專利名稱:一種垃圾郵件檢測方法及其裝置的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡技術領域����,特別涉及一種垃圾郵件檢測方法及其裝置。
背景技術:
隨著Internet技術的迅猛發(fā)展���,電子郵件正成為一種快捷���、經(jīng)濟的現(xiàn)代 通信技術手段�����。但是電子郵件在為人們提供方便的同時����,也為垃圾郵件���、病 毒���、惡意程序或敏感內(nèi)容信息的傳播提供了重要的載體,對系統(tǒng)安全造成了 嚴重的威脅���。
目前使用基于來源的過濾方式來過濾垃圾郵件,即黑白名單技術�,黑名 單上列出認為會發(fā)垃圾郵件的郵件服務器IP地址,白名單則恰恰相反���。
發(fā)明人在實現(xiàn)本發(fā)明的過程中發(fā)現(xiàn)現(xiàn)有技術中存在的缺陷在于黑白名 單技術只能過濾已經(jīng)在黑名單上的用戶郵件���,而對于來自不明用戶的郵件就 無法通過黑白名單技術進行處理。另外�����,在實際操作此過程中不可能在黑白 名單中包含所有的(即便是大量)的IP地址,而且垃圾郵件發(fā)送者很容易通 過不同的IP地址來制造垃圾�����;而且如果用戶白名單上面的某個用戶電腦上感 染了病毒����,向外大量發(fā)送垃圾郵件,黑白名單技術也不能處理這種情況����。
發(fā)明內(nèi)容
本發(fā)明實施例的目的在于提供一種垃圾郵件檢測方法及其裝置,可動態(tài) 地����、實時地判斷垃圾郵件來源,保證網(wǎng)絡安全����。
本發(fā)明實施例提供一種垃圾郵件檢測方法,包括獲取與預設的行為指 標對應的用戶發(fā)送郵件的行為指標統(tǒng)計信息��,所述行為指標用來衡量發(fā)送郵 件的特征;分別確定每個所述行為指標對應的所述指標統(tǒng)計信息是否超過所 述行為指標對應的指標閾值���,并將超過所述指標閾值的所述行為指標對應的權值進行統(tǒng)計����;若統(tǒng)計結果超過預設的權值閾值���,則確定所述用戶發(fā)送郵件 的行為不正常���。
本發(fā)明實施例還提供一種垃圾郵件檢測裝置,包括-
信息獲取單元�����,用于獲取與預設的行為指標對應的用戶發(fā)送郵件的行為 指標統(tǒng)計信息���,所述行為指標用來衡量發(fā)送郵件的特征��;
權值統(tǒng)計單元,用于分別確定每個所述行為指標對應的所述指標統(tǒng)計信 息是否超過所述行為指標對應的指標閾值�����,并將超過所述指標閾值的所述行 為指標對應的權值進行統(tǒng)計���;
行為確定單元��,用于在所述權值統(tǒng)計單元的統(tǒng)計結果超過預設的權值閾 值時�,確定所述用戶發(fā)送郵件的行為不正常。
本發(fā)明實施例還提供一種垃圾郵件檢測方法���,包括獲取與預設的行為 指標對應的用戶發(fā)送郵件的行為指標統(tǒng)計信息���,所述行為指標用來衡量發(fā)送 郵件的特征;確定所述行為指標對應的所述指標統(tǒng)計信息是否超過所述行為 指標對應的指標閾值��;若指標統(tǒng)計信息超過指標閾值���,則確定所述用戶發(fā)送 郵件的行為不正常��。
本發(fā)明實施例還提供一種垃圾郵件檢測裝置���,該裝置包括
信息獲取單元,用于獲取與預設的行為指標對應的用戶發(fā)送郵件的行為 指標統(tǒng)計信息����,所述行為指標用來衡量發(fā)送郵件的特征;
行為確定單元,與所述信息獲取單元連接�����,用于在確定所述行為指標對 應的所述指標統(tǒng)計信息超過所述行為指標對應的閾值時�,確定所述用戶發(fā)送 郵件的行為不正常。
本發(fā)明實施例通過對用戶發(fā)送郵件的行為特征進行統(tǒng)計�,并根據(jù)預設行 為指標對該用戶行為特征進行分析來判定發(fā)送垃圾郵件的用戶,從而達到動 態(tài)地��、實時地判斷垃圾郵件來源的目的���,根據(jù)判斷出的垃圾郵件來源有效地 控制網(wǎng)絡中的垃圾郵件����,維護網(wǎng)絡正常使用����,保證網(wǎng)絡安全。
此處所說明的附圖用來提供對本發(fā)明的進一步理解��,構成本申請的一部 分��,并不構成對本發(fā)明的限定�����。在附圖中
圖1是本發(fā)明實施例一的垃圾郵件檢測方法流程圖2是本發(fā)明實施例二的垃圾郵件檢測方法流程圖3是本發(fā)明實施例三的垃圾郵件檢測裝置構成示意圖4是本發(fā)明實施例四的垃圾郵件檢測裝置構成示意圖5是本發(fā)明實施例五的垃圾郵件檢測方法流程圖6是本發(fā)明實施例六的垃圾郵件檢測裝置構成示意圖��。
具體實施例方式
為使本發(fā)明的目的�����、技術方案和優(yōu)點更加清楚明白�,下面結合附圖對本 發(fā)明實施例作進一步詳細說明。在此�,本發(fā)明的示意性實施例及其說明用于 解釋本發(fā)明,但并不作為對本發(fā)明的限定���。
實施例一
本發(fā)明實施例提供一種垃圾郵件檢測發(fā)送垃圾郵件的用戶的檢測方法�����, 如圖1所示���,該方法包括獲取與預設的行為指標對應的用戶發(fā)送郵件的行為 指標統(tǒng)計信息(見步驟101);確定每個行為指標對應的指標統(tǒng)計信息是否超 過行為指標對應的指標閾值,并將超過該指標閾值的行為指標對應的權值進 行統(tǒng)計(見步驟102);若統(tǒng)計結果超過預設的權值閾值�����,則確定該用戶發(fā)送 郵件的行為不正常(見步驟103)。
在本實施例中�����,該行為指標用來衡量發(fā)送郵件的網(wǎng)絡流量特征����,可根據(jù) 實際情況設置一個或多個,并且每個行為指標對應一個指標閾值和權值�。
在本實施例中,該行為指標可為郵件會話的數(shù)量(sessions-per-period)�、目的服務器數(shù)量(dst-ip-address-per-period)、嘗試的郵件數(shù) 量(attempted-messages-per-period)����、收件人地址總數(shù)(recipients-per-period)、發(fā)郵件時間長度���、郵件發(fā)送速率���、唯一的發(fā)件人地址總數(shù) (unique-senders-per-period)、嘗試郵件數(shù)量與成功郵件數(shù)量的比值 (attempted-messages-per-successful-message) 中的一個或一個以上�。上 述行為指標僅僅為本發(fā)明的實施例而已,但不限于上述行為指標����,還可根據(jù) 實際情況采用其它指標。
在本實施例中�����,在進行檢測時��,可使用上述行為指標中的一個或一個以 上進行檢測��。例如����,若采用一個指標進行檢測時,如采用"嘗試的郵件數(shù)量"
時����,可釆用如下方式正常的用戶發(fā)送郵件時,嘗試的郵件數(shù)量也是在一定
的合理范圍內(nèi)的��。通過統(tǒng)計用戶在5分鐘內(nèi)郵件發(fā)送嘗試的郵件數(shù)量����,以獲取 該"嘗試的郵件數(shù)量"所對應的行為指標統(tǒng)計信息,即嘗試的郵件數(shù)量���;若 該嘗試的郵件數(shù)量超過預定指標閾值時����,則對該行為指標對應的權值進行統(tǒng) 計,若該權值大于預設的權值閾值��,則可確定該用戶的郵件發(fā)送行為不正常��, 為發(fā)送垃圾郵件的用戶�����。
例如根據(jù)實際經(jīng)驗可以預設"嘗試郵件數(shù)量"的指標閾值aK0�����,指標 權值bh5����,預設用戶的權值閾值為2。在網(wǎng)絡系統(tǒng)中檢測到某用戶A在5分鐘內(nèi) 嘗試發(fā)送了50封郵件���,超過"嘗試郵件數(shù)量"的指標閾值IO��,將其權值進行 統(tǒng)計���,初始時����,該用戶A的指標權值S(M)���,將超過該指標閾值(al)的行為指 標對應的權值(bl)進行統(tǒng)計可獲得該用戶A的指標權值Sl-0+5z5。該S1大于 預設的該用戶的權值閾值2�,可以判定該用戶發(fā)送郵件的行為不正常。
由上述可知����,通過根據(jù)預設的行為指標對用戶發(fā)送郵件的行為特征進行 統(tǒng)計得到用戶發(fā)送郵件的行為指標統(tǒng)計信息,并對該用戶發(fā)送郵件的行為指 標統(tǒng)計信息進行分析��,通過該行為指標統(tǒng)計信息與行為指標對應的指標閾值 來判定用戶發(fā)送郵件是否正常�,從而確定發(fā)送垃圾郵件的用戶,從而達到動 態(tài)地��、實時地判斷垃圾郵件來源的目的�����,并可有效地控制網(wǎng)絡中的垃圾郵件����, 維護網(wǎng)絡正常使用�,保證網(wǎng)絡安全����。
實施例二本發(fā)明實施例還提供一種垃圾郵件檢測方法,所述行為指標用來衡量發(fā) 送郵件的特征�����,以下參照附圖并以該預設行為指標為郵件會話的數(shù)量�、目的 服務器數(shù)量、嘗試的郵件數(shù)量����、收件人地址總數(shù)、發(fā)郵件時間長度和郵件發(fā) 送速率為例進行詳細說明���。
如圖2所示�����,該方法包括
步驟201�,從監(jiān)控網(wǎng)絡的流量中提取每個用戶的SMTP流量,即每個用戶在 網(wǎng)絡中傳輸?shù)泥]件數(shù)據(jù)包���。以下以檢測其中一個用戶的發(fā)郵件的行為為例進 行說明���。
步驟202,根據(jù)預設行為指標對用戶發(fā)送郵件的行為特征進行統(tǒng)計��,以獲 取相應的行為指標統(tǒng)計信息���。
在本實施例中��,可根據(jù)步驟201中提取的預檢測的用戶的SMTP流量針對郵 件會話的數(shù)量、目的服務器數(shù)量�、嘗試的郵件數(shù)量、收件人地址總數(shù)��、發(fā)郵 件時間長度和郵件發(fā)送速率進行統(tǒng)計����,以獲得相應的指標統(tǒng)計信息。
在本實施例中�����,可將統(tǒng)計的該指標統(tǒng)計信息儲存到對應的用戶信息中, 待檢測時使用�����。
步驟203�,分別確定每個行為指標對應的指標統(tǒng)計信息是否超過行為指標 對應的指標閾值,并將超過該指標閾值的該行為指標對應的權值進行統(tǒng)計���。
在本實施例中�,可在預設時間內(nèi)遍歷所有用戶�����,對所有用戶發(fā)送郵件的 行為進行檢測����。在本實施例中,該預設時間可為l小時�,但不限于此,該時間 可根據(jù)實際情況進行確定����。
在本實施例中,可依次對每個行為指標進行處理�����。對超過該指標閾值的 行為指標對應的權值進行統(tǒng)計可采用如下方式可將超過該指標閾值的行為 指標對應的權值相加,以獲得統(tǒng)計結果�。或者可分別將超過該指標閾值的行 為指標對應的權值加到該用戶的權值上�����,最后相加的結果為統(tǒng)計結果����,其中, 該用戶的權值的初始值為零����。
步驟204,確定該統(tǒng)計結果是否超過該用戶對應的預設的權值閾值����。步驟205,在步驟204中��,若確定結果為超過��,則可確定該用戶發(fā)送郵件 的行為不正常�����,即該用戶發(fā)送垃圾郵件。
步驟206�����,在步驟204中��,若確定結果為未超過���,則可確定該用戶發(fā)送郵 件的行為正常����。
在本實施例中���,在步驟203中��,當對一個用戶進行檢測時��,可依次對每個 行為指標對應的指標統(tǒng)計信息進行處理��,對每個行為指標進行處理時可按照 任意順序依次進行處理�,在本實施例中按照如下順序進行處理
1) 用戶郵件會話的數(shù)量
用戶郵件會話是用戶發(fā)送郵件行為的一個重要特征指標�。普遍的正常用 戶��,在一定時間里郵件會話數(shù)據(jù)是在一定的范圍�����。
根據(jù)統(tǒng)計的用戶在l小時內(nèi)郵件的會話數(shù)量�����,確定該郵件會話的數(shù)量是否 超過設定的指標閾值�����,若超過則將該行為指標的權值累加到該用戶的指標權 值上����。若沒有超過��,就不累加該行為指標對應的權值到該用戶的指標權值上�����。
例如��,預設的指標閾值為al-500件�����,預設的權值為b1^20����,當統(tǒng)計該用 戶在1小時內(nèi)郵件的會話數(shù)量為1000件時,超過預設的指標閾值31=500件�����, 則將該指標的權值bl^20累加到該用戶的指標權值S0上�����,初始時�����,該用戶的 指標權值為零SO-O����,這樣,可獲得該用戶的指標權值31=0+20=20��。
2) 目的SMTP服務器數(shù)量-
正常的用戶發(fā)送郵件時�����,連接的目的SMTP服務器數(shù)量也是在一定的合理 范圍內(nèi)的。
根據(jù)統(tǒng)計的用戶在l小時內(nèi)郵件發(fā)送的目的SMTP服務器數(shù)量���,確定該目的 SMTP服務器數(shù)量是否超過設定的指標閾值���,若超過則把該行為指標的權值累 加到該用戶的指標權值上。若沒有超過�����,就不累加該行為指標的權值到該用 戶的指標權值上�。
例如,預設的指標閾值為32 = 1000個��,預設的權值為b2-10���,當統(tǒng)計該 用戶在l小時內(nèi)目的服務器的數(shù)量為800個時����,未超過預設的指標閾值&2=1000個��,則不需要將該指標的權值b2-10累加到該用戶的指標權值S上��,這樣���,該用戶 的指標權值S2i+20�����。
3) 嘗試的郵件數(shù)量 . 正常的用戶發(fā)送郵件時�,嘗試的郵件數(shù)量也是在一定的合理范圍內(nèi)的��。 根據(jù)統(tǒng)計的用戶在l小時內(nèi)郵件發(fā)送嘗試的郵件數(shù)量�����,確定嘗試的郵件數(shù)
量是否超過設定的指標閾值���,若超過則把該行為指標的權值累加到該用戶的 指標權值上��。若沒有超過��,就不累加該指標的權值到該用戶的指標權值上�����。
例如����,預設的指標閾值為a3二20個,預設的權值為b3-10���,當統(tǒng)計該用 戶在1小時內(nèi)嘗試的郵件數(shù)量為200個時��,超過預設的指標閾值a3二20個��,則 需要將該指標的權值b3-10累加到該用戶的指標權值S上����,這樣����,該用戶的指 標權值S3-0+20+10。
4) 收件人地址總數(shù)
正常郵件用戶的目的郵件域一般不多����,而垃圾郵件發(fā)送的目的收件人較多。
根據(jù)統(tǒng)計的用戶在l小時內(nèi)郵件發(fā)送的收件人地址總數(shù)�����,確定嘗試的郵件 數(shù)量是否超過設定的指標閾值,若超過則把該行為指標的權值累加到該用戶 的指標權值上���。若沒有超過�����,就不累加該行為指標對應的權值到該用戶的指 標權值上。
例如��,預設的指標閾值為&4=10個�����,預設的權值為b4-10����,當統(tǒng)計該用 戶在1小時內(nèi)收件人地址總數(shù)為200個時,超過預設的指標閾值&4 = 10個�����,則 需要將該指標的權值b4-10累加到該用戶的指標權值S上�,這樣,該用戶的指 標權值S^0+20 + 10 + 10�����。
5) 發(fā)郵件時間長度
正常用戶發(fā)送郵件少,且大部分時間不發(fā)送郵件����,垃圾郵件和郵件服務 器大部分時間發(fā)送郵件數(shù)目多。
根據(jù)統(tǒng)計用戶在l小時內(nèi)用戶發(fā)送郵件的時間長度���,確定發(fā)送郵件的時間
ii長度是否超過設定的指標閾值��,若超過則把該行為指標的權值累加到該用戶 的指標權值上�����。若沒有超過��,就不累加該行為指標到該用戶的絕對指標權值 上����。
例如�,預設的指標閾值為35 = 10分鐘,預設的權值為b5-20���,當統(tǒng)計該 用戶在1小時內(nèi)發(fā)郵件時間長度為30分鐘��,超過預設的指標閾值a5-30分鐘��, 則需要將該指標的權值b5-20累加到該用戶的指標權值S上���,這樣�����,該用戶的 指標權值S5二0+20 + 10 + 10 + 20。
6)郵件發(fā)送速率-
垃圾郵件發(fā)送速率普遍比較高�, 一般認為每15分鐘會發(fā)送5封以上,此條 件作為垃圾郵件判斷的先決條件��。
根據(jù)統(tǒng)計用戶在1小時內(nèi)用戶郵件發(fā)送速率����,確定郵件發(fā)送速率是否超過 設定的指標閾值,若超過則把該行為指標的權值累加到該用戶的指標權值上���。 若沒有超過��,就不累加該行為指標的權值到該用戶的指標權值上�����。
例如����,預設的指標閾值為a5-20封/小時,預設的權值為b6二30���,當統(tǒng)計 該用戶在l小時內(nèi)郵件發(fā)送速率為30封/小時�����,超過預設的指標閾值36=20封/ 小時���,則需要將該指標的權值b6-30累加到該用戶的指標權值S上,這樣�����,該 用戶的指標權值S6-0+20 + 10 + 10+20 + 30��。
由上述實施例可知��,在對每個行為指標依次進行處理后��,對超過指標閾 值的行為指標對應的權值進行統(tǒng)計���,在此處可以是對該用戶的指標權值進行 統(tǒng)計�,確定該統(tǒng)計結果是否超過預設閾值,若超過�,則可確定該用戶發(fā)送垃 圾郵件。此外�,也可以對超過指標閾值的行為指標對應的權值進行累加,以 獲得統(tǒng)計結果����。
例如,若該用戶的權值閾值為80�,則該用戶的累計的指標權值S二90,則 說明該用戶為發(fā)送垃圾郵件的用戶��。
在上述實施例中�,是對多個行為指標進行分析統(tǒng)計來確定該用戶是否發(fā) 送垃圾郵件����。此外,還可采用一個行為指標進行分析統(tǒng)計����,例如,該行為指標可以為上述指標中的任意一個�����,也可以是一個比例指標,如嘗試郵件數(shù)量/ 成功郵件數(shù)量正常用戶發(fā)送郵件的嘗試郵件數(shù)量/成功郵件數(shù)量是在一個合 理的范圍內(nèi)���,而發(fā)送垃圾郵件用戶的嘗試郵件數(shù)量/成功郵件數(shù)量比值通常會 很高�,因此可以作為判斷垃圾郵件發(fā)送用戶的一個行為指標�。
當采用上述比例指標時,在步驟203中���,可在一定周期內(nèi)�,對所有用戶發(fā) 送郵件的行為進行檢測���。在本實施例中��,該預設時間可為5分鐘����,但不限于此�, 該時間可根據(jù)實際情況進行確定。
這樣���,在步驟203中���,根據(jù)統(tǒng)計的用戶在5分鐘內(nèi)嘗試郵件數(shù)量/成功郵件
數(shù)量比值確定其值是否超過設定的指標閾值���,若超過則將該指標的權值累加 到該用戶的指標權值上。若沒有超過��,就不累加該行為指標的權值到該用戶 的指標權值上���。最后�����,確定該用戶的指標權值是否大于預設的權值閾值����,若 大于則可判斷該用戶為發(fā)送垃圾郵件的用戶�����。
由上述可知�,通過根據(jù)預設的行為指標對用戶發(fā)送郵件的行為特征進行 統(tǒng)計得到用戶發(fā)送郵件的行為指標統(tǒng)計信息����,并對該用戶發(fā)送郵件的行為指 標統(tǒng)計信息進行分析�,通過該行為指標統(tǒng)計信息與行為指標對應的指標閾值 來判定用戶發(fā)送郵件是否正常�����,從而確定發(fā)送垃圾郵件的用戶����,從而達到動 態(tài)地、實時地判斷垃圾郵件來源的目的���,并可有效地控制網(wǎng)絡中的垃圾郵件�����, 維護網(wǎng)絡正常使用�����,保證網(wǎng)絡安全����。
實施例三
本發(fā)明實施例提供一種垃圾郵件檢測裝置�,如圖3所示,該裝置包括信息 獲取單元301����、權值統(tǒng)計單元302和行為確定單元303����。
其中�,該信息獲取單元301用于獲取與預設的行為指標對應的用戶發(fā)送郵
件的行為指標統(tǒng)計信息,所述行為指標用來衡量發(fā)送郵件的特征�;
該權值統(tǒng)計單元302用于分別確定每個行為指標對應的指標統(tǒng)計信息是
否超過該行為指標對應的指標閾值,并將超過該指標閾值的該行為指標對應 的權值進行統(tǒng)計����;該行為確定單元303用于在該權值統(tǒng)計單元302的統(tǒng)計結果超過預設的權 值閾值時,確定該用戶發(fā)送郵件的行為不正常�。
在本實施例中,該行為指標可根據(jù)實際情況設置一個或多個�����,并且每個 行為指標對應一個指標閾值和權值���。
在本實施例中,該行為指標為郵件會話的數(shù)量�����、目的服務器數(shù)量、嘗試 的郵件數(shù)量���、收件人地址總數(shù)�、發(fā)郵件時間長度���、郵件發(fā)送速率中的一個或 一個以上����;或者也可為嘗試郵件數(shù)量與成功郵件數(shù)量的比值����。上述行為指標 僅僅為本發(fā)明的實施例而已,但不限于上述行為指標����,還可根據(jù)實際情況采 用其它指標。
在本實施例中���,該裝置可單獨使用�,也可與網(wǎng)絡設備結合使用���,該裝置 的工作方法如實施例一類似�。當單獨使用時,可將該設備通過旁路設備部署 在城域網(wǎng)的接入層或城域網(wǎng)出口�����,對每個用戶的SMTP流量進行統(tǒng)計��,以獲得 各個行為指標對應的行為指標統(tǒng)計信息�,并根據(jù)該信息進行分析處理,以確 定該用戶的行為是否正常��。
由上述可知���,該裝置根據(jù)預設行為指標對用戶發(fā)送郵件的行為特征進行 統(tǒng)計得到用戶發(fā)送郵件的行為指標統(tǒng)計信息�,并對該用戶發(fā)送郵件的行為指 標統(tǒng)計信息進行分析��,通過該行為指標統(tǒng)計信息與行為指標對應的指標與閾 值來判定用戶發(fā)送郵件是否正常��,從而確定發(fā)送垃圾郵件的用戶�����,從而達到 動態(tài)地�、實時地判斷垃圾郵件來源的目的�����,并可有效地控制網(wǎng)絡中的垃圾郵 件,維護網(wǎng)絡正常使用����,保證網(wǎng)絡安全。
實施例四
本發(fā)明實施例提供一種垃圾郵件檢測裝置�����,如圖4所示����,該裝置包括信息 獲取單元301、權值統(tǒng)計單元302和行為確定單元303��,其作用與實施例三類似�����, 此處不再贅述�。
此外,如圖4所示�,該信息獲取單元301可包括信息提取單元401和信息統(tǒng) 計單元402;其中�,該信息提取單元401用于提取該用戶在網(wǎng)絡中傳輸?shù)泥]件��;該信息統(tǒng)計單元402用于根據(jù)該預設行為指標對該用戶發(fā)送郵件的行為特征 進行統(tǒng)計����,以獲取相應的行為指標統(tǒng)計信息,所述行為指標用來衡量發(fā)送郵 件的特征���。
如圖4所示���,該裝置還可包括結果確定單元403,用于確定該權值統(tǒng)計單 元302的統(tǒng)計結果是否超過預設的權值閾值�����,若超過�����,則該行為確定單元303 確定該用戶發(fā)送郵件的行為不正常�����;若不超過�����,則該行為確定單元303還用于 確定該用戶發(fā)送郵件的行為正常。
如圖4所示����,該裝置還可包括存儲單元404�����,可儲存上述行為指標統(tǒng)計信 息以及每個行為指標對應的指標閾值和權值����,以及權值閾值。
在本實施例中�����,該裝置可單獨使用�,也可與網(wǎng)絡設備結合使用,該裝置 的工作方法如實施例三類似��。當單獨使用時��,可將該設備通過旁路設備部署 在城域網(wǎng)的接入層或城域網(wǎng)出口���,對每個用戶的SMTP流量進行統(tǒng)計��,以獲得 各個行為指標對應的行為指標統(tǒng)計信息�,并根據(jù)該信息進行分析處理,以確 定該用戶的行為是否正常�。
由上述可知,通過根據(jù)預設的行為指標對用戶發(fā)送郵件的行為特征進行 統(tǒng)計得到用戶發(fā)送郵件的行為指標統(tǒng)計信息�,并對該用戶發(fā)送郵件的行為指 標統(tǒng)計信息進行分析,通過該行為指標統(tǒng)計信息與行為指標對應的指標閾值 來判定用戶發(fā)送郵件是否正常�����,從而確定發(fā)送垃圾郵件的用戶���,從而達到動 態(tài)地����、實時地判斷垃圾郵件來源的目的�,并可有效地控制網(wǎng)絡中的垃圾郵件, 維護網(wǎng)絡正常使用���,保證網(wǎng)絡安全��。
實施例五
本發(fā)明實施例提供一種垃圾郵件檢測方法�����,如圖5所示����,該方法包括獲 取與預設的行為指標對應的用戶發(fā)送郵件的行為指標統(tǒng)計信息(見步驟501) , 確定每個行為指標對應的指標統(tǒng)計信息是否超過行為指標對應的指標閾值 (見步驟502);若指標統(tǒng)計信息超過該指標閾值���,則確定該用戶發(fā)送郵件的 行為不正常(見步驟503)。在本實施例中�����,所述行為指標用來衡量發(fā)送郵件的特征����,該行為指標可
為郵件會話的數(shù)量(sessions-per-period )、目的服務器數(shù)量(dst-ip-address-per-period)�、 嘗試的由1H牛數(shù)量 (attempted-messages-per-period)、收件人地址總數(shù)(recipients-per-period)��、發(fā)郵件時間長度�����、 郵件發(fā)送速率、唯一的發(fā)件人地址總數(shù)(unique-senders-per-period)�����、嘗 試由IH牛數(shù)量與成功由IH牛數(shù)量的比值(attempted—messages—per—successful— message)中的任意一個�。上述行為指標僅僅為本發(fā)明的實施例而已,但不限 于上述行為指標���,還可根據(jù)實際情況采用其它指標���。
在本實施例中,在進行檢測時��,可使用上述指標中的任意一個進行檢測�。 例如可以預定若在5分鐘內(nèi)某用戶嘗試發(fā)送郵件超過10封,則該用戶發(fā)送郵 件不正常����,根據(jù)實際經(jīng)驗可以預設"嘗試郵件數(shù)量"的指標閾值al40。在網(wǎng) 絡系統(tǒng)中檢測到某用戶A在5分鐘內(nèi)嘗試發(fā)送了50封郵件����,超過"嘗試郵件數(shù) 量"的指標閾值IO,可以判定該用戶發(fā)送郵件的行為不正常。
由上述可知��,通過根據(jù)預設的行為指標對用戶發(fā)送郵件的行為特征進行 統(tǒng)計得到用戶發(fā)送郵件的行為指標統(tǒng)計信息����,并對該用戶發(fā)送郵件的行為指 標統(tǒng)計信息進行分析,通過該行為指標統(tǒng)計信息與行為指標對應的指標閾值 來判定用戶發(fā)送郵件是否正常����,從而確定發(fā)送垃圾郵件的用戶,從而達到動 態(tài)地��、實時地判斷垃圾郵件來源的目的�,并可有效地控制網(wǎng)絡中的垃圾郵件, 維護網(wǎng)絡正常使用����,保證網(wǎng)絡安全����。
實施例六
本發(fā)明實施例還提供一種垃圾郵件檢測裝置,如圖6所示��,該裝置包括信 息獲取單元601和行為確定單元602;其中��,該信息獲取單元601用于獲取與預
設的行為指標對應的用戶發(fā)送郵件的行為指標統(tǒng)計信息�,所述行為指標用來 衡量發(fā)送郵件的特征���;該行為確定單元602與該信息獲取單元601連接,用于 在確定該行為指標對應的該指標統(tǒng)計信息超過該行為指標對應的閾值時��,確 定該用戶發(fā)送郵件的行為不正常�。在本實施例中,該行為指標可為郵件會話的數(shù)量(sessions-per-period)�、目的服務器數(shù)量(dst-ip-address-per-period)、嘗試的郵件數(shù) 量(attempted-messages-per-period)��、收件人地址總數(shù)(recipients-per-period)�、發(fā)郵件時間長度、郵件發(fā)送速率��、唯一的發(fā)件人地址總數(shù) (unique-senders-per-period)����、嘗試郵件數(shù)量與成功郵件數(shù)量的比值 (attempted-messages-per-successful-message)中的任意一個。上述行為 指標僅僅為本發(fā)明的實施例而已�,但不限于上述行為指標,還可根據(jù)實際情 況采用其它指標��。
在本實施例中�,在進行檢測時,可使用上述指標中的任意一個進行檢測。 例如可以預定若在5分鐘內(nèi)某用戶嘗試發(fā)送郵件超過10封����,則該用戶發(fā)送郵 件不正常,根據(jù)實際經(jīng)驗可以預設"嘗試郵件數(shù)量"的指標閾值al40����。在網(wǎng) 絡系統(tǒng)中檢測到某用戶A在5分鐘內(nèi)嘗試發(fā)送了50封郵件,超過"嘗試郵件數(shù) 量"的指標閾值IO���,可以判定該用戶發(fā)送郵件的行為不正常�����。
由上述可知�����,通過根據(jù)預設的行為指標對用戶發(fā)送郵件的行為特征進行 統(tǒng)計得到用戶發(fā)送郵件的行為指標統(tǒng)計信息,并對該用戶發(fā)送郵件的行為指 標統(tǒng)計信息進行分析��,通過該行為指標統(tǒng)計信息與行為指標對應的指標閾值 來判定用戶發(fā)送郵件是否正常����,從而確定發(fā)送垃圾郵件的用戶,從而達到動 態(tài)地、實時地判斷垃圾郵件來源的目的�,并可有效地控制網(wǎng)絡中的垃圾郵件, 維護網(wǎng)絡正常使用���,保證網(wǎng)絡安全��。
本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分流 程�����,是可以通過計算機程序來指令相關的硬件來完成���,所述的程序可存儲于 一計算機可讀取存儲介質(zhì)中,該程序在執(zhí)行時��,可包括如上述各方法的實施 例的流程�。其中,所述的存儲介質(zhì)可為磁碟��、光盤�����、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等���。
以上所述的具體實施方式
��,對本發(fā)明的目的��、技術方案和有益效果進行 了進一步詳細說明����,所應理解的是,以上所述僅為本發(fā)明的具體實施方式
而已�����,并不用于限定本發(fā)明的保護范圍����,凡在本發(fā)明的精神和原則之內(nèi),所做 的任何修改��、等同替換���、改進等��,均應包含在本發(fā)明的保護范圍之內(nèi)����。
權利要求
1.一種垃圾郵件檢測方法�����,其特征在于���,所述方法包括獲取與預設的行為指標對應的用戶發(fā)送郵件的行為指標統(tǒng)計信息��,所述行為指標用來衡量發(fā)送郵件的特征����;分別確定每個所述行為指標對應的所述指標統(tǒng)計信息是否超過所述行為指標對應的指標閾值�����,并將超過所述指標閾值的所述行為指標對應的權值進行統(tǒng)計�;若統(tǒng)計結果超過預設的權值閾值,則確定所述用戶發(fā)送郵件的行為不正常�����。
2. 根據(jù)權利要求1所述的方法�����,其特征在于,所述預設行為指標為郵件會 話的數(shù)量�、和/或目的服務器數(shù)量、和/或嘗試的郵件數(shù)量����、禾口/或收件人地址 總數(shù)、和/或發(fā)郵件時間長度�、禾口/或郵件發(fā)送速率、禾口/或唯一的發(fā)件人地址 總數(shù)�����、和/或嘗試郵件數(shù)量與成功郵件數(shù)量的比值��。
3. 根據(jù)權利要求1所述的方法��,其特征在于���,所述獲取與預設行為指標對 應的用戶發(fā)送郵件的行為指標統(tǒng)計信息��,包括-提取所述用戶在網(wǎng)絡中傳輸?shù)泥]件����;根據(jù)所述預設行為指標對所述用戶發(fā)送郵件的行為特征進行統(tǒng)計�,以獲 取相應的行為指標統(tǒng)計信息��。
4. 一種垃圾郵件檢測裝置,其特征在于�����,所述裝置包括 信息獲取單元��,用于獲取與預設的行為指標對應的用戶發(fā)送郵件的行為指標統(tǒng)計信息�,所述行為指標用來衡量發(fā)送郵件的特征;權值統(tǒng)計單元����,用于分別確定每個所述行為指標對應的所述指標統(tǒng)計信 息是否超過所述行為指標對應的指標閾值,并將超過所述指標閾值的所述行 為指標對應的權值進行統(tǒng)計�;行為確定單元,用于在所述權值統(tǒng)計單元的統(tǒng)計結果超過預設的權值閾 值時���,確定所述用戶發(fā)送郵件的行為不正常�。
5. 根據(jù)權利要求4所述的裝置�����,其特征在于���,所述預設行為指標為郵件會話的數(shù)量����、和/或目的服務器數(shù)量、和/或嘗試的郵件數(shù)量�����、和/或收件人地址 總數(shù)���、和/或發(fā)郵件時間長度���、和/或郵件發(fā)送速率、和/或唯一的發(fā)件人地址 總數(shù)�����、和/或嘗試郵件數(shù)量與成功郵件數(shù)量的比值���。
6. 根據(jù)權利要求4所述的裝置����,其特征在于,所述裝置還包括結果確定單 元�����,用于確定所述權值統(tǒng)計單元的統(tǒng)計結果是否超過預設的權值閾值����,若超 過�,則所述行為確定單元確定所述用戶發(fā)送郵件的行為不正常。
7. 根據(jù)權利要求4所述的裝置�,其特征在于,所述信息獲取單元包括 信息提取單元�����,用于提取所述用戶在網(wǎng)絡中傳輸?shù)泥]件��; 信息統(tǒng)計單元���,用于根據(jù)所述預設行為指標對所述用戶發(fā)送郵件的行為特征進行統(tǒng)計�,以獲取相應的行為指標統(tǒng)計信息���。
8. —種垃圾郵件檢測方法�,其特征在于,所述方法包括 獲取與預設的行為指標對應的用戶發(fā)送郵件的行為指標統(tǒng)計信息����,所述行為指標用來衡量發(fā)送郵件的特征;確定所述行為指標對應的所述指標統(tǒng)計信息是否超過所述行為指標對應 的閾值����;若所述指標統(tǒng)計信息超過所述閾值,則確定所述用戶發(fā)送郵件的行為不 正常�����。
9. 根據(jù)權利要求8所述的方法����,其特征在于,所述預設行為指標為郵件會 話的數(shù)量�����、目的服務器數(shù)量��、嘗試的郵件數(shù)量����、收件人地址總數(shù)、發(fā)郵件時 間長度、郵件發(fā)送速率���、唯一的發(fā)件人地址總數(shù)�、嘗試郵件數(shù)量與成功郵件 數(shù)量的比值中的任意一個��。
10. —種垃圾郵件檢測裝置��,其特征在于�,所述裝置包括 信息獲取單元,用于獲取與預設的行為指標對應的用戶發(fā)送郵件的行為指標統(tǒng)計信息��,所述行為指標用來衡量發(fā)送郵件的特征�����;行為確定單元��,與所述信息獲取單元連接�����,用于在確定所述行為指標對應的所述指標統(tǒng)計信息超過所述行為指標對應的閾值時�,確定所述用戶發(fā)送 郵件的行為不正常�����。
11.根據(jù)權利要求10所述的裝置,其特征在于�,所述預設行為指標為郵件 會話的數(shù)量、目的服務器數(shù)量����、嘗試的郵件數(shù)量、收件人地址總數(shù)�、發(fā)郵件 時間長度、郵件發(fā)送速率��、唯一的發(fā)件人地址總數(shù)���、嘗試郵件數(shù)量與成功郵 件數(shù)量的比值中的任意一個��。
全文摘要
本發(fā)明實施例提供一種垃圾郵件檢測方法及其裝置��。該方法包括獲取與預設的行為指標對應的用戶發(fā)送郵件的行為指標統(tǒng)計信息�����,所述行為指標用來衡量發(fā)送郵件的特征����;分別確定每個所述行為指標對應的所述指標統(tǒng)計信息是否超過所述行為指標對應的指標閾值,并將超過所述指標閾值的所述行為指標對應的權值進行統(tǒng)計����;若統(tǒng)計結果超過預設的權值閾值,則確定所述用戶發(fā)送郵件的行為不正常�。通過本發(fā)明實施例,可以有效地識別郵件來源�,從而有效地處理不明來源的郵件,維護網(wǎng)絡正常使用�����,保證網(wǎng)絡安全�。
文檔編號H04L12/24GK101540773SQ20091013507
公開日2009年9月23日 申請日期2009年4月22日 優(yōu)先權日2009年4月22日
發(fā)明者鋒 于, 強 劉, 徐業(yè)健, 敏 黃 申請人:成都市華為賽門鐵克科技有限公司