專利名稱:對(duì)電子通訊中可能的錯(cuò)誤拼寫(xiě)地址的啟發(fā)性檢測(cè)方法
技術(shù)領(lǐng)域:
本發(fā)明的實(shí)施例是有關(guān)信息泄露管理與電子通訊的。特別是,涉及對(duì)電子
郵件(email灘息的掃描以識(shí)別已知域名的錯(cuò)誤拼寫(xiě)的方法。
背景技術(shù):
電子郵件(email)為當(dāng)今社會(huì)不可或缺的事物。機(jī)密和/或敏感業(yè)務(wù)、醫(yī)療 或個(gè)人信息通過(guò)互聯(lián)網(wǎng)進(jìn)行日常交換,公司有必要(有時(shí)甚至是一項(xiàng)法律義務(wù)) 保護(hù)這些信息。信息泄露管理(ILM: Information Leak Management)是一項(xiàng)防 止敏感信息被意外(甚至故意)復(fù)制到預(yù)期范圍之外的措施。
域名搶注(cybersquatting)是指注冊(cè)一項(xiàng)與某一產(chǎn)品或服務(wù)相關(guān)的域名, 而該注冊(cè)人并不擁有或提供所述的產(chǎn)品或服務(wù)的一種行為,域名搶注通常伴有 以營(yíng)利為目的的域名轉(zhuǎn)賣。同時(shí),域名搶注者還可能將一些其它的內(nèi)容放在網(wǎng) 絡(luò)中,例如廣告性質(zhì)的網(wǎng)頁(yè)。有時(shí)域名搶注者甚至可能試圖通過(guò)這樣的網(wǎng)站出 售競(jìng)爭(zhēng)對(duì)手的產(chǎn)品。在某些情況下,這樣的網(wǎng)站可能用以試圖在訪問(wèn)該網(wǎng)站的 計(jì)算機(jī)設(shè)備中安裝惡意軟件。
在一些情況下,域名搶注者注冊(cè)某公司名稱的一個(gè)錯(cuò)誤拼寫(xiě)域名或變異域 名。域名搶注者們的意圖無(wú)法預(yù)知。例如www.starbucks.com這樣的一公司的 網(wǎng)址,在2007年6月,訪問(wèn)http: 〃www.starbcks.com/將再指向到充斥著競(jìng) 爭(zhēng)品牌的咖啡廣告的進(jìn)入頁(yè)面;然而,http://www.starbuks.com/則指向到 http:〃www.iphones.com/, 而http:〃www.starbucks.net貝U指向VeriSign的一個(gè)廣 告占位符。
使用電子郵件時(shí),用戶通常手動(dòng)鍵入目標(biāo)地址信息。如此,便產(chǎn)生了用戶 錯(cuò)誤拼寫(xiě)的可能性。如果用戶指定的電子郵件地址不存在,通常這樣會(huì)造成該 電子郵件"彈回"。如此,該郵件將不會(huì)傳送到任何人且會(huì)向發(fā)件人返回一通 知。但是,不道德的域名搶注者非??赡芤栽撟儺愑蛎⒁粋€(gè)郵件服務(wù)器, 并配置該郵件服務(wù)器在該域名處接收發(fā)送至任何地址的電子郵件。這種情況下,域名搶注者可以在互聯(lián)網(wǎng)絡(luò)中捕捉到向真實(shí)用戶發(fā)送的合法郵件。
并且,拼寫(xiě)錯(cuò)誤或變異(例如以氣net替代氣com)的域名可能與真實(shí)的域 名非常相似,以至于用戶可能無(wú)法注意到二者之間的差別。相同的伎倆可以獲 取發(fā)向該變異域名的電子郵件并可以自該變異域名發(fā)送出郵件。這些信息不會(huì) 觸發(fā)大多數(shù)的基本垃圾郵件檢測(cè)規(guī)則(例如,查看該域名是否存在)。如果這 些伎倆可以使郵件收件人確信騙子是該域名的實(shí)際使用者,那么這些伎倆的操 作者可能會(huì)誘使收件人泄露其他的敏感或機(jī)密信息。
由此可見(jiàn),檢測(cè)可疑電子信息的方法與系統(tǒng),例如檢測(cè)那些包含拼寫(xiě)錯(cuò)誤 和/或故意誤導(dǎo)的郵件地址的或從拼寫(xiě)錯(cuò)誤和/或故意誤導(dǎo)的郵件地址發(fā)出的郵 件的方法與系統(tǒng),是非常必要的。
發(fā)明內(nèi)容
本發(fā)明所述的檢測(cè)可疑電子通訊的方法與系統(tǒng),例如檢測(cè)包含拼寫(xiě)錯(cuò)誤和 /或故意誤導(dǎo)的郵件地址的或發(fā)源于或可能來(lái)源于拼寫(xiě)錯(cuò)誤和/或故意誤導(dǎo)的郵 件地址的電子郵件(email)信息的方法與系統(tǒng)。根據(jù)本發(fā)明的一實(shí)施例,將一電 子信息進(jìn)行掃描以判別該電子信息中是否包含一個(gè)或多個(gè)可疑地址,或代表一 可疑的流量模式(traffic pattem)。如果辨別出該電子信息中包含有一個(gè)或多個(gè) 可疑地址或表示一個(gè)可疑的流量模式,那么將根據(jù)與可疑電子通訊有關(guān)的一電 子信息安全策略對(duì)該電子通訊信息進(jìn)行處理。
在上述實(shí)施例中,該電子通訊信息可以為一 電子郵件(email)信息。 在上述實(shí)施例的各種表述中,掃描該電子通訊信息以識(shí)別該電子通訊信息 是否包含一個(gè)或多個(gè)可疑地址的操作可能涉及令該電子郵件信息中包含的一 電子郵件地址與本地或遠(yuǎn)程的一或多個(gè)目標(biāo)域名的可能錯(cuò)誤拼寫(xiě)的一靜態(tài)名 單進(jìn)行比較。
在上述各種實(shí)施例中,檢測(cè)可疑電子通訊信息可以進(jìn)一歩包括,通過(guò)對(duì)一 項(xiàng)或多項(xiàng)郵件流量與其他網(wǎng)絡(luò)流量的監(jiān)控,生成被監(jiān)測(cè)的電子郵件地址或域名 的名單。在這樣的情況下,對(duì)該電子通訊信息進(jìn)行掃描以識(shí)別該電子通訊信息 是否包含一個(gè)或多個(gè)可疑地址的操作可以涉及將包含于該電子郵件信息中的 一電子郵件地址識(shí)別為該名單中一被監(jiān)測(cè)的電子郵件地址或域名的一可能的 誤拼寫(xiě)。在上述實(shí)施例的各種表述中,檢測(cè)可疑電子通訊信息還可以進(jìn)一步包括, 將第一次掃描的結(jié)果與將該電子郵件地址在一本地或遠(yuǎn)程數(shù)據(jù)庫(kù)査詢獲得的 結(jié)果進(jìn)行交叉查看。
在上述實(shí)施例中,所述數(shù)據(jù)庫(kù)可以是一第三方或外部統(tǒng)一資源定位符
(URL)分類數(shù)據(jù)庫(kù)。
在上述各種實(shí)施例中,檢測(cè)可疑電子通訊信息可以進(jìn)一步包括根據(jù)人工輸 入模式計(jì)算可能的錯(cuò)誤拼寫(xiě),生成一或多個(gè)目標(biāo)域名的可能拼寫(xiě)錯(cuò)誤的一名 單。這種情況下,掃描電子通訊信息以識(shí)別該電子通訊信息是否包含一個(gè)或多 個(gè)可疑地址的操作中可以涉及將包含于該電子郵件信息中的一電子郵件地址 與該可能的拼寫(xiě)錯(cuò)誤名單相比較。
在上述實(shí)施例的各種表述中,對(duì)電子通訊信息進(jìn)行掃描以識(shí)別該電子通訊 信息是否包含一個(gè)或多個(gè)可疑地址的操作可以涉及在運(yùn)行時(shí)間內(nèi)根據(jù)一項(xiàng)或 多項(xiàng)啟發(fā)性規(guī)則計(jì)算該電子郵件信息中包含的一電子郵件地址的一錯(cuò)誤拼寫(xiě)
、:上述實(shí)施例的各種表述中,檢測(cè)可疑電子信息還進(jìn)一步包括使用一個(gè)或 多個(gè)貝葉斯過(guò)濾器過(guò)濾該電子郵件信息或該電子郵件的部分郵件信息。 在上述實(shí)施例中, 一個(gè)或多個(gè)貝葉斯過(guò)濾器可以包括以下一個(gè)或多個(gè)部
分基于被檢測(cè)的電子郵件流量的流量分析的一全局?jǐn)?shù)據(jù)庫(kù);基于針對(duì)一特定
電子郵件服務(wù)器的被檢測(cè)的電子郵件流量的流量分析的一單服務(wù)器數(shù)據(jù)庫(kù);以 及基于針對(duì)一特定用戶電子郵件帳戶的被檢測(cè)的電子郵件流量的流量分析的 單用戶數(shù)據(jù)庫(kù)。
在上述實(shí)施例的各種表述中,對(duì)可疑電子信息的檢測(cè)可以進(jìn)一步包括跳過(guò) 由黑名單或白名單識(shí)別出的可疑地址。
在上述各種實(shí)施例中,對(duì)可疑電子信息的檢測(cè)還可以進(jìn)一步包括通過(guò)監(jiān)控 郵件流量生成一流量分析配置文件。這種情況下,如果一電子郵件的一源郵件 地址或一目標(biāo)地址的一個(gè)或多個(gè)與流量分析配置文件中的一常規(guī)郵件的流量 模式不相符,則該郵件信息可以被判定為含有一或多個(gè)可疑地址。
在上述多個(gè)實(shí)施例中,該電子信息可以是一向內(nèi)的電子郵件信息。
在上述多個(gè)實(shí)施例中,掃描該電子信息以識(shí)別該電子信息是否包含一個(gè)或 多個(gè)可疑地址的操作可以包括評(píng)估與該電子郵件信息的一收件人有關(guān)的一友
7好名稱。
在上述實(shí)施例的各種表述中,對(duì)可疑電子通訊信息的檢測(cè)操作可以由一郵
件過(guò)濾器(milter) —體化或分部執(zhí)行。
在上述實(shí)施例中,對(duì)可疑電子信息的檢測(cè)可以同反垃圾郵件操作、反網(wǎng)絡(luò) 釣魚(yú)(anti-phishing)操作、反病毒操作與其他郵件安全功能中的一個(gè)或多個(gè) 同時(shí)執(zhí)行。
在上述各種實(shí)施例中,所述掃描的一項(xiàng)結(jié)果可以是應(yīng)用于反垃圾郵件處 理、反網(wǎng)絡(luò)釣魚(yú)(anti-phishing)處理、反病毒操作與其他郵件安全功能中的 一個(gè)或多個(gè)的數(shù)字形式的分?jǐn)?shù)。
在上述各種實(shí)施例中,根據(jù)與可疑電子信息有關(guān)的一電子信息安全策略處 理該電子信息的操作可以涉及對(duì)一事件進(jìn)行日志記錄、丟棄該電子郵件信息、 隔離該電子郵件信息、將該電子郵件信息標(biāo)記為垃圾郵件、將該電子郵件信息 標(biāo)注為可能的釣魚(yú)信息、警告一終端用戶存在一個(gè)或多個(gè)可疑地址中的一項(xiàng)或 多項(xiàng)操作。
本發(fā)明的其他實(shí)施例提供一網(wǎng)絡(luò)設(shè)備,其包括一存儲(chǔ)設(shè)備與一個(gè)或多個(gè)處 理器。該存儲(chǔ)設(shè)備中存儲(chǔ)了一郵件過(guò)濾器(milter)程序,配置用以識(shí)別與一電子 郵件信息有關(guān)的一電子郵件地址的可疑度。一個(gè)或多個(gè)處理器與該存儲(chǔ)設(shè)備連 接,配置用以執(zhí)行該電子郵件過(guò)濾器程序,從而實(shí)現(xiàn)對(duì)電子郵件地址的郵件流 量掃描,其中如果一郵件信息被識(shí)別為含有一個(gè)或多個(gè)可疑郵件地址,則將根 據(jù)一相應(yīng)的電子郵件安全策略對(duì)該電子郵件信息進(jìn)行處理。
在上述實(shí)施例中,該電子郵件過(guò)濾器可以對(duì)另一網(wǎng)絡(luò)設(shè)備發(fā)出的服務(wù)請(qǐng)求 作出響應(yīng)。
在上述實(shí)施例的各種表述中,所述網(wǎng)絡(luò)設(shè)備可以是一電子郵件防火墻。 在上述各種實(shí)施例中,所述電子郵件過(guò)濾器可以被進(jìn)一步配置為可根據(jù)人 工輸入模式計(jì)算可能的錯(cuò)誤拼寫(xiě)概率生成一或多個(gè)目標(biāo)域名的可能錯(cuò)誤拼寫(xiě) 的一個(gè)列表。在這種情況下,該電子郵件過(guò)濾器也可配置為通過(guò)將該電子郵件 信息中包含的一個(gè)或多個(gè)電子郵件地址與該可能錯(cuò)誤拼寫(xiě)列表相比較而識(shí)別 該電子郵件信息中是否含有一個(gè)或多個(gè)可疑電子郵件地址。
本發(fā)明實(shí)施例的其他功能特性將在下文中輔助附圖進(jìn)行詳細(xì)的敘述。
本發(fā)明各實(shí)施例用以示例本發(fā)明的精神,并不用于限制本發(fā)明的保護(hù)范 圍。附圖中相似的部件使用相同的附圖標(biāo)記。
圖1所示是本發(fā)明實(shí)施例所應(yīng)用的簡(jiǎn)易網(wǎng)絡(luò)結(jié)構(gòu)的示意方框圖2所示是本發(fā)明一實(shí)施例中的一電子郵件防火墻的各個(gè)功能模塊與一 用戶端及服務(wù)器相互作用的示意方框圖3所示是本發(fā)明另一實(shí)施例中的一電子郵件防火墻的各個(gè)功能模塊與 一用戶端與服務(wù)器相互作用的示意方框圖4所示是本發(fā)明又一實(shí)施例中的一電子郵件防火墻的各個(gè)功能模塊與 一用戶端與服務(wù)器相互作用的示意方框圖5所示是本發(fā)明再一實(shí)施例中的一電子郵件防火墻的各個(gè)功能模塊與 一用戶端與一服務(wù)器相互作用的示意方框圖6所示是本發(fā)明一實(shí)施例中的一電子郵件防火墻的各個(gè)功能模塊與一 用戶端、 一服務(wù)器以及一統(tǒng)一資源定位符(URL)分類服務(wù)相互作用的示意方 框圖7所示是本發(fā)明實(shí)施例所應(yīng)用的一計(jì)算機(jī)系統(tǒng)示意圖8所示為本發(fā)明一實(shí)施例中電子郵件地址檢測(cè)操作的流程圖9所示是根據(jù)本發(fā)明的另一實(shí)施例中電子郵件地址檢測(cè)操作的流程圖10所示是根據(jù)本發(fā)明的又一實(shí)施例中電子郵件地址檢測(cè)操作的流程
圖11所示是根據(jù)本發(fā)明的再一實(shí)施例中電子郵件地址檢測(cè)操作的流程
圖12所示是根據(jù)本發(fā)明的又一實(shí)施例中電子郵件地址檢測(cè)操作的流程圖。
具體實(shí)施例方式
本發(fā)明所述的檢測(cè)可疑電子通訊信息的方法與系統(tǒng),例如檢測(cè)包含拼寫(xiě)錯(cuò) 誤和/或故意誤導(dǎo)的郵件地址的電子郵件(email)信息的方法與系統(tǒng)。根據(jù)本發(fā) 明的一實(shí)施例, 一郵件過(guò)濾器(milter)(例如一貝葉斯過(guò)濾器)掃描向內(nèi)與向 外的電子郵件信息以生成一配置文件,該配置文件確認(rèn)信任一電子郵件信息中的地址是正確和/或合法的。之后,該電子郵件過(guò)濾器可通過(guò)應(yīng)用一項(xiàng)或多項(xiàng) 語(yǔ)義/目錄分析(查找已知區(qū)域的可能誤拼寫(xiě)或故意誤導(dǎo)變體)以及與一項(xiàng)或
多項(xiàng)統(tǒng)一資源定位符(URL)分類服務(wù)(例如Fortinet公司提供的FortiGuardTM 網(wǎng)頁(yè)過(guò)濾服務(wù)這樣的URL分類服務(wù))的比較匹配而觸發(fā)。然后,對(duì)于每個(gè)向 內(nèi)和/或向外的電子郵件信息,其間包含的電子郵件地址都能夠通過(guò)該郵件過(guò) 濾器進(jìn)行驗(yàn)證。如果在一向外的電子郵件信息中檢測(cè)到一可能的錯(cuò)誤拼寫(xiě)或故 意誤導(dǎo)的目標(biāo)地址,則該郵件信息可被丟棄或者被彈回。如果在一向內(nèi)的郵件 信息中檢測(cè)到一可能的錯(cuò)誤拼寫(xiě)或故意誤導(dǎo)的源地址,則該郵件信息可被隔離 或向該收件人發(fā)送報(bào)警信息。在一實(shí)施例中,檢測(cè)的閾值可以根據(jù)對(duì)該電子郵 件信息內(nèi)容的敏感性評(píng)估而被調(diào)節(jié)。
重要的是,雖然本發(fā)明的各種實(shí)施例都是在一電子郵件防火墻范疇內(nèi)討論 的,但是所述實(shí)施例也同樣適用于其他邏輯上置于用戶端與服務(wù)器之間的,或 被反向設(shè)置以觀測(cè)電子信息通訊流量的虛擬或物理網(wǎng)絡(luò)設(shè)備或裝置;如防火 墻、網(wǎng)絡(luò)安全裝置、網(wǎng)絡(luò)網(wǎng)關(guān)、虛擬專用網(wǎng)絡(luò)(VPN)網(wǎng)關(guān)、交換機(jī)、連網(wǎng)橋、 路由器以及類似的設(shè)備與裝置。同樣,本發(fā)明所述的功能可以被全部或部分地 在一臺(tái)服務(wù)器中實(shí)現(xiàn),例如一臺(tái)郵件服務(wù)器,或一個(gè)用戶端工作站或用戶端的 程序,例如一電子郵件用戶端。
為了更好的對(duì)本發(fā)明作出說(shuō)明,對(duì)本發(fā)明實(shí)施例的描述將涉及應(yīng)用于電子 郵件信息中的啟發(fā)。但可以知曉的是,本發(fā)明的實(shí)施例應(yīng)用范圍可擴(kuò)展至更一 般的電子通訊。例如,本發(fā)明實(shí)施例中的多個(gè)方面與功能可以用于與其他形式 電子通訊,包括但不局限于,文本信息(例如短信息服務(wù)(SMS: Short Message Services))、多媒體信息服務(wù)(MMS: Multimedia Message Service)、即時(shí)消息 /聊天(例如互聯(lián)網(wǎng)中繼聊天(IRC: Internet Relay Chat))和/或諸如此類的信息 服務(wù)。
出于簡(jiǎn)要說(shuō)明本發(fā)明的考慮,本發(fā)明的多個(gè)實(shí)施例敘述中涉及的一電子郵 件過(guò)濾器,被配置為用于檢測(cè)拼寫(xiě)錯(cuò)誤的和/或故意誤導(dǎo)的電子郵件地址。但 是需要說(shuō)明的是,該電子郵件過(guò)濾器還可以實(shí)現(xiàn)其他的功能,例如垃圾郵件與 病毒的防護(hù)。在一些情況中,非法電子郵件地址的檢測(cè)還可以與反病毒、反垃 圾郵件、反網(wǎng)絡(luò)釣魚(yú)和/或其他內(nèi)容處理/掃描/過(guò)濾功能同時(shí)、接續(xù)或聯(lián)合實(shí)現(xiàn)。 在某些情況下, 一項(xiàng)掃描引擎的啟發(fā)結(jié)果可以作為輸入應(yīng)用于其他掃描引擎。此外,根據(jù)以下述的各種實(shí)施例,運(yùn)行于一特定設(shè)備中的一電子郵件過(guò)濾程序 可以被一程序例如運(yùn)行于相同設(shè)備中的一郵件服務(wù)器、郵件防火墻或電子郵件
用戶端調(diào)用以執(zhí)行電子郵件地址檢測(cè)服務(wù);但是,本發(fā)明并不限于此且該電子 郵件過(guò)濾器可以運(yùn)行于作為請(qǐng)求服務(wù)的本體的相同或不同的設(shè)備。
以下將給出本發(fā)明詳盡的說(shuō)明以提供對(duì)本發(fā)明實(shí)施例的全面理解。但對(duì)于 在本發(fā)明實(shí)施例中所應(yīng)用的本領(lǐng)域公知技術(shù)的一些細(xì)節(jié)將不進(jìn)行詳細(xì)描述。在 其他示例中本領(lǐng)域公知的架構(gòu)和設(shè)備將在方框圖中展現(xiàn)。
本發(fā)明實(shí)施例所涉及的諸多步驟將在下文予以描述。所述步驟可由硬件裝 置執(zhí)行,也可內(nèi)嵌于機(jī)器可執(zhí)行指令中,通過(guò)調(diào)用指令自身通用或特定的程序 予以執(zhí)行。所述步驟亦可通過(guò)軟、硬件、固件與/或人工操作相結(jié)合執(zhí)行。
本發(fā)明的實(shí)施例可以一個(gè)計(jì)算機(jī)程序產(chǎn)品提供,其可以包括一存儲(chǔ)所述指 令的機(jī)讀介質(zhì),所述指令能夠?yàn)橐挥?jì)算機(jī)(或其他電子設(shè)備)編寫(xiě)程序以執(zhí)行 一操作。該機(jī)讀介質(zhì)可以包括但不局限于軟盤(pán)、光盤(pán)、CD-ROM、磁光碟、 ROM、 RAM、 EPROM、 EEPROM、磁卡或光卡、閃存存儲(chǔ)器或者任何其它形 式的可存儲(chǔ)電子指令的媒體/計(jì)算機(jī)可讀介質(zhì)。此外,本發(fā)明的實(shí)施例也可以 是下載的一計(jì)算機(jī)程序產(chǎn)品,所述程序可以通過(guò)從一遠(yuǎn)程計(jì)算機(jī)通過(guò)通信鏈接 (例如調(diào)制解調(diào)器或網(wǎng)絡(luò)連接)傳輸附于載波或其他傳播介質(zhì)的數(shù)據(jù)信號(hào)傳送 到一發(fā)出請(qǐng)求的計(jì)算機(jī)。
以下將介紹本發(fā)明所涉及的術(shù)語(yǔ)。
"連接"或"連結(jié)"以及相關(guān)應(yīng)用于操作范疇中的術(shù)語(yǔ),并不單單局限于 直接連接或連結(jié)。
"用戶端"通常是指用戶/服務(wù)器關(guān)聯(lián)中的應(yīng)用、程序、操作或設(shè)備,能 夠從一個(gè)網(wǎng)絡(luò)的其他程序、操作或設(shè)備(服務(wù)器)請(qǐng)求信息或服務(wù)。需要說(shuō)明 的是,"用戶端"與"服務(wù)器"是相對(duì)的, 一個(gè)應(yīng)用程序?qū)σ豁?xiàng)程序來(lái)說(shuō)可以 是"用戶端",對(duì)于另一項(xiàng)程序而言是"服務(wù)器"。"用戶端"還包括建立一個(gè) 一請(qǐng)求應(yīng)用、程序、操作或設(shè)備與一服務(wù)器,如一電子郵件用戶端,之間可連 接的軟件。
"電子通訊"通常是指任何形式的包含顯示一個(gè)源地址和/或一個(gè)多個(gè)目標(biāo) 地址的異步電子通信。那么,電子通訊信息包括但不局限于,電子郵件、文本 信息(例如短信息服務(wù)(SMS: Short Message Services))、多媒體信息服務(wù)(MMS: Multimedia Message Service)、即時(shí)消息/聊天(例如互聯(lián)網(wǎng)中繼聊天 (IRC: Internet Relay Chat))和/或諸如此類的通訊。根據(jù)這里的所公開(kāi)的,任 何本領(lǐng)域技術(shù)人員都將能夠理解異步電子通信的與前述定義所一致的當(dāng)前以 及未來(lái)的各種其他形式體現(xiàn)。
"電子郵件防火墻"通常是指檢測(cè)通過(guò)其的電子通訊信息,并根據(jù)一套規(guī) 則拒絕或允許信息通過(guò)的一項(xiàng)功能。 一電子郵件防火墻可以完全由軟件、硬件 或二者的結(jié)合來(lái)實(shí)現(xiàn)。在一實(shí)施例中,電子郵件防火墻是一個(gè)專門(mén)的裝置。在 其他實(shí)施例中,電子郵件防火墻可以是運(yùn)行于其他計(jì)算機(jī)設(shè)備的軟件程序,如 電子郵件服務(wù)器、用戶端工作站、網(wǎng)絡(luò)網(wǎng)關(guān)、路由器或此類程序中。
"在一實(shí)施例中""根據(jù)本發(fā)明的一實(shí)施例"以及類似的表述通常指代下 述的特定的性能、結(jié)構(gòu)或特點(diǎn)包括于本發(fā)明的至少一個(gè)實(shí)施例中,以及可能包 括在本發(fā)明的多于一個(gè)實(shí)施例中。需要說(shuō)明的是,這樣的表達(dá)并不特指同一個(gè) 實(shí)施例。
"郵件過(guò)濾器"、"電子郵件過(guò)濾器"、"milter"以及類似的表述通常指代 例如垃圾郵件或病毒過(guò)濾和/或信息屏蔽、驗(yàn)證和/或分類這樣的操作,這樣的 操作可以被插入到一個(gè)電子通訊操作鏈中。在一實(shí)施例中,milter可以應(yīng)用 于一電子郵件防火墻以識(shí)別可疑電子郵件信息,例如那些含有可能拼寫(xiě)錯(cuò)誤和 /或故意誤導(dǎo)的電子郵件地址。milter可以作為郵件傳輸代理(MTA: Mail Transfer Agent)的擴(kuò)展予以實(shí)施,或在電子通訊信息通過(guò)的其他網(wǎng)絡(luò)設(shè)備中應(yīng) 用。 一般來(lái)講,郵件過(guò)濾器被設(shè)計(jì)為高效率地執(zhí)行具體的功能,但在提供電子 通訊可靠傳輸時(shí)不承擔(dān)例如生成彈回信息與類似的責(zé)任。
"網(wǎng)絡(luò)網(wǎng)關(guān)"通常是指一個(gè)網(wǎng)絡(luò)間的系統(tǒng),該系統(tǒng)可以將兩個(gè)網(wǎng)絡(luò)連接在 一起。"網(wǎng)絡(luò)網(wǎng)關(guān)"可以完全由一項(xiàng)軟件或硬件實(shí)現(xiàn),或是由二者的結(jié)合實(shí)現(xiàn)。 根據(jù)實(shí)施情況,網(wǎng)絡(luò)網(wǎng)關(guān)可以在自程序協(xié)議至低端信令的任何層級(jí)的OSI模 式下操作。
如果說(shuō)明書(shū)中在陳述一個(gè)部件或功能被包括或者具有某種屬性時(shí)使用了 "可能""可以""能夠"這樣的表述,是指這樣的部件或功能并不是必須被包 括或具有某種屬性。
"響應(yīng)"包括全部或部分的響應(yīng)。
"服務(wù)器"通常情況下指在用戶/服務(wù)器范疇中對(duì)一個(gè)網(wǎng)絡(luò)中的某一程序、進(jìn)程或設(shè)備(服務(wù)器)對(duì)信息或服務(wù)的請(qǐng)求所做出回復(fù)的另一項(xiàng)應(yīng)用、程序、 進(jìn)程或設(shè)備。"服務(wù)器"也包括能夠提供信息或服務(wù)的軟件。
"可疑地址"通常是指電子通訊中的因一個(gè)或多個(gè)理由被認(rèn)為可疑的源 地址或目標(biāo)地址處于被認(rèn)為可疑。在一實(shí)施例中,判斷一地址可疑的理由包括 但不局限于,該地址被判定為拼寫(xiě)錯(cuò)誤和/或故意誤導(dǎo)、與該郵件地址相關(guān)的 一個(gè)友好名稱同預(yù)期的友好名稱存在差異、該地址或該地址的一部分(例如一 個(gè)區(qū)域)存在于一個(gè)已知的拼寫(xiě)錯(cuò)誤列表中、常規(guī)流量或通信模式中出現(xiàn)的異 常、可疑性的啟發(fā)式判斷操作、該地址與目標(biāo)地址和/或區(qū)域的列表存在相似
以及具有合法性分值較低的相關(guān)區(qū)域或URL分類數(shù)據(jù)庫(kù),例如FortiGuard網(wǎng)
頁(yè)過(guò)濾服務(wù),報(bào)告為不可接受的用戶率策略。
本發(fā)明的一個(gè)或多個(gè)實(shí)施例可以包括以下功能的各種結(jié)合
1 、提供一個(gè)或多個(gè)目標(biāo)域名的可能拼寫(xiě)錯(cuò)誤的靜態(tài)列表的一郵件過(guò)濾器。
2、 提供一個(gè)或多個(gè)目標(biāo)域名的可能拼寫(xiě)錯(cuò)誤的動(dòng)態(tài)列表的一郵件過(guò)濾器, 該過(guò)濾器通過(guò)流量分析形成列表。例如,郵件過(guò)濾器可以監(jiān)控郵件流量從而生 成所檢測(cè)的郵件地址和/或域名的列表。然后,郵件過(guò)濾器可以掃描該列表, 以檢測(cè)該列表中是否存在任何可能是其他名稱錯(cuò)誤拼寫(xiě)的名稱。
3、 一個(gè)或多個(gè)目標(biāo)域名的可能拼寫(xiě)錯(cuò)誤列表,該列表基于人工輸入模式 計(jì)算可能的拼寫(xiě)錯(cuò)誤而生成。
4、 在一些實(shí)施例中,可能根本沒(méi)有可能拼寫(xiě)錯(cuò)誤列表,郵件過(guò)濾器可以 只是通過(guò)啟發(fā)性規(guī)則計(jì)算運(yùn)行時(shí)間內(nèi)的拼寫(xiě)錯(cuò)誤的概率。
5、 在一些實(shí)施例中,電子郵件地址掃描的結(jié)果可以被URL分類數(shù)據(jù)庫(kù)所 參考調(diào)用。URL分類可以用于判斷與一個(gè)域名的合法性程度。如果具有較低 合法性分值或一不可接受的使用策略的一個(gè)域名被認(rèn)為與另外一個(gè)具有較高 合法性分值和/或可接受的使用策略的域名相似,那么來(lái)自該域名或到達(dá)該域 名的電子郵件將被認(rèn)為是可疑的郵件。
6、 在一些實(shí)施例中,可以通過(guò)對(duì)單個(gè)用戶的雙向(或多向)通訊建立流 量分析圖針對(duì)所述單個(gè)用戶進(jìn)行過(guò)濾。例如,常規(guī)電子郵件流量模式可以用于 在電子郵件地址/區(qū)域之間的相互通訊中建立貝葉斯數(shù)據(jù)庫(kù)。如果來(lái)自/到達(dá)該 地址的一電子郵件信息與常規(guī)的通訊模式相匹配,那么將不進(jìn)行后續(xù)的動(dòng)作。 另一方面,如果該系統(tǒng)檢測(cè)到兩個(gè)之前沒(méi)有通信歷史的用戶之間出現(xiàn)一封往來(lái)電子郵件,那么便會(huì)啟動(dòng)啟發(fā)性掃描。
7、 貝葉斯定理過(guò)濾器(例如, 一全局?jǐn)?shù)據(jù)庫(kù)、 一單服務(wù)器數(shù)據(jù)庫(kù)和/或一 單用戶的數(shù)據(jù)庫(kù))的多層過(guò)濾將予以應(yīng)用。如果較常規(guī)的數(shù)據(jù)庫(kù)的結(jié)果為非決 定性的,那么較專用的數(shù)據(jù)庫(kù)的結(jié)果將高于常規(guī)數(shù)據(jù)庫(kù)。
8、 黑名單和/或白名單被設(shè)置為高于任何或全部啟發(fā)性生成規(guī)則。
圖1所示為本發(fā)明的實(shí)施例所使用的簡(jiǎn)易的網(wǎng)絡(luò)結(jié)構(gòu)的示意方框圖。在這
個(gè)簡(jiǎn)單的示例中, 一個(gè)或多個(gè)遠(yuǎn)程用戶端125及本地用戶端150與電子郵件防 火墻120通信連接,郵件防火墻120將各種新的郵件地址檢測(cè)/掃描方法集結(jié) 在一個(gè)郵件過(guò)濾器121中,該郵件過(guò)濾器121將在下文中詳細(xì)敘述。在當(dāng)前實(shí) 施例中,郵件防火墻120可以邏輯上置于遠(yuǎn)程用戶端125與本地用戶端150 以及公共網(wǎng)100之間,以允許所有在用戶端之間以及用戶端與外部設(shè)備(例如 那些不與本地局域網(wǎng)(LAN) 140連接的設(shè)備)之間交換的電子郵件信息(例 如,向內(nèi)和/或向外的電子郵件信息)被掃描。
根據(jù)本發(fā)明的一實(shí)施例,郵件過(guò)濾器121通過(guò)與本地用戶端150、電子郵 件服務(wù)器130、郵件防火墻120或網(wǎng)絡(luò)網(wǎng)關(guān)110相關(guān)的郵件傳輸操作所激活, 有效地截取用戶端之間(例如,遠(yuǎn)程用戶端125與本地用戶端150)或用戶端 與LAN140之外的外部設(shè)備之間的電子通信。郵件過(guò)濾器121被激活之后,郵 件過(guò)濾器將掃描電子通信信息以檢測(cè)其中可疑的信息,例如包含、來(lái)源于或可 能來(lái)源于拼寫(xiě)錯(cuò)誤和/或故意誤導(dǎo)的地址的電子郵件信息。如上所述,除了掃 描電子郵件地址和/或區(qū)域,該郵件過(guò)濾器也可以實(shí)現(xiàn)其他功能,如反病毒、 反垃圾郵件、反網(wǎng)絡(luò)釣魚(yú)和/或其他內(nèi)容處理/掃描/過(guò)濾功能。
根據(jù)當(dāng)前實(shí)施例,電子郵件防火墻120與一個(gè)或多個(gè)電子郵件服務(wù)器130 通信連接,從電子郵件服務(wù)器130且經(jīng)過(guò)該電子郵件服務(wù)器130, LAN140 中的遠(yuǎn)程用戶端125與用戶端工作站150可以獲取并發(fā)送電子郵件信息。 LAN140通過(guò)網(wǎng)絡(luò)網(wǎng)關(guān)110與路由器105與公共網(wǎng)100通信連接。除郵件過(guò)濾 器121以外,電子郵件防火墻120還可以執(zhí)行郵件過(guò)濾。例如,電子郵件防火 墻120可以檢測(cè)、標(biāo)記、屏蔽和/或移除不需要的垃圾郵件與惡意附件。在一 實(shí)施例中,電子郵件防火墻120執(zhí)行一項(xiàng)或多項(xiàng)垃圾郵件過(guò)濾操作,包括但不 局限于,發(fā)件人IP評(píng)估分析與內(nèi)容分析,如附件/郵件內(nèi)容過(guò)濾、啟發(fā)性規(guī)則、 深入電子郵件報(bào)頭檢測(cè)、垃圾郵件URI實(shí)時(shí)屏蔽列表(SURBL)、禁忌詞過(guò)濾、
14垃圾郵件校驗(yàn)值屏蔽列表、偽造IP地址查看、灰名單査看、貝葉斯分類、貝
葉斯統(tǒng)計(jì)過(guò)濾、特征評(píng)估和/或諸如FortiGuard-反垃圾郵件、訪問(wèn)策略過(guò)濾、 全局及用戶白/黑名單過(guò)濾、垃圾郵件實(shí)時(shí)黑洞名單(RBL)、域名服務(wù)屏蔽列 表(DNSBL)與可供個(gè)人用戶建立和/或配置其個(gè)人的配置文件的單用戶貝葉 斯過(guò)濾等過(guò)濾方法。根據(jù)本發(fā)明的實(shí)施例,現(xiàn)有的電子郵件安全平臺(tái),包括 Fortinet公司的FortiMailTM產(chǎn)品家族的高性能、多層次的電子郵件安全平臺(tái), 其中含有FortiMail-100平臺(tái)、FortiMail-400平臺(tái)、FortiMail-2000平臺(tái)與 FortiMail-4000A平臺(tái),均可以作為電子郵件防火墻120的操作功能特點(diǎn)的示 例。
在一實(shí)施例中,網(wǎng)絡(luò)網(wǎng)關(guān)110可以作為L(zhǎng)AN140與公共網(wǎng)絡(luò)100之間的一 個(gè)接口。網(wǎng)絡(luò)網(wǎng)關(guān)110可以實(shí)現(xiàn),例如,將應(yīng)用于LAN140內(nèi)部及外部的不同 協(xié)議進(jìn)行轉(zhuǎn)換。根據(jù)功能性分配,網(wǎng)絡(luò)網(wǎng)關(guān)110、路由器105或防火墻(圖l 沒(méi)有示出)可以執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)將在LAN140中使用的私網(wǎng)IP地 址隱藏,使得多個(gè)例如用戶端工作站150的用戶端工作站能夠以單一的公網(wǎng)IP 地址訪問(wèn)公共網(wǎng)絡(luò)110。 LAN140中還包括一個(gè)或多個(gè)服務(wù)器160與打印機(jī) 170。各種其他設(shè)備,例如存儲(chǔ)設(shè)備以及諸如這樣的設(shè)備均可以連接到 LAN 140。
圖2所示為根據(jù)本發(fā)明的一實(shí)施例的一電子郵件防火墻220的各種功能性 模塊與一用戶端工作站250以及一電子郵件服務(wù)器230之間相互作用的示意方 框圖。雖然此簡(jiǎn)易示例中僅示出一單個(gè)用戶端工作站,例如用戶端工作站250、 以及一單個(gè)電子郵件服務(wù)器,例如電子郵件服務(wù)器230,與一郵件防火墻220 之間的相互作用。但應(yīng)該理解的是,多個(gè)本地和/或遠(yuǎn)程用戶端工作站、服務(wù) 器與電子郵件服務(wù)器可與電子郵件防火墻220直接或間接的相互作用且其彼 此之間亦可以直接或間接的相互作用。
根據(jù)本發(fā)明的當(dāng)前實(shí)施例,該電子郵件防火墻220可以是一虛擬或物理設(shè) 備,其包括兩個(gè)高端的相互作用的功能模塊, 一郵件過(guò)濾器221以及一內(nèi)容處 理器226。在一實(shí)施例中,郵件過(guò)濾器221對(duì)向內(nèi)電子郵件280與向外電子郵 件信息(沒(méi)有示出)進(jìn)行郵件地址/區(qū)域掃描以回應(yīng)內(nèi)容處理器226。內(nèi)容處理 器226通過(guò)調(diào)用郵件過(guò)濾器221對(duì)在用戶代理/電子郵件用戶端251與電子郵 件服務(wù)器230之間傳輸?shù)碾娮余]件信息進(jìn)行掃描,并對(duì)該電子郵件信息潛在地執(zhí)行其他傳統(tǒng)的反病毒檢測(cè)以及內(nèi)容過(guò)濾。在一些情況下,電子郵件地址掃描
郵件過(guò)濾器的結(jié)果可以一數(shù)字分值形式顯示,該數(shù)字分值與內(nèi)容處理器226
所執(zhí)行的反病毒、反垃圾郵件、反網(wǎng)絡(luò)釣魚(yú)或其他內(nèi)容過(guò)濾操作的結(jié)果相對(duì)應(yīng), 或該郵件過(guò)濾器的電子郵件地址掃描的結(jié)果可應(yīng)用于其他郵件過(guò)濾器功能中。
同時(shí)亦或也可以為,內(nèi)容處理器226對(duì)一郵件信息的評(píng)估結(jié)果可以被郵件過(guò)濾 器221作為該電子郵件地址掃描操作時(shí)的一輸入值。根據(jù)實(shí)現(xiàn)情況,郵件過(guò)濾 器221所執(zhí)行的電子郵件地址掃描既可以應(yīng)用于向內(nèi)的郵件信息也可以應(yīng)用 于向外的郵件信息。而且,對(duì)檢測(cè)到的可疑的郵件信息所采取的動(dòng)作,可因向 內(nèi)或向外的郵件信息而有所可以不相同。
在當(dāng)前實(shí)施例中,郵件過(guò)濾器221配置一靜態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)223,該數(shù) 據(jù)庫(kù)包含了一個(gè)或多個(gè)目標(biāo)域名的一可能錯(cuò)誤拼寫(xiě)靜態(tài)列表。在一實(shí)施例中, 郵件過(guò)濾器221執(zhí)行的電子郵件地址掃描可適用于所有的區(qū)域。在其他實(shí)施例 中,這樣的掃描操作可以只適用于一選擇列表中的區(qū)域。舉例說(shuō)明, 一個(gè)公司 可以只對(duì)自己的域名以及其主要合作伙伴、客戶與供應(yīng)商的域名啟動(dòng)檢測(cè)。這 種情況下,掃描是特定針對(duì)一小型名稱列表,因此該掃描處理可被優(yōu)化。
一些情況下公司可能希望避免將電子郵件發(fā)送至一合法用戶的非工作地 址,特別是在類似地址的合法性不能輕易判定時(shí)。舉例說(shuō)明,如果一個(gè)公司擁 有雇員 Fred Smith (fredsmith@companya.com), 另卩么1"壬f可送至 fredsmkh@yahoo.com的電子郵件信息都可能是可疑信息,因?yàn)闆](méi)法識(shí)別其是 不是同一個(gè)FredSmith。此外,許多電子郵件信息的報(bào)頭中除了包含郵件地址 還包含一個(gè)"友好名稱"。在一些實(shí)施例中,電子郵件地址的掃描除基于該電 子郵件地址,針對(duì)所述友好名稱也進(jìn)行掃描,因?yàn)楹芏嚯娮余]件客戶端在默認(rèn) 的情況下僅向用戶顯示所述友好名稱,而不是全部電子郵件地址。
在一實(shí)施例中,上述一個(gè)或多個(gè)功能模塊的功能可以各種方式結(jié)合。例如, 郵件過(guò)濾器221可以集成在內(nèi)容處理器226、電子郵件服務(wù)器230或用戶端工 作站中。在一些實(shí)施例中,郵件過(guò)濾器221可以集成在一路由器或網(wǎng)絡(luò)網(wǎng)關(guān)中。 并且,這些功能性模塊可以以任何適合的通信方式(例如,信息傳遞、參數(shù)傳 遞、和/或通過(guò)一條或多條通信路徑傳輸?shù)男盘?hào)等)進(jìn)行通信連接。另外,所 述功能模塊可以根據(jù)任何適合的相互連接結(jié)構(gòu)(例如,全部連接、超鏈接等) 進(jìn)行物理連接。
16根據(jù)本發(fā)明的實(shí)施例,功能模塊可以任何適合類型的邏輯運(yùn)算執(zhí)行所述的 操作(例如,數(shù)字邏輯運(yùn)算)。與本發(fā)明實(shí)施例結(jié)合應(yīng)用的任何功能模塊可以 包括但不局限于,計(jì)算機(jī)可讀介質(zhì),包括用于執(zhí)行本文所述操作的指令。計(jì)算 機(jī)可讀介質(zhì)包括任何可以機(jī)器設(shè)備(例如計(jì)算機(jī)設(shè)備)可讀取的形式提供(例 如存儲(chǔ)和/或傳輸)信息的構(gòu)件。例如,計(jì)算機(jī)可讀介質(zhì)包括,只讀存儲(chǔ)器
(ROM)、隨機(jī)存取內(nèi)存(RAM)、磁盤(pán)存儲(chǔ)介質(zhì)、光存儲(chǔ)器、閃存設(shè)備、電 子、光學(xué)、聲學(xué)或其他形式的傳播信號(hào)(例如,載波、紅外信息或數(shù)字信號(hào)等) 等。
圖3所示為根據(jù)本發(fā)明另一實(shí)施例的一電子郵件防火墻220的各個(gè)功能模 塊與一用戶端工作站250以及一電子郵件服務(wù)器230相互作用的示意方框圖。 根據(jù)本實(shí)施例,電子郵件防火墻220包括一郵件過(guò)濾器321,用于分析電子通 信流量。在一實(shí)施例中,流量分析模塊324監(jiān)控電子郵件流量并生成所監(jiān)測(cè)郵 件的地址和/或域名名稱的一個(gè)列表。這些被監(jiān)測(cè)的電子郵件地址和/或域名以 及其可能的錯(cuò)誤拼寫(xiě)將被存儲(chǔ)在一動(dòng)態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)323中。潛在的錯(cuò)誤拼 寫(xiě)可以通過(guò)各種方式在該監(jiān)測(cè)列表中被識(shí)別,所述的識(shí)別方式包括最近鄰居算 法、監(jiān)測(cè)頻率、基于人工輸入模式計(jì)算可能的錯(cuò)誤拼寫(xiě)或其他拼寫(xiě)檢查器或在 線詞典所使用的當(dāng)前或未來(lái)算法。潛在的拼寫(xiě)錯(cuò)誤發(fā)生的典型情況為,例如, 郵件地址/區(qū)域省略一個(gè)或多個(gè)字母、插入字母、 一詞中字母拼寫(xiě)位置互換, 含有相似字母的錯(cuò)拼(例如c拼為s)或鍵盤(pán)上相鄰字母敲擊錯(cuò)誤(QWERTY 字母鍵盤(pán)中的f與g字母)。
一些實(shí)施例中,郵件過(guò)濾器321可以配置為過(guò)濾在一個(gè)區(qū)域中指向已知用 戶(例如,相同郵件地址或相同友好名稱)的所有電子郵件信息,而不是根據(jù) 流量分析過(guò)濾預(yù)期的郵件信息。在一個(gè)實(shí)施例中,這樣的限制能夠得以放松, 例如區(qū)域A中的Fred Smith將被允許發(fā)送信息到未知域名中的Fred Smith,但 是網(wǎng)站A中任何其他用戶則不能這樣。這表示Fred Smith知道其自己的電子 郵件地址是合法的,然而其他的用戶并不一定知道。郵件過(guò)濾器321甚至可以 檢測(cè)到這一點(diǎn)并將未知的Fred Smith的地址添加到白名單中。
圖4所示是根據(jù)本發(fā)明的又一其他實(shí)施例中, 一電子郵件防火墻220的各 個(gè)功能模塊與一用戶端工作站250以及一電子郵件服務(wù)器230之間相互作用的 示意方框圖。
17根據(jù)當(dāng)前實(shí)施例,郵件防火墻220包括一個(gè)郵件過(guò)濾器421,所述郵件 過(guò)濾器在沒(méi)有流量分析的情況下(例如,在不參考所監(jiān)測(cè)的郵件地址列表情況 下)計(jì)算所運(yùn)行的時(shí)間內(nèi)拼寫(xiě)錯(cuò)誤的概率。在一實(shí)施例中,郵件過(guò)濾器421 包括一拼寫(xiě)錯(cuò)誤概率模塊425與一啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)426。拼寫(xiě)錯(cuò)誤概率模塊 425根據(jù)該啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)426的啟發(fā)性規(guī)則計(jì)算運(yùn)行時(shí)間內(nèi)發(fā)生拼寫(xiě)錯(cuò)誤 的概率。例如,錯(cuò)誤拼寫(xiě)的郵件地址和/或域名可以根據(jù)非常規(guī)的字母模式來(lái) 識(shí)別。但是,更為典型的方式是,在沒(méi)有預(yù)先的流量分析下執(zhí)行啟發(fā)性檢測(cè), 該郵件過(guò)濾器421最好配置有"受關(guān)注"域名的列表,之后該拼寫(xiě)錯(cuò)誤概率模 塊425將搜索這些名稱的可能的錯(cuò)誤拼寫(xiě)。例如,受關(guān)注域名可以包括那些公 司其自身、業(yè)務(wù)伙伴、用戶以及供應(yīng)商。
在沒(méi)有流量分析的情況下生成已知錯(cuò)誤拼寫(xiě)的列表的情況中,這里所討論 的很多算法仍然在使用中,但是,用于檢測(cè)可能的錯(cuò)誤拼寫(xiě)的一個(gè)特征可以被 作為他用并被表示為一個(gè)常規(guī)的表達(dá)式,而不是擴(kuò)展為詞語(yǔ)的一個(gè)長(zhǎng)列表。另 一情況中,所述特征在一些其他類型的內(nèi)容匹配語(yǔ)言中表示。
圖5所示是根據(jù)本發(fā)明的再一實(shí)施例的一電子郵件防火墻的各個(gè)功能模 塊與一用戶端以及一服務(wù)器之間相互作用的示意方框圖。
根據(jù)當(dāng)前實(shí)施例,電子郵件防火墻220包括一郵件過(guò)濾器512,其配置為 執(zhí)行錯(cuò)誤拼寫(xiě)概率計(jì)算與電子通訊流量的分析。在一實(shí)施例中,郵件過(guò)濾器 512包括一流量分析模塊524、 一拼寫(xiě)錯(cuò)誤概率模塊525及一錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù) 523。 一實(shí)施例中,流量分析模塊524監(jiān)控電子郵件流量和/或其他網(wǎng)絡(luò)流量以 生成被監(jiān)測(cè)郵件地址和/或域名的一列表。這些被監(jiān)測(cè)的郵件地址和/或域名以 及其可能的錯(cuò)誤拼寫(xiě)可以被存儲(chǔ)在一動(dòng)態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)523中。
如上所述,拼寫(xiě)錯(cuò)誤概率模塊525可以計(jì)算運(yùn)行時(shí)間內(nèi)的錯(cuò)誤拼寫(xiě)概率。 在一實(shí)施例中,當(dāng)流量分析模塊524已進(jìn)行了充分的監(jiān)測(cè),拼寫(xiě)錯(cuò)誤概率模塊 525的掃描結(jié)果可作為重要的甚至是唯一的判斷依據(jù)。根據(jù)流量分析得出的掃 描結(jié)果的相對(duì)權(quán)重與根據(jù)拼寫(xiě)錯(cuò)誤概率計(jì)算得出的掃描結(jié)果可被多次調(diào)整。例 如,該流量分析模塊524完成的監(jiān)測(cè)越多,電子郵件地址掃描對(duì)拼寫(xiě)錯(cuò)誤概率 模塊525的依賴便越少。
圖6所示是本發(fā)明一實(shí)施例中的一電子郵件防火墻220的各個(gè)功能模塊與 一用戶端工作站250、 一電子郵件服務(wù)器230以及一統(tǒng)一資源標(biāo)識(shí)符(URL)分類服務(wù)660相互作用的示意方框圖。
根據(jù)當(dāng)前實(shí)施例,電子郵件防火墻220與用戶端工作站250、電子郵件服 務(wù)器230以及一統(tǒng)一資源標(biāo)識(shí)符(URL)分類服務(wù)660相互作用。電子郵件防 火墻220可以使用URL分類服務(wù)660判斷涉及一域名的合法性程度。如果一 個(gè)具有較低的合法性分值或一不可接受的使用策略的域名被判定為與另一個(gè) 具有較高合法性分值和/或可接受的使用策略的域名相似,那么從該域名發(fā)出 的或到達(dá)該域名的電子通信信息將被認(rèn)為是可疑的。Fortinet公司提供的一預(yù) 訂服務(wù),F(xiàn)ortiGuard網(wǎng)頁(yè)過(guò)濾服務(wù),是可使用的一種URL分類服務(wù)的一個(gè)例 子。在一些實(shí)施例中,可以使用多層的URL分類服務(wù),例如除了一本地否決 列表之外的一全局服務(wù)器。
當(dāng)前實(shí)施例中,電子郵件防火墻220包括一郵件過(guò)濾器621,配置用于執(zhí) 行拼寫(xiě)錯(cuò)誤概率計(jì)算與電子通信流量分析。在一實(shí)施例中,郵件過(guò)濾器621 包括一流量分析模塊624、 一拼寫(xiě)錯(cuò)誤概率計(jì)算模塊625、流量配置文件數(shù)據(jù) 庫(kù)626、錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)623與一個(gè)或多個(gè)白/黑名單數(shù)據(jù)庫(kù)622。拼寫(xiě)錯(cuò)誤概 率模塊625可如上述圖5中的拼寫(xiě)錯(cuò)誤概率模塊525進(jìn)行配置。
如上所述,流量分析模塊624可以監(jiān)控電子郵件流量以生成被監(jiān)測(cè)的電子 郵件地址和/或域名的一個(gè)列表。這些被監(jiān)測(cè)的電子郵件地址和/或域名可以用 于生成一個(gè)可能錯(cuò)誤拼寫(xiě)列表,該列表存儲(chǔ)在一動(dòng)態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)中,例如 錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)623。此外,流量分析模塊624可被配置以創(chuàng)建關(guān)于各級(jí)別雙 向(或多向)通信的流量分析配置文件。例如,常規(guī)電子郵件流量可被用來(lái)測(cè) 試一個(gè)或多個(gè)涉及在全局級(jí)別、單服務(wù)器級(jí)別的和/或單用戶級(jí)別的郵件地址/ 域名之間雙向(或多向)通信的貝葉斯數(shù)據(jù)庫(kù)(例如,流量配置文件數(shù)據(jù)庫(kù) 626),以使異?;?和新的通訊模式可被檢測(cè)到。在一實(shí)施例中,流量配置文 件數(shù)據(jù)庫(kù)626包括多個(gè)分層的貝葉斯過(guò)濾器(例如, 一全局?jǐn)?shù)據(jù)庫(kù)、 一單服務(wù) 器數(shù)據(jù)庫(kù)及一單用戶數(shù)據(jù)庫(kù)),并且,如果較專用的數(shù)據(jù)庫(kù)的檢測(cè)結(jié)果是結(jié)論 性的,那么其結(jié)果會(huì)高于較通用的數(shù)據(jù)庫(kù)的檢測(cè)結(jié)果。
白/黑名單數(shù)據(jù)庫(kù)622可以涵蓋那些可疑程度很難被量化的郵件地址或域 名。例如, 一個(gè)與白名單有關(guān)的電子郵件地址盡管位于錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)中,但 其可被標(biāo)記或標(biāo)注為非可疑的,一個(gè)與黑名單有關(guān)電子郵件地址雖然并未處于 錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)中,卻仍可被標(biāo)記或標(biāo)注為可疑的,且任何啟發(fā)性掃描規(guī)則都將被忽視。例如,如上所述, 一家企業(yè)(例如公司A)希望過(guò)濾發(fā)送到位于一
域名的、而非該預(yù)定檢測(cè)目標(biāo)(例如companya.com)的一已知用戶(例如Fred Smith)的電子郵件,但是, 一旦該郵件過(guò)濾器獲知與Fred Smith有關(guān)的一個(gè) 或多個(gè)合法個(gè)人郵件地址時(shí),這些地址將被添加到一 白名單中。
綜上所述,任何上述結(jié)構(gòu)的舉例中,所述一個(gè)或多個(gè)功能模塊的功能可以 任何方式結(jié)合或分散。此外,所述功能模塊可以是執(zhí)行所述操作的任何適合的 邏輯運(yùn)算類型(例如,數(shù)字邏輯運(yùn)算操作、軟件、固件和/或其結(jié)合)。
在上述實(shí)施例中,當(dāng)該郵件過(guò)濾器檢測(cè)到一個(gè)可疑郵件地址時(shí),可采取任 何的動(dòng)作進(jìn)行處理,所述動(dòng)作包括但不局限于,記錄事件日志、丟棄可疑電子 郵件信息、隔離該待判斷的電子郵件信息、標(biāo)記該待判斷的電子郵件信息為垃 圾郵件、標(biāo)記該待判斷的電子郵件為可能的網(wǎng)絡(luò)釣魚(yú)、向電子郵件用戶警報(bào)存 在可疑電子郵件地址(例如以不同的字體或顏色顯示該待判斷的電子郵件地 址)、請(qǐng)求發(fā)件人重新確認(rèn)該待判斷的電子郵件地址的正確性(例如彈出確認(rèn) 對(duì)話框或要求發(fā)件人回復(fù)一封確定電子郵件信息)。對(duì)于向內(nèi)或向外的郵件信 息可以采取不同的處理動(dòng)作。
如下文進(jìn)一步的描述,在一些情況下,判斷一電子郵件信息或一電子郵件 地址是否可疑可以僅僅通過(guò)查看該待判斷的電子郵件地址;但是其他情況中, 電子郵件地址啟發(fā)性掃描結(jié)果可以數(shù)字分值形式顯示,同樣這樣的數(shù)字分值可 以由郵件過(guò)濾器和/或內(nèi)容處理器應(yīng)用于反垃圾郵件處理、反網(wǎng)絡(luò)釣魚(yú)處理、 反病毒處理和/或其他電子郵件安全功能的操作。所述的靜態(tài)或啟發(fā)性列表可 以向一網(wǎng)站公開(kāi)或傳輸?shù)揭恢醒敕?wù)器以供其他網(wǎng)站共享,這種共享可以通過(guò) 訂閱服務(wù)來(lái)實(shí)現(xiàn)。
應(yīng)該注意的是上述的結(jié)構(gòu)只作為示例性說(shuō)明,本領(lǐng)域的技術(shù)人員均能夠了 解可能應(yīng)用于本發(fā)明不同實(shí)施例中各種功能模塊的各種實(shí)現(xiàn)和/或另外的結(jié)合/ 改變方式。舉例說(shuō)明,雖然白/黑名單數(shù)據(jù)庫(kù)只在圖6所示實(shí)施例中有所描述, 但本領(lǐng)域技術(shù)人員可以了解白/黑名單數(shù)據(jù)庫(kù)可在任何或所有的實(shí)施例中應(yīng)用 且優(yōu)先于錯(cuò)誤拼寫(xiě)判斷、違反啟發(fā)性規(guī)則和/或可疑性判斷。
圖7所示是本發(fā)明實(shí)施例所應(yīng)用的一計(jì)算機(jī)系統(tǒng)示意圖。計(jì)算機(jī)系統(tǒng)700 可以是執(zhí)行一個(gè)或多個(gè)郵件過(guò)濾器221、 321、 421、 521或621功能的、或在 圖3至火墻、網(wǎng)絡(luò)裝置、交換機(jī)、橋接設(shè)備、路由器、數(shù)據(jù)存儲(chǔ)設(shè)備、服務(wù)器、用戶 端工作站和/或其他網(wǎng)絡(luò)設(shè)備,或構(gòu)成這些系統(tǒng)或設(shè)備的一部分。根據(jù)圖7所
示,計(jì)算機(jī)系統(tǒng)700包括一或多個(gè)處理器705、 一或多個(gè)通信端口710、主存 儲(chǔ)器715、只讀存儲(chǔ)器720、大容量存儲(chǔ)器725、 一總線730及一可移動(dòng)存儲(chǔ) 介質(zhì)740。
處理器705可以是英特爾Intel Itanium 或Itanium 2@處理器,AMD Opteron 或Athlon MP 處理器或本領(lǐng)域公知的其他處理器。
通信接口 710可以是物理和/或邏輯接口。例如,通信接口可以是任一 RS-232接口用于與一調(diào)制解調(diào)器基于撥號(hào)連接、 一個(gè)10/100以太網(wǎng)接口、或 一個(gè)銅或光纖的千兆接口。通信接口 710可以根據(jù)計(jì)算機(jī)系統(tǒng)700連接的網(wǎng)絡(luò) 如局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)進(jìn)行選擇。
通信接口 710也可以是以邏輯連接(如傳輸控制協(xié)議(TCP: Transmission Control Protocol)端口或用戶數(shù)據(jù)報(bào)協(xié)議(UDP: Universal Datagram Protocol) 端口 )結(jié)尾命名。例如,通信端口可以是由互聯(lián)網(wǎng)地址指派機(jī)構(gòu)(IANA: Internet Assigned Numbers Authority)根據(jù)特殊用途指派的以下公知的端口之一,如 TCP端口 25 (應(yīng)用于簡(jiǎn)單郵件傳輸協(xié)議)以及TCP端口 80 (應(yīng)用于HTTP 服務(wù))。
主內(nèi)存715可以是隨機(jī)存儲(chǔ)內(nèi)存(RAM: Random Access Memory)或本領(lǐng) 域公知的任何其他動(dòng)態(tài)存儲(chǔ)設(shè)備。
只讀存儲(chǔ)器720可以是任何靜態(tài)存儲(chǔ)裝置例如用于存儲(chǔ)靜態(tài)信息,如處理 器705的指令的可編程只讀存儲(chǔ)器(PROM)芯片。
大容量存儲(chǔ)器725可以用來(lái)存儲(chǔ)信息與指令。例如,硬盤(pán)如入(13 160@系列 的SCSI驅(qū)動(dòng)器、光盤(pán)、磁盤(pán)陣列如RAID,如Adaptec系列的RAID驅(qū)動(dòng),或 任何其他可以使用的大容量存儲(chǔ)裝置。
總線730是處理器705與其他內(nèi)存,存儲(chǔ)以及通信模塊之間的通信連結(jié)。 總線330可以是根據(jù)所使用的存儲(chǔ)裝置基于PCI/PCI-X或SCSI的系統(tǒng)總線。
非強(qiáng)制性的移動(dòng)存儲(chǔ)介質(zhì)740可以是任何種類的外部硬驅(qū)動(dòng),軟驅(qū)動(dòng), 101^^0八@壓縮驅(qū)動(dòng),壓縮磁盤(pán)一只讀存儲(chǔ)器(CD-ROM),壓縮磁盤(pán)一可復(fù)寫(xiě) 存儲(chǔ)器(CD-RW),數(shù)字錄像磁盤(pán)—只讀存儲(chǔ)器(DVD-ROM),可復(fù)寫(xiě)DVD 及其它類似介質(zhì)。圖8所示為本發(fā)明一實(shí)施例中電子郵件地址檢測(cè)操作的流程圖。根據(jù)具體 實(shí)施方式,以下所述的各種操作與判斷流程可以由硬件、嵌入的設(shè)備可執(zhí)行的 指令來(lái)執(zhí)行,以產(chǎn)生一通用用途或一特殊用途的以指令編碼的處理器,從而執(zhí) 行操作步驟或執(zhí)行硬件、軟件、固件結(jié)合和/或人為參與/互動(dòng)的步驟。
流程810中,對(duì)一待檢測(cè)的電子郵件信息執(zhí)行電子郵件地址掃描,判斷其
是否含有或來(lái)自于一可疑郵件地址或域名。為了便于當(dāng)前實(shí)施例的說(shuō)明,對(duì)郵 件信息的流量方向沒(méi)有特別限定。如上所述中,所述電子郵件信息可以是向內(nèi)、 向外或企業(yè)內(nèi)部之間的電子郵件信息。但是,在各種實(shí)施例中,電子郵件地址 檢測(cè)操作可以只對(duì)某一方向有效或?qū)︶槍?duì)不同的信息流配置不同的檢測(cè)閥值。
流程820中,將在所述待檢測(cè)的電子郵件信息中識(shí)別出的電子郵件地址和 /或域名與一靜態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)相比較,如靜態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)223。在一實(shí) 施例中, 一郵件過(guò)濾器,例如郵件過(guò)濾器221,可配有一個(gè)包括關(guān)于一或多個(gè) 目標(biāo)域名的一可能錯(cuò)誤拼寫(xiě)靜態(tài)列表的靜態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)。例如, 一個(gè)公司 可以只對(duì)自己的域名及主要合作商、客戶與供應(yīng)商的域名啟動(dòng)檢測(cè)。在其他實(shí) 施例中,電子郵件地址檢測(cè)操作可以應(yīng)用于所有的域名。另一些情況下,郵件 地址檢測(cè)操作可以只對(duì)一域名選擇列表啟動(dòng)。如上所述,在一些情況下,除完 整特定電子郵件地址外,該待檢測(cè)的電子郵件信息報(bào)頭中包含的任何友好名稱 也可以査看。
判斷流程830中,判斷該待檢測(cè)的電子郵件信息中包含的任何電子郵件地 址是否是潛在的錯(cuò)誤拼寫(xiě)。在一實(shí)施例中,所述的判斷包括將該待檢測(cè)的電子 郵件信息中的電子郵件地址與靜態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)中的地址相匹配。在另一實(shí) 施例中,使用鄰近算法判斷該待檢測(cè)的電子郵件信息中包含的電子郵件地址與 靜態(tài)拼寫(xiě)錯(cuò)誤數(shù)據(jù)庫(kù)中地址的相似度以獲取那些沒(méi)有被錯(cuò)誤拼寫(xiě)生成算法檢 測(cè)到的潛在的錯(cuò)誤拼寫(xiě)變形。
根據(jù)一實(shí)施例,一示范性的鄰近算法可以將一該待檢測(cè)的電子郵件地址與 靜態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)中的每項(xiàng)域名進(jìn)行逐項(xiàng)比較;但是,這樣的操作只對(duì)于域 名列表相對(duì)較小的情況可行。面臨一個(gè)大型的域名列表時(shí),可以使用一更為成 熟的算法。例如,在假設(shè)域名的一些子集(例如第一與最后的字母)是正確的 情況下對(duì)該靜態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)進(jìn)行預(yù)過(guò)濾。類似,該靜態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)也 可以根據(jù)域名的長(zhǎng)度執(zhí)行過(guò)濾(例如, 一個(gè)10字符的字符串不可能是一個(gè)20字符域名的錯(cuò)誤拼寫(xiě))。
此外亦或其他,在一個(gè)實(shí)施例中,該待檢測(cè)的電子郵件地址可以通過(guò)運(yùn)行
一處理功能而創(chuàng)建一個(gè)或多個(gè)哈希值(hashvalue)。相同的處理功能可以應(yīng)用 于該列表的其他域名,然后對(duì)所得出的值進(jìn)行比較。在這樣一示例功能中,字 母表中每個(gè)字母可以被分配一個(gè)的值,那么域名中的字母便可以相加生成一個(gè) 總的計(jì)分。如果兩個(gè)字符串具有相同的計(jì)分,那么其中一個(gè)字符串便可能是另 一個(gè)的重新排序。在另一個(gè)實(shí)施例中, 一個(gè)含N個(gè)字符的字符串將被運(yùn)行一 項(xiàng)處理功能,產(chǎn)生N個(gè)不同的輸出值,每個(gè)輸出值與刪除輸入字符串的一個(gè) 字符時(shí)的上述加和函數(shù)相對(duì)應(yīng)。如果將這些輸出值與針對(duì)每一個(gè)目標(biāo)域名產(chǎn)生 的哈希值列表相比較,那么地址中字母被刪除或被替換的情況便可能被檢測(cè) 到。在一個(gè)實(shí)施例中,哈希值可以由一個(gè)整數(shù)值來(lái)表示(例如一個(gè)8bit、 16bit 或32bit的值)。其他實(shí)施例中,哈希值也可以是一較大的數(shù)字或一個(gè)字符串。 而且,該匹配函數(shù)并非必需査找精確的匹配。例如,執(zhí)行匹配函數(shù)可以僅僅是 在一確定范圍內(nèi)簡(jiǎn)單查看兩個(gè)字符串的哈希值間的區(qū)別,或者,該匹配函數(shù)可 以查看兩個(gè)哈希值中有多少相同的字節(jié)。
在一個(gè)實(shí)施例中,如果該靜態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)相當(dāng)大,那么對(duì)該待檢測(cè)的 電子郵件信息中包含的該電子郵件地址的真實(shí)性對(duì)比可以通過(guò)對(duì)一外部服務(wù) 器的查詢來(lái)進(jìn)行。根據(jù)各種實(shí)施例,該外部服務(wù)器具有一個(gè)包含一長(zhǎng)的域名列 表的錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù),所述列表可根據(jù)一或多個(gè)哈希函數(shù)進(jìn)行索引。當(dāng)所述外 部服務(wù)器接收到一個(gè)包含一輸入字符串(或哈希值列表)的查詢時(shí),便搜索該 數(shù)據(jù)庫(kù)以產(chǎn)生一組匹配(或接近匹配)的域名。之后,對(duì)于所產(chǎn)生的一組域名 可以在本地或遠(yuǎn)程執(zhí)行進(jìn)一步的操作,判斷是否該輸入字符串中存在可能的錯(cuò) 誤拼寫(xiě)。
如上所述, 一個(gè)或多個(gè)目標(biāo)域名的可能的錯(cuò)誤拼寫(xiě)和/或可能故意誤導(dǎo)的 變形可以存儲(chǔ)在一個(gè)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)中。列表中的潛在的錯(cuò)誤拼寫(xiě)與其變形可 通過(guò)各種方法產(chǎn)生,例如,最近相鄰算法、基于人工輸入模式的可能錯(cuò)誤拼寫(xiě), 或其他當(dāng)前或未來(lái)拼寫(xiě)檢査器或在線詞典使用的算法。任何情況下,如果該待 檢測(cè)的電子郵件信息中包含的一電子郵件地址與列于錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)中的一 錯(cuò)誤拼寫(xiě)相匹配,操作便繼續(xù)流程840;否則該電子郵件地址檢測(cè)操作便被認(rèn) 為已完成。在電子郵件地址檢測(cè)/掃描操作的過(guò)程中, 一郵件過(guò)濾器可以將一些來(lái)自于或 發(fā)送至這些域名/地址的域名/郵件地址或郵件信息標(biāo)記為可疑。這樣的標(biāo)注動(dòng) 作是一個(gè)內(nèi)部標(biāo)記系統(tǒng)可以具體的執(zhí)行。這并不必然暗示該電子郵件信息的真 實(shí)內(nèi)容被改變(雖然在一些實(shí)施例中電子郵件信息的內(nèi)容可以被改變)。在一 實(shí)施例中,內(nèi)存中與該待檢測(cè)的電子郵件信息有關(guān)的變量發(fā)生了變化,該待檢 測(cè)的電子郵件信息的報(bào)頭之一被改變或在該電子郵件信息的主題或正文中插 入警告信息。亦或者,該標(biāo)注可以被該郵件過(guò)濾器或郵件傳輸系統(tǒng)的其他部件 所使用,以改變郵件信息處理的過(guò)程(例如,丟棄/重新發(fā)送該電子郵件信息 或添加聲明或警告信息)。如果該標(biāo)注包含在電子郵件信息的報(bào)頭/主體中,那 么也可以被一電子郵件用戶端或其他中間設(shè)備所截取和/或處理。
流程840中,所述待檢測(cè)的電子郵件信息可以根據(jù)一預(yù)先定義或配置的針
對(duì)潛在錯(cuò)誤拼寫(xiě)域名的電子郵件安全策略進(jìn)行處理。該電子郵件安全策略可以 定義為任何動(dòng)作,包括但不局限于,記錄事件日志、丟棄該待檢測(cè)的電子郵件 信息、隔離該待檢測(cè)的電子電子郵件信息、標(biāo)記該待檢測(cè)的電子電子郵件信息 為垃圾郵件、標(biāo)記該待檢測(cè)的電子郵件為可能的網(wǎng)絡(luò)釣魚(yú)、警告電子郵件使用 者存在一可疑電子郵件地址(例如以不同的字體或顏色顯示該待檢測(cè)的電子郵 件地址)、請(qǐng)求發(fā)件人重新確認(rèn)該待檢測(cè)的電子郵件地址的正確性(例如彈出 確認(rèn)對(duì)話框或要求發(fā)件人回復(fù)確定郵件信息)。對(duì)于向內(nèi)或向外的郵件信息可 以采取不同的處理動(dòng)作。
圖9所示是根據(jù)本發(fā)明的其他實(shí)施例進(jìn)行的郵件地址檢測(cè)操作的流量。流 程910中,作為對(duì)向內(nèi)、向外和/或企業(yè)內(nèi)部郵件信息的回應(yīng),執(zhí)行流量分析 操作。根據(jù)一實(shí)施例,通信階段中的一或多個(gè)級(jí)別的流量分析配置文件可以被 建立。例如,用戶、服務(wù)器和/或全局級(jí)別之間的常規(guī)郵件流量模式可以用于 培養(yǎng)郵件地址/域名之間的一個(gè)或多個(gè)雙向通信的貝葉斯定理數(shù)據(jù)庫(kù)。在一實(shí) 施例中,郵件過(guò)濾器可以提供針對(duì)一個(gè)或多個(gè)目標(biāo)域名的可能性錯(cuò)誤拼寫(xiě)的動(dòng) 態(tài)列表。該列表可以根據(jù)流量分析進(jìn)行使用。例如,郵件過(guò)濾器可以監(jiān)控郵件 流量,產(chǎn)生一個(gè)被監(jiān)測(cè)地址和/或域名的列表。
垃圾郵件信息常使用偽造的域名或郵件地址,所述域名或地址與域名搶注 者所使用的故意錯(cuò)誤拼寫(xiě)或誤導(dǎo)的地址的模式并不相同。因此,在一些實(shí)施例 中,被標(biāo)記為垃圾郵件的流量可以不用執(zhí)行已知的錯(cuò)誤拼寫(xiě)列表檢測(cè)。同樣,攜帶有病毒的郵件信息也可以排除這樣錯(cuò)誤拼寫(xiě)列表檢測(cè)(雖然在一些情況 下,攜帶病毒的郵件信息也是從合法郵件賬戶發(fā)送出來(lái)的。)
一些實(shí)施例中,已知錯(cuò)誤拼寫(xiě)列表中的一些特征或條目可以通過(guò)在運(yùn)行時(shí)
間內(nèi)使用名稱服務(wù)器査詢(nslook)操作查看郵件地址所屬的域名是否注冊(cè)而 被刪減。這樣可以幫助錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)減小容量。對(duì)于向外的郵件流量,ndlook 查詢操作可以幫助區(qū)別"無(wú)辜"的錯(cuò)誤拼寫(xiě)與可能導(dǎo)致發(fā)送到域名搶注者的流 量的有威脅的錯(cuò)誤拼寫(xiě)。對(duì)于向內(nèi)的流量,nslook查詢失敗的域名可以被添加 到未來(lái)可能成為搶注者目標(biāo)的査看列表中。如果該列表中的這些域名在未來(lái)被 注冊(cè)便可以產(chǎn)生一個(gè)警告信息,并且從該域名發(fā)出的或到達(dá)該域名的電子郵件 信息可以被標(biāo)記為"可疑"。在一些實(shí)施例中,域名最后注冊(cè)或傳輸?shù)臅r(shí)間可 以被作為判斷域名是否可疑的一項(xiàng)指標(biāo)。域名搶注者在注冊(cè)短暫性存活的臨時(shí) 合同中的域名時(shí)候是可知的或在多個(gè)公司之間改變域名時(shí)也同樣。
判斷流程920中,對(duì)于該待檢測(cè)的電子郵件是否是一未監(jiān)測(cè)到的新流量模 式的判斷過(guò)程可以是在初始培養(yǎng)階段檢測(cè)新的流量模式。如存在新的流量模 式,繼續(xù)流程930的操作,否則進(jìn)行流程940。
流程930中,如果來(lái)自于或送至郵件地址的該待檢測(cè)的電子郵件與通信流 量的常規(guī)模式不匹配,則可以進(jìn)一步采取各種動(dòng)作。在一實(shí)施例中,如果流量 分析操作檢測(cè)到兩個(gè)之前不進(jìn)行通信的用戶之間的郵件信息,將啟動(dòng)進(jìn)一步啟 發(fā)性掃描。根據(jù)進(jìn)一步啟發(fā)性掃描規(guī)則(亦或者不應(yīng)用進(jìn)一步的掃描規(guī)則), 可以更新一動(dòng)態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)以反映該新的通信模式,并允許對(duì)任何新監(jiān)控 的郵件地址或域名進(jìn)行潛在的錯(cuò)誤拼寫(xiě)或其變異。
流程940中,該待檢測(cè)的郵件信息中所包含的郵件地址可以與該被監(jiān)測(cè)郵 件地址列表和/或可能性錯(cuò)誤拼寫(xiě)的動(dòng)態(tài)列表進(jìn)行匹配。上述兩個(gè)列表或其中 之一可基于流量分析而移植。例如,郵件過(guò)濾器可以檢測(cè)郵件流量以生成一被 監(jiān)測(cè)的郵件地址和/或域名列表。然后,該郵件過(guò)濾器可以掃描該列表以檢測(cè) 該域名是否為列表中其他名稱的可能性錯(cuò)誤拼寫(xiě)。
判斷流程950中,判斷該待檢測(cè)的電子郵件信息中包含的任何郵件地址是 否是可疑的,例如,是否包含于一已知的錯(cuò)誤拼寫(xiě)列表和/或被識(shí)別為被監(jiān)測(cè) 郵件地址列表的潛在錯(cuò)誤拼寫(xiě)和/或可能的故意錯(cuò)誤拼寫(xiě)的變形。如果是,則 進(jìn)行步驟690,否則郵件地址檢測(cè)操作處理被認(rèn)為已完成。流程960中,該待檢測(cè)的電子郵件信息將根據(jù)預(yù)先設(shè)定或配置的針對(duì)潛在
的錯(cuò)誤拼寫(xiě)的域名電子郵件安全策略進(jìn)行處理。如上所述,該電子郵件安全策 略可以定義為任何動(dòng)作,包括但不局限于,記錄事件日志、丟棄該待檢測(cè)的電 子郵件信息、隔離該待檢測(cè)的電子郵件信息、標(biāo)記該待檢測(cè)的電子郵件信息為 垃圾郵件、標(biāo)記該待檢測(cè)的電子郵件為可能的網(wǎng)絡(luò)釣魚(yú)、發(fā)送報(bào)警郵件到郵件 用戶警報(bào)存在可疑郵件地址(例如以不同的字體或顏色顯示該待檢測(cè)的電子郵 件地址)、請(qǐng)求發(fā)件人重新確認(rèn)該待檢測(cè)的電子郵件地址的正確性(例如彈出 一確認(rèn)對(duì)話框或要求發(fā)件人回復(fù)一封確認(rèn)電子郵件信息)。此外,對(duì)于向內(nèi)或 向外的郵件信息或企業(yè)內(nèi)部電子郵件信息可以采取不同的處理動(dòng)作。
圖10所示是根據(jù)本發(fā)明的另一實(shí)施例中電子郵件地址檢測(cè)操作的說(shuō)明 圖。在流程1010中,對(duì)一待檢測(cè)的電子郵件信息執(zhí)行郵件地址掃描以識(shí)別所 包含的電子郵件地址,例如,到達(dá)/接收的電子郵件地址。
流程1020中,對(duì)于該待檢測(cè)的電子郵件信息中所包含的每個(gè)電子郵件地 址與域名,執(zhí)行錯(cuò)誤拼寫(xiě)概率的判斷操作。在該例中,可以根本不應(yīng)用可能的 錯(cuò)誤拼寫(xiě)列表,一郵件過(guò)濾器可以根據(jù)一套啟發(fā)性規(guī)則只計(jì)算在運(yùn)行時(shí)間內(nèi)的 錯(cuò)誤拼寫(xiě)的概率,所述啟發(fā)性規(guī)則例如為啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)426。
在流程1030中,對(duì)可疑性的度量大小進(jìn)行判斷,例如錯(cuò)誤拼寫(xiě)概率,是 否達(dá)到或超出預(yù)先定義或配置的閾值。如果達(dá)到或超出預(yù)先定義或配置的閾 值,處理操作繼續(xù)流程1040,否則郵件地址檢測(cè)操作已經(jīng)完成。
流程1040中,該待檢測(cè)的電子郵件信息將根據(jù)預(yù)先定義或配置的對(duì)潛在 錯(cuò)誤拼寫(xiě)域名設(shè)定的電子郵件安全策略進(jìn)行處理。如上所述,該電子郵件安全 策略可以定義為任何動(dòng)作,包括但不局限于,記錄事件日志、丟棄該待檢測(cè)的 電子郵件信息、隔離該待檢測(cè)的電子郵件信息、標(biāo)記該待檢測(cè)的電子郵件信息 為垃圾郵件、標(biāo)記該待檢測(cè)的電子郵件為可能的網(wǎng)絡(luò)釣魚(yú)、發(fā)送報(bào)警郵件到郵 件用戶警報(bào)存在可疑郵件地址(例如以不同的字體或顏色顯示該待檢測(cè)的電子 郵件地址)、請(qǐng)求發(fā)件人重新確認(rèn)該待檢測(cè)的電子郵件地址的正確性(例如彈 出確認(rèn)對(duì)話框或要求發(fā)件人回復(fù)一封確認(rèn)電子郵件信息)。對(duì)于向內(nèi)或向外的 郵件信息或企業(yè)內(nèi)部電子郵件信息可以采取不同的處理動(dòng)作。
圖11所示是根據(jù)本發(fā)明的其他實(shí)施例中電子郵件地址檢測(cè)操作的說(shuō)明 圖。流程1110中,針對(duì)向內(nèi)、向夕卜和/或企業(yè)內(nèi)部的電子郵件信息的回應(yīng),將
26執(zhí)行流量分析操作。參考對(duì)圖9的描述,根據(jù)一實(shí)施例,在通信階段中的一或 多個(gè)級(jí)別的流量分析配置文件可以被建立。例如,用戶、服務(wù)器和/或全局級(jí) 別之間的常規(guī)郵件流量模式可以用于培養(yǎng)郵件地址/域名之間的一個(gè)或多個(gè)雙 向通信的貝葉斯定理數(shù)據(jù)庫(kù)。在一實(shí)施例中,郵件過(guò)濾器可以提供針對(duì)一個(gè)或 多個(gè)目標(biāo)域名的可能性錯(cuò)誤拼寫(xiě)的動(dòng)態(tài)列表。該列表可以根據(jù)流量分析進(jìn)行使 用。例如,郵件過(guò)濾器可以監(jiān)控郵件流量,產(chǎn)生一個(gè)被監(jiān)測(cè)地址和/或域名的 列表。
判斷流程1120中,對(duì)于該待檢測(cè)的電子郵件是否是一未監(jiān)測(cè)到的新流量 模式的判斷過(guò)程可以是在初始培養(yǎng)階段檢測(cè)新的流量模式。如存在新的流量模 式,繼續(xù)流程1130的操作,否則進(jìn)行流程1140。
流程1130中,如果來(lái)自于或送至郵件地址的該待檢測(cè)的電子郵件與通信 流量的常規(guī)模式不匹配,可以進(jìn)一步采取各種動(dòng)作。在一實(shí)施例中,如果流量 分析操作檢測(cè)到兩個(gè)之前不進(jìn)行通信的用戶之間的郵件信息,將啟動(dòng)進(jìn)一步啟 發(fā)性掃描。根據(jù)進(jìn)一步啟發(fā)性掃描規(guī)則(亦或者不應(yīng)用進(jìn)一步的掃描規(guī)則), 可以更新一動(dòng)態(tài)錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)以反映該新的通信模式,并允許對(duì)任何新監(jiān)控 的郵件地址或域名進(jìn)行潛在的錯(cuò)誤拼寫(xiě)或其變異。
判斷流程1140中,判斷來(lái)自于膽至郵件地址的該待檢測(cè)的電子郵件是否 代表一可疑郵件流量模式。例如,之前并不通信的兩個(gè)或多個(gè)用戶之間的電子 郵件信息,該待檢測(cè)的電子郵件信息包括一電子郵件地址的變異(例如,氣net 或氣org被氣com代替)等。如果該待檢測(cè)的電子郵件信息代表一可疑的流量 模式,操作將進(jìn)行1150,否則便繼續(xù)流程1160。
流程1150中,該待檢測(cè)的電子郵件信息將根據(jù)預(yù)先定義或配置的對(duì)潛在 錯(cuò)誤拼寫(xiě)域名設(shè)定的電子郵件安全策略進(jìn)行處理。如上所述,該電子郵件安全 策略可以定義為任何動(dòng)作,包括但不局限于,記錄事件日志、丟棄該待檢測(cè)的 電子郵件信息、隔離該待檢測(cè)的電子郵件信息、標(biāo)記該待檢測(cè)的電子郵件信息 為垃圾郵件、標(biāo)記該待檢測(cè)的電子郵件為可能的網(wǎng)絡(luò)釣魚(yú)、發(fā)送報(bào)警郵件到郵 件用戶警報(bào)存在可疑郵件地址(例如以不同的字體或顏色顯示該待檢測(cè)的電子 郵件地址)、請(qǐng)求發(fā)件人重新確認(rèn)該待檢測(cè)的電子郵件地址的正確性(例如彈 出確認(rèn)對(duì)話框或要求發(fā)件人回復(fù)確定郵件信息)。此外,對(duì)于向內(nèi)或向外的郵 件信息或企業(yè)內(nèi)部電子郵件信息可以采取不同的處理動(dòng)作。
27流程1160中,可通過(guò)如下方式對(duì)該待檢測(cè)的電子郵件信息中包含的該電
子郵件地址進(jìn)行評(píng)估i)將該地址與被監(jiān)測(cè)的電子郵件地址和/或可能的錯(cuò)誤
拼寫(xiě)動(dòng)態(tài)列表相比較;和/或ii)根據(jù)運(yùn)行時(shí)間內(nèi)的啟發(fā)性掃描和/或與錯(cuò)誤拼 寫(xiě)數(shù)據(jù)庫(kù)連接判斷錯(cuò)誤拼寫(xiě)的概率。
判斷流程1170中,判斷一錯(cuò)誤拼寫(xiě)概率是否達(dá)到或超出預(yù)先定義或配置 的閾值。如果達(dá)到或超出預(yù)先定義或配置的閾值,該操作將繼續(xù)流程1180, 否則郵件地址檢測(cè)操作已經(jīng)完成。
流程1180中,該待檢測(cè)的電子郵件信息將根據(jù)預(yù)先定義或配置的對(duì)潛在 錯(cuò)誤拼寫(xiě)域名設(shè)定的電子郵件安全策略進(jìn)行處理。如上所述,電子郵件安全策 略可以定義為任何動(dòng)作,包括但不局限于,記錄事件日志、丟棄該待檢測(cè)的電 子郵件信息、隔離該待檢測(cè)的電子郵件信息、標(biāo)記該待檢測(cè)的電子郵件信息為 垃圾郵件、標(biāo)記該待檢測(cè)的電子郵件為可能的網(wǎng)絡(luò)釣魚(yú)、發(fā)送報(bào)警郵件到郵件 用戶警報(bào)存在可疑郵件地址(例如以不同的字體或顏色顯示該待檢測(cè)的電子郵 件地址)、請(qǐng)求發(fā)件人重新確認(rèn)該待檢測(cè)的電子郵件地址的正確性(例如彈出 確認(rèn)對(duì)話框或要求發(fā)件人回復(fù)一封確認(rèn)電子郵件信息)。此外,對(duì)于向內(nèi)或向 外的郵件信息或企業(yè)內(nèi)部電子郵件信息可以采取不同的處理動(dòng)作。
圖12所示是根據(jù)本發(fā)明的又一其他實(shí)施例中電子郵件地址檢測(cè)操作的說(shuō) 明圖。流程1210中,對(duì)于對(duì)向內(nèi)、向外和/或企業(yè)內(nèi)部的電子郵件信息的回應(yīng), 執(zhí)行流量分析操作。參考對(duì)圖9的描述,根據(jù)一實(shí)施例,通信階段中的一或多 個(gè)級(jí)別的流量分析配置文件可以被建立。例如,基于常規(guī)電子郵件流量模式培 養(yǎng)一個(gè)或多個(gè)雙向通信的貝葉斯定理數(shù)據(jù)庫(kù)(例如流量配置文件數(shù)據(jù)庫(kù)626)。 一錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù),例如錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)623可以基于該常規(guī)流量模式得以建 立和/或可以基于新檢測(cè)到的模式的選擇性地得到補(bǔ)充。如上所述,掃描該已 知錯(cuò)誤拼寫(xiě)列表,垃圾電子郵件信息和/或含有病毒的電子郵件信息可以從操 作中移除。
根據(jù)當(dāng)前所述實(shí)施例,一 URL分類數(shù)據(jù)庫(kù)或一整套URL分類數(shù)據(jù)庫(kù)可以 交叉參考以協(xié)助信息可疑性的判斷。一 URL分類服務(wù)舉例如URL分類服務(wù) 660,可以參考判斷該待檢測(cè)的電子郵件信息中與郵件地址有關(guān)域名的合法性 計(jì)分和/或使用策略。在一實(shí)施例中,較低的合法性計(jì)分和/或不可接受使用策 略的域名可被標(biāo)記為可疑,服從于本地否決列表。在一些情況下,該URL分類服務(wù)可以基于種類執(zhí)行,而不是返回一個(gè)數(shù)值或布爾結(jié)果。這樣的實(shí)施例中, 該種類可以根據(jù)預(yù)先定義的轉(zhuǎn)換表被轉(zhuǎn)換為一個(gè)數(shù)值或布爾結(jié)果。例如, 一個(gè) 被劃分為"新聞"類的網(wǎng)站可以具有較高的合法性計(jì)分,而一被劃分為"間諜 軟件"的網(wǎng)站將具有較低的合法性計(jì)分。
判斷流程1220中,判斷是否存在可應(yīng)用的白名單否決列表。例如, 一白 名單數(shù)據(jù)庫(kù),如白/黑名單數(shù)據(jù)庫(kù)622,可以自動(dòng)或手動(dòng)配置各種對(duì)可疑信息查 詢沒(méi)有用處的電子郵件地址和/或域名。該實(shí)施例中,如果該待檢測(cè)的電子郵 件信息中所包含的全部電子郵件地址和/或域名均在白名單中,便沒(méi)必要進(jìn)行 進(jìn)一步的電子郵件地址檢測(cè)操作;但是,如果該待檢測(cè)的電子郵件信息中的郵 件地址和/或域名中至少有一個(gè)不在該白名單中,那么電子郵件地址檢測(cè)操作 繼續(xù)執(zhí)行流程1230 (只對(duì)那些不在該白名單中的地址執(zhí)行)。
同樣,雖然圖中沒(méi)有示出,判斷操作流程中可以包括判斷是否存在可適用 的黑名單否決列表。例如, 一黑名單數(shù)據(jù)庫(kù),比如白/黑名單數(shù)據(jù)庫(kù)622,可以 自動(dòng)或手動(dòng)配置各種經(jīng)??梢园l(fā)現(xiàn)可疑信息的郵件地址和/或域名。在該實(shí)施 例中,如果該待檢測(cè)的電子郵件信息中的任一電子郵件地址和/或域名在黑名 單中出現(xiàn),便沒(méi)必要進(jìn)行進(jìn)一步電子郵件地址檢測(cè)操作,且該電子郵件信息將 根據(jù)對(duì)可疑電子郵件地址設(shè)定的一郵件安全策略進(jìn)行處理。但是,如果該待檢 測(cè)的電子郵件信息中所包含的郵件地址和/或域名均不在該黑名單中,那么郵 件地址檢測(cè)操作繼續(xù)執(zhí)行判斷流程1230。
判斷流程1230中,將判斷該待檢測(cè)的電子郵件信息是否是可疑流量模式 (例如,在一初始培養(yǎng)階段中該模式未被監(jiān)測(cè)到和/或該待檢測(cè)的電子郵件中 包含一具有較低的合法性分?jǐn)?shù)和/或不可接受的使用策略的郵件地址或域名) 有關(guān)。如果是,則操作將繼續(xù)流程1240;否則,繼續(xù)流程1270。
流程1240中,作為對(duì)檢測(cè)到一可疑流量模式做出的回應(yīng),可以進(jìn)一步采 取各種動(dòng)作。例如,根據(jù)一實(shí)施例,會(huì)對(duì)該待檢測(cè)的電子郵件信息發(fā)起進(jìn)一步 的啟發(fā)性規(guī)則分析和/或進(jìn)行貝葉斯過(guò)濾器的多層過(guò)濾操作,例如應(yīng)用流量配 置文件數(shù)據(jù)庫(kù)626。
判斷流程1250中,判斷該待檢測(cè)的電子郵件信息是否違反了一項(xiàng)或多項(xiàng) 啟發(fā)性規(guī)則。如果有違反,繼續(xù)流程1260;反之,繼續(xù)流程1270。
流程1260中,該待檢測(cè)的電子郵件信息將根據(jù)預(yù)先定義或配置的對(duì)可疑流量模式設(shè)定的電子郵件安全策略進(jìn)行處理。該電子郵件安全策略可以定義為 任何動(dòng)作,包括但不局限于,記錄事件日志、丟棄該待檢測(cè)的電子郵件信息、 隔離該待檢測(cè)的電子郵件信息、標(biāo)記該待檢測(cè)的電子郵件信息為垃圾郵件、標(biāo) 記該待檢測(cè)的電子郵件為可能的網(wǎng)絡(luò)釣魚(yú)、發(fā)送報(bào)警郵件到郵件用戶警報(bào)存在 可疑郵件地址(例如以不同的字體或顏色顯示該待檢測(cè)的電子郵件地址)、請(qǐng) 求發(fā)件人重新確認(rèn)該待檢測(cè)的電子郵件地址的正確性(例如彈出確認(rèn)對(duì)話框或 要求發(fā)件人回復(fù)一封確認(rèn)電子郵件信息)。對(duì)于向內(nèi)或向外的郵件信息或企業(yè) 內(nèi)部電子郵件信息可以采取不同的處理動(dòng)作。
流程1270中,可通過(guò)如下方式對(duì)該待檢測(cè)的電子郵件信息中包含的電子 郵件地址進(jìn)行評(píng)估(除了白名單地址/域名)i)將該地址與被監(jiān)測(cè)的電子郵件 地址和/或可能的錯(cuò)誤拼寫(xiě)動(dòng)態(tài)列表相比較;禾tV或ii)根據(jù)運(yùn)行時(shí)間內(nèi)的啟發(fā) 性掃描和/或與錯(cuò)誤拼寫(xiě)數(shù)據(jù)庫(kù)連接判斷錯(cuò)誤拼寫(xiě)的概率。
判斷流程1280中,判斷一錯(cuò)誤拼寫(xiě)概率是否達(dá)到或超出預(yù)先定義或配置
的閾值。如果達(dá)到或超出預(yù)先定義或配置的閾值,操作將繼續(xù)流程1290,否
則電子郵件地址檢測(cè)操作己經(jīng)完成。
流程1290中,該待檢測(cè)的電子郵件信息將根據(jù)預(yù)先定義或配置的對(duì)可疑 流量模式設(shè)定的電子郵件安全策略進(jìn)行處理。如上所述,該電子郵件安全策略 可以定義為任何動(dòng)作,包括但不局限于,記錄事件日志、丟棄該待檢測(cè)的電子 郵件信息、隔離該待檢測(cè)的電子郵件信息、標(biāo)記該待檢測(cè)的電子郵件信息為垃 圾郵件、標(biāo)記該待檢測(cè)的電子郵件為可能的網(wǎng)絡(luò)釣魚(yú)、發(fā)送報(bào)警郵件到郵件用 戶警報(bào)存在可疑郵件地址(例如以不同的字體或顏色顯示該待檢測(cè)的電子郵件 地址)、請(qǐng)求發(fā)件人重新確認(rèn)該待檢測(cè)的電子郵件地址的正確性(例如彈出確 認(rèn)對(duì)話框或要求發(fā)件人回復(fù)一封確認(rèn)電子郵件信息)。對(duì)于向內(nèi)或向外的郵件 信息或企業(yè)內(nèi)部電子郵件信息可以采取不同的處理動(dòng)作。
應(yīng)當(dāng)注意的是,考慮到對(duì)本發(fā)明的實(shí)現(xiàn)存在潛在的無(wú)限變形與結(jié)合,上述 的流程圖僅僅作為示范性舉例,且本行業(yè)中的一般技術(shù)人員可以識(shí)別本發(fā)明的 不同實(shí)施例中使用的各種郵件地址處理操作的其他選擇實(shí)施方式和/或另外的 變形。例如,雖然有關(guān)URL分類數(shù)據(jù)庫(kù)交叉參考使用只結(jié)合圖12的實(shí)施例進(jìn) 行了說(shuō)明,但是熟悉本領(lǐng)域的技術(shù)人員能夠了解這樣的交互參考可以應(yīng)用于任 何或全部郵件地址檢測(cè)的實(shí)施例中輔助判斷與郵件地址和/或域名有關(guān)的可疑性信息。
盡管本文中提出并描述了一些特殊的實(shí)施例。但應(yīng)該理解的是這些特殊的 實(shí)施例僅作為示例提出,并不作為對(duì)本發(fā)明的限制。本發(fā)明還可有其他多種實(shí) 施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根 據(jù)本發(fā)明作出各種相應(yīng)的改變和變形,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā) 明所附的權(quán)利要求的保護(hù)范圍。
權(quán)利要求
1. 一種方法包括掃描電子通訊信息以判斷該電子通訊信息中是否含有一個(gè)或多個(gè)可疑地址或是否是一種可疑的流量模式;且如果判斷該電子通訊信息中含有一個(gè)或多個(gè)可疑地址或表示為一可疑的流量模式,便根據(jù)對(duì)可疑電子通訊信息設(shè)定的電子通信安全策略處理該電子通信信息。
2. 根據(jù)權(quán)利要求1所述方法,所述電子通訊信息包括一電子郵件信息。
3. 根據(jù)權(quán)利要求2所述方法,所述掃描電子通訊信息以判斷該電子通信信 息中是否含有一個(gè)或多個(gè)可疑地址包括將該電子郵件信息中包含的一電子郵 件地址與一個(gè)或多個(gè)目標(biāo)域名的一可能性錯(cuò)誤拼寫(xiě)靜態(tài)列表匹配。
4. 根據(jù)權(quán)利要求2所述方法,其進(jìn)一步包括通過(guò)檢測(cè)一或多個(gè)電子郵件流量及其它網(wǎng)絡(luò)流量生成一被監(jiān)測(cè)的電子郵 件地址與域名的列表;且所述掃描電子通訊信息以判斷該電子通信信息中是否含有一個(gè)或多個(gè)可 疑地址包括識(shí)別該電子郵件信息中包含的一電子郵件地址為所述列表中的被 監(jiān)測(cè)的電子郵件地址或域名的可能的錯(cuò)誤拼寫(xiě)。
5. 根據(jù)權(quán)利要求4所述方法,還進(jìn)一歩包括將所述掃描的第一結(jié)果與就該 郵件地址查詢一數(shù)據(jù)庫(kù)獲得的一結(jié)果進(jìn)行交叉參照。
6. 根據(jù)權(quán)利要求5所述方法,所述數(shù)據(jù)庫(kù)包括第三方或外部統(tǒng)一資源定位 符分類數(shù)據(jù)庫(kù)。
7. 根據(jù)權(quán)利要求2所述方法,還進(jìn)一步包括根據(jù)人工輸入模式計(jì)算可能的錯(cuò)誤拼寫(xiě),從而針對(duì)一個(gè)或多個(gè)目標(biāo)域名生 成一可能錯(cuò)誤拼寫(xiě)列表;且所述掃描電子通訊信息以判斷該電子通信信息中是否含有一個(gè)或多個(gè)可 疑地址包括使該電子郵件信息中包含的一電子郵件地址與可能的錯(cuò)誤拼寫(xiě)列 表相匹配。
8. 根據(jù)權(quán)利要求2所述方法,所述掃描電子通訊信息以判斷該電子通信信 息中是否含有一個(gè)或多個(gè)可疑地址包括根據(jù)一項(xiàng)或多項(xiàng)啟發(fā)性規(guī)則在運(yùn)行時(shí)'間內(nèi)計(jì)算該電子郵件信息中所包含的一電子郵件地址發(fā)生錯(cuò)誤拼寫(xiě)的概率。
9. 根據(jù)權(quán)利要求2所述方法,還進(jìn)一步包括對(duì)郵件信息或部分郵件信息應(yīng) 用一項(xiàng)或多項(xiàng)貝葉斯定理過(guò)濾。
10. 根據(jù)權(quán)利要求9所述方法,所述一項(xiàng)或多項(xiàng)貝葉斯定理過(guò)濾包括基 于被監(jiān)測(cè)的電子郵件流量的流量分析的全局?jǐn)?shù)據(jù)庫(kù)、根據(jù)對(duì)特殊電子郵件服務(wù) 器的被監(jiān)測(cè)的電子郵件流量分析的單服務(wù)器數(shù)據(jù)庫(kù)、以及根據(jù)對(duì)特殊用戶電子 郵件帳戶的被監(jiān)測(cè)的電子郵件流量分析的單用戶數(shù)據(jù)庫(kù)中的一項(xiàng)或多項(xiàng)。
11. 根據(jù)權(quán)利要求2所述方法,所述可疑地址判斷可以讓步于白名單或 黑名單。
12. 根據(jù)權(quán)利要求2所述方法,進(jìn)一步包括通過(guò)監(jiān)控電子郵件流量產(chǎn)生 流量分析配置文件且如果郵件地址中的一個(gè)或多個(gè)源地址或目標(biāo)地址與該流 量分析配置文件中所產(chǎn)生的常規(guī)電子郵件流量模式不符,那么所述電子郵件信 息將被判斷包含一個(gè)或多個(gè)可疑地址。
13. 根據(jù)權(quán)利要求2所述方法,所述電子郵件信息包括向內(nèi)的電子郵件佶,I R 'K、 o
14. 根據(jù)權(quán)利要求2所述方法,所述掃描電子通訊信息以判斷該電子通 信信息中是否含有一個(gè)或多個(gè)可疑地址包括對(duì)與該電子郵件信息收件人有關(guān) 的友好名稱進(jìn)行評(píng)估。
15. 根據(jù)權(quán)利要求2,所述的方法是由郵件過(guò)濾器實(shí)現(xiàn)的,且所述方法 進(jìn)一步包括同時(shí)執(zhí)行的反垃圾郵件操作、反網(wǎng)絡(luò)釣魚(yú)操作、反病毒操作揖及其 他電子郵件安全功能中的一項(xiàng)或多項(xiàng)操作。
16. 根據(jù)權(quán)利要求2所述方法,所述掃描操作的結(jié)果包括反垃圾郵件操 作、反網(wǎng)絡(luò)釣魚(yú)操作、反病毒操作揖及其他電子郵件安全功能中的一項(xiàng)或多項(xiàng) 操作中使用的分?jǐn)?shù)。
17. 根據(jù)權(quán)利要求2所述方法,所述根據(jù)對(duì)可疑電子通信信息設(shè)定的電 子通信安全策略處理該電子通信信息包括記錄事件日志、丟棄電子郵件信息、 隔離電子郵件信息、標(biāo)記電子郵件信息為垃圾郵件、標(biāo)記電子郵件為可能的網(wǎng) 絡(luò)釣魚(yú)、發(fā)送報(bào)警郵件到終端用戶警報(bào)存在一個(gè)或多個(gè)可疑郵件地址。
18. —種網(wǎng)絡(luò)設(shè)備包括存儲(chǔ)一配置用于判斷與電子郵件信息有關(guān)的一電子郵件地址的可疑性程度的郵件過(guò)濾器程序的一存儲(chǔ)設(shè)備;與與所述存儲(chǔ)設(shè)備連接的,配置用于執(zhí)行該郵件過(guò)濾器程序以對(duì)電子郵件地 址進(jìn)行電子郵件流量掃描的一處理器,其中如果一電子郵件信息被判斷其中含有一個(gè)或多個(gè)可疑電子郵件地址,那么 該電子郵件信息將被根據(jù)相應(yīng)的電子郵件安全策略進(jìn)行處理。
19. 根據(jù)權(quán)利要求18所述的網(wǎng)絡(luò)設(shè)備,其中該郵件過(guò)濾器對(duì)不同網(wǎng)絡(luò)的 設(shè)備發(fā)出的服務(wù)請(qǐng)求做出回應(yīng)。
20. 根據(jù)權(quán)利要求18所述的網(wǎng)絡(luò)設(shè)備,其中該網(wǎng)絡(luò)設(shè)備中包括一郵件防 火墻。
21. 根據(jù)權(quán)利要求18所述的網(wǎng)絡(luò)設(shè)備,其中所述郵件過(guò)濾器進(jìn)一步配置 用于根據(jù)人工輸入模式計(jì)算可能的錯(cuò)誤拼寫(xiě),從而針對(duì)一個(gè)或多個(gè)目標(biāo)域名生 成可能性錯(cuò)誤拼寫(xiě)列表;且通過(guò)將所述電子郵件信息中包含的一個(gè)或多個(gè)電子郵件地址與可能錯(cuò)誤 拼寫(xiě)列表相比較判斷該電子郵件信息中是否含有一個(gè)或多個(gè)可疑電子郵件地 址。
全文摘要
本發(fā)明提供檢測(cè)可疑電子通訊信息,例如電子郵件信息中包含、來(lái)自于以及冒充來(lái)源于錯(cuò)誤拼寫(xiě)和/或故意誤導(dǎo)的地址的信息的方法及系統(tǒng)。根據(jù)一實(shí)施例,電子通訊信息,例如電子郵件信息,將被掃描以判斷其是否含有一個(gè)或多個(gè)可疑地址或表示為一可疑的流量模式。如果電子通訊信息被判斷包含一個(gè)或多個(gè)可疑地址或表示為一可疑的流量模式,將根據(jù)與可疑電子通訊信息有關(guān)的電子通訊信息安全策略對(duì)該電子通訊信息進(jìn)行處理。例如,記錄事件日志、丟棄或隔離電子通訊信息、標(biāo)記該通訊信息為垃圾郵件或可能的網(wǎng)絡(luò)釣魚(yú)以及/或警告終端用戶存在一個(gè)或多個(gè)可疑地址。
文檔編號(hào)H04L12/58GK101471897SQ20091000301
公開(kāi)日2009年7月1日 申請(qǐng)日期2009年1月8日 優(yōu)先權(quán)日2008年1月11日
發(fā)明者安德魯·克瑞安扭克 申請(qǐng)人:飛塔信息科技(北京)有限公司