CN101443736A - 消息评估系统及方法 - Google Patents

Abstract

在一个或多个数据处理器上操作的处理通信的方法和系统，以根据消息的分类或消息发送者的特性来确定是否应该将通信发送给接收者。

Description

消息评估系统及方法

背景及概述

本文档一般涉及用于处理通信的系统和方法，尤其涉及用于过滤通信的系统和方法。

在反垃圾行业中，垃圾(spam)制造者使用各种创造方式来躲避垃圾过滤器的检测。现有的反垃圾系统包括开放故障系统，其中所有的入口消息都经过垃圾过滤。然而，这些系统在将消息分类成合法消息或垃圾方面可能是低效的或不正确的。

根据这里所公开的教导，提供了用于在一个或多个数据处理器上操作的方法和系统，该处理器为消息实体(messaging entity)分配了名誉(reputation)。例如，一种方法和系统可以包括接收标识与消息实体的通信相关的一个或多个特性的数据；根据接收的标识数据确定一个名誉分数(reputation score)；其中确定的名誉分数指示出该消息实体的名誉；其中确定的名誉分数用于决定对与该消息实体相关的通信采取什么样的动作。

作为另一个例子，提供了利用传输(transmission)发送者的名誉分数来执行传输过滤的系统和方法。一种系统和方法可以包括：识别关于来自一个发送者的传输的至少一个特性；执行向包括该传输特性的名誉系统的实时查询；接收表示与该传输相关的名誉的分数；以及，对来自该发送者的该传输执行对应于该发送者的名誉分数范围的动作。

作为另一个例子，提供了利用传输的发送者的名誉分数来执行传输的群过滤的系统和方法。例如，一种系统和方法可以包括：根据内容相似性或传输发送者行为的相似性来将多个传输结合成组；识别关于该组中的每个传输的至少一个特性；向名誉系统执行查询，并接收表示每个发送者的名誉的分数；以及根据该组中名誉好的和名誉不好的发送者的比例来为传输组分类(classify)。

作为另一个例子，提供了利用可训练传输集合中的传输发送者的名誉分数来执行过滤系统的调整(tuning)和训练(training)的系统和方法。例如，该方法可以包括：识别关于来自发送者的传输的至少一个特性；向名誉系统执行查询，并接收表示发送者名誉的分数；根据发送者的名誉分数落入的范围将传输分成多个种类(category)；以及，传递这些传输和它们的分类种类到另一个过滤系统的训练器(trainer)，以用于优化该过滤系统。

作为另一个例子，提供了在一个或多个数据处理器上操作以对来自消息实体的通信进行分类的系统和方法。例如，一种系统和方法可以包括：从信息实体接收通信；使用多种消息分类技术来为该通信分类；以及，组合消息分类输出，以生成消息评估分数(profile score)；其中该消息评估分数被用于决定对与该消息实体相关的通信采取什么样的动作。

作为另一个例子，这样的系统和方法可以包括：识别关于来自发送者的传输的至少一个特性；向名誉系统执行查询，并接收表示发送者名誉的分数；根据发送者的名誉分数落入的范围将传输分成多个种类；以及，传递这些传输和它们的类别种类到另一个过滤系统的训练器(trainer)，以用于优化该过滤系统。

作为另一个例子，这样的系统和方法可以包括：从信息实体接收通信；使用多种消息分类技术来为该通信分类；以及，组合消息分类输出，以生成消息评估分数；其中该消息评估分数被用于决定对与该消息实体相关的通信采取什么样的动作。

根据这里公开的教导，提供了在一个或多个对来自消息实体的通信分类的数据处理器上操作的方法和系统。例如，一种系统和方法可以包括多种消息分类技术，其中这些技术被配置为对从消息实体接收的通信进行分类。一种系统和方法还可以进一步包括消息评估(profiling)逻辑，该逻辑配置用于结合消息分类输出以生成消息评估分数，其中该消息评估分数用于决定对与该消息实体相关的通信采取什么样的动作。

作为另一个例子，一种方法和系统可以包括接收从消息实体发送的通信。多种消息分类技术被用于对该通信进行分类。一种消息分类技术是与置信度值(confidence value)相关的，被用于根据该消息分类技术来生成消息分类输出。该消息分类输出被结合，以生成一个消息评估分数。该消息评估分数被用于决定对与该消息实体相关的通信采取什么样的动作。

作为另一个例子，一种系统和方法可以利用多种消息分类技术，其中这多种消息分类技术配置用于对从消息实体接收的通信进行分类。消息评估逻辑可以配置为结合消息分类输出，以生成消息评估分数。消息评估分数用于决定对与该消息实体相关的通信采取什么样的动作。

作为另一个例子，一种系统和方法可以被用于调整由一种或多种消息分类技术所使用的消息分类参数。接收多个输入数据(诸如通过输入逻辑或处理指令)，这些数据是多个通信或者代表了多个通信。一个调整器(tuner)程序被用于调整与消息分类技术相关的消息分类参数。从消息实体接收通信。调整的消息分类参数被多种消息分类技术使用，以对通信分类。来自多种消息分类技术的消息分类输出被组合，以生成消息评估分数。该消息评估分数用于决定对与该消息实体相关的通信采取什么样的动作。

附图说明

图1是描述了用于处理在网络上接收的传输的系统的框图。

图2是描述了被配置为用于确定名誉分数的名誉系统的框图。

图3是描述了在各种计算的概率值的名誉分数的表。

图4是描述了在各种计算的概率值的名誉分数的图。

图5是描述了用于生成名誉分数的操作场景的流程图。

图6是描述了用于确定名誉分数的使用名誉不好标准和名誉好标准的框图。

图7是描述了名誉系统的框图，该名誉系统被配置为以包括发送者的名誉分数的返回值作为响应。

图8是描述了用于处理在网络上接收的传输的系统的框图。

图9是描述了具有消息评估程序的过滤系统的框图。

图10是描述了消息分类调整器程序的框图。

图11是描述了将遗传算法用作消息分类调整器程序的框图。

图12是描述了使用消息评估器的操作场景的流程图。

图13是描述了适于操作自适应性的消息阻塞和列入名誉好名单(whitelisting)的消息评估器的框图。

图14是描述了用于处理在网络上接收的传输的名誉系统的框图。

图15是描述了被配置为确定名誉分数的名誉系统的框图。

图16是描述了在各种计算的概率值的名誉分数表。

图17是描述了服务器访问结构的框图。

具体实施方式

图1在30描述了一个用于处理在网络40上接收的传输的系统。传输可以是许多不同类型的通信，诸如从一个或多个消息实体50发送的电子邮件(e-mail)消息。系统30为消息实体(例如消息实体52)分配一个种类，并且基于分配给该消息实体的种类，对于该消息实体的通信采取一种动作。

系统30使用过滤系统60和名誉系统70来帮助处理来自消息实体50的通信。过滤系统60使用名誉系统70来帮助确定应该对该消息实体的通信采取什么样的过滤操作(如果存在任何操作的话)。例如，可以确定该通信是来自一个名誉好的源，从而该通信不应被过滤。

过滤系统60在62识别一个或多个与接收的通信相关的消息特性，并将该识别的信息提供给名誉系统70。名誉系统70通过计算该识别的消息特性体现特定质量的概率，来估计该名誉。根据计算的概率确定一个全面的名誉分数，并将其提供给过滤系统60。

过滤系统60在64检查该名誉分数，以确定对于该发送者的通信应该采取什么动作(诸如该通信传输是否应该被传送到位于消息接收系统80的该通信所指定的接收者)。过滤系统60可以完全或部分的根据名誉系统70所提供的名誉分数，来决定对通信采取不同的处理。作为举例说明，可以确定通信是来自一个名誉不好的发送者，并且从而该通信应该被处理为垃圾(例如删除、隔离等等)。

可以用许多不同的方式来配置名誉系统，以帮助过滤系统。例如，根据手边的情况，名誉系统70可以位于过滤系统60的外部或内部。作为另一个例子，图2描述了一个名誉系统70，被配置为根据诸如在82所示的发送者身份的消息特性识别信息，来计算名誉分数。应该理解可以使用其他的消息特性，来代替或者附加于发送者身份。另外，传输可以来自许多不同类型的消息实体，诸如域名、IP地址、电话号码、或者个人电子地址或表示一个组织的用户名、计算机、或传送电子消息的个人用户。例如，生成的名誉好或名誉不好的类别可以基于一个IP地址发送不想要的传输或者合法的通信的趋势。

如图2所示，还可以通过识别一组二元、可测试的标准92来建立系统的配置90，该标准表现为好的和不好的发送者之间的强鉴别器。P(NR|C_i)可以被定义为假设发送者符合质量/标准C_i的情况下发送者名誉不好的概率，并且P(R|C_i)可以被定义为假设发送者符合质量/标准C_i的情况下发送者名誉好的概率。

对于每个质量/标准C_i，可以执行周期性的(例如每天、每周、每月等等)采样练习(exercise)来重新计算P(NR|C_i)。采样练习可以包括选择已知质量/标准Ci对其为真的N个发送者的随机样本集S。该采样中的发送者然后被分成以下的集合之一：名誉好的(R)、名誉不好的(NR)或未知的(U)。N_R是在该采样中名誉好的发送者的数目，N_NR是名誉不好的发送者的数目，等等。然后，使用下面的公式来估计P(NR|C_i)和P(R|C_i)：

$P\left(\mathrm{NR}\right|C_i)=\frac{N_{\mathrm{NR}}}{N}$

$P\left(R\right|C_i)=\frac{N_R}{N}$

为了这个目的，确定N＝30为一个足够大的采样尺寸，以获得对于每个质量/标准C_i的P(NR|C_i)和P(R|C_i)的准确的估计。

在为所有的标准计算了P(NR|C_i)和P(R|C_i)之后，计算出的概率被用于为名誉空间中的每个发送者计算总(aggregate)名誉不好的概率94，P_NR，和总名誉好的发送者的概率96，P_R。可以使用下面的公式来计算这些概率：

在实验中，上面的公式对于大范围的输入标准的结合表现非常好，并且在实际中，它们的表现相似于用于精确计算输入标准的“名誉不好”和“名誉好”行为的自然联合条件概率的公式的表现。

在为每个发送者计算了PNR和PR之后，使用下面的名誉函数来为该发送者计算名誉分数：

$f(P_{\mathrm{NR}},P_R)=(c_1+c_2{P}_{\mathrm{NR}}+c_2{P}_R+c_3{P}_{\mathrm{NR}}^2+c_3{P}_R^2+c_4{P}_{\mathrm{NR}}{P}_R+c_5{P}_{\mathrm{NR}}^3$

$+c_5{P}_R^3+c_6{P}_{\mathrm{NR}}{P}_R^2+c_6{P}_{\mathrm{NR}}^2{P}_R)({(P_{\mathrm{NR}}-P_R)}^3+c_7(P_{\mathrm{NR}}-P_R))$

其中

c₁＝86.50

c₂＝-193.45

c₃＝-35.19

c₄＝581.09

c₅＝234.81

c₆＝-233.18

c₇＝0.51

应该理解不同的函数可以用作名誉分数确定器98，并且除了用函数表述，还可以以许多不同的形式来表述。作为举例说明，图3在100描述了一个用于确定名誉分数的表格形式。该表示出了由上面的函数产生的根据P_NR和P_R的名誉分数，P_NR和P_R都在0.0和1.0之间变化。例如在110所示的，对于P_NR＝0.9和P_R＝0.2的组合，获得一个名誉分数53。该名誉分数是相对较高的指示符，指示了该发送者不应被认为是名誉好的。如果P_NR和P_R是相同的(例如像在120所示的，如果P_NR＝0.7和P_R＝0.7，名誉分数就为0)，获得的名誉分数是0。名誉分数可以具有负值，以指示当P_R大于P_NR时发送者是相对名誉好的。例如，如果像在130所示的，P_NR＝0.5和P_R＝0.8，那么名誉分数是-12。

名誉分数可以被图形化示出，如图4的150所描述的。图150是由上面的函数根据P_NR和P_R的分值生的。图4示出了在垃圾环境下的名誉分数确定，其中P_NR和P_R被分别用作正常程度(hamminess)和垃圾程度(spamminess)的概率，每个概率在0.0和1.0之间变化。

如这些例子所示，名誉分数可以是基于通信的特性(例如消息实体特性)和/或消息实体的行为而分配给消息实体的数字形式的名誉。数字名誉可以在名誉好和名誉不好类别的连续范围内浮动。然而，名誉可以是非数字的，诸如通过具有文本的、或者多级文本的类别。

图5描述了一个操作场景，其中名誉系统被过滤系统使用，以产生名誉分数。在该操作场景下，为一个特定的发送者(例如IP地址、域名、电话号码、地址、名字等等)从一组输入数据计算名誉分数。参见图5，在步骤200收集为发送者计算名誉不好和名誉好概率所需的数据。然后该数据在步骤210被集成，并且用于步骤220的概率计算。这包括为发送者确定各种选择的标准的名誉不好概率和名誉好概率。然后为每个发送者计算总名誉不好概率和总名誉好概率。

在为每个发送者计算总名誉不好概率和总名誉好概率之后，在230使用名誉函数来为该发送者计算名誉分数。在步骤240，该发送者的名誉分数分发(distribute)到本地和/或分发到一个或多个系统，以估计与该发送者相关的通信。作为举例说明，名誉分数可以分发给一个过滤系统。利用该名誉分数，过滤系统可以根据该发送者名誉分数落入的范围来选择对该传输所采取的动作。对于名誉不好的发送者，过滤系统可以选择丢弃该传输(例如静静的)、将其保存在隔离区、或者将该传输标记为可疑的。另外，过滤系统可以选择将这种动作应用到一段指定时间的来自该发送者的所有未来的传输，而不要求对名誉系统作出新的查找查询。对于名誉好的发送者，过滤系统可以相似的将该动作应用于传输，以允许它们绕过所有的过滤技术，或特定的导致对过滤系统产生大量的处理、网络、或者存储开销的过滤技术。

应该理解类似于这里描述的其他处理流程，可以改变、修改和/或增加处理以及处理的顺序，并且仍达到期望的结果。例如，提取关于传输的发送者的唯一识别信息的一种可选的附加步骤可以是，使用发送者验证技术，来验证传输的特定部分，诸如消息头部中的假设的发送域名，或者关于发送者的不可伪造(unforgeable)的信息，诸如传输来自的IP地址。这个处理可以允许过滤系统通过查询可以潜在被伪造的、尚未被验证的信息，诸如域名或email地址，来执行在名誉系统上的查找。如果这样的域或地址具有正的名誉，该传输可以直接传送给接收系统，而绕过所有的或某些过滤技术。如果它具有负的名誉，过滤系统可以选择丢弃该传输、将其保存到隔离区、或者将其标记为可疑的。

可以使用许多不同类型的发送者验证技术，诸如发送者策略框架(SPF)技术。SPF是一种域所有者用来发布DNS记录的协议，该DNS记录指示出哪个IP地址被允许代表给定的域发送邮件。作为其他的非限制性例子，可以使用Sender ID或DomainKeys来作为发送者验证技术。

作为另一个例子，在对发送者的通信的处理中可以使用许多不同类型的标准。图6描述了在确定名誉分数中所使用的名誉不好标准300和名誉好标准310。

名誉不好标准300和名誉好标准310有助于区分名誉不好发送者和名誉好发送者。可以经常改变一组标准，而不会严重影响使用该计分技术所产生的名誉分数。作为在SPAM识别的环境下的一种说明，下面是可以在消息发送者的名誉分数计分中使用的垃圾程度标准的列表。该列表不是想要穷举，并且可以适于包括其他的标准或者根据观察到的行为来删除标准。

1.平均垃圾分数：如果其发送的传输的平均垃圾评估分数超过了某个门限W，该发送者就被宣布为“名誉不好的”。

2.RDNS查找失败：如果对于一个发送者的IP地址的反向域名系统(RDNS)查询失败，它就被宣布为“名誉不好的”。

3.RBL从属关系：如果一个发送者包括在一个实时黑名单(real-timeblack-hole list，RBL)中，它就被宣布为“名誉不好的”。(注意：可以使用多个RBL，每个RBL都可以构成一个独立的测试标准。)

4.邮件量(Mail Volume)：如果一个发送者的平均(平均值或中值)传输量超过了一个门限X，它就被宣布为“名誉不好的”，其中X是对一段时期的传输进行测量得出的(诸如一天、一周、或者一个月)。(注意：可以使用在多个时间段上的多个平均量，并且每个平均量都可以构成一个独立的测试标准。)

5.邮件突发性/发送历史：如果一个发送者的平均(平均值或中值)传输流量模式突发性(由较大时间周期内的活跃发送子周期的数目定义，例如，一天中的活跃发送小时的数目，或一月中的活跃发送日的数目)小于某个门限Y，它就被宣布为“名誉不好的”，其中Y是在每个周期的子周期中测量的。(注意，可以使用在多个时间周期上的多个平均突发性测量，并且每个平均突发性测量都可以构成一个单独的测试标准。)

6.邮件宽度：如果一个发送者的平均(平均值或中值)传输流量宽度(由在一个时间段(例如，一天、一周或一月)内从同一个发送者接收传输的系统的百分比来定义)超过了某个门限Z，它就被宣布为“名誉不好的”。(注意：可以使用在多个时间周期上的多个平均宽度，并且每个平均宽度测量都可以构成一个单独的测试标准。)

7.恶意软件行为：如果知道一个发送者在测量期间(例如一天、一周、或一个月)传送了一个或多个恶意软件代码(例如，病毒、间谍软件、入侵代码)，它就被宣布为“名誉不好的”。

8.地址类型：如果知道一个发送者被因特网服务提供商(ISP)动态分配到拨号或宽带动态主机控制协议(DHCP)客户，它就被宣布为“名誉不好的”。

9.CIDR块垃圾程度：如果知道一个发送者的IP地址存在于主要包括“名誉不好的”IP地址的无类域间路由(CIDR)块中，它就被宣布为“名誉不好的”。

10.人员反馈：如果分析这些传输的内容和其他特性的人报告一个发送者发送了不想要的传输，它就被宣布为“名誉不好的”。

11.垃圾陷阱(SpamTrap)反馈：如果一个发送者向已经被宣布为是垃圾陷阱，从而不应接收任何合法传输的账户发送传输，它就被宣布为“名誉不好的”。

12.反弹反馈：如果一个发送者向在目的系统上不存在的账户发送反弹传输或者传输，它就被宣布为“名誉不好的”。

13.法规/标准一致性：如果一个发送者不符合法律、法规、以及传输的发送者和/或接收者的操作所在的国家的已经建立的传输行为标准，它就被宣布为“名誉不好的”。

14.操作连续性：如果一个发送者在发送位置的操作没有长于某个门限Z，它就被宣布为“名誉不好的”。

15.对接收者命令的响应性：如果一个发送者对接收者的终止与该发送者的关系从而不再接收任何来自它的传输的合法的命令，没有在一个合理的时间范围内作出响应，它就被宣布为“名誉不好的”。

下面是在确定发送者的“名誉度(reputability)”中可以使用的“名誉好的”标准的列表。该列表不是想要穷举，并且可以适于包括其他的标准或者根据观察到的行为来删除标准。

1.平均垃圾分数：如果一个发送者发送的传输的平均垃圾评估分数低于某个门限W，该发送者就被宣布为“名誉好的”。

2.人员反馈：如果分析来自该发送者的传输流的人报告了一个发送者仅发送合法的传输，它就被宣布为“名誉好的”，这个人结合拥有这些发送站点的组织的名誉来进行分析。

在为全体发送者的每个发送者计算了名誉级别之后，可以通过一个通信协议使名誉类别有效，利用名誉系统的查询者可以解释该通信协议(例如DNS、HTTP等等)。如图7所示，当发出了对于一个发送者的查询350，名誉系统可用一个包括该发送者的名誉分数的返回值360以及任何可以由查询者利用以作出对该发送者的传输的可接受性的最终判断的其他相关的附加信息(例如名誉分数的寿命、确定该名誉分数的输入数据等等)作为响应。

可以使用的一个通信协议的例子是域名系统(DNS)服务器，它可以以IP地址形式的返回值：172.x.y.z作为响应。可以用下面的公式来编码该IP地址：

$\mathrm{IP}=172.\left(\frac{\mathrm{rep}-\left|\mathrm{rep}\right|}{2\×\mathrm{rep}}\right).\left(\left|\mathrm{rep}\right|\mathrm{div}256\right).\left(\left|\mathrm{rep}\right|\mathrm{mod}256\right)$

被查询的发送者的名誉可以按照如下公式从返回值中进行译码：

rep＝(-1)^2-x×(256y+z)

因此，当x＝0时，返回的名誉是一个正数，并且当x＝1时，返回的名誉是一个负数。名誉的绝对值由y和z的值确定。这种编码方案使得服务器通过DNS协议返回的名誉值的范围在[-65535，65535]以内。它还留出了七个(7)未使用的比特，叫做x的七个高阶比特。这些比特可以被保留用作名誉系统的扩展。(例如，可以将名誉分数的寿命返回给查询者。)

图8在430描述了一个用于处理在网络440上接收的传输的系统。该传输可以是许多不同类型的通信，诸如从一个或多个消息实体450发送的电子邮件(e-mail)。系统430使用过滤系统460来帮助处理来自消息实体450的通信。过滤系统460检查与来自消息实体450的通信相关的特性，并且基于该检查，对该通信采取动作。例如，可以确定一个通信是合法的，从而该通信不应被过滤系统460过滤掉，并且应提供给接收系统70，以将其传送到预定的接收者。

为了适当提高消息分类的准确性(例如垃圾或合法消息)，如图9所示，过滤系统460可以配备消息评估程序500。消息评估器(message profiler)500使用多种消息分类技术，或者如图9所示，使用过滤器510来对消息分类。消息评估器500可以使用的消息分类技术或过滤器510的例子包括：

反向DNS(RDNS)-一种分类技术，根据消息发送者的IP地址来执行反向域名服务(DNS)查找，以检查(1)对于该IP地址在DNS系统中是否存在一个域，以及(2)如果存在这样的域，该域是否与发送者声明要从其发送消息的域相匹配。

实时黑名单(RBL)-一种分类技术，根据消息发送者的IP地址来执行一个或多个实时黑名单(RBL)查询，以检查该IP地址是否被任何RBL标识为可能发送不想要的消息的IP地址。

名誉服务器-一种分类技术，根据消息发送者的IP地址和/或它们的域名和其他消息发送者特性来执行一个或多个名誉服务器查询，以接收描述该发送者的名誉的分数。

基于签名/指纹的分析(例如静态查找服务(SLS))-一种分类技术，计算一组消息散列(hash)，并查询集中静态查找服务(SLS)，以确定计算的消息散列在最近的邮件流中出现的多频繁。

消息头部分析分类技术-作为例子，该技术可以包括系统定义的头部分析(SDHA)、用户定义的头部分析(UDHA)等等。

系统定义的头部分析(SDHA)-一组分类技术，检查一个消息并识别该消息的头部是否体现了某些系统定义的可能标识不想要的消息发送者的特性。

用户定义的头部分析(UDHA)-一组分类技术，检查一个消息并确定该消息的头部是否体现了某些用户定义的可能标识不想要的消息发送者的特性。

发送者验证-一组分类技术，执行查找，以确定(1)发送者所声明的域是否发布了被授权为该域发送邮件的邮件服务器的记录，以及(2)如果发布了这样的记录，该记录是否授权该发送者的IP地址代表所声明的域发送邮件。通常使用的发送者验证技术的例子包括发送者策略框架(SPF)和发送者ID。

贝叶斯定理过滤-一种统计分类技术，根据消息中的文本令牌(单词)组，来估计消息落入指定种类的联合条件概率。

力容过滤-一种分类技术，搜索消息内容中已经与特定的消息类别相关联的单词。

聚类分类-一种分类技术，基于对特征间的相似性的测量，将通信聚类为不同的组，诸如想要的、不想要的(例如垃圾)等等。执行聚类，使得组内的相似性高而组间的相似性低。

该列表不是想要穷举，并且可以适于包括其他的发现的技术。该列表中的某些描述构成了一个单独的技术，而其他的描述构成了许多相似的或非常相关的技术的组合。当多种技术被结合在一起描述时，消息评估器500允许每种技术有它自己的置信度值。

消息评估器500使用基于门限的技术来对消息分类。消息评估器500使用的每种分类技术510都有一个相关的置信度值520。当消息抵达进行评估，消息评估器500在分类技术中重复，并允许每种技术都尝试对该消息分类。每种分类的结果都是[0，1]范围内的小数值。当每种分类技术都重复过后，消息评估器500使用下面的公式来为该消息计算一个分数(Score)：

$\mathrm{Score}=\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{\mathrm{SV}}_i\×C_i$

其中SV_i是与分类技术i相关联的置信度值，而C_i是由分类技术i产生的在[0，1]之间的分类值。

在用非线性计分函数来使用分类技术时，可以使用下面的公式：

$\mathrm{Score}=\underset{i=1}{\overset{N}{\mathrm{\Σ}}}({\mathrm{SV}}_{1i}\×C_i+{\mathrm{SV}}_{2i}\×C_i^2)$

其中SV_1i和SV_2i是与分类技术i相关联的置信度值，而C_i是由分类技术i产生的在[0，1]之间的分类值。

如果消息的分数超过了在520确定的某些特定门限T，那么该消息被宣布属于第一种定义的种类。如果消息分数低于该门限，它被宣布属于相反的种类。然后系统可以根据消息分数所达到的门限来采取适当的动作，诸如隔离该消息、丢弃该消息(也就是如530所示的删除该消息而不传送)、重写该消息的主题以包含一些特定的字符串(例如“怀疑是垃圾”)、将消息传递给加密引擎以安全地传送，等等。系统还可以允许指定多个门限并对每个门限应用不同的动作，这意味着对消息评估器500的分类结果有更好的置信度。

消息评估器500的有效性和准确性是依赖于几个因素的，诸如与分类技术510相关联的SV_i或SV_1i/SV_2i置信度值520的集合。可以使用可调整的消息分类配置来生成一个优化的值的集合，以及相关的门限和动作的集合，并且这些可以周期性地生成，以使消息评估器500保持最新的保护更新，该最新保护针对在连续改变的消息流模式上操作的分类技术的分数发布的频繁变化。这样，消息评估器的配置包括一个矢量

(SV₁，SV₂，...，SV_N)

(代表了所有N种分类技术的置信度值)。

如图10所示，消息分类调整器程序600可以被配置用于调整消息评估器500，通过在所有可能的矢量的矢量空间中执行概率搜索，并指定使评估器对于一个预先选择的门限的过滤准确性最大的矢量。调整器600可以采用不同的方法来达到这点，诸如通过使用启发式的方法610。

图11示出了使用遗传算法650的启发式方法，以执行矢量空间搜索的调整器。这个概念以来自进化理论的遗传算法为基础，其中基因型(表述为染色体)通过它们的显型(表述为生物有机体)来互相竞争。随着时间的过去，生物进化产生了高适应性的和复杂的有机体，它们能够在它们所发展的环境中生存。相似的，遗传算法搜索包括一个问题的多个候选方案的矢量空间，其中每个候选方案被表述为一个矢量。通过对候选方案的产生进行多次模拟，遗传算法逐渐进化出对该问题更加适合的方案。

遗传算法能够随着时间的过去而进化出对一个问题的好的方案，这依赖于一种准确评估候选方案相对于其他候选方案的相对适应水平的机制的存在。从而，遗传算法650被设计为具有适应性(Fitness)函数660，它对实际问题域中的候选方案的适应性进行了准确的建模。

下面是一个可以用来优化消息评估器500的适应性函数660：

$\mathrm{Fitness}=\frac{\mathrm{\Σ}|S_{\mathrm{CAT}1\_{\mathrm{MISTAKES}}_i}-T|}{N_{\mathrm{CAT}1}}+C\×\frac{\mathrm{\Σ}|S_{\mathrm{CAT}2\_{\mathrm{MIKSTAKES}}_j}-T+1|}{N_{\mathrm{CAT}2}}$

函数中的术语定义如下：

N_CAT1＝来自属于第一类别的全体数据集的消息矢量的数目；

N_CAT2＝来自属于第二类别的全体数据集的消息矢量的数目；

C＝对于来自第二类别的误分类的消息的常数乘数；

S_{CAT1_MISTAKEi}＝来自第一消息类别的被误分类到其他类别的消息矢量i的消息评估器分数；

S_{CAT2_MISTAKEi}＝来自第二消息类别的被误分类到其他类别的消息矢量i的消息评估器分数；

T＝消息评估器数字门限，当高于该门限，消息就被认为属于第一类别。

该函数表述了与一种配置作出的错误相关的代价，这种错误是在尝试对预先分类的数据集合中的消息矢量进行正确分类过程中作出的。相应的，为了遗传算法的目的，较低的适应性值被认为是较好的。该函数中的第一个术语表述了与来自第一类别的被误分类到属于第二类别(例如将不想要的消息分类成合法的，也称为误否定)的消息相关的代价，以及第二个术语表述了与来自第二类别的被误分类到属于第一类别(例如将合法的消息分类成不想要的，也称为误肯定)的消息相关的代价。该和代表了一种配置在尝试对消息矢量进行分类时发生错误的点的总数。直观的，每个术语基本上都既表述了平均分类错误频率，也表述了平均分类错误数量。注意第二个术语将乘以常数C。该常数(可以设置为值20)代表了对来自一种类别的消息误分类相对于对来自相反类别的消息误分类的相对代价。通过将C设定为20，这指示出对来自第二类别的消息的分类错误是对来自第二类别的消息的分类错误的代价的20倍。例如，如果消息评估器500被用于对想要的和不想要的邮件进行分类，第一类别表示不想要的邮件(例如垃圾)，第二类别表示合法的消息。那么上述函数会认为对合法消息的误分类(误肯定)是对不想要消息的误分类(误否定)的代价的20倍。这反映出在现实世界的反垃圾环境下，误肯定比误否定承担了更高的风险。如果用消息评估器500来进行与策略符合性相关的分类，误肯定就是一个消息包含敏感信息，但是消息评估器500没有将其这样标记，因此该消息被允许逃避了由一个组织选择的要应用到特定类别的策略。

图12描述了一个可以使用消息评估器的操作场景。参加图12，该操作场景包括在步骤710接收从一个消息实体在网络上发送的通信。然后在710使用多种消息分类技术，以分类该通信。每种消息分类技术与一个置信度值相关联，该置信度值用于从该消息分类技术生成一个消息分类输出。每种分类的输出可以是数字值、文本值、或者类别值。在步骤720，将消息分类输出组合，以在步骤730生成一个消息评估分数。在步骤740使用该消息评估分数来决定对于与该消息实体相关联的通信采取什么动作。

应该理解类似于这里描述的其他处理流程，可以更换、修改和/或增加处理和处理的顺序，并且仍达到期望的结果。例如，可以为如下操作场景配置消息评估器，该场景认识到只用一种技术不能充分地将消息分成两个不同的种类，诸如在想要的(合法的)和不想要的(垃圾、钓鱼攻击、病毒等等)消息通信之间区分，或者确定消息是否符合一种特定的组织策略、法律或法规。在这个操作场景中，可以将这样配置的消息评估器设计为：

1.提供一个框架，以将许多消息分类技术的结果组合成一种集成的分类(诸如“不想要的”或“合法的”、“符合HIPPA的”、“违反GLBA的”、“违反HR策略的”，等等)，而不提前指定将使用哪种分类技术。

2.从每种分类技术的逻辑中分离它的重要性(通过它对集成的分类的贡献来表述)，从而可以调整一种技术的重要性水平，以反映它的准确性随时间的变化。

3.提供一种机制，通过该机制来描述该框架内的每种分类技术的相对重要性和它们独自的准确性的相关性，从而可以调整该框架，以使用这种信息来达到集成分类的非常好的准确率。

4.提供一种机制，通过该机制来发现该框架内的每种分类技术的相对重要性，从而可以“调整”该框架来将给定环境下的分类准确率最大化。

另外，可以将消息评估器配置为在其他操作场景下操作。例如，图13描述了一个消息评估器，其适用于进行自适应性的消息阻塞和列入名誉好的名单的操作。参考图13，除了对单独的消息的分类，消息评估器程序500的集成结果还可以被用于在820基于接收到的发送者的消息的消息评估分数来对消息的发送者进行分类。如果在一个指定的时间段内(例如小时、天、周)从一个特定发送者接收的消息的平均分数超过了一个指定的门限T_U，并且该分数分布的标准偏差小于ST_U，可以将该发送者分类为“名誉不好的”(该信息被存储在数据存储区840)。然后过程800可以使用来自数据存储区840的数据，来确定从这样的发送者发起的所有消息和连接在810都可以被丢弃，而在接下来的X个小时都不进行处理。相应的，如果该平均分数低于门限T_L，其标准偏差也小于ST_L，可以将该发送者视为合法的(其信息被存储在数据存储区830)，并且从该发送者发送的消息可以由过程800允许绕过特定的、可以引起该过滤系统460的大量处理、网络或存储开销的过滤技术(例如消息评估器500的过滤)。

消息评估器还可以与过滤系统内部和外部的适应性训练相关联使用。使用这里所述的发送者分类器的系统和方法，消息评估器可以被用于训练在该评估内使用的各种过滤技术，以及其他完全位于评估之外的过滤技术。这样的技术包括Bayesian、支持矢量机(SVM)和其他统计内容过滤技术，以及基于签名的技术，诸如统计查找服务(SLS)和消息聚类类型技术。对这样的技术的训练策略可以使用由消息评估器根据发送者的名誉提供的、已分类的合法的和不想要的消息的集合，该名誉是从来自发送者的消息的总分数中分配的。来自分类为名誉不好的发送者的消息可以作为不想要的消息被提供到过滤系统训练器，并且想要的消息会从合法的发送者发送的流中取出。

如上所述，消息评估器500可以使用基于名誉的方法作为一种分类方法。图14在900描述了一种名誉系统，它可以由过滤系统460在处理在网络上接收的来自消息实体450的传输中使用。更特别的，过滤系统460使用名誉系统900来帮助确定(至少部分确定)应该对消息实体的通信采取什么过滤动作(如果有任何动作的话)。例如，通信可以被确定为来自一个名誉好的源，从而该通信不应被过滤。

过滤系统460在950识别了接收的通信的发送者，并且向名誉系统900提供该识别信息。名誉系统900通过计算消息实体表现出特定特性的概率，来评估要查询的发送者的身份的名誉。根据计算的概率来确定一个整体的名誉分数，并且将之提供给过滤系统460。名誉分数可以是数字的、文本的、或者类别的。

过滤系统460在952确定对发送者的通信应该采取什么动作。过滤系统460可以将来自名誉系统900的名誉分数用作消息分类过滤器，该名誉分数被乘以相应的调整过的置信度值，然后与其他消息分类过滤器结果集成在一起。

可以按许多不同的方式来配置名誉系统，以帮助过滤系统。例如，图15描述了被配置用于计算名誉分数的名誉系统900。可以通过指定一组二元的、可测试的标准1002来建立系统的配置1000，这些标准表现为好的和坏的发送者的强鉴别器。P(NR|C_i)可以被定义为假设发送者符合质量/标准C_i的情况下该发送者名誉不好的概率，并且P(R|C_i)可以被定义为假设发送者符合质量/标准C_i的情况下该发送者名誉好的概率。

对于每个质量/标准C_i，可以执行周期性的(例如每天、每周、每月等等)采样练习来重新计算P(NR|C_i)。采样练习可以包括选择已知质量/标准C_i对其为真的N个发送者的随机采样集S。该采样中的发送者然后被分成以下的集合之一：名誉好的(R)、名誉不好的(NR)或未知的(U)。N_R是在该采样中名誉好的发送者的数目，N_NR是名誉不好的发送者的数目，等等。然后，使用下面的公式来估计P(NR|C_i)和P(R|C_i)：

$P\left(\mathrm{NR}\right|C_i)=\frac{N_{\mathrm{NR}}}{N}$

$P\left(R\right|C_i)=\frac{N_R}{N}$

为了这个目的，确定N＝30为一个足够大的采样尺寸，以获得对于每个质量/标准C_i的P(NR|C_i)和P(R|C_i)的准确估计。

在为所有的标准计算了P(NR|C_i)和P(R|C_i)之后，计算出的概率被用于为名誉空间中的每个发送者计算总名誉不好的概率1004，P_NR，和总名誉好的概率1006，P_R。可以使用下面的公式来计算这些概率：

在实验中，上面的公式对于大范围的输入标准的结合表现非常好，并且在实际中，它们的表现相似于用于精确计算输入标准的“名誉不好”和“名誉好”的行为的自然联合条件概率的公式的表现。

在为每个发送者计算了P_NR和P_R之后，使用下面的名誉公式来为该发送者计算名誉分数：

$f(P_{\mathrm{NR}},P_R)=(c_1+c_2{P}_{\mathrm{NR}}+c_2{P}_R+c_3{P}_{\mathrm{NR}}^2+c_3{P}_R^2+c_4{P}_{\mathrm{NR}}{P}_R+c_5{P}_{\mathrm{NR}}^3$

$+c_5{P}_R^3+c_6{P}_{\mathrm{NR}}{P}_R^2+c_6{P}_{\mathrm{NR}}^2{P}_R)({(P_{\mathrm{NR}}-P_R)}^3+c_7(P_{\mathrm{NR}}-P_R))$

其中

c₁＝86.50

c₂＝-193.45

c₃＝-35.19

c₄＝581.09

c₅＝234.81

c₆＝-233.18

c₇＝0.51

应该理解不同的函数可以用作名誉分数确定器1008，并且除了用函数表述，还可以以许多不同的形式来表述。作为说明，图16在1100描述了一个用于确定名誉分数的表格形式。该表示出了由上面的函数产生的根据P_NR和P_R的值的名誉分数，P_NR和P_R在0.0和1.0之间变化。例如在1110所示的，对于PNR＝0.9和P_R＝0.2的组合，获得一个名誉分数53。该名誉分数是相对较高的指示符，指示了该发送者不应被认为是名誉好的。如果P_NR和P_R是相同的(例如像在1120所示的，如果P_NR＝0.7和P_R＝0.7，名誉分数就为0)，获得的名誉分数是0。名誉分数可以是负值，以指示当P_R大于P_NR时发送者是相对名誉好的。例如，如果像在1130所示的，P_NR＝0.5和P_R＝0.8，那么名誉分数是-12。

在名誉系统对发送者的通信的处理中可以使用许多不同类型的标准，诸如使用名誉不好的标准和名誉好的标准来确定名誉分数。这样的标准的例子在2004年12月5日提交的序列号为60/625,507，名称为“消息实体的分类(CLASSIFICATION 0F MESSAGING ENTITIES)”美国临时申请中所公开。

这里公开的系统和方法只是通过举例方式来提出的，并且不是要限制本发明的范围。上述的系统和方法的其他变型对于本领域技术人员而言是显而易见的，从而被认为包括在本发明的范围之内。例如，一种系统和方法可以被配置为处理许多不同类型的通信，诸如合法消息或不想要的通信或违反预先选择的策略的通信。作为举例说明，不想要的通信可以包括垃圾或病毒通信，预先选择的策略可以包括团体通信策略、消息策略、法规或名誉策略、或者国际通信策略。

这里公开的系统和方法的广范围和变型的另一个例子是，该系统和方法可以实现在各种类型的计算机体系结构上，诸如在不同类型的网络环境上。作为举例说明，图17描述了一种服务器访问体系结构，其中可以使用所公开的系统和方法(例如在图17的1330所示的)。这个例子中的体系结构包括一个团体的局域网1290和位于该局域网1290内的许多计算机系统。这些系统可以包括应用服务器1220，诸如Web服务器和e-mail服务器、运行诸如e-mail阅读器和Web浏览器的本地客户端1230的用户工作站、以及诸如数据库和网络连接的盘的数据存储设备1210。这些系统通过诸如以太网1250的局域网来互相通信。防火墙系统1240位于局域网和因特网1260之间。连接到因特网1260的是外部服务器1270的主机和外部客户端1280。应该理解本公开可以是任意的网络，包括但不限制于内联网、无线网、广域网、局域网、以及它们的组合，以利于部件之间的通信。

本地客户端1230可以通过本地通信网访问应用服务器1220和共享的数据存储区1210。外部客户端1280可以通过因特网1260访问外部应用服务器1270。在本地服务器1220或者本地客户端1230要求访问外部服务器1270，或者外部客户端1280或外部服务器1270要求访问本地服务器1220的情况下，在给定的应用服务器的适当协议中的电子通信流经防火墙系统1240的“一直开放”的端口。

这里公开的系统1330可以位于连接到诸如以太网1280的本地通信网的硬件设备中或一个或多个服务器上，并且在逻辑上介于防火墙系统1240与本地服务器1220和客户端1230之间。尝试穿过防火墙系统1240来进入或离开本地通信网络的与应用相关的电子通信被路由到系统1330。

在图17的例子中，系统1330可以被配置为存储并处理关于数百万计的发送者的名誉数据，作为威胁(threat)管理系统的一部分。这将允许威胁管理系统对于允许或阻塞电子邮件(e-mail)作出更好的通知的决定。

系统1330可以用于处理许多不同类型的e-mail，并且其用于e-mail传输、传送和处理的各种协议包括SMTP和POP3。这些协议分别指用于在服务器之间传送e-mail消息的标准和用于与e-mail消息相关的服务器-客户通信的标准。这些协议在由IETF(因特网工程任务组)发布的特别RFC(请求评论)中分别进行定义。SMTP协议在RFC 1221中定义，而POP3协议在RFC 1939中定义。

自从有了这些标准，在e-mail领域就产生了各种需求，导致进一步的标准的产生，包括增强的或附加的协议。例如，对SMTP标准产生的各种增强导致了扩展SMTP的产生。扩展的例子可以见于(1)RFC 1869，它通过定义一种装置来定义用于扩展SMTP业务的框架，从而服务器SMTP可以通知客户端SMTP关于它所支持的业务的扩展，以及(2)RFC 1891，它定义了对SMTP业务的一种扩展，允许SMTP客户指定(a)在特定条件下应该产生的传送状态通知(DSN)，(b)这样的通知是否应该返回消息的内容，以及(c)附加信息，与DSN一起返回，允许发送者识别发出的DSN的接收者，以及发送的原始消息所在的事务。

另外，发展出了IMAP协议，作为POP3协议的替代，它支持e-mail服务器与客户端之间的更多的高级交互。该协议在RFC 2060中描述。

在网络上还广泛使用其他的通信机制。这些通信机制包括，但不限制于，IP上的语音(VoIP)和即时消息。VoIP被用于IP电话，以提供使用网际协议(IP)来管理语音信息的传送的一组设施。即时消息是一种涉及客户端接通传送实时通信(例如对话)的即时消息业务的通信。

随着因特网的使用更加广泛，它还为用户带来新的麻烦。特别的，在近期由个人用户接收到的垃圾信息量急剧增加。本说明书所使用的垃圾是指或者是未经请求的、或者是接收者不想要的任意的通信收据。可以按照这里公开的来配置一种系统和方法，以解决这些类型的未经请求的或不想要的通信。这对于减少消耗团体资源并影响生产率的e-mail垃圾是有帮助的。

要进一步说明的是这里公开的系统和方法所使用的数据信号可以通过网络(例如局域网、广域网、因特网等等)、光纤介质、载波、无限网等等来传送，以与一个或多个数据处理设备通信。数字信号可以承载这里所公开的提供给一个设备或来自一个设备的任意的或全部的数据。

另外，这里描述的方法和系统可以通过程序代码而实现于许多不同类型的处理设备上，该程序代码包括了可以由一个或多个处理器执行的程序指令。软件程序指令可以包括源代码、目标代码、机器码、或者能够被操作来使得处理系统执行这里所描述的方法的任意其他存储的数据。

系统和方法的数据(例如关联、映射等等)可以一种或多种不同类型的计算机实现的方法来存储和实现，诸如不同类型的存储设备和编程构造(例如数据存储器、RAM、ROM、闪存、平面文件、数据库、编程数据结构、编程变量、IF-THEN(或类似类型)表述构造，等等)。要说明的是数据结构描述了在数据库、程序、存储器或者由计算机程序使用的其他的计算机可读介质中在组织和存储数据中使用的格式。

可以在许多不同类型的计算机可读介质上提供所述系统和方法，这些可读介质包括计算机存储机制(例如CD-ROM、软盘、RAM、闪存、计算机硬驱动、等等)，它包含由处理器执行以便完成这里描述的方法的操作和实现这里描述的系统的指令。

这里描述的计算机部件、软件模块、功能以及数据结构可以被直接或间接的互相连接，以允许它们的操作所需的数据的流动。还要注意软件指令或模块可以例如实现为代码的子程序单元、或者代码的软件功能单元、或者对象(在面向对象的范例中)、或者小程序、或者计算机脚本语言、或者另一种计算机代码或固件。根据手边的情况，软件部件和/或功能可以位于一个单独的设备上或者位于分散的多个设备上。

应该理解，就像在这里的说明书和通篇的权利要求中使用的，“一个”、“一”和“该”的意思包括复数引用，除非上下文明确的说明不包括。还有，像在这里的说明书和之后的通篇权利要求中使用的，“中”的意思包括“中”和“上”，除非上下文明确的说明不包括。最后，像在这里的说明书和之后的通篇权利要求中使用的，“和”和“或”的意思包括联合性(conjunctive)的和分离性(dis junctive)的两者，并且可以互换使用，除非上下文明确的说明不可以；短语“异或”可以被用于说明只能应用分离的含义的情况。

Claims (39)

1、一种用于在一个或多个数据处理器上操作以将名誉分配给消息实体的方法，包括：

接收标识与消息实体的通信相关的一个或多个特性的数据；

基于接收的标识数据来确定名誉分数；

其中确定的名誉分数指示该消息实体的名誉；

其中确定的名誉分数用于决定对与该消息实体相关的通信采取什么动作。

2、权利要求1的方法，其中确定的名誉分数被分发到一个或多个计算机系统，以用于过滤传输。

3、权利要求1的方法，其中确定的名誉分数被本地分发给一程序，以用于过滤传输。

4、权利要求1的方法，进一步包括：

基于接收的标识数据来确定名誉指示概率；

其中名誉指示概率指示出消息实体的名誉度，该名誉度是基于识别出的一个或多个通信特性体现或者符合一个或多个与名誉相关的标准的程度；

其中确定名誉分数包括基于所确定的概率的集成来确定名誉分数。

5、权利要求1的方法，进一步包括：

指定用于区分名誉好的和名誉不好的类别的标准的集合；

其中该标准包括名誉不好的标准和名誉好的标准；

使用统计采样来估计消息实体表现出每个标准的条件概率；

为每个消息实体计算名誉，其中计算步骤包括：

通过计算在给定该消息实体所体现的或符合的标准集合，和体现或符合每个这样的标准的消息实体实际上是名誉好的消息实体的单独条件概率的情况下，该消息实体名誉好的联合条件概率的估计值，来计算该消息实体应得到好的名誉的概率；

通过计算在给定该消息实体所体现的或符合的标准集合，和体现或符合每个这样的标准的消息实体实际上是名誉坏的消息实体的单独条件概率的情况下，该消息实体名誉不好的联合条件概率的估计值，来计算该消息实体应得到否定名誉的概率；

通过对这些概率应用函数来为消息实体计算名誉。

6、权利要求5的方法，其中每个消息实体的名誉被以32位、带点的十进制IP地址的形式编码；所述方法进一步包括：

创建一个域名服务器(DNS)地区，它包括全体消息实体内的所有消息实体的名誉；以及

通过DNS协议将消息实体的名誉分发给利用该名誉来工作的一个或多个计算机系统。

7、权利要求5的方法，其中标准集合是从这样的组中选择出来的量度：平均垃圾评估器分数；反向域名服务器查找失败；一个或多个实时黑名单(RBL)上的成员；邮件量；邮件突发性；邮件宽度；地理位置；恶意软件行为；地址类型；无类域间路由(CIDR)块，包括一些指定为发送垃圾的网际协议地址；用户申诉率；蜜罐检测率；不能传送的传输比率；识别的与法律、法规的一致性；传输行为的已建立好的标准；操作连续性；对接收者命令的响应性；以及它们的组合。

8、权利要求5的方法，其中用于将消息实体的名誉编码成32位带点的十进制IP地址的函数是：

$\mathrm{IP}=172.\left(\frac{\mathrm{rep}-\left|\mathrm{rep}\right|}{2\×\mathrm{rep}}\right).\left(\left|\mathrm{rep}\right|\mathrm{div}256\right).\left(\left|\mathrm{rep}\right|\mathrm{mod}256\right).$

9、权利要求1的方法，进一步包括：

基于接收的标识数据确定名誉指示概率；

其中名誉指示概率指示出消息实体的名誉度，该名誉度是基于识别出的一个或多个通信特性体现或者符合一个或多个与名誉相关的标准的程度；

其中确定名誉分数包括基于所确定的概率的集成确定名誉分数；

其中所述名誉分数的确定是基于给所确定的概率的集成应用一个函数；

其中该函数是该消息实体体现出与名誉相关的标准的每个概率的函数。

10、一种利用传输发送者的名誉分数来执行传输过滤的方法，该方法包括：

识别关于来自发送者的传输的至少一个特性；

向包括该传输特性的名誉系统执行实时查询；

接收表示与该传输相关的名誉的分数；

对应于该发送者的名誉的分数范围，对来自该发送者的传输执行动作。

11、权利要求10的方法，其中所述动作包括以下的动作至少之一：在一段预定时间内或对于预定的传输数目拒绝来自该发送者的所有进一步的传输；在一段预定时间内或对于预定的传输数目静静的丢弃所有来自该发送者的进一步的传输；在一段预定时间内或对于预定的传输数目隔离所有来自该发送者的进一步的传输；在一段预定时间内或对于预定的传输数目对于来自该发送者的所有进一步传输绕过特定过滤测试。

12、权利要求10的方法，其中识别至少一个特性的步骤包括提取关于该传输的唯一标识信息，或者验证关于该传输的唯一标识信息，或者它们的组合。

13、一种利用传输的发送者的名誉分数来执行对传输组的过滤的方法，该方法包括：

基于内容的相似性或者传输发送者行为的相似性，将多个传输分组在一起；

识别关于该分组中的每个传输的至少一个特性；

向名誉系统执行查询，并接收表示每个发送者的名誉的分数；

基于组中名誉好和名誉不好的发送者的百分比，对传输组分类。

14、权利要求13的方法，其中识别至少一个特性的步骤包括提取关于该传输的唯一标识信息，或者验证关于该传输的唯一标识信息，或者它们的组合。

15、一种利用可训练传输集合中传输的发送者的名誉分数来执行过滤系统的调整和训练的方法，该方法包括：

识别关于来自发送者的传输的至少一个特性；

向名誉系统执行查询，并接收表示发送者的名誉的分数；

基于发送者的名誉分数落入的范围，将传输分类成多个类别；

将传输和它们的分类类别传递给另一个过滤系统的训练器，以用于优化该过滤系统。

16、权利要求15的方法，其中识别至少一个特性的步骤包括提取关于该传输的唯一标识信息，或者验证关于该传输的唯一标识信息，或者它们的组合。

17、一种在一个或多个数据处理器上操作以对来自消息实体的通信进行分类的方法包括：

从消息实体接收通信；

使用多种消息分类技术来对该通信分类；

将消息分类输出组合，以生成消息评估分数；

其中该消息评估分数被用于决定对于与该消息实体相关的通信采取什么动作。

18、权利要求17的方法，其中该通信是e-mail消息或VoIP通信或即时消息通信。

19、权利要求17的方法，其中该通信是合法的e-mail消息或垃圾或病毒或违反团体策略的通信。

20、权利要求17的方法，其中消息分类技术包括从下组中选择的至少两种技术：反向DNS(RDNS)分类技术、实时黑名单(RBL)分类技术、名誉服务器分类技术、基于签名的分类技术、基于指纹的分类技术、消息头部分析分类技术、发送者验证集合分类技术、贝叶斯过滤统计分类技术、聚类分类技术、以及内容过滤分类技术。

21、权利要求17的方法，其中每种消息分类技术都与一个置信度值相关联，该置信度值在从该消息分类技术生成消息分类输出中使用。

22、权利要求21的方法，其中来自每种分类技术的过滤器值被乘以与其相关的置信度值，以生成消息分类输出。

23、权利要求22的方法，其中消息评估分数的确定是通过：

$\mathrm{Score}=\underset{i=1}{\overset{N}{\mathrm{\Σ}}}{\mathrm{SV}}_i\×C_i$

其中SV_i是与分类技术i相关联的置信度值，而C_i是由分类技术i产生的分类技术输出。

24、权利要求22的方法，其中消息评估分数的确定是通过：

$\mathrm{Score}=\underset{i=1}{\overset{N}{\mathrm{\Σ}}}({\mathrm{SV}}_{1i}\×C_i+{\mathrm{SV}}_{2i}\×C_i^2)$

其中SV_1i和SV_2i是与分类技术i相关联的置信度值，而C_i是由分类技术i产生的分类技术输出。

25、权利要求17的方法，其中至少一种消息分类技术包括名誉计分技术；其中名誉计分技术为消息实体分配一个名誉概率；其中名誉指示概率指示出消息实体的名誉度，该名誉度是基于识别出的一个或多个通信特性体现或者符合一个或多个与名誉相关的标准的程度。

26、一种用于在一个或多个数据处理器上操作以对来自消息实体的通信进行分类的系统包括：

多种消息分类技术；

其中这多种分类技术被配置为对从消息实体接收的通信进行分类；

消息评估逻辑，被配置为将消息分类输出组合，以生成消息评估分数；

其中该消息评估分数被用于决定对于与该消息实体相关的通信采取什么动作。

27、权利要求26的系统，其中该通信是合法消息或不想要的通信或违反预先选择的策略的通信；并且

其中不想要的通信包括垃圾或病毒通信；

其中预先选择的策略包括团体通信策略、消息策略、法规或规章策略、或国际通信策略。

28、权利要求26的系统，其中每种消息分类技术都与一个置信度值相关联，该置信度值被用于从该消息分类技术生成消息分类输出；以及

其中来自每种分类技术的过滤器值被乘以与其相关的置信度值，以生成消息分类输出。

29、权利要求28的系统，其中调整器程序被用于调整与消息分类技术相关的置信度值。

30、权利要求29的系统，其中调整器程序使用启发式方法来调整置信度值。

31、权利要求29的系统，其中调整器程序使用遗传算法来调整置信度值；

其中该遗传算法被设计为具有适应性函数，该函数对实际问题域中的候选方案的适应性建模；以及

其中该适应性函数表述了与一种配置作出的错误相关的代价，这种错误是在尝试对预先分类的数据集合中的消息矢量进行正确分类过程中作出的。

32、权利要求31的系统，其中该系统被配置为进行自适应性的消息阻塞和列入名誉好名单。

33、一种在一个或多个数据处理器上操作的用于由一种或多种消息分类技术使用来调整消息分类参数的方法，包括：

接收是或代表多个通信的多个输入数据；

使用调整器程序来调整与消息分类技术相关的消息分类参数；

其中从消息实体接收通信；

其中被调整的消息分类参数由多种消息分类技术使用来分类接收到的通信；

其中来自多种消息分类技术的消息分类输出被组合，以生成消息评估分数；

其中该消息评估分数被用于决定对于与该消息实体相关的通信采取什么动作。

34、权利要求33的方法，其中消息分类参数包括置信度值。

35、权利要求34的方法，其中调整器程序使用启发式方法来调整置信度值。

36、权利要求35的方法，其中调整器程序使用遗传算法来调整置信度值。

37、权利要求36的方法，其中该遗传算法被设计为具有适应性函数，该函数对实际问题域中的候选方案的适应性建模；以及

其中该适应性函数表述了与一种配置作出的错误相关的代价，这种错误是在尝试对预先分类的数据集合中的消息矢量进行正确分类过程中作出的。

38、权利要求36的方法，其中适应性函数是：

$\mathrm{Fitness}=\frac{\mathrm{\Σ}|S_{\mathrm{CAT}1\_\mathrm{MISTAKESi}}-T|}{N_{\mathrm{CAT}1}}+C\×\frac{\mathrm{\Σ}|S_{\mathrm{CAT}2\_\mathrm{MIKSTAKESj}}-T+1|}{N_{\mathrm{CAT}2}}$

其中N_CAT1是来自属于第一类别的全体数据集的消息矢量的数目；

其中N_CAT2是来自属于第二类别的全体数据集的消息矢量的数目；

其中C是对于来自第二类别的误分类的消息的常数乘数；

其中S_{CAT1_MISTAKEi}是来自第一消息类别的被误分类到其他类别的消息矢量i的消息评估器分数；

其中S_{CAT2_MISTAKEi}是来自第二消息类别的被误分类到其他类别的消息矢量i的消息评估器分数；

其中T是消息评估器数字门限，当高于该门限，消息就被认为属于第一类别。

39、权利要求36的方法，其中该方法被配置为进行自适应性的消息阻塞和列入名誉好名单。

Images