参照リソースの確率的解析に基づく不要な電子メールメッセージの検出
一実施形態において、参照リソースの確率的解析に基づいて不要な電子メールメッセージを検出するステップは、各々前のメッセージに現れた複数のネットワークリソース識別子を有するホワイトリストおよびブロックリストを受信するステップと、特定のネットワークリソース識別子を検索するステップと、特定のネットワークリソース識別子に対するプロパティのリストを生成するステップと、プロパティを用いて確率フィルタをトレーニングするステップと、ホワイトリストおよびブロックリスト内のネットワークリソース識別子のすべてに対して検出、生成およびトレーニングを繰り返すステップとを含む。その後、電子メールメッセージが受信されるとともにURLまたは他のネットワークリソース識別子を含む場合、トレーニングされた確率フィルタを用いてネットワークリソース識別子のプロパティをテストすることによりそのメッセージに対してスパムスコアまたは脅威スコアを生成することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、ネットワークデータ通信に関する。本発明は、特に、不要なもしくはスパム、ウイルスまたは他の脅威に関連する電子メールメッセージの処理に関する。
【背景技術】
【0002】
この項に説明する手法は実行可能であるが、必ずしも以前に考えられまたは実行された手法ではない。そのため、本明細書に示されない限り、この項に説明される手法は、本願の特許請求の範囲に対する従来技術ではなく、この項内に含まれることにより従来技術とみなされるものではない。
【0003】
不要なまたは未承諾(「スパム」)であるもしくはウイルスまたは「フィッシング」攻撃などの他の脅威を含む電子メールメッセージの送信者は、メッセージが不要または未承諾であり、ウイルスまたは他の脅威を含むという事実を隠蔽する方策を用いることが多い。そのメッセージは、件名、送信元(「From:」値)、および正当であるように見える他の要素を有し得る。加えて、メッセージは、電子システムがメッセージの意図を判断することを困難にするステップを取る場合がある。しかし、メッセージは、ハイパーリンク、ユニフォーム・リソース・インジケータ(URI)、ユニフォーム・リソース・ロケータ(URL)、もしくはスパム、ウイルスまたは他の脅威に関連する他のネットワークリソース識別子を含む場合がある。ユーザがそのようなメッセージ内のハイパーリンクを選択(「クリック」)すると、ユーザのブラウザは、ユーザを、ウイルス、アドウエア、またはスパイウエアを配信する有害なまたは望ましくないページに導き、またはユーザに個人情報または金融情報を開示するように促す、または広告またはポルノグラフィなどの望ましくないコンテンツをもたらす。
【0004】
他の場合には、URLはスパムエンジンにスパムメッセージの「成功」配信の報告を返す実行可能なコードまたはスクリプトにアクセスする。また他の場合には、URLはスパムが関係する商品を何でもクリックスルーマーケティングすることを意図している。
【発明の開示】
【発明が解決しようとする課題】
【0005】
その結果として、メッセージが受信された場合、メッセージコンテンツの典型的解析に基づいて脅威検出システムおよび他の解析ツールは、メッセージがスパムであるかまたは脅威に関連しているかを判断できないことが多い。
【課題を解決するための手段】
【0006】
参照リソースの確率的解析に基づいて不要な電子メールメッセージを検出する方法および装置が記載されている。以下の記述では、説明の目的のため、本発明の完全な理解を提供するために多数の詳細が記載されている。しかし、当業者には、本発明がこれらの詳細なしに実施され得ることは明らかであろう。他の例では、本発明を不必要に不明瞭にすることを回避するために、周知の構造および装置がブロック図の形状で示されている。
【0007】
本発明を、同様な参照番号が同様な要素を指す添付の図面の図内で、限定としてではなく一例として説明する。
【0008】
本明細書では以下の概要に従って実施形態を記載する。
【0009】
1.0 総括
2.0 構造および機能概要
2.1 例示的構造配列
2.2 機能概要
3.0 実施機構−ハードウエア概要
4.0 発展例および代替例
1.0 総括
以上の背景技術で認識されたニーズならびに以下の説明に対して明らかになるであろう他のニーズおよび目的は本発明で達成され、本発明は一態様において、過去の電子メールメッセージに含まれていた複数の第1のネットワークリソース識別子を備えるホワイトリストを検索するステップと、ホワイトリストから特定の第1のネットワークリソース識別子を検索するステップと、特定の第1のネットワークリソース識別子に対するプロパティの第1のリストを生成するステップと、プロパティを用いて確率フィルタをトレーニングするステップと、ホワイトリスト内の第1のネットワークリソース識別子のすべてに対して抽出、検索およびトレーニングするステップを繰り返すステップと、スパムまたは脅威に関連する過去の電子メールメッセージに含まれていた複数の第2のネットワークリソース識別子を備えるブロックリストを検索するステップと、ブロックリストから特定の第2のネットワークリソース識別子を検索するステップと、特定の第2のネットワークリソース識別子に対するプロパティの第2のリストを生成するステップと、プロパティを用いて確率フィルタをトレーニングするステップと、ブロックリスト内の第2のネットワークリソース識別子のすべてに対して抽出、検索およびトレーニングするステップを繰り返すステップとにより、参照リソースの確率的解析に基づいて不要な電子メールメッセージを検出する方法を含む。
【0010】
1つの特徴において、本方法は、第3のネットワークリソース識別子を受信するステップと、トレーニングされた確率フィルタを用いて第3のネットワークリソース識別子をテストするとともに、第3のネットワークリソース識別子がスパムまたは脅威に関連する確率を示す確率出力を受信するステップと、確率出力が第1の規定閾値より大きい場合、第3のネットワークリソース識別子をブラックリストに追加するステップとをさらに含む。
【0011】
他の特徴において、プロパティの第2のリストを生成するステップが、第2のネットワークリソース識別子のドメイン部分を抽出するステップと、ドメインネームシステムから抽出されたドメイン部分に関連する1つまたは複数のメール交換記録を検索するステップと、ドメインネームシステムからメール交換記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、平均評価スコア値が規定閾値未満である場合、ネットワークリソース識別子をブラックリストに追加するステップとを含む。
【0012】
さらに他の特徴において、ネットワークリソース識別子がユニフォーム・リソース・ロケータ(URL)である。
【0013】
さらに他の特徴において、プロパティの第2のリストを生成するステップが、第2のネットワークリソース識別子のドメイン部分を抽出するステップと、ドメインネームシステムから抽出されたドメイン部分に関連する1つまたは複数のネームサーバ記録を検索するステップと、ドメインネームシステムからネームサーバ記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、平均評価スコア値が規定閾値未満である場合、ネットワークリソース識別子をブラックリストに追加するステップとを含む。
【0014】
さらなる特徴において、本方法は、ブラックリストをネットワークに結合された複数のメッセージングゲートウェイ・アプライアンスに送信するステップをさらに含む。
【0015】
他の特徴において、ブラックリストが前に識別されたブロックリストとは別である。
【0016】
さらに他の特徴において、本方法は、ブラックリストのコピーをメッセージングゲートウェイで受信するステップと、メッセージングゲートウェイで、ユニフォーム・リソース・ロケータ(URL)を含む電子メールメッセージを受信するステップと、URLを抽出するとともに、URLがブラックリストのコピー内にあるかを判断するステップと、URLがブラックリストのコピー内にある場合、電子メールメッセージに関連する脅威スコア値を変更するステップとをさらに含む。
【0017】
本明細書において、脅威とは、ウイルス、フィッシング攻撃、およびファーミング攻撃のいずれかを含み得る。この文脈において、「フィッシング(phishing)攻撃」は、eメールなどの一見公式電子通信内で信頼できる人または企業になりすますことにより、パスワードおよびクレジットカード詳細などの機密情報を不正に取得しようとする試みにより特徴付けられる犯罪活動の形状を指す。この用語はユーザの金融情報およびパスワードを「釣る(fish)」ためのますます精巧なルアーの使用から生じている。「ファーミング」は、コンピュータユーザにサイトのドメインネームを取得させるとともに、例えばそのウェブサイトのトラフィックを他のウェブサイトに再指向させるDNSサーバソフトウエア内の脆弱性の利用を指す。
【0018】
他の態様において、本発明は、以上のステップを行うように構成された電子メールサーバ、他のコンピュータ装置およびコンピュータ読み取り可能媒体を包含する。
【発明を実施するための最良の形態】
【0019】
2.0 構造および機能概要
2.1 例示的構造配列
図1は、実施形態を実施するために用い得る例示的ネットワーク配列を図示するブロック図である。明瞭な例を図示する目的のため、本明細書では説明の一部はスパムメッセージに言及する。しかし、他の実施形態は、任意の形状のメッセージ感染脅威または問題を含むまたは関連するメッセージ、例えばスパムまたは未承諾メッセージ、「フィッシング」攻撃もしくは他の不正または有害なコンテンツを含むメッセージを扱う場合がある。そのように、本明細書の幅広い手法はスパムを扱うシステムに限定されない。さらに、実施形態は、「ハム」メッセージをテストすることができるとともに、そのようなメッセージがスパムではないまたは脅威と関連しないということを示す出力を提供する。
【0020】
ここで図1を参照すると、素性および場所が通例不明である脅威送信者100は、公衆(public)ネットワーク102に直接または間接的に結合されているとともに、通例電子メッセージまたはeメールでメッセージを公衆ネットワークに送信する。メッセージは、複数の受信者または専用(private)ネットワーク110内のコンピュータ120A、120B、120Cのユーザ、脅威情報ソース104および脅威トラップ106のアカウントなどの宛先に宛てられる。メッセージはスパムを備え、ウイルスなどの脅威を含み、またはスパムコンテンツを表わすもしくは迷惑または有害であるネットワークリソースのネットワーク識別子を含む。
【0021】
脅威情報ソース104は、メッセージ署名、ブラックリスト、ホワイトリスト、またはスパムまたは有害であるメッセージまたはメッセージの送信者を識別する他の情報のネットワークアクセス可能ソースを含む。追加的にまたは代替的に、脅威情報ソース104は、ワールドワイドウェブ(World Wide Web)上のドメイン「spamcop.net」でアクセス可能なスパムコップ(SpamCop)情報サービス、またはスパムコップ(SpamCop)サービスのユーザを含み得る。スパムコップ(SpamCop)は、スパム、ハムおよび確率スコアに関連するURL、ホストネームおよびIPアドレスを追跡するためのデータベースを含む。
【0022】
脅威情報ソース104は、1つまたは複数のインターネットサービスプロバイダまたは他の大量メール受信者により所有、動作または管理されるサービスまたはデータベースを含み得る。
【0023】
他の代替実施形態において、本明細書の自動的手法に対する補完として、脅威情報ソース104は、情報サービス相談者または解析者により得られるデータの手による検査もしくは外部ソースを含み得る。例えばスパム対策ベンダー、ウイルス対策ベンダー、第三者ベンダー、スパム対策メーリングリストまたはウイルスメーリングリスト、スパムトラップまたは脅威トラップデータおよび他のソースからの警告を監視している人間の管理者が、ほとんどの場合スパム対策ソフトウエアまたは処理ルールへの更新が公開される前にスパムを良好に検出することができる。
【0024】
脅威トラップ106は、スパムを備えるまたは脅威に関連するeメールメッセージに関する情報を収集する専用のeメールアドレス、アカウントまたはメールボックスである。単純な例を図示する目的のため、図1は、脅威情報ソース104および脅威トラップ106の形状の2つの宛先のみを示すが、特定の実施形態において、任意の数のこのようなスパム情報ソースがあり得る。
【0025】
脅威送信者100は、コンピュータ120A、120B、120Cおよび脅威トラップ106のネットワークアドレスを、公衆ソース、購入eメールアドレスリスト、オンラインポスティング等から取得し得る。
【0026】
脅威情報プロセッサ108は、公衆ネットワーク102に通信可能に結合されているとともに、脅威情報ソース104および脅威トラップ106から情報を受信することができる。脅威情報プロセッサ108は、脅威情報ソース104および脅威トラップ106からスパムおよび脅威情報を収集すること、スパムおよび脅威発生情報を生成すること、およびデータベース112内に発生情報を格納することを含む、本明細書にさらに記載するある機能を実施する。
【0027】
ネットワークリソース150およびウェブサイト152が公衆ネットワーク102に結合されている。ネットワークリソース150は、ネットワークアクセス可能な実行可能コンピュータプログラムコード、スクリプト、または他のソフトウエア要素を備え得る。ネットワークリソース150は、ウェブサイト152、ファイルサーバ、または任意の他のネットワークアクセス可能な情報リソースも含み得る。様々な実施形態において、ネットワーク102に結合された任意の数のネットワークリソース150およびウェブサイト152があり得る。この明細書において、「ネットワークリソース識別子」という用語は任意の種類のネットワークリソースを識別する任意のデータを広く指し、そのため「ネットワークリソース識別子」はURL、URI、ハイパーリンク、ドメインネーム、ホストネーム等であり得る。
【0028】
1つまたは複数のドメインネームサービス(DNS)サーバ160が公衆ネットワーク102に結合されている。各DNSサーバ160は、ドメインネームを、IPアドレスなどのネットワークアドレス、ドメインネームに関連するメール交換(MX)サーバのネーム、ネームサーバ記録等に分解するために用いることができるDNS記録を記憶する。
【0029】
現存のパブリックURIブロックリスト140が公衆ネットワーク102に結合されている。ブロックリスト140は、一般に、スパムメッセージで公表されたユニフォーム・リソース・インジケータ(URI)のリストを含む。一実施形態において、ブロックリスト140は、他のブロックリストの一群、スパムメッセージで見つかるすべての対象ドメインを含む。ブロックリスト140における情報にはDNSルックアップを用いてアクセスすることができるが、それにはインターネット接続が必要であるとともに結果を得るために比較的長い待ち時間を有する。一実施形態では、ブロックリスト140はリストの一群を含むため、ブロックリスト140からの各出力入力にはドメインが現れたリストを示すビットマスクが標識付けされている。
【0030】
メッセージングゲートウェイ107が、公衆ネットワーク102と複数の終端ステーション120A、120B、120Cを含む専用ネットワーク110との間に、ファイアウォール111または他のネットワーク要素を介して直接または間接的に結合されている。メッセージングゲートウェイ107は、eメールを専用ネットワーク110用に処理するメール転送エージェント109と一体化されていてもよく、またはメール転送エージェントは別に配置されていてもよい。例えばカリフォルニア州サンブルーノ(San Bruno,California)のアイアンポート・システムズ社(IronPort Systems Inc.)から市販されているアイアンポート メッセージングゲートウェイ・アプライアンス(IronPort Messaging Gateway Appliance)(MGA)、例えばモデルC60、C30、C10、X1000等は、メール転送エージェント109、ファイアウォール111、およびメッセージングゲートウェイ107に対して本明細書に記載された機能を実施し得る。
【0031】
一実施形態において、メッセージングゲートウェイ107は、脅威情報プロセッサ108からウイルス発生情報を得るとともにメッセージングゲートウェイに設定されたポリシーに従って終端ステーション120A、120B、120C宛てのメッセージを処理する、メッセージウイルス情報ロジック114を含む。このようなウイルス情報ロジックは、メッセージングゲートウェイ107のコンテンツフィルタ機能と一体化されていてもよい。
【0032】
メッセージングゲートウェイ107は、クラム(Clam)AVなどのウイルス対策チェッカー116、コンテンツフィルタ118、およびスパムアサシン(SpamAssassin)モジュールなどのスパム対策ロジック119も含み得る。ウイルス対策チェッカー116は、例えばソフォス(Sophos)ウイルス対策ソフトウエアを含み得る。コンテンツフィルタ118は、専用ネットワーク110に関連するポリシーに従ってメッセージ件名またはメッセージ本文内に容認不可能なコンテンツを含むメッセージの配信または受理を制限するロジックを提供する。スパム対策ロジック119は、着信メッセージをスキャンしてメール受理ポリシーに従ってそれらが不要であるか、例えば着信メッセージが未承諾商用eメールか否かを判断するとともに、スパム対策ロジック119は、ポリシーを適用して任意の不要なメッセージの配信、転送の制限または受理の拒否を行う。スパム対策ロジックは、禁止された送信者を識別するローカルブラックリスト、またはスパムメッセージに公表されたネットワークリソースの識別子(例えばネットワークリソース150、ウェブサイト152)と通信し得る。
【0033】
本明細書で用いられる「メールサーバ」という用語は、メッセージングゲートウェイ107、メール転送エージェント、メール交換、および電子メールメッセージを受信および転送する任意の他のデータ処理ユニット、サーバ、ソフトウエア、またはシステムを含む。
【0034】
専用ネットワーク110は、企業に関連する企業ネットワークもしくは強化セキュリティまたは保護が望ましい任意の他のネットワーク形態であり得る。公衆ネットワーク102および専用ネットワーク110は、通信のためにTCP/IPなどのオープンスタンダードプロトコルを用い得る。
【0035】
脅威情報ソース104は、他の専用ネットワークを保護する目的のために公衆ネットワーク102と他の専用ネットワーク(明瞭化のため図示せず)との間に介在するメッセージングゲートウェイ107の他の例を含み得る。一実施形態において、脅威情報ソース104はアイアンポート(IronPort)MGAである。
【0036】
脅威トラップ106は、1つまたは複数のドメインと関連する1つまたは複数のeメールアドレスまたはeメールメールボックスと関連している。脅威トラップ106は、解析または報告のため未承諾eメールメッセージまたは「スパム」を受信する目的のために設置されているが、通例従来のeメール通信には用いられない。例えばスパムトラップは、「dummyaccountforspam@mycompany.com」などのeメールアドレスであり得るか、またはスパムトラップは受信eメール情報が提供されるMXタイプDNS記録に分類されるeメールアドレスの一群であり得る。メール転送エージェント109または他のアイアンポート(IronPort)MGAのメール転送エージェントは脅威トラップ106をホストとして動作する。
【0037】
一実施形態において、脅威情報ソース104は、コンピュータウイルス発生を管理する際に用いる情報を生成するとともに脅威情報プロセッサ108に提供し、さらに、脅威情報プロセッサ108は、同じ目的のため脅威トラップ106から情報を得ることができる。例えば脅威情報ソース104は、不審な添付ファイルを有する受信メッセージを数えるとともに、その計数を脅威情報プロセッサ108に提供するか、または外部プロセスが計数を検索するとともにそれらを特定のデータベースに格納することを可能にする。メッセージングゲートウェイ107は、ウイルスに関連する表示を有するかさもなければ不審であるメッセージを検出する、特定の期間に受信した不審なメッセージの計数を行う、およびその計数を脅威情報プロセッサ108に定期的に提供することによりウイルス情報ソースとしても役立ち得る。
【0038】
具体例として本明細書に記載された機能は、総合的メッセージデータ収集および報告設備、例えばアイアンポート・システムズ社(IronPort Systems Inc.)のセンダーベース(SenderBase)サービスの一部として実施され得る。この実施形態において、脅威情報プロセッサ108は、脅威情報ソース104および脅威トラップ106から情報を検索するかまたは受信し、スパム対策ロジック119によりスパムであると判断されるもしくは不審な添付ファイルまたはウイルス対策チェッカー116により示されるようなウイルス識別子を有するメッセージの送信者に対する評価スコアを生成し、さらにウイルス情報ロジック114およびメッセージングゲートウェイ107のスパム対策ロジック119による後の検索ならびに利用のため、データベース112を評価スコアで更新することができる。
【0039】
脅威情報プロセッサ108は、メッセージを解析するとともにメッセージングゲートウェイ107または専用ネットワーク内に配置されたまたは公衆ネットワーク102に結合された他のメッセージングゲートウェイにより用いることができる情報を生成する、1つまたは複数のサーバ、システムまたはサービスを含む。脅威情報プロセッサ108は、脅威オペレーションセンター(TOC)、受信ウイルススコア(RVS)プロセッサ、または両方を含むまたは通信可能に結合可能である。TOCおよびRVSプロセッサは、脅威情報プロセッサ108から分離し得るが、データベース112または公衆ネットワーク102に通信結合され得る。1日24時間、週7日間対応可能な人員を有し、脅威情報プロセッサ108によって収集されるとともにデータベース112に記憶された情報を監視する人員配置されたセンターとしてTOCを実施することができる。TOCに詰める人員は、脅威情報ソース104からの新しい情報を解析する、脅威トラップ106において受信したメッセージを検査する、スパム対策ルールを作成する、ウイルス対策ルールを作成する、ウイルス発生警報を発する、データベース112内に記憶された情報を更新する、ウイルス発生情報を公表してメッセージングゲートウェイ107がウイルス発生情報にアクセスできるようにする、およびそのメッセージングゲートウェイおよび他のメッセージングゲートウェイへのウイルス発生情報の送信を手動で作動させるなどの手作業を行うことができる。
【0040】
一実施形態において、脅威情報プロセッサ108は、図2A〜図3に関連して本明細書に記載された機能を実施する1つまたは複数のコンピュータプログラムまたは他のソフトウエア要素を備えるネットワーク識別子解析ロジック130を含む。
【0041】
一実施形態において、脅威情報プロセッサ108は、スパムを備えることが分かっているまたは脅威を担持することが分かっているメッセージのコピーまたは属性を蓄積する1つまたは複数の信頼されるブラックリストを含むまたはそこから情報を受信する。脅威情報プロセッサ108はブラックリストをホストとして動作し、外部ブラックリストに問い合わせる、またはメッセージングプロトコルを介してブラックリスト情報を得ることができる。
【0042】
ある実施形態において、データベース112はコーパスと呼ばれるとともに、ウイルスを含むまたは含まないスパムまたはそうではないとして明確に分類された、もしくは他の特定の脅威に対して分類されたメッセージを含む脅威情報プロセッサ108のデータベースを含む。このように、コーパスは、今後のメッセージがスパムであるか脅威を含むかを示すルールまたは他の基準を判断するために用いることができる履歴メッセージ情報の信頼されるレポジトリを表わす。メッセージは、脅威トラップ106などの自動ソースからおよびメッセージングゲートウェイ107からの報告からコーパスに入る。メッセージは、人間の分類システムからも入り、そのため、解析者は、メッセージまたはURLを受信するとともにそのメッセージまたはURLがデータベース112内のホワイトリストまたはブラックリストに付加されるべきであると判断し得る。コーパスは、アバターを用いて公衆ネットワーク102に入るとともに分類用メッセージを取得し得る。
【0043】
一実施形態において、データベース112は以下のメッセージに対する属性値を記憶し得る。
【表1−1】
【表1−2】
一実施形態において、脅威情報プロセッサ108はブロックリスト142を含む。一実施形態において、ブロックリスト142は、パブリック送信者URIブロックリスト140の局所的に管理されたコピーまたはミラーであり得る。ブロックリスト140のミラーリングは、ブロックリスト140がネットワーク停止または不具合に直面しても、脅威情報プロセッサ108が連続的に利用可能なURIブロックリスト情報を有することができるようにする。一実施形態において、ブロックリスト142はデータベース112に一体化されてもよい。
【0044】
一実施形態において、脅威情報プロセッサ108は、HTTPサービス132を含み、HTTPサービス132は、HTTP要求を発してネットワークリソース150のコピー、ウェブサイト152からの情報、またはHTTPサーバに記憶されている他のネットワークアクセス可能情報を得ることができる。
【0045】
一実施形態において、脅威情報プロセッサ108は評価スコアサービス136を含み、評価スコアサービス136は、データベース112に記憶されたメッセージに対する評価スコア値を判断するとともに新しいメッセージが受信されると同時にデータベースをスコア値で更新することができる。評価スコア値は、送信者が送信したことが分かっている過去のメッセージに基づいてまたはメッセージ要素を含む過去のメッセージに基づいて、メッセージ送信者またはメッセージ要素がスパムメッセージまたは脅威を含むメッセージに関連するかを表わす。一実施形態において、評価スコア値は、不良評価もしくはスパムまたは脅威を有するメッセージの頻繁且つ不断の送信を示す(−10)から良好な評価を示す(+10)に及ぶ。
【0046】
一実施形態において、脅威情報プロセッサ108は、ソフトウエア・コンポーネント内で実施される1つまたは複数のトレーニングデータベースまたは確率フィルタ134を含む。追加的にまたは代替的に、ネットワーク識別子解析ロジック130および確率フィルタ134は、メッセージングゲートウェイ107内のスパム対策ロジック119の一部として、またはメッセージングゲートウェイのスパム対策ロジック用のプラグインソフトウエア・コンポーネントの形状で実施され得る。確率フィルタ134はベイジアン(Bayesian)フィルタであってもよい。確率フィルタ134の使用は次の項にさらに記載されている。
【0047】
2.2 機能概要
一般に、電子メッセージを処理する方法の一実施形態は、メッセージを受信することと、メッセージ内の1つまたは複数のネットワークリソース識別子を識別することと、ネットワークリソース識別子により参照されるリソースへのネットワーク接続を確立することと、参照リソースを検索することと、参照リソースを評価することと、参照リソースに基づいてメッセージが脅威を含むかスパムを表わすかを判断することとを含む。
【0048】
一実施形態において、リソースは、それらがスパム送信者にランレンするかを判断するベイジアン解析などの確率的解析を受ける。一般に、ベイジアン解析は、観察された分布に基づいて基本的な分布のパラメータを確立する統計的手法である。解析は、パラメータの相対的尤度または非ベイジアン観察の結果の査定を始めとする、任意の関連データに基づき得る「事前分布」で始まる。実際には、事前分布に対する適当な範囲の値にわたり均一な分布を査定することが普通である。
【0049】
事前分布を考えると、プロセスはデータを収集して観察分布を得る。そして、このプロセスは、観察分布の尤度をパラメータ値の関数として算出し、この尤度関数に事前分布を掛け、さらにその結果を正規化してすべての可能な値にわたり、事後確率分布と称される単位確率を得る。そして、分布のモードは、パラメータ推計であるとともに、標準的手順を用いて「確率区間」(ベイジアン・アナログ信頼区間)を算出することができる。ベイジアン解析において、結果の妥当性は事前分布の妥当性に依存し、統計的に査定することができない。
【0050】
他の手法において、eメールメッセージ内のホストネーム参照は、例えばDNSルックアップを用いてIPアドレスに分解される。これらの手法の両方を用いて、データベース112に保持されているブラックリストに追加されるまたはブロックリスト142に更新されるべきネットワークアドレス、例えばIPアドレスを識別してもよい。
【0051】
他の手法において、メッセージ本文内のURLから抽出されたホストネームはIPアドレスにマッピングされる(例えばDNSを用いて)。その結果得られるIPアドレスは1つまたは複数のブラックリスト内で探索される。同時に、評価スコアが生成されるとともに、低評価スコアとそのIPアドレスがブラックリストに載っているという表示との組み合わせを用いて、関連するURLもブラックリストに載せるべきか否かを判断する。
【0052】
この手法を、メッセージが以前にスパムであると判断されたか否かに関係なくコーパス内にあるすべてのメッセージに適用することができる。
【0053】
本明細書の他の手法において、メッセージは受信されてコーパス内に格納される。それらのメッセージは手動で審査されてハムまたはスパムとして印される。メッセージ内で参照された1つまたは複数のURLが識別されるとともに、1つまたは複数のホストネームがURLから抽出される。エージェントはメッセージ本文内のURLを得るためにウェブページを検索する。エージェントは、ドメインに対するドメインネーム登録機関「フーイズ」記録を探索し得るとともに、抽出されたドメインネームにおけるルートページを検索し得る。スパム対策サービスにより調査中であるという信号をウェブサーバの所有者またはオペレータに送り得る、同じページを頻繁に検索することを回避するように予防策を取ってもよい。
【0054】
検索データはトークン化されるとともに、そのトークンを用いて確率スパム検出エンジンまたはフィルタをトレーニングする。その結果、確率フィルタは、あるトークンの有無に基づいてどのメッセージがスパムを表わすか表わさないか認識することをトレーニングされる。例えばスパム送信者は、繰り返しスパム活動において同様な出現ドメインネームを用いる場合があり、またはウェブページ検索動作は、スパム送信者が偽のURLを送信しているまたは表示されたURLにおけるウェブページがまだ開設されていない場合に発生する可能性があるHTTP404エラー(ページが見つからない)を生じることになり、またはウェブページ内のコンテンツがスパムソースに関連していることが既知であるプロダクトを広告しようとする場合がある。
【0055】
トレーニングフェーズ後、新たに検索されたメッセージは、確率フィルタにより処理されるとともに、高確率スコアを生じるそれらのメッセージに関連するIPアドレスがブラックリストに載せられる。
【0056】
一実施形態において、メッセージングゲートウェイ107は、脅威情報プロセッサ108に定期的に問い合わせを行って、スパム対策ロジック119で用いるためのスパム対策更新を要求する。脅威情報プロセッサ108は、ブロックリスト142から形成されるとともにデータベース112内で管理される内部ホワイトリストおよびブラックリストとしてURLブラックリストを生成する。その結果得られるURLブラックリストは、単独でまたはメッセージングゲートウェイの他の要素用の他の更新と一緒にメッセージングゲートウェイ107に送信される。
【0057】
一実施形態において、URLブラックリストは、形状(ホストネーム。ビットマスク)のタプルのリストを備えるパール(Perl)SDBMファイルとしてメッセージングゲートウェイ107に送信される。リストはホワイトリストに載っていないホストネームを含む。使用時には、他のリストエントリのための「ワイルドカード」ホワイトリストエントリである任意のリストエントリはそのエントリに勝つことになる。例えばfoo.bar.comがブラックリストに載っているとともに、「*.bar.com」がホワイトリストに載っていると仮定する。その結果、foo.bar.comはメッセージングゲートウェイ107に送信される最終的なブラックリストに現れない。「bar.com」のみがホワイトリストに載っている場合にも同じ結果が生じる。
【0058】
ここで図2A、図2B、図2C、および図2Dを参照して機能例を説明する。図2Aは、受信メッセージ内のネットワークリソース識別子に基づいて確率フィルタをトレーニングする一実施形態の高水準概要を図示するフロー図であり、図2Bは、受信メッセージがスパムであるかまたは脅威に関連するかをテストする一実施形態の高水準概要を図示するフロー図であり、図2Cは、ネットワークリソース識別子をブロックリストに追加すべきかを判断する一実施形態の高水準概要を図示するフロー図であり、図2Dは、ブロックリストをメッセージングゲートウェイに転送するとともにブロックリストを用いてメッセージをフィルタリングする一実施形態の高水準概要を図示する。
【0059】
まず図2A、区分(1)を参照すると、ステップ202において第1のネットワークリソース識別子のホワイトリストのコンテンツが検索される。一実施形態において、脅威情報プロセッサ108はURIホワイトリストを生成するとともに管理する。代替的には、パブリックURIホワイトリストを用いることができる。ステップ202のホワイトリストおよび以下にさらに説明するステップ210のブロックリストは、機械により生成または人間により生成され得る。後者のフィルタリング動作を適正に実行するためには、ホワイトリストおよびブロックリストは非常に正確でなければならない。この文脈において、「ホワイトリスト」は、ネットワークアドレス、IPアドレス、ドメインネーム、または概してスパムまたは脅威に関連していなかった他のネットワークリソース識別子のリストを指す。
【0060】
ステップ204において、特定の第1のネットワークリソース識別子がホワイトリストから検索される。
【0061】
ステップ206において、検索された第1のネットワークリソース識別子に対するプロパティまたはトークンのリストが生成される。この文脈においてネットワークリソース識別子の「プロパティ」例には、例えばネーム、IPアドレス、サーバ等などのネットワークリソース識別子に基づいたDNSクエリーから得られる情報、ウェブページ、ネットワークリソース識別子が用いているサーバソフトウエア、ネットワークリソース識別子に含まれるドメインネームに対するドメインネーム所有者およびネットワークブロック所有者の両方に基づいて「フーイズ」クエリーから得られる情報、ならびにURIおよび/またはドメインネームから抽出されたワード(例えばドメインネーム「bluepillorders.com」に対して、抽出されたワードは「blue」、「pill」および「orders」を含むこともあり得る)を含み得る。
【0062】
一実施形態において、ステップ206は、ウェブページまたは特定のネットワークリソース識別子により識別される他のネットワークリソースのコピーを検索することを含む。例えば脅威情報プロセッサ108のHTTPサービス132は、HTTP GET要求を生成するとともに発して、上述の抽出されたURLにおけるリソースをダウンロードする。抽出されたURL識別子がアクティブなオンラインウェブサイト152または他のネットワークリソース150を識別すると仮定すると、ウェブページまたは他のリソースのコピーがHTTP GET要求に応じて受信される。
【0063】
ネットワークリソース識別子に関連するプロパティは、トークンのリストまたはストリームに変換され、各トークンはプロパティの個々の部分である。例えばトークンは、文字列、ワード、テキストブロック、グラフィックイメージ、URL、フレーム、または他のページ要素を含み得る。コピーをトークンに変換することは、記憶されたコピーをスキャンすることと様々なタイプのデリミタを識別することとを含み得る。
【0064】
ステップ208において、データベース218をトレーニングすることにより表わされる確率フィルタは、トークンを用いてトレーニングされる。例えば確率フィルタ134には、トークンおよびトークンが「既知の良好な」ネットワークリソース識別子に関連することを示す情報が供給される。トレーニング中に脅威情報プロセッサの管理者または他の信頼されるユーザが確率フィルタ134に、特定のネットワークリソースおよびプロパティが実際にスパムまたはメッセージ脅威に関連するか否かについて知らせる。代替的には、ステップ208は、一組の他のネットワークリソース識別子プロパティが「良好」もしくはスパムまたはメッセージ脅威に関連しないネットワークリソース識別子を示す確率を生成するためにのみ用いられる確率フィルタをトレーニングすることを含み得る。
【0065】
図2Aの区分(2)に示されたステップ210から216はステップ202から208に対応するが、ステップ210から216は第2のネットワークリソース識別子のブロックリストに現れるネットワークリソース識別子に基づいて確率フィルタをトレーニングする(例えばデータベースをトレーニングする218)。例えばブロックリスト140に現れるURIをステップ210から216のトレーニングに用い得る。図2Aの区分(1)および(2)を独立して実行することができるが、両方とも通例同じトレーニングデータベースまたは確率フィルタをトレーニングする。その結果、確率フィルタは、後に得られる他のネットワークリソース識別子がスパムまたはメッセージ脅威と関連しそうな確率を正確に生成するようにトレーニングされる。
【0066】
このように、従来の手法とは異なり、確率フィルタは、メッセージヘッダまたは本文に現れているワードに関してではなく、ブロックリストおよびホワイトリストに現れるとともにメッセージ内で参照できるネットワークリソースのコンテンツに関してトレーニングされる。その結果、確率フィルタ134は、ネットワークリソース内に現れている特定のテキスト、イメージ、グラフィックスまたは他の文書要素がコンピュータによる脅威を含むまたは配信するスパムメッセージまたはネットワークリソース内で参照されるという確率を示す記憶情報を取得する。
【0067】
その結果として新しいメッセージが後で受信されるが、確率フィルタがトレーニングされた同様なコンテンツを示す、異なるURLを含む場合、確率フィルタは、その新しいメッセージをスパムとしてまたは脅威に関連すると正しく識別することになる。スパムのスパム送信者は、ドメインネームを迅速に変更し得るがそれらのドメインにより配信されるコンテンツを変更しないため、この手法は非常に有用である。そのため、本明細書に提案されたコンテンツの確率解析は、システムに非ブラックリスト掲載URLがどのくらいスパムまたは脅威に関連されるかを判断させることができる。
【0068】
他の実施形態において、確率フィルタ内で、確率値が、ネットワークリソース識別子およびトークンを識別する情報またはメッセージ内で参照されるネットワークリソースの他のコンテンツ要素の両方と関連して記憶されている。この手法において、後続のテストまたはフィルタリングは、ネットワークリソース識別子のみを確率フィルタに提示することと、そのネットワークリソース識別子がスパムまたは脅威に関連するかを示す対応確率値を受信することとを含むことができる。その結果、各後続テストまたはフィルタは、必ずしもネットワークリソースの他のコピーを検索する必要がない。
【0069】
さらに、確率フィルタ134は、メッセージ自体ではなくメッセージ内で参照されるネットワークリソースのコンテンツに基づいてトレーニングされるため、確率フィルタは、無害のテキストを有するが「フィッシング」攻撃または脅威を配信する埋め込みハイパーリンクを含むメッセージのフィルタリングに失敗する可能性が低い。
【0070】
ステップ202〜208は、ホワイトリスト内に現れる任意の数のネットワークリソース識別子に対して繰り返され得る。同様に、ステップ210〜216は、ブロックリスト内に現れる任意の数のネットワークリソース識別子に対して繰り返され得る。
【0071】
ここで図2Bを参照すると、ステップ210において、第3のネットワークリソース識別子に関して情報が受信される。一実施形態において、ステップ210において、脅威情報プロセッサ108は、メッセージングゲートウェイ107から、メッセージングゲートウェイが特定のネットワークリソース識別子を含む1つまたは複数のメッセージを受信したということを示す通信を受信する。例えばその通信は、脅威情報プロセッサ108に保持されているサーバへのDNSクエリーを介して発生し得る。追加的にまたは代替的に、脅威情報プロセッサ108は、「センダーベース・ネットワーク・パーティシペーション(SenderBase Network Participation)」プロトコルでメッセージングゲートウェイ107にリンクされており、そのプロトコルによりメッセージングゲートウェイはメッセージングゲートウェイが処理したデータを定期的に報告することができる。
【0072】
代替的に、ステップ210は、1つまたは複数のネットワークリソース識別子を含むメッセージを実際に受信することを含み得る。明瞭な例を図示する目的のため、受信メッセージの本文が表1に示したテキストを含むと仮定する。
【0073】
表1−例示的受信メッセージ
できる限りよいサービスを提供するために、弊社オンライン支払いサービス(Online Payment Services)ではお客様の口座情報を弊社に確認していただく必要があります。口座情報を確認なさらない場合には、弊社はお客様の口座を無効にすることになります。口座詳細をご提供いただくにはここをクリックしてください。http://onlinepayment.phishingscam.com
ありがとうございました!
メッセージの外見にかかわらず、このメッセージは、オンライン支払いサービス(Online Payment Services)により認証されたものではないとともに、このメッセージ内のURL(http://onlinepayment.phishingscam.com)は、不正または迷惑目的のためにユーザ口座データを収集するサーバにアクセスする。明瞭な例を図示する目的のため、表1のメッセージは1つのURLを含むが、各々任意の数のURLまたは他のネットワークリソース識別子を含む任意の数のメッセージが本明細書に記載する手法で用いられ得る。
【0074】
ステップ210は、通例確率フィルタ134がトレーニングされた後ある時に行われる。このように、図2Bは、確率フィルタ134が、メッセージ内で参照されるネットワークリソースのコンテンツがスパムであるかまたは脅威に関連する確率によりトレーニングされていることを前提としている。
【0075】
ステップ211において、プロパティのリストが第3のネットワークリソース識別子に対して生成される。プロパティは、ステップ206に対して上述した同じタイプの情報に基づくトークンを含み得る。
【0076】
ステップ212において、トレーニングされた確率フィルタを用いて第3のネットワークリソース識別子のプロパティがテストされるとともに、ステップ214において確率出力が受信される。
【0077】
ステップ216において、確率値がテストされて、それがスパムまたは脅威を示す閾値より大きいかを判断する。受信された確率が閾値より大きい場合には、ステップ218において、第3のネットワークリソース識別子はブロックリストに追加される。一実施形態において、「フィードバックループ」効果を防止するために、ステップ218は、ネットワークリソース識別子を、図2Aのステップ210〜216のトレーニングに用いられるブロックリスト以外のブロックリストに追加することを含む。別のローカルブロックリスト、ブロックリスト142またはデータベース112内の専用ブラックリストのいずれかを用いてもよい。その後、ブロックリストがメッセージングゲートウェイ107に送信されると、図2Dに対して以下にさらに説明するように、メッセージングゲートウェイは、同じネットワークリソース識別子を含むメッセージの配信をブロックすることができる。
【0078】
ステップ218は、脅威情報ソース104またはブロックリスト140などの外部情報サービスに、ネットワークリソース識別子がスパムまたは脅威に関連するということを報告することを含むことができる。
【0079】
図2A、図2Bにおいて処理されたプロパティは、評価ベースの情報を含むことができる。ここで図2Cを参照すると、一手法において、ステップ217で第3のネットワークリソース識別子が受信されると、ステップ219で第3のネットワークリソース識別子のドメインネーム部分が抽出される。ネットワークリソース識別子が「http://onlinepayment.phishingscam.com」である場合には、ステップ219において、ドメインネーム部分「phishingscam.com」が抽出される。
【0080】
ステップ220において、ドメインネームに対するMXまたはNS記録がDNSシステムから検索される。例えば脅威情報プロセッサ108のネットワーク識別子解析ロジック130は、DNSクエリーをDNSサーバ160に発行して、抽出されたドメインネームに対するMX記録を得る。図3に示すように、DNSサーバ160は複数組のMX記録162と、複数組のNS記録164と、複数組のA記録166とを記憶している。特定のドメインネームは、記録の0、1、2または3つのすべてのタイプの中から見出せ得る。すべての正当な登録ドメインネームは、少なくとも、関連するIPアドレスをマッピングするA記録を有する。メール交換またはメールサーバを管理するドメインはMX記録を有することになる。ネームサーバを管理するドメインはNS記録を有することになる。
【0081】
DNSサーバ160は、MX記録のコピーまたはMX記録が見つからなかったことを示す応答を返信する。MX記録が見つからない場合には、ドメインネームに対するA(アドレス)記録が要求される。代替的には、ネームサーバ(NS)記録が要求される。
【0082】
受信されたMX記録およびNS記録はサーバネームを識別する。ステップ222において、各受信記録に対してアドレス記録が検索される。例えば他のDNSクエリーが発行されて、各MX記録またはNS記録内に付与されたネームに対するA記録を得る。その結果、脅威情報プロセッサ108は抽出されたドメインネーム部分に関連するネットワークアドレス(IPアドレスなど)を取得する。
【0083】
ステップ224において、アドレス記録内の各アドレスに関連する評価スコアまたはブロックリスト状況が判断される。一実施形態において、アドレス記録からのIPアドレスを含むクエリーが評価スコアサービス136に対して発行され、評価スコアサービス136はそのIPアドレスに関連する評価スコア値で応答する。ドメインに関連する多数IPアドレスに対する多数のクエリーが送信されてもよい。同じメッセージ内で参照された複数のドメインのすべてに関連する多数のIPアドレスに対する多数のクエリーが送信されてもよい。その結果得られる評価スコア値は例えば平均を演算することにより組み合わせられ得る。代替的には、ステップ224はアドレスをブロックリストと照合することを含む。
【0084】
平均評価スコアが特定の閾値未満である場合には、またはステップ226でテストされる際アドレスがブロックされる場合には、ステップ228でそのネットワークリソース識別子がブロックリストに追加される。ステップ219と同様に、別のブロックリストを用いてフィードバック効果を防止してもよい。代替的には、制御はステップ230で戻って他のメッセージ処理または動作を行う。
【0085】
このように、図2Cの手法はメッセージ内に見つかったネットワークリソース識別子と関連する評価値に基づいて、評価サービスから得た情報を特定のメッセージがスパムであるかまたは脅威に関連するか否かの判断と統合可能にする。
【0086】
メッセージングゲートウェイ107またはメールサーバは、参照ネットワークリソース識別子に基づいて、前の手法で展開された情報を用いてスパムであるかまたは脅威に関連するメッセージをフィルタリング、ブロックまたはポリシーを適用し得る。ここで図2Dを参照すると、ステップ240においてメッセージングゲートウェイから更新ブロックリストに対するクエリーが受信される。このように、一実施形態において、メッセージングゲートウェイ107は脅威情報プロセッサ108に更新ブロックリストが利用可能であるかについて定期的に問い合わせる。ステップ242において、更新ブロックリストがメッセージングゲートウェイに送信される。ステップ242は、データベース112および/またはブロックリスト142のコンテンツに基づいてブロックリストを生成することを含み得る。
【0087】
ステップ244において、更新ブロックリストが局所的に格納される。例えばメッセージングゲートウェイ107は、受信した更新ブロックリストに基づいてローカルブラックリスト117を格納する。
【0088】
ステップ246において、ネットワークリソース識別子を含む新しいeメールメッセージが例えばメッセージングゲートウェイ107においてが受信される。そのメッセージがスパム対策ロジック119に提供される。ステップ248で1つまたは複数のネットワークリソース識別子がメッセージから抽出される。スパム対策ロジック119が抽出を行い得る。ステップ250でテストが行われて抽出されたネットワークリソース識別子がブロックリストに見つかるかを判断する。
【0089】
そうであれば、ステップ252においてメッセージングゲートウェイ107はテスト250の真の結果に基づいて脅威スコア値を変更する。このように、図2Dがスパム対策スキャンの状況で実施される場合、ステップ252はステップ246のメッセージが「スパムのよう」らしいことを示すスパムスコア値を生成することを含み得る。
【0090】
抽出されたネットワークリソース識別子がブロックリストに見つからない場合には、ステップ254において、メッセージングゲートウェイ107は、他のメッセージ処理、例えばウイルス対策スキャン、コンテンツフィルタリング、ポリシー強化等を行うことができる。
【0091】
2.3 プラグイン実施形態
一実施形態において、本明細書の手法は、メッセージングゲートウェイ107内のスパム対策ロジック119に対するソフトウエアプラグインで実施される。一般に、このようなローカルURIブロックリストプラグインはスパム対策ロジック119を用いてメッセージから抽出されたデータを用いて、メッセージ内のネットワークリソース識別子を見つけてそれらをURIブロックリストに対してテストする。
【0092】
一実施形態において、プラグインは、ネットワークリソース識別子を探すメッセージ本文のサーチに基づいて、メッセージ毎に1つの肯定的の結果を返信する。追加的または代替的に、肯定的および否定的結果値をメッセージ内に見つかるすべてのネットワークリソース識別子に対して生成することができる。
【0093】
一実施形態において、プラグインは、肯定的であるべきソースリストを特定する書き込みルールおよびそれらのスコアリングウェイトをサポートする。ルールは、メッセージングゲートウェイ107の管理者または他のユーザがテスト対象のリストを参照するビットマスクを指定することを可能にする。この手法では、余分なスコアリングウェイトを特に信頼できるまたはできないことが既知である特定のリストまたはソースに置くことができる。
【0094】
ブロックリスト140、ブロックリスト142またはメッセージングゲートウェイ107内に局所的に記憶されている他のブロックリストに対してテストを行うことができる。このように、図1の目的のため、ローカルブラックリスト117はこのようなローカルブロックリストを表わすことができる。ブロックリストは、ローカルデータベースまたはファイル内に格納されてもよく、これによりパール(Perl)スクリプトおよびパイソン(Python)プログラムがそのファイルに接続できるとともにそのファイルをハッシュ値を含むとして処理することができる。一実施形態において、ローカルデータベースまたはファイル内の入力は、(キー>値)の組み合わせを備え、各キーはドメイン値であるとともに各関連値はソースビットマスクである。例えば入力は(foo.bar=>0.0.68)を備え得る、ここで「0.0.68」はアイアンポート(IronPort)、第三者のブロックリスト等を表わすビットマスクである。
【0095】
4.0 実施機構−ハードウエア概要
図4は、本発明の実施形態が実施され得るコンピュータシステム400を図示するブロック図である。好適な実施形態は、ルータ装置などのネットワーク要素で動作する1つまたは複数のコンピュータプログラムを用いて実施される。このように、この実施形態において、コンピュータシステム400はルータである。
【0096】
コンピュータシステム400は、バス402または情報を通信する他の通信機構と、バス402と結合された情報を処理するプロセッサ404とを含む。コンピュータシステム400は、バス402に結合されて情報およびプロセッサ404によって実行されるべき指示を記憶するランダムアクセスメモリ(RAM)、フラッシュメモリ、または他のダイナミック記憶装置などのメインメモリ406も含む。メインメモリ406を、プロセッサ404により実行されるべき指示の実行中に一時的変数または他の中間情報を記憶するために用いてもよい。コンピュータシステム400は、読み出し専用メモリ(ROM)408または静的情報およびプロセッサ404に対する指示を記憶する、バス402に結合された他のスタティック記憶装置をさらに含む。磁気ディスク、フラッシュメモリまたは光ディスクなどの、情報および指示を記憶する記憶装置410が設けられるとともにバス402に結合されている。
【0097】
情報およびコマンド選択をプロセッサ404に通信する通信インターフェース418がバス402に結合され得る。インターフェース418はRS−232またはRS−422インターフェースなどの従来のシリアルインターフェースである。外部端末412または他のコンピュータシステムがコンピュータシステム400に接続するとともに、インターフェース414を用いてコマンドをそれに提供する。コンピュータシステム400内で動作するファームウエアまたはソフトウエアは、外部コマンドをコンピュータシステムに与えることができるように端末インターフェースまたはキャラクタベースのコマンドインターフェースを提供する。
【0098】
切替システム416がバス402に結合されるとともに、入力インターフェース414と1つまたは複数の外部ネットワーク要素への出力インターフェース419とを有する。外部ネットワーク要素は1つまたは複数のホスト424に結合されたローカルネットワーク422、または1つまたは複数のサーバ430を有するインターネット428などのグローバルネットワークを含み得る。切替システム416は、周知の所定プロトコルおよび規則に従って、入力インターフェース414に届く情報トラフィックを出力インターフェース419に切り替える。例えば切替システム416は、プロセッサ404と協働して入力インターフェース414に届くデータのパケットの宛先を判断するとともに、出力インターフェース419を用いてそれを正しい宛先に送信することができる。宛先には、ホスト424、サーバ430、他の終端ステーション、もしくはローカルネットワーク422またはインターネット428内の他のルーティングおよび切替装置があり得る。
【0099】
本発明は、参照リソースの確率的解析に基づいて不要な電子メールメッセージを検出するコンピュータシステム400の使用に関連する。本発明の一実施形態によれば、参照リソースの確率的解析に基づいて不要な電子メールメッセージを検出することは、メインメモリ406に含まれる1つまたは複数の指示の1つまたは複数のシーケンスを実行するプロセッサ404に応じてコンピュータシステム400により提供される。このような指示が、記憶装置410などの他のコンピュータ読み取り可能媒体からメインメモリ406に読み込まれ得る。メインメモリ406に含まれる指示のシーケンスの実行は、プロセッサ404に本明細書に説明したプロセスステップを行わせる。多数の処理装置における1つまたは複数のプロセッサは、メインメモリ406に含まれる指示のシーケンスを実行するように採用されてもよい。代替実施形態において、配線接続された回路を、本発明を実施するソフトウエア指示の代わりにまたは組み合わせて用い得る。このように、本発明の実施形態は、ハードウエア回路およびソフトウエアの任意の特定の組み合わせに限定されない。
【0100】
本明細書に用いられる「コンピュータ読み取り可能媒体」という用語は、プロセッサ404に指示を提供して実行させることに関与する任意の媒体を指す。このような媒体は、不揮発性媒体、揮発性媒体、および伝送媒体をはじめとする多くの形態を取り得るがこれらに限定されない。不揮発性媒体には例えば記憶装置410などの光または磁気ディスクがある。揮発性媒体にはメインメモリ406などのダイナミックメモリがある。伝送媒体には、バス402を備えるワイヤをはじめとする同軸ケーブル、銅線および光ファイバがある。伝送媒体は、無線および赤外線データ通信中に生成されるものなどの音波または光波の形状を取ることもできる。
【0101】
コンピュータ読み取り可能媒体の一般的形状には、例えばフロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、磁気テープまたは任意の他の磁気媒体、CD−ROM、任意の他の光媒体、パンチカード、紙テープ、穴のパターンを有する任意の他の物理的媒体、RAM,PROMおよびEPROM、FLASH−EPROM、任意の他のメモリチップまたはカードリッジ、以下に説明する搬送波、またはコンピュータが読み取ることができる任意の他の媒体がある。
【0102】
様々な形状のコンピュータ読み取り可能媒体は、プロセッサ404に1つまたは複数の指示の1つまたは複数のシーケンスを搬送して実行させることに関与し得る。例えば指示は最初に遠隔コンピュータの磁気ディスクに保持され得る。遠隔コンピュータは、指示をダイナミックメモリにロードするとともに、モデムを用いて電話線により指示を送信することができる。コンピュータシステム400に対して局所的なモデムは電話線上のデータを受信するとともに赤外線送信器を用いてそのデータを赤外線信号に変換することができる。バス402に結合された赤外線検出器は、赤外線信号で搬送されるデータを受信するとともにそのデータをバス402上に置くことができる。バス402は、そのデータをメインメモリ406に搬送し、そこからプロセッサ404は指示を検索するとともに実行する。メインメモリ406により受信された指示は、場合によってはプロセッサ404による実行前または後に記憶装置410に格納され得る。
【0103】
通信インターフェース418は、ローカルネットワーク422に接続されたネットワークリンク420に2方向データ通信結合も提供する。例えば通信インターフェース418は、統合サービスデジタル網(ISDN)カードまたはデータ通信接続を対応するタイプの電話線に提供するモデムであり得る。他の例として、通信インターフェース418は、データ通信接続を互換性のあるLANに提供するローカルエリアネットワーク(LAN)カードであり得る。無線リンクも実施され得る。任意のこのような実施形態において、通信インターフェース418は、様々なタイプの情報を表わすデジタルデータストリームを搬送する電気、電磁または光信号を送受信する。
【0104】
ネットワークリンク420は、通例1つまたは複数のネットワークを介して他のデータ装置にデータ通信を提供する。例えばネットワークリンク420は、ローカルネットワーク422を介してホストコンピュータ424にまたはインターネットサービスプロバイダ(ISP)426により作動されるデータ装置に接続を提供し得る。そして、ISP426は、現在一般に「インターネット」428と称されるワールドワイドパケットデータ通信ネットワークを介してデータ通信サービスを提供する。ローカルネットワーク422およびインターネット428は、共にデジタルデータストリームを搬送する電気、電磁または光信号を用いる。デジタルデータをコンピュータシステム400との間で搬送する様々なネットワークを介する信号ならびにネットワークリンク420上および通信インターフェース418を介する信号は、情報を伝送する搬送波の例示的形状である。
【0105】
コンピュータシステム400は、ネットワーク、ネットワークリンク420および通信インターフェース418を介して、プログラムコードを始めとしてメッセージを送信するとともにデータを受信することができる。インターネット例において、サーバ430はインターネット428、ISP426、ローカルネットワーク422および通信インターフェース418を介してアプリケーションプログラム用の要求コードを送信し得る。本発明によれば、1つのこのようなダウンロードされたアプリケーションは、本明細書に説明したような参照リソースの確率的解析に基づいて不要な電子メールメッセージの検出を提供する。
【0106】
受信コードは受信されるとプロセッサ404により実行され、および/または記憶装置410または他の不揮発性記憶装置に格納されて後で実行され得る。このようにして、コンピュータシステム400は搬送波の形状でアプリケーションコードを獲得し得る。
【0107】
5.0 発展例および代替例
上記の明細書において特定の実施形態を参照して本発明を説明した。しかし本発明の広範な要旨と範囲とから逸脱することなく様々な変更および変形をなし得ることは明らかであろう。明細書および図面は従って限定的意味ではなく例示的意味で考えられるべきものである。
【図面の簡単な説明】
【0108】
【図1】実施形態を実施するために用い得る例示的ネットワーク配列を図示するブロック図である。
【図2A】受信メッセージ内のネットワークリソース識別子に基づいて確率フィルタをトレーニングする一実施形態の高水準概要を図示するフロー図である。
【図2B】受信メッセージがスパムであるかまたは脅威に関連するかをテストする一実施形態の高水準概要を図示するフロー図である。
【図2C】ネットワークリソース識別子をブロックリストに追加すべきかを判断する一実施形態の高水準概要を図示するフロー図である。
【図2D】ブロックリストをメッセージングゲートウェイに転送するとともにブロックリストを用いてメッセージをフィルタリングする一実施形態の高水準概要を図示するフロー図である。
【図3】ドメインネームシステム(DNS)サーバ内の記録を図示するブロック図である。
【図4】実施形態が実施され得るコンピュータシステムを図示するブロック図である。
【技術分野】
【0001】
本発明は、一般に、ネットワークデータ通信に関する。本発明は、特に、不要なもしくはスパム、ウイルスまたは他の脅威に関連する電子メールメッセージの処理に関する。
【背景技術】
【0002】
この項に説明する手法は実行可能であるが、必ずしも以前に考えられまたは実行された手法ではない。そのため、本明細書に示されない限り、この項に説明される手法は、本願の特許請求の範囲に対する従来技術ではなく、この項内に含まれることにより従来技術とみなされるものではない。
【0003】
不要なまたは未承諾(「スパム」)であるもしくはウイルスまたは「フィッシング」攻撃などの他の脅威を含む電子メールメッセージの送信者は、メッセージが不要または未承諾であり、ウイルスまたは他の脅威を含むという事実を隠蔽する方策を用いることが多い。そのメッセージは、件名、送信元(「From:」値)、および正当であるように見える他の要素を有し得る。加えて、メッセージは、電子システムがメッセージの意図を判断することを困難にするステップを取る場合がある。しかし、メッセージは、ハイパーリンク、ユニフォーム・リソース・インジケータ(URI)、ユニフォーム・リソース・ロケータ(URL)、もしくはスパム、ウイルスまたは他の脅威に関連する他のネットワークリソース識別子を含む場合がある。ユーザがそのようなメッセージ内のハイパーリンクを選択(「クリック」)すると、ユーザのブラウザは、ユーザを、ウイルス、アドウエア、またはスパイウエアを配信する有害なまたは望ましくないページに導き、またはユーザに個人情報または金融情報を開示するように促す、または広告またはポルノグラフィなどの望ましくないコンテンツをもたらす。
【0004】
他の場合には、URLはスパムエンジンにスパムメッセージの「成功」配信の報告を返す実行可能なコードまたはスクリプトにアクセスする。また他の場合には、URLはスパムが関係する商品を何でもクリックスルーマーケティングすることを意図している。
【発明の開示】
【発明が解決しようとする課題】
【0005】
その結果として、メッセージが受信された場合、メッセージコンテンツの典型的解析に基づいて脅威検出システムおよび他の解析ツールは、メッセージがスパムであるかまたは脅威に関連しているかを判断できないことが多い。
【課題を解決するための手段】
【0006】
参照リソースの確率的解析に基づいて不要な電子メールメッセージを検出する方法および装置が記載されている。以下の記述では、説明の目的のため、本発明の完全な理解を提供するために多数の詳細が記載されている。しかし、当業者には、本発明がこれらの詳細なしに実施され得ることは明らかであろう。他の例では、本発明を不必要に不明瞭にすることを回避するために、周知の構造および装置がブロック図の形状で示されている。
【0007】
本発明を、同様な参照番号が同様な要素を指す添付の図面の図内で、限定としてではなく一例として説明する。
【0008】
本明細書では以下の概要に従って実施形態を記載する。
【0009】
1.0 総括
2.0 構造および機能概要
2.1 例示的構造配列
2.2 機能概要
3.0 実施機構−ハードウエア概要
4.0 発展例および代替例
1.0 総括
以上の背景技術で認識されたニーズならびに以下の説明に対して明らかになるであろう他のニーズおよび目的は本発明で達成され、本発明は一態様において、過去の電子メールメッセージに含まれていた複数の第1のネットワークリソース識別子を備えるホワイトリストを検索するステップと、ホワイトリストから特定の第1のネットワークリソース識別子を検索するステップと、特定の第1のネットワークリソース識別子に対するプロパティの第1のリストを生成するステップと、プロパティを用いて確率フィルタをトレーニングするステップと、ホワイトリスト内の第1のネットワークリソース識別子のすべてに対して抽出、検索およびトレーニングするステップを繰り返すステップと、スパムまたは脅威に関連する過去の電子メールメッセージに含まれていた複数の第2のネットワークリソース識別子を備えるブロックリストを検索するステップと、ブロックリストから特定の第2のネットワークリソース識別子を検索するステップと、特定の第2のネットワークリソース識別子に対するプロパティの第2のリストを生成するステップと、プロパティを用いて確率フィルタをトレーニングするステップと、ブロックリスト内の第2のネットワークリソース識別子のすべてに対して抽出、検索およびトレーニングするステップを繰り返すステップとにより、参照リソースの確率的解析に基づいて不要な電子メールメッセージを検出する方法を含む。
【0010】
1つの特徴において、本方法は、第3のネットワークリソース識別子を受信するステップと、トレーニングされた確率フィルタを用いて第3のネットワークリソース識別子をテストするとともに、第3のネットワークリソース識別子がスパムまたは脅威に関連する確率を示す確率出力を受信するステップと、確率出力が第1の規定閾値より大きい場合、第3のネットワークリソース識別子をブラックリストに追加するステップとをさらに含む。
【0011】
他の特徴において、プロパティの第2のリストを生成するステップが、第2のネットワークリソース識別子のドメイン部分を抽出するステップと、ドメインネームシステムから抽出されたドメイン部分に関連する1つまたは複数のメール交換記録を検索するステップと、ドメインネームシステムからメール交換記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、平均評価スコア値が規定閾値未満である場合、ネットワークリソース識別子をブラックリストに追加するステップとを含む。
【0012】
さらに他の特徴において、ネットワークリソース識別子がユニフォーム・リソース・ロケータ(URL)である。
【0013】
さらに他の特徴において、プロパティの第2のリストを生成するステップが、第2のネットワークリソース識別子のドメイン部分を抽出するステップと、ドメインネームシステムから抽出されたドメイン部分に関連する1つまたは複数のネームサーバ記録を検索するステップと、ドメインネームシステムからネームサーバ記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、平均評価スコア値が規定閾値未満である場合、ネットワークリソース識別子をブラックリストに追加するステップとを含む。
【0014】
さらなる特徴において、本方法は、ブラックリストをネットワークに結合された複数のメッセージングゲートウェイ・アプライアンスに送信するステップをさらに含む。
【0015】
他の特徴において、ブラックリストが前に識別されたブロックリストとは別である。
【0016】
さらに他の特徴において、本方法は、ブラックリストのコピーをメッセージングゲートウェイで受信するステップと、メッセージングゲートウェイで、ユニフォーム・リソース・ロケータ(URL)を含む電子メールメッセージを受信するステップと、URLを抽出するとともに、URLがブラックリストのコピー内にあるかを判断するステップと、URLがブラックリストのコピー内にある場合、電子メールメッセージに関連する脅威スコア値を変更するステップとをさらに含む。
【0017】
本明細書において、脅威とは、ウイルス、フィッシング攻撃、およびファーミング攻撃のいずれかを含み得る。この文脈において、「フィッシング(phishing)攻撃」は、eメールなどの一見公式電子通信内で信頼できる人または企業になりすますことにより、パスワードおよびクレジットカード詳細などの機密情報を不正に取得しようとする試みにより特徴付けられる犯罪活動の形状を指す。この用語はユーザの金融情報およびパスワードを「釣る(fish)」ためのますます精巧なルアーの使用から生じている。「ファーミング」は、コンピュータユーザにサイトのドメインネームを取得させるとともに、例えばそのウェブサイトのトラフィックを他のウェブサイトに再指向させるDNSサーバソフトウエア内の脆弱性の利用を指す。
【0018】
他の態様において、本発明は、以上のステップを行うように構成された電子メールサーバ、他のコンピュータ装置およびコンピュータ読み取り可能媒体を包含する。
【発明を実施するための最良の形態】
【0019】
2.0 構造および機能概要
2.1 例示的構造配列
図1は、実施形態を実施するために用い得る例示的ネットワーク配列を図示するブロック図である。明瞭な例を図示する目的のため、本明細書では説明の一部はスパムメッセージに言及する。しかし、他の実施形態は、任意の形状のメッセージ感染脅威または問題を含むまたは関連するメッセージ、例えばスパムまたは未承諾メッセージ、「フィッシング」攻撃もしくは他の不正または有害なコンテンツを含むメッセージを扱う場合がある。そのように、本明細書の幅広い手法はスパムを扱うシステムに限定されない。さらに、実施形態は、「ハム」メッセージをテストすることができるとともに、そのようなメッセージがスパムではないまたは脅威と関連しないということを示す出力を提供する。
【0020】
ここで図1を参照すると、素性および場所が通例不明である脅威送信者100は、公衆(public)ネットワーク102に直接または間接的に結合されているとともに、通例電子メッセージまたはeメールでメッセージを公衆ネットワークに送信する。メッセージは、複数の受信者または専用(private)ネットワーク110内のコンピュータ120A、120B、120Cのユーザ、脅威情報ソース104および脅威トラップ106のアカウントなどの宛先に宛てられる。メッセージはスパムを備え、ウイルスなどの脅威を含み、またはスパムコンテンツを表わすもしくは迷惑または有害であるネットワークリソースのネットワーク識別子を含む。
【0021】
脅威情報ソース104は、メッセージ署名、ブラックリスト、ホワイトリスト、またはスパムまたは有害であるメッセージまたはメッセージの送信者を識別する他の情報のネットワークアクセス可能ソースを含む。追加的にまたは代替的に、脅威情報ソース104は、ワールドワイドウェブ(World Wide Web)上のドメイン「spamcop.net」でアクセス可能なスパムコップ(SpamCop)情報サービス、またはスパムコップ(SpamCop)サービスのユーザを含み得る。スパムコップ(SpamCop)は、スパム、ハムおよび確率スコアに関連するURL、ホストネームおよびIPアドレスを追跡するためのデータベースを含む。
【0022】
脅威情報ソース104は、1つまたは複数のインターネットサービスプロバイダまたは他の大量メール受信者により所有、動作または管理されるサービスまたはデータベースを含み得る。
【0023】
他の代替実施形態において、本明細書の自動的手法に対する補完として、脅威情報ソース104は、情報サービス相談者または解析者により得られるデータの手による検査もしくは外部ソースを含み得る。例えばスパム対策ベンダー、ウイルス対策ベンダー、第三者ベンダー、スパム対策メーリングリストまたはウイルスメーリングリスト、スパムトラップまたは脅威トラップデータおよび他のソースからの警告を監視している人間の管理者が、ほとんどの場合スパム対策ソフトウエアまたは処理ルールへの更新が公開される前にスパムを良好に検出することができる。
【0024】
脅威トラップ106は、スパムを備えるまたは脅威に関連するeメールメッセージに関する情報を収集する専用のeメールアドレス、アカウントまたはメールボックスである。単純な例を図示する目的のため、図1は、脅威情報ソース104および脅威トラップ106の形状の2つの宛先のみを示すが、特定の実施形態において、任意の数のこのようなスパム情報ソースがあり得る。
【0025】
脅威送信者100は、コンピュータ120A、120B、120Cおよび脅威トラップ106のネットワークアドレスを、公衆ソース、購入eメールアドレスリスト、オンラインポスティング等から取得し得る。
【0026】
脅威情報プロセッサ108は、公衆ネットワーク102に通信可能に結合されているとともに、脅威情報ソース104および脅威トラップ106から情報を受信することができる。脅威情報プロセッサ108は、脅威情報ソース104および脅威トラップ106からスパムおよび脅威情報を収集すること、スパムおよび脅威発生情報を生成すること、およびデータベース112内に発生情報を格納することを含む、本明細書にさらに記載するある機能を実施する。
【0027】
ネットワークリソース150およびウェブサイト152が公衆ネットワーク102に結合されている。ネットワークリソース150は、ネットワークアクセス可能な実行可能コンピュータプログラムコード、スクリプト、または他のソフトウエア要素を備え得る。ネットワークリソース150は、ウェブサイト152、ファイルサーバ、または任意の他のネットワークアクセス可能な情報リソースも含み得る。様々な実施形態において、ネットワーク102に結合された任意の数のネットワークリソース150およびウェブサイト152があり得る。この明細書において、「ネットワークリソース識別子」という用語は任意の種類のネットワークリソースを識別する任意のデータを広く指し、そのため「ネットワークリソース識別子」はURL、URI、ハイパーリンク、ドメインネーム、ホストネーム等であり得る。
【0028】
1つまたは複数のドメインネームサービス(DNS)サーバ160が公衆ネットワーク102に結合されている。各DNSサーバ160は、ドメインネームを、IPアドレスなどのネットワークアドレス、ドメインネームに関連するメール交換(MX)サーバのネーム、ネームサーバ記録等に分解するために用いることができるDNS記録を記憶する。
【0029】
現存のパブリックURIブロックリスト140が公衆ネットワーク102に結合されている。ブロックリスト140は、一般に、スパムメッセージで公表されたユニフォーム・リソース・インジケータ(URI)のリストを含む。一実施形態において、ブロックリスト140は、他のブロックリストの一群、スパムメッセージで見つかるすべての対象ドメインを含む。ブロックリスト140における情報にはDNSルックアップを用いてアクセスすることができるが、それにはインターネット接続が必要であるとともに結果を得るために比較的長い待ち時間を有する。一実施形態では、ブロックリスト140はリストの一群を含むため、ブロックリスト140からの各出力入力にはドメインが現れたリストを示すビットマスクが標識付けされている。
【0030】
メッセージングゲートウェイ107が、公衆ネットワーク102と複数の終端ステーション120A、120B、120Cを含む専用ネットワーク110との間に、ファイアウォール111または他のネットワーク要素を介して直接または間接的に結合されている。メッセージングゲートウェイ107は、eメールを専用ネットワーク110用に処理するメール転送エージェント109と一体化されていてもよく、またはメール転送エージェントは別に配置されていてもよい。例えばカリフォルニア州サンブルーノ(San Bruno,California)のアイアンポート・システムズ社(IronPort Systems Inc.)から市販されているアイアンポート メッセージングゲートウェイ・アプライアンス(IronPort Messaging Gateway Appliance)(MGA)、例えばモデルC60、C30、C10、X1000等は、メール転送エージェント109、ファイアウォール111、およびメッセージングゲートウェイ107に対して本明細書に記載された機能を実施し得る。
【0031】
一実施形態において、メッセージングゲートウェイ107は、脅威情報プロセッサ108からウイルス発生情報を得るとともにメッセージングゲートウェイに設定されたポリシーに従って終端ステーション120A、120B、120C宛てのメッセージを処理する、メッセージウイルス情報ロジック114を含む。このようなウイルス情報ロジックは、メッセージングゲートウェイ107のコンテンツフィルタ機能と一体化されていてもよい。
【0032】
メッセージングゲートウェイ107は、クラム(Clam)AVなどのウイルス対策チェッカー116、コンテンツフィルタ118、およびスパムアサシン(SpamAssassin)モジュールなどのスパム対策ロジック119も含み得る。ウイルス対策チェッカー116は、例えばソフォス(Sophos)ウイルス対策ソフトウエアを含み得る。コンテンツフィルタ118は、専用ネットワーク110に関連するポリシーに従ってメッセージ件名またはメッセージ本文内に容認不可能なコンテンツを含むメッセージの配信または受理を制限するロジックを提供する。スパム対策ロジック119は、着信メッセージをスキャンしてメール受理ポリシーに従ってそれらが不要であるか、例えば着信メッセージが未承諾商用eメールか否かを判断するとともに、スパム対策ロジック119は、ポリシーを適用して任意の不要なメッセージの配信、転送の制限または受理の拒否を行う。スパム対策ロジックは、禁止された送信者を識別するローカルブラックリスト、またはスパムメッセージに公表されたネットワークリソースの識別子(例えばネットワークリソース150、ウェブサイト152)と通信し得る。
【0033】
本明細書で用いられる「メールサーバ」という用語は、メッセージングゲートウェイ107、メール転送エージェント、メール交換、および電子メールメッセージを受信および転送する任意の他のデータ処理ユニット、サーバ、ソフトウエア、またはシステムを含む。
【0034】
専用ネットワーク110は、企業に関連する企業ネットワークもしくは強化セキュリティまたは保護が望ましい任意の他のネットワーク形態であり得る。公衆ネットワーク102および専用ネットワーク110は、通信のためにTCP/IPなどのオープンスタンダードプロトコルを用い得る。
【0035】
脅威情報ソース104は、他の専用ネットワークを保護する目的のために公衆ネットワーク102と他の専用ネットワーク(明瞭化のため図示せず)との間に介在するメッセージングゲートウェイ107の他の例を含み得る。一実施形態において、脅威情報ソース104はアイアンポート(IronPort)MGAである。
【0036】
脅威トラップ106は、1つまたは複数のドメインと関連する1つまたは複数のeメールアドレスまたはeメールメールボックスと関連している。脅威トラップ106は、解析または報告のため未承諾eメールメッセージまたは「スパム」を受信する目的のために設置されているが、通例従来のeメール通信には用いられない。例えばスパムトラップは、「dummyaccountforspam@mycompany.com」などのeメールアドレスであり得るか、またはスパムトラップは受信eメール情報が提供されるMXタイプDNS記録に分類されるeメールアドレスの一群であり得る。メール転送エージェント109または他のアイアンポート(IronPort)MGAのメール転送エージェントは脅威トラップ106をホストとして動作する。
【0037】
一実施形態において、脅威情報ソース104は、コンピュータウイルス発生を管理する際に用いる情報を生成するとともに脅威情報プロセッサ108に提供し、さらに、脅威情報プロセッサ108は、同じ目的のため脅威トラップ106から情報を得ることができる。例えば脅威情報ソース104は、不審な添付ファイルを有する受信メッセージを数えるとともに、その計数を脅威情報プロセッサ108に提供するか、または外部プロセスが計数を検索するとともにそれらを特定のデータベースに格納することを可能にする。メッセージングゲートウェイ107は、ウイルスに関連する表示を有するかさもなければ不審であるメッセージを検出する、特定の期間に受信した不審なメッセージの計数を行う、およびその計数を脅威情報プロセッサ108に定期的に提供することによりウイルス情報ソースとしても役立ち得る。
【0038】
具体例として本明細書に記載された機能は、総合的メッセージデータ収集および報告設備、例えばアイアンポート・システムズ社(IronPort Systems Inc.)のセンダーベース(SenderBase)サービスの一部として実施され得る。この実施形態において、脅威情報プロセッサ108は、脅威情報ソース104および脅威トラップ106から情報を検索するかまたは受信し、スパム対策ロジック119によりスパムであると判断されるもしくは不審な添付ファイルまたはウイルス対策チェッカー116により示されるようなウイルス識別子を有するメッセージの送信者に対する評価スコアを生成し、さらにウイルス情報ロジック114およびメッセージングゲートウェイ107のスパム対策ロジック119による後の検索ならびに利用のため、データベース112を評価スコアで更新することができる。
【0039】
脅威情報プロセッサ108は、メッセージを解析するとともにメッセージングゲートウェイ107または専用ネットワーク内に配置されたまたは公衆ネットワーク102に結合された他のメッセージングゲートウェイにより用いることができる情報を生成する、1つまたは複数のサーバ、システムまたはサービスを含む。脅威情報プロセッサ108は、脅威オペレーションセンター(TOC)、受信ウイルススコア(RVS)プロセッサ、または両方を含むまたは通信可能に結合可能である。TOCおよびRVSプロセッサは、脅威情報プロセッサ108から分離し得るが、データベース112または公衆ネットワーク102に通信結合され得る。1日24時間、週7日間対応可能な人員を有し、脅威情報プロセッサ108によって収集されるとともにデータベース112に記憶された情報を監視する人員配置されたセンターとしてTOCを実施することができる。TOCに詰める人員は、脅威情報ソース104からの新しい情報を解析する、脅威トラップ106において受信したメッセージを検査する、スパム対策ルールを作成する、ウイルス対策ルールを作成する、ウイルス発生警報を発する、データベース112内に記憶された情報を更新する、ウイルス発生情報を公表してメッセージングゲートウェイ107がウイルス発生情報にアクセスできるようにする、およびそのメッセージングゲートウェイおよび他のメッセージングゲートウェイへのウイルス発生情報の送信を手動で作動させるなどの手作業を行うことができる。
【0040】
一実施形態において、脅威情報プロセッサ108は、図2A〜図3に関連して本明細書に記載された機能を実施する1つまたは複数のコンピュータプログラムまたは他のソフトウエア要素を備えるネットワーク識別子解析ロジック130を含む。
【0041】
一実施形態において、脅威情報プロセッサ108は、スパムを備えることが分かっているまたは脅威を担持することが分かっているメッセージのコピーまたは属性を蓄積する1つまたは複数の信頼されるブラックリストを含むまたはそこから情報を受信する。脅威情報プロセッサ108はブラックリストをホストとして動作し、外部ブラックリストに問い合わせる、またはメッセージングプロトコルを介してブラックリスト情報を得ることができる。
【0042】
ある実施形態において、データベース112はコーパスと呼ばれるとともに、ウイルスを含むまたは含まないスパムまたはそうではないとして明確に分類された、もしくは他の特定の脅威に対して分類されたメッセージを含む脅威情報プロセッサ108のデータベースを含む。このように、コーパスは、今後のメッセージがスパムであるか脅威を含むかを示すルールまたは他の基準を判断するために用いることができる履歴メッセージ情報の信頼されるレポジトリを表わす。メッセージは、脅威トラップ106などの自動ソースからおよびメッセージングゲートウェイ107からの報告からコーパスに入る。メッセージは、人間の分類システムからも入り、そのため、解析者は、メッセージまたはURLを受信するとともにそのメッセージまたはURLがデータベース112内のホワイトリストまたはブラックリストに付加されるべきであると判断し得る。コーパスは、アバターを用いて公衆ネットワーク102に入るとともに分類用メッセージを取得し得る。
【0043】
一実施形態において、データベース112は以下のメッセージに対する属性値を記憶し得る。
【表1−1】
【表1−2】
一実施形態において、脅威情報プロセッサ108はブロックリスト142を含む。一実施形態において、ブロックリスト142は、パブリック送信者URIブロックリスト140の局所的に管理されたコピーまたはミラーであり得る。ブロックリスト140のミラーリングは、ブロックリスト140がネットワーク停止または不具合に直面しても、脅威情報プロセッサ108が連続的に利用可能なURIブロックリスト情報を有することができるようにする。一実施形態において、ブロックリスト142はデータベース112に一体化されてもよい。
【0044】
一実施形態において、脅威情報プロセッサ108は、HTTPサービス132を含み、HTTPサービス132は、HTTP要求を発してネットワークリソース150のコピー、ウェブサイト152からの情報、またはHTTPサーバに記憶されている他のネットワークアクセス可能情報を得ることができる。
【0045】
一実施形態において、脅威情報プロセッサ108は評価スコアサービス136を含み、評価スコアサービス136は、データベース112に記憶されたメッセージに対する評価スコア値を判断するとともに新しいメッセージが受信されると同時にデータベースをスコア値で更新することができる。評価スコア値は、送信者が送信したことが分かっている過去のメッセージに基づいてまたはメッセージ要素を含む過去のメッセージに基づいて、メッセージ送信者またはメッセージ要素がスパムメッセージまたは脅威を含むメッセージに関連するかを表わす。一実施形態において、評価スコア値は、不良評価もしくはスパムまたは脅威を有するメッセージの頻繁且つ不断の送信を示す(−10)から良好な評価を示す(+10)に及ぶ。
【0046】
一実施形態において、脅威情報プロセッサ108は、ソフトウエア・コンポーネント内で実施される1つまたは複数のトレーニングデータベースまたは確率フィルタ134を含む。追加的にまたは代替的に、ネットワーク識別子解析ロジック130および確率フィルタ134は、メッセージングゲートウェイ107内のスパム対策ロジック119の一部として、またはメッセージングゲートウェイのスパム対策ロジック用のプラグインソフトウエア・コンポーネントの形状で実施され得る。確率フィルタ134はベイジアン(Bayesian)フィルタであってもよい。確率フィルタ134の使用は次の項にさらに記載されている。
【0047】
2.2 機能概要
一般に、電子メッセージを処理する方法の一実施形態は、メッセージを受信することと、メッセージ内の1つまたは複数のネットワークリソース識別子を識別することと、ネットワークリソース識別子により参照されるリソースへのネットワーク接続を確立することと、参照リソースを検索することと、参照リソースを評価することと、参照リソースに基づいてメッセージが脅威を含むかスパムを表わすかを判断することとを含む。
【0048】
一実施形態において、リソースは、それらがスパム送信者にランレンするかを判断するベイジアン解析などの確率的解析を受ける。一般に、ベイジアン解析は、観察された分布に基づいて基本的な分布のパラメータを確立する統計的手法である。解析は、パラメータの相対的尤度または非ベイジアン観察の結果の査定を始めとする、任意の関連データに基づき得る「事前分布」で始まる。実際には、事前分布に対する適当な範囲の値にわたり均一な分布を査定することが普通である。
【0049】
事前分布を考えると、プロセスはデータを収集して観察分布を得る。そして、このプロセスは、観察分布の尤度をパラメータ値の関数として算出し、この尤度関数に事前分布を掛け、さらにその結果を正規化してすべての可能な値にわたり、事後確率分布と称される単位確率を得る。そして、分布のモードは、パラメータ推計であるとともに、標準的手順を用いて「確率区間」(ベイジアン・アナログ信頼区間)を算出することができる。ベイジアン解析において、結果の妥当性は事前分布の妥当性に依存し、統計的に査定することができない。
【0050】
他の手法において、eメールメッセージ内のホストネーム参照は、例えばDNSルックアップを用いてIPアドレスに分解される。これらの手法の両方を用いて、データベース112に保持されているブラックリストに追加されるまたはブロックリスト142に更新されるべきネットワークアドレス、例えばIPアドレスを識別してもよい。
【0051】
他の手法において、メッセージ本文内のURLから抽出されたホストネームはIPアドレスにマッピングされる(例えばDNSを用いて)。その結果得られるIPアドレスは1つまたは複数のブラックリスト内で探索される。同時に、評価スコアが生成されるとともに、低評価スコアとそのIPアドレスがブラックリストに載っているという表示との組み合わせを用いて、関連するURLもブラックリストに載せるべきか否かを判断する。
【0052】
この手法を、メッセージが以前にスパムであると判断されたか否かに関係なくコーパス内にあるすべてのメッセージに適用することができる。
【0053】
本明細書の他の手法において、メッセージは受信されてコーパス内に格納される。それらのメッセージは手動で審査されてハムまたはスパムとして印される。メッセージ内で参照された1つまたは複数のURLが識別されるとともに、1つまたは複数のホストネームがURLから抽出される。エージェントはメッセージ本文内のURLを得るためにウェブページを検索する。エージェントは、ドメインに対するドメインネーム登録機関「フーイズ」記録を探索し得るとともに、抽出されたドメインネームにおけるルートページを検索し得る。スパム対策サービスにより調査中であるという信号をウェブサーバの所有者またはオペレータに送り得る、同じページを頻繁に検索することを回避するように予防策を取ってもよい。
【0054】
検索データはトークン化されるとともに、そのトークンを用いて確率スパム検出エンジンまたはフィルタをトレーニングする。その結果、確率フィルタは、あるトークンの有無に基づいてどのメッセージがスパムを表わすか表わさないか認識することをトレーニングされる。例えばスパム送信者は、繰り返しスパム活動において同様な出現ドメインネームを用いる場合があり、またはウェブページ検索動作は、スパム送信者が偽のURLを送信しているまたは表示されたURLにおけるウェブページがまだ開設されていない場合に発生する可能性があるHTTP404エラー(ページが見つからない)を生じることになり、またはウェブページ内のコンテンツがスパムソースに関連していることが既知であるプロダクトを広告しようとする場合がある。
【0055】
トレーニングフェーズ後、新たに検索されたメッセージは、確率フィルタにより処理されるとともに、高確率スコアを生じるそれらのメッセージに関連するIPアドレスがブラックリストに載せられる。
【0056】
一実施形態において、メッセージングゲートウェイ107は、脅威情報プロセッサ108に定期的に問い合わせを行って、スパム対策ロジック119で用いるためのスパム対策更新を要求する。脅威情報プロセッサ108は、ブロックリスト142から形成されるとともにデータベース112内で管理される内部ホワイトリストおよびブラックリストとしてURLブラックリストを生成する。その結果得られるURLブラックリストは、単独でまたはメッセージングゲートウェイの他の要素用の他の更新と一緒にメッセージングゲートウェイ107に送信される。
【0057】
一実施形態において、URLブラックリストは、形状(ホストネーム。ビットマスク)のタプルのリストを備えるパール(Perl)SDBMファイルとしてメッセージングゲートウェイ107に送信される。リストはホワイトリストに載っていないホストネームを含む。使用時には、他のリストエントリのための「ワイルドカード」ホワイトリストエントリである任意のリストエントリはそのエントリに勝つことになる。例えばfoo.bar.comがブラックリストに載っているとともに、「*.bar.com」がホワイトリストに載っていると仮定する。その結果、foo.bar.comはメッセージングゲートウェイ107に送信される最終的なブラックリストに現れない。「bar.com」のみがホワイトリストに載っている場合にも同じ結果が生じる。
【0058】
ここで図2A、図2B、図2C、および図2Dを参照して機能例を説明する。図2Aは、受信メッセージ内のネットワークリソース識別子に基づいて確率フィルタをトレーニングする一実施形態の高水準概要を図示するフロー図であり、図2Bは、受信メッセージがスパムであるかまたは脅威に関連するかをテストする一実施形態の高水準概要を図示するフロー図であり、図2Cは、ネットワークリソース識別子をブロックリストに追加すべきかを判断する一実施形態の高水準概要を図示するフロー図であり、図2Dは、ブロックリストをメッセージングゲートウェイに転送するとともにブロックリストを用いてメッセージをフィルタリングする一実施形態の高水準概要を図示する。
【0059】
まず図2A、区分(1)を参照すると、ステップ202において第1のネットワークリソース識別子のホワイトリストのコンテンツが検索される。一実施形態において、脅威情報プロセッサ108はURIホワイトリストを生成するとともに管理する。代替的には、パブリックURIホワイトリストを用いることができる。ステップ202のホワイトリストおよび以下にさらに説明するステップ210のブロックリストは、機械により生成または人間により生成され得る。後者のフィルタリング動作を適正に実行するためには、ホワイトリストおよびブロックリストは非常に正確でなければならない。この文脈において、「ホワイトリスト」は、ネットワークアドレス、IPアドレス、ドメインネーム、または概してスパムまたは脅威に関連していなかった他のネットワークリソース識別子のリストを指す。
【0060】
ステップ204において、特定の第1のネットワークリソース識別子がホワイトリストから検索される。
【0061】
ステップ206において、検索された第1のネットワークリソース識別子に対するプロパティまたはトークンのリストが生成される。この文脈においてネットワークリソース識別子の「プロパティ」例には、例えばネーム、IPアドレス、サーバ等などのネットワークリソース識別子に基づいたDNSクエリーから得られる情報、ウェブページ、ネットワークリソース識別子が用いているサーバソフトウエア、ネットワークリソース識別子に含まれるドメインネームに対するドメインネーム所有者およびネットワークブロック所有者の両方に基づいて「フーイズ」クエリーから得られる情報、ならびにURIおよび/またはドメインネームから抽出されたワード(例えばドメインネーム「bluepillorders.com」に対して、抽出されたワードは「blue」、「pill」および「orders」を含むこともあり得る)を含み得る。
【0062】
一実施形態において、ステップ206は、ウェブページまたは特定のネットワークリソース識別子により識別される他のネットワークリソースのコピーを検索することを含む。例えば脅威情報プロセッサ108のHTTPサービス132は、HTTP GET要求を生成するとともに発して、上述の抽出されたURLにおけるリソースをダウンロードする。抽出されたURL識別子がアクティブなオンラインウェブサイト152または他のネットワークリソース150を識別すると仮定すると、ウェブページまたは他のリソースのコピーがHTTP GET要求に応じて受信される。
【0063】
ネットワークリソース識別子に関連するプロパティは、トークンのリストまたはストリームに変換され、各トークンはプロパティの個々の部分である。例えばトークンは、文字列、ワード、テキストブロック、グラフィックイメージ、URL、フレーム、または他のページ要素を含み得る。コピーをトークンに変換することは、記憶されたコピーをスキャンすることと様々なタイプのデリミタを識別することとを含み得る。
【0064】
ステップ208において、データベース218をトレーニングすることにより表わされる確率フィルタは、トークンを用いてトレーニングされる。例えば確率フィルタ134には、トークンおよびトークンが「既知の良好な」ネットワークリソース識別子に関連することを示す情報が供給される。トレーニング中に脅威情報プロセッサの管理者または他の信頼されるユーザが確率フィルタ134に、特定のネットワークリソースおよびプロパティが実際にスパムまたはメッセージ脅威に関連するか否かについて知らせる。代替的には、ステップ208は、一組の他のネットワークリソース識別子プロパティが「良好」もしくはスパムまたはメッセージ脅威に関連しないネットワークリソース識別子を示す確率を生成するためにのみ用いられる確率フィルタをトレーニングすることを含み得る。
【0065】
図2Aの区分(2)に示されたステップ210から216はステップ202から208に対応するが、ステップ210から216は第2のネットワークリソース識別子のブロックリストに現れるネットワークリソース識別子に基づいて確率フィルタをトレーニングする(例えばデータベースをトレーニングする218)。例えばブロックリスト140に現れるURIをステップ210から216のトレーニングに用い得る。図2Aの区分(1)および(2)を独立して実行することができるが、両方とも通例同じトレーニングデータベースまたは確率フィルタをトレーニングする。その結果、確率フィルタは、後に得られる他のネットワークリソース識別子がスパムまたはメッセージ脅威と関連しそうな確率を正確に生成するようにトレーニングされる。
【0066】
このように、従来の手法とは異なり、確率フィルタは、メッセージヘッダまたは本文に現れているワードに関してではなく、ブロックリストおよびホワイトリストに現れるとともにメッセージ内で参照できるネットワークリソースのコンテンツに関してトレーニングされる。その結果、確率フィルタ134は、ネットワークリソース内に現れている特定のテキスト、イメージ、グラフィックスまたは他の文書要素がコンピュータによる脅威を含むまたは配信するスパムメッセージまたはネットワークリソース内で参照されるという確率を示す記憶情報を取得する。
【0067】
その結果として新しいメッセージが後で受信されるが、確率フィルタがトレーニングされた同様なコンテンツを示す、異なるURLを含む場合、確率フィルタは、その新しいメッセージをスパムとしてまたは脅威に関連すると正しく識別することになる。スパムのスパム送信者は、ドメインネームを迅速に変更し得るがそれらのドメインにより配信されるコンテンツを変更しないため、この手法は非常に有用である。そのため、本明細書に提案されたコンテンツの確率解析は、システムに非ブラックリスト掲載URLがどのくらいスパムまたは脅威に関連されるかを判断させることができる。
【0068】
他の実施形態において、確率フィルタ内で、確率値が、ネットワークリソース識別子およびトークンを識別する情報またはメッセージ内で参照されるネットワークリソースの他のコンテンツ要素の両方と関連して記憶されている。この手法において、後続のテストまたはフィルタリングは、ネットワークリソース識別子のみを確率フィルタに提示することと、そのネットワークリソース識別子がスパムまたは脅威に関連するかを示す対応確率値を受信することとを含むことができる。その結果、各後続テストまたはフィルタは、必ずしもネットワークリソースの他のコピーを検索する必要がない。
【0069】
さらに、確率フィルタ134は、メッセージ自体ではなくメッセージ内で参照されるネットワークリソースのコンテンツに基づいてトレーニングされるため、確率フィルタは、無害のテキストを有するが「フィッシング」攻撃または脅威を配信する埋め込みハイパーリンクを含むメッセージのフィルタリングに失敗する可能性が低い。
【0070】
ステップ202〜208は、ホワイトリスト内に現れる任意の数のネットワークリソース識別子に対して繰り返され得る。同様に、ステップ210〜216は、ブロックリスト内に現れる任意の数のネットワークリソース識別子に対して繰り返され得る。
【0071】
ここで図2Bを参照すると、ステップ210において、第3のネットワークリソース識別子に関して情報が受信される。一実施形態において、ステップ210において、脅威情報プロセッサ108は、メッセージングゲートウェイ107から、メッセージングゲートウェイが特定のネットワークリソース識別子を含む1つまたは複数のメッセージを受信したということを示す通信を受信する。例えばその通信は、脅威情報プロセッサ108に保持されているサーバへのDNSクエリーを介して発生し得る。追加的にまたは代替的に、脅威情報プロセッサ108は、「センダーベース・ネットワーク・パーティシペーション(SenderBase Network Participation)」プロトコルでメッセージングゲートウェイ107にリンクされており、そのプロトコルによりメッセージングゲートウェイはメッセージングゲートウェイが処理したデータを定期的に報告することができる。
【0072】
代替的に、ステップ210は、1つまたは複数のネットワークリソース識別子を含むメッセージを実際に受信することを含み得る。明瞭な例を図示する目的のため、受信メッセージの本文が表1に示したテキストを含むと仮定する。
【0073】
表1−例示的受信メッセージ
できる限りよいサービスを提供するために、弊社オンライン支払いサービス(Online Payment Services)ではお客様の口座情報を弊社に確認していただく必要があります。口座情報を確認なさらない場合には、弊社はお客様の口座を無効にすることになります。口座詳細をご提供いただくにはここをクリックしてください。http://onlinepayment.phishingscam.com
ありがとうございました!
メッセージの外見にかかわらず、このメッセージは、オンライン支払いサービス(Online Payment Services)により認証されたものではないとともに、このメッセージ内のURL(http://onlinepayment.phishingscam.com)は、不正または迷惑目的のためにユーザ口座データを収集するサーバにアクセスする。明瞭な例を図示する目的のため、表1のメッセージは1つのURLを含むが、各々任意の数のURLまたは他のネットワークリソース識別子を含む任意の数のメッセージが本明細書に記載する手法で用いられ得る。
【0074】
ステップ210は、通例確率フィルタ134がトレーニングされた後ある時に行われる。このように、図2Bは、確率フィルタ134が、メッセージ内で参照されるネットワークリソースのコンテンツがスパムであるかまたは脅威に関連する確率によりトレーニングされていることを前提としている。
【0075】
ステップ211において、プロパティのリストが第3のネットワークリソース識別子に対して生成される。プロパティは、ステップ206に対して上述した同じタイプの情報に基づくトークンを含み得る。
【0076】
ステップ212において、トレーニングされた確率フィルタを用いて第3のネットワークリソース識別子のプロパティがテストされるとともに、ステップ214において確率出力が受信される。
【0077】
ステップ216において、確率値がテストされて、それがスパムまたは脅威を示す閾値より大きいかを判断する。受信された確率が閾値より大きい場合には、ステップ218において、第3のネットワークリソース識別子はブロックリストに追加される。一実施形態において、「フィードバックループ」効果を防止するために、ステップ218は、ネットワークリソース識別子を、図2Aのステップ210〜216のトレーニングに用いられるブロックリスト以外のブロックリストに追加することを含む。別のローカルブロックリスト、ブロックリスト142またはデータベース112内の専用ブラックリストのいずれかを用いてもよい。その後、ブロックリストがメッセージングゲートウェイ107に送信されると、図2Dに対して以下にさらに説明するように、メッセージングゲートウェイは、同じネットワークリソース識別子を含むメッセージの配信をブロックすることができる。
【0078】
ステップ218は、脅威情報ソース104またはブロックリスト140などの外部情報サービスに、ネットワークリソース識別子がスパムまたは脅威に関連するということを報告することを含むことができる。
【0079】
図2A、図2Bにおいて処理されたプロパティは、評価ベースの情報を含むことができる。ここで図2Cを参照すると、一手法において、ステップ217で第3のネットワークリソース識別子が受信されると、ステップ219で第3のネットワークリソース識別子のドメインネーム部分が抽出される。ネットワークリソース識別子が「http://onlinepayment.phishingscam.com」である場合には、ステップ219において、ドメインネーム部分「phishingscam.com」が抽出される。
【0080】
ステップ220において、ドメインネームに対するMXまたはNS記録がDNSシステムから検索される。例えば脅威情報プロセッサ108のネットワーク識別子解析ロジック130は、DNSクエリーをDNSサーバ160に発行して、抽出されたドメインネームに対するMX記録を得る。図3に示すように、DNSサーバ160は複数組のMX記録162と、複数組のNS記録164と、複数組のA記録166とを記憶している。特定のドメインネームは、記録の0、1、2または3つのすべてのタイプの中から見出せ得る。すべての正当な登録ドメインネームは、少なくとも、関連するIPアドレスをマッピングするA記録を有する。メール交換またはメールサーバを管理するドメインはMX記録を有することになる。ネームサーバを管理するドメインはNS記録を有することになる。
【0081】
DNSサーバ160は、MX記録のコピーまたはMX記録が見つからなかったことを示す応答を返信する。MX記録が見つからない場合には、ドメインネームに対するA(アドレス)記録が要求される。代替的には、ネームサーバ(NS)記録が要求される。
【0082】
受信されたMX記録およびNS記録はサーバネームを識別する。ステップ222において、各受信記録に対してアドレス記録が検索される。例えば他のDNSクエリーが発行されて、各MX記録またはNS記録内に付与されたネームに対するA記録を得る。その結果、脅威情報プロセッサ108は抽出されたドメインネーム部分に関連するネットワークアドレス(IPアドレスなど)を取得する。
【0083】
ステップ224において、アドレス記録内の各アドレスに関連する評価スコアまたはブロックリスト状況が判断される。一実施形態において、アドレス記録からのIPアドレスを含むクエリーが評価スコアサービス136に対して発行され、評価スコアサービス136はそのIPアドレスに関連する評価スコア値で応答する。ドメインに関連する多数IPアドレスに対する多数のクエリーが送信されてもよい。同じメッセージ内で参照された複数のドメインのすべてに関連する多数のIPアドレスに対する多数のクエリーが送信されてもよい。その結果得られる評価スコア値は例えば平均を演算することにより組み合わせられ得る。代替的には、ステップ224はアドレスをブロックリストと照合することを含む。
【0084】
平均評価スコアが特定の閾値未満である場合には、またはステップ226でテストされる際アドレスがブロックされる場合には、ステップ228でそのネットワークリソース識別子がブロックリストに追加される。ステップ219と同様に、別のブロックリストを用いてフィードバック効果を防止してもよい。代替的には、制御はステップ230で戻って他のメッセージ処理または動作を行う。
【0085】
このように、図2Cの手法はメッセージ内に見つかったネットワークリソース識別子と関連する評価値に基づいて、評価サービスから得た情報を特定のメッセージがスパムであるかまたは脅威に関連するか否かの判断と統合可能にする。
【0086】
メッセージングゲートウェイ107またはメールサーバは、参照ネットワークリソース識別子に基づいて、前の手法で展開された情報を用いてスパムであるかまたは脅威に関連するメッセージをフィルタリング、ブロックまたはポリシーを適用し得る。ここで図2Dを参照すると、ステップ240においてメッセージングゲートウェイから更新ブロックリストに対するクエリーが受信される。このように、一実施形態において、メッセージングゲートウェイ107は脅威情報プロセッサ108に更新ブロックリストが利用可能であるかについて定期的に問い合わせる。ステップ242において、更新ブロックリストがメッセージングゲートウェイに送信される。ステップ242は、データベース112および/またはブロックリスト142のコンテンツに基づいてブロックリストを生成することを含み得る。
【0087】
ステップ244において、更新ブロックリストが局所的に格納される。例えばメッセージングゲートウェイ107は、受信した更新ブロックリストに基づいてローカルブラックリスト117を格納する。
【0088】
ステップ246において、ネットワークリソース識別子を含む新しいeメールメッセージが例えばメッセージングゲートウェイ107においてが受信される。そのメッセージがスパム対策ロジック119に提供される。ステップ248で1つまたは複数のネットワークリソース識別子がメッセージから抽出される。スパム対策ロジック119が抽出を行い得る。ステップ250でテストが行われて抽出されたネットワークリソース識別子がブロックリストに見つかるかを判断する。
【0089】
そうであれば、ステップ252においてメッセージングゲートウェイ107はテスト250の真の結果に基づいて脅威スコア値を変更する。このように、図2Dがスパム対策スキャンの状況で実施される場合、ステップ252はステップ246のメッセージが「スパムのよう」らしいことを示すスパムスコア値を生成することを含み得る。
【0090】
抽出されたネットワークリソース識別子がブロックリストに見つからない場合には、ステップ254において、メッセージングゲートウェイ107は、他のメッセージ処理、例えばウイルス対策スキャン、コンテンツフィルタリング、ポリシー強化等を行うことができる。
【0091】
2.3 プラグイン実施形態
一実施形態において、本明細書の手法は、メッセージングゲートウェイ107内のスパム対策ロジック119に対するソフトウエアプラグインで実施される。一般に、このようなローカルURIブロックリストプラグインはスパム対策ロジック119を用いてメッセージから抽出されたデータを用いて、メッセージ内のネットワークリソース識別子を見つけてそれらをURIブロックリストに対してテストする。
【0092】
一実施形態において、プラグインは、ネットワークリソース識別子を探すメッセージ本文のサーチに基づいて、メッセージ毎に1つの肯定的の結果を返信する。追加的または代替的に、肯定的および否定的結果値をメッセージ内に見つかるすべてのネットワークリソース識別子に対して生成することができる。
【0093】
一実施形態において、プラグインは、肯定的であるべきソースリストを特定する書き込みルールおよびそれらのスコアリングウェイトをサポートする。ルールは、メッセージングゲートウェイ107の管理者または他のユーザがテスト対象のリストを参照するビットマスクを指定することを可能にする。この手法では、余分なスコアリングウェイトを特に信頼できるまたはできないことが既知である特定のリストまたはソースに置くことができる。
【0094】
ブロックリスト140、ブロックリスト142またはメッセージングゲートウェイ107内に局所的に記憶されている他のブロックリストに対してテストを行うことができる。このように、図1の目的のため、ローカルブラックリスト117はこのようなローカルブロックリストを表わすことができる。ブロックリストは、ローカルデータベースまたはファイル内に格納されてもよく、これによりパール(Perl)スクリプトおよびパイソン(Python)プログラムがそのファイルに接続できるとともにそのファイルをハッシュ値を含むとして処理することができる。一実施形態において、ローカルデータベースまたはファイル内の入力は、(キー>値)の組み合わせを備え、各キーはドメイン値であるとともに各関連値はソースビットマスクである。例えば入力は(foo.bar=>0.0.68)を備え得る、ここで「0.0.68」はアイアンポート(IronPort)、第三者のブロックリスト等を表わすビットマスクである。
【0095】
4.0 実施機構−ハードウエア概要
図4は、本発明の実施形態が実施され得るコンピュータシステム400を図示するブロック図である。好適な実施形態は、ルータ装置などのネットワーク要素で動作する1つまたは複数のコンピュータプログラムを用いて実施される。このように、この実施形態において、コンピュータシステム400はルータである。
【0096】
コンピュータシステム400は、バス402または情報を通信する他の通信機構と、バス402と結合された情報を処理するプロセッサ404とを含む。コンピュータシステム400は、バス402に結合されて情報およびプロセッサ404によって実行されるべき指示を記憶するランダムアクセスメモリ(RAM)、フラッシュメモリ、または他のダイナミック記憶装置などのメインメモリ406も含む。メインメモリ406を、プロセッサ404により実行されるべき指示の実行中に一時的変数または他の中間情報を記憶するために用いてもよい。コンピュータシステム400は、読み出し専用メモリ(ROM)408または静的情報およびプロセッサ404に対する指示を記憶する、バス402に結合された他のスタティック記憶装置をさらに含む。磁気ディスク、フラッシュメモリまたは光ディスクなどの、情報および指示を記憶する記憶装置410が設けられるとともにバス402に結合されている。
【0097】
情報およびコマンド選択をプロセッサ404に通信する通信インターフェース418がバス402に結合され得る。インターフェース418はRS−232またはRS−422インターフェースなどの従来のシリアルインターフェースである。外部端末412または他のコンピュータシステムがコンピュータシステム400に接続するとともに、インターフェース414を用いてコマンドをそれに提供する。コンピュータシステム400内で動作するファームウエアまたはソフトウエアは、外部コマンドをコンピュータシステムに与えることができるように端末インターフェースまたはキャラクタベースのコマンドインターフェースを提供する。
【0098】
切替システム416がバス402に結合されるとともに、入力インターフェース414と1つまたは複数の外部ネットワーク要素への出力インターフェース419とを有する。外部ネットワーク要素は1つまたは複数のホスト424に結合されたローカルネットワーク422、または1つまたは複数のサーバ430を有するインターネット428などのグローバルネットワークを含み得る。切替システム416は、周知の所定プロトコルおよび規則に従って、入力インターフェース414に届く情報トラフィックを出力インターフェース419に切り替える。例えば切替システム416は、プロセッサ404と協働して入力インターフェース414に届くデータのパケットの宛先を判断するとともに、出力インターフェース419を用いてそれを正しい宛先に送信することができる。宛先には、ホスト424、サーバ430、他の終端ステーション、もしくはローカルネットワーク422またはインターネット428内の他のルーティングおよび切替装置があり得る。
【0099】
本発明は、参照リソースの確率的解析に基づいて不要な電子メールメッセージを検出するコンピュータシステム400の使用に関連する。本発明の一実施形態によれば、参照リソースの確率的解析に基づいて不要な電子メールメッセージを検出することは、メインメモリ406に含まれる1つまたは複数の指示の1つまたは複数のシーケンスを実行するプロセッサ404に応じてコンピュータシステム400により提供される。このような指示が、記憶装置410などの他のコンピュータ読み取り可能媒体からメインメモリ406に読み込まれ得る。メインメモリ406に含まれる指示のシーケンスの実行は、プロセッサ404に本明細書に説明したプロセスステップを行わせる。多数の処理装置における1つまたは複数のプロセッサは、メインメモリ406に含まれる指示のシーケンスを実行するように採用されてもよい。代替実施形態において、配線接続された回路を、本発明を実施するソフトウエア指示の代わりにまたは組み合わせて用い得る。このように、本発明の実施形態は、ハードウエア回路およびソフトウエアの任意の特定の組み合わせに限定されない。
【0100】
本明細書に用いられる「コンピュータ読み取り可能媒体」という用語は、プロセッサ404に指示を提供して実行させることに関与する任意の媒体を指す。このような媒体は、不揮発性媒体、揮発性媒体、および伝送媒体をはじめとする多くの形態を取り得るがこれらに限定されない。不揮発性媒体には例えば記憶装置410などの光または磁気ディスクがある。揮発性媒体にはメインメモリ406などのダイナミックメモリがある。伝送媒体には、バス402を備えるワイヤをはじめとする同軸ケーブル、銅線および光ファイバがある。伝送媒体は、無線および赤外線データ通信中に生成されるものなどの音波または光波の形状を取ることもできる。
【0101】
コンピュータ読み取り可能媒体の一般的形状には、例えばフロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、磁気テープまたは任意の他の磁気媒体、CD−ROM、任意の他の光媒体、パンチカード、紙テープ、穴のパターンを有する任意の他の物理的媒体、RAM,PROMおよびEPROM、FLASH−EPROM、任意の他のメモリチップまたはカードリッジ、以下に説明する搬送波、またはコンピュータが読み取ることができる任意の他の媒体がある。
【0102】
様々な形状のコンピュータ読み取り可能媒体は、プロセッサ404に1つまたは複数の指示の1つまたは複数のシーケンスを搬送して実行させることに関与し得る。例えば指示は最初に遠隔コンピュータの磁気ディスクに保持され得る。遠隔コンピュータは、指示をダイナミックメモリにロードするとともに、モデムを用いて電話線により指示を送信することができる。コンピュータシステム400に対して局所的なモデムは電話線上のデータを受信するとともに赤外線送信器を用いてそのデータを赤外線信号に変換することができる。バス402に結合された赤外線検出器は、赤外線信号で搬送されるデータを受信するとともにそのデータをバス402上に置くことができる。バス402は、そのデータをメインメモリ406に搬送し、そこからプロセッサ404は指示を検索するとともに実行する。メインメモリ406により受信された指示は、場合によってはプロセッサ404による実行前または後に記憶装置410に格納され得る。
【0103】
通信インターフェース418は、ローカルネットワーク422に接続されたネットワークリンク420に2方向データ通信結合も提供する。例えば通信インターフェース418は、統合サービスデジタル網(ISDN)カードまたはデータ通信接続を対応するタイプの電話線に提供するモデムであり得る。他の例として、通信インターフェース418は、データ通信接続を互換性のあるLANに提供するローカルエリアネットワーク(LAN)カードであり得る。無線リンクも実施され得る。任意のこのような実施形態において、通信インターフェース418は、様々なタイプの情報を表わすデジタルデータストリームを搬送する電気、電磁または光信号を送受信する。
【0104】
ネットワークリンク420は、通例1つまたは複数のネットワークを介して他のデータ装置にデータ通信を提供する。例えばネットワークリンク420は、ローカルネットワーク422を介してホストコンピュータ424にまたはインターネットサービスプロバイダ(ISP)426により作動されるデータ装置に接続を提供し得る。そして、ISP426は、現在一般に「インターネット」428と称されるワールドワイドパケットデータ通信ネットワークを介してデータ通信サービスを提供する。ローカルネットワーク422およびインターネット428は、共にデジタルデータストリームを搬送する電気、電磁または光信号を用いる。デジタルデータをコンピュータシステム400との間で搬送する様々なネットワークを介する信号ならびにネットワークリンク420上および通信インターフェース418を介する信号は、情報を伝送する搬送波の例示的形状である。
【0105】
コンピュータシステム400は、ネットワーク、ネットワークリンク420および通信インターフェース418を介して、プログラムコードを始めとしてメッセージを送信するとともにデータを受信することができる。インターネット例において、サーバ430はインターネット428、ISP426、ローカルネットワーク422および通信インターフェース418を介してアプリケーションプログラム用の要求コードを送信し得る。本発明によれば、1つのこのようなダウンロードされたアプリケーションは、本明細書に説明したような参照リソースの確率的解析に基づいて不要な電子メールメッセージの検出を提供する。
【0106】
受信コードは受信されるとプロセッサ404により実行され、および/または記憶装置410または他の不揮発性記憶装置に格納されて後で実行され得る。このようにして、コンピュータシステム400は搬送波の形状でアプリケーションコードを獲得し得る。
【0107】
5.0 発展例および代替例
上記の明細書において特定の実施形態を参照して本発明を説明した。しかし本発明の広範な要旨と範囲とから逸脱することなく様々な変更および変形をなし得ることは明らかであろう。明細書および図面は従って限定的意味ではなく例示的意味で考えられるべきものである。
【図面の簡単な説明】
【0108】
【図1】実施形態を実施するために用い得る例示的ネットワーク配列を図示するブロック図である。
【図2A】受信メッセージ内のネットワークリソース識別子に基づいて確率フィルタをトレーニングする一実施形態の高水準概要を図示するフロー図である。
【図2B】受信メッセージがスパムであるかまたは脅威に関連するかをテストする一実施形態の高水準概要を図示するフロー図である。
【図2C】ネットワークリソース識別子をブロックリストに追加すべきかを判断する一実施形態の高水準概要を図示するフロー図である。
【図2D】ブロックリストをメッセージングゲートウェイに転送するとともにブロックリストを用いてメッセージをフィルタリングする一実施形態の高水準概要を図示するフロー図である。
【図3】ドメインネームシステム(DNS)サーバ内の記録を図示するブロック図である。
【図4】実施形態が実施され得るコンピュータシステムを図示するブロック図である。
【特許請求の範囲】
【請求項1】
過去の電子メールメッセージに含まれていた複数の第1のネットワークリソース識別子を備えるホワイトリストを検索するステップと、
前記ホワイトリストから特定の第1のネットワークリソース識別子を検索するステップと、
前記特定の第1のネットワークリソース識別子に対するプロパティの第1のリストを生成するステップと、
前記プロパティを用いて確率フィルタをトレーニングするステップと、
前記ホワイトリスト内の前記第1のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
スパムまたは脅威に関連する過去の電子メールメッセージに含まれていた複数の第2のネットワークリソース識別子を備えるブロックリストを検索するステップと、
前記ブロックリストから特定の第2のネットワークリソース識別子を検索するステップと、
前記特定の第2のネットワークリソース識別子に対するプロパティの第2のリストを生成するステップと、
前記プロパティを用いて前記確率フィルタをトレーニングするステップと、
前記ブロックリスト内の前記第2のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
を含むことを特徴とする方法。
【請求項2】
第3のネットワークリソース識別子を受信するステップと、
前記トレーニングされた確率フィルタを用いて前記第3のネットワークリソース識別子をテストするとともに、前記第3のネットワークリソース識別子がスパムまたは脅威に関連する確率を示す確率出力を受信するステップと、
前記確率出力が第1の規定閾値より大きい場合、前記第3のネットワークリソース識別子をブラックリストに追加するステップと、
をさらに含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記プロパティの第2のリストを生成するステップが、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のメール交換記録を検索するステップと、
前記ドメインネームシステムから前記メール交換記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を含むことを特徴とする請求項1に記載の方法。
【請求項4】
前記ネットワークリソース識別子がユニフォーム・リソース・ロケータ(URL)であることを特徴とする請求項1に記載の方法。
【請求項5】
前記プロパティの第2のリストを生成するステップが、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のネームサーバ記録を検索するステップと、
前記ドメインネームシステムから前記ネームサーバ記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を含むことを特徴とする請求項1に記載の方法。
【請求項6】
前記ブラックリストを前記ネットワークに結合された複数のメッセージングゲートウェイ・アプライアンスに送信するステップをさらに含むことを特徴とする請求項3または5に記載の方法。
【請求項7】
前記ブラックリストが請求項1に記載の前記ブロックリストとは別であることを特徴とする請求項3または5に記載の方法。
【請求項8】
前記ブラックリストのコピーをメッセージングゲートウェイで受信するステップと、
前記メッセージングゲートウェイで、ユニフォーム・リソース・ロケータ(URL)を含む電子メールメッセージを受信するステップと、
前記URLを抽出するとともに、前記URLが前記ブラックリストのコピー内にあるかを判断するステップと、
前記URLが前記ブラックリストのコピー内にある場合、前記電子メールメッセージに関連する脅威スコア値を変更するステップと、
をさらに含むことを特徴とする請求項3または5に記載の方法。
【請求項9】
前記脅威がウイルス、フィッシング攻撃、およびファーミング攻撃のいずれかを含むことを特徴とする請求項1に記載の方法。
【請求項10】
1つまたは複数の指示シーケンスが1つまたは複数のプロセッサにより実行される場合、前記1つまたは複数のプロセッサに、
過去の電子メールメッセージに含まれていた複数の第1のネットワークリソース識別子を備えるホワイトリストを検索するステップと、
前記ホワイトリストから特定の第1のネットワークリソース識別子を検索するステップと、
前記特定の第1のネットワークリソース識別子に対するプロパティの第1のリストを生成するステップと、
前記プロパティを用いて確率フィルタをトレーニングするステップと、
前記ホワイトリスト内の前記第1のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
スパムまたは脅威に関連する過去の電子メールメッセージに含まれていた複数の第2のネットワークリソース識別子を備えるブロックリストを検索するステップと、
前記ブロックリストから特定の第2のネットワークリソース識別子を検索するステップと、
前記特定の第2のネットワークリソース識別子に対するプロパティの第2のリストを生成するステップと、
前記プロパティを用いて前記確率フィルタをトレーニングするステップと、
前記ブロックリスト内の前記第2のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
を行わせることを特徴とする、1つまたは複数の指示シーケンスを搬送するコンピュータ読み取り可能有形記憶媒体。
【請求項11】
第3のネットワークリソース識別子を受信するステップと、
前記トレーニングされた確率フィルタを用いて前記第3のネットワークリソース識別子をテストするとともに、前記第3のネットワークリソース識別子がスパムまたは脅威に関連する確率を示す確率出力を受信するステップと、
前記確率出力が第1の規定閾値より大きい場合、前記第3のネットワークリソース識別子をブラックリストに追加するステップと、
をさらに含むことを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【請求項12】
前記プロパティの第2のリストを生成するステップが、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のメール交換記録を検索するステップと、
前記ドメインネームシステムから前記メール交換記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を含むことを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【請求項13】
前記ネットワークリソース識別子がユニフォーム・リソース・ロケータ(URL)であることを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【請求項14】
前記プロパティの第2のリストを生成するステップが、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のネームサーバ記録を検索するステップと、
前記ドメインネームシステムから前記ネームサーバ記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を含むことを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【請求項15】
前記ブラックリストを前記ネットワークに結合された複数のメッセージングゲートウェイ・アプライアンスに送信するステップをさらに含むことを特徴とする請求項12または14に記載のコンピュータ読み取り可能媒体。
【請求項16】
前記ブラックリストが請求項10に記載の前記ブロックリストとは別であることを特徴とする請求項12または14に記載のコンピュータ読み取り可能媒体。
【請求項17】
前記ブラックリストのコピーをメッセージングゲートウェイで受信するステップと、
前記メッセージングゲートウェイで、ユニフォーム・リソース・ロケータ(URL)を含む電子メールメッセージを受信するステップと、
前記URLを抽出するとともに、前記URLが前記ブラックリストのコピー内にあるかを判断するステップと、
前記URLが前記ブラックリストのコピー内にある場合、前記電子メールメッセージに関連する脅威スコア値を変更するステップと、
をさらに含むことを特徴とする請求項12または14に記載のコンピュータ読み取り可能媒体。
【請求項18】
前記脅威がウイルス、フィッシング攻撃、およびファーミング攻撃のいずれかを含むことを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【請求項19】
過去の電子メールメッセージに含まれていた複数の第1のネットワークリソース識別子を備えるホワイトリストを検索する手段と、
前記ホワイトリストから特定の第1のネットワークリソース識別子を検索する手段と、
前記特定の第1のネットワークリソース識別子に対するプロパティの第1のリストを生成する手段と、
前記プロパティを用いて確率フィルタをトレーニングする手段と、
前記ホワイトリスト内の前記第1のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニング手段の実行を繰り返す手段と、
スパムまたは脅威に関連する過去の電子メールメッセージに含まれていた複数の第2のネットワークリソース識別子を備えるブロックリストを検索する手段と、
前記ブロックリストから特定の第2のネットワークリソース識別子を検索する手段と、
前記特定の第2のネットワークリソース識別子に対するプロパティの第2のリストを生成する手段と、
前記プロパティを用いて前記確率フィルタをトレーニングする手段と、
前記ブロックリスト内の前記第2のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングを繰り返す手段と、
を備えることを特徴とする装置。
【請求項20】
第3のネットワークリソース識別子を受信する手段と、
前記トレーニングされた確率フィルタを用いて前記第3のネットワークリソース識別子をテストするとともに、前記第3のネットワークリソース識別子がスパムまたは脅威に関連する確率を示す確率出力を受信する手段と、
前記確率出力が第1の規定閾値より大きい場合、前記第3のネットワークリソース識別子をブラックリストに追加する手段と、
をさらに備えることを特徴とする請求項19に記載の装置。
【請求項21】
前記プロパティの第2のリストを生成する手段が、
前記第2のネットワークリソース識別子のドメイン部分を抽出する手段と、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のメール交換記録を検索する手段と、
前記ドメインネームシステムから前記メール交換記録で識別される各メールサーバに対する各アドレス記録を検索する手段と、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索する手段と、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加する手段と、
を備えることを特徴とする請求項19に記載の装置。
【請求項22】
前記ネットワークリソース識別子がユニフォーム・リソース・ロケータ(URL)であることを特徴とする請求項19に記載の装置。
【請求項23】
前記プロパティの第2のリストの生成が、
前記第2のネットワークリソース識別子のドメイン部分の抽出と、
ドメインネームシステムからの前記抽出されたドメイン部分に関連する1つまたは複数のネームサーバ記録の検索と、
前記ドメインネームシステムからの前記ネームサーバ記録で識別される各メールサーバに対する各アドレス記録の検索と、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値の検索と、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子の前記ブラックリストへの追加と、
を含むことを特徴とする請求項19に記載の装置。
【請求項24】
前記ブラックリストを前記ネットワークに結合された複数のメッセージングゲートウェイ・アプライアンスに送信する手段をさらに備えることを特徴とする請求項21または23に記載の装置。
【請求項25】
前記ブラックリストが請求項19に記載の前記ブロックリストとは別であることを特徴とする請求項21または23に記載の装置。
【請求項26】
前記ブラックリストのコピーをメッセージングゲートウェイで受信する手段と、
前記メッセージングゲートウェイで、ユニフォーム・リソース・ロケータ(URL)を含む電子メールメッセージを受信する手段と、
前記URLを抽出するとともに、前記URLが前記ブラックリストのコピー内にあるかを判断する手段と、
前記URLが前記ブラックリストのコピー内にある場合、前記電子メールメッセージに関連する脅威スコア値を変更する手段と、
をさらに備えることを特徴とする請求項21または23に記載の装置。
【請求項27】
前記脅威がウイルス、フィッシング攻撃、およびファーミング攻撃のいずれかを含むことを特徴とする請求項19に記載の装置。
【請求項28】
1つまたは複数のプロセッサと、
実行のために1つまたは複数の媒体で符号化されたロジックと、
を備え、
前記ロジックは実行された場合、前記1つまたは複数のプロセッサに、
過去の電子メールメッセージに含まれていた複数の第1のネットワークリソース識別子を備えるホワイトリストを検索するステップと、
前記ホワイトリストから特定の第1のネットワークリソース識別子を検索するステップと、
前記特定の第1のネットワークリソース識別子に対するプロパティの第1のリストを生成するステップと、
前記プロパティを用いて確率フィルタをトレーニングするステップと、
前記ホワイトリスト内の前記第1のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
スパムまたは脅威に関連する過去の電子メールメッセージに含まれていた複数の第2のネットワークリソース識別子を備えるブロックリストを検索するステップと、
前記ブロックリストから特定の第2のネットワークリソース識別子を検索するステップと、
前記特定の第2のネットワークリソース識別子に対するプロパティの第2のリストを生成するステップと、
前記プロパティを用いて前記確率フィルタをトレーニングするステップと、
前記ブロックリスト内の前記第2のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
を行わせるように動作可能であることを特徴とする電子メールサーバ。
【請求項29】
前記ロジックは、実行された場合、
第3のネットワークリソース識別子を受信するステップと、
前記トレーニングされた確率フィルタを用いて前記第3のネットワークリソース識別子をテストするとともに、前記第3のネットワークリソース識別子がスパムまたは脅威に関連する確率を示す確率出力を受信するステップと、
前記確率出力が第1の規定閾値より大きい場合、前記第3のネットワークリソース識別子をブラックリストに追加するステップと、
を行うようにさらに動作可能であることを特徴とする請求項28に記載の装置。
【請求項30】
前記プロパティの第2のリストを生成するロジックがさらなるロジックを備え、前記さらなるロジックは、実行された場合、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のメール交換記録を検索するステップと、
前記ドメインネームシステムから前記メール交換記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を行うように動作可能であることを特徴とする請求項28に記載の装置。
【請求項31】
前記ネットワークリソース識別子がユニフォーム・リソース・ロケータ(URL)であることを特徴とする請求項28に記載の装置。
【請求項32】
前記プロパティの第2のリストを生成するロジックがさらなるロジックを備え、前記さらなるロジックは、実行された場合、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のネームサーバ記録を検索するステップと、
前記ドメインネームシステムから前記ネームサーバ記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を行うように動作可能であることを特徴とする請求項28に記載の装置。
【請求項33】
前記ブラックリストを前記ネットワークに結合された複数のメッセージングゲートウェイ・アプライアンスに送信するステップをさらに含むことを特徴とする請求項30または32に記載の装置。
【請求項34】
前記ブラックリストが請求項28に記載の前記ブロックリストとは別であることを特徴とする請求項30または32に記載の装置。
【請求項35】
前記ブラックリストのコピーをメッセージングゲートウェイで受信するステップと、
前記メッセージングゲートウェイで、ユニフォーム・リソース・ロケータ(URL)を含む電子メールメッセージを受信するステップと、
前記URLを抽出するとともに、前記URLが前記ブラックリストのコピー内にあるかを判断するステップと、
前記URLが前記ブラックリストのコピー内にある場合、前記電子メールメッセージに関連する脅威スコア値を変更するステップと、
を含むことを特徴とする請求項30または32に記載の装置。
【請求項36】
前記脅威がウイルス、フィッシング攻撃、およびファーミング攻撃のいずれかを含むことを特徴とする請求項28に記載の装置。
【請求項37】
前記プロパティが、ネーム、IPアドレスおよびサーバのうちのいずれかを含む前記特定の第1または第2のネットワークリソース識別子に基づいてDNSクエリーから得られる情報、ウェブページ、前記特定の第1または第2のネットワークリソース識別子が用いているサーバソフトウエア、前記特定の第1または第2のネットワークリソース識別子内に含まれるドメインネームに対するドメインネーム所有者およびネットワークブロック所有者の両方に基づいて「フーイズ」クエリーから得られる情報、および前記特定の第1または第2のネットワークリソース識別子から抽出されるワードのうちのいずれかを含むことを特徴とする請求項1に記載の方法。
【請求項38】
前記プロパティが、ネーム、IPアドレスおよびサーバのうちのいずれかを含む前記特定の第1または第2のネットワークリソース識別子に基づいてDNSクエリーから得られる情報、ウェブページ、前記特定の第1または第2のネットワークリソース識別子が用いているサーバソフトウエア、前記特定の第1または第2のネットワークリソース識別子内に含まれるドメインネームに対するドメインネーム所有者およびネットワークブロック所有者の両方に基づいて「フーイズ」クエリーから得られる情報、および前記特定の第1または第2のネットワークリソース識別子から抽出されるワードのうちのいずれかを含むことを特徴とする請求項19または28に記載の装置。
【請求項39】
前記プロパティが、ネーム、IPアドレスおよびサーバのうちのいずれかを含む前記特定の第1または第2のネットワークリソース識別子に基づいてDNSクエリーから得られる情報、ウェブページ、前記特定の第1または第2のネットワークリソース識別子が用いているサーバソフトウエア、前記特定の第1または第2のネットワークリソース識別子内に含まれるドメインネームに対するドメインネーム所有者およびネットワークブロック所有者の両方に基づいて「フーイズ」クエリーから得られる情報、および前記特定の第1または第2のネットワークリソース識別子から抽出されるワードのうちのいずれかを含むことを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【請求項1】
過去の電子メールメッセージに含まれていた複数の第1のネットワークリソース識別子を備えるホワイトリストを検索するステップと、
前記ホワイトリストから特定の第1のネットワークリソース識別子を検索するステップと、
前記特定の第1のネットワークリソース識別子に対するプロパティの第1のリストを生成するステップと、
前記プロパティを用いて確率フィルタをトレーニングするステップと、
前記ホワイトリスト内の前記第1のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
スパムまたは脅威に関連する過去の電子メールメッセージに含まれていた複数の第2のネットワークリソース識別子を備えるブロックリストを検索するステップと、
前記ブロックリストから特定の第2のネットワークリソース識別子を検索するステップと、
前記特定の第2のネットワークリソース識別子に対するプロパティの第2のリストを生成するステップと、
前記プロパティを用いて前記確率フィルタをトレーニングするステップと、
前記ブロックリスト内の前記第2のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
を含むことを特徴とする方法。
【請求項2】
第3のネットワークリソース識別子を受信するステップと、
前記トレーニングされた確率フィルタを用いて前記第3のネットワークリソース識別子をテストするとともに、前記第3のネットワークリソース識別子がスパムまたは脅威に関連する確率を示す確率出力を受信するステップと、
前記確率出力が第1の規定閾値より大きい場合、前記第3のネットワークリソース識別子をブラックリストに追加するステップと、
をさらに含むことを特徴とする請求項1に記載の方法。
【請求項3】
前記プロパティの第2のリストを生成するステップが、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のメール交換記録を検索するステップと、
前記ドメインネームシステムから前記メール交換記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を含むことを特徴とする請求項1に記載の方法。
【請求項4】
前記ネットワークリソース識別子がユニフォーム・リソース・ロケータ(URL)であることを特徴とする請求項1に記載の方法。
【請求項5】
前記プロパティの第2のリストを生成するステップが、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のネームサーバ記録を検索するステップと、
前記ドメインネームシステムから前記ネームサーバ記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を含むことを特徴とする請求項1に記載の方法。
【請求項6】
前記ブラックリストを前記ネットワークに結合された複数のメッセージングゲートウェイ・アプライアンスに送信するステップをさらに含むことを特徴とする請求項3または5に記載の方法。
【請求項7】
前記ブラックリストが請求項1に記載の前記ブロックリストとは別であることを特徴とする請求項3または5に記載の方法。
【請求項8】
前記ブラックリストのコピーをメッセージングゲートウェイで受信するステップと、
前記メッセージングゲートウェイで、ユニフォーム・リソース・ロケータ(URL)を含む電子メールメッセージを受信するステップと、
前記URLを抽出するとともに、前記URLが前記ブラックリストのコピー内にあるかを判断するステップと、
前記URLが前記ブラックリストのコピー内にある場合、前記電子メールメッセージに関連する脅威スコア値を変更するステップと、
をさらに含むことを特徴とする請求項3または5に記載の方法。
【請求項9】
前記脅威がウイルス、フィッシング攻撃、およびファーミング攻撃のいずれかを含むことを特徴とする請求項1に記載の方法。
【請求項10】
1つまたは複数の指示シーケンスが1つまたは複数のプロセッサにより実行される場合、前記1つまたは複数のプロセッサに、
過去の電子メールメッセージに含まれていた複数の第1のネットワークリソース識別子を備えるホワイトリストを検索するステップと、
前記ホワイトリストから特定の第1のネットワークリソース識別子を検索するステップと、
前記特定の第1のネットワークリソース識別子に対するプロパティの第1のリストを生成するステップと、
前記プロパティを用いて確率フィルタをトレーニングするステップと、
前記ホワイトリスト内の前記第1のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
スパムまたは脅威に関連する過去の電子メールメッセージに含まれていた複数の第2のネットワークリソース識別子を備えるブロックリストを検索するステップと、
前記ブロックリストから特定の第2のネットワークリソース識別子を検索するステップと、
前記特定の第2のネットワークリソース識別子に対するプロパティの第2のリストを生成するステップと、
前記プロパティを用いて前記確率フィルタをトレーニングするステップと、
前記ブロックリスト内の前記第2のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
を行わせることを特徴とする、1つまたは複数の指示シーケンスを搬送するコンピュータ読み取り可能有形記憶媒体。
【請求項11】
第3のネットワークリソース識別子を受信するステップと、
前記トレーニングされた確率フィルタを用いて前記第3のネットワークリソース識別子をテストするとともに、前記第3のネットワークリソース識別子がスパムまたは脅威に関連する確率を示す確率出力を受信するステップと、
前記確率出力が第1の規定閾値より大きい場合、前記第3のネットワークリソース識別子をブラックリストに追加するステップと、
をさらに含むことを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【請求項12】
前記プロパティの第2のリストを生成するステップが、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のメール交換記録を検索するステップと、
前記ドメインネームシステムから前記メール交換記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を含むことを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【請求項13】
前記ネットワークリソース識別子がユニフォーム・リソース・ロケータ(URL)であることを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【請求項14】
前記プロパティの第2のリストを生成するステップが、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のネームサーバ記録を検索するステップと、
前記ドメインネームシステムから前記ネームサーバ記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を含むことを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【請求項15】
前記ブラックリストを前記ネットワークに結合された複数のメッセージングゲートウェイ・アプライアンスに送信するステップをさらに含むことを特徴とする請求項12または14に記載のコンピュータ読み取り可能媒体。
【請求項16】
前記ブラックリストが請求項10に記載の前記ブロックリストとは別であることを特徴とする請求項12または14に記載のコンピュータ読み取り可能媒体。
【請求項17】
前記ブラックリストのコピーをメッセージングゲートウェイで受信するステップと、
前記メッセージングゲートウェイで、ユニフォーム・リソース・ロケータ(URL)を含む電子メールメッセージを受信するステップと、
前記URLを抽出するとともに、前記URLが前記ブラックリストのコピー内にあるかを判断するステップと、
前記URLが前記ブラックリストのコピー内にある場合、前記電子メールメッセージに関連する脅威スコア値を変更するステップと、
をさらに含むことを特徴とする請求項12または14に記載のコンピュータ読み取り可能媒体。
【請求項18】
前記脅威がウイルス、フィッシング攻撃、およびファーミング攻撃のいずれかを含むことを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【請求項19】
過去の電子メールメッセージに含まれていた複数の第1のネットワークリソース識別子を備えるホワイトリストを検索する手段と、
前記ホワイトリストから特定の第1のネットワークリソース識別子を検索する手段と、
前記特定の第1のネットワークリソース識別子に対するプロパティの第1のリストを生成する手段と、
前記プロパティを用いて確率フィルタをトレーニングする手段と、
前記ホワイトリスト内の前記第1のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニング手段の実行を繰り返す手段と、
スパムまたは脅威に関連する過去の電子メールメッセージに含まれていた複数の第2のネットワークリソース識別子を備えるブロックリストを検索する手段と、
前記ブロックリストから特定の第2のネットワークリソース識別子を検索する手段と、
前記特定の第2のネットワークリソース識別子に対するプロパティの第2のリストを生成する手段と、
前記プロパティを用いて前記確率フィルタをトレーニングする手段と、
前記ブロックリスト内の前記第2のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングを繰り返す手段と、
を備えることを特徴とする装置。
【請求項20】
第3のネットワークリソース識別子を受信する手段と、
前記トレーニングされた確率フィルタを用いて前記第3のネットワークリソース識別子をテストするとともに、前記第3のネットワークリソース識別子がスパムまたは脅威に関連する確率を示す確率出力を受信する手段と、
前記確率出力が第1の規定閾値より大きい場合、前記第3のネットワークリソース識別子をブラックリストに追加する手段と、
をさらに備えることを特徴とする請求項19に記載の装置。
【請求項21】
前記プロパティの第2のリストを生成する手段が、
前記第2のネットワークリソース識別子のドメイン部分を抽出する手段と、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のメール交換記録を検索する手段と、
前記ドメインネームシステムから前記メール交換記録で識別される各メールサーバに対する各アドレス記録を検索する手段と、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索する手段と、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加する手段と、
を備えることを特徴とする請求項19に記載の装置。
【請求項22】
前記ネットワークリソース識別子がユニフォーム・リソース・ロケータ(URL)であることを特徴とする請求項19に記載の装置。
【請求項23】
前記プロパティの第2のリストの生成が、
前記第2のネットワークリソース識別子のドメイン部分の抽出と、
ドメインネームシステムからの前記抽出されたドメイン部分に関連する1つまたは複数のネームサーバ記録の検索と、
前記ドメインネームシステムからの前記ネームサーバ記録で識別される各メールサーバに対する各アドレス記録の検索と、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値の検索と、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子の前記ブラックリストへの追加と、
を含むことを特徴とする請求項19に記載の装置。
【請求項24】
前記ブラックリストを前記ネットワークに結合された複数のメッセージングゲートウェイ・アプライアンスに送信する手段をさらに備えることを特徴とする請求項21または23に記載の装置。
【請求項25】
前記ブラックリストが請求項19に記載の前記ブロックリストとは別であることを特徴とする請求項21または23に記載の装置。
【請求項26】
前記ブラックリストのコピーをメッセージングゲートウェイで受信する手段と、
前記メッセージングゲートウェイで、ユニフォーム・リソース・ロケータ(URL)を含む電子メールメッセージを受信する手段と、
前記URLを抽出するとともに、前記URLが前記ブラックリストのコピー内にあるかを判断する手段と、
前記URLが前記ブラックリストのコピー内にある場合、前記電子メールメッセージに関連する脅威スコア値を変更する手段と、
をさらに備えることを特徴とする請求項21または23に記載の装置。
【請求項27】
前記脅威がウイルス、フィッシング攻撃、およびファーミング攻撃のいずれかを含むことを特徴とする請求項19に記載の装置。
【請求項28】
1つまたは複数のプロセッサと、
実行のために1つまたは複数の媒体で符号化されたロジックと、
を備え、
前記ロジックは実行された場合、前記1つまたは複数のプロセッサに、
過去の電子メールメッセージに含まれていた複数の第1のネットワークリソース識別子を備えるホワイトリストを検索するステップと、
前記ホワイトリストから特定の第1のネットワークリソース識別子を検索するステップと、
前記特定の第1のネットワークリソース識別子に対するプロパティの第1のリストを生成するステップと、
前記プロパティを用いて確率フィルタをトレーニングするステップと、
前記ホワイトリスト内の前記第1のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
スパムまたは脅威に関連する過去の電子メールメッセージに含まれていた複数の第2のネットワークリソース識別子を備えるブロックリストを検索するステップと、
前記ブロックリストから特定の第2のネットワークリソース識別子を検索するステップと、
前記特定の第2のネットワークリソース識別子に対するプロパティの第2のリストを生成するステップと、
前記プロパティを用いて前記確率フィルタをトレーニングするステップと、
前記ブロックリスト内の前記第2のネットワークリソース識別子のすべてに対して前記抽出、検索およびトレーニングするステップを繰り返すステップと、
を行わせるように動作可能であることを特徴とする電子メールサーバ。
【請求項29】
前記ロジックは、実行された場合、
第3のネットワークリソース識別子を受信するステップと、
前記トレーニングされた確率フィルタを用いて前記第3のネットワークリソース識別子をテストするとともに、前記第3のネットワークリソース識別子がスパムまたは脅威に関連する確率を示す確率出力を受信するステップと、
前記確率出力が第1の規定閾値より大きい場合、前記第3のネットワークリソース識別子をブラックリストに追加するステップと、
を行うようにさらに動作可能であることを特徴とする請求項28に記載の装置。
【請求項30】
前記プロパティの第2のリストを生成するロジックがさらなるロジックを備え、前記さらなるロジックは、実行された場合、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のメール交換記録を検索するステップと、
前記ドメインネームシステムから前記メール交換記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を行うように動作可能であることを特徴とする請求項28に記載の装置。
【請求項31】
前記ネットワークリソース識別子がユニフォーム・リソース・ロケータ(URL)であることを特徴とする請求項28に記載の装置。
【請求項32】
前記プロパティの第2のリストを生成するロジックがさらなるロジックを備え、前記さらなるロジックは、実行された場合、
前記第2のネットワークリソース識別子のドメイン部分を抽出するステップと、
ドメインネームシステムから前記抽出されたドメイン部分に関連する1つまたは複数のネームサーバ記録を検索するステップと、
前記ドメインネームシステムから前記ネームサーバ記録で識別される各メールサーバに対する各アドレス記録を検索するステップと、
前記アドレス記録の各々のネットワークアドレスに関連する評価スコア値を検索するステップと、
平均評価スコア値が規定閾値未満である場合、前記ネットワークリソース識別子を前記ブラックリストに追加するステップと、
を行うように動作可能であることを特徴とする請求項28に記載の装置。
【請求項33】
前記ブラックリストを前記ネットワークに結合された複数のメッセージングゲートウェイ・アプライアンスに送信するステップをさらに含むことを特徴とする請求項30または32に記載の装置。
【請求項34】
前記ブラックリストが請求項28に記載の前記ブロックリストとは別であることを特徴とする請求項30または32に記載の装置。
【請求項35】
前記ブラックリストのコピーをメッセージングゲートウェイで受信するステップと、
前記メッセージングゲートウェイで、ユニフォーム・リソース・ロケータ(URL)を含む電子メールメッセージを受信するステップと、
前記URLを抽出するとともに、前記URLが前記ブラックリストのコピー内にあるかを判断するステップと、
前記URLが前記ブラックリストのコピー内にある場合、前記電子メールメッセージに関連する脅威スコア値を変更するステップと、
を含むことを特徴とする請求項30または32に記載の装置。
【請求項36】
前記脅威がウイルス、フィッシング攻撃、およびファーミング攻撃のいずれかを含むことを特徴とする請求項28に記載の装置。
【請求項37】
前記プロパティが、ネーム、IPアドレスおよびサーバのうちのいずれかを含む前記特定の第1または第2のネットワークリソース識別子に基づいてDNSクエリーから得られる情報、ウェブページ、前記特定の第1または第2のネットワークリソース識別子が用いているサーバソフトウエア、前記特定の第1または第2のネットワークリソース識別子内に含まれるドメインネームに対するドメインネーム所有者およびネットワークブロック所有者の両方に基づいて「フーイズ」クエリーから得られる情報、および前記特定の第1または第2のネットワークリソース識別子から抽出されるワードのうちのいずれかを含むことを特徴とする請求項1に記載の方法。
【請求項38】
前記プロパティが、ネーム、IPアドレスおよびサーバのうちのいずれかを含む前記特定の第1または第2のネットワークリソース識別子に基づいてDNSクエリーから得られる情報、ウェブページ、前記特定の第1または第2のネットワークリソース識別子が用いているサーバソフトウエア、前記特定の第1または第2のネットワークリソース識別子内に含まれるドメインネームに対するドメインネーム所有者およびネットワークブロック所有者の両方に基づいて「フーイズ」クエリーから得られる情報、および前記特定の第1または第2のネットワークリソース識別子から抽出されるワードのうちのいずれかを含むことを特徴とする請求項19または28に記載の装置。
【請求項39】
前記プロパティが、ネーム、IPアドレスおよびサーバのうちのいずれかを含む前記特定の第1または第2のネットワークリソース識別子に基づいてDNSクエリーから得られる情報、ウェブページ、前記特定の第1または第2のネットワークリソース識別子が用いているサーバソフトウエア、前記特定の第1または第2のネットワークリソース識別子内に含まれるドメインネームに対するドメインネーム所有者およびネットワークブロック所有者の両方に基づいて「フーイズ」クエリーから得られる情報、および前記特定の第1または第2のネットワークリソース識別子から抽出されるワードのうちのいずれかを含むことを特徴とする請求項10に記載のコンピュータ読み取り可能媒体。
【図1】
【図2A】
【図2B】
【図2C】
【図2D】
【図3】
【図4】
【図2A】
【図2B】
【図2C】
【図2D】
【図3】
【図4】
【公表番号】特表2008−547067(P2008−547067A)
【公表日】平成20年12月25日(2008.12.25)
【国際特許分類】
【出願番号】特願2008−510320(P2008−510320)
【出願日】平成18年5月5日(2006.5.5)
【国際出願番号】PCT/US2006/017782
【国際公開番号】WO2006/119508
【国際公開日】平成18年11月9日(2006.11.9)
【出願人】(508077986)シスコ アイアンポート システムズ エルエルシー (2)
【Fターム(参考)】
【公表日】平成20年12月25日(2008.12.25)
【国際特許分類】
【出願日】平成18年5月5日(2006.5.5)
【国際出願番号】PCT/US2006/017782
【国際公開番号】WO2006/119508
【国際公開日】平成18年11月9日(2006.11.9)
【出願人】(508077986)シスコ アイアンポート システムズ エルエルシー (2)
【Fターム(参考)】
[ Back to top ]