電子消息源信譽信息系統的制作方法

專利名稱：電子消息源信譽信息系統的制作方法
技術領域：
在此揭露的實施例大體涉及用于監控網絡活動、創建反映所 監控的活動的信息池、以及基于反映所監控活動的信息管理網絡 活動的系統。
背景技術：
Petry等人的美國專利申請公開No.2003/0158905("活動的 EMS專利申請，，)的全部內容在此作為參考被結合進來用于所有目 的。所述活動的EMS專利申請描述了 一種活動的電子消息管理系 統，所述系統包括一個實時反饋回路，其中數據從入局連接嘗試、 出局發送嘗試和消息內容分析中的電子消息中被收集，并寫入數 據矩陣。
在2005年5月，本申請的受讓人Postini公司每周處理大于 30億的消息。從這個處理中收集的消息對國際互聯網上電子郵件 通信量的活動提供了有價值的了解。已經被基于內容的電子郵件消息過濾阻擋的攻擊性電子郵件制造者或"垃圾郵件制造者，，已 經開始使用強力方法來戰勝現有的許多電子郵件消息過濾產品和 服務。在許多情況下，強力方法對端用戶的消息箱來說甚至構不 成威脅，因為它們是國際互聯網的服務器和網絡-包括由ISP、大 學和公司網絡維護的路由器-的整體負擔。例如，在 一 些情況中， 垃圾郵件制造者會發送數百萬的隨機消息用于影響基于內容的電 子郵件過濾器的過濾參數，因為這些過濾器一般都適應于國際互 聯網上消息通信量的模式。這些消息甚至不包括商業廣告。它們 通常本質上是不重復的，但是是隨機的，并發送到垃圾郵件制造 者的數據庫中隨機的已知的電子郵件地址。由于消息不具有已知 的模式，所以沒有被配置為基于原地址而檢測電子郵件消息的攻 擊性發送者來阻擋消息的基于內容的電子郵件過濾器通常會允許 這些消息通過并傳到用戶。此外，由于這種電子郵件過濾大部分 在公司或ISP位置被執行，并且有時遠在終端用戶的郵件服務器 或甚至在用戶的個人電子郵件客戶端，這種類型的電子郵件過濾
沒有做任何事情來減少ISP或公司網絡必須處理的網絡通信量的級別。

發明內容
在此描述使用電子消息源信譽系統的過濾系統和方法。所述
源信譽系統以實時威脅識別網絡("RTIN")數據庫的形式保持源 國際互聯網協議(IP)地址信息的信息池，所述數據庫可提供源IP 地址的信譽，并可被用于源信譽系統的客戶來過濾網絡通信量。 所述源信譽系統提供了多種訪問源信譽信息的途徑。這種途徑的 例子可以包括域名服務器(DNS)類型查詢，為路由器提供路由器表 數據服務，或其它途徑。這個整體概念的各個方面包括用于增加源IP地址信譽信息的 信息池的系統和方法，用于訪問所述源信譽信息(例如經由加密鑰 匙等)的認證過程，在源信譽信息池中保持的信息類型，以及訪問 或提供源信譽信息的方法。
可從各種數據源所述得到源信譽信息。這種數據源的 一 個例 子是通信量監控系統，其產生實時國際互聯網通信量信息。所述 通信量監控系統可包括通信量監控器，其被配置用于基于電子郵 件通信量收集實時信息。所述通信量監控器可保持通信量日志， 其包括由通信量監控器收集的信息所反映的數據。然后源信譽系 統可以執行對通信量日志的分析來生成對來自于各個域或IP地址 的電子郵件活動的評估。 一個域的評估可以被延遲直到來自所述 域的電子郵件通信量的閾值量已經被評估。
數據源的另 一 個例子是兩次攻擊系統，其提供 一 種方法來減 少4晉誤 一 確定垃圾郵件的識別。當所述兩次攻擊系統懷疑來自一 個給定IP地址的電子郵件是垃圾郵件時，它將4企查自上一次從那 個IP地址接收被懷疑垃圾郵件以來經過的時間量。如果經過了規 定量或更多的時間那么所述兩次攻擊系統將認為所述懷疑的電子 郵件是垃圾郵件的可能性比較小。否則如果經過了少于規定量的 時間，那么所述系統認為所述懷疑的電子郵件是垃圾郵件的可能 性更大，并將發送IP地址識別為可能的垃圾郵件源。所述兩次攻 擊通信系統可保持 一 個從這個過程中得到的信息的數據庫，例如 將被確定為可能是垃圾郵件源的IP地址列表。然后所述信息可以 被提供給源信譽系統作為數據源。
數據源的另 一 個例子可以是 一 種系統，所述系統基于所接收 的地址為已知不存在的電子郵件地址的電子郵件來4全測垃圾郵 件，例如一種"突然死亡"系統。"突然死亡"系統可提供一種基于其地址為不存在的電子郵件地址的電子郵件消息的實例來識別 垃圾郵件的源。發送到不存在的電子郵件地址的大容量電子郵件
可能是一種目錄收集攻擊(DHA)的跡象，所以源IP地址可以被識 別為DHA的源并很可能是垃圾郵件的源。所述突然死亡系統可以 以各種方式檢測發送到不存在的電子郵件地址的電子郵件。在一 些情況中，突然死亡系統可以將入局電子郵件的發送地址與郵箱 模式列表相比較，所述郵箱模式包括不太可能被用在真實郵箱地 址中的字符組合。同樣不屬于真實用戶的"種子"電子郵件地址 可以在國際互聯網、"世界性的新聞組網絡系統"(usenet)、或其它 地方上傳播。所述突然死亡系統可檢測發送到這些"種子"地址 之一的電子郵件并且將源IP地址標記為可能的垃圾郵件源。突然 死亡系統可包括一數據庫，該數據庫用于存儲與地址為不存在或 "種子"地址的電子郵件的實例的信息。數據庫可還可存儲IP地 址信息例如，由突然死亡系統確定為垃圾郵件和/或DHA源的可 能的IP地址。然后所述信息可作為數據源提供到源信譽系統。
數據源的另 一個例子包括一種IP地址信息數據庫(或多個數 據庫)。信息可由提供關于所接收垃圾郵件和發送垃圾郵件的IP 地址的信息的客戶來提供。信息還可由關于IP地址的系統管理員 來提供。IP地址信息數據庫可包括阻止列表，比如已知為垃圾郵 件或其它惡意活動源的IP地址的列表。IP地址信息數據庫可包括 已經在某種程度上可靠的"灰度列表"IP地址，例如其中IP地址 根據它們的可靠程度被記分。IP地址信息數據還可包括已知不可 能是垃圾郵件或其它惡意活動的源的可靠IP地址的列表。
可靠IP地址可通過包括對似乎不可能發送垃圾郵件的域的識 別過程來識別。這可包括基于預期行為為IP地址指定可靠級別， 其中可靠級別跨越垃圾郵件會或不會被發送的可能性的多個范圍。可靠級別可基于其它事實、商業、行業或其它啟發之中。當 IP地址與某些4亍業相關時，可凈皮識別，例如當 一 些IP地址屬于金 融或法學機構或甚至覆蓋許多通常可靠實體的"通常可靠"的類 別時，其可以被識別。在某些實施例中，類別可以與某個可靠級 別綁定，所以指定為一類的IP地址或域可被自動地指定相關聯的 可靠級別。
如果，從歷史來看， 一個特定IP地址是已知的垃圾郵件源或 其他惡意或不期望的國際互聯網活動，那么這個信息可以被保持 在IP地址信息數據庫中。如果，從歷史來看， 一個IP地址是已知 的可接受電子郵件源或其他國際互聯網通信量，那么這個信息也 可以被存儲在IP地址信息數據庫中。在一些實施例中，IP地址可 以被根據歷史信息標記或分等級。標記或分等級可以表示可接受 的或不期望的過去的活動。在 一 些實施例中，可以實施的逐步增 加活動的檢測系統，其能夠基于對源自所述IP地址的惡意活動或 地址的阻止的增加的^f企測來降低所述IP地址的等級，例如指示可 靠性的降低級別。如果在一段時間內檢測到垃圾郵件或其他惡意 活動的明顯減少，那么IP地址也可以重新獲得提高的等級，例如 認為變得更可靠。這個信息可以基于國際互聯網通信量監控器的 實時通信量信息的預定時間間隔被更新。
所述源信譽系統包括RTIN引擎，其可基于從一個或多個數據 源接收的信息來評估IP地址。許多風險度量可以被使用以達到可 靠性程度或對域或IP地址是否可靠的確認。風險度量的例子包括 涉及垃圾郵件、病毒、電子郵件炸彈和目錄收集攻擊的度量。對 這些度量中每一個的測量都可以基于預定比例而做出，例如，從1 到100的比例，表示主題源IP地址專注于這些行為的程度。然后 IP地址可以基于這些測量而被標記，例如，范圍在50到100的對于垃圾郵件的測量的分數意味著對象IP地址被認為是相當大的垃 圾郵件源。否則，如果垃圾郵件測量低于50,那么所述IP地址在 一定程度上是可靠的，其中可靠性的級別依賴于測量數值。例如， 具有垃圾郵件測量的范圍在1 - 10的IP地址被認為比具有垃圾郵
件測量的范圍在40 - 50的IP地址更可靠。
在一些實施例中，IP地址的所有者可以被識別(例如，通過執 行DNS或"whois"調查4乘作)以將 一 個行業因素包4舌在對IP地址 的評估中，所述行業因素代表了給定擁有所述IP地址的行業或實 體的情況下，IP地址在多大程度上會是垃圾郵件或其他惡意活動 的源。達到可靠性預定級別的域或IP地址也可以這樣被正確地識 別。在一 些實施例中， 一皮識別為為可靠的域或IP i也址可以 一皮添加 到可靠IP地址的數據庫。
保持在RTIN數據庫中的信息類型可包括比如數據指示的信 息，用于IP地址或IP地址塊，所述主題地址可能是垃圾郵件、病 毒、DHA或其他惡意活動的源的可能性。例如，對于每個IP地址， 所述RTIN數據庫可包括用于比如垃圾郵件、病毒或DHA的一個 或多個分類的分數，所述分數提供了一種指示，即所述主題IP地 址有多大可能性專注于與各個分類相關的活動。對源信譽數據庫 的查詢可從用于特定類型信息的請求變化到更一般的請求，例如， 請求與特定IP地址或地址塊相關的所有可用信息。
用于增加、存儲和提供到源信譽數據庫的訪問的特定體系結 構可以變化。合適的體系結構的例子在此被揭露，但是也可以在 不脫離本公開內容的精神和范圍的情況下使用其他體系結構。


實施例通過附圖中的示例被圖示，其中相同的參考數字代表類似的部分，并且其中
圖1顯示的是圖示的源信譽系統的例子的框圖2顯示了 RTIN引擎的第一實施例的框圖3顯示了 RTIN引擎的第二實施例的框圖4顯示了通信量監控系統的實施例的框圖5顯示了兩次攻擊系統的實施例的框圖6顯示了圖示圖5中顯示的兩次攻擊系統執行過程的實施 例的流程圖7顯示了突然死亡系統的實施例的框圖8顯示了圖示圖7中顯示的突然死亡系統執行過程的實施 例的流程圖9顯示了圖示圖1中顯示的源信譽系統執行過程的實施例 的流程圖IO顯示了圖示訪問圖1中顯示的源信譽系統的過程的實施
例的流程圖11顯示了 一組國際互聯網自主系統的框圖12顯示了客戶路由器的例子的框圖；以及
圖13顯示了圖示使用對應于圖1中顯示的源信譽系統的黑洞
技術的通信量流向實例的框圖。
具體實施例方式
圖1顯示了圖示過濾系統100實例的框圖，所述系統基于源 IP地址的信譽對網絡通信量進行過濾。根據圖示的實施例，系統 100包括一個或多個數據源102a、 102b(共同為102)、源信譽系統 104和一個或多個客戶系統106a、 106b(共同為106)。所述源信譽 系統104包括實時威脅識別(RTIN)引擎108和可選客戶配置數據庫110。
RTIN引擎108負責從許多數據源102中找到IP地址信息， 處理找到的信息以在RTIN數據庫114中發展并保持用于IP地址 或IP地址塊的源信譽簡檔，并且管理源信譽簡檔信息對客戶系統 106的分配。應注意客戶系統106a和106b分別包括客戶路由器 107a和107b(共同為107)。在一些實施例中，RTIN引擎108可管 理簡檔信息直4妻向客戶3各由器107的分配。在一些實施例中，RTIN 引擎108可根據存儲在數據庫110中的客戶信息來管理IP地址簡 檔信息的分配。例如，信息分配方法和提供給客戶系統106a的信 息類型可與客戶系統106b的不同。RTIN引擎108可參考存儲在 數據庫110中的數據來確保根據客戶106a和106b的獨有屬性和/ 或配置來對他們進行合適的處理。
RTIN引擎108可基于從一個或多個數據源102接收的信息來 評估IP地址。任何風險度量可被使用以達到可靠性程度或對源/ 域是否可靠的確認。風險度量的例子包括涉及垃圾郵件、病毒、 電子郵件炸彈和目錄收集攻擊的度量。對這些度量中每 一 個的測 量都可以基于預定比例而〗故出，例如，/人1到IOO的比例，表示 主題源IP地址專注于這些行為的程度。然后IP地址可以基于這些 測量而被標記，例如，范圍在50到100的對于垃圾郵件的測量的 分數意味著主題IP地址被認為是相當大的垃圾郵件源。否則，如 果垃圾郵件測量低于50，那么所述IP地址在一定程度上是可靠的， 其中可靠性的級別依賴于測量數值。例如，具有垃圾郵件測量的 范圍在1-10的IP地址被認為比具有垃圾郵件測量的范圍在40 -50的IP地址更可靠。
在一些實施例中，IP地址的所有者可以纟皮識別(例如，通過執 行DNS或"whois，，調查操作)以將一個行業因素包括在對IP地址的評估中，所述行業因素代表了給定擁有所述IP地址的行業或實 體的情況下，IP地址在多大程度上會是垃圾郵件或其他惡意活動 的源。達到可靠性預定級別的域或IP地址也可以這樣被正確地識 別。在一些實施例中，被識別為是可靠的域或IP地址可以被添加
到可靠IP地址的^:據庫。
對于產生RTIN數據庫114,源信譽系統104的管理員可查詢 并評估在各種數據源102可用的信息的各種領域的組合，比如消 息數量與從特定IP地址發送的垃圾郵件消息數量的比率。其他測
量包括，但不局限于 *發送的消息數量 *被認為是垃圾郵件的消息數量 *收件人的數.量 *連接嘗試的數量 *連接成功的數量 *連接失敗的數量 *第400類錯誤的數量 *第500類錯誤的數量 *以字節表示的平均消息大小 *平均連接持續時間 病毒數量
RTIN引擎108可掃描數據源102中的一些或全部，查詢哪個 源IP地址干擾了垃圾郵件攻擊策略、目錄收集攻擊策略、病毒策 略或服務拒絕攻擊策略，或RTIN引擎108 #4居對#:據源102內部 的數據的分析來分級或分類源IP地址。
RTIN數據庫114將允許特定源IP地址清除其記錄，但是沒 有必要以與發展其壞的記錄相同的分級來接收健康的干凈的清單。例如，可能采取十次"清理，，搡作來降低源IP地址的DHA 分數。這些分級可根據經驗觀察或設計目標而被調節，并且它們 在不同環境下-例如之前攻擊的嚴重性/級別或其他關于所述IP 地址的已知信息-甚至可以是不同的。
程序上，基于來自客戶106的請求，RTIN引擎108可在用逗 號分隔的名稱/數值對的列表中提供IP地址比值。這對增加額外數 值和與以前的系統兼容提供了很大的靈活性。
如前所述，發展正面信譽而不是發展負面的信譽是可能的， 比如通過4亍業指定IP地址范圍的知識。因此，可靠源IP地址-例 如由IBM或3M或GM擁有的服務器-很可能被假設為發送有效 電子郵件而不是垃圾郵件或DHA等。然后所述分級可包括正面信 譽分數，其可與來自客戶06的分數信譽請求一同返回。其還有 可能提供更多粒狀行業特定信息，例如醫學的、法律的或會計的， 因此屬于那些行業之一的IP地址相對于屬于那些4亍業之一的客戶 更不太可能被阻止。
對相對于前面詳述的方法的源信譽系統104的元素的區分， 比如呼叫者ID類型系統和黑名單，是RTIN數據庫114客觀地基 于系統104基于網絡性能而做出的測量。不需要人們記錄或報告 垃圾郵件制造者。簡潔地說，源信譽系統104不在乎你說你是誰 或你注冊為誰。如果你正做壞事，你將被識別為正在做壞事并切 這將影響到你發送的電子郵件被RTIN數據庫114指令客戶系統 106將其過濾的性能。呼叫者ID不會停止人們從已知服務器發送 垃圾郵件，其只會阻止來自于除了與為特定電子郵件識別的SMTP 信息相關聯的服務器的電子郵件，所以呼叫者ID并不是對垃圾郵 件的完全解決方案。此外，呼叫者ID方法并不對目錄收集攻擊進 行保護，因為呼叫者ID評估需要訪問消息的有效負載。然而所述基于啟發式的方法在很多情況下僅通過電子郵件與源IP地址的關 聯來阻止來自垃:歐郵件制造者的電子郵件，所述源IP地址已經被
確認為被垃圾郵件制造者正面地使用，或被合法的發送者正面地 使用，比如某些行業或商業類型。對于這種過濾的行業啟發式方 法的擴展討論，參閱名為"使用商業啟發式過濾電子消息的系統
和方法"的美國專利申請No. 10/832,407，其與本^^開內容共同分
配并在此全部結合進來作為參考用于所有目的。
RTIN數據庫中保持的信息類型因此可包括信息，比如用于IP 地址或IP地址塊的指示所述主題地址可能是垃圾郵件、病毒、DHA 或其他惡意活動的源的可能性的數據。例如，在一些實施例中， 對于每個IP地址，所述RTIN數據庫可包括用于比如垃;及郵件、 癥直《r w a AA — A《實水乂》i M東+ -片a A老個i罷肚了 一拙i& ;
即所述主題IP地址有多大可能性專注于與各個分類相關的活動。
圖2顯示了 RTIN引擎108的第 一 實施例的框圖。根據所述第 一實施例，RTIN引擎108包括一個或多個RTIN月良務器。在圖示 的例子中RTIN引擎108包括第一和第二 RTIN服務器112a和 112b(共同為"112")。每一個服務器112都能夠處理并存儲相同 信息。因此，如果服務器112中的一個由于維護或其他原因而停 機時，提供給客戶106的服務可以是連續的。因此，使用多個RTIN 服務器112能夠搭建更堅固的系統104。可選實施例可包括任意數 量的RTIN服務器112。
每個RTIN服務器112都包括RTIN數據庫114a、 114b(共同 為"114")，源IP地址信譽信息被保持在其中。RTIN服務器112 可以被設置為周期性地對數據源102查詢IP地址信息，處理所述 IP地址信息以發展用于IP地址的源信譽簡檔的數據，并相應地更 新RTIN數據庫114中的簡檔數據。在如圖2中顯示的包括多于一個的RTIN服務器112的實施例中，服務器U2a和112b的每一個 都可包括各自的包括相同信息的RTIN數據庫114a、 114b。
RTIN服務器112還管理源IP地址信譽信息到客戶106的分 配。服務器112是可由客戶106訪問的，盡管在一些實施例中這 種訪問可在必要時被限制和管理。例如，RTIN服務器112可被配 置為僅允許源信譽系統的簽約客戶106對RTIN數據庫114中數據 的安全和認證的訪問。所述客戶106可查詢服務器112并基于存 儲在RTIN數據庫114中的信息接收響應。
存儲在RTIN數據庫114中的數據可被客戶訪問或以多種不同 方式提供給客戶。RTIN數據可被訪問的一種方式是通過DNS類 型的查找算法，客戶106發送由RTIN控制器(關聯于RTIN服務器 112(參見圖3))處理的認證的DNS類型的查詢。這些DNS類型查 找可由客戶106發送以查明對于特定發送服務器IP地址(對于請求 SMTP連接的發送電子郵件的服務器)，所述發送服務器是否具有 壞的或好的信譽。
RTIN控制器可參考存儲在客戶配置數據庫110中的客戶數 據。因此，例如，客戶106a可發送用于發送服務器IP地址的DNS 類型的查詢到系統104。所述查詢由RTIN il良務器112之一處理。 RTIN服務器112可根據客戶配置數據庫IIO中的配置信息來從其 RTIN數據庫114中提供信息。對于客戶查詢的響應可包括對RTIN 客戶106提供分數，所述分數指示了特定發送服務器IP地址是否 可能與垃圾郵件、或目錄收集攻擊、或服務拒絕攻擊相關聯，或 在正面的一面，正面的分數可關聯于特定發送服務器，指示了所 述發送服務器可能與合法電子郵件相關聯。當訂戶的電子郵件系 統接收到電子郵件連接請求時查找可以在實時進行。
圖3顯示了 RTIN引擎108的第二實施例的框圖。所述第二實
19施例與第一實施例的不同之處在于在第一實施例中由RTIN服務 器112執行的功能在第二實施例中在RTIN控制器116a、 116b(共 同為"116")和RTIN服務器118a、 U8b(共同為"118")之間被 分割。因此，根據第二實施例，RTIN引擎108包括一個或多個RTIN 控制器116和一個或多個RTIN服務器118。每一個控制器116和 服務器118中保持各自的RTIN數據庫114a、 114b、 114c、 114d(共 同為"114")。如在第一實施例中，多對控制器116和服務器118 的使用能夠搭建更堅固的系統104。
RTIN控制器116和RTIN服務器11 8之間的任務分割可以變 化，例如，RTIN控制器116可負責周期性地查詢數據源102以收 集IP地址信息，處理所述IP地址信息以發展源IP地址信譽數據， 并更新控制器116和服務器118的RTIN數據庫114。 RTIN服務 器118可負責管理將存儲在其RTIN數據庫114中的源IP地址信 譽信息對客戶106的分配，包括處理來自客戶106的查詢。
回到圖1,源信譽系統104可訪問任意數量的數據源102。雖 然框圖顯示了兩個數據源102a和102b， ^f旦是應當注意到可以在不 脫離本公開內容的精神和范圍的情況下使用任意數量的數據源 102。
數據源102的規格已可以改變。在一些實施例中，例如，監 控電子郵件流量的系統可被用作數據源102。圖4顯示了電子郵件 通信量監控系統120的一個實施例的框圖。所述通信量監控系統 120產生實時電子郵件通信量統計量。所述通信量監控系統120 可以包括在活動EMS專利申請(參考上面描述的)中描述的活動電 子消息管理系統的組件和過程。所述通信監控系統120包括消息 處理過程122。所述消息處理過程122負責建立并監控從比如服務 器124的發送電子郵件服務器到比如服務器126的接收郵件服務器的入局SMTP連才妄嘗試。
所述過程122連接到通信量監控器128。所述通信量監控器 128收集實時到來的SMTP連接數據、消息元數據和消息發送信 息，包括來自過程122的源和目的數據。所述源和目的數據可包 括與發送郵件服務器124相關聯的源數據和與接收郵件服務器 126相關聯的目的數據。由通信量監控器128保持的數據點的特定 例子可包括，對于源IP地址和目的數據/信息的每個組合
參在上一分鐘內由源建立到通信量監控系統120的連接數量
*來自當前打開的源的連接數量
參在上一分鐘內由通信量監控系統120建立到代表源的客戶 的連接數量
*由通信量監控系統120建立到代表當前打開的源的客戶的 連接數量
*由通信量監控系統120建立到代表源的客戶的失敗的連接 嘗試的數量
*從源到通信量監控系統120的連接的持續時間的平均值和
標準偏移
參由通信量監控系統120建立到代表源的客戶的連接的持續 時間的平均值和標準偏移
*從源到客戶所有消息的大小的平均值和標準偏移 *從源到客戶的接受消息的數量的平均值和標準偏移 *由源發送到客戶的消息的數量(總和)
參由源發送到被通信量監控系統120識別為垃圾郵件制造者 的客戶的消息的數量
參由源發送到被通信量監控系統120識別為包括病毒的客戶 的消息的數量*由源發送到浮皮通信量監控系統120根據連接管理記錄而反 彈的客戶的消息的數量
由源發送到被我們根據連接管理記錄而將其放入黑洞的客
戶的消息的數量
*由源發送到被我們根據連接管理記錄而隔離的客戶的消息
的數量
*由源發送到被通信量監控系統120假脫機(spool)的客戶的
消息的數量
參在包括源和客戶的連接上看到的第400類錯誤的數量 參在包括源和客戶的連接上看到的第500類錯誤的數量 因此，所述通信量監控系統120可根據用于通過系統120被 路由的發送服務器的源IP地址來存儲實時統計量。
盡管圖4將通信量監控器作為單獨的通信量監控器128顯示， 但是實際的實施可具有更少或更多的通信量監控器。例如，其可 根據訂戶的地理或主要語言來分割通信量監控器。
在一些實施例中，通信量監控系統120可負責在所有的發送 服務器或消息傳輸代理("MTAs")上保持相對短期的信息，例如 60秒。所有的那些發送IP地址都被存儲在通信量監控器128內部 的存儲器格子中，其保持關于那些源IP地址的多種信息，比如它 們發送了多少消息，它們產生了多少"第500類錯誤"或其它類 型的錯誤，以及基于內容掃描，它們發送了多少垃圾郵件消息。 在一些實施例中，所述通信量監控系統120可以在任何時候-波配 置為僅知道過去60秒中發生了什么，而如果一個單獨連接打開長 于60秒，所述通信量監控系統120可繼續積累所述連接的數據只 要所述連接存在。
數據源102的另 一個例子是一個系統，所述系統監控電子郵件并在給定時間期間基于電子郵件的容量檢測是垃圾郵件源的IP 地址。圖5顯示了這樣的系統的一個實施例的框圖。圖5中顯示
的系統是一 個兩次攻擊系統130。所述兩次攻擊系統130提供了 一
種減少錯誤-正確垃圾郵件識別的方法。發送被錯誤地識別為垃 圾郵件的電子郵件的IP地址通常不會發送纟皮識別為垃圾郵件的大 容量電子郵件。因此，當所述兩次攻擊系統130懷疑一個來自IP 地址的電子郵件為垃圾郵件時，其將檢查自從懷疑的垃圾郵件從 那個IP地址接收以來所經過的時間總量。如果經過了規定的或更 多的時間，那么所述兩次攻擊系統130將認為所述懷疑的電子郵 件是垃圾郵件的可能性很小。否則，如果經過了少于規定量的時 間，那么所述系統130將認為所述懷疑的電子郵件為垃圾郵件的 可能性很大并將發送IP地址識別為可能的垃圾郵件源。
所述雙機系統130包括消息處理過程122,比如操考圖4描述 的過程122。所述消息處理過程122還是負責建立并監控從比如服 務器134的發送電子郵件服務器到比如服務器136的接收郵件服 務器的到來SMTP連接嘗試，以及確定與發送消息相關聯的源和 目的數據。所述過程122被連接到兩次攻擊引擎132。所述兩次攻 擊引擎132被配置為與消息處理過程122和所述過程122獲取的 數據一同工作。所述引擎132可額外被配置為檢測到來電子郵件 是否呈現為垃圾郵件。在 一 些可選實施例中，這個確定可以由過 程122做出并且所述檢測被提供給引擎132。在一些這種實施例 中，所述兩次攻擊引擎132可接收到與電子郵件在一起的一些被 懷l是為垃圾郵件的指示。在其他這種可選實施例中，所述系統130 可被配置為只接收被懷疑為垃圾郵件的電子郵件，在這種情況中 不需要那種影響的指示器。垃圾郵件檢測可以基于任何已知垃圾 郵件檢測方法，例如，基于電子郵件內容。引擎132被連接到兩次攻擊數據庫138。所述引擎132可使用 數據庫138用于存儲關于被懷疑的電子郵件是垃圾郵件的實例的 信息。數據庫138還存儲IP地址信息，例如，被引擎132確定為 可能是垃》及郵件源的IP地址。所述信息可用于RTIN引擎108。
圖6顯示了圖示由兩次攻擊系統130執行的兩次攻擊過程的 流程圖。在塊140，來自于主題IP地址的入局電子郵件被識別為 很可能是垃圾郵件，例如通過消息處理過程122。在塊142,所述 兩次攻擊引擎132查詢數據庫138所述主題的IP地址。如果懷疑 的電子郵件之前/人所述主題IP地址接收過，那么數據庫138將包
括上一次懷疑的電子郵件被接收的時間。所述兩次攻擊引擎132 提取上 一 次懷疑的電子郵件的時間。應注意到如果不存在主題IP 地址的數據，那么過程可以跳到塊148。在塊144，引擎132確定 在當前懷疑的電子郵件和之前懷疑的電子郵件之間經過了多少時 間以及時間總量是否小于預定的閾值，所述閾值可以是任意量的 時間并可根據歷史信息被設定。閾值的一個例子可以是兩個小時。 如果閾值時間總量還沒有經過(在塊144為"是")，那么所述電子 郵件被認為是垃圾郵件并且所述過程繼續到塊146。在塊146,所 述電子郵件被隔離或者作為垃圾郵件處理。同樣，數據庫138被 更新以識別所述垃;及電子郵件的源IP地址為已知的垃:敗郵件源。 然后，在塊148，數據庫138被更新，所以當前懷疑的電子郵件的 時間取代了上 一 次懷#是的電子郵件的時間以用于以后對所述過程 的反復。應注意到在塊144,如果閾值時間總量已經經過了 (在塊 144為"否")，那么所述過程跳過塊146并進入到塊148。
數據源102的另一個例子可以是一種系統，用于基于接收的
圖7顯示了這種系統的 一 個實施例的框圖。圖7中顯示的所述系統是突然死亡系統150。所述系統150提供一種基于發送到不存在 的電子郵件地址的電子郵件消息的實例來識別垃圾郵件的源。發
送到不存在的電子郵件地址的大容量電子郵件可能是DHA的指 示，所以源IP地址可以被識別為DHA的源并且可能是垃圾郵件 的源。在 一 些情況中，不屬于真實用戶的"種子"電子郵件地址 可以在國際互聯網上、"世界性的新聞組網絡系統"或其他地方傳 # 。然后系統150可以纟全測發送到這些"種子，，地址之一的電子 郵件并將所述源IP地址標記為可能的垃圾郵件源。
突然死亡系統150還包括消息處理過程122，就像參考圖4 和5描述的過程122。所述消息處理過程122還是負責建立并監控 從比如服務器154的發送電子郵件服務器到比如服務器156的接 收郵件服務器的入局SMTP連接嘗試，以及確定與發送消息相關 聯的源和目的數據。所述過程122被連接到突然死亡引擎152。所 述突然死亡引擎152一皮配置為與消息處理過-呈122和所述過程122 獲取的數據一同工作。所述引擎152可額外被配置為檢測到來電 子郵件是否呈現為不存在的地址或"種子"地址。在一些可選實 施例中，這個確定可以由過程122做出，并且所述檢測被提供給 引擎152。在一些這種實施例中，所述突然死亡引擎152可接收到 與電子郵件在一起的一些已經被發送到不存在的或"種子"的指 示。在其他這種可選實施例中，所述系統150可被配置為只接收 發送到不存在或"種子，，地址的電子郵件，在這種情況中不需要 那種影響的指示器。
引擎152被連接到突然死亡數據庫158。所述引擎152可使用 數據庫158用于存儲關于發送到不存在的或"種子"地址的電子 郵件的實例的信息。數據庫158還存儲IP地址信息，例如，被引 擎152確定為可能是垃圾郵件和/或DHA的源的IP地址。所述信息可用于RTIN引擎108。
圖8顯示了圖示由突然死亡系統150執行的突然死亡過程的 流程圖。在塊160，來自主題IP地址的到來電子郵件已經:故識別 為已經被發送到不存在的電子郵件地址，例如，通過消息處理過 程122。在一些情況中，這可能意味著所述對象電子郵件引起接收 郵件服務器156產生第500類錯誤，即意味著接收郵件服務器156 不識別電子郵件消息的地址。所述電子郵件可能被標記為具有匹 配"種子"地址或突然死亡地址才莫式("SD4莫式")的地址。SD才莫 式是不可能是真實郵箱的郵箱(例如，ptexql@)。突然死亡引擎152 可以保持這種SD模式的列表。在塊162,突然死亡引擎152確定 發送地址是否與SD模式之一匹配。如果是，那么所述過程繼續到 塊164。否則塊164被跳過。在塊164,突然死亡引擎152檢驗SD 模式是否被使用在存在的、合法的電子郵件地址中。例如，如果 戶斤述電子由卩件一皮發送至J "ptexql@xyz.com，，，另卩么由卩茅貴"ptexql" 將匹配于SD沖莫式"ptexql"。然而，有可能存在同樣匹配于所述 SD才莫式的電子郵件巾艮戶。所以，在塊164,所述突然死亡引擎1 52 可以查詢月良務器"xyz.com"以確定郵箱"ptexql@xyz.com"是否 真實存在。如果是，那么突然死亡過程可以結束并且所述電子郵 件可以被正常發送。否則，所述過程繼續到塊166。應注意到如果 在塊162,收件人不匹配于SD模式，那么所述過程同樣繼續到塊 166。
在塊166，做出發送地址是否十分模糊的決定。例如，如果所 述電子郵件為發送到"ptexql@xyz.com"并且合法的電子郵件帳 戶 "prexql@xyz.com"存在，那么由于這兩個地址非常類似，所 以很有可能發送者在輸入發送地址的時侯出現錯誤。因此，塊166 可包括將發送地址與存在地址相比4支以確{人發送地址和<壬何存在地址之間的不同的數量是否大于預定的不同(例如字符)的數量，例 如，大于一個或兩個不同。如果不是(在塊166為"否")，那么突
然死亡引擎152認為所述電子郵件可能是被錯誤輸入的合法的電 子郵件。否貝'j(在塊166為"是")，那么所述電子郵件被認為是垃 圾郵件，并且突然死亡引擎152更新突然死亡數據庫158以識別 所述源IP地址為可能的垃;及郵件源。
再次回來參考圖1，數據源102的另 一個例子可包括IP地址 信息數據庫(或多個數據庫)。所述信息可由提供關于接收的垃圾郵 件和發送所述垃圾郵件的IP地址的信息的客戶106提供。所述信 息還可由關于IP地址的系統管理員提供。IP地址信息數據庫可包 括阻止列表，比如已知為垃圾郵件或其它惡意活動的源的IP地址 的列表。IP地址信息數據庫可包括已經在某種程度上可靠的"灰 度列表'，IP地址，例如其中IP地址根據它們的可靠程度被記分。 IP地址信息數據還可包括已知不可能是垃圾郵件或其它惡意活動 的源的可靠IP地址的列表。
可靠IP地址可通過包括對似乎不可能發送垃3及郵件的域的識 別過程來識別。這可包括基于預期行為為IP地址指定可靠級別， 其中可靠級別跨越垃圾郵件會或不會被發送的可能性的很多程 度。可靠級別可基于其它事實、商業、行業或其它探索之中。IP 地址可被識別為與某些行業相關，例如IP地址塊可識別為屬于金 融或法學機構或甚至覆蓋許多通常可靠實體的"通常可靠"的類 別。在某些實施例中，類別可以與某個可靠級別相關聯，所以指 定為一個類別的IP地址或域可自動地指定給所述相關聯的可靠級 別。
如果，從歷史來看， 一個特定IP地址是已知的垃圾郵件源或 其他惡意或不期望的國際互聯網活動，那么這個信息可以被保持在IP地址信息數據庫中。如果，從歷史來看， 一個IP地址是已知 的可接受電子郵件源或其他國際互聯網通信量，那么這個信息也 可以凈皮存儲在IP地址信息數據庫中。在一些實施例中，IP地址可 以被根據歷史信息標記或分等級。標記或等級可以表示可接受的 或不期望的過去的活動。在 一 些實施例中，可以實施逐步增加活 動檢測系統，其能夠基于對源自所述IP地址的惡意活動或地址塊 的增加的4企測來降低所述IP地址的例如指示可靠性的降4氐級別的 等級。如杲在 一 段時間內檢測到垃圾郵件或其他惡意活動的明顯 減少，那么IP地址也可以重新獲得提高的等級，例如變得認為更 可靠。這個信息可以以基于國際互聯網通信量監控器的實時通信 量信息的預定時間間隔被更新。
現在轉到圖9，顯示的流程示了增加RTIN數據庫114的 過程的實施例。在這個實施例中，通信量監控系統120可用作數 據源102之一。
開始于塊170，通信量監控器128接收實時通信量統計量更 新。然后，在塊172的狀態，通信量監控器128收集實時到來SMTP 連接數據、消息元數據和消息發送信息，包括源和目的數據。源 和目的數據可包括與發送郵件服務器124相關聯的源數據和與接 收郵件服務器126相關聯的目的數據。因此通信量監控器128根 據用于發送服務器的通過系統120被路由的IP地址來存儲實時統 計量。在特定實施中，通信量監控器128可負責在所有的發送服 務器或MTA上保持相對短期的信息，例如60秒。所有的那些發 送IP地址都被存儲在通信量監控器128內部的存儲器格子中，其 保持關于那些源IP地址的多種信息，比如它們發送了多少消息， 它們產生了多少"第500類錯誤"或其它類型的錯誤，以及基于 內容掃描，它們發送了多少垃圾郵件消息。在一些實施例中，所述通信量監控器128可以在任何時候被配置為僅知道過去60秒中 發生了什么，而如果一個單獨連接打開長于60秒，所述通信量監 控器128可繼續積累所述連接的數據只要所述連接存在。
下面，如在圖9的塊174中指示的，RTIN引擎108查詢數據 源102。在當前實施例中，這包括查詢通信量監控系統120,以及 掃描存儲在通信量監控器128中的數據。通信量監控器128的掃 描可以使周期性的，例如比60秒更頻繁，比如每1 5秒發生 一 次。 理想地，掃描之間的時間周期應小于數據被保留在通信量監控器 128中的時間總量。
RTIN引擎108可查詢額外數據源102,比如上面描述的那些。 例如，在 一 些實施例中，RTIN引擎108可查詢兩次攻擊數據庫138 、 突然死亡數據庫158、和/或上面描述的其他數據庫。
一旦從各個數據源102收集了數據，RTIN引擎108就可以像 圖9中塊176指示的那樣處理查詢的結果。在從通信量監控系統 120收集數據的情況下，RTIN引擎108可在通信量監控器128中 收集數據，并使用解釋器過程分析所述數據以識別可以遵照的消 息的通信量內部的消息的模式。所述解釋器過程可以是像上面提 到的活動EMS專利申請中描述的解釋器過程。所述解釋器過程通 過分析源和目的數據以及寫入到通信量監控器的元數據來確定與 電子郵件消息相關聯的模式或甚至是用戶發送所述消息的行為。 在一些實施例中，所述解釋器過程可考慮從額外數據源102接收 的數據。
作為示意性方法，所述解釋器過程可識別四種類型的攻擊-DHA、垃圾郵件攻擊、病毒爆發和郵件炸彈/服務拒絕攻擊-盡管 RTIN數據庫114可以被靈活定義為識別許多其他類型的信息或關 于特定IP地址的攻擊。作為特定例子，如果源IP地址纟皮;險測到專注于這四種攻擊中的 一 個或多個，那么與那個源IP地址和識別的 攻擊的特定類型相關聯的計數器可以被加1。作為特定實施例，如
果RTIN引擎108在午夜掃描通信量監控系統120并確定源IP地 址"XYZ"正專注于DHA,那么單獨計數可以被添加到RTIN數 據庫114中相關的"XYZ"源IP地址條目的類別中。如果這是對 于這個源IP地址的新條目，那么其相關的源為DHA=1。如果在下 一分鐘的掃描過程中，識別到"XYZ"源依然在攻擊，那么其源 將^^皮增加1，產生一個更新的關聯分數為DHA=2。所述過程可繼 續增長到例如99的最大值。如果對于99次直接掃描，源IP地址 "XYZ"基于通信量監控分析還在攻擊某個人，那么計數器將被增 加到99，其可被定義為最大值。
如在圖9中的塊178所指示的，來自解釋器處理的結果的數 據被用來更新RTIN數據庫114。根據從額外數據源接收的數據的 特性，可能合適的是直接使用從一些數據源102接收的數據來更 新RTIN數據庫而不需要解釋性的處理。例如，如果一個數據源 102提供了 一個IP地址應當被阻止的信息。
在顯示的可選塊179, RTIN控制器116將RTIN數據更新推 給RTIN服務器118。所述可選塊可被用于如圖3中顯示的第二實 施例的實施例。可選塊179不必用于其他實施例，比如圖2中顯 示的第 一實施例。塊179實際上被提供以使得在RTIN服務器118 處的RTIN數據庫114可以被同步于在RTIN控制器116處的RTIN 數據庫114。
應注意到雖然通信量監控器128僅短期地保持數據，RTIN數 據庫114可保持積累的和更新的關于IP地址的信息更長時間。
客戶106可通過許多方式利用RTIN數據庫中的源信譽信息。 一種方式是客戶系統做出關于正在請求TCP連接的IP地址的DNS類型查詢。下面將參考顯示在圖10中的流程圖來描述這種DNS 類型查詢如何由客戶106執行到系統104的例子。
開始于塊180,客戶106 4妻收來自源IP地址的TCP連接請求。 例如，源IP地址可能正嘗試建立與客戶106的SMTP連4妻以發送 電子郵件消息。所述客戶系統106在確認所述連接請求前將查詢 所述源信譽系統104。在一些實施例中，如塊182所示的，所述客 戶系統106包括用于通過有效鑰匙產生認證的查詢的RTIN客戶 機。
對于提供用于商業簽署的源信譽系統104，所期望的是所述 RTIN數據庫114只可由付費給所述簽署的用戶來訪問。因此，系 統104可提供認證的訪問到RTIN數據庫114,由此安全鑰匙(在一 種示意性方法中)被結合在從RTIN客戶106發送來的DNS類型查 找命令中。RTIN查找命令的格式可以是為將要查找的IP地址預 先準備的雜亂安全鑰匙的形式。因此，例如一個雜亂安全鑰匙可 以是 "45492147 ，，，而將要查找的特定 IP 地址可以是 127.000.000.001 。
那么在那個實例中全部命令4各式就可以是 "RTIN.45492147.127.000.000.001.RTIN.postinicorp.com,，。因jt匕， 通常的方法是客戶106使用想要查找的IP或"機器"地址，在IP 地址前預先準備MD5雜亂的安全鑰匙，并做出到RTIN引擎108 的DNS類型查詢。所述RTIN訪問安全鑰匙可以周期性；也過期， 這將提高系統的安全。在一種示意性方法中，每個鑰匙都可以在 60天周期內是有效的，而新鑰匙每30天提供一次，由此連續的鑰 匙將有30天的重疊。鑰匙可以通過許多方法的任何一個被提供， 包括通過計算機可讀媒質分配或通過安全在線訪問和驗證。可以 預先提供多組鑰匙，以使得特定訂戶可具有相當于2年的鑰匙， 并可由訂戶周期性地更新。然后在塊186, —旦客戶系統106獲得了對源信譽系統104 的訪問，那么所述客戶系統106查詢RTIN引擎108關于所述源IP 地址的信息。然后在塊188,如果實施了認證的請求，RTIN引擎 108認證所述請求，并且在塊190， RTIN引擎108查詢RTIN數據 庫114關于源IP地址的信息。在塊192, RTIN數據庫114向RTIN 引擎返回查詢結果。然后，在塊194, RTIN引擎108提供查詢結 果給客戶106。
在一些實施例中，塊194可包括根據存儲在客戶配置數據庫 110中的客戶屬性來處理所述查詢結果。例如，存儲在數據庫110 中的客戶配置文件可包括可靠的或已知的惡意IP地址的列表。所 述列表可被用來修改從RTIN數據庫114接收的信息。例如，如果 RTIN數據庫114包括所述源IP地址可能是垃圾郵件源的信息并 應當被阻止，但是客戶的配置包括對包含所述源IP地址的永遠不 應被阻止的IP地址塊的信息，那么客戶的屬性可以優先以使得 RTIN引擎108凈艮告源IP地址是不應被阻止的一個。
最后，在塊196,客戶106接收到查詢結果。在此刻，客戶系 統106可基于所述查詢結果和對客戶106的本地策略來響應來自 于所述源IP地址的連接請求。
盡管上面描述的訪問方法被描述為DNS類型方法，但是查詢 并不是標準DNS查詢。例如，DNS查詢通常包括提交域名給DNS 服務器，然后其將返回IP地址。相反，所述被用來訪問RTIN數 據庫的查詢是IP地址本身，并且返回的信息也是RTIN數據庫已 經知道的關于作為發送電子郵件服務器的特定IP地址的特性。
客戶106利用RTIN數據庫114中的源信譽信息的另 一種方法 包括系統104直接向客戶路由器提供信息的過程。現在將參考圖 11 13描述RTIN數據如何被提供給客戶路由器的過程。所述過程建立在之前識別為應用其在電子郵件分組/路由器級別的技術之 上。國際互聯網上和公司內部網中的消息路由器共同生成穿過數 百萬個路由器的分組路由路徑，以便從最低級IP地址發送到國際 互聯網中的消息可以找到到達其期望目的地的路由，這些消息路 由器適配于消息通信量處理速度和在某些路由器上的傳播次數， 并且還不斷適配于已經"停機"或不可用的路由器。這種國際互 聯網中分組路由體系的適應性是作為為公司、教育和客戶用戶提 供發送電子消息的可靠手段的國際互聯網廣泛普及的因素之一。
用于對國際互聯網路由器共享消息路由路徑的標準協議已經
被"國際互聯網標準草案，，(RFC)開發，國際互聯網協會通過所述 草案建立其標準。這些年來開發的協議包括外部網關協議(EGP), 其在國際互聯網的早期被廣泛使用，以及邊界網關協議(BGP),其 正日漸取代EGP作為優選國際互聯網傳輸協議。當前啦文多的BGP 是邊界網關協議4(BGP-4),其在RFC 1771中被描述。
為了理解BGP,可以把國際互聯網想象成自主系統的集合。 例如，國際互聯網的 一部分可以被描述為圖11中顯示的一組自主 系統200 204。每個自主系統200~204可使用邊界路由器206 210 直才妄與某些其他自主系統200 204通信。此外，每個自主系統 200 204與其它不是直接連接的自主系統200 204通信。例如，自 主系統(AS-A)200可使用自主系統(AS-C)202作為經過服務而與自 主系統(AS-E)204進行通信。也可能是自主系統(AS-A)200使用自 主系統(AS-B)201和(AS-D)203作為經過服務而與自主系統 (AS-E)204進行通信。因此，路由器RA 206可選擇多條路徑來允 許自主系統(AS-A)200和(AS-E)204之間通信。應注意到圖11僅 提供了非常簡單的視圖，例如，通信經常通過提供經過服務的自 主系統的內部^各由器而#皮中繼。為了使;洛由器RA 206請求與路由器RE 210的通信，其必須 首先知道到達路由器RE 210的一條或多條路徑。路由器RA 206 可使用BGP從路由器RB 207和路由器RC 208學習可能的路徑。 BGP是由例如路由器206 210的路由器使用來交換網絡可到達性 信息的協議。所以在圖ll所示的例子中，路由器RC 208可使用 BGP來通知路由器RA 206到達AS-E 204的可用路徑；同樣，路 由器RB 207可通過AS-D 203的路由器RD 209(假設路由器RD 209已經通知了 3各由器RB 207到達AS-E 204的^各徑)使用BGP來 通知^各由器RA 206到達AS-E 204的可用^各徑。這種^各由信息的 交換通常發生在初始建立直接網絡連接的時候，例如，當路由器 RA 206被初始連4妻到；洛由器RB 207時。路由器RA 206將使用從 路由器RB 207接收的路由信息來建立BGP路由表。經過 一段時 間后BGP i 各由表可^皮更新，因為乂人路由器RB 207(以及從其他路 由器，比如路由器RC 208)接收了路由更新。
回到圖1， RTIN引擎108可被配置為分別與客戶系統106a和 106b的路由器107a和107b通信。雖然每個客戶系統106被顯示 為具有單獨路由器107，但是每個客戶106可包括任意數量的路由 器107。
圖12顯示了客戶系統107的實例的框圖。路由器107包括路 由表212和同位表214。 RTIN引擎108可被配置為使用BGP協議 進行通信。所以， 一旦同位表214被適當地配置為包括RTIN引擎 108作為同位體，那么RTIN引擎108可以指令路由器107更新路 由表212，并且才艮據存儲在RTIN數據庫114中的信息提供路由數 據以存儲在路由表212中。
因此，RTIN引擎108的另 一個特點是其可提供連接數據給客 戶路由器107，所述客戶路由器107可有效阻止特定IP地址與相應客戶系統106建立聯系。RTIN引擎108查詢數據源102并形成 國際互聯網通信量的集中圖像。在一些實施例中，RTIN引擎108 可將從國際互聯網通信量數據收集的信息與存儲在配置數據庫 110中的客戶屬性相比較，并基于所述比較產生應對每個客戶系統 106進行阻止的侵犯性IP地址。在其他實施例中，預定閾值或判 定點可被用于產生阻止的IP地址列表。然后RTIN引擎108對許 多獨立(或組)侵犯性IP地址"假裝"為具有路由器特定知識的路 由器。RTIN引擎108發布更新命令到路由器107并使用BGP將 用于侵犯性IP地址的黑洞路由信息中繼給路由器107。然后路由 器107根據從RTIN引擎108接收的新的黑洞路由信息更新他們各 自的路由表212。 、
由RTIN引擎108發布的黑洞路由信息使用黑洞路由取代了之 前存儲在路由表212中的用于侵犯性IP地址的已存在路由信息。 黑洞路由是路由到除了與所述侵犯性IP地址相關聯的系統的位 置。在一些實施例中，黑洞路由可以是到由客戶106提供并存儲 在配置數據庫110中的可選位置的路由。
使用黑洞路由取代合法路由的影響可以通過圖13進行解釋。 在圖13中，路由器220是從源系統222到目的客戶系統106的合 法路由。路由器220可包括通過許多經過服務系統226進行的路 由。
為了在源系統222和目的客戶系統106之間建立TCP連接， 在兩個系統222和106之間必須發生消息或分組的交換。源系統 222可通過發送第 一分組到目的系統106的IP地址來發起與目的 系統106建立TCP連接的嘗試。 一旦所述第一分組被發送，源系 統222就等4寺來自目的系統106的確認。所述初始分組沿著3各由 220傳輸并由目的系統224接收。當接收到所述初始分組時，目的系統224準備并發送一個確認分組。假定目的系統106的路由器 知道合法路由，所述路由可能與路由220相同或不同，回到源系 統222,所述確認被發送回源系統222并由其4妾收，于是可以發生 源和目的系統222和106之間的進 一 步通^f言。
另 一 方面，假設RTIN引擎108已將源系統222識別為侵犯性 系統。在某些實施例中，這可能意味著源系統222所展示的特定 行為模式與目的系統106設定的標準相符。在RTIN引擎108已經 識別了源系統222之后，例如通過IP地址或IP地址塊，RTIN引 擎108將指令目的系統106的一個或多個路由器107更新他們的 路由表212以使得到源系統222的合法路由被黑洞路由228所取 代。然后當源系統222隨后嘗試與目的系統106建立連接時，所 述連接嘗試將是不成功的。源系統222將初始分組發送到目的系 統106的IP地址，并且所述初始分組將從源系統152經由合法路 由150被發送到目的系統106。作為響應，目的系統106將準備并 發布確認消息。然而，由于目的系統106的3各由器1 07所知道的 到達源系統222的IP地址的唯 一 路由是黑洞路由，所以確認消息 沒有被發送到源系統222 。相反，所述確認消息被指向黑洞地址 230。在經過特定時間周期之后，源系統222所做出的TCP連接嘗 試將會"超時"并且源系統222將認為目的系統106不可用或者 不可到達。因此阻止了來自源系統222的進一步通信。
如上所述，通過將黑洞技術與源信譽系統結合使用，源信譽 系統對電子郵件威脅提供了客觀的、準確的和直接的識別并通過 在路由器級別上阻止與侵犯性系統的通信從而防止這種威脅的出 現。侵犯性IP地址凈皮實時觀測和列表，不是通過部分的和效率低 的人工報告過程，所述過程來自于傳統實時黑名單(RBLs),并經 常遭受指責。源信譽系統也是客觀的，因為一旦侵犯者清除了它們的消息行為，源信譽系統就自動從列表中被移除。今天的許多
RBLs在懷疑事件之后將IP地址劉在列表上很長時間。基于概率 分數使用源信譽系統來評估威脅，而不是簡單的是/否過程，使得 合伙人使用分層分析技術做出是否接受電子郵件的決定。結果， 源信譽系統將產生更少的錯誤肯定，也就是合法IP地址被錯誤地 認定為惡意的。
根據在此描述的概念的源信譽系統考慮到防御目錄收集攻 擊，即垃圾郵件制造著通過猜測內部地址并通過注冊來"收獲" 一個企業的完整電子郵件目錄，在這個例子中沒有接收到返回的 "郵箱沒找到"消息。源信譽系統通過將整個目標系統顯得不可用 或"沒找到'，以使得這種攻擊效率很低。雖然RBL通常僅列出專
但是源信譽系統提供了對那些執行目錄收集攻擊和基于電子郵件 的服務拒絕攻擊的洞察。源信譽系統通過IP地址跟蹤并關聯目錄 收集攻擊和垃圾郵件攻擊，并且結果是驚人的。DHA可以占用到 典型電子郵件服務器的到來SMTP通信量和容量的40% ,并且通 常是垃圾郵件活動的引導指示器。
雖然上面根據在此描述的原理描述了各種實施例，但是應當 理解它們在此僅被呈現為例子，其并且不是限制性的。因此，本 發明的寬度和范圍不應被上面描述的任何 一 個示意性實施例所限 制，而只應被根據從所述公開內容發表的權利要求和它們的等同 體而定義。此外，上述優點和特點被提供在所描述的實施例中， 但不應限制將這種得到的權利要求應用到完成上述優點之一或全 部的過程和結構中。
此外，這里的部分標題被提供用來與37 CFR 1.77的建議保持 一致或提供組織的提示。這些標題不應限制或定性可以從所述公開內容發表的任何權利要求所列出的本發明。特別是并通過示例， 盡管標題涉及"技術領域"，這種權利要求不應被從描述所謂的技 術領域的這個標題下選擇的語言所限制。而且，在"背景技術" 中描述的技術不能被直譯為承認所述技術對所述公開內容中的所 有發明都是現有技術。"發明內容"也不能被認為是在發表的權利 要求所提出的本發明的特征。此外，在所述公開內容中以單獨的 形式參考的"發明"都不能被用來爭辯在所述公開內容中僅有單 一點的新穎性。多個發明可以根據從所述公開內容發表的多個權 利要求的限制而提出，并且這種權利要求從而也定義了本發明及 其等同體，因此它們被保護。在所有例子中，這種權利要求的范 圍應按照所述公開內容被考慮，而不應被這里提出的標題所約束。
權利要求
1.一種網絡通信量過濾系統，用于過濾經過計算機網絡的電子消息流，所述系統包括引擎，配置為基于與源IP地址相關聯的信譽數據產生源信譽簡檔；簡檔數據庫，與引擎相關聯用于存儲信譽數據；以及其中所述引擎被進一步配置為向外部系統提供源信譽簡檔。
2. 如權利要求1所述的系統，其中所述引擎被配置為響應更新的信譽數據而產生更新的源信譽簡檔。
3. 如權利要求2所述的系統，其中更新的信譽數據被實時提供。
4. 如權利要求1所述的系統，其中源信譽簡檔包括具有至少一 項信譽數據的列表。
5. 如權利要求1所述的系統，其中信譽數據包括從以下內容組 成的組中選擇的至少 一 個被認為是從源IP地址發送的垃圾郵件的消息數量；從源IP地址發送的消息的收件人的數量；來自源IP地址的連接嘗試的數量；來自源IP地址的連接成功的數量；來自源IP地址的連接失敗的數量；來自源IP地址的當前打開的連接的數量；由源IP地址的消息接發嘗試所引起的第40 0類錯誤的數量；由源IP地址的消息接發嘗試所引起的第500類錯誤的數量；從源IP地址發送的以字節表示的平均消息大小；來自于源IP地址的平均連接持續時間；從源IP地址發送的病毒數量；從源IP地址發送的消息的數量；以及從源IP地址發送的消息的全部數量。
6. 如權利要求1所述的系統，其中源信譽簡檔包括由引擎做出 的信譽數據評估。
7. 如;f又利要求6所述的系統，其中所述評估包括為源IP地址 產生信譽分數，所述信譽分數指示了來自于源IP地址的電子消息 是不需要的可能性。
8. 如權利要求7所述的系統，其中所述引擎被進一步配置為基 于與源IP地址相關聯的新的信譽數據來改變信譽分數。
9. 如權利要求1所述的系統，其中所述引擎被配置為從數據源 接收信譽數據，所述數據源是在以下內容組成的組中所選擇的至 少一個網絡通信量監控系統、兩次攻擊系統和突然死亡系統。
10. 如權利要求1所述的系統，其中所述引擎被配置為從包括 客戶系統的數據源接收信譽數據，并且所述信譽數據包括至少一 個從黑名單、阻止發送者列表和灰度列表組成的組中所選擇的列 表。
11. 如權利要求1所述的系統，其中所述引擎被配置為從數據 源接收信譽數據，所述數據源包括使用基于商業的啟發式選擇技 術所選擇的批準的發送者IP地址。
12. 如權利要求1所述的系統，其中所述引擎被配置為響應從 所述外部系統接收的查詢而提供信譽簡檔給外部系統。
13. 如;f又利要求12所述的系統，其中所述查詢包括相應于源 IP地址的DNS查詢。
14. 如權利要求12所述的系統，其中所述引擎被進一步配置為 在響應所述查詢之前認證所述外部系統。
15. 如權利要求1所述的系統，其中所述引擎以電子消息路徑 數據的形式將信譽簡檔提供給外部系統，所述電子消息路徑數據 被使用在與所述客戶系統相關聯的路由器的路由表中以改變來自 于源IP地址的電子消息的方向。
16. 如權利要求1所述的系統，其中所述引擎包括一服務器， 其被配置為查詢數據源的信譽數據，從數據源接收信譽數據，評 估所接收的信譽數據以發展源信譽簡檔，更新簡檔數據庫，以及 向外部系統分發所述源信譽簡檔或信譽數據。
17. 如權利要求16所述的系統，其中所述引擎進一步包括與所 述服務器相關聯的并被配置為存儲信譽數據的信譽數據數據庫。
18. 如權利要求l所述的系統，其中所述引擎包括一個服務器 和一個控制器，其中所述控制器被配置為查詢數據源的信譽數據，從數據源接收信譽數據，評估所接收的信譽數據以發展源信譽簡 檔，更新簡檔數據庫，以及所述服務器被配置為向外部系統分發 所述源信譽簡檔或信譽數據。
19. 如權利要求1所述的系統，其中所述外部系統是簽約使用 所述過濾系統的客戶系統。
20. —種過濾經過計算機網絡的電子消息流的方法，所述方法 包括接收與源IP地址相關聯的信譽數據； 存儲所述信譽數據；基于所述信譽數據產生源信譽簡檔；以及 向外部系統提供所述源信譽簡檔。
21. 如權利要求20所述的方法，進一步包括響應接收更新的信 譽數據以更新源信譽簡檔。
22. 如權利要求21所述的方法，其中更新的信譽數據被實時提供。
23. 如權利要求20所述的方法，其中提供源信譽簡檔包括提供 具有至少 一 項信譽數據的列表。
24. 如權利要求20所述的方法，其中信譽數據包括從以下內容 組成的組中選擇的至少 一 個從源IP地址發送的被認為是垃圾郵件的消息數量；接收從源IP地址發送的消息的收件人的數量；來自源IP地址的連接嘗試的數量；來自源IP地址的連接成功的數量；來自源IP地址的連接失敗的數量；來自源IP地址的當前打開的連接的數量；由源IP地址消息接發嘗試所引起的第400類錯誤的數量；由源IP地址的消息接發嘗試所引起的第500類錯誤的數量；發送于源IP地址的以字節表示的平均消息大小；來自于源IP地址的平均連接持續時間；/人源IP地址發送的病毒數量；從源IP地址發送的消息的數量；以及從源IP地址發送的消息的全部數量。
25. 如權利要求20所述的方法，其中提供源信譽簡檔包括提供 對信譽數據的評估。
26. 如權利要求25所述的方法，其中所述評估包括為源IP地 址產生信譽分數，所述信譽分數指示了來自于源IP地址的電子消 息是不需要的可能性。
27. 如權利要求26所述的方法，進一步包括基于與源IP地址 相關聯的新的信譽數據來改變信譽分數。
28. 如權利要求20所述的方法，其中接收信譽數據包括從以下內容組成的組中所選擇的至少 一 個接收信譽數據網絡通信量監 控系統、兩次攻擊系統和突然死亡系統。
29. 如權利要求20所述的方法，其中接收信譽數據包括從客盧 系統接收信譽數據，并且所述信譽數據包括至少 一 個從黑名單、 阻止發送者列表和灰度列表組成的組中所選擇的列表。
30. 如權利要求20所述的方法，其中接收信譽數據包括接收包 括使用基于商業的啟發式選擇技術所選擇的批準的發送者IP地址 的信譽數據。
31. 如權利要求20所述的方法，其中提供進一步包括響應從所 述客戶系統接收的查詢而向客戶系統提供源信譽筒檔。
32. 如權利要求31所述的方法，其中所述查詢包括相應于源 IP i也址的DNS查詢。
33. 如權利要求32所述的方法，其中所述方法進一步包括在響 應所述查詢之前i人i正所述客戶系統。
34. 如權利要求20所述的方法，其中提供進一步包括以電子消 息路徑數據的形式將源信譽簡檔提供給客戶系統，所述電子消息 路徑數據被使用在與所述客戶系統相關聯的路由器的路由表中以 改變來自于源IP地址的電子消息的方向。
35. 如權利要求34所述的方法，其中所述電子消息被改變方向 到網絡中的黑洞。
36. 如權利要求20所述的方法，其中向外部系統提供信譽筒檔 包括提供所述信譽簡檔給簽約使用所述過濾方法的客戶系統。
37. —種產生源IP地址信譽信息的方法，所述方法包括 從源IP地址接收表現為垃圾郵件的當前電子消息； 查詢數據庫以提取之前被懷疑為垃圾郵件的電子消息從所述源IP地址被接收的時間；計算接收當前電子消息和接收之前電子消息時間之間所經過的時間量；確定所經過的時間量是否小于預定闞值；以及 如果所經過的時間量小于所述預定的閾值，那么將所述源IP 地址識別為垃;及郵件源。
38. 如權利要求37所述的方法，進一步包括響應關于所述源 IP地址的查詢而將所述識別提供給客戶系統。
39. 如權利要求37所述的方法，進一步包括基于計算接收另一 個表現為垃圾郵件的電子消息和接收之前被懷疑為垃圾郵件的消 息之間所經過的時間，識別源IP地址為不是垃:圾郵件源，并確定 所經過的時間量現在大于預定的閾值。
全文摘要
在此公開的是使用電子消息源信譽系統的過濾系統和方法。所述源信譽系統以實時威脅識別網絡(“RTIN”)數據庫的形式保持源國際互聯網協議(IP)地址信息池，其可提供客戶用來過濾網絡通信量的源IP地址的信譽。所述源信譽系統提供多種訪問所述源信譽信息的途徑。這種途徑的例子可包括域名服務器(DNS)類型查詢、具有路由表數據的服務路由器或其他途徑。
文檔編號H04L12/58GK101288060SQ200580016715
公開日2008年10月15日 申請日期2005年5月25日 優先權日2004年5月25日
發明者克雷格·S·克羅托, 多里昂·A·卡羅爾, 彼得·K·蘭德, 斯科特·M·佩特里, 肯尼思·K·奧庫姆拉 申請人:波斯蒂尼公司