān)的證據(jù)屬性的例子包括IP(互聯(lián)網(wǎng)協(xié)議)地址�、已知的域名、URL�����、實(shí)體所使用的數(shù)字指紋或簽名�����、TCP簽名,等等���。作為另一例子���,行為屬性可表示關(guān)于實(shí)體或證據(jù)屬性的人或機(jī)器分配的觀測(cè)結(jié)果。這樣的屬性可包括來(lái)自ー個(gè)或多個(gè)行為參數(shù)文件(behavioral profile)的ー個(gè)���、很多或所有屬性�。例如�,通常與垃圾郵件發(fā)送者相關(guān)聯(lián)的行為屬性可依據(jù)從該實(shí)體發(fā)送的大量通信。
用于特定類型的行為的很多行為屬性可被合并以得出行為參數(shù)文件����。行為參數(shù)文件可包括ー組預(yù)定義的行為屬性。分配給這些參數(shù)文件的屬性特征包括與限定匹配參數(shù)文件的實(shí)體的傾向有關(guān)的行為事件�����。與消息安全有關(guān)的行為參數(shù)文件的例子可包括“垃圾郵件發(fā)送者”���、“詐騙者”和“合法發(fā)送者”�。與每個(gè)參數(shù)文件相關(guān)的事件和/或證據(jù)屬性限定參數(shù)文件應(yīng)被分配到的適當(dāng)實(shí)體����。這可包括特定的ー組發(fā)送模式、黑名單事件或證據(jù)數(shù)據(jù)的特定屬性���。一些例子包括:發(fā)送者/接收者身份識(shí)別�����;時(shí)間間隔和發(fā)送模式���;有效載荷的嚴(yán)重度(severity)和配置;消息結(jié)構(gòu)��;消息質(zhì)量����;協(xié)議和相關(guān)的簽名;通信介質(zhì)�����。應(yīng)理解��,共享相同的證據(jù)屬性中的ー些或全部的實(shí)體具有證據(jù)關(guān)系。類似地����,共享行為屬性的實(shí)體具有行為關(guān)系。這些關(guān)系幫助形成相關(guān)參數(shù)文件的邏輯組���,該關(guān)系接著被適應(yīng)性地應(yīng)用�����,以增強(qiáng)參數(shù)文件或略微差不多符合所分配的參數(shù)文件地來(lái)識(shí)別實(shí)體����。圖4是描述用于檢測(cè)關(guān)系并給實(shí)體分配風(fēng)險(xiǎn)的操作方案400的流程圖�����。操作方案在步驟410通過(guò)收集網(wǎng)絡(luò)數(shù)據(jù)開始�。數(shù)據(jù)收集可例如由安全代理100、客戶設(shè)備����、交換機(jī)、路由器或任何其它設(shè)備完成,所述其它設(shè)備可操作來(lái)從網(wǎng)絡(luò)實(shí)體(例如��,電子郵件服務(wù)器�、網(wǎng)絡(luò)服務(wù)器��、頂服務(wù)器��、ISP�����、文件傳輸協(xié)議(FTP)服務(wù)器����、gopher服務(wù)器、VoIP設(shè)備等)接收通信����。在步驟420,標(biāo)識(shí)符與所收集的數(shù)據(jù)(例如通信數(shù)據(jù))相關(guān)聯(lián)���。步驟420可由可操作來(lái)從很多傳感器設(shè)備匯聚數(shù)據(jù)的安全代理100或中央系統(tǒng)200執(zhí)行��,包括例如一個(gè)或更多個(gè)安全代理100�����?���?蛇x地,步驟420可由安全代理100本身執(zhí)行��。標(biāo)識(shí)符可基于所接收的通信的類型�����。例如�����,電子郵件可包括一組信息(例如����,發(fā)起者和收信方的IP地址、文本內(nèi)容���、附件等)�����,而VoIP通信可包括ー組不同的信息(例如���,主叫電話號(hào)碼(或如果從VoIP客戶發(fā)起則為IP地址)��、接收的電話號(hào)碼(或如果指定VoIP電話則為IP地址)�、語(yǔ)音內(nèi)容�����,等等)��。步驟420也可包括分配具有相關(guān)標(biāo)識(shí)符的通信的屬性����。在步驟430��,分析與實(shí)體相關(guān)聯(lián)的屬性���,以確定在實(shí)體之間是否存在任何關(guān)系����,為這些實(shí)體收集通信信息��。步驟430可例如由中央系統(tǒng)200或ー個(gè)或更多個(gè)分布式安全代理100執(zhí)行。分析可包括比較與不同實(shí)體有關(guān)的屬性以找到實(shí)體之間的關(guān)系���。而且���,根據(jù)作為關(guān)系的基礎(chǔ)的特定屬性,強(qiáng)度可與關(guān)系相關(guān)聯(lián)��。在步驟440�,風(fēng)險(xiǎn)矢量被分配給實(shí)體。作為例子�,風(fēng)險(xiǎn)矢量可由中央系統(tǒng)200或一個(gè)或更多個(gè)安全代理100分配。分配給實(shí)體130 (圖1-2)�����、300(圖3)的風(fēng)險(xiǎn)矢量可基于在實(shí)體之間存在的關(guān)系�,并基于形成關(guān)系的基礎(chǔ)的標(biāo)識(shí)符。在步驟450����,可根據(jù)風(fēng)險(xiǎn)矢量執(zhí)行動(dòng)作。該動(dòng)作可例如由安全代理100執(zhí)行�����。可對(duì)與實(shí)體相關(guān)聯(lián)的收到的通信執(zhí)行動(dòng)作�����,風(fēng)險(xiǎn)矢量被分配給該實(shí)體���。其中��,所述動(dòng)作可包括允許��、拒絕、隔離���、負(fù)載均衡���、以所分配的優(yōu)先級(jí)傳輸、以額外的細(xì)查局部地進(jìn)行分析����。然而,應(yīng)理解����,可単獨(dú)地得到聲譽(yù)矢量�����。圖5是示出示例性網(wǎng)絡(luò)體系結(jié)構(gòu)的結(jié)構(gòu)圖���,其包括由局部聲譽(yù)引擎510a_e得到的局部聲譽(yù)500a_e和一個(gè)或更多個(gè)服務(wù)器530所儲(chǔ)存的全局聲譽(yù)520。局部聲譽(yù)弓I擎510a_e例如可與局部安全代理��,例如安全代理100相關(guān)聯(lián)�����?���?蛇x地,局部聲譽(yù)引擎510a_e可例如與本地客戶機(jī)相關(guān)聯(lián)���。聲譽(yù)引擎510a_e中的每個(gè)包括一個(gè)或更多個(gè)實(shí)體的列表��,聲譽(yù)引擎510a-e為這些實(shí)體儲(chǔ)存所得到的聲譽(yù)500a_e��。然而���,這些儲(chǔ)存的得到的聲譽(yù)在聲譽(yù)引擎之間可能是不一致的�����,因?yàn)槊總€(gè)聲譽(yù)引擎可觀察到不同類型的業(yè)務(wù)量�。例如�����,聲譽(yù)引擎1510a可包括指示特定實(shí)體是聲譽(yù)好的聲譽(yù)�����,而聲譽(yù)引擎2510b可包括指示同一實(shí)體是聲譽(yù)差的聲譽(yù)�����。這些局部的聲譽(yù)不一致性可基于從實(shí)體接收的不同業(yè)務(wù)量�??蛇x地,不一致性可基于來(lái)自局部聲譽(yù)引擎1510a的用戶的��、指示通信是合法的反饋��,而局部聲譽(yù)引擎2510b提供指示同一通信是不合法的反饋����。服務(wù)器530從局部聲譽(yù)引擎510a_e接收聲譽(yù)信息�����。然而���,如上所述,ー些局部聲譽(yù)信息可能與其它局部聲譽(yù)信息不一致���。服務(wù)器530可在局部聲譽(yù)500a_e之間進(jìn)行仲裁����,以根據(jù)局部聲譽(yù)信息500a-e確定全局聲譽(yù)520��。在一些例子中���,全局聲譽(yù)信息520可接著被提供回局部聲譽(yù)引擎510a_e�,以給這些引擎510a_e提供最新的聲譽(yù)信息�����??蛇x地�,局部聲譽(yù)引擎510a-e可操作來(lái)查詢服務(wù)器530以得到聲譽(yù)信息�����。在一些例子中�,服務(wù)器530使用全局聲譽(yù)信息520響應(yīng)于查詢。在其它例子中�����,服務(wù)器530將局部聲譽(yù)偏置(bias)應(yīng)用到全局聲譽(yù)520��。局部聲譽(yù)偏置可對(duì)全局聲譽(yù)執(zhí)行變換���,以給局部聲譽(yù)引擎510a_e提供全局聲譽(yù)矢量�,其根據(jù)發(fā)起查詢的特定局部聲譽(yù)引擎510a_e的偏好而進(jìn)行偏置���。因此,管理員或用戶對(duì)垃圾郵件消息指示高容忍度(tolerance)的局部聲譽(yù)引擎510a可接收解釋所指示的容忍度的全局聲譽(yù)矢量���。返回到聲譽(yù)引擎510a的聲譽(yù)矢量的特定分量可能包括由干與聲譽(yù)矢量的其余部分的關(guān)系而降低重要性的聲譽(yù)矢量的部分���。同樣���,局部聲譽(yù)引擎510b可接收放大與病毒聲譽(yù)有關(guān)的聲譽(yù)矢量的分量的聲譽(yù)矢量��,局部聲譽(yù)引擎510b指示例如來(lái)自具有發(fā)起病毒的聲譽(yù)的實(shí)體的低容忍度通信����。圖6是示出基于局部聲譽(yù)反饋的全局聲譽(yù)的確定的結(jié)構(gòu)圖�。局部聲譽(yù)引擎600可操作來(lái)通過(guò)網(wǎng)絡(luò)610向服務(wù)器620發(fā)送查詢。在一些例子中���,局部聲譽(yù)引擎600響應(yīng)于從未知實(shí)體接收通信而發(fā)起查詢����?��?蛇x地��,局部聲譽(yù)引擎600可響應(yīng)于接收任何通信而發(fā)起查詢����,從而促進(jìn)更加新的聲譽(yù)信息的使用���。服務(wù)器620可操作來(lái)使用全局聲譽(yù)確定響應(yīng)于查詢���。中央服務(wù)器620可使用全局聲譽(yù)匯聚引擎630得到全局聲譽(yù)�����。全局聲譽(yù)匯聚引擎630可操作來(lái)從相應(yīng)的多個(gè)局部聲譽(yù)引擎接收多個(gè)局部聲譽(yù)640���。在一些例子中,多個(gè)局部聲譽(yù)640可由聲譽(yù)引擎周期性地發(fā)送到服務(wù)器620����。可選地��,多個(gè)局部聲譽(yù)640可由服務(wù)器在從局部聲譽(yù)引擎600中之一接收到查詢時(shí)取回�����。使用與每個(gè)局部聲譽(yù)引擎有關(guān)的置信值(confidence value)并接著積累結(jié)果���,可合并局部聲譽(yù)�。置信值可指示與相關(guān)聲譽(yù)引擎所產(chǎn)生的局部聲譽(yù)相關(guān)聯(lián)的置信度�����。與個(gè)人相關(guān)聯(lián)的聲譽(yù)引擎例如可接收在全局聲譽(yù)確定中較低的權(quán)重��。相反�,與在大型網(wǎng)絡(luò)上操作的聲譽(yù)引擎相關(guān)聯(lián)的局部聲譽(yù)可根據(jù)與該聲譽(yù)引擎相關(guān)聯(lián)的置信值接收全局聲譽(yù)確定中較大的權(quán)重。在一些例子中��,置信值650可基于從用戶接收的反饋���。例如�,可給接收很多反饋的聲譽(yù)引擎分配與該聲譽(yù)引擎相關(guān)的局部聲譽(yù)640的低置信值650�����,這些反饋指示通信未被正確地處理����,因?yàn)榕c通信相關(guān)的局部聲譽(yù)信息640指示錯(cuò)誤的動(dòng)作。類似地�����,可給接收反饋的聲譽(yù)引擎分配與該聲譽(yù)引擎相關(guān)的局部聲譽(yù)640的高置信值650���,該反饋根據(jù)局部聲譽(yù)信息640指示通信被正確地處理����,局部聲譽(yù)信息640與指示正確的動(dòng)作的通信相關(guān)聯(lián)。與不同聲譽(yù)引擎相關(guān)聯(lián)的置信值的調(diào)整可使用調(diào)節(jié)器660來(lái)完成�,調(diào)節(jié)器660可操作來(lái)接收輸入信息并根據(jù)所接收的輸入調(diào)節(jié)置信值。在一些例子中��,根據(jù)被儲(chǔ)存的用于被錯(cuò)誤地分類的實(shí)體的統(tǒng)計(jì)資料����,置信值650可由聲譽(yù)引擎本身提供到服務(wù)器620。在其它例子中��,用于對(duì)局部聲譽(yù)信息加權(quán)的信息可被傳遞到服務(wù)器620��。在一些例子中���,偏置670可應(yīng)用于最終形成的全局聲譽(yù)矢量�����。偏置670可標(biāo)準(zhǔn)化聲譽(yù)矢量����,以向聲譽(yù)引擎600提供標(biāo)準(zhǔn)化的全局聲譽(yù)矢量?����?蛇x地�����,可應(yīng)用偏置670以解釋與發(fā)起聲譽(yù)查詢的聲譽(yù)引擎600相關(guān)的局部偏好�����。因此�����,聲譽(yù)引擎600可接收與查詢的聲譽(yù)引擎600的確定的偏好匹配的全局聲譽(yù)矢量��。聲譽(yù)引擎600可根據(jù)從服務(wù)器620接收的全局聲譽(yù)矢量對(duì)通信采取動(dòng)作��。圖7是示出全局聲譽(yù)和局部聲譽(yù)之間的示例性轉(zhuǎn)化的結(jié)構(gòu)圖��。局部安全代理700與服務(wù)器720進(jìn)行通信���,以從服務(wù)器720取回全局聲譽(yù)信息����。局部安全代理700可在702接收通信�。局部安全代理可在704關(guān)聯(lián)通信以識(shí)別消息的屬性。消息的屬性可包括例如發(fā)端實(shí)體�、消息內(nèi)容的指紋、消息大小�����,等等�����。局部安全代理700在對(duì)服務(wù)器720的查詢中包括該信息����。在其它例子中,局部安全代理700可將整個(gè)消息轉(zhuǎn)發(fā)到服務(wù)器720����,且服務(wù)器可執(zhí)行消息的關(guān)聯(lián)和分析。服務(wù)器720使用從查詢接收的信息���,來(lái)根據(jù)服務(wù)器720的配置725確定全局聲譽(yù)����。配置725可包括多個(gè)聲譽(yù)信息,包括指示被查詢的實(shí)體是聲譽(yù)差的信息(730)和指示被查詢的實(shí)體是聲譽(yù)好的信息(735)�。配置725也可將權(quán)重740應(yīng)用于每個(gè)匯聚的聲譽(yù)730、735���。聲譽(yù)得分確定器745可提供用于給匯聚的聲譽(yù)信息730、735加權(quán)(740)并產(chǎn)生全局
聲譽(yù)矢量的引擎�����。局部安全代理700接著在706向局部聲譽(yù)引擎發(fā)送查詢���。局部聲譽(yù)引擎708執(zhí)行局部聲譽(yù)的確定并在710返回局部聲譽(yù)矢量��。局部安全代理700也接收以全局聲譽(yù)矢量形式的���、對(duì)發(fā)送到服務(wù)器720的聲譽(yù)查詢的響應(yīng)。局部安全代理700接著在712將局部聲譽(yù)矢量和全局聲譽(yù)矢量混合在一起�。接著在714關(guān)于所接收的消息采取動(dòng)作。圖8是用于調(diào)整與聲譽(yù)服務(wù)器相關(guān)聯(lián)的過(guò)濾器的設(shè)置的示例性圖形用戶界面800��。圖形用戶界面800可允許局部安全代理的用戶在ー些不同的類別810�����,例如“病毒”、“蠕蟲”��、“特洛伊木馬”�����、“網(wǎng)絡(luò)釣魚”�、“間諜軟件”、“垃圾郵件”�����、“內(nèi)容”和“群發(fā)”中調(diào)整局部過(guò)濾器的配置����。然而,應(yīng)理解��,所述類別810只是例子�����,且本公開不限于在這里被選為例子的類別810。在一些例子中��,類別810可分成兩種或更多類型的類別��。例如�,圖8的類別810分成類別810的“安全設(shè)置”類型820以及類別的“策略設(shè)置”類型830。在每個(gè)類別810和類型820�����、830中�����,混合器條形表示840可允許用戶調(diào)整與通信或?qū)嶓w聲譽(yù)的相應(yīng)類別810相關(guān)聯(lián)的特定過(guò)濾器設(shè)置�。而且��,雖然“策略設(shè)置”類型830的類別810可根據(jù)用戶自己的判斷被自由調(diào)節(jié)����,但是“安全設(shè)置”類型820的類別可被限制到在ー范圍內(nèi)調(diào)整?�?僧a(chǎn)生該差別����,以便阻止用戶更改安全代理的安全設(shè)置超過(guò)可接受的范圍�����。例如���,不滿意的雇員可能試圖降低安全設(shè)置,從而允許企業(yè)網(wǎng)易受攻擊��。因此���,在“安全設(shè)置”類型820中置于類別810上的范圍850可操作來(lái)在將安全保持在最低水平��,以防止網(wǎng)絡(luò)被危害����。然而��,如應(yīng)注意的����,“策略設(shè)置”類型830的類別810是不危害網(wǎng)絡(luò)安全的那些類型的類別810,而是如果設(shè)置降低可能只是使用戶或企業(yè)不方便�����。此外,應(yīng)認(rèn)識(shí)到��,在各種例子中���,范圍限制850可置于全部類別810上�。因此����,局部安全代理將阻止用戶將混合器條形表示840設(shè)置在所提供的范圍850之外。還應(yīng)注意�����,在一些例子中���,范圍可不顯示在圖形用戶界面800上。替代地�����,范圍850將被從圖形用戶界面800提取出來(lái)�,且所有設(shè)置將為相關(guān)的設(shè)置。因此,類別800可顯示并看起來(lái)似乎允許設(shè)置的滿范圍�,同時(shí)將設(shè)置變換成在所提供的范圍內(nèi)的設(shè)置。例如�,“病毒”類別810的范圍850在本例中被設(shè)置在水平標(biāo)記8和13之間。如果圖形用戶界面800設(shè)置成從圖形用戶界面800提取出可允許的范圍850����,則“病毒”類別810將允許混合器條形表示840設(shè)置在0和14之間的任何位置。然而�����,圖形用戶界面800可將0-14設(shè)置變換成在8到13的范圍850內(nèi)的設(shè)置��。因此���,如果用戶請(qǐng)求在0和14之間中間的設(shè)置����,則圖形用戶界面可將該設(shè)置變換成在8和13中間的設(shè)置��。圖9是示出用于互聯(lián)網(wǎng)協(xié)議語(yǔ)音電話(VoIP)或短消息服務(wù)(SMS)通信的基于聲譽(yù)的連接抑制的結(jié)構(gòu)圖�����。如應(yīng)理解的,主叫IP電話900可向接收的IP電話910安排VoIP呼叫����。這些IP電話900、910可以是例如計(jì)算機(jī)執(zhí)行的軟電話軟件����、網(wǎng)絡(luò)支持的電話,等等���。主叫IP電話900可通過(guò)網(wǎng)絡(luò)920 (例如互聯(lián)網(wǎng))安排VoIP呼叫�。接收的IP電話910可通過(guò)局域網(wǎng)930 (例如企業(yè)網(wǎng))接收VoIP呼叫����。當(dāng)建立VoIP呼叫時(shí),主叫IP電話已建立與局域網(wǎng)930的連接����。該連接可與電子郵件、網(wǎng)絡(luò)��、即時(shí)消息或其它互聯(lián)網(wǎng)應(yīng)用可被用于提供與網(wǎng)絡(luò)的未調(diào)節(jié)(unregulated)的連接的方式類似被使用����。因此,可使用與接收的IP電話的連接�,從而根據(jù)所建立的連接使在局域網(wǎng)930上操作的計(jì)算機(jī)940、950處于入侵����、病毒、特洛伊木馬����、蠕蟲和各種其它類型的攻擊的危險(xiǎn)中。而且�����,由于VoIP通信的時(shí)間敏感性質(zhì)�����,一般不檢查這些通信�,以確保沒(méi)有誤用連接。例如�����,語(yǔ)音會(huì)話實(shí)時(shí)地發(fā)生�。如果語(yǔ)音會(huì)話的ー些分組被延遲�,則會(huì)話變得不自然且難以理解�。因此,一旦建立了連接���,就一般不能檢查分組的內(nèi)容��。然而�,局部安全代理960可使用從聲譽(yù)引擎或服務(wù)器970接收的聲譽(yù)信息來(lái)確定與主叫IP電話相關(guān)的聲譽(yù)����。局部安全代理960可使用發(fā)端實(shí)體的聲譽(yù)來(lái)確定是否允許與發(fā)端實(shí)體的連接。因此�,安全代理960可防止與聲譽(yù)差的實(shí)體的連接,如不遵守局部安全代理960的策略的聲譽(yù)所指示的�。在一些例子中,局部安全代理960可包括連接抑制引擎����,其可操作來(lái)使用在主叫IP電話900和接收的IP電話910之間建立的連接來(lái)控制正被傳輸?shù)姆纸M的流動(dòng)速率。因此�����,可允許具有差聲譽(yù)的發(fā)端實(shí)體900產(chǎn)生與接收的IP電話910的連接�。然而,分組通過(guò)量將被定上限��,從而防止發(fā)端實(shí)體900使用連接來(lái)攻擊局域網(wǎng)930��?����?蛇x地��,連接抑制可通過(guò)執(zhí)行從聲譽(yù)差的實(shí)體發(fā)起的任何分組的詳細(xì)檢查來(lái)完成��。如上所述��,所有VoIP分組的詳細(xì)檢查不是有效的�����。因此��,可為與聲譽(yù)好的實(shí)體相關(guān)聯(lián)的連接最大化服務(wù)質(zhì)量(QoS)���,同時(shí)減少與聲譽(yù)差的實(shí)體的連接相關(guān)聯(lián)的QoS����。可對(duì)與聲譽(yù)差的實(shí)體相關(guān)聯(lián)的連接執(zhí)行標(biāo)準(zhǔn)通信詢問(wèn)技術(shù)�,以便發(fā)行從發(fā)端實(shí)體接收的任何被傳輸?shù)姆纸M是否包括對(duì)網(wǎng)絡(luò)930的威脅。在美國(guó)專利號(hào)6���,941�,467,7, 089�,590,7, 096,498和7�,124,438中以及在美國(guó)專利申請(qǐng)?zhí)?2006/0015942�����、2006/0015563��、2003/0172302�����、2003/0172294��、2003/0172291 和2003/0173166中描述了各種詢問(wèn)技術(shù)和系統(tǒng)����,由此以上這些通過(guò)引用被并入����。圖10是示出基于聲譽(yù)的負(fù)載均衡器1000的操作的結(jié)構(gòu)圖�。負(fù)載均衡器1000可操作來(lái)通過(guò)網(wǎng)絡(luò)1030(例如互聯(lián)網(wǎng))(分別地)從聲譽(yù)好的實(shí)體1010和聲譽(yù)差的實(shí)體1020接收通信��。負(fù)載均衡器1000與聲譽(yù)引擎1040進(jìn)行通信����,以確定與進(jìn)入或傳出的通信相關(guān)聯(lián)的實(shí)體1010、1020的聲譽(yù)�。聲譽(yù)引擎1030可操作來(lái)給負(fù)載均衡器提供聲譽(yù)矢量。聲譽(yù)矢量可以各種不同的類別指示與通信相關(guān)聯(lián)的實(shí)體1010�����、1020的聲譽(yù)�����。例如��,就發(fā)起垃圾郵件的實(shí)體1010�����、1020而言,聲譽(yù)矢量可指示實(shí)體1010�、1020的良好聲譽(yù),同時(shí)就發(fā)起病毒的實(shí)體1010���、1020而言���,也指示相同實(shí)體1010、1020的差聲譽(yù)���。負(fù)載均衡器1000可使用聲譽(yù)矢量來(lái)確定關(guān)于與實(shí)體1010��、1020相關(guān)聯(lián)的通信執(zhí)行什么動(dòng)作����。在聲譽(yù)好的實(shí)體1010與通信相關(guān)聯(lián)的情況下�,消息被發(fā)送到消息傳輸代理(MTA) 1050并被傳輸給接收者1060。在聲譽(yù)差的實(shí)體1020擁有病毒的聲譽(yù)但沒(méi)有其它類型的聲譽(yù)差的活動(dòng)的聲譽(yù)的情況下���,通信被轉(zhuǎn)發(fā)到多個(gè)病毒檢測(cè)器1070中之一���。負(fù)載均衡器1000可操作來(lái)根據(jù)病毒檢測(cè)器的當(dāng)前容量和發(fā)端實(shí)體的聲譽(yù)來(lái)確定使用多個(gè)病毒檢測(cè)器1070中的哪ー個(gè)���。例如,負(fù)載均衡器1000可將通信發(fā)送到被最少利用的病毒檢測(cè)器�。在其它例子中,負(fù)載均衡器1000可確定與發(fā)端實(shí)體相關(guān)聯(lián)的差聲譽(yù)度�����,并將聲譽(yù)稍微差的通信發(fā)送到被最少利用的病毒檢測(cè)器����,同時(shí)將聲譽(yù)非常差的通信發(fā)送到被高度利用的病毒檢測(cè)器���,從而抑制與聲譽(yù)非常差的實(shí)體相關(guān)聯(lián)的連接的QoS�����。類似地�,在聲譽(yù)差的實(shí)體1020有發(fā)起垃圾郵件通信的聲譽(yù)但沒(méi)有其它類型的聲譽(yù)差的活動(dòng)的聲譽(yù)的情況下����,負(fù)載均衡器可將通信發(fā)送到專門的垃圾郵件檢測(cè)器1080以排除其它類型的測(cè)試。應(yīng)理解�,在通信與發(fā)起多種類型的聲譽(yù)差的活動(dòng)的聲譽(yù)差的實(shí)體1020相關(guān)聯(lián)的情況下,可發(fā)送通信以測(cè)試已知實(shí)體1020要顯示的每種類型的聲譽(yù)差的活動(dòng),同時(shí)避免與不知道實(shí)體1020要顯示的聲譽(yù)差的活動(dòng)相關(guān)聯(lián)的測(cè)試����。在一些例子中,每個(gè)通信可接收用于多種類型的不合法內(nèi)容的例行測(cè)試�。然而,當(dāng)與通信相關(guān)聯(lián)的實(shí)體1020顯示某些類型的活動(dòng)的聲譽(yù)時(shí)��,通信也可被隔離以用于內(nèi)容的詳細(xì)測(cè)試隔離�����,實(shí)體顯示對(duì)于發(fā)起該內(nèi)容的聲譽(yù)�����。在又一些例子中�,每個(gè)通信可接收相同類型的測(cè)試。然而��,與聲譽(yù)好的實(shí)體1010相關(guān)聯(lián)的通信被發(fā)送到有最短隊(duì)列的測(cè)試模塊或具有空閑的處理容量的測(cè)試模塊����。另一方面,與聲譽(yù)差的實(shí)體1020相關(guān)聯(lián)的通信被發(fā)送到有最長(zhǎng)隊(duì)列的測(cè)試模塊1070�����、1080。因此�����,與聲譽(yù)好的實(shí)體1010相關(guān)聯(lián)的通信可接受超過(guò)與聲譽(yù)差的實(shí)體相關(guān)聯(lián)的通信的傳輸優(yōu)先權(quán)��。因此對(duì)于聲譽(yù)好的實(shí)體1010��,服務(wù)質(zhì)量被最大化���,同時(shí)對(duì)于聲譽(yù)差的實(shí)體1020�����,服務(wù)質(zhì)量被降低。因此����,基于聲譽(yù)的負(fù)載平衡可通過(guò)降低聲譽(yù)差的實(shí)體連接到網(wǎng)絡(luò)930的能力來(lái)保護(hù)網(wǎng)絡(luò)免于攻擊。圖1lA是示出用于收集基于地理位置的數(shù)據(jù)以進(jìn)行身份驗(yàn)證分析的示例性操作方案的流程圖��。在步驟1100�����,操作方案從各種登錄嘗試收集數(shù)據(jù)。步驟1100可例如由局部安全代理����,例如圖1的安全代理100執(zhí)行。其中���,所收集的數(shù)據(jù)可包括與登錄嘗試相關(guān)聯(lián)的IP地址�����、登錄嘗試的時(shí)間����、在成功之前的登陸嘗試的次數(shù)��,或所嘗試的任何不成功的ロ令的詳細(xì)資料���。所收集的數(shù)據(jù)接著在步驟1105被分析��,以得出統(tǒng)計(jì)信息���,例如登錄嘗試的地理位置����。步驟1105可例如由聲譽(yù)引擎執(zhí)行��。接著在步驟1110與登錄嘗試相關(guān)聯(lián)的統(tǒng)計(jì)信息被儲(chǔ)存�。該儲(chǔ)存可例如由系統(tǒng)數(shù)據(jù)存儲(chǔ)器執(zhí)行。圖1lB是示出用于基于地理位置的身份驗(yàn)證的另ー示例性操作方案的流程圖�����。在步驟1115接收登錄嘗試���。登錄嘗試可例如由可操作來(lái)通過(guò)網(wǎng)絡(luò)提供安全財(cái)務(wù)數(shù)據(jù)的安全網(wǎng)絡(luò)服務(wù)器接收��。接著在步驟1120確定登錄嘗試是否匹配所儲(chǔ)存的用戶名和ロ令組合����。步驟1120可例如由可操作來(lái)驗(yàn)證登錄嘗試的安全服務(wù)器執(zhí)行��。如果用戶名和ロ令不匹配所存儲(chǔ)的用戶名/ ロ令組合�����,則在步驟1125宣布登錄嘗試失敗���。然而����,如果用戶名和ロ令確實(shí)匹配合法用戶名/ ロ令組合���,則在步驟1130確定登錄嘗試的起源�����。登錄嘗試的起源可由如圖1所示的局部安全代理100確定�����?��?蛇x地,登錄嘗試的起源可由聲譽(yù)引擎確定����。登錄嘗試的起源可接著與在圖1lA中得出的統(tǒng)計(jì)信息比較,如在步驟1135中示出的���。步驟1135可例如由局部安全代理100或聲譽(yù)引擎執(zhí)行�����。在步驟1140確定起源是否與統(tǒng)計(jì)期望匹配�。如果實(shí)際起源匹配統(tǒng)計(jì)期望,則在步驟1145驗(yàn)證用戶��?�?蛇x地�����,如果實(shí)際起源不匹配對(duì)于起源的統(tǒng)計(jì)期望���,則在步驟1150執(zhí)行進(jìn)一歩的處理���。應(yīng)理解,進(jìn)ー步的處理可包括從用戶請(qǐng)求進(jìn)一歩的信息��,以驗(yàn)證他或她的真實(shí)性�。這樣的信息可包括例如家庭地址、母親的婚前姓����、出生地點(diǎn),或關(guān)于用戶已知的任何其它部分的信息(例如秘密問(wèn)題)���。額外處理的其它例子可包括捜索以前的登錄嘗試����,以確定當(dāng)前登錄嘗試的地點(diǎn)是否確實(shí)是異常的或僅僅是巧合的�����。此外����,與發(fā)起登錄嘗試的實(shí)體相關(guān)聯(lián)的聲譽(yù)可被得出并用于確定是否允許登錄。圖1lC是示出用于使用發(fā)端實(shí)體的聲譽(yù)進(jìn)行基于地理位置的驗(yàn)證以確認(rèn)身份驗(yàn)證的另一示例性操作方案的流程圖���。在步驟1115接收登錄嘗試���。登錄嘗試可例如由可操作來(lái)通過(guò)網(wǎng)絡(luò)提供安全財(cái)務(wù)數(shù)據(jù)的安全網(wǎng)絡(luò)服務(wù)器接收。接著在步驟1160確定登錄嘗試是否匹配所儲(chǔ)存的用戶名和ロ令組合����。步驟1160可例如由可操作來(lái)驗(yàn)證登錄嘗試的安全服務(wù)器執(zhí)行。如果用戶名和ロ令不匹配所存儲(chǔ)的用戶名/ロ令組合,則在步驟1165宣布登錄嘗試失敗����。然而,如果用戶名和ロ令確實(shí)匹配合法的用戶名/ ロ令組合���,則在步驟1170確定登錄嘗試的起源����。登錄嘗試的起源可由如圖1所示的局部安全代理100確定��?��?蛇x地���,登錄嘗試的起源可由聲譽(yù)引擎確定。接著可取回與發(fā)起登錄嘗試的實(shí)體相關(guān)聯(lián)的聲譽(yù)��,如在步驟1175中示出的�。步驟1175可例如由聲譽(yù)引擎執(zhí)行。在步驟1180確定發(fā)端實(shí)體的聲譽(yù)是否是聲譽(yù)好的�����。如果發(fā)端實(shí)體是聲譽(yù)好的,則在步驟1185驗(yàn)證用戶身份�?���?蛇x地,如果發(fā)端實(shí)體是聲譽(yù)差的����,則在步驟1190執(zhí)行進(jìn)一歩的處理。應(yīng)理解����,進(jìn)一歩的處理可包括從用戶請(qǐng)求進(jìn)一歩的信息,以驗(yàn)證他或她的真實(shí)性�����。這樣的信息可包括例如家庭地址�����、母親的婚前姓�����、出生地點(diǎn),或關(guān)于用戶已知的任何其它部分的信息(例如秘密問(wèn)題)�����。額外處理的其它例子可包括捜索以前的登錄嘗試�,以確定當(dāng)前登錄嘗試的地點(diǎn)是否確實(shí)是異常的或僅僅是巧合的。因此�����,應(yīng)理解��,可應(yīng)用聲譽(yù)系統(tǒng)來(lái)識(shí)別金融交易中的欺詐行為��。聲譽(yù)系統(tǒng)可根據(jù)交易發(fā)起者的聲譽(yù)或?qū)嶋H交易中的數(shù)據(jù)(來(lái)源����、目的地、金額����,等等)來(lái)提高交易的風(fēng)險(xiǎn)評(píng)分。在這樣的情況下�����,金融機(jī)構(gòu)可根據(jù)發(fā)端實(shí)體的聲譽(yù)更好地確定特定交易是欺騙性的概率。圖12是示出用于基于聲譽(yù)的動(dòng)態(tài)隔離的示例性操作方案的流程圖���。在步驟1200接收通信�。接著在步驟1205分析通信����,以確定它們是否與未知實(shí)體相關(guān)聯(lián)�����。然而應(yīng)注意�,該操作方案可應(yīng)用于所接收的任何通信,而不僅僅是從以前的未知實(shí)體接收的通信�。例如,從聲譽(yù)差的實(shí)體接收的通信可被動(dòng)態(tài)地隔離�,直到確定了所接收的通信不對(duì)網(wǎng)絡(luò)造成威脅為止。在通信不與新實(shí)體相關(guān)聯(lián)的場(chǎng)合���,通信經(jīng)歷對(duì)進(jìn)入的通信的正常處理���,如在步驟1210中示出的。如果通信與新實(shí)體相關(guān)聯(lián)��,則在步驟1215初始化動(dòng)態(tài)隔離計(jì)數(shù)器。接著在步驟1220���,從新實(shí)體接收的通信被發(fā)送到動(dòng)態(tài)隔離�����。接著在步驟1225檢查計(jì)數(shù)器以確定計(jì)數(shù)器的時(shí)間是否已經(jīng)過(guò)去了����。如果計(jì)數(shù)器的時(shí)間沒(méi)有過(guò)去�,則在步驟1230遞減計(jì)數(shù)器。在步驟1235可分析實(shí)體的行為以及被隔離的通信��。在步驟1240確定實(shí)體的行為或被隔離的通信是否是異常的��。如果沒(méi)有發(fā)現(xiàn)異常情況�,則操作方案返回到步驟1220,在這里隔離新的通ィ目��。然而��,如果在步驟1240發(fā)現(xiàn)實(shí)體的行為或通信是異常的���,則在步驟1245給實(shí)體分配聲譽(yù)差的聲譽(yù)���。通過(guò)將通知發(fā)送到管理員或發(fā)端實(shí)體所發(fā)送的通信的接收者來(lái)結(jié)束過(guò)程���。返回到步驟1220,隔離和檢查通信和實(shí)體行為的過(guò)程繼續(xù)進(jìn)行�����,直到發(fā)現(xiàn)異常行為為止�����,或直到在步驟1225動(dòng)態(tài)的隔離計(jì)數(shù)器的時(shí)間過(guò)去為止�。如果動(dòng)態(tài)的隔離計(jì)數(shù)器的時(shí)間過(guò)去了�����,則在步驟1255給實(shí)體分配聲譽(yù)��?��?蛇x地�,在實(shí)體不是未知實(shí)體的情況下����,在步驟1245或1255可更新聲譽(yù)�。在步驟1260通過(guò)釋放動(dòng)態(tài)隔離來(lái)結(jié)束該操作方案���,其中動(dòng)態(tài)的隔離計(jì)數(shù)器的時(shí)間已經(jīng)過(guò)去���,而在通信中或在發(fā)端實(shí)體的行為中沒(méi)有發(fā)現(xiàn)異常情況。圖13是可被分類為不想要的圖像或消息的圖像垃圾郵件通信的示例性圖形用戶界面1300的顯示��。如應(yīng)理解的�����,圖像垃圾郵件對(duì)傳統(tǒng)垃圾郵件過(guò)濾器造成問(wèn)題�。圖像垃圾郵件通過(guò)將垃圾郵件的文本消息轉(zhuǎn)換成圖像格式來(lái)繞過(guò)垃圾郵件的傳統(tǒng)文本分析。圖13示出圖像垃圾郵件的例子��。消息顯示圖像1310����。雖然圖像1300看起來(lái)是文本,但它僅僅是文本消息的圖形編碼����。一般地����,圖像垃圾郵件也包括文本消息1320�����,文本消息1320包括被正確地構(gòu)造的但在消息背景下沒(méi)有意義的句子���。消息1320設(shè)計(jì)成躲避接通通信的垃圾郵件過(guò)濾器�,在該通信內(nèi)只包括圖像1310����。而且,消息1320設(shè)計(jì)成欺騙濾波器���,這些濾波器對(duì)包括圖像1310的通信的文本應(yīng)用粗略的測(cè)試。進(jìn)ー步地��,當(dāng)這些消息確實(shí)在頭部1330中包括關(guān)于消息的起源的信息時(shí)�,用于發(fā)出圖像垃圾郵件的實(shí)體的聲譽(yù)可能是未知的,直到該實(shí)體被發(fā)覺(jué)發(fā)送圖像垃圾郵件為止�����。圖14是示出用于檢測(cè)不想要的圖像(例如,圖像垃圾郵件)的示例性操作方案的流程圖��。應(yīng)理解�,附圖14中所示的很多步驟可單獨(dú)地或結(jié)合附圖14中所示的其它步驟中的任何ー個(gè)或全部來(lái)執(zhí)行,以提供圖像垃圾郵件的某種檢測(cè)���。然而��,附圖14中的每個(gè)步驟的使用提供了用于檢測(cè)圖像垃圾郵件的全面的過(guò)程����。過(guò)程在步驟1400以通信的分析開始����。步驟1400 —般包括分析通信,以確定通信是否包括受到圖像垃圾郵件處理的圖像����。在步驟1410,操作方案執(zhí)行通信的結(jié)構(gòu)分析�����,以確定圖像是否包括垃圾郵件。接著在步驟1420分析圖像的頭部���。圖像頭部的分析允許系統(tǒng)確定關(guān)于圖像格式本身是否存在異常情況(例如�����,協(xié)議錯(cuò)誤��、訛誤��,等等)����。在步驟1430分析圖像的特征�����。特征分析_在確定圖像的任何特征是否是異常的���。可在步驟1440標(biāo)準(zhǔn)化圖像����。圖像的標(biāo)準(zhǔn)化一般包括移除可能被垃圾郵件發(fā)送者添加以避免圖像指紋識(shí)別技術(shù)的隨機(jī)噪聲。圖像標(biāo)準(zhǔn)化_在將圖像轉(zhuǎn)換成在圖像中可容易比較的格式??蓪?duì)被標(biāo)準(zhǔn)化的圖像執(zhí)行指紋分析,以確定圖像是否匹配來(lái)自以前接收的已知圖像垃圾郵件的圖像�。圖15A是示出用于分析通信的結(jié)構(gòu)的操作方案的流程圖。操作方案在步驟1500以消息結(jié)構(gòu)的分析開始���。在步驟1505�,分析通信的超文本標(biāo)記語(yǔ)言(HTML)結(jié)構(gòu)���,以引入n-元文法(n-gram)標(biāo)記作為貝葉斯分析的額外符號(hào)(token)���。這樣的處理可為異常情況分析包括在圖像垃圾郵件通信中的文本1320?�?煞治鱿⒌腍TML結(jié)構(gòu)�,以定義元令牌(meta-token)。元令牌是消息的HTML內(nèi)容,其被處理以丟棄任何不相關(guān)的HTML標(biāo)記,并通過(guò)移除白空區(qū)而被壓縮以生成用于貝葉斯分析的“符號(hào)”���。上述符號(hào)中的每個(gè)可用作對(duì)貝葉斯分析的輸入��,以與以前接收的通信比較���。操作方案接著在步驟1515包括圖像檢測(cè)���。圖像檢測(cè)可包括將圖像分割成多個(gè)部分,以及對(duì)這些部分執(zhí)行指紋識(shí)別來(lái)確定指紋是否匹配以前接收的圖像的部分�����。圖15B是示出用于下述過(guò)程的操作方案的流程圖�����,即分析圖像的特征�,以提取用于輸入到聚類引擎(clustering engine)中的消息的特征,以便識(shí)別符合已知圖像垃圾郵件的圖像的組成部分���。操作方案在步驟1520開始��,在這里圖像的多個(gè)高水平特征被檢測(cè)����,以用在機(jī)器學(xué)習(xí)算法中�。這樣的特征可包括數(shù)值,例如獨(dú)特的顔色的數(shù)量���、噪聲黑色像素(noise black pixel)的數(shù)量�、水平方向中邊緣(形狀之間的銳轉(zhuǎn)變)的數(shù)量��,等等����。操作方案所提取的特征之一可包括圖像的柱狀圖模式的數(shù)量,如在步驟1525示出的��。通過(guò)檢查圖像的光譜密度來(lái)產(chǎn)生模式的數(shù)量����。如應(yīng)理解的,人工圖像一般包括比自然圖像少的模式���,這是因?yàn)樽匀粓D像顏色一般擴(kuò)散到廣譜(broad spectrum)��。如上所述���,從圖像提取的特征可用于識(shí)別異常情況。在一些例子中��,異常情況可包括分析消息的特征以確定多個(gè)特征與所儲(chǔ)存的不想要的圖像的特征的相似性的程度��?���?蛇x地����,在一些例子中����,也可分析圖像特征,以與已知的聲譽(yù)好的圖像比較�,以確定與聲譽(yù)好的圖像的相似性。應(yīng)理解�����,単獨(dú)的所提取的特征都不能決定分類�。例如,特定的特征可與60%的不想要的消息相關(guān)聯(lián)�,同時(shí)也與40%的想要的消息相關(guān)聯(lián)。而且�����,當(dāng)與特征相關(guān)聯(lián)的數(shù)值變化時(shí)�,消息是想要的或是不想要的概率可能變化。有很多可指示輕微傾向的特征�����。如果合并這些特征中的每個(gè),則圖像垃圾郵件檢測(cè)系統(tǒng)可進(jìn)行分類決定�。接著在步驟1530檢查高寬比��,以確定關(guān)于圖像尺寸或高寬比的是否存在任何異常情況��。圖像尺寸或高寬比與已知圖像垃圾郵件所共有的已知尺寸或高寬比的相似性可指示這種在高寬比中的異常情況�����。例如�,圖像垃圾郵件能夠以特定的尺寸出現(xiàn),以使圖像垃圾郵件看起來(lái)更像普通電子郵件���。包括下述圖像的消息更可能是垃圾郵件本身�����,即這些圖像與已知垃圾郵件圖像享有共同的尺寸��?���?蛇x地,存在不有利于垃圾郵件的圖像尺寸(例如��,如果垃圾郵件發(fā)送者將消息插入圖像中����,則I英寸Xl英寸的正方形圖像可能是難以讀取的)。已知不利于垃圾郵件的插入的包括圖像的消息較不可能是圖像垃圾郵件����。因此,消息的高寬比可與在圖像垃圾郵件中使用的共同的高寬比進(jìn)行比較����,以確定圖像是不想要的圖像或圖像是聲譽(yù)好的圖像的概率。在步驟1535����,檢查圖像的頻率分布。一般地��,自然圖像有具有相對(duì)少的明顯的頻率梯度(gradation)的均勻頻率分布����。另ー方面,圖像垃圾郵件一般包括常變的頻率分布,這是因?yàn)辄\色字母被放置在黑暗背景上����。因此,這樣的不均勻的頻率分布可指示圖像垃圾郵件���。在步驟1540��,可分析信噪比。高信噪比可指示垃圾郵件發(fā)送者可能試圖通過(guò)將噪聲引入圖像中來(lái)躲避指紋識(shí)別技木���。由此增加噪聲水平可指示圖像是不想要的圖像的概率增加�����。
應(yīng)理解���,可在整個(gè)圖像的規(guī)模上提取一些特征,而可從圖像的子部分提取其它特征����。例如,圖像可被細(xì)分成多個(gè)子部分����。每個(gè)矩形可使用快速付立葉變換(FFT)變換到頻域中��。在被變換的圖像中����,在多個(gè)方向上的頻率的優(yōu)勢(shì)(predominance)可作為特征被提取�����。也可檢查所變換的圖像的這些子部分�����,以確定高頻和低頻的數(shù)量�。在被變換的圖像中,離原點(diǎn)較遠(yuǎn)的點(diǎn)表現(xiàn)出較高的頻率�。類似于其它被提取的特征,這些特征可接著與已知的合法和不想要的圖像比較��,以確定未知圖像與每個(gè)類型的已知圖像共享哪些特性���。而且�,被變換的(例如頻域)圖像也可分成子部分(例如�,片段(slice)、矩形、同心圓����,等等),并與來(lái)自已知圖像(例如���,已知的不想要的圖像和已知的合法的圖像)的數(shù)據(jù)比較����。圖15C是示出用于標(biāo)準(zhǔn)化圖像以用于垃圾郵件處理的的操作方案的流程圖����。在步驟1545�����,從圖像除去模糊和噪聲��。如前所述����,這些可能由垃圾郵件發(fā)送者引入來(lái)躲避指紋識(shí)別技術(shù),例如通過(guò)改變無(wú)用信息的總數(shù)的散列法�����,使得它不與任何以前接收的已知圖像垃圾郵件的無(wú)用信息的指紋匹配。模糊和噪聲的移除可描述用于除去垃圾郵件發(fā)送者所引入的人為噪聲的幾種技術(shù)�����。應(yīng)理解����,人為噪聲可包括垃圾郵件發(fā)送者所使用的技術(shù),例如條帶效應(yīng)(其中包括在圖像中的字體變化����,以改變圖像的無(wú)用信息)。在步驟1550����,邊緣檢測(cè)算法可在標(biāo)準(zhǔn)化的圖像上執(zhí)行。在一些例子中��,被進(jìn)行邊緣檢測(cè)的圖像被使用并提供到光學(xué)字符識(shí)別引擎�����,以將被進(jìn)行邊緣檢測(cè)的圖像轉(zhuǎn)換成文本��。邊緣檢測(cè)可用于從圖片除去不必要的細(xì)節(jié),該細(xì)節(jié)可能在相對(duì)于其他圖像處理該圖像中造成低效率���。在步驟1555���,可應(yīng)用中值濾波。應(yīng)用中值濾波來(lái)除去隨機(jī)的像素噪聲�����。這樣的隨機(jī)像素可對(duì)圖像的內(nèi)容分析造成問(wèn)題��。中值濾波可幫助除去垃圾郵件發(fā)送者所引入的單像素類型的噪聲�。應(yīng)理解,單像素噪聲由垃圾郵件發(fā)送者使用圖像編輯器引入�,以改變圖像中的ー個(gè)或多個(gè)像素,這可使圖像在ー些區(qū)域中看起來(lái)呈顆粒狀的�,從而使圖像更難以檢測(cè)�����。在步驟1560��,量化圖像�����。圖像的量化除去不必要的顔色信息。這種顏色信息一般需要更多的處理�����,并與垃圾郵件的試圖傳播無(wú)關(guān)���。而且���,垃圾郵件發(fā)送者可稍微改變圖像中的顔色方案,并再次改變雜亂信息���,以便已知圖像垃圾郵件的雜亂信息不匹配從顏色變化的圖像垃圾郵件得出的雜亂信息�。在步驟1565�����,執(zhí)行對(duì)比度擴(kuò)展����。使用對(duì)比度擴(kuò)展,圖像中的顏色標(biāo)度從黑到白被最大化�����,即使顏色只在灰度陰影中變化也是如此。給圖像的最亮的陰影分配白值�����,而給圖像中最暗的陰影分配黑值��。與原始圖像中最亮和最暗的陰影相比����,給所有其它陰影分配他們?cè)诠庾V(spectrum)中的相對(duì)位置。對(duì)比度擴(kuò)展幫助限定圖像中可能沒(méi)有充分利用可用光譜的細(xì)節(jié)��,因而可幫助阻止垃圾郵件發(fā)送者使用不同部分的光譜來(lái)避免指紋識(shí)別技木�����。垃圾郵件發(fā)送者有時(shí)故意改變圖像的密度范圍�����,以使ー些類型的特征識(shí)別引擎無(wú)效���。對(duì)比度擴(kuò)展也可幫助標(biāo)準(zhǔn)化圖像��,以便它可與其它圖像比較���,以識(shí)別包含在圖像中的共同特征。圖1 是示出用于分析圖像的指紋以在多個(gè)圖像中找到共同片段的操作方案的流程圖�����。在步驟1570�,操作方案通過(guò)界定圖像內(nèi)的區(qū)域開始。接著對(duì)所界定的區(qū)域執(zhí)行風(fēng)選算法(winnowing algorithm),以識(shí)別圖像的相關(guān)部分,在步驟1575應(yīng)在該圖像上提取指紋��。在步驟1580���,操作方案對(duì)從風(fēng)選操作得到的片段進(jìn)行指紋識(shí)別�����,并確定在所接收的圖像和已知垃圾郵件圖像的指紋之間是否存在匹配���。在每個(gè)專利申請(qǐng)公布號(hào)2006/0251068中描述了類似的風(fēng)選指紋識(shí)別方法,該專利由此通過(guò)引用被并入�。
如這里在說(shuō)明書中使用的且在接下來(lái)的全部權(quán)利要求中,“一 (a) ”���、“ー個(gè)(an) ”和“所述(the)”的意思包括復(fù)數(shù)涵義�����,除非上下文另外清楚地指出�����。此外���,如這里在說(shuō)明書中使用的且在接下來(lái)的全部權(quán)利要求中����,“在...中”的意思包括����、“在...中”和“在...上”,除非上下文另外清楚地指出���。最后����,如這里在說(shuō)明書中使用的且在接下來(lái)的全部權(quán)利要求中,“和”和“或”的意思包括聯(lián)合的和分離的涵義�����,并可互換地使用��,除非上下文另外清楚地指出��。范圍可在這里表示為從“大約”ー個(gè)特定的值和/或到“大約”另ー特定的值����。當(dāng)表示這樣的范圍吋�����,另ー實(shí)施方式包括從ー個(gè)特定的值和/或到另ー特定的值�。類似地,當(dāng)值被表示為近似值時(shí)�,通過(guò)使用前面的“大約”,應(yīng)理解��,特定的值形成另ー實(shí)施方式�。應(yīng)進(jìn)一歩理解,每個(gè)范圍的端點(diǎn)相對(duì)于另一端點(diǎn)來(lái)說(shuō)是重要的�,并獨(dú)立于另一端點(diǎn)。描述了本發(fā)明的很多實(shí)施方式。然而�,應(yīng)理解,可進(jìn)行各種更改���,而不偏離本發(fā)明的實(shí)質(zhì)和范圍����。因此����,其它實(shí)施方式處于下面的權(quán)利要求的范圍內(nèi)。
權(quán)利要求
1.一種計(jì)算機(jī)實(shí)現(xiàn)的方法���,包括以下步驟: 為多個(gè)過(guò)濾器設(shè)置中的每一個(gè)識(shí)別值的范圍�,其中過(guò)濾器設(shè)置值為網(wǎng)絡(luò)中可能的安全危害的相關(guān)分類限定容忍度水平���; 使得在顯示 設(shè)備上呈現(xiàn)安全控制界面����,該安全控制界面包括多個(gè)圖形安全控件����,每個(gè)圖形安全控件代表該多個(gè)過(guò)濾器設(shè)置中的相應(yīng)的一個(gè)過(guò)濾器設(shè)置和該相應(yīng)的過(guò)濾器設(shè)置的對(duì)應(yīng)的值范圍�����; 基于與安全控制界面的該多個(gè)圖形安全控件中的對(duì)應(yīng)的一個(gè)圖形安全控件的用戶交互接收該多個(gè)過(guò)濾器設(shè)置中的特定的一個(gè)過(guò)濾器設(shè)置的值���; 基于所接收的值調(diào)整該特定過(guò)濾器設(shè)置���;以及 基于所調(diào)整的特定過(guò)濾器設(shè)置使得網(wǎng)絡(luò)中的通信被過(guò)濾�����。
2.根據(jù)權(quán)利要求1所述的方法�,其中所調(diào)整的被過(guò)濾的設(shè)置是特定用戶的被調(diào)整的過(guò)濾器設(shè)置并且適用于涉及該特定用戶的通信流���。
3.根據(jù)權(quán)利要求2所述的方法����,其中用戶交互與該特定用戶相關(guān)聯(lián)�。
4.根據(jù)權(quán)利要求1所述的方法,其中圖形安全控件包括可操作來(lái)被操縱以對(duì)應(yīng)于對(duì)應(yīng)過(guò)濾器設(shè)置的相應(yīng)范圍內(nèi)的值的多個(gè)交互式安全滑動(dòng)控件����。
5.根據(jù)權(quán)利要求1所述的方法,其中每個(gè)安全過(guò)濾器與多個(gè)可能的安全危害類別中的一個(gè)相關(guān)聯(lián)。
6.根據(jù)權(quán)利要求5所述的方法�����,其中該多個(gè)可能的安全危害類別包括病毒類別����、網(wǎng)絡(luò)釣魚類別、蠕蟲類別����、特洛伊木馬類別、垃圾郵件類別���、內(nèi)容類別����、間諜軟件類別���、或群發(fā)郵件類別��。
7.根據(jù)權(quán)利要求1所述的方法��,其中每個(gè)值范圍中的每個(gè)值指示可能的安全危害的對(duì)應(yīng)分類的相對(duì)過(guò)濾水平���。
8.根據(jù)權(quán)利要求1所述的方法�,其中該特定過(guò)濾器設(shè)置的值范圍是被限定的有限的值范圍���。
9.根據(jù)權(quán)利要求8所述的方法��,其中代表該特定過(guò)濾器設(shè)置并使得能夠調(diào)整該特定過(guò)濾器設(shè)置的圖形安全控件指示該特定過(guò)濾器設(shè)置的值范圍是有限的��。
10.根據(jù)權(quán)利要求8所述的方法,其中對(duì)該特定過(guò)濾器的值范圍的限制被隱藏在安全控制界面的呈現(xiàn)上���。
11.根據(jù)權(quán)利要求8所述的方法��,其中該特定過(guò)濾器設(shè)置的值范圍被限制以將值的選擇中的至少一個(gè)約束在該特定過(guò)濾器設(shè)置的被限定的最大值之上并且將值的選擇約束在該特定過(guò)濾器設(shè)置的被限定的最小值之下�。
12.根據(jù)權(quán)利要求8所述的方法����,其中該多個(gè)過(guò)濾器設(shè)置包括安全設(shè)置組和策略設(shè)置組,其中安全設(shè)置組中的每個(gè)過(guò)濾器設(shè)置的值范圍是相應(yīng)被限定的有限的值范圍�����。
13.根據(jù)權(quán)利要求12所述的方法�,其中策略設(shè)置組中的每個(gè)過(guò)濾器設(shè)置的值范圍是無(wú)約束的��。
14.根據(jù)權(quán)利要求1所述的方法����,其中使用在網(wǎng)絡(luò)中配置的多個(gè)安全代理來(lái)過(guò)濾該網(wǎng)絡(luò)����,并且所調(diào)整的特定過(guò)濾器設(shè)置支配在該多個(gè)安全代理中的至少一個(gè)特定安全代理的過(guò)濾。
15.根據(jù)權(quán)利要求14所述的方法����,其中特定安全代理的調(diào)整適用于特定用戶并且至少部分地使用該特定安全代理來(lái)過(guò)濾涉及該特定用戶的通信。
16.根據(jù)權(quán)利要求14所述的方法��,其中安全代理基于通信中涉及的至少一個(gè)實(shí)體的聲譽(yù)過(guò)濾所述通信����。
17.根據(jù)權(quán)利要求16所述的方法,其中特定實(shí)體的聲譽(yù)基于該特定實(shí)體和具有確定的聲譽(yù)得分的至少一個(gè)其它實(shí)體之間的被識(shí)別的屬性相似性����。
18.根據(jù)權(quán)利要求16所述的方法,其中該特定過(guò)濾器設(shè)置限定將被應(yīng)用于所述通信中所涉及的實(shí)體的聲譽(yù)的局部偏置�。
19.非臨時(shí)性的介質(zhì)中被編碼的邏輯,其包括用于執(zhí)行的代碼并且當(dāng)被處理器執(zhí)行時(shí)可操作來(lái)執(zhí)行包括下述步驟的操作: 為多個(gè)過(guò)濾器設(shè)置中的每一個(gè)識(shí)別值的范圍���,其中過(guò)濾器設(shè)置值為網(wǎng)絡(luò)中可能的安全危害的相關(guān)分類限定容忍度水平�; 使得在顯示設(shè)備上呈現(xiàn)安全控制界面,該安全控制界面包括多個(gè)圖形安全控件��,每個(gè)圖形安全控件代表該多個(gè)過(guò)濾器設(shè)置中的相應(yīng)的一個(gè)過(guò)濾器設(shè)置和該相應(yīng)的過(guò)濾器設(shè)置的對(duì)應(yīng)的值范圍��; 基于與安全控制界面的該多個(gè)圖形安全控件中的對(duì)應(yīng)的一個(gè)圖形安全控件的用戶交互接收該多個(gè)過(guò)濾器設(shè)置中的特定的一個(gè)過(guò)濾器設(shè)置的值����; 基于所接收的值調(diào)整該特定過(guò)濾器設(shè)置;以及 基于所調(diào)整的特定過(guò)濾器設(shè)置使得網(wǎng)絡(luò)中的通信被過(guò)濾�����。
20.一種系統(tǒng) ,包括: 至少一個(gè)處理器設(shè)備�; 至少一個(gè)存儲(chǔ)元件�;和 安全控制界面,其當(dāng)被該至少一個(gè)處理器設(shè)備執(zhí)行時(shí)適于: 呈現(xiàn)安全控制界面�,該安全控制界面包括多個(gè)圖形安全控件,每個(gè)圖形安全控件代表該多個(gè)過(guò)濾器設(shè)置中的相應(yīng)的一個(gè)過(guò)濾器設(shè)置和每個(gè)相應(yīng)的過(guò)濾器設(shè)置的對(duì)應(yīng)的值范圍���,其中過(guò)濾器設(shè)置值為可能的安全危害的相關(guān)分類限定容忍度水平����;以及 接受與圖形安全控件的用戶交互以識(shí)別對(duì)應(yīng)過(guò)濾器設(shè)置的用戶規(guī)定的值,其中過(guò)濾器設(shè)置的用戶說(shuō)明引起對(duì)過(guò)濾器設(shè)置的值的修改��; 適于根據(jù)該多個(gè)過(guò)濾器設(shè)置過(guò)濾網(wǎng)絡(luò)中的通信的安全代理���。
21.根據(jù)權(quán)利要求20所述的系統(tǒng)���,進(jìn)一步包括適于確定網(wǎng)絡(luò)中的通信中涉及的多個(gè)實(shí)體的聲譽(yù)的聲譽(yù)引擎,其中安全代理進(jìn)一步適于基于通信中涉及的實(shí)體的所識(shí)別的聲譽(yù)來(lái)過(guò)濾所述通信�����。
22.根據(jù)權(quán)利要求20所述的系統(tǒng)�����,其中使用安全控制界面調(diào)整過(guò)濾器設(shè)置將過(guò)濾器設(shè)置的調(diào)整應(yīng)用于不超過(guò)整個(gè)網(wǎng)絡(luò)��。
23.根據(jù)權(quán)利要求22所述的系統(tǒng)���,其中過(guò)濾器的設(shè)置的調(diào)整適用于涉及與該調(diào)整相關(guān)聯(lián)的特定用戶的通信�。
全文摘要
用于給通信實(shí)體分配聲譽(yù)的方法和系統(tǒng)包括從分布的代理收集通信數(shù)據(jù)���,匯聚通信數(shù)據(jù)�����,分析通信數(shù)據(jù)��,以及根據(jù)通信數(shù)據(jù)識(shí)別通信實(shí)體之間的關(guān)系��。
文檔編號(hào)H04L29/06GK103095672SQ201210348030
公開日2013年5月8日 申請(qǐng)日期2008年1月24日 優(yōu)先權(quán)日2007年1月24日
發(fā)明者D.阿爾佩羅維奇, T.富特-倫諾瓦, J.古爾德, P.格里夫, A.M.埃爾南德斯, P.朱格, S.克拉澤, T.朗格, P.A.施內(nèi)克, M.施特赫爾, Y.唐, A.J.N.特里維迪, L.L.維利斯, W.楊, J.A.齊齊亞斯基 申請(qǐng)人:邁可菲公司