基于被引用资源的概率分析检测不想要的电子邮件消息
2020-01-07

基于被引用资源的概率分析检测不想要的电子邮件消息

在一个实施例中,基于被引用资源的概率分析检测不想要的电子邮件消息包括:接收白名单和阻止列表,其各自包括多个已经出现在在先消息中的网络资源标识符;取得特定的网络资源标识符;生成针对该特定网络资源标识符的属性列表;使用属性训练概率过滤器;以及针对白名单和阻止列表中的所有网络资源标识符重复上述取得、生成和训练步骤。随后,当接收到电子邮件消息并且其包含URL或其他网络资源标识符时,可以通过利用经训练的概率过滤器测试网络资源标识符的属性来生成针对该消息的垃圾邮件得分或威胁得分。

网络链路420通常通过一个或多个网络向其他数据设备提供数据通信。例如,网络链路420可以通过本地网络422提供到主机计算机424或到由因特网服务提供商(ISP)426操作的数据设备的连接。ISP426进而通过全球分组数据通信网络(现在一般称之为“因特网”)428提供数据通信服务。本地网络422和因特网428都使用运载数字数据流的电、磁或光信号。运载数字数据到计算机系统400并且从计算机系统400接收数字数据的通过各种网络的信号和在网络链路420上并且通过通信接口418的信号具有示例性的传输信息的载波形式。

接收者/去往^

一般地,处理电子消息的方法的一个实施例包括接收消息,识别消息中的一个或多个网络资源标识符,建立到网络资源标识符所引用的资源的网络连接,取得被引用的资源,评价被引用的资源,并且基于被引用的资源判定消息是否包含威胁或代表垃圾邮件。

现在参考图I,威胁发送者100的身份和位置通常是未知的,该威胁发送者100被直接或间接耦合到公共网络102,并通常在电子消息或电子邮件中将消息发送到公共网络。消息被寻址到多个接收者或目的地,例如私有网络110中的计算机120A、120B、120C的用户的账户、威胁信息源104和威胁陷阱(trap)106。消息包括垃圾邮件,其包含诸如病毒之类的威胁,或包含呈现垃圾邮件内容或恶毒或有害的网络资源的网络标识符。

图2A是示出基于接收到的消息中的网络资源标识符来训练概率过滤器(probabilisticfilter)的一个实施例的高级概况的流程图;

图4是示出可以在其上实现实施例的计算机系统的框图。

2.3插件实施例

这里使用的术语“邮件服务器”包括消息传递网关107、邮件传送代理、邮件交换和接收并转发电子邮件消息的任何其他数据处理单元、服务器、软件或系统。

在一个特征中,该方法还包括接收第三网络资源标识符;使用经训练的概率过滤器来测试第三网络资源标识符并接收指示第三网络资源标识符与垃圾邮件或威胁相关联的概率的概率输出;当概率输出大于第一指定阈值时,将第三网络资源标识符添加到黑名单。

本发明一般地涉及网络数据通信。更具体而言,本发明涉及对不想要的电子邮件消息或与垃圾邮件(spam)、病毒(virus)或其他威胁(threat)相关的电子邮件消息的处理。

在实施例中,威胁信息处理器108包括HTTP服务132,其可以发布HTTP请求以获得网络资源150的拷贝、来自网站152的信息或存储在HTTP服务器中的其他网络可访问信

在步骤224中,与地址记录中的每个地址相关联的声誉得分或阻止列表被确定。在实施例中,包含来自地址记录的IP地址的查询被发布到声誉得分服务136,其回复以与该IP地址相关联的声誉得分值。针对与域相关联的多个IP地址的多个查询可以被发送。针对与在同一消息中被引用的多个域中的所有域相关联的多个IP地址的多个查询可以被发送。所产生的声誉得分值可以例如通过计算平均值来组合。可替换地,步骤224包括对照阻止列表检查地址。

肩、O

在运载一个或多个指令的一个或多个序列到处理器404以供执行时可以涉及各种形式的计算机可读介质。例如,指令最初可以在远程计算机的磁盘上运载。远程计算机可以将指令加载到其动态存储器中并利用调制解调器通过电话线将指令发送出去。位于计算机系统400本地的调制解调器可以在电话线上接收数据并使用红外发射器将数据转换成红外信号。耦合到总线402的红外检测器可以接收在红外信号中运载的数据并将数据放在总线402上。总线402将数据运载到主存储器406,处理器404从主存储器406取得并执行指令。由主存储器406接收的指令可以在被处理器404执行之前或之后被可选地存储在存储设备410上。

基于被引用资源的概率分析检测不想要的电子邮件消息

在一个实施例中,基于被引用资源的概率分析检测不想要的电子邮件消息包括:接收白名单和阻止列表,其各自包括多个已经出现在在先消息中的网络资源标识符;取得特定的网络资源标识符;生成针对该特定网络资源标识符的属性列表;使用属性训练概率过滤器;以及针对白名单和阻止列表中的所有网络资源标识符重复上述取得、生成和训练步骤。随后,当接收到电子邮件消息并且其包含URL或其他网络资源标识符时,可以通过利用经训练的概率过滤器测试网络资源标识符的属性来生成针对该消息的垃圾邮件得分或威胁得分。

I.O总体概述

因此,图2C的方法使得能够集成从声誉服务获得的信息以基于与在消息中找到的网络资源标识符相关联的声誉值来判定特定消息是否可能是垃圾邮件或与威胁相关联。

威胁发送者100可以获得来自公共来源、购买的电子邮件地址列表、在线张贴等的威胁陷阱106和计算机120A、120B、120C的网络地址。

在另一特征中,黑名单与先前识别出的阻止列表相分离。

如果是,则在步骤252中,消息传递网关107基于测试250的真实结果来修改威胁得分值。因此,当图2D在防垃圾邮件扫描的上下文中被实现时,步骤252可以包括增大垃圾邮件得分值以指示步骤246中的消息可能是“垃圾邮件”。

图4是示出可以在其上实现本发明的实施例的计算机系统400的框图。优选实施例是使用运行在诸如路由器设备之类网络元件上的一个或多个计算机程序来实现的。因此,在该实施例中,计算机系统400是路由器。

为了向您提供可能的最好服务,我们OnlinePaymentServices需要您与我们核实您的账户信息。如果您不核实您的账户信息,我们则将禁用您的账户。为了提供您的账户细节,请点击:http://onlinepayment.phishingscam.com,谢谢!

这里根据以下大纲来描述实施例:

通信接口418可被耦合到总线402,用于向处理器404传输信息和命令选择。接口418是传统的串行接口,例如RS-232或RS-422接口。外部终端412或其他计算机系统连接到计算机系统400并使用接口414向其提供命令。运行在计算机系统400中的固件或软件提供终端接口或基于字符的命令接口,以使得外部命令可以被提供到该计算机系统。

在实施例中,威胁信息处理器108包括网络标识符分析逻辑130,其包括实现这里结合图2A-图3描述的功能的一个或多个计算机程序或其它软件元件。

步骤218可以包括向外部信息服务(例如威胁信息源104或阻止列表140)报告网络资源标识符与垃圾邮件或威胁相关联。

现在参考图2B,在步骤210中,关于第三网络资源标识符的信息被接收。在实施例中,在步骤210中,威胁信息处理器108从消息传递网关107接收指示消息传递网关接收到包含特定网络资源标识符的一个或多个消息的通信。例如,该通信可能通过对在威胁信息处理器108中维护的服务器的DNS查询而发生。作为附加或替换,威胁信息处理器108在“SenderBase网络参与”协议下被链接到消息传递网关107,通过所述“SenderBase网络参与”协议,消息传递网关可以周期性地报告消息传递网关处理的数据。

此外,由于概率过滤器134是基于在消息中引用的网络资源的内容而非消息本身被训练的,因此概率过滤器不太可能在过滤具有无害的文本但是包含嵌入的递送“网络钓鱼”攻击或威胁的超级链接的消息时失败。

在步骤224中,与地址记录中的每个地址相关联的声誉得分或阻止列表被确定。在实施例中,包含来自地址记录的IP地址的查询被发布到声誉得分服务136,其回复以与该IP地址相关联的声誉得分值。针对与域相关联的多个IP地址的多个查询可以被发送。针对与在同一消息中被引用的多个域中的所有域相关联的多个IP地址的多个查询可以被发送。所产生的声誉得分值可以例如通过计算平均值来组合。可替换地,步骤224包括对照阻止列表检查地址。