專利名稱:用全球情報(bào)進(jìn)行本地信息分類的方法及垃圾郵件檢測(cè)系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明關(guān)于一種信息分類的方法�。特別是涉及一種將有關(guān)電子郵件信息與 發(fā)件人的全球情報(bào)整合到郵件發(fā)送網(wǎng)絡(luò)以進(jìn)行更準(zhǔn)確的本地垃圾郵件識(shí)別的 方法��。
背景技術(shù):
互聯(lián)網(wǎng)與電子郵件、以及其他電子通訊方式越來(lái)越廣泛應(yīng)用所帶來(lái)的問(wèn)題 之一便是會(huì)接收到不必要的���、未經(jīng)過(guò)請(qǐng)求的大量信息���,通常稱為"垃圾郵件"。 大量垃圾郵件的產(chǎn)生���,連帶的后果也是非常嚴(yán)重的���。垃圾郵件中可以攜帶病毒 或其他導(dǎo)致信息收件人使用的計(jì)算機(jī)設(shè)備或其他電子通訊設(shè)備不能正常工作 或造成損壞的其他軟件。另外�����,大量的垃圾郵件對(duì)流量的處理機(jī)制造成很大的 負(fù)擔(dān)��。例如�����,大量的垃圾郵件可能對(duì)用戶端計(jì)算機(jī)網(wǎng)絡(luò)以及互聯(lián)網(wǎng)本身帶來(lái)負(fù) 面的影響����。所以��,技術(shù)人員已致力于建立跟蹤并識(shí)別垃圾郵件��,以便有效的從 根本上解決垃圾郵件帶來(lái)的問(wèn)題���。當(dāng)前所應(yīng)用的反垃圾郵件技術(shù)舉例包括灰名單(Greylisting)、問(wèn)候延遲 (Greeting delay)以及校驗(yàn)值(Checksum)���。實(shí)踐經(jīng)驗(yàn)表明大量的郵件是從一些特 殊設(shè)計(jì)的用于垃圾郵件發(fā)送的程序發(fā)出的���。這樣的程序采用"fire-and-forget" 方法,即對(duì)很多的電子郵件地址發(fā)送垃圾郵件�,但是對(duì)垃圾郵件的發(fā)送不進(jìn)行 確認(rèn)���,與標(biāo)準(zhǔn)的郵件服務(wù)器也不相同����,不會(huì)對(duì)故障信息通過(guò)再次嘗試發(fā)送郵件 進(jìn)行回應(yīng)���。"fire-and-forget"方法與標(biāo)準(zhǔn)的簡(jiǎn)單郵件傳輸協(xié)議(SMTP)兼容的 MTA(Mail Transport Agent)的方式正好相反�����。MTA會(huì)在SMTP傳輸不穩(wěn)定的情 況下重試發(fā)送郵件并將暫時(shí)性故障處理嵌入核心的規(guī)范中(例如RFC821)��。處于維護(hù)重試策略所產(chǎn)生的花費(fèi)考慮�,灰名單是基于垃圾郵件發(fā)送人不再 重新發(fā)送郵件的假設(shè)為前提的?��;颐麊螘簳r(shí)性拒絕未知發(fā)件人郵件服務(wù)器發(fā)送 的郵件�。暫時(shí)性的拒絕郵件以4XX SMTP錯(cuò)誤代碼顯示�����,該代碼可以被兼容 SMTP的MTA所識(shí)別���,之后MTA將進(jìn)行重試發(fā)送操作�?���;颐麊渭夹g(shù)延遲接收未知郵件,有效地處理了來(lái)自不進(jìn)行重復(fù)發(fā)送的非SMTP確認(rèn)發(fā)件人的郵 件�����。但是���,當(dāng)垃圾郵件發(fā)件人重試發(fā)送垃圾郵件時(shí)���,垃圾郵件發(fā)件人便可以如 同正常發(fā)件人蒙混過(guò)灰名單技術(shù)���,那么在對(duì)垃圾郵件發(fā)件人的屏蔽過(guò)期后重試 發(fā)送的垃圾郵件終將會(huì)被成功發(fā)送?�?傊?,灰名單的方法只能對(duì)垃圾郵件發(fā)送且非SMTP確認(rèn)的垃圾郵件發(fā)件人進(jìn)行有效的處理,但是對(duì)于發(fā)出混合有垃圾郵件與干凈郵件的受感染郵件的郵件發(fā)件人或?qū)κ褂脛?dòng)態(tài)IP地址的垃圾郵 件發(fā)送人及常規(guī)用戶便不能進(jìn)行有效的處理���?;颐麊畏椒ㄍ瑯訉?duì)能夠兼容標(biāo)準(zhǔn) 協(xié)議的垃圾郵件發(fā)送程序��,例如對(duì)暫時(shí)性拒絕回應(yīng)能夠重新進(jìn)行發(fā)送的垃圾郵 件發(fā)送程序����,無(wú)法進(jìn)行有效的處理�����。此外��,新的、合法的��、但是非標(biāo)準(zhǔn)兼容的 服務(wù)器發(fā)送的電子郵件信息將因灰名單這種方法而被延遲發(fā)送或甚至被丟棄���。 問(wèn)候延遲的技術(shù)����,無(wú)論電子郵件信息是否可疑���,可延遲所有郵件信息的發(fā)送�。問(wèn)候延遲技術(shù)是SMTP服務(wù)器在向用戶端發(fā)送SMTP問(wèn)候標(biāo)志之前進(jìn)行 的發(fā)送暫停操作����。根據(jù)RFC2821,用戶端在對(duì)服務(wù)器發(fā)送任何數(shù)據(jù)之前應(yīng)該 保持等待直至接收到該問(wèn)候標(biāo)志���。但是��,許多垃圾郵件發(fā)送程序并不等待接收 到該標(biāo)志��,而是在傳輸控制協(xié)議(TCP)連接完成后便開(kāi)始發(fā)送數(shù)據(jù)����。那么, 服務(wù)器可以檢測(cè)到這樣的連接并丟棄該連接��。該方法帶來(lái)的問(wèn)題之一就是��,沒(méi) 有嚴(yán)格按照SMTP規(guī)則發(fā)送郵件的合法發(fā)件人也可能被該方法檢測(cè)到���,導(dǎo)致 丟失有效的����、非垃圾郵件信息����。基于校驗(yàn)值的過(guò)濾方法是利用通常一個(gè)垃圾郵件發(fā)送方發(fā)送的所有信息 大部分都相同這一現(xiàn)象�����。該過(guò)濾方法試圖將致使信息之間存在差異的任何可能 因素相互剝離���,如收件人的名稱或郵件地址,以此縮小信息查看范圍并求得校 驗(yàn)值���,然后在集中了已知或可能是垃圾郵件信息的校驗(yàn)值的數(shù)據(jù)庫(kù)中對(duì)校驗(yàn)值 的結(jié)果進(jìn)行査詢����。該方法易發(fā)生失誤判斷,由于垃圾郵件發(fā)送方運(yùn)用干擾技術(shù) 可將其發(fā)送的郵件呈現(xiàn)非重復(fù)���,造成校驗(yàn)值評(píng)測(cè)經(jīng)常滯后���,這樣就形成了誤判 斷。校驗(yàn)值信息通常很難與層出不窮的所謂的與垃圾郵件相關(guān)的校驗(yàn)值信息保 持同步更新���,即使校驗(yàn)值方法能夠?qū)褐睦]件進(jìn)行有效地檢測(cè)�����,也會(huì)因 建立連接產(chǎn)生延遲�,使得大部分已檢測(cè)出的垃圾郵件仍可到達(dá)終端收件人的收 件箱����。根據(jù)以上所述各種反垃圾郵件系統(tǒng)技術(shù)的局限以及鑒于各種其他現(xiàn)有反 垃圾郵件方法的效率都頗低,有必要繼續(xù)開(kāi)發(fā)提高反垃圾郵件系統(tǒng)與服務(wù)���。發(fā)明內(nèi)容鑒于以上的問(wèn)題���,本發(fā)明提供一種利用全球情報(bào)進(jìn)行本地信息分類的方法 及一種垃圾郵件檢測(cè)系統(tǒng)���。本發(fā)明提供一種利用全球情報(bào)進(jìn)行本地信息分類的方法,包括對(duì)所接收到 的電子信息執(zhí)行初始信息識(shí)別操作�����。根據(jù)初始信息識(shí)別結(jié)果���,將所接收到的電 子信息分為多個(gè)種類�����。如果不能夠?qū)⑺邮盏降碾娮有畔?shí)現(xiàn)實(shí)時(shí)的�、明確的歸類�,則將已接收的電子信息隊(duì)列(Queue)處理,并進(jìn)一步收集與已接收的電 子信息相關(guān)的全球情報(bào)(Global Intelligence)以進(jìn)行重新評(píng)測(cè)信息識(shí)別操作�。之 后,將己隊(duì)列處理的電子信息執(zhí)行重新評(píng)測(cè)信息識(shí)別操作而將其分類��,如此分 類比初始信息識(shí)別操作的分類更為準(zhǔn)確�;根據(jù)分類結(jié)果,這些電子信息數(shù)據(jù)將 根據(jù)不同分類結(jié)果所對(duì)應(yīng)的策略進(jìn)行處理����。本發(fā)明提供一種利用全球情報(bào)對(duì)垃圾郵件進(jìn)行檢測(cè)的方法對(duì)電子通信(電 子郵件)信息執(zhí)行初始的垃圾郵件檢測(cè)。根據(jù)初始檢測(cè)�����,將電子郵件信息劃分 為干凈郵件以及垃圾郵件���。如果郵件在初始檢測(cè)時(shí)不能被實(shí)時(shí)����、明確地劃分為 干凈郵件或垃圾郵件��,則將該電子郵件隊(duì)列處理��,并收集涉及該電子郵件或與 該電子郵件具有相似屬性的其它電子郵件的全球情報(bào)以進(jìn)行重新評(píng)測(cè)的垃圾 郵件檢測(cè)���。接著���,已隊(duì)列的電子信息將被執(zhí)行重新評(píng)測(cè)垃圾郵件檢測(cè)操作而被 劃分為干凈郵件或垃圾郵件,這樣便可得到比初始垃圾郵件檢測(cè)操作更為準(zhǔn)確 的分類結(jié)果�;重新評(píng)測(cè)后分類為干凈郵件的郵件將被發(fā)送到該郵件的收件人, 如果是垃圾郵件�����,將根據(jù)對(duì)垃圾郵件設(shè)定的郵件安全策略對(duì)其進(jìn)行處理。本發(fā)明提供一種垃圾郵件檢測(cè)系統(tǒng)���,該系統(tǒng)包括一具有一個(gè)或多個(gè)全球情 報(bào)服務(wù)器的全球情報(bào)網(wǎng)絡(luò)���。全球情報(bào)服務(wù)器與公共網(wǎng)絡(luò)連接,并可直接或間接 i:從多個(gè)分布式反垃圾郵件引擎收集情報(bào)�����,ii:維護(hù)并更新電子郵件信息特征及相關(guān)的評(píng)價(jià)信息�,以及iii:根據(jù)全球情報(bào)網(wǎng)絡(luò)的檢測(cè)與分析重新調(diào)整多個(gè)分布式反垃圾郵件引擎中的垃圾郵件檢測(cè)特征。垃圾郵件檢測(cè)系統(tǒng)還包括一連接 公共網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備�,電子郵件信息可通過(guò)該網(wǎng)絡(luò)設(shè)備傳輸。網(wǎng)絡(luò)設(shè)備包括多個(gè)分布式反垃圾郵件引擎的其中一個(gè)�����。該反垃圾郵件引擎可i:對(duì)電子郵件信息進(jìn)行評(píng)價(jià)分析與內(nèi)容分析�,包括在全球情報(bào)網(wǎng)絡(luò)中査詢與電子信息有關(guān)的特征評(píng)價(jià)信息,ii:對(duì)在實(shí)時(shí)檢測(cè)中未能被明確劃分為垃圾郵件與干凈郵件的電子郵件進(jìn)行隊(duì)列處理�,提供時(shí)間以收集更多使內(nèi)容評(píng)價(jià)更為準(zhǔn)確的信息,以進(jìn) 行后續(xù)的再次內(nèi)容分析與評(píng)價(jià)分析�。根據(jù)本發(fā)明的一實(shí)施例����,垃圾郵件檢測(cè)系統(tǒng)是由--個(gè)創(chuàng)新性的網(wǎng)絡(luò)架構(gòu)來(lái)實(shí)現(xiàn)的����,包括一托管發(fā)件人評(píng)價(jià)數(shù)據(jù)庫(kù)(Hosted Sender Reputation Database)�����、 一 托管垃圾郵件特征數(shù)據(jù)庫(kù)(Hosted Spam Signature Database)��、 一托管啟發(fā)性規(guī)則 數(shù)據(jù)庫(kù)(Hosted Heuristic Rules Database)以及一反垃圾郵件引擎(Anti-spam Engine)����。該反垃圾郵件引擎通過(guò)一個(gè)公共網(wǎng)絡(luò)與該托管發(fā)件人評(píng)價(jià)數(shù)據(jù)庫(kù)、 該托管垃圾郵件特征數(shù)據(jù)庫(kù)�����、該托管啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)進(jìn)行通信連接�����,該反垃 圾郵件引擎用于從該托管啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)接收更新的啟發(fā)性規(guī)則并對(duì)電子 郵件信息中的每一個(gè)郵件通過(guò)i.査詢?cè)撏泄馨l(fā)件人評(píng)價(jià)數(shù)據(jù)庫(kù)��,ii.査詢?cè)撏泄?垃圾郵件特征數(shù)據(jù)庫(kù),以及iii.應(yīng)用更新的啟發(fā)規(guī)則��,進(jìn)行垃圾郵件檢測(cè)�����。 本發(fā)明實(shí)施例的其他功能特性將在下文中輔助附圖進(jìn)行詳細(xì)的敘述�����。
本發(fā)明各實(shí)施例用以示例本發(fā)明的精神����,并不用于限制本發(fā)明的保護(hù)范圍。附圖中相似的部件使用相同的附圖標(biāo)記��。圖1所示是本發(fā)明 一實(shí)施例的簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)示意圖�;圖2所示是本發(fā)明一實(shí)施例中的一郵件服務(wù)器各個(gè)功能模塊與外部設(shè)備 的連接示意圖;圖3所示是本發(fā)明一實(shí)施例所應(yīng)用的一計(jì)算機(jī)系統(tǒng)示例圖����; 圖4所示是根據(jù)本發(fā)明一實(shí)施例中的反垃圾郵件引擎處理操作的簡(jiǎn)化流 程圖;圖5所示是本發(fā)明一實(shí)施例初始信息處理流程圖��;圖6所示是本發(fā)明一實(shí)施例的電子郵件信息重新評(píng)測(cè)的操作過(guò)程流程圖�����。
具體實(shí)施方式
下文將對(duì)能夠延遲本地信息分類,如垃圾郵件識(shí)別����,對(duì)全球情報(bào)的收集留 以時(shí)間的系統(tǒng)與方法進(jìn)行描述。根據(jù)本發(fā)明的各實(shí)施例�����,有關(guān)郵件特征評(píng)價(jià)和 /或發(fā)件人評(píng)價(jià)的情報(bào)集合將被整合為一郵件發(fā)送網(wǎng)絡(luò)���。根據(jù)本發(fā)明的一個(gè)實(shí) 施例, 一反垃圾郵件引擎將被集成在一郵件服務(wù)器中�,在不能實(shí)時(shí)判斷一郵件是否為干凈郵件或垃圾郵件的情況下延遲該郵件的發(fā)送。在無(wú)法對(duì)郵件進(jìn)行實(shí) 時(shí)明確地判斷時(shí)��,將對(duì)郵件進(jìn)行隊(duì)列處理���,自本網(wǎng)絡(luò)的該反垃圾郵件引擎或其 他反垃圾郵件引擎中收集全球情報(bào)��,使得后續(xù)的再次評(píng)測(cè)可對(duì)電子郵件信息是 否是垃圾郵件做出更為準(zhǔn)確的判斷���。根據(jù)本發(fā)明的一實(shí)施例��,提供了一種三層的網(wǎng)絡(luò)架構(gòu)���。郵件服務(wù)器的反垃 圾郵件引擎、郵件用戶端��、用戶端工作站�、網(wǎng)絡(luò)網(wǎng)關(guān)、防火墻或其他郵件信息 通過(guò)的可進(jìn)行本地垃圾郵件判斷的網(wǎng)絡(luò)設(shè)備�,通過(guò)在集中或分散服務(wù)器中的一 全球情報(bào)網(wǎng)絡(luò),遠(yuǎn)程托管查詢發(fā)件人的IP地址評(píng)價(jià)數(shù)據(jù)庫(kù)以及一特征數(shù)據(jù)庫(kù)��。 該方法的優(yōu)勢(shì)在于��,反垃圾郵件引擎一次只需要對(duì)一條郵件應(yīng)用與發(fā)件人評(píng)價(jià) 信息與特征評(píng)價(jià)信息相關(guān)程序即可�����。同時(shí)�,與全球情報(bào)網(wǎng)絡(luò)相連接的啟發(fā)性規(guī) 則更新服務(wù)器將更新推進(jìn)到反垃圾郵件引擎。在一個(gè)實(shí)施例中���,全套的啟發(fā)性 規(guī)則將被下載到反垃圾郵件引擎�。對(duì)于這一操作的過(guò)程,在一實(shí)施例中���,反垃 圾郵件引擎應(yīng)用i:來(lái)自發(fā)件人評(píng)價(jià)數(shù)據(jù)庫(kù)與垃圾郵件特征數(shù)據(jù)庫(kù)的查詢結(jié)果�����, 與ii:啟發(fā)性規(guī)則��,進(jìn)行垃圾郵件檢測(cè)��。而且����,可以根據(jù)數(shù)據(jù)庫(kù)的査詢結(jié)果應(yīng) 用啟發(fā)性規(guī)則�。根據(jù)本發(fā)明的一實(shí)施例����,當(dāng)有關(guān)電子郵件信息的全球情報(bào)和/或與郵件信 息有關(guān)的特征或發(fā)件人評(píng)價(jià)收集完成后,郵件信息便可以被重新檢測(cè)了����。實(shí)踐 經(jīng)驗(yàn)表明集合全球情報(bào),然后對(duì)本地垃圾郵件檢測(cè)�����,可以提高檢測(cè)的準(zhǔn)確性。需要說(shuō)明的是����,雖然反垃圾郵件引擎的各種實(shí)施例都是基于郵件服務(wù)器的,但是所述的反垃圾郵件引擎技術(shù)同樣可以在郵件用戶端應(yīng)用���,如Outlook 或Thunderbird����、用戶端工作站�、網(wǎng)絡(luò)網(wǎng)關(guān)、通過(guò)郵件信息的防火墻或網(wǎng)絡(luò)設(shè) 備中應(yīng)用����。本文所述的方法也可以應(yīng)用于各種郵件協(xié)議,包括但不局限于簡(jiǎn)單郵件傳 輸協(xié)議(SMTP)���、郵局協(xié)議3 (POP3)以及互聯(lián)網(wǎng)消息訪問(wèn)協(xié)議(IMAP)��, 與各種現(xiàn)行的以及未來(lái)的電子郵件網(wǎng)絡(luò)拓?fù)?�。另夕卜�,將郵件信息進(jìn)行緩存并執(zhí) 行后續(xù)的重新評(píng)測(cè)也可以多種方式進(jìn)行。在一個(gè)實(shí)施例中�,將在垃圾郵件識(shí)別 操作中沒(méi)有明確得出判斷結(jié)果的郵件信息進(jìn)行緩存,例如�,緩存在郵件服務(wù)器 或用戶端工作站這樣的網(wǎng)絡(luò)設(shè)備中,進(jìn)行初始垃圾郵件檢測(cè)�����。亦或者��,初始垃 圾郵件檢測(cè)與重新評(píng)測(cè)操作可以分別在不同的設(shè)備上執(zhí)行����。在一實(shí)施例中,初 始垃圾郵件檢測(cè)可以由郵件服務(wù)器執(zhí)行�。將在垃圾郵件識(shí)別操作中沒(méi)有明確判斷的郵件信息緩存在用戶端工作站并由該工作站內(nèi)應(yīng)用的本地反垃圾郵件引 擎對(duì)緩存的信息進(jìn)行重新評(píng)測(cè)。同樣�����,通過(guò)互聯(lián)網(wǎng)從服務(wù)器提供商或托管郵件 系統(tǒng)訪問(wèn)郵件信息的POP3或IMAP郵件服務(wù)器的郵件用戶可以在本地執(zhí)行初始垃圾郵件評(píng)測(cè)與有延遲的重新評(píng)測(cè)操作�����,或如果必要的話�,可以由IMAP或 POP3郵件服務(wù)器執(zhí)行初始垃圾郵件評(píng)測(cè)后再由用戶端工作站或郵件用戶端執(zhí)行重新評(píng)測(cè)操作。根據(jù)本發(fā)明的一個(gè)實(shí)施例����,網(wǎng)關(guān)、服務(wù)器或用戶端可以根據(jù) 郵件信息進(jìn)行臨時(shí)的判斷(如�,垃圾郵件、非垃圾郵件��、未知)并進(jìn)行標(biāo)注以 便進(jìn)行后續(xù)的重新評(píng)測(cè)操作�����。為了便于說(shuō)明本發(fā)明的技術(shù)方案�,在此僅具體描述關(guān)于全球情報(bào)遠(yuǎn)程收集 與分析從而本地進(jìn)行垃圾郵件辨別的具體實(shí)施例,但本發(fā)明請(qǐng)求保護(hù)的范圍并 不局限于上述實(shí)施例��,可以擴(kuò)展至信息分類領(lǐng)域的通用情況���,亦可應(yīng)用于信息 分類領(lǐng)域某些特殊情況�����,如在存在延遲的本地情報(bào)收集并應(yīng)用的情況���。例如在 本地收集關(guān)于垃圾郵件在趨勢(shì)���、模式以及數(shù)量上變化的情報(bào)及/或歷史數(shù)據(jù)可 應(yīng)用于對(duì)郵件的重新評(píng)測(cè)操作,以增強(qiáng)垃圾郵件的檢測(cè)�����。下面將參考附圖進(jìn)行說(shuō)明�,附圖中相同的功能元件使用相同的編號(hào)。上述 附圖用于解釋本發(fā)明���,并不作為對(duì)本發(fā)明的限制�,具體實(shí)施例和應(yīng)用與本發(fā)明 的原理是一致的���。所描述的詳細(xì)的應(yīng)用是用于本領(lǐng)域的技術(shù)人員實(shí)踐本發(fā)明���, 應(yīng)該理解,在不脫離本發(fā)明的精神和范圍內(nèi)�����,可以做其他應(yīng)用以及對(duì)各種元件 做出結(jié)構(gòu)修改和/或替換���。因此����,下面的描述并不用于限制本發(fā)明��。下述本發(fā)明實(shí)施例所涉及的諸多步驟�,可由硬件裝置予以執(zhí)行,也可包含 于機(jī)器可執(zhí)行指令中�,通過(guò)調(diào)用指令自身通用或特定的程序執(zhí)行。該步驟亦可 通過(guò)軟���、硬件�����、固件與/或人工操作相結(jié)合來(lái)執(zhí)行����。本發(fā)明的實(shí)施例可以提供作為一個(gè)計(jì)算機(jī)產(chǎn)品�,包括存儲(chǔ)指令的機(jī)讀介 質(zhì),能夠被計(jì)算機(jī)設(shè)備(或其他電子設(shè)備)所使用執(zhí)行操作����。機(jī)讀介質(zhì)可以包括但不局限于一般形式的計(jì)算機(jī)可讀介質(zhì)包括,如���,軟盤(pán)����、光盤(pán)、CD-ROM��、 磁光碟���、ROM��、 RAM�����、 EPROM����、 EEPROM�����、磁卡或光卡�、閃存存儲(chǔ)器、硬盤(pán)�、 磁帶或者任何其它磁性介質(zhì)�、任何其他光學(xué)介質(zhì)��、任何其它有孔圖案的物理介 質(zhì)�����、FLASH-EPROM����、記憶卡�����、任何其它記憶芯片或者卡帶�、下文所述的載波, 或者任何其它可存儲(chǔ)電子指令的媒體/計(jì)算機(jī)可讀介質(zhì)�����。此外��,本發(fā)明的實(shí)施 例也可以是下載的計(jì)算機(jī)程序產(chǎn)品����,所述程序可以從遠(yuǎn)程計(jì)算機(jī)通過(guò)通信鏈接(例如調(diào)制解調(diào)器或網(wǎng)絡(luò)連接)傳輸?shù)妮d波或其他傳播介質(zhì)傳輸?shù)臄?shù)據(jù)信號(hào)傳 送到發(fā)出請(qǐng)求的計(jì)算機(jī)�。以下將介紹本發(fā)明所涉及的術(shù)語(yǔ)�。"用戶端"通常是指用戶/服務(wù)器關(guān)聯(lián)中的應(yīng)用、程序�、操作或設(shè)備,能 夠從一個(gè)網(wǎng)絡(luò)的其他程序����、操作或設(shè)備(服務(wù)器)請(qǐng)求信息或服務(wù)。需要說(shuō)明 的是����,"用戶端"與"服務(wù)器"是相對(duì)的, 一個(gè)應(yīng)用程序?qū)σ豁?xiàng)程序來(lái)說(shuō)可以 是"用戶端"�����,對(duì)于另一項(xiàng)程序而言是"服務(wù)器"����。"用戶端"還包括建立一個(gè) 請(qǐng)求應(yīng)用、程序����、操作或網(wǎng)絡(luò)設(shè)備到服務(wù)器,如FTP用戶端,之間連接的軟 件��。"內(nèi)容分析"通常是指對(duì)電子郵件信息��、報(bào)頭和/或相關(guān)的附件的過(guò)濾和/ 或監(jiān)控和/或掃描的操作�,如應(yīng)用向內(nèi)和/或向外郵件過(guò)濾、附件/郵件內(nèi)容過(guò)濾�����、啟發(fā)性規(guī)則掃描��、深度郵件報(bào)頭檢測(cè)��、垃圾郵件URI實(shí)時(shí)屏蔽列表(SURBL)���、 禁忌詞匯過(guò)濾、垃圾郵件隔離與標(biāo)記��、垃圾郵件校驗(yàn)值屏蔽列表���、垃圾郵件鏡 像分析掃描�、偽造IP查詢�����、灰名單查詢、貝葉斯定理分類�����、貝葉斯定理統(tǒng)計(jì) 過(guò)濾、特征評(píng)價(jià)����、和/或如FortiGuard-反垃圾郵件服務(wù)��、訪問(wèn)控制策略過(guò)濾����、 內(nèi)容過(guò)濾、全球以及用戶黑白列表過(guò)濾�、垃圾郵件實(shí)時(shí)Blackhole列表(RBL)、 以及基于每個(gè)用戶的貝葉斯定理過(guò)濾這樣的過(guò)濾方法�,以便每個(gè)用戶都可以設(shè) 置自己的檔案資料、啟發(fā)性過(guò)濾�、拒絕服務(wù)攻擊(DOS)與帳戶收集攻擊(DHA)的防護(hù)。"連接"或"連結(jié)"以及相關(guān)的術(shù)語(yǔ)用在操作范疇中���,并不單單局限在直 接連接或連結(jié)���。"在一實(shí)施例中""根據(jù)本發(fā)明的一實(shí)施例"以及類似的表達(dá)通常指特殊 的性能�����、架構(gòu)或特點(diǎn)包括在本發(fā)明的至少一個(gè)實(shí)施例���,以及可能包括在本發(fā)明 的不止一個(gè)實(shí)施例中。需要說(shuō)明的是�,這樣的表達(dá)并不特指同一個(gè)實(shí)施例。"網(wǎng)絡(luò)網(wǎng)關(guān)"通常是指一個(gè)網(wǎng)絡(luò)間的系統(tǒng)��,該系統(tǒng)可以將兩個(gè)網(wǎng)絡(luò)連接在 一起��。"網(wǎng)絡(luò)網(wǎng)關(guān)"可以實(shí)施作為一項(xiàng)軟件或硬件����,或是二者的結(jié)合����。根據(jù)實(shí) 施情況,網(wǎng)絡(luò)網(wǎng)關(guān)可以在從程序協(xié)議到低端信令的任何級(jí)別的OSI模式下操 作����。如果在陳述一個(gè)部件或功能中使用了 "可能""可以""能夠"這樣的表 達(dá),是指這樣的部件或功能并不是必須包括或具有。"響應(yīng)"包括全部或部分的回復(fù)�。"發(fā)件人評(píng)價(jià)"通常是以一個(gè)數(shù)值來(lái)表示的,指郵件信息的發(fā)出端發(fā)送垃 圾郵件或未經(jīng)許可內(nèi)容��,如病毒或惡意軟件��,的歷史記錄這樣的評(píng)價(jià)表現(xiàn)����。"發(fā) 件人評(píng)價(jià)"可以根據(jù)對(duì)一發(fā)送服務(wù)器的一互聯(lián)網(wǎng)協(xié)議(IP)地址進(jìn)行以下幾個(gè) 方面的査看所得出的持續(xù)的數(shù)據(jù)i:在一個(gè)特殊域名中的一特殊用戶名,ii:該 特殊域名��,和/或iii:從該IP地址發(fā)送的所有流量�。同樣,發(fā)件人評(píng)價(jià)也可以 由傳統(tǒng)的評(píng)價(jià)分析以及從郵件信息分析與外部測(cè)試得出的各種特性中的一項(xiàng) 或多項(xiàng)計(jì)算而來(lái)的超出傳統(tǒng)評(píng)價(jià)方法之外的過(guò)濾技術(shù)而判斷�����。"服務(wù)器"通常情況下指在用戶/服務(wù)器范疇中對(duì)一個(gè)網(wǎng)絡(luò)中的另外的程 序��、進(jìn)程或設(shè)備(服務(wù)器)請(qǐng)求信息或服務(wù)做出回復(fù)的一項(xiàng)應(yīng)用����、程序、進(jìn)程 或設(shè)備�����。"服務(wù)器"也包括能夠提供信息或服務(wù)的軟件。"垃圾郵件"通常是指電子垃圾郵件��,典型的是以商業(yè)廣告形式出現(xiàn)的大 量的郵件信息����。通常郵件的內(nèi)容與判斷一電子郵件是否是垃圾郵件并不相關(guān), 雖然大部分垃圾郵件本質(zhì)上以商業(yè)推銷為目的����。垃圾郵件中所包含的信息可以 是推銷毫無(wú)投資價(jià)值的投機(jī)股票,垃圾郵件也可以是宗教信仰傳播的手段��。從 收件人角度來(lái)講���,垃圾郵件是未經(jīng)過(guò)收件人許可的、不必要的�、不相關(guān)的和/ 或不適當(dāng)?shù)碾娮余]件信息,通常為未經(jīng)過(guò)許可的商業(yè)目的郵件(UCE:unsolicited commercial email)�����。除了 UCE���,垃圾郵件還包括但不局限于與欺詐 性商業(yè)活動(dòng)有關(guān)的信息���、連鎖郵件��、和/或冒犯性的有關(guān)性的或其他政論信息����。 根據(jù)一實(shí)施例�����,垃圾郵件是"未經(jīng)過(guò)許可下的大量電子郵件信息(UBE: Unsolicited Bulk Email)"�。"未經(jīng)許可"通常指該電子郵件的收件方并未對(duì)該電 子郵件的發(fā)送給予許可,且發(fā)件人與收件人之間沒(méi)有任何可辨別的聯(lián)系�����。"大 量的"指電子郵件信息發(fā)送的形式是大宗��、大量且重復(fù)的信息���。實(shí)施例中的垃 圾郵件是UBE�,如果一封郵件它既符合"未經(jīng)許可"又符合"大量的"這樣 兩個(gè)條件���,那么便認(rèn)為是垃圾郵件���。未經(jīng)許可的郵件可以是常規(guī)的郵件�����,如首 次聯(lián)系請(qǐng)求���、招聘請(qǐng)求、商業(yè)尋價(jià)����。大量的郵件形式也可以是常規(guī)郵件,如訂 閱的時(shí)事通訊���、用戶溝通����、討論群組等這樣的郵件��。那么���,在實(shí)施例中被認(rèn)定 為垃圾郵件的電子郵件信息的特征為i:收件人的個(gè)人身份與內(nèi)容無(wú)關(guān)�����,郵件 信息可以同樣適用于許多其他可能的收件人��;與ii:所發(fā)送的郵件不能被收件 人確認(rèn)是被允許發(fā)送的�����。"垃圾郵件檢測(cè)"是指用于識(shí)別或?qū)⑿畔⒎诸惢蚺卸槔]件或非垃圾 的一項(xiàng)或多項(xiàng)方法���。垃圾郵件檢測(cè)可以很寬泛的包括當(dāng)前和/或未來(lái)的評(píng)價(jià)分 析,如發(fā)件人IP評(píng)價(jià)分析或內(nèi)容分析這些方法中的一項(xiàng)或幾項(xiàng)的結(jié)合��。圖1是本發(fā)明一實(shí)施例的簡(jiǎn)化的網(wǎng)絡(luò)架構(gòu)示意圖��。示意圖中包含一個(gè)或多個(gè)評(píng)價(jià)服務(wù)器(Reputation Server)llO���、 一個(gè)或多個(gè)垃圾郵件特征服務(wù)器(Spam Signature Server)115����、 一個(gè)或多個(gè)啟發(fā)性規(guī)則更新服務(wù)器(Heuristic Rule Update Server) 120與 一個(gè)或多個(gè)中央全球情報(bào)服務(wù)器(Central Global Intelligence Server)125�����,分別與公共網(wǎng)絡(luò)100連接進(jìn)行通信。整體而言��,該評(píng)價(jià)服務(wù)器110��、 該垃圾郵件特征服務(wù)器115�、該啟發(fā)性規(guī)則更新服務(wù)器120與該中央全球情報(bào) 服務(wù)器125形成一個(gè)全球情報(bào)服務(wù)器網(wǎng)絡(luò)(Global Intelligence Serve Network)。 在以下的詳細(xì)敘述中�����,全球情報(bào)服務(wù)器網(wǎng)絡(luò)中可以分布或結(jié)合各種服務(wù)器的子 網(wǎng)�����。用戶端工作站180通過(guò)本地局域網(wǎng)絡(luò)(LAN)150連接���,并通過(guò)一網(wǎng)絡(luò)網(wǎng)關(guān) 130與公共互聯(lián)網(wǎng)IOO進(jìn)行通信����。在當(dāng)前所述實(shí)施例中�����,該網(wǎng)絡(luò)網(wǎng)關(guān)130與一 郵件服務(wù)器140連接���,該郵件服務(wù)器140可以組成一個(gè)如圖2所示的反垃圾郵 件引擎241 (圖1中沒(méi)有示出該集成部件)���,執(zhí)行以下所述的各種反垃圾郵件 的操作。在該簡(jiǎn)化的實(shí)施例中����, 一個(gè)LAN(例如LAN150)只與一個(gè)郵件服務(wù)器(例 如郵件服務(wù)器140)相連接,但本領(lǐng)域技術(shù)人員可知����,許多其他郵件服務(wù)器、 網(wǎng)絡(luò)網(wǎng)關(guān)����、郵件用戶端和/或用戶端工作站可以同時(shí)全球操作并執(zhí)行反垃圾郵 件以及內(nèi)容分析操作。所以�����,本領(lǐng)域技術(shù)人員可知本實(shí)施例所述的該反垃圾郵 件引擎可以是全球情報(bào)服務(wù)器125為代表的作為情報(bào)集合代理的一較大反垃 圾郵件引擎網(wǎng)絡(luò)中的一部分����。返回到圖1所示的網(wǎng)絡(luò)架構(gòu)中,該評(píng)價(jià)服務(wù)器IIO可以與一個(gè)或多個(gè)相關(guān) 的評(píng)價(jià)數(shù)據(jù)庫(kù)(ReputationDatabase)lll連接;該垃圾郵件特征服務(wù)器115可以 與一個(gè)或多個(gè)相關(guān)的垃圾郵件特征數(shù)據(jù)庫(kù)116連接����;該啟發(fā)性規(guī)則更新服務(wù)器 120可以與一個(gè)或多個(gè)相關(guān)的啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)121連接。在一實(shí)施例中��,該 評(píng)價(jià)數(shù)據(jù)庫(kù)111包含與所檢索的電子郵件信息流關(guān)聯(lián)的發(fā)件人IP地址相關(guān)的 評(píng)價(jià)信息�。評(píng)價(jià)服務(wù)器110與評(píng)價(jià)數(shù)據(jù)庫(kù)111可表示為現(xiàn)有或以后的評(píng)價(jià)服務(wù)。 現(xiàn)有的評(píng)價(jià)服務(wù)可以體現(xiàn)為評(píng)價(jià)服務(wù)器110的各種操作功能��,包括FortilP 發(fā)件人IP評(píng)價(jià)數(shù)據(jù)庫(kù)(可以從Fortinet公司獲得)�����、 一個(gè)通過(guò)從各種資源收集 IP地址數(shù)十個(gè)屬性以建立對(duì)每個(gè)IP地址進(jìn)行評(píng)價(jià)并維護(hù)的全球情報(bào)IP評(píng)價(jià)數(shù) 據(jù)庫(kù)�。這些包含在IP地址的屬性可以是這些IP地址的"是誰(shuí)"信息、地理 位置信息��、郵件服務(wù)器�、是否是開(kāi)放中繼或截獲的主機(jī)、從該郵件發(fā)件人發(fā)出 的郵件的容量以及郵件容量模式的歷史記錄等���。在本發(fā)明的另一實(shí)施例中���,全球情報(bào)服務(wù)器125與反垃圾郵件引擎沒(méi)有直 接連接����,但是可以收集數(shù)據(jù)����,并對(duì)從全球情報(bào)網(wǎng)絡(luò)中其他的服務(wù)器收集到的數(shù) 據(jù)進(jìn)行數(shù)據(jù)分析����,例如可以從評(píng)價(jià)服務(wù)器IIO、垃圾郵件特征服務(wù)器115以及 啟發(fā)性規(guī)則更新服務(wù)器120���。在此實(shí)施例中�,全球情報(bào)服務(wù)器125也可以將收 集分析數(shù)據(jù)得到的情報(bào)通過(guò)全球情報(bào)網(wǎng)絡(luò)中的服務(wù)器傳遞到反垃圾郵件引擎����。 在其他實(shí)施例中,全球情報(bào)服務(wù)器125可以邏輯上插入全球情報(bào)網(wǎng)絡(luò)中反垃圾 郵件引擎與其他服務(wù)器之間����,直接從反垃圾郵件引擎接收查詢并允許全球情報(bào) 服務(wù)器125從所查看的電子郵件信息中收集相關(guān)信息且執(zhí)行分析操作。在任何的實(shí)施例中���,這種數(shù)據(jù)收集與分析的集中方法允許全球情報(bào)服務(wù)器 125能夠基于例如自所有參與的反垃圾郵件引擎檢測(cè)到的每個(gè)郵件特征的容 量查詢與模式�����,收集有利于指示和/或控制下列事項(xiàng)進(jìn)行更新的情報(bào)"發(fā)件人的評(píng)價(jià)信息��,ii:電子郵件信息特征����,iii:相關(guān)的垃圾郵件計(jì)數(shù),以及iv:���、啟發(fā)性規(guī)則��,例如����,從所有構(gòu)成反垃圾郵件引擎的服務(wù)器收集的基于每個(gè)垃圾郵件特征的查詢量與模式��。全球情報(bào)服務(wù)器125以及該服務(wù)器同參與檢測(cè)的反垃圾郵件引擎間的相互作用和/或全球情報(bào)網(wǎng)絡(luò)中的服務(wù)器促進(jìn)特征以及與其 相應(yīng)的大型評(píng)價(jià)數(shù)據(jù)庫(kù)的維護(hù)�,否則該特征與評(píng)測(cè)將無(wú)法被持續(xù)地推入到參與檢測(cè)的的反垃圾郵件引擎中。另外��,全球情報(bào)服務(wù)器125所收集的實(shí)時(shí)的全球 情報(bào)通過(guò)啟發(fā)性規(guī)則更新服務(wù)器120將更新的啟發(fā)性規(guī)則推進(jìn)到反垃圾郵件 引擎�����,從而實(shí)現(xiàn)對(duì)垃圾郵件檢測(cè)算法的持續(xù)可行的調(diào)整,從而使網(wǎng)絡(luò)中的反垃圾郵件引擎能夠不斷更新�����,以跟上垃圾郵件變化的動(dòng)向����。根據(jù)本發(fā)明的一實(shí)施例�,啟發(fā)性規(guī)則更新服務(wù)器120以及與其相連接的啟 發(fā)性規(guī)則數(shù)據(jù)庫(kù)121創(chuàng)建、維護(hù)反垃圾郵件引擎并將與垃圾郵件��、病毒和/或惡意代碼檢測(cè)有關(guān)的反垃圾郵件引擎啟發(fā)性規(guī)則分配到反垃圾郵件引擎�����。啟發(fā) 性規(guī)則更新服務(wù)器120可以基于全球情報(bào)服務(wù)器125所收集情報(bào)并作為對(duì)該情報(bào)以及離線分析和/或手動(dòng)分析的回應(yīng)更新啟發(fā)性規(guī)則���。在本發(fā)明一實(shí)施例中�����,啟發(fā)性規(guī)則更新服務(wù)器120也可以通過(guò)分配適當(dāng)?shù)膯l(fā)性規(guī)則的更新����,持續(xù)調(diào)整網(wǎng)絡(luò)中反垃圾郵件引擎的垃圾郵件檢測(cè)算法。各種實(shí)施例包括FortiGuard 反垃圾郵件服務(wù)�、賽門(mén)鐵克Brightmail Anti-Spam 軟件以及Barracuda Network Energize Update,當(dāng)前的啟發(fā)性規(guī)則更新機(jī)制是啟發(fā)性規(guī)則更新服務(wù)器120的 示范性說(shuō)明。根據(jù)本發(fā)明一實(shí)施例�,垃圾郵件特征服務(wù)器115創(chuàng)建、更新并維護(hù)電子郵 件信息特征以及相關(guān)的垃圾郵件計(jì)數(shù)���。在本發(fā)明一實(shí)施例中���,垃圾郵件特征基 于所檢測(cè)的電子郵件的一項(xiàng)或多項(xiàng)屬性,包括但不局限于�����,發(fā)件人的IP地址�、 廣告型垃圾郵件的URL、郵件客體或MIME部分的校驗(yàn)值�、郵件內(nèi)容中的電 話號(hào)碼以及被認(rèn)為是信息的偽裝特征的其他屬性。郵件信息特征及相關(guān)垃圾郵 件計(jì)數(shù)的創(chuàng)建�、更新以及維護(hù)可以基于垃圾郵件特征服務(wù)器115直接檢測(cè)到的 郵件信息,和/或基于全球情報(bào)服務(wù)器125接收到的指示或指導(dǎo)信息�,該指示 或指導(dǎo)信息來(lái)源于全球情報(bào)服務(wù)器125對(duì)電子郵件的直接檢測(cè)或自垃圾郵件 特征服務(wù)器115收集到的間接的數(shù)據(jù)分析。在一個(gè)實(shí)施例中�,垃圾郵件特征數(shù)據(jù)庫(kù)116中包括很多類型的特征。例如�, 一個(gè)垃圾郵件特征數(shù)據(jù)庫(kù)可以包含有關(guān)廣告垃圾郵件的URL的信息�����。90%的 垃圾郵件在郵件主體都有一個(gè)或多個(gè)URL (統(tǒng)一資源定位器)����。這些URL可 以直接或間接鏈接到推銷其產(chǎn)品與服務(wù)的垃圾郵件發(fā)送端的網(wǎng)站�。有關(guān)"網(wǎng)絡(luò) 釣魚(yú)"性質(zhì)的垃圾郵件中的URL,通常直接鏈接到一個(gè)虛假銀行或其他金融 機(jī)構(gòu)的網(wǎng)站以騙取個(gè)人的賬號(hào)等銀行信息�����。其他垃圾郵件特征數(shù)據(jù)庫(kù)可以包括 有關(guān)廣告性質(zhì)垃圾郵件地址的信息����。類似于廣告性質(zhì)垃圾郵件的URL�����,相當(dāng) 大的一部分垃圾郵件在郵件主體中包括一個(gè)或多個(gè)郵件地址��,可以通過(guò)該地址 聯(lián)系到垃圾郵件發(fā)件端�����。通過(guò)從垃圾郵件樣本中提取這些郵件地址,這些廣告 性質(zhì)垃圾郵件的地址可以提供另一項(xiàng)強(qiáng)大的全球情報(bào)收集過(guò)濾器用以識(shí)別并 過(guò)濾垃圾郵件���。垃圾郵件對(duì)象校驗(yàn)值可以被其他垃圾郵件數(shù)據(jù)庫(kù)所保存�。根據(jù) 本發(fā)明一實(shí)施例����,垃圾郵件對(duì)象的識(shí)別以及一粗略校驗(yàn)值的計(jì)算都是基于這些 郵件對(duì)象的。郵件對(duì)象可以是電子郵件信息的一部分或?yàn)橐粋€(gè)附件����。在一個(gè)實(shí) 施例中,垃圾郵件特征數(shù)據(jù)庫(kù)116包括Fortinet公司提供的FortiSigl垃圾郵件 特征數(shù)據(jù)庫(kù)���、FortiSig2垃圾郵件特征數(shù)據(jù)庫(kù)�、FortiSig3垃圾郵件特征數(shù)據(jù)庫(kù)中 的一個(gè)或多個(gè)�����。為了能夠清晰闡述發(fā)明的實(shí)現(xiàn)過(guò)程�,評(píng)價(jià)服務(wù)器 110、垃圾郵件特征服務(wù)器115���、啟發(fā)性規(guī)則更新服務(wù)器120�、全球情報(bào)服務(wù)器125、網(wǎng)絡(luò)網(wǎng)關(guān)130與郵件服務(wù)器140均以一臺(tái)設(shè)備為例��,實(shí)際操作中����,這些 設(shè)備可以包括分散連接的架構(gòu)中多個(gè)物理、邏輯和/或虛擬設(shè)備或系統(tǒng)�,以及 所執(zhí)行的各種功能可以分配到多個(gè)設(shè)備中或結(jié)合在少數(shù)幾個(gè)設(shè)備中實(shí)現(xiàn),也就 是說(shuō)�����,任何的功能可以在多個(gè)設(shè)備的集合或僅僅一臺(tái)設(shè)備中實(shí)現(xiàn)���。而且�����,操作 處理過(guò)程可以在多個(gè)設(shè)備之間分開(kāi)執(zhí)行。在本發(fā)明一實(shí)施例中���,評(píng)價(jià)服務(wù)器 110�����、垃圾特征服務(wù)器115和/或啟發(fā)性規(guī)則更新服務(wù)器120的功能可以由全球 情報(bào)服務(wù)器125提供��;亦或者����,全球情報(bào)服務(wù)器125的功能可以集成在全球情 報(bào)網(wǎng)絡(luò)中其他服務(wù)器中。圖2是本發(fā)明一實(shí)施例中的一郵件服務(wù)器240各個(gè)功能模塊與外部設(shè)備的 連接示意圖��。根據(jù)當(dāng)前所述實(shí)施例���, 一郵件服務(wù)器240包括一反垃圾郵件引擎 241�����、 一信息傳輸代理(Message Transfer Agent)242�����、 一信息隊(duì)列(Message Queue)243�、 一啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)244以及一評(píng)價(jià)緩存(Reputation Cache)245�����。 該郵件服務(wù)器240可以與一個(gè)或多個(gè)評(píng)價(jià)服務(wù)器210、 一個(gè)或多個(gè)垃圾郵件特 征服務(wù)器215����、 一個(gè)或多個(gè)啟發(fā)性規(guī)則更新服務(wù)器220,以及一遠(yuǎn)程信息傳輸 代理260���、 一用戶端工作站280的一用戶代理/郵件用戶端250相連接�����。信息傳輸代理(MTA) 242是一種用于接收����、路由并傳送電子郵件信息的 程序或軟件代理�。請(qǐng)同時(shí)參考圖1及圖2, MTA242從用戶端工作站180的本 地用戶����,例如用戶端工作站280及遠(yuǎn)程主機(jī)(圖中沒(méi)有示出),接收郵件信息 與收件人地址�����,執(zhí)行化名創(chuàng)建以及轉(zhuǎn)發(fā)功能并將郵件信息傳送到各自的目標(biāo)地 址���。當(dāng)郵件信息來(lái)自LAN150之外的網(wǎng)絡(luò)時(shí)��,MTA242與一個(gè)遠(yuǎn)程MTA����,例 如遠(yuǎn)程MTA260,進(jìn)行通訊將郵件信息從與遠(yuǎn)程MTA260連接的遠(yuǎn)程郵件服務(wù) 器(圖中沒(méi)有示出)傳輸?shù)洁]件服務(wù)器240����。根據(jù)本發(fā)明的一個(gè)實(shí)施例以及以 下所述內(nèi)容,在將向外的郵件信息傳輸?shù)竭h(yuǎn)程MTA260和/或?qū)⑾騼?nèi)的郵件信 息接收或傳送到用戶端工作站280之前�����,MTA242請(qǐng)求反垃圾郵件引擎241執(zhí) 行一項(xiàng)或多項(xiàng)內(nèi)容分析或過(guò)濾操作�����。根據(jù)本發(fā)明的一實(shí)施例����,反垃圾郵件引擎241為地理位置上分散的大型網(wǎng) 絡(luò)化反垃圾郵件引擎(沒(méi)有示出)的其中之一,該網(wǎng)絡(luò)化反垃圾郵件引擎在全 球情報(bào)服務(wù)器125的協(xié)作下同時(shí)分析處理各自的電子郵件信息流����。在以下更詳細(xì)的敘述中所述�,反垃圾郵件引擎241可以根據(jù)本地評(píng)價(jià)緩存245中的發(fā)件人 評(píng)價(jià)信息或根據(jù)對(duì)評(píng)價(jià)服務(wù)器210的訪問(wèn)進(jìn)行初始判斷���,決定是否接受例如 SMTP連接的郵件協(xié)議連接����,��。當(dāng)連接被接受且一向內(nèi)的郵件信息被本地接收 后����,反垃圾郵件引擎241采用以下的一項(xiàng)或幾項(xiàng)算法對(duì)郵件信息進(jìn)行分析以判 斷該郵件是否為垃圾郵件,所述算法包括i:存儲(chǔ)在本地啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)244 中的且由啟發(fā)性規(guī)則更新服務(wù)器220定期更新的啟發(fā)性規(guī)則應(yīng)用程序�,ii:全 球情報(bào)服務(wù)器125的各種垃圾郵件特征的應(yīng)用程序。根據(jù)當(dāng)前所述的實(shí)施例��,在某種程度上發(fā)件人評(píng)價(jià)信息并不是經(jīng)常變化 的�,評(píng)價(jià)緩沖245可以將自評(píng)價(jià)服務(wù)器210最近獲得的發(fā)件人評(píng)價(jià)信息暫時(shí)性 進(jìn)行本地存儲(chǔ)。依靠特定的執(zhí)行方法與支持額外速度所需的剩余空間(例如 RAM或硬盤(pán)的空間)�����,評(píng)價(jià)緩存245可以應(yīng)用于各種的緩存方法�。可應(yīng)用的緩 存算法包括最近最少使用算法(LRU)���、最近最多使用算法(MRU)��、偽最近 最少使用算法(PLRU)����、最不經(jīng)常使用(LFU)算法以及自適應(yīng)替換緩存(ARC) 算法�����。根據(jù)評(píng)價(jià)緩存245的容量�,根本不需要丟棄發(fā)件人評(píng)價(jià)信息這樣的緩存 算法;但是為了避免使用過(guò)期的信息����,較佳實(shí)施例中使用的評(píng)價(jià)緩存254至少 可以使發(fā)件人評(píng)價(jià)信息緩存期滿的頻率能夠與評(píng)測(cè)服務(wù)器210更新發(fā)件人評(píng) 價(jià)信息的頻率同歩。在其他實(shí)施例中���,如果發(fā)件人評(píng)價(jià)信息更新速度足夠快且 能夠在一合理的與垃圾郵件信息實(shí)時(shí)處理過(guò)程相一致的時(shí)間段內(nèi)從評(píng)價(jià)服務(wù) 器210獲取更新����,便不需要配置評(píng)價(jià)緩存245����。根據(jù)本發(fā)明一實(shí)施例��,反垃圾郵件引擎241所使用的垃圾郵件檢測(cè)算法全 部或部分是可升級(jí)的��。根據(jù)該實(shí)施例���,反垃圾郵件引擎241使用存儲(chǔ)在啟發(fā)性 規(guī)則數(shù)據(jù)庫(kù)244中的啟發(fā)性規(guī)則作為垃圾郵件檢測(cè)操作的一部分。啟發(fā)性規(guī)則 可由啟發(fā)性規(guī)則更新服務(wù)器220定期升級(jí)或作為對(duì)各種事件回應(yīng)而升級(jí)���。例 如��,在本發(fā)明一實(shí)施例中�����,全球情報(bào)服務(wù)器�����,例如全球情報(bào)服務(wù)器125���,將主 要情報(bào)進(jìn)行集中從而觸發(fā)啟發(fā)性規(guī)則更新服務(wù)器220的更新,由于上述更新�����, 啟發(fā)性規(guī)則更新服務(wù)器220將更新的啟發(fā)性規(guī)則主動(dòng)推進(jìn)到反垃圾郵件引擎。 在本實(shí)施例中�����,垃圾郵件的檢測(cè)可以根據(jù)全球情報(bào)服務(wù)器檢測(cè)到的垃圾郵件變 化的趨勢(shì)而進(jìn)行實(shí)時(shí)調(diào)整�����。在當(dāng)前的實(shí)施例中�����,信息隊(duì)列243為經(jīng)反垃圾郵件引擎241處理過(guò)的郵件 信息提供暫時(shí)性的存儲(chǔ)�����。在一個(gè)實(shí)施例中�,當(dāng)反垃圾郵件引擎241在處理電子郵件時(shí)無(wú)法對(duì)該電子郵件進(jìn)行明確的垃圾郵件分類(例如����,劃分為干凈郵件或垃圾郵件),信息隊(duì)列243將保存這些郵件信息����。例如��,反垃圾郵件引擎241 在對(duì)特征評(píng)價(jià)的詢問(wèn)進(jìn)行回應(yīng)時(shí)�,垃圾郵件特征服務(wù)器215返回的垃圾郵件計(jì)數(shù)可能不在預(yù)先設(shè)定或配置的垃圾郵件或干凈郵件的閥值范圍之內(nèi)���。在這種情況下����,這樣的電子郵件信息將被隊(duì)列處理(暫時(shí)隔離)在信息隊(duì)列243中等待 從網(wǎng)絡(luò)中其他反垃圾郵件引擎收集有關(guān)上述電子郵件信息特征的全球情報(bào)���。在 預(yù)先設(shè)定的或配置的一段延遲后�,反垃圾郵件引擎241再次向垃圾郵件特征服 務(wù)器115發(fā)出查詢以獲得當(dāng)前特征評(píng)價(jià)信息�����,之前沒(méi)有分類的電子郵件信息 將被反垃圾郵件引擎241重新評(píng)測(cè)����。在本實(shí)施例中,也對(duì)發(fā)明中所使用的創(chuàng)新性的三層網(wǎng)絡(luò)架構(gòu)進(jìn)行了說(shuō)明����。 反垃圾郵件引擎241從評(píng)價(jià)服務(wù)器210與垃圾郵件特征服務(wù)器215查詢遠(yuǎn)程主 機(jī)發(fā)件人評(píng)價(jià)信息與特征評(píng)價(jià)信息。這種方法的優(yōu)勢(shì)在于,反垃圾郵件引擎 241能夠獲得大量發(fā)件人評(píng)測(cè)信息與特征評(píng)測(cè)信息���,并且在需要的情況下只需 要發(fā)出關(guān)于上述相關(guān)信息的簡(jiǎn)單請(qǐng)求��,上述信息便可在反垃圾郵件引擎241 能夠負(fù)載的情況下經(jīng)常更新且不會(huì)影響垃圾郵件檢測(cè)效率�����。在本發(fā)明一實(shí)施例中����,啟發(fā)性規(guī)則更新服務(wù)器220將更新推入到反垃圾郵 件引擎241�����。因?yàn)閱l(fā)性規(guī)則的更新占用的容量相對(duì)較小���,在典型的實(shí)施中, 整套的啟發(fā)性規(guī)則可下載到反垃圾郵件引擎241上�����。根據(jù)本發(fā)明一實(shí)施例�,反 垃圾郵件引擎241使用以下情報(bào)進(jìn)行反垃圾郵件檢測(cè)i:査詢?cè)u(píng)價(jià)服務(wù)器210 與反垃圾郵件特征服務(wù)器215所得出的結(jié)果,ii:啟發(fā)性規(guī)則服務(wù)器220所提 供的并本地存儲(chǔ)在啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)244的更新后的啟發(fā)性規(guī)則。此外�,在本 發(fā)明一實(shí)施例中,啟發(fā)性規(guī)則是由查詢結(jié)果決定的��。也就是說(shuō)����,垃圾郵件檢測(cè) 中使用個(gè)別啟發(fā)性規(guī)則可以根據(jù)從評(píng)價(jià)服務(wù)器210和/或垃圾郵件特征服務(wù)器 215查詢的結(jié)果而更改。與在配置或預(yù)先設(shè)定的時(shí)間內(nèi)重新評(píng)測(cè)信息隊(duì)列243中的郵件信息相比��, 在其他實(shí)施例中�,預(yù)先設(shè)定的一項(xiàng)或多項(xiàng)事件可以觸發(fā)對(duì)郵件信息的重新評(píng) 測(cè)。例如�,郵件隊(duì)列243中的郵件信息可以根據(jù)以下事件的觸發(fā)接受重新評(píng)測(cè), i:啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)244中的啟發(fā)性規(guī)則的更新����;ii:評(píng)價(jià)服務(wù)器210中發(fā)件人評(píng)價(jià)信息更新或到反垃圾郵件引擎的個(gè)別發(fā)件人評(píng)價(jià)信息的屬性更新;禾口/ 或iii:反垃圾郵件特征服務(wù)器215的特征評(píng)價(jià)信息的更新或有利于反垃圾郵件引擎241的特定的特征評(píng)價(jià)信息的更新����。在本發(fā)明一實(shí)施例中,不同信息隊(duì)列可以由不同類別的特征進(jìn)行處理����。在 這樣的實(shí)施例中���,信息隊(duì)列中與已更新的類別特征有關(guān)的信息,與隊(duì)列中尚未 更新類別特征有關(guān)的隊(duì)列信息可以進(jìn)行分別�����、獨(dú)立的處理�。在一個(gè)實(shí)施例中,獨(dú)立功能性模塊的功能可以多種方式結(jié)合�。請(qǐng)參照?qǐng)Dl與圖2,例如�����,反垃圾郵件引擎241可以與信息傳輸代理242集成以及啟發(fā)性 規(guī)則更新服務(wù)器220和/或評(píng)價(jià)服務(wù)器210可以與全球情報(bào)服務(wù)器125集成����。此外���,以上所述本發(fā)明的各種實(shí)施例均圍繞有關(guān)郵件服務(wù)器����,但是�,這樣 的實(shí)施例說(shuō)明并不限制本發(fā)明的范圍。而且,所述的反垃圾郵件方法同樣適用 于電子郵件與網(wǎng)絡(luò)設(shè)備以及軟件�����,包括用戶端工作站��、郵件用戶端軟件�����、網(wǎng) 絡(luò)網(wǎng)關(guān)�、防火墻以及其他郵件通過(guò)的郵件與網(wǎng)絡(luò)設(shè)備。圖3是本發(fā)明所使用的一計(jì)算機(jī)系統(tǒng)示例圖���。計(jì)算機(jī)系統(tǒng)300可以是或者 為郵件服務(wù)器�、用戶端工作站�����、網(wǎng)絡(luò)網(wǎng)關(guān)���、防火墻��、網(wǎng)絡(luò)安全設(shè)備��、交換機(jī)�、 橋接設(shè)備、路由器和/或其他網(wǎng)絡(luò)設(shè)備的一部分�����,執(zhí)行評(píng)價(jià)緩存245�����、反垃圾郵 件引擎241��、信息隊(duì)列243���、以及啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)244的功能�����。如圖3所示, 該計(jì)算機(jī)系統(tǒng)300包括一個(gè)或多個(gè)處理器305�����、 一個(gè)或多個(gè)通信接口 310���、主 內(nèi)存315�、只讀內(nèi)存320、大容量存儲(chǔ)器325����、總線330以及可移動(dòng)存儲(chǔ)介質(zhì) 340。處理器305可以是英特爾Intel Itanium 或Itanium 2⑧處理器��,AMD Opteron 或Athlon MP②處理器或本技術(shù)領(lǐng)域內(nèi)熟悉的其他處理器���。通信接口 310可以是物理和/或邏輯接口����。例如����,通信接口可以是與基于 調(diào)制解調(diào)器的撥號(hào)連接的任何RS-232接口、 10/100以太網(wǎng)接口�、或銅或光纖 的千兆接口。通信接口 310也可以根據(jù)計(jì)算機(jī)系統(tǒng)300連接的網(wǎng)絡(luò)如局域網(wǎng) (LAN)或廣域網(wǎng)(WAN)進(jìn)行選擇���。通信接口 310也可以是以邏輯連接(如 傳輸控制協(xié)議(TCP: Transmission Control Protocol)或用戶數(shù)據(jù)報(bào)協(xié)議(UDP: Universal Datagram Protocol))結(jié)尾命名����。例如,通信協(xié)議可以是由互聯(lián)網(wǎng)地 址指派機(jī)構(gòu)(IANA: Internet Assigned Numbers Authority)根據(jù)特殊用途指派的 以下公知的端口之一����,如SMTP端口 25。主內(nèi)存315可以是隨機(jī)存儲(chǔ)內(nèi)存(RAM: Random Access Memory)或公知 的任何其他動(dòng)態(tài)存儲(chǔ)設(shè)備�����。只讀存儲(chǔ)器320可以是任何靜態(tài)存儲(chǔ)裝置例如用于存儲(chǔ)靜態(tài)信息如處理器305的指令的可編程只讀存儲(chǔ)器(PROM)芯片����。大容量存儲(chǔ)器325可以用來(lái)存儲(chǔ)信息與指令。例如�,硬盤(pán)如Adaptec^系列 的SCSI驅(qū)動(dòng)器、光盤(pán)���、磁盤(pán)陣列如RAID���,如Adaptec系列的RAID驅(qū)動(dòng),或 任何其他可以使用的大容量存儲(chǔ)裝置�。總線330是處理器305與其他內(nèi)存��,存儲(chǔ)以及通信模塊之間的通信連結(jié)��。 總線330可以是根據(jù)所使用的存儲(chǔ)裝置基于PCI/PCI-X或SCSI的系統(tǒng)總線�。移動(dòng)存儲(chǔ)介質(zhì)340可以是任何種類的外部硬驅(qū)動(dòng),軟盤(pán)���,10MEGA⑧壓縮 驅(qū)動(dòng)�����,壓縮磁盤(pán)一只讀存儲(chǔ)器(CD-ROM),壓縮磁盤(pán)一可寫(xiě)存儲(chǔ)器(CD-RW), 數(shù)字錄像磁盤(pán)一只讀存儲(chǔ)器(DVD-ROM)�。還有便是��,操作員與管理員界面(圖中沒(méi)有示出)�����,如顯示器��、鍵盤(pán)與指 針控制設(shè)備�,可與總線330連接用以支持操作員對(duì)計(jì)算機(jī)系統(tǒng)100的直接操作。 其他操作員與管理接口可以通過(guò)連接的通信接口 310的網(wǎng)絡(luò)連接來(lái)實(shí)現(xiàn)�����。圖4所示是根據(jù)本發(fā)明的實(shí)施例���,簡(jiǎn)化的反垃圾郵件處理的流程說(shuō)明圖����。 根據(jù)上文所述,反垃圾郵件操作可以由全球情報(bào)網(wǎng)絡(luò)中代表全球情報(bào)服務(wù)器 125統(tǒng)一進(jìn)行收集全球情報(bào)的反垃圾郵件引擎同時(shí)進(jìn)行�。至少,反垃圾郵件引 擎的處理操作從判斷流程410起��,該流程中反垃圾郵件引擎等待有關(guān)各種預(yù)先 定義的事件的信號(hào)����。在當(dāng)前實(shí)施例中,預(yù)先定義的事件包括i:接收到郵件 協(xié)議連接請(qǐng)求����;ii:接收到新的啟發(fā)性規(guī)則;以及iii:發(fā)生重新評(píng)價(jià)觸發(fā)事件���。 一旦收到郵件協(xié)議連接請(qǐng)求�����,例如����,表示收到信息的SMTP連接或其他郵件 協(xié)議事件,反垃圾郵件引擎處理操作將進(jìn)行接下來(lái)的流程420���。如果檢測(cè)到觸 發(fā)重新評(píng)測(cè)的事件,反垃圾郵件引擎的操作步驟將實(shí)行流程450����。當(dāng)接收到啟 發(fā)性規(guī)則更新后,反垃圾郵件引擎的操作歩驟將實(shí)行流程460����。在流程420,執(zhí)行評(píng)價(jià)分析操作��。在本發(fā)明一實(shí)施例中���,評(píng)價(jià)分析操作包 括反垃圾郵件引擎241向評(píng)價(jià)服務(wù)器210禾tl/或全球情報(bào)服務(wù)器125查詢?cè)?郵件發(fā)送人連接請(qǐng)求的發(fā)件人評(píng)價(jià)信息���。該評(píng)價(jià)分析可以只在本地評(píng)價(jià)緩存如 評(píng)價(jià)緩存245中進(jìn)行緩存內(nèi)査詢,或是在該緩存內(nèi)査詢后再于評(píng)測(cè)服務(wù)器210 和/或全球情報(bào)服務(wù)器125中進(jìn)行查詢��。在流程430���,將根據(jù)郵件安全策略處理連接請(qǐng)求�。如果連接請(qǐng)求的發(fā)出者 是可信的,連接將被接受���。請(qǐng)參照?qǐng)D2及圖4�,例如���,連接請(qǐng)求的發(fā)出者的發(fā)件人評(píng)價(jià)符合或超出預(yù)先定義或配置的可信閥值�,該請(qǐng)求發(fā)件人向本地用戶工作站發(fā)送的任何郵件將被從遠(yuǎn)程MTA260傳輸?shù)奖镜豈TA242���。但是���,如果發(fā) 出連接請(qǐng)求端被判定為可不信任的,該連接將被丟棄�����。假設(shè)連接被接受���,在流程440中���,反垃圾郵件引擎241將執(zhí)行初始郵件處 理����。有關(guān)初始郵件處理的描述將參照?qǐng)D5后續(xù)進(jìn)行詳細(xì)說(shuō)明��。流程450中���,檢測(cè)到一個(gè)重新評(píng)測(cè)觸發(fā)事件。作為重新評(píng)測(cè)觸發(fā)的回應(yīng)�, 反垃圾郵件引擎241將執(zhí)行電子郵件信息的重新評(píng)測(cè)處理,操作過(guò)程將參照?qǐng)D 6后續(xù)進(jìn)行詳細(xì)說(shuō)明��。在本發(fā)明一個(gè)實(shí)施例中����,郵件重新評(píng)測(cè)的觸發(fā)事件可以 是預(yù)先設(shè)定的超過(guò)執(zhí)行初始郵件處理后的一段時(shí)間,例如1到10分鐘���。在本 發(fā)明一個(gè)實(shí)施例中���,重新評(píng)測(cè)可以每隔約五分鐘被觸發(fā)。其他實(shí)施例中���,重新 評(píng)測(cè)的觸發(fā)事件可以是接收到新的啟發(fā)性規(guī)則�����、來(lái)自全球情報(bào)服務(wù)器125或評(píng) 價(jià)服務(wù)器110的特征評(píng)價(jià)信息更新的信號(hào)����、發(fā)件人評(píng)測(cè)信息更新的信號(hào)、以及 垃圾郵件特征數(shù)據(jù)庫(kù)116中特征評(píng)測(cè)信息更新的信號(hào)和/或類似的事件���。在理想的情形下���,除了與之前評(píng)測(cè)產(chǎn)生同樣結(jié)果的情況外,電子郵件信息 還可以在以下情況下被觸發(fā)進(jìn)行重新評(píng)測(cè)����,i:與劃分特定信息是干凈郵件或 是垃圾郵件有關(guān)的特征評(píng)價(jià)信息的更新;或ii:影響特殊信息是干凈郵件或垃 圾郵件分類的啟發(fā)性規(guī)則��。這樣的理想情形可能不能實(shí)現(xiàn)��;因此����,需要根據(jù)計(jì) 時(shí)器或更多的常規(guī)事件來(lái)接近理想狀態(tài)下的情形。在本發(fā)明一個(gè)實(shí)施例中���,反 垃圾郵件引擎先前進(jìn)行的與一個(gè)特定電子郵件信息的特征有關(guān)的特征評(píng)價(jià)信 息的查詢����,可以操作為以反垃圾郵件引擎的名義進(jìn)行的涉及該特定郵件特征的 或涉及該特定郵件特征所屬類別的升級(jí)的訂閱。在流程460中���,有了新的可用的啟發(fā)性規(guī)則�����。在本發(fā)明一個(gè)實(shí)施例中,新 的啟發(fā)性規(guī)則事件表示已經(jīng)接收到新的啟發(fā)性規(guī)則�����。其他實(shí)施例中�����,該事件表 示輪詢啟發(fā)性規(guī)則更新服務(wù)器120判斷啟發(fā)性規(guī)則更新服務(wù)器120中更新的啟 發(fā)性規(guī)則的可用性�,或從啟發(fā)性規(guī)則更新服務(wù)器120接收到的通知。本地存儲(chǔ) 的啟發(fā)性規(guī)則的更新可以使用主動(dòng)推進(jìn)或被動(dòng)接受的技術(shù)���。無(wú)論如何�, 一旦有 了新的啟發(fā)性規(guī)則,啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)244中更新的規(guī)則將替換現(xiàn)有的啟發(fā)性 規(guī)則����,從而升級(jí)本地反垃圾郵件檢測(cè)的部分算法。當(dāng)前的實(shí)施例中��,只示出了兩個(gè)信息處理的步驟操作���,例如�,流程440 中的初始信息處理以及流程450中的信息重新評(píng)測(cè)�,在其他實(shí)施例中,如果第二次重新評(píng)測(cè)后仍然不能明確判斷電子郵件信息是否垃圾郵件或干凈郵件����,那 么會(huì)接著執(zhí)行多個(gè)重新評(píng)測(cè)的循環(huán)。另外�����,重新評(píng)測(cè)操作可以包括執(zhí)行評(píng)價(jià)分 析�,例如流程420所示的操作。圖5所示是根據(jù)本發(fā)明一實(shí)施例所述有關(guān)初始信息處理的流程�����。根據(jù)當(dāng)前 所述實(shí)施例,在流程510���,對(duì)不能明確判斷的電子郵件信息執(zhí)行一項(xiàng)或多項(xiàng)垃圾郵件檢測(cè)操作����。除了以上所述的垃圾郵件檢測(cè)的方法����,對(duì)于反垃圾郵件引擎241所使用的垃圾郵件檢測(cè)的方法的類型或數(shù)量并不作限制。所述的延遲后的 重新評(píng)測(cè)基于所集合的全球情報(bào)從而得出更準(zhǔn)確的判斷結(jié)果����,那些能夠根據(jù)現(xiàn) 行垃圾郵件檢測(cè)的趨勢(shì)而調(diào)整的反垃圾郵件方法比那些不具有這樣靈活性的 方法更適用。在一個(gè)實(shí)施例中���,垃圾郵件特征與啟發(fā)性規(guī)則都用來(lái)識(shí)別未能明 確判斷是否垃圾郵件的電子郵件信息。其他實(shí)施例中��,可以使用各種垃圾郵件 檢測(cè)方法與內(nèi)容過(guò)濾技術(shù)的結(jié)合��,包括但不局限于�,反向DNS檢測(cè)、白名單�、 貝葉斯判斷分類以及類似的方法�。此外�����,垃圾郵件的檢測(cè)方法可以不同的方式 相結(jié)合��,相輔相成����。例如, 一項(xiàng)垃圾郵件檢測(cè)算法的輸出可以被其他垃圾郵件 的檢測(cè)方法作為輸入值��。亦或者��,垃圾郵件檢測(cè)算法的輸出值可以被平均作為 垃圾郵件/干凈郵件判斷標(biāo)準(zhǔn)或計(jì)數(shù)��。在判斷流程520中���,反垃圾郵件引擎241根據(jù)流程510中所產(chǎn)生的垃圾郵件檢測(cè)結(jié)果對(duì)電子郵件信息進(jìn)行處理�。根據(jù)當(dāng)前所述的實(shí)施例����,如果問(wèn)題郵件 信息的檢測(cè)結(jié)果或計(jì)數(shù)與預(yù)先設(shè)定的或配置的干凈郵件的閥值符合,初始郵件 信息處理步驟將在流程530進(jìn)行。如果檢測(cè)結(jié)果符合預(yù)先設(shè)定的或配置的垃圾 郵件的閥值�,初始郵件信息處理步驟將執(zhí)行流程540;如果,垃圾郵件檢測(cè)的 結(jié)果還是不能確定或沒(méi)有結(jié)果�����,將執(zhí)行流程550���。在流程530,問(wèn)題郵件信息已經(jīng)被判定為干凈郵件且電子郵件信息被傳輸 并到達(dá)郵件的目標(biāo)用戶���。流程540中,問(wèn)題郵件信息已經(jīng)被判定為垃圾郵件����。被判定垃圾郵件的電 子郵件信息將按照郵件安全策略進(jìn)行處理。例如��,垃圾郵件可以被刪除��、隔離����、 發(fā)送到垃圾郵件文件夾���、或是原郵件主題被修改添加"垃圾郵件(SPAM�、 JUNK)"這樣的信息或類似這樣的處理方法。流程550中����,有關(guān)問(wèn)題郵件是否干凈郵件或垃圾郵件的判斷還不能被一項(xiàng) 或幾項(xiàng)垃圾郵件檢測(cè)方法而確定。那么����,電子郵件信息將被隊(duì)列處理延遲發(fā)送進(jìn)行重新評(píng)測(cè)。實(shí)際上����,電子郵件信息將被暫時(shí)隔離處于待重新評(píng)測(cè)狀態(tài)。在 一個(gè)實(shí)施例中�����,這樣的郵件信息將被存儲(chǔ)在網(wǎng)絡(luò)設(shè)備中�����,如執(zhí)行初始郵件信息 處理的郵件服務(wù)器140或網(wǎng)絡(luò)網(wǎng)關(guān)130��。另一個(gè)實(shí)施例中�����,執(zhí)行初始信息處理 的設(shè)備只是將需要進(jìn)行重新評(píng)測(cè)操作的信息進(jìn)行標(biāo)記并將信息轉(zhuǎn)發(fā)到其他例如郵件服務(wù)器140或用戶端工作站180這樣的設(shè)備中等待然后進(jìn)行重新評(píng)測(cè)。 其他實(shí)施例中�����,各種其他設(shè)備的組合將執(zhí)行一項(xiàng)或多項(xiàng)初始信息處理����、隊(duì)列處 理以及重新評(píng)測(cè)的操作。再次說(shuō)明��,盡管所述的各種實(shí)施例是基于圖1所示的簡(jiǎn)化的網(wǎng)絡(luò)架構(gòu)以及 圖2中所示的郵件服務(wù)器240����,需要說(shuō)明的是,上述的初始信息處理可以由圖 1網(wǎng)絡(luò)架構(gòu)中示出的其他各種設(shè)備或沒(méi)有示出的設(shè)備來(lái)執(zhí)行���。例如�����,初始信息 處理可以由網(wǎng)絡(luò)網(wǎng)關(guān)130��、郵件服務(wù)器140��、用戶端工作站180��、路由器���、交 換機(jī)、防火墻����、或電子郵件信息通過(guò)的其他設(shè)備執(zhí)行。初始信息處理也可以分 配到多個(gè)設(shè)備完成�����。圖6所示是根據(jù)本發(fā)明的實(shí)施例所述電子郵件信息被重新評(píng)測(cè)的過(guò)程流 程圖���。根據(jù)一實(shí)施例��,重新評(píng)測(cè)的操作可以被重新評(píng)測(cè)的事件所觸發(fā)��,例如��, 設(shè)置的初始信息處理完成的計(jì)時(shí)過(guò)期�、所配置的或預(yù)先設(shè)定的間隔計(jì)時(shí)�����、啟發(fā) 性規(guī)則數(shù)據(jù)庫(kù)244中啟發(fā)性規(guī)則的更新、全球情報(bào)服務(wù)器225中有了可用的常 規(guī)或特殊郵件特征評(píng)價(jià)信息的更新�����,諸如這樣的事件�。根據(jù)操作執(zhí)行的情況, 一項(xiàng)或多項(xiàng)被隊(duì)列處理的郵件信息可以被執(zhí)行重新的評(píng)測(cè)操作(例如�����,這些待 處理的信息是在設(shè)定的某段時(shí)間內(nèi)或大于設(shè)定的時(shí)間)����。根據(jù)當(dāng)前所述的實(shí)施例,在流程610中��,對(duì)問(wèn)題郵件信息將執(zhí)行一項(xiàng)或多 項(xiàng)垃圾郵件檢測(cè)操作����。根據(jù)本發(fā)明一實(shí)施例,該電子郵件信息己經(jīng)進(jìn)行了初始 的郵件信息處理��,但是初始的信息處理對(duì)于郵件是否是干凈郵件或垃圾郵件未 做出明確的判斷����。那么���,經(jīng)過(guò)若干時(shí)間后且假設(shè)這段時(shí)間內(nèi)全球情報(bào)服務(wù)器 125中常規(guī)或特定的特征評(píng)價(jià)信息已升級(jí)和/或啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)244中存在 已更新的啟發(fā)性規(guī)則�。不管怎樣,這些在重新評(píng)測(cè)中應(yīng)用的一項(xiàng)或多項(xiàng)垃圾郵 件檢測(cè)的方法可能在初始檢測(cè)時(shí)已經(jīng)應(yīng)用過(guò)�,也可能與之前初始檢測(cè)的方法完 全不同。在一實(shí)施例中�����,所執(zhí)行的一項(xiàng)或多項(xiàng)垃圾郵件垃圾中的方法可以包括 發(fā)件人評(píng)價(jià)的重新評(píng)測(cè)�����,例如在圖4流程420所執(zhí)行的操作����。在判斷流程620,反垃圾郵件引擎241根據(jù)流程610中產(chǎn)生的垃圾郵件檢測(cè)結(jié)果判斷如果處理問(wèn)題郵件信息���。根據(jù)當(dāng)前實(shí)施例��,如果問(wèn)題郵件的檢測(cè)結(jié) 果或計(jì)數(shù)符合預(yù)先設(shè)定的或配置的干凈郵件的閥值����,那么重新評(píng)測(cè)信息操作將繼續(xù)流程630,否則將執(zhí)行流程640��。在流程630�,問(wèn)題郵件信息被判斷為干凈郵件并被傳送到終端用戶可訪問(wèn) 的郵件的目標(biāo)地址。在流程640�����,郵件信息被判斷為垃圾郵件�����。垃圾郵件將根據(jù)垃圾郵件的郵 件安全策略進(jìn)行處理����。例如,垃圾郵件可以被刪除����、隔離、發(fā)送到垃圾郵件文 件夾���、或是原郵件主題被修改添加"垃圾郵件(SPAM��、 JUNK)"這樣的信息 或類似這樣的處理方法�。再次說(shuō)明,盡管所述的各種實(shí)施例基于圖1所示的簡(jiǎn)化的網(wǎng)絡(luò)架構(gòu)以及圖 2所示的郵件服務(wù)器240�����,需要說(shuō)明的是�����,上述的重新評(píng)測(cè)郵件的操作可以由 圖1網(wǎng)絡(luò)架構(gòu)中示出的其他各種設(shè)備或沒(méi)有示出的設(shè)備來(lái)執(zhí)行���。例如,初始信 息處理可以由網(wǎng)絡(luò)網(wǎng)關(guān)130����、郵件服務(wù)器140、用戶端工作站180�、路由器、 交換機(jī)���、防火墻�����、或電子郵件信息通過(guò)的其他設(shè)備執(zhí)行���。郵件信息的重新評(píng)測(cè) 也可以分配到多個(gè)設(shè)備完成�����。并且�,電子郵件信息的重新評(píng)測(cè)可以在執(zhí)行初始 郵件信息處理相同的設(shè)備或不同的設(shè)備中操作���。最后�����,雖然本文所述的是單個(gè) 的信息重新評(píng)測(cè)操作����,應(yīng)該理解的是如果所述的問(wèn)題郵件在經(jīng)過(guò)第一次的重新 評(píng)測(cè)后仍然不能對(duì)郵件做出判斷時(shí)�����,在特殊的使用環(huán)境中執(zhí)行再次或多次的重 新評(píng)測(cè)也是可行的�����。當(dāng)然,本發(fā)明還可有其它多種實(shí)施例��,在不背離本發(fā)明精神及其實(shí)質(zhì)的情 況下���,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形�,但 這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍��。
權(quán)利要求
1.一種利用全球情報(bào)進(jìn)行本地信息分類的方法����,其特征在于�����,該方法包括對(duì)接收的電子信息執(zhí)行初始信息識(shí)別操作�;根據(jù)該初始信息識(shí)別操作,將所接收的電子信息劃分為多個(gè)種類�;如果該所接收的電子信息根據(jù)該初始信息處理操作不能夠明確的找到所屬的類別,這些信息將被隊(duì)列處理���,收集與該所接收的電子信息相關(guān)的全球情報(bào)��,以對(duì)該所接收的電子信息的進(jìn)行重新評(píng)測(cè)信息識(shí)別操作���;通過(guò)該重新評(píng)測(cè)信息識(shí)別操作將上述被隊(duì)列處理的信息進(jìn)行分類���,該重新評(píng)測(cè)信息識(shí)別操作比該初始信息識(shí)別操作提供更準(zhǔn)確地分類結(jié)果;并且根據(jù)該分類的結(jié)果對(duì)上述被隊(duì)列處理的電子信息按照相應(yīng)的安全策略處理���。
2. 根據(jù)權(quán)利要求1所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法����,其 特征在于�,該方法中所述接收到的電子信息包括一電子郵件信息;所述初始信息識(shí)別操作包括一初始垃圾郵件檢測(cè)�;所述多個(gè)種類包括干凈郵件與垃圾郵件;所述收集與該接收的電子信息相關(guān)的全球情報(bào)���,以對(duì)該所接收的電子信息 的進(jìn)行重新評(píng)測(cè)信息識(shí)別操作更包括收集有關(guān)該電子郵件信息的全球情報(bào)或 具有相似屬性的電子郵件信息��,進(jìn)行重新評(píng)測(cè)的垃圾郵件檢測(cè)�����;所述根據(jù)分類的結(jié)果對(duì)上述被隊(duì)列處理的電子郵件信息按照相應(yīng)的安全 策略處理進(jìn)一步包括如果該電子郵件信息經(jīng)過(guò)重新評(píng)測(cè)的垃圾郵件檢測(cè)被分類為干凈郵 件��,該電子郵件信息將被傳輸?shù)洁]件信息中所注明的目標(biāo)地址����;如果該電子郵件信息經(jīng)過(guò)重新評(píng)測(cè)的垃圾郵件檢測(cè)操作被分類為垃 圾郵件,將根據(jù)對(duì)于垃圾郵件所設(shè)置的安全策略進(jìn)行處理���。
3. 根據(jù)權(quán)利要求2所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法���,其 特征在于,所述的初始垃圾郵件檢測(cè)包括執(zhí)行內(nèi)容分析操作���。
4. 根據(jù)權(quán)利要求2所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法��,其特征在于�,所述初始垃圾郵件檢測(cè)包括執(zhí)行評(píng)價(jià)分析操作���。
5. 根據(jù)權(quán)利要求3所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法,其 特征在于�����,該內(nèi)容分析包括通過(guò)從該電子郵件信息中提取該電子郵件信息屬性形成該電子郵件信息 的一特征����,以及查詢一評(píng)價(jià)服務(wù)器對(duì)該電子郵件信息的一特征評(píng)價(jià)進(jìn)行評(píng)估�����, 其中該評(píng)測(cè)服務(wù)器可根據(jù)直接或間接的檢測(cè)以及從網(wǎng)絡(luò)中反垃圾郵件引擎到 一個(gè)全球情報(bào)網(wǎng)絡(luò)范圍內(nèi)進(jìn)行的分析維護(hù)并更新特征評(píng)測(cè)信息��;對(duì)電子郵件信息應(yīng)用啟發(fā)性規(guī)則��。
6. 根據(jù)權(quán)利要求2所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法����,其特征在于���,所述初始垃圾郵件檢測(cè)是由一第一設(shè)備的一第一垃圾郵件引擎執(zhí)行 的���。
7. 根據(jù)權(quán)利要求6所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法, 其特征在于���,所述第一設(shè)備包括一郵件服務(wù)器��。
8. 根據(jù)權(quán)利要求6所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法�����,其 特征在于�����,所述第一設(shè)備包括一網(wǎng)絡(luò)網(wǎng)關(guān)���。
9. 根據(jù)權(quán)利要求6所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法��,其 特征在于�����,所述重新評(píng)測(cè)的垃圾郵件檢測(cè)由該第一設(shè)備執(zhí)行�。
10. 根據(jù)權(quán)利要求6所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法���, 其特征在于�,所述重新評(píng)測(cè)的垃圾郵件檢測(cè)由一第二設(shè)備的一第二反垃圾郵件 引擎執(zhí)行�。
11. 根據(jù)權(quán)利要求8所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法, 其特征在于���,所述第二設(shè)備包括一郵件服務(wù)器。
12. 根據(jù)權(quán)利要求8所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法����, 其特征在于��,所述第二設(shè)備包括一用戶端工作站�。
13. 根據(jù)權(quán)利要求3所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法���, 其特征在于��,該方法還進(jìn)一步包括在執(zhí)行所述內(nèi)容分析之前査看該電子郵件信 息的一發(fā)件人評(píng)價(jià)的操作��。
14. 根據(jù)權(quán)利要求13所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法���, 其特征在于,所述查看該郵件的發(fā)件人的評(píng)價(jià)操作包括從一評(píng)價(jià)服務(wù)器獲取與 該發(fā)件人有關(guān)的發(fā)件人評(píng)價(jià)信息�����。
15. 根據(jù)權(quán)利要求6所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法���, 其特征在于�����,所述電子郵件信息通過(guò)簡(jiǎn)單郵件傳輸協(xié)議傳輸?shù)皆摰谝辉O(shè)備���。
16. 根據(jù)權(quán)利要求6所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法���, 其特征在于,所述電子郵件信息通過(guò)郵局訪問(wèn)協(xié)議傳輸?shù)皆摰谝辉O(shè)備��。
17. 根據(jù)權(quán)利要求6所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法���, 其特征在于��,所述電子郵件信息通過(guò)互聯(lián)網(wǎng)信息訪問(wèn)協(xié)議傳輸?shù)皆摰谝辉O(shè)備����。
18. 根據(jù)權(quán)利要求5所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法�, 其特征在于,所述執(zhí)行重新評(píng)測(cè)的垃圾郵件檢測(cè)可以由一重新評(píng)測(cè)事件觸發(fā)���。
19. 根據(jù)權(quán)利要求18所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法�, 其特征在于���,所述重新評(píng)測(cè)事件包括該全球情報(bào)網(wǎng)絡(luò)中存在已更新的特征評(píng)價(jià) 信息��。
20. 根據(jù)權(quán)利要求18所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法��, 其特征在于���,所述重新評(píng)測(cè)事件包括該全球情報(bào)網(wǎng)絡(luò)中存在已更新的發(fā)件人評(píng) 價(jià)信息。
21. 根據(jù)權(quán)利要求18所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法����, 其特征在于,所述重新評(píng)測(cè)事件包括存在可用的己更新的啟發(fā)性規(guī)則����。
22. 根據(jù)權(quán)利要求18所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法, 其特征在于��,所述重新評(píng)測(cè)事件包括執(zhí)行初始內(nèi)容分析之后超過(guò)了預(yù)先設(shè)定的 時(shí)間范圍���。
23. 根據(jù)權(quán)利要求18所述的一種利用全球情報(bào)進(jìn)行本地信息分類的方法�����, 其特征在于�����,所述設(shè)定的重新評(píng)測(cè)事件包括一間隔計(jì)時(shí)器的計(jì)時(shí)到期�����。
24. —種垃圾郵件檢測(cè)系統(tǒng)��,其特征在于�����,包括一個(gè)全球情報(bào)網(wǎng)絡(luò)包括連接到一網(wǎng)絡(luò)的一個(gè)或多個(gè)全球情報(bào)服務(wù)器�,可直 接或間接的i:從多個(gè)分布式反垃圾郵件引擎收集全球情報(bào),i"維護(hù)并更新電 子郵件信息特征以及相關(guān)的評(píng)價(jià)信息���,且iii:根據(jù)從該全球情報(bào)網(wǎng)絡(luò)獲得的檢 測(cè)與分析結(jié)果調(diào)整該分布式反垃圾郵件引擎的垃圾郵件檢測(cè)方法�����;以及一與網(wǎng)絡(luò)連接的電子郵件信息可通過(guò)的網(wǎng)絡(luò)設(shè)備����,該網(wǎng)絡(luò)設(shè)備包括多個(gè)分 布式反垃圾郵件引擎的其中一個(gè)�����,該反垃圾引擎用于i:對(duì)該電子郵件信息執(zhí) 行評(píng)價(jià)分析與內(nèi)容分析,包括從該全球情報(bào)服務(wù)器査詢與該電子郵件信息有關(guān)的特征評(píng)價(jià)信息��;ii:將不能被實(shí)時(shí)地明確地判斷為干凈郵件還是垃圾郵件的電子郵件信息隊(duì)列處理�����,給該全球情報(bào)網(wǎng)絡(luò)進(jìn)一歩收集信息的時(shí)間���,以便對(duì)在 后續(xù)重新進(jìn)行評(píng)價(jià)分析或內(nèi)容分析的操作中得出更準(zhǔn)確的內(nèi)容分析。
25. 根據(jù)權(quán)利要求24所述的一種垃圾郵件檢測(cè)系統(tǒng)����,其特征在于,所述 內(nèi)容分析更包括對(duì)該電子郵件信息應(yīng)用啟發(fā)性規(guī)則�����。
26. 根據(jù)權(quán)利要求24所述的一種垃圾郵件檢測(cè)系統(tǒng)��,其特征在于�����,所述 網(wǎng)絡(luò)設(shè)備包括一網(wǎng)絡(luò)網(wǎng)關(guān)�����、 一郵件服務(wù)器或一用戶端工作站。
27. 根據(jù)權(quán)利要求25所述的一種垃圾郵件檢測(cè)系統(tǒng)�����,其特征在于��,所述 后續(xù)重新進(jìn)行的內(nèi)容分析操作是由一重新評(píng)測(cè)事件觸發(fā)���。
28. 根據(jù)權(quán)利要求27所述的一種垃圾郵件檢測(cè)系統(tǒng)��,其特征在于���,所述 重新評(píng)測(cè)事件包括與該全球情報(bào)網(wǎng)絡(luò)有關(guān)的一個(gè)或多個(gè)評(píng)價(jià)服務(wù)器中存在己 更新的特征評(píng)價(jià)信息。
29. 根據(jù)權(quán)利要求27所述的一種垃圾郵件檢測(cè)系統(tǒng)����,其特征在于,所述 重新評(píng)測(cè)事件包括存在可用的已更新的啟發(fā)性規(guī)則�����。
30. 根據(jù)權(quán)利要求27所述的一種垃圾郵件檢測(cè)系統(tǒng)��,所述重新評(píng)測(cè)事件 包括執(zhí)行初始內(nèi)容分析之后超過(guò)了預(yù)先設(shè)定的時(shí)間范圍。
31. 根據(jù)權(quán)利要求27所述的一種垃圾郵件檢測(cè)系統(tǒng)�,所述重新評(píng)測(cè)事件 包括 一 間隔計(jì)時(shí)器的計(jì)時(shí)至U期。
32. —種垃圾郵件檢測(cè)系統(tǒng)�����,其特征在于��,包括 一托管發(fā)件人評(píng)價(jià)數(shù)據(jù)庫(kù)���; 一托管垃圾郵件特征數(shù)據(jù)庫(kù); 一托管啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)��;一反垃圾郵件引擎與該托管發(fā)件人評(píng)價(jià)數(shù)據(jù)庫(kù)�、該托管垃圾郵件特征數(shù)據(jù) 庫(kù)以及該托管啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)通過(guò)公共網(wǎng)絡(luò)進(jìn)行通信連接,該反垃圾郵件引 擎可從該托管啟發(fā)性規(guī)則數(shù)據(jù)庫(kù)接收已更新的啟發(fā)性規(guī)則并通過(guò)以下方式執(zhí) 行垃圾郵件檢測(cè)i:査詢?cè)撏泄茉u(píng)價(jià)數(shù)據(jù)庫(kù)�����,ii:査詢?cè)撏泄芾]件特征數(shù)據(jù)庫(kù)�����,iii:對(duì)每個(gè)電子郵件信息應(yīng)用該已更新的啟發(fā)性規(guī)則�。
33. 根據(jù)權(quán)利要求32所述的一種垃圾郵件檢測(cè)系統(tǒng),其特征在于,所述 的對(duì)每個(gè)電子郵件信息應(yīng)用的己更新的啟發(fā)性規(guī)則是基于來(lái)自該托管評(píng)價(jià)數(shù) 據(jù)庫(kù)或該托管的垃圾郵件特征數(shù)據(jù)庫(kù)的查詢結(jié)果�����。
全文摘要
本發(fā)明提供了用全球情報(bào)進(jìn)行本地信息分類的方法及垃圾郵件檢測(cè)系統(tǒng)�����。根據(jù)本發(fā)明的一實(shí)施例��,可對(duì)接收到的電子信息執(zhí)行一初始信息識(shí)別操作�����,例如�,對(duì)接收的一電子郵件信息執(zhí)行初始垃圾郵件檢測(cè)。根據(jù)該初始信息識(shí)別操作可對(duì)接收的電子信息進(jìn)行分類�。如果所接收的電子信息不能明確地被劃入預(yù)先設(shè)定的一組類別中的某一類(例如干凈郵件或垃圾郵件),那么將對(duì)所接收的電子信息進(jìn)行隊(duì)列處理��,以收集涉及所接收的電子信息的全球情報(bào)并執(zhí)行重新評(píng)測(cè)����。該電子信息將被執(zhí)行重新評(píng)測(cè)信息識(shí)別操作,例如重新評(píng)測(cè)的垃圾郵件檢測(cè)這樣操作��,以再次分類,如此便可比初始信息識(shí)別操作提供更準(zhǔn)確的分類結(jié)果���。根據(jù)該分類結(jié)果對(duì)電子信息按照相應(yīng)的安全策略處理�����。
文檔編號(hào)H04L12/58GK101247406SQ20081008970
公開(kāi)日2008年8月20日 申請(qǐng)日期2008年3月26日 優(yōu)先權(quán)日2007年8月30日
發(fā)明者林坤華 申請(qǐng)人:飛塔信息科技(北京)有限公司