专利名称:用于基于用户信誉过滤垃圾邮件消息的系统和方法
技术领域:
本发明涉及用于过滤消息的系统和方法,并且更具体地涉及基于用户报告来过滤消息。
背景技术:
任何因特网用户都熟悉垃圾邮件(SPAM)。因为SPAM的成本低,因此其通常是肆无忌惮的广告商的第一选择。最近的研究已经显示SPAM占据因特网上所有邮件流量的80%。通常地,SPAM是指大规模邮寄商业广告或其他广告给不希望接收到它们的收件人。最初,SPAM主要涉及电子邮件。然而,现在SPAM通过即时通讯工具、网站、社交网络、博客、网络论坛以及短信服务(SMS)和彩信服务(MMS)消息来发送。因此,SPAM已经成为严重的技术和经济问题。大容量的SPAM增加了数据通道上的负载并且增加了必须由用户支付的因特网流量。另外,人们将有效工作时间浪费在清理SPAM上。更进一步,由于SPAM消息的匿名性,因此SPAM的商业性越来越小并且经常被用于因特网欺诈阴谋。另外,SPAM可以用于传送恶意软件。SPAM经常用于尝试获得用户信用卡号码或在线银行系统密码的金融阴谋(例如,诸如“尼日利亚诈骗信(Nigerian letters)”)。网络钓鱼阴谋和恶意软件传送是如何使用SPAM的其他例子。因此,需要用于防止SPAM的装置。存在若干用于处理SPAM的方法。例如,黑名单方法使用黑名单来阻止来自黑名单中所标记的地址的消息。尽管该方法提供对来自列入黑名单的地址的消息的100%阻止,但是因为一些合法地址也在黑名单上,因此其会导致许多误报。另一种反SPAM(ant1-SPAM)方法使用在大规模邮件流中对同样的(或几乎同样的)消息进行检测的技术。有效的大规模邮件分析器要求极大容量的邮件。因此,该方法仅可以由非常大型的邮件提供者使用。该方法的明显缺点是大多数合法服务(例如,订阅新闻和更新)也使用大规模邮寄并且可能被误认为SPAM的来源。而另一种反SPAM方法是检查消息头。该方法对其消息头中存在一些典型错误的消息进行阻止,这些典型错误指示由机器人所生成的SPAM消息。该方法的缺点是随着SPAM生成机器人改进并且在消息头中更少犯错误时,其有效性降低。另一种反SPAM方法是灰名单方法。为每个传入消息生成具有特殊错误代码的拒绝(rejection)。然后,和标准邮件服务器不同,SPAM发送机器人不再尝试发送相同的消息。这被用作用于确定合法消息的标准。如果在某一时期内发送者重复尝试发送消息,则允许该消息并且将发送者存入白名单中。然而,由于所有消息的发送均延迟,因此该解决方案不能为很多用户所接受。而另一种反SPAM方法是使用特殊SPAM过滤器进行内容过滤,其对传入消息(包括图形消息)的所有部分进行分析。该分析允许形成SPAM词汇向量或计算消息的SPAM权重。基于这些参数来做出SPAM或非SPAM的裁决。这种反SPAM方法在专利号为7,836,061、名为“Method and system for classifying electronic text messages and spam messages(用于对电子文本消息和垃圾邮件消息进行分类的系统和方法)”的美国专利中公开。SPAM过滤器在创建和完善过滤规则的反SPAM实验室中配置。因为SPAM发送者不断的尝试克服由SPAM过滤器所创建的保护,因此修改和完善过滤规则的过程也在继续。SPAM过滤器的有效性取决于过滤规则的及时更新。如上所述,常规的反SPAM方法无法提供允许以100%有效性来阻止所有SPAM消息的解决方案。因此,需要有效的反SPAM解决方案,其不仅使用自动过滤规则更新,还基于由大量SPAM接收者所产生的统计来更新过滤规则。公开号为2010/0153394的美国专利公开文本公开了基于用户报告来更新过滤规贝U。消息由位于邮件服务器上的SPAM过滤器进行检查并且被发送给用户。每个用户可以发送与SPAM消息有关的报告至服务器。基于用户报告来改变SPAM过滤规则,因此下次检测到所报告的消息则对其进行阻止。在一些实施方案中,用户信誉数据库用于改变过滤规贝U。为了基于用户报告来改变过滤规则,系统确定用户信誉。用户信誉可以增加或减小,这取决于用户的SPAM报告的精确性和可靠性。专利号为7,373,385的美国专利公开了一种用于基于用户报告来识别SPAM的方法。所有的电子邮件用户均连接到共同的反垃圾邮件系统。当用户接收到SPAM时,用户可以将其报告给系统。然后,基于若干报告的数量和每个报告用户的可靠性系数来为每个电子邮件赋予等级。将等级与阈值进行比较,并且产生SPAM裁决。基于用户报告统计来计算用户可靠性系数。如果用户发送不可靠报告,其可靠性系数减小并且当计算电子邮件等级时不会考虑他的报告。专利号为7,937,468的美国专利旨在基于用户报告来减少SPAM裁决需要的时间。系统使用对初期用户报告和基于初期用户报告所估计的共同报告的统计分析,来确定消息是否包含SPAM。基于该估计和用户信誉来做出裁决。公开号2004/0177110的美国专利公开文本公开了用于使用用户报告来教导SPAM过滤器的方法。用户确定消息是否包含SPAM并且对其进行报告。基于用户报告来修改SPAM过滤规则。发明包括用户的交叉引用检查和删除没有通过检查的用户。常规系统通过基于用户的信誉而考虑每个单独用户的意见来增加过滤的有效性。基于用户报告的可靠性统计来计算用户信誉。虽然这个方法是有效的,但也具有某些缺点。首先,第一次报告SPAM的用户会具有低信誉,而不管他们的实际知识和专业技能。其次,为了估计用户专业技能的真实水平,对于该用户需要收集可靠性统计。这要求大量的用户报告,其花费较长的时间,尤其是当用户对已经通过初始自动过滤的、相对“干净的”消息进行处理时。因此,所有的常规系统都具有一个主要的缺点——用户差异化,其使得不能对实际的用户知识和专业技能做出真实的判断或精确估计。因此,在本领域中需要允许深入全面估计用户知识的系统和方法,其提供更有效的消息过滤。
发明内容
本发明涉及一种用于SPAM的检测的系统和方法,并且更具体地,涉及基于用户报告和信誉来过滤消息,其基本避免了相关技术的一个或多个缺点。在本发明的一个方面,提供了允许深入估计用户知识的系统和方法。很多客户端使用云服务。云服务系统基于用户信誉来提供更有效的消息过滤。确定在云服务系统内具有最好信誉的最胜任的用户。从这些用户接收SPAM报告到过滤规则修改系统中。更新规则并提供给云服务的所有用户。本发明附加的特征和优点将在以下描述中进一步阐述,并且在一定程度上将从描述中可以明显看出,或者可以通过本发明的实践获得。本发明的优点将通过本书面描述和权利要求及附图中所特别指出的结构来实现和得到。可以理解前述总体描述和以下详细描述都是示例性的和解释性的,旨在为所要求保护的本发明提供进一步解释。
附图示出了本发明的实施例并与描述一起用于解释本发明的原理,所述附图被包括以提供对本发明的进一步理解,且并入说明书中并构成说明书的一部分。在附图中:图1描绘了依据示例性实施例的简易的垃圾邮件过滤系统;图2示出用在示例性实施例中的云服务;图3示出依据示例性实施例的,过滤规则修改系统的架构;图4示出依据示例性实施例的,基于用户报告来进行过滤规则修改的方法的算法;图5示出依据示例性实施例的,客户端侧的SPAM过滤系统的架构;图6示出依据示例性实施例的,用于估计用户信誉的系统;图7示出依据示例性实施例的用户信誉数据库;图8示出依据示例性实施例的,用于估计用户信誉的方法的流程图;图9示出用于在作为云服务客户端的用户计算机上实现的发送通知的系统;图10示出可用于实现本发明的示例性计算机系统的示意图。
具体实施例方式现在将详细参考本发明的优选实施例,其示例在附图中示出。根据示例性实施例,提供用于基于用户报告来检测SPAM的方法和系统。根据所提出的方法,确定用户信誉并且将用户SPAM报告用于全面的SPAM检测。基于用户报告来完善和修改SPAM过滤规则并且提供给云服务的所有用户。图1示出简易的SPAM过滤系统,在该系统中由用户160来设置过滤规则。消息100 (例如,电子邮件、SMS或者MMS消息)被接收到SPAM过滤系统120的SPAM过滤器130中,该SPAM过滤系统120安装在用户160的计算机系统110上。根据示例性实施例,计算机系统110可以是PC或者移动设备(例如,笔记本、平板电脑或者移动电话)。SPAM过滤器130确定所接收的消息100的参数,并且与存储在过滤规则数据库140中的参数对照检查这些参数。如果消息100的参数与来自数据库140的参数相匹配,则针对消息100采取某一动作(例如,将消息置入隔离区,或者删除消息)。如果没有发现匹配,则发送消息100给用户160。然而,如果通过SPAM过滤系统120没有检测到消息100包含SPAM并且发送该消息给用户160,那么用户160可以通过规则更新模块150来改变数据库140中的过滤规则。因此,将来相同的或相似的SPAM消息将不会通过SPAM过滤器130。由于大部分SPAM通过大规模邮寄实现,因此可以收集由大量用户所接收和处理的SPAM消息的统计。根据示例性的实施例,给予用户发送SPAM报告到中央处理系统的机会。中央处理系统对报告进行分析并且改变在所有用户计算机110上的SPAM过滤系统120的过滤规则。因此,当用户组的一部分接收到同样的SPAM消息并且将其报告给中央处理系统时,在所有用户计算机110上的SPAM过滤系统120的过滤规则的更新保证组的其他用户将不会接收到相同的SPAM消息。根据示例性实施例,如图2中所描绘的,中央处理系统实现为云服务。云服务200示出为硬件资源(服务器)210,其对计算机110的用户是可用的。由于在高负载下的可扩展性,多个资源210使客户端-服务器系统更易于访问。如果一个资源210故障,因为虚拟服务器(VS)可以自动连接到备用源,因此这也降低了虚拟服务器故障的风险。图3示出根据示例性实施例的、过滤规则修改系统的架构。基于用户报告来完善和修改过滤规则。作为云服务200的客户端的计算机系统110的每个用户可发送SPAM检测报告到过滤规则修改系统300。SPAM报告将在下面图5的描述中详细的讨论。过滤规则修改系统300是云服务200的一部分。用户报告被接收到过滤规则修改系统300内的报告处理模块310中。报告处理模块310计算每个所报告消息的SPAM权重。基于针对该消息所接收到的SPAM报告的数量以及基于每个报告用户的信誉权重来计算消息的SPAM权重。信誉权重反映用户知识和可靠性。为了基于用户的知识和报告的可靠性来对所有用户分类,为每个用户计算信誉权重。将用于云服务所有客户端的信誉权重存储在用户信誉数据库320中。根据示例性实施例,与具有较低信誉权重的用户相比,来自具有高信誉权重的用户的SPAM报告将消息SPAM权重增加到更高的级别。在一个实施例中,可以设置信誉权重阈值,使得从具有低于阈值的信誉权重的用户所接收的报告不被考虑用于消息SPAM权重的计算。可选地,可基于信誉值来给高于阈值的信誉赋予权重(例如,为了计算SPAM权重,忽略信誉在50以下、可能的100之外的所有用户,而信誉例如为51的用户相比于信誉为95的用户具有较低的权重)。根据示例性实施例,根据特定的算法来实施基于用户SPAM报告的数量和基于每个报告用户的信誉权重的消息SPAM权重的计算。该算法可以使用模糊逻辑、仿真、神经网络、基向量法(参见例如,http:林en.wikipedia.0rg/wiki/Support_vector_machine)等。在计算出消息的SPAM权重后,将其数值与预设的阈值相比较。基于比较,报告处理模块310产生SPAM裁决。然后,基于SPAM裁决,报告处理模块310更新共同过滤规则数据库330。共同过滤规则数据库330包含具有基于SPAM裁决所指派的类别的消息的参数。随后,规则广播模块340将所更新的过滤规则从共同过滤规则数据库330发送到所有用户计算机系统110。因此,来自共同过滤规则数据库330的所更新的过滤规则迁移至用户计算机系统110上的过滤规则数据库140。
此外,如果大量用户报告某一消息为SPAM,但是报告处理模块310产生非SPAM裁决,那么为了减小每个发送了不可靠SPAM报告的用户的信誉权重,报告处理模块310更新用户信誉数据库320。同样的,如果报告处理模块310产生SPAM裁决,为了增加每个发送了可靠报告的用户的信誉权重,报告处理模块310更新用户信誉数据库320。图4示出依据示例性实施例的,用于基于用户报告来进行过滤规则修改的方法的算法。在步骤410,接收来自用户的SPAM报告。在步骤420,确定用户信誉权重。在步骤430,基于多个用户的信誉权重(针对那些就特定消息提交报告的用户)以及基于SPAM报告的总数来计算消息SPAM权重。在步骤440,如果超出SPAM权重阈值,则在步骤445改变过滤规则并且在步骤455广播给用户。随后,在步骤465,增加用户信誉权重。如果在步骤440没有超出SPAM权重阈值,则在步骤470,减小用户信誉权重。在步骤480,操作完成。注意,在示例性实施例中,使用SPAM作为可能的消息类别之一。然而,过滤规则修改算法可以和所过滤消息的其他类别一起使用。可替代地,系统可以具有两个消息类别——SPAM消息和受信消息。指示消息为SPAM的用户报告将增加这个消息的SPAM权重,并且如果消息属于受信消息类别则减小这个消息权重。除上述方法之外,基于其消息被识别为包含SPAM的参数,可以是发送者的唯一标识符。例如针对电子邮件来说这种唯一标识符是发送者的电子邮件地址。针对SMS和匪S消息来说,这种参数可以是发送者的移动电话号码。另外注意,在因特网上有可公开访问的资源,其被常规地更新并且包含列出了 SPAM消息发送者的唯一标识符的信息。因此,在该示例中,也可以通过使用搜索机器人(有时称为“网络爬虫”)一即旨在以搜索特定信息为目标而在因特网上扫描网页的程序,并且将其添加到数据库330,来更新过滤器规则数据库330中的信息。图5示出客户端侧SPAM过滤系统的架构。将消息100接收到安装在用户160的计算机系统110上的SPAM过滤系统120的SPAM过滤器130中。SPAM过滤器130确定所接收的消息100的参数,并与存储在过滤规则数据库140中的参数对照检查这些参数。如果消息100的参数与来自数据库140的参数匹配,则针对消息100采取某一动作(例如消息删除或者隔离)。如果没有发现匹配,则发送消息100给用户160。然而,如果通过SPAM过滤系统120没有检测到消息100包含有SPAM并且发送该消息到用户160,则用户160可以通过规则更新模块150来改变数据库140中的过滤规则。用户160也可以经由报告发送模块510发送SPAM报告到云服务200内的过滤规则修改系统300。根据示例性实施例,过滤规则修改系统300基于来自用户160的SPAM报告和来自云服务200的其他用户的报告来做出给定消息是否包含SPAM的决定。相应地,基于过滤规则修改系统决定来更新共同过滤规则数据库330。随后,这些改变会迁移至每个用户160的过滤规则数据库140中。注意,SPAM包含广告并且一些用户160可能想看它们。因此,来自共同过滤规则数据库330和来自过滤规则数据库140的规则可能不为该用户160所接受。因此,每个用户160可经由规则更新模块150来单独改变在其自己的SPAM过滤系统120的过滤规则数据库140中的规则。在已由用户160以单独方式(经由规则更新模块150)加以改变的过滤规则数据库140中的规则具有超过此前已从共同过滤规则数据库330迁移到数据库140中的规则的优先级。可替代地,过滤规则数据库140和共同过滤规则数据库330可以具有同样的过滤规则用于SPAM消息的不同类别。SPAM类别的示例可以是记账服务、管理课程、审计服务、医药产品等。对接收特定类别的SPAM消息感兴趣的用户160,可以经由规则更新模块150来针对消息的整个类别(而不仅仅是一个消息)而改变在数据库140中的过滤规则。可替代地(或另外地),为每个SPAM消息类别来计算用户信誉权重。因此,报告处理模块310基于指示特定类别的消息包含SPAM的用户报告的可靠性来改变用于该类别消息的用户信誉权重。该方法允许确定在每个消息类别中最胜任检测SPAM的用户。还应该注意,如今除文字类型的SPAM消息外,还存在所谓的“语音垃圾邮件”,其是这样的垃圾邮件种类:商业消息和类似类型的信息通过移动电话和固定电话以及有时通过IP电话被发送到不希望接收到它的用户,所述通过IP电话例如通过使用来自SKYPE、ICQ、QIP、mail.ru、雅虎即时通等的网络语音电话(VOIP)客户端。由于语音垃圾邮件通常实时发送,因此用于处理这样的垃圾邮件的仅有的现实机制是,如果发送者的标识符列入黑名单中,则阻止来自发送者的呼叫。在这种情况下,这种唯一标识符可以是呼叫者的电话号码或者发送者用于他的VOIP连接的唯一标识符。本发明可如何实现的一个示例是,当计算机110支持诸如VOIP的语音类连接时,也可以过滤语音垃圾邮件。在这种情况下,由接收到这样的语音垃圾邮件的发送者所发送的报告可以包含语音垃圾邮件发送者的唯一标识符。基于涉及语音垃圾邮件和特定的唯一发送者标识符的报告的数量,以及基于上面所描述的涉及用户知识和信誉的参数,处理方法310可以针对发送者的唯一标识符来计算语音垃圾邮件的垃圾邮件权重。如果所计算的垃圾邮件权重比阈值高,发送者的唯一标识符将被添加到存储在过滤规则数据库330中的黑名单。安装在计算机110上的垃圾邮件过滤系统120,将通过阻止来自在黑名单中发现其唯一标识符的订阅者的传入呼叫来过滤语音垃圾邮件。还注意,类似于上面描述的方法,还可以通过使用搜索机器(search bots)(网络爬虫)来进行黑名单的更新。在图3和图4中所描绘的系统可以并不虑及估计用户知识的真实水平。该问题通过图6所描绘的系统来纠正,其示出用于用户信誉估计的系统。该系统虑及用户知识的深入估计,其比基于该用户SPAM报告的可靠性进行估计更全面。根据示例性实施例,也可以基于反映由用户在其自己的计算机系统上所执行的反SPAM动作的数据来估计用户信誉。例如,这样的数据可以是用户反SPAM过滤器的配置细节的级别、涉及使用反SPAM过滤器的持续时间的数据、或反映用户从打开消息的时间点直到发送关于该消息的SPAM报告的所花费时间周期的数据。另外,也可以基于间接地表现用户反SPAM活动的特性的信息来估计用户信誉。这样的信息可以是,例如,与由用户所发送和接收的消息的数量有关的信息。此外,SPAM过滤系统是用户AV应用的一部分,所述用户AV应用包括诸如文件反病毒、web反病毒、防火墙、反网络钓鱼模块、更新模块等其他模块。因此,可通过涉及AV应用的整个模块集的用户动作来确定用户知识和能力。这样的信息的示例可以是AV应用的配置细节的级别、使用AV应用的持续时间、或者所检测到的恶意软件对象的数量。用于估计用户信誉的附加数据可以是计算机系统配置细节的级别、使用计算机系统的持续时间、键盘使用的动态特性,所安装的应用、网络设定、非默认端口设定、和反映由用户所访问的网站的数据。可根据用户特性来配置信誉规则。例如,信誉规则数据库可以包含两个规则:-如果用户计算机已经安装儿童游戏,那么用户信誉权重减小5(从例如最大值100中——注意,信誉权重可以按绝对值改变例如改变5,或者按相对值改变即百分比,或者差分地改变例如,如果用户当前信誉权重为90并且正常增加值是5,对他来说,该增加值将是2。作为进一步可替代的,满足特定规则意味着信誉设置为100);-如果用户计算机已经安装一些软件开发工具,那么用户信誉权重增加10。如果用户A已经安装游戏并且用户B已经安装开发工具,那么用户B的信誉权重将比用户A的高15。注意,用户A和B都可以于不同账号下在同一个计算机系统上工作。然而,如果游戏和开发工具被同一个用户所安装并使用,则该用户的信誉权重将计算为+10-5=5。根据示例性实施例,具有较高信誉权重的用户报告比那些具有低权重的用户报告更显著地增加消息的SPAM权重。也就是说,来自具有信誉权重为92的用户的报告比具有信誉权重为21的用户报告使消息的SPAM权重增加得更多。使用阈值,因此具有低于阈值的信誉权重的用户的报告不会被考虑用于计算消息SPAM权重。如上面描述,来自其他用户的报告作为考虑因素。例如,阈值设置于50。用户A信誉权重是21、用户B信誉权重是51以及用户C是93。那么,用户A的报告低于阈值并且不被考虑。来自用户B的报告将比来自用户C的报告更显著地增加消息SPAM权重。可替代地,在消息SPAM权重的计算中不考虑来自所有具有低于阈值的信誉权重的用户的报告,并且对来自其他用户的报告同等地予以考虑。因此,在示例性实施例中,为了具有对用户信誉的最客观的估计,反映与计算机安全相关的用户活动的所有数据均予以考虑。在图6中描绘了用户信誉估计系统。用户信誉估计系统600是云服务200的一部分。用户信誉估计系统600包括用户信誉计算模块610。用户信誉计算模块610接收由计算机系统110的用户所实施的活动的通知,其中计算机系统110作为云服务200的客户端。通知包含评估用户信誉所需要的用户ID和反映用户动作的数据。用户ID可以是AV应用的标识或者是SPAM过滤系统的标识、用于某些应用数据的用户许可、以及移动设备的国际标识符(如果在移动装置上使用系统的话)。可以在用户实施某些动作后从计算机系统110发送通知,或者其可以被周期性地在设置的时间间隔后发送。在接收到动作的通知后,用户信誉计算模块610与异常动作数据库620对照检查通知中所描述的用户动作。异常动作数据库620包含反映用户为了增加其信誉而可能实施的“欺骗”动作的数据。这样的动作的示例可以是涉及AV应用的过多的用户活动。其他“欺骗”动作的示例如下所述。因此,作为一种选择,如果这样的用户动作的数量低于阈值,则与异常动作数据库620中的数据相匹配的用户动作不会被用户信誉计算模块610考虑用于用户信誉计算。然后,基于所有其他(即,正常)用户动作来计算用户信誉权重。信誉规则数据库630包含反映出需要基于特定动作而做出适当的用户信誉改变的数据。可替代地,任何异常活动的证据均可用于影响用户信誉。用户信誉计算模块610在信誉规则数据库630中查找与所接收的通知中所描述的用户动作相对应的数据。如果发现相应的信誉规则,则用户信誉计算模块610根据该信誉规则对过滤规则修改系统300内的用户信誉数据库320中的用户信誉权重进行更新。用户信誉估计系统600的管理员可以使用规则定义模块640来对信誉规则数据库630中的信誉规则以及异常活动数据库620中的数据进行更新。为了向用户系统110告知在通知中什么动作需要登记,所登记动作广播模块650从信誉规则数据库630中检索数据。图7示出示例性的用户信誉数据库630。规则定义模块640指派某一类别和规则给每个用户动作(与AV处理相关)。然后,可以根据规则对用户信誉数据库320中用户信誉权重增加或减小某一值。图8示出用于估计用户信誉的方法的流程图。在步骤810,接收用户动作的通知。对于该示例性情况,通知仅包含关于一个用户动作的信息。注意,如果通知包含关于多个用户动作的信息,则循环重复方法的步骤。在步骤820,确定关于用户动作的信息。然后,在步骤830,过程在异常动作数据库中搜索匹配的用户动作。如果在步骤840发现匹配,则在步骤880任务完成。如果在步骤840没有发现匹配,则在步骤850,该过程在信誉规则数据库中搜索匹配的用户动作。然后,如果在步骤860发现匹配的规则,则在步骤870根据所发现的规则改变信誉权重。在步骤880,任务完成。图9示出用于在作为云服务200的客户端的用户计算机110上实现的发送通知的系统。在用户160的计算机系统110上实现通知系统900,该计算机系统110是云服务200的客户端。通知系统900包括所登记用户动作数据库930,其从用户信誉估计系统600接收(用于存储)需要登记用于通知的用户动作。用户动作登记模块910访问所登记动作数据库930,并且监控用户160的动作,该动作由用户在工作于计算机系统110上特别是与AV应用940 —起工作时所实施。SPAM过滤系统120可以包括在AV模块940中或者可以实现为单独的模块。如果用户160实施了在所登记动作数据库930中有相应数据的动作,则用户动作登记模块910登记该动作并将动作相关的信息传递给通知发送模块920。通知发送模块920基于接收到的信息形成用户动作的通知并发送通知给用户信誉估计系统600。根据示例性实施例,影响用户信誉的因素有:-启动默认关闭的AV应用的附加模块;-为每个模块增加安全配置设定;-增加预定的AV扫描的频率;-增加AV数据库更新的频率;-反SPAM和家长控制数据的定期更新;-用户使用AV应用的持续时间;-系统扫描请求;-外部媒介的扫描;-在用户系统上检测恶意软件的频率;-用户采用增加网上冲浪安全的附加浏览器小应用程序(例如,WOT指示站点信誉);-为了增加安全性而改变浏览器设定(例如,关闭脚本执行、弹出式拦截器的激活、网络钓鱼过滤器的激活、限制ActiveX控件、和关闭cookie和密码的保存);-所访问网站的主题;以及-在用户系统上所启动的应用的类型(B卩,游戏、多媒体应用、软件开发工具、编译工具等)。异常用户动作的示例(B卩,为增加用户等级而做出的篡改用户报告的证据)为:-用户过快地分类信息(例如,在几毫秒量级,或者不到四分之一秒——在理论上,人类阅读和分类消息与他能理解消息性质相比不会更快——“过快”参数也可以是基于用户分类消息所花费的平均时间);-用户太频繁地分类消息,例如,每秒I个到10个消息,以明确地指示异常的范围的较闻端;-用户在异样的或不正常的时间分类消息(例如,在晚上,或者凌晨I到4点之间);-当用户实施一些动作时,没有检测到按压键盘键和鼠标点击。-应用未激活,但是用户发送指示其使用的报告;-AV界面未打开,但是用户发送指示AV应用的使用的报告;-AV扫描未实施,但是用户报告指示相反;-应用未启动(基于来自任务管理器的信息),然而用户报告指示应用启动;-防火墙未检测到网络攻击,然而用户报告指示相反;和-太频繁地请求AV扫描(在AV扫描之间时间短,诸如扫描之间少于半小时,或者在当前一个AV扫描完成之前开始AV扫描)并且没有合理原因说明异常。基于上面列出的因素和异常的活动,可确定最胜任的用户用于修改由SPAM过滤系统120所定义的过滤规则。可基于来自这些用户的报告进行修改。提供所更新的规则给云服务200的其他客户端。参考图10,用于实现本发明的示例性系统包括以计算机110形式或者类似形式的通用计算设备,其包括处理单元21、系统存储器22和将包括系统存储器的各种系统部件耦连到处理单元21的系统总线23。系统总线23可以是几种类型的总线结构中的任何一种,总线结构包括使用各种总线架构中任何一种的存储器总线或者存储器控制器、外围总线和本地总线。系统存储器包括只读存储器(ROM) 24和随机存取存储器(RAM) 25。基本输入/输出系统26 (BIOS)存储在R0M204中,其包含诸如在启动阶段有助于在计算机110内的元素之间传递信息的基本例程。计算机110可以进一步包括用于读出和写入未示出的硬盘的硬盘驱动器27、用于读出和写入可移动磁盘29的磁盘驱动器28、和用于读出和写入诸如⑶-ROM、DVD-ROM或其他光学媒介的可移动光盘31的光盘驱动器30。硬盘驱动器27、磁盘驱动器28和光盘驱动器30分别由硬盘驱动器接口 32、磁盘驱动器接口 33和光驱动器接口 34连接到系统总线23。驱动器和其相关联的计算机可读媒介为计算机可读指令、数据结构、程序模块和用于计算机110的其他数据提供非易失性存储。尽管本文描述的示例性环境采用硬盘、可移动磁盘29和可移动光盘31,但本领域的技术人员应该理解,在示例性操作环境中也可以使用可由计算机所访问的、可存储数据的其他类型计算机可读媒介,诸如磁带、闪存卡、数字视频盘、伯努利盒、随机存取存储器(RAM)、只读存储器(ROM)和类似物。大量程序模块可以存储在硬盘、磁盘29、光盘31、R0M24或者RAM25上,包括操作系统35。计算机110包括与操作系统35相关联或包括在其内的文件系统36、一个或者多个应用程序37、其他程序模块38和程序数据39。用户可以通过诸如键盘40和定位设备42的输入设备来将命令和信息输入到计算机HO中。其他输入设备(未示出)可以包括麦克风、操纵杆、游戏垫、卫星天线、扫描仪或类似物。这些或者其他输入设备通常通过耦连到系统总线的串行端口接口 46连接到处理单元21,但是也可以通过诸如并行端口、游戏端口或通用串行总线(USB)的其他接口连接。监视器47或者其他类型的显示设备还经由诸如视频适配器48的接口连接到系统总线23。除监视器47以外,个人计算机通常包括其他外围的输出设备(未示出),诸如扬声器和打印机。使用到一个或多个远程计算机49的逻辑连接,计算机110可以操作在经联网环境中。远程计算机(或计算机们)49可以是另一台计算机、服务器、路由器、网络PC、对等设备或者其他共同网络节点,并且通常包括上面所描述的与计算机110有关的很多或所有的元素,尽管仅示出存储器存储设备50。逻辑连接包括局域网(LAN) 51和广域网(WAN) 52。在办公室、企业范围的计算机网络、企业内联网和互联网中这样的联网环境是常见的。当使用在局域网(LAN)联网环境中时,计算机110通过网络接口或者适配器53连接到本地网络51。当使用在广域网(WAN)联网环境中时,计算机110通常包括调制解调器54或者其他装置用于通过诸如因特网的广域网建立通信。调制解调器54可以内置或外置,经由串行端口接口 46连接到系统总线23。在经联网的环境中,关于计算机110或其部分所描述的程序模块可以存储在远程存储器存储设备中。将理解,所显示的网络连接是示例性的并且可以使用在计算机之间建立通信链路的其他装置。本文已经描述了优选实施例,本领域技术人员应该理解,所描述方法和装置某些优点已经达到。具体地,本领域技术人员将理解,所提出的系统和方法基于用户报告提供有效的SPAM过滤,同时考虑到用户信誉。还应该理解,在本发明的范围和精神内可以做出各种修改、适应和其替代实施例。本发明由下面的权利要求进一步定义。
权利要求
1.一种用于更新用于由多个用户所接收的消息的过滤规则的计算机实现的方法,所述方法包括: 在过滤规则数据库中存储用于所述多个用户的过滤规则; 分配所述过滤规则给所述多个用户; 在用户信誉数据库中存储用于所述多个用户的每一个的信誉权重;以及 对指示消息属于特定类别的用户报告进行接收和处理,其中用于处理的装置包括: (i)基于从多用户所接收的报告的数量和那些用户的信誉权重来计算在其类别中的消息权重, (ii)如果所述消息权重超出预定义阈值,则决定所述消息是否属于所述特定类别, (iii)基于所述决定来更新所述过滤规则数据库中的所述过滤规则,以及 (iv)将所更新的过滤规则从所述过滤规则数据库分配给所述多个用户。
2.根据权利要求1所述的方法,其中所述接收和处理进一步包括,在客户端侧: 发送所述用户报告; 维护过滤规则的本地数据库; 基于所述本地数据库中的所述过滤规则来过滤传入的消息;以及 基于所述所更新的过滤规则来修改所述本地数据库中的所述过滤规则。
3.根据权利要求1所述的方法,进一步包括基于用户输入来改变所述本地数据库中的所述过滤规则。
4.根据权利要求1所述的方法,其中计算所述用户的所述信誉权重包括: 基于当用户实施动作时改变哪些所述信誉权重来设置定义用户动作的规则; 维护所述用户动作的数据库并且将修改对应到用户信誉权重; 分配在客户端侧登记所述用户动作所需的定义用户动作的规则; 基于定义用户动作的规则来在客户端侧登记用户动作; 发送所登记的用户动作的通知; 基于所接收的所述用户动作的通知来计算信誉权重并且基于所述修改来改变相应用户的所述信誉权重。
5.根据权利要求1所述的方法,进一步包括在异常用户动作数据库中存储负面影响所述用户的所述信誉或者不影响所述用户的所述信誉的用户动作。
6.根据权利要求5所述的方法,其中异常用户动作的数量在负面影响所述用户的所述信誉之前需要超出阈值。
7.根据权利要求1所述的方法,进一步包括基于由用户之前所发送的用户报告的可靠性来改变用户信誉。
8.根据权利要求1所述的方法,进一步包括为每个消息类别计算单独的用户信誉。
9.根据权利要求8所述的方法,其中所述处理装置基于用户报告的数量和在该消息类别中的用户信誉来为每个消息计算消息权重。
10.根据权利要求1所述的方法,其中所述处理步骤仅使用从具有高于预定义阈值的信誉权重的用户所接收的那些用户报告。
11.根据权利要求1所述的方法,其中所述分配基于具有最高信誉权重的用户的子集仅分配所更新的过滤规则。
12.根据权利要求1所述的方法,其中所述特定类别包括垃圾邮件消息。
13.根据权利要求1所述的方法,其中所述特定类别包括语音垃圾邮件消息。
14.根据权利要求13所述的方法,其中所述用户报告包括所述语音垃圾邮件消息发送者的唯一标识符,以及其中所述过滤规则数据库存储语音垃圾邮件发送者的黑名单的唯一标识符,以及其中当发送者的垃圾邮件权重超出预定义阈值时,所述用于处理的装置将他们添加到所述黑名单。
15.根据权利要求1所述的方法,其中基于针对关于垃圾邮件发送者的信息而扫描网页的搜索机器人的输出来更新 所述过滤规则数据库中的所述规则。
全文摘要
一种用于更新用于由多个用户所接收的消息的过滤规则的系统,包括存储用于多个用户的过滤规则的过滤规则数据库;用于分配过滤规则给多个用户的装置;包括用于多个用户的每一个的信誉权重的用户信誉数据库;和用于对指示消息属于特定类别的用户报告进行接收和处理的装置。用于接收的装置(i)基于从多个用户所接收的报告的数量和这些用户的信誉权重来计算在其类别中的消息权重,(ii)如果消息权重超出预定义阈值,则决定该信息是否属于特定类别,(iii)基于决定来更新过滤规则数据库中的过滤规则,以及(iv)使用用于分配的装置将所更新的过滤规则从过滤规则数据库分配给多个用户。
文档编号G06F17/30GK103198123SQ201310115340
公开日2013年7月10日 申请日期2013年4月3日 优先权日2012年4月6日
发明者维克托·V·亚布洛科夫, 安东·V·季霍米罗夫, 弗拉季斯拉夫·V·马丁年科 申请人:卡巴斯基实验室封闭式股份公司