实体属性的关联和分析制造技术

对一个或更多个数据处理器进行操作的方法和系统，其用于通过分析实体的属性将声誉分配给发送消息的实体，将所述属性与已知属性关联起来以确定共享属性的实体之间的关系，并将一个相关实体的声誉的一部分归于另一相关实体的声誉。

【技术实现步骤摘要】
【国外来华专利技术】实体属性的关联和分析
本文件通常涉及用于处理通信(communication)的系统和方法，尤其是涉及用于给与通信相关的实体进行分类的系统和方法。背景在反垃圾邮件行业中，垃圾邮件发送者使用各种创造性的装置来躲避垃圾邮件过滤器进行的检测。这样，通信从其起源的实体可提供是否应允许给定通信进入企业网络环境的另一指示。然而，用于消息发送者进行分析的当前工具包括互联网协议(IP)黑名单(有时称为实时黑名单(RBL))和IP白名单(实时白名单(RWL))。白名单和黑名单当然对垃圾邮件分类过程增加了益处；然而，白名单和黑名单内在地限于响应于每个查询而提供一个二进制类型(YES/NO)。而且，黑名单和白名单独立地处理实体，并忽略与实体相关的各种属性所提供的证据。概述提供了用于关联和分析实体属性的系统和方法。方法可包括：从第一实体接收通信；根据所接收的通信得出第一实体的一个或更多个属性；分析与第一实体相关联的并基于所接收的通信的属性；取回用于多个已知实体的已知属性信息；将所接收的通信的属性与已知属性信息关联起来；根据第一实体和共享至少一个共同属性或共同的属性模式的一个或更多个其它实体，来定义第一实体和一个或更多个其它实体之间的关系，所述一个或更多个其它实体从多个已知实体中选择；以及根据定义的关系和所述至少一个共同属性或共同的属性模式，来将与第一实体或者一个或多个其它实体中的一个相关联的第一声誉的一部分归于与第一实体或者一个或多个其它实体中的另一个相关联的第二声誉。用于关联和分析实体属性的系统可包括通信接口、通信分析器、关联模块和声誉分配模块。通信接口从第一实体接收进入网络的通信。通信分析器得出与所接收的通信相关联的一个或更多个属性，所接收的通信包括与消息的发源相关联的第一实体。关联模块从系统数据存储器取回已知属性信息，并比较从所接收的通信得出的属性与已知属性信息，以识别第一实体和一个或更多个其它实体之间的关系。关联模块进一步操作来识别新的属性信息并将新的属性信息合并到系统数据存储器和通信分析器中。声誉分配模块使用所识别的关系来将与第一实体或者一个或更多个其它实体中的一个相关联的第一声誉的至少一部分归于与第一实体或者一个或更多个其它实体中的另一个相关联的第二声誉。附图说明图1是描述示例性网络的结构图，本公开的系统和方法可在该网络中进行操作。图2是描述本公开的示例性网络体系结构的结构图。图3是描述通信和实体的例子的结构图，其包括用于检测实体之间的关系的标识符和属性。图4是描述用于检测关系并给实体分配风险的操作方案的流程图。图5是示出示例性网络体系结构的结构图，其包括局部安全代理所储存的局部声誉和一个或多个服务器所储存的全局声誉。图6是示出基于局部声誉反馈的全局声誉的确定的结构图。图7是示出全局声誉和局部声誉之间的示例性转化(resolution)的流程图。图8是用于调节与声誉服务器相关联的过滤器的设置的示例性图形用户界面。图9是示出用于互联网协议语音电话(VoIP)或短消息服务(SMS)通信的基于声誉的连接抑制(connectionthrottling)的结构图。图10是示出基于声誉的负载均衡器的结构图。图11A是示出用于基于地理位置的身份验证的示例性操作方案的流程图。图11B是示出用于基于地理位置的身份验证的另一示例性操作方案的流程图。图11C是示出用于基于地理位置的身份验证的另一示例性操作方案的流程图。图12是示出用于基于声誉的动态隔离的示例性操作方案的流程图。图13是图像垃圾邮件通信的示例性图形用户界面显示。图14是示出用于检测图像垃圾邮件的示例性操作方案的流程图。图15A是示出用于分析通信的结构的操作方案的流程图。图15B是示出用于分析图像的特征的操作方案的流程图。图15C是示出用于标准化图像以用于垃圾邮件处理的操作方案的流程图。图15D是示出用于分析图像的指纹以在多个图像中找到共同片段的操作方案的流程图。详细说明图1是描述示例性网络环境的结构图，本公开的系统和方法可在该网络中进行操作。安全代理(securityagent)100一般可存在于在网络110(例如，企业网)内部的防火墙系统(未示出)和服务器(未示出)之间。如应被理解的，网络110可包括很多服务器，包括例如可由与网络110相关的企业使用的电子邮件服务器、网络服务器和各种应用服务器。安全代理100监控进入和离开网络110的通信。一般通过互联网120从连接到互联网120的很多实体130a-f接收这些通信。实体130a-f中的一个或更多个可为通信业务量的合法发起者。然而，实体130a-f中的一个或更多个也可为发起不需要的通信的声誉差的实体。因此，安全代理100包括声誉引擎。声誉引擎可检查通信并确定与发起通信的实体相关联的声誉。安全代理100接着根据发端实体的声誉对通信执行动作。如果声誉指示通信的发起者声誉好，那么例如，安全代理可将通信转发到通信的接收者。然而，如果声誉指示通信的发起者声誉差，那么其中例如，安全代理可隔离通信，对消息执行更多的测试，或要求来自消息发起者的身份验证。在美国专利公布号2006/0015942中详细描述了声誉引擎，该申请由此通过引用被并入。图2是描述本公开的示例性网络体系结构的结构图。安全代理100a-n被示为在逻辑上分别存在于网络110a-n与互联网120之间。虽然没有在图2中示出，但应理解，防火墙可安装在安全代理100a-n和互联网120之间，以提供防止未授权的通信进入相应的网络110a-n的保护。而且，结合防火墙系统可配置侵入检测系统(IDS)(未示出)，以识别活动的可疑模式并在这样的活动被识别出时用信号通知警报。虽然这样的系统对网络提供了某种保护，但它们一般不处理应用层安全威胁。例如，黑客常常试图使用各种网络类型的应用(例如，电子邮件、网络、即时消息(IM)，等等)来产生与网络110a-n的前文本连接，以便利用由使用实体130a-e的这些不同的应用所产生的安全漏洞。然而，不是所有的实体130a-e都暗示对网络100a-n的威胁。一些实体130a-e发起合法的业务量，允许公司的雇员与商业伙伴更有效地进行通信。虽然对可能的威胁来说检查通信是有用的，但是维持当前的威胁信息可能很难，因为攻击被不断地改进以解决最近的过滤技术。因此，安全代理100a-n可对通信运行多次测试，以确定通信是否是合法的。此外，包括在通信中的发送者信息可用于帮助确定通信是否是合法的。因此，复杂的安全代理100a-n可跟踪实体并分析实体的特征，以帮助确定是否允许通信进入网络110a-n。可接着给实体110a-n分配声誉。对通信的决定可考虑发起通信的实体130a-e的声誉。而且，一个或更多个中央系统200可收集关于实体130a-e的信息，并将所收集的数据分发到其它中央系统200和/或安全代理100a-n。声誉引擎可帮助识别大量恶意通信，而没有通信的内容的广泛和可能昂贵的局部分析(localanalysis)。声誉引擎也可帮助识别合法通信，并优先考虑其传输，且减小了对合法通信进行错误分类的风险。而且，声誉引擎可在物理世界或虚拟世界中对识别恶意以及合法事务的问题提供动态和预言性的方法。例子包括在电子邮件、即时消息、VoIP、SMS或利用发送者声誉和内本文档来自技高网...

【技术保护点】
一种计算机实现方法，其可操作来将声誉分配给与所接收的通信相关联的发送消息的实体，所述方法包括以下步骤：从第一实体接收通信；根据所接收的所述通信得出所述第一实体的一个或更多个属性；分析与所述第一实体相关联的并基于所接收的所述通信的所述属性；取回用于多个已知实体的已知属性信息；将所接收的所述通信的所述属性与所述已知属性信息关联起来；根据所述第一实体和共享至少一个共同属性或共同的属性模式的一个或更多个其它实体，来定义所述第一实体和所述一个或更多个其它实体之间的关系，所述一个或更多个其它实体从所述多个已知实体选择；以及根据所定义的所述关系和所述至少一个共同属性或共同的属性模式，来将与所述第一实体或者所述一个或更多个其它实体中的一个相关联的第一声誉的一部分归于与所述第一实体或者所述一个或更多个其它实体中的另一个相关联的第二声誉。

【技术特征摘要】
【国外来华专利技术】US 2007-1-24 11/626,4621.一种反垃圾邮件的计算机实现方法，其可操作来将声誉分配给与所接收的通信相关联的发送消息的实体，所述方法包括以下步骤：从与第一实体相关联的通信设备接收通信，其中，所述第一实体包括人类用户或系统；根据所接收的通信得出所述第一实体的多个属性，其中所述多个属性包括描述与所述实体相关联的行为的观察的行为属性以及描述所述第一实体的标识的证据属性；分析与所述第一实体相关联的并基于所接收的通信的所述属性；取回用于多个已知实体的已知属性信息，其中所述多个已知实体中的每一个包括人类用户或系统；将所接收的通信的所述属性与所述已知属性信息关联起来；根据共享至少一个共同属性或共同属性模式的所述第一实体和多个其它已知实体，来确定所述第一实体和所述多个其它已知实体之间的关系的程度，所述标识用于确定所述第一实体和所述多个其他已知实体之间的关系的强度；以及根据关联于所述关系的强度和所述至少一个共同属性或共同属性模式，来将与所述第一实体相关联的第一声誉量度的一部分归于与所述多个其它已知实体中的一个相关联的第二声誉量度。2.如权利要求1所述的方法，进一步包括确定与实体相关联的所述证据属性是否相应于包括由一组行为属性定义的行为参数文件的已知属性，所述确定步骤通过比较所述证据属性与所述一组行为属性来进行。3.如权利要求2所述的方法，其中用于垃圾邮件发送者的行为参数文件定义具有发送不想要的通信的声誉的实体。4.如权利要求2所述的方法，其中所述行为参数文件定义具有发送欺骗性通信的声誉的实体。5.如权利要求2所述的方法，其中所述行为参数文件定义具有发送合法消息的声誉的实体。6.如权利要求2所述的方法，其中所述行为参数文件定义具有黑客侵入网络的声誉的实体。7.如权利要求2所述的方法，其中所述行为参数文件定义具有侵入私有网络的声誉的实体。8.如权利要求2所述的方法，其中所述行为参数文件定义具有发送群发邮件的声誉的实体。9.如权利要求2所述的方法，其中所述行为参数文件定义具有发送包括病毒的恶意通信的声誉的实体。10.如权利要求2所述的方法，其中所述行为参数文件定义具有伪造合法网站的声誉的实体。11.如权利要求2所述的方法，其中一组属性对于已经使用声誉定义的一种类型的实体是共同的，且其中所述声誉能够在新实体的声誉的建立中被给出或考虑。12.如权利要求1所述的方法，进一步包括以下步骤：确定所述第一实体和所述多个其它已知实体中的所述一个之间的任何关系如何影响与所述第一实体相关联的声誉。13.如权利要求1所述的方法，其中分析与所述第一实体相关联的所述属性的步骤包括根据参数得出趋势，所述参数包括下述项中的一个或更多个：地理政治事件、日期、公司类型、重要的基础设施部门、所述第一实体的位置、时刻，或假期。14.一种反垃圾邮件的声誉系统，其可操作来接收被送往网络的通信并给所述通信分配声誉，所述系统包括：通信接口，其可操作来从与第一实体相关联的通信设备接收进入网络的通信，其中，所述第一实体包括人类用户或系统；通信分析器，其可操作来得出与所接收的通信相关联的多个属性，其中，所述多个属性包括描述与实体相关联的行为的观察的...

【专利技术属性】
技术研发人员：D阿尔佩罗维奇，AM埃尔南德斯，P朱格，S克拉泽，PA施内克，Y唐，JA齐齐亚斯基，
申请(专利权)人：迈可菲公司，
类型：发明
国别省市：US[美国]