Область техники
Настоящее изобретение относится к системам и способам фильтрации сообщений на основе отчетов пользователей.
Уровень техники
В условиях широкого развития новых видов Интернет-рекламы, спам остается одним из наиболее популярных для заказчиков благодаря низким затратам на рекламу. По различным оценкам в последние несколько лет доля спама составляет 70-80% от общего объема всего почтового графика Интернета.
Под спамом понимается массовая рассылка коммерческой и иной рекламы или иного вида сообщений (информации) лицам, не выражавшим желания их получать. Первоначально термин «спам» употреблялся применительно к рассылке электронных писем, однако со временем для распространения спама стали применять и другие способы, такие как, например, средства мгновенного обмена сообщениями (IM), веб-сайты (социальные сети и сайты знакомств, Интернет-блоги и Интернет-форумы), а также SMS- и MMS-сообщения.
В результате своего широкого распространения из обычного вида Интернет - рекламы спам постепенно вырос в серьезную техническую и экономическую проблему. Предпосылкой этому стало то, что большой объем спама приводит к увеличению нагрузки на каналы передачи данных, росту объема Интернет-графика, оплачивать который приходится пользователю, а также к тому, что некоторое количество своего рабочего времени сотрудникам компаний и организаций приходится тратить на отсеивание сообщений, содержащих спам. Кроме того, по причине анонимности спам-рассылок, с каждым годом спам все больше теряет свою рекламную составляющую и все больше используется для мошеннических целей. Например, широко известны случаи использования спам-рассылок с целью выманивания денег у получателей письма (так называемые «нигерийские письма»), для осуществления попыток заполучить номера кредитных карточек или паролей доступа к системам онлайновых платежей получателей письма (данный вид мошенничества известен под названием «фишинг»), а также для распространения вредоносных программ.
Таким образом, необходимость борьбы со спамом становится очевидной. В настоящее время существует достаточно большое количество методов противодействия спаму. К ним относится, например, метод использования черных списков, суть которого заключается в блокировании сообщений, которые приходят с адресов, внесенных в список. Хотя данный метод обеспечивает 100%-ый отсев писем, полученных с адреса, который внесен в список, применение его может привести к большому числу ложных срабатываний, так как существует вероятность того, что вместе с адресами отправителей спам-сообщений при заполнении в список попадут и легитимные адреса. Другой способ борьбы со спамом использует технологию, которая предполагает выявление в потоке почты массовых сообщений, абсолютно идентичных или различающихся незначительно. Для построения работоспособного «массового» анализатора требуются огромные потоки почты, поэтому данную технологию могут предложить только те производители анти-спам решений, продукцию которых используют крупные почтовые провайдеры. Недостатком данного способа является то, что большинство легитимных сервисов, таких как, например, сервисы подписки на новости или обновления, также используют массовую рассылку, и, следовательно, могут быть признаны при использовании данного способа источниками спам-рассылки. Еще одним методом борьбы со спамом является метод проверки заголовков сообщений, при котором блокируются сообщения с ошибками в заголовках, присущими сообщениям, написанным при помощи специальных программ для генерации спам-сообщений и их мгновенного распространения. Недостаток данного метода заключается в том, что его эффективность падает по мере того, как указанные программы совершенствуются и, соответственно, допускают меньше ошибок в заголовках сообщений.
Также для противодействия спаму существует метод серых списков, при использовании которого для каждого входящего сообщения формируется отказ со специальным кодом ошибки. В этом случае программное обеспечение, используемое для рассылки спама, в отличие от стандартных почтовых сервисов, не производит повторную попытку отправить то же самое сообщение, что и используется в качестве критерия для определения легитимных сообщений. Таким образом, в случае если отправитель повторяет свою попытку послать сообщение в течение определенного промежутка времени, данное сообщение принимается, а сам отправитель вносится в белый список. Однако данное решение неприемлемо для многих пользователей, так как при его использовании обеспечивается задержка доставки любых сообщений.
Еще одним методом противодействия спаму является метод контентной фильтрации, технология которого заключается в использовании специальных спам-фильтров, анализирующих все части входящих сообщений, включая графические. По результатам анализа может быть сформирован лексический вектор либо вычислен спам-вес сообщения. На основании указанных величин выносится решение о том, что сообщение содержит либо не содержит спам. Данные методы определения спама раскрыты в патенте на полезную модель №85247 «Идентификация спама с помощью лексических векторов» и в патенте на изобретение US 7836061 «Method and system for classifying electronic text messages and spam messages». Зачастую для настройки спам-фильтра используются специальные антиспам-лаборатории, которые занимаются созданием и совершенствованием правил фильтрации, используемых спам-фильтрами. Так как лица, занимающиеся рассылкой спама, непрерывно предпринимают попытки обойти защиту спам-фильтров, процесс совершенствования правил фильтрации спама также является непрерывным, а эффективность использования спам-фильтров зависит от своевременности обновления указанных правил.
Как видно из обзора методов противодействия спаму, среди них не существует решения, позволяющего блокировать сообщения, содержащие спам, со 100%-ой эффективностью. В связи с этим в целях поддержания правил фильтрации сообщений в состоянии, обеспечивающем наибольшую эффективность противодействия современным спам-атакам в условиях динамичного и непрерывного изменения способов построения спам-сообщений, целесообразно создать такое решение, в котором в дополнение к автоматическим методам изменение правил фильтрации будет происходить с учетом статистики получения спам-сообщений большим числом пользователей.
В настоящее время существуют решения, в которых данная возможность реализована.
Так, в заявке US 20100153394 описаны система и способ изменения правил определения спама в спам-фильтрах на основе отзывов пользователей. Письма, прошедшие проверку спам-фильтра, который установлен на почтовом сервере, доставляются пользователям. После этого каждый из пользователей может отправить на сервер отчет о том, что определенное письмо содержит спам. На основе данных отчетов правила определения спама в спам-фильтре изменяются таким образом, чтобы в дальнейшем определять указанные письма как спам. Кроме того, в одном из частных методов реализации данного изобретения для изменения правил на основе отчетов множества пользователей применяется также база данных репутаций пользователей. Перед тем как изменить правила определения спама на основе отчета того или иного пользователя, система определяет, какая у данного конкретного пользователя репутация. Репутация пользователя может быть повышена либо понижена в зависимости от того, являются ли переданные им отчеты о пропущенном спаме достоверными или нет.
Патент US 7373385 описывает способ идентификации спама на основе отчетов пользователей. Идея заключается в использовании совместной анти-спам системы, к которой подключены пользователи электронной почты. В случае если пользователи получают письма, содержащие спам, они имеют возможность сообщить об этом системе. На основе количества отчетов пользователей и коэффициентов доверия каждого из пользователей каждому письму присваивается рейтинг, который сравнивается с пороговым значением, после чего делается вывод, содержит ли письмо спам или нет. Коэффициент доверия пользователя вычисляется на основе статистки отправленных им отчетов. В случае если пользователь присылает недостоверные отчеты, его коэффициент доверия падает, и отчеты данного пользователя не учитываются при вычислении рейтинга письма.
Изобретение, описанное в патенте US 7937468, предназначено для увеличения скорости принятия решения о наличии в сообщении спама на основе отзывов пользователей. При помощи статического анализа с учетом количества самых ранних отчетов, присланных пользователями, описываемая система прогнозирует общее количество отзывов о том, что сообщение содержит либо не содержит спам. На основе прогноза выносится соответствующий вердикт. Кроме того, при оценке отзывов и вынесении решения система также учитывает репутацию пользователей, которая показывает, насколько отзывы данных пользователей достоверны.
Изобретение, описанное в заявке US 20040177110, предназначено для обучения спам-фильтров с помощью отзывов пользователей. Перед пользователями ставится задача определить, содержит ли то или иное письмо спам или нет. На основе отзывов пользователей спам-фильтры усовершенствуют правила, используемые в своей работе. В изобретении также предусмотрена перекрестная проверка пользователей с последующим исключением из статистики отзывов тех пользователей, которые не прошли проверку.
В целях повышения эффективности фильтрации в большинстве указанных систем учет мнения каждого из пользователей при вынесении решения о том, содержит ли сообщение спам или нет, происходит в зависимости от репутации того или иного пользователя. При этом репутация для каждого из пользователей вычисляется на основе статистики достоверности присланных им уведомлений о том, что сообщение содержит спам. Данный подход целесообразен, однако обладает недостатками. Во-первых, при использовании данного подхода пользователи, которые отправляют отчет о спаме впервые, обладают низкой с точки зрения системы репутацией не зависимо от того, каков их реальный уровень знаний. Во-вторых, для того, чтобы статистика достоверности присланных пользователем отчетов позволяла судить о его реальном уровне знаний, необходимо получить достаточно большое количество отчетов, для чего требуется большое количество времени, особенно в случае, когда пользователь работает с сообщениями, уже прошедшими предварительную автоматическую фильтрацию, и, следовательно, не содержащими большое количество спама.
Поэтому, хотя изобретения, перечисленные в указанных выше патентах и заявках, направлены на решение определенных задач в области фильтрации сообщений на основе отчетов пользователей, они имеют один общий недостаток - используемый в них подход к дифференциации пользователей достаточно поверхностный и в большинстве случаев не позволяет судить об их реальном уровне знаний. Настоящее изобретение позволяет произвести более глубокую оценку уровня знаний пользователей и, соответственно, более эффективно решить задачу фильтрации сообщений.
Раскрытие изобретения
Настоящее изобретение предназначено для фильтрации сообщений, на основе отчетов пользователей.
Технический результат настоящего изобретения заключается в идентификации сообщений, относящихся к различным категориям, таким как, например, категория сообщений, содержащих спам, на основе отчетов пользователей.
Система категоризации сообщений, получаемых группой пользователей, которая содержит: коллективную базу данных правил фильтрации, предназначенную для хранения правил фильтрации и передачи указанных правил средству распространения правил фильтрации; средство распространения правил фильтрации, предназначенное для передачи компьютерным устройствам пользователей правил фильтрации сообщений из коллективной базы данных правил фильтрации; базу данных репутаций пользователей, предназначенную для хранения веса репутации каждого из пользователей и передачи информации о значениях веса репутации пользователей средству обработки отчетов; средство обработки отчетов, предназначенное для:
- получения отчетов пользователей о том, что определенное сообщение относится к определенной категории;
- вычисления веса сообщения по данной категории на основе количества присланных пользователями отчетов и веса репутации каждого пользователя, приславшего отчет;
- вынесения решения о том, что сообщение относится к данной категории на основании превышения вычисленным весом сообщения по данной категории заданного порога;
- изменения на основании вынесенного решения правил фильтрации в коллективной базе данных правил фильтрации;
- распространения измененных правил фильтрации из коллективной базы данных правил фильтрации, с помощью средства распространения правил фильтрации, между компьютерными устройствами пользователей.
В частном случае реализации системы средство обработки отчетов и средство распространения правил фильтрации связаны с установленной на компьютерном устройстве каждого пользователя системой фильтрации сообщений, которая содержит: средство отправки отчетов, с помощью которого пользователь имеет возможность отправить средству обработки отчетов системы усовершенствования правил фильтрации отчет о том, что полученное им сообщение относится к определенной категории; базу данных правил фильтрации, предназначенную для хранения правил фильтрации сообщений; фильтр сообщений, предназначенный для фильтрации входящих сообщений в соответствии с правилами, хранимыми в базе данных правил фильтрации; средство изменения правил фильтрации, предназначенное для изменения правил фильтрации в базе данных правил фильтрации в соответствии с правилами, полученными от средства распространения правил фильтрации.
В другом частном случае реализации системы пользователь с помощью средства изменения правил фильтрации имеет возможность изменять правила фильтрации в базе данных правил фильтрации.
В еще одном частном случае реализации системы база данных репутаций пользователей связана с системой оценки репутаций пользователей, которая содержит: средство задания правил, предназначенное для задания перечня действий пользователя и правил, в соответствии с которыми будет изменен вес репутации пользователя, совершившего действие из указанного перечня; базу данных правил репутации, предназначенную для хранения заданных действий и соответствующих им правил изменения веса репутации; средство подсчета репутаций пользователей, предназначенное для получения уведомлений о совершенных пользователями действиях из заданного перечня и изменения веса репутации каждого из пользователей в базе данных репутаций пользователей в соответствии с заданными правилами; средство распространения регистрируемых действий, предназначенное для передачи компьютерным устройствам пользователей перечня заданных действий, необходимых для регистрации.
В другом частном случае реализации системы система оценки репутаций пользователей содержит также базу данных аномальных действий, предназначенную для хранения информации о действиях, которые отрицательно влияют на репутацию пользователя, совершившего данное действие.
В еще одном частном случае реализации системы одной из категорий сообщений является категория сообщений, содержащих спам.
Способ категоризации сообщений, получаемых группой пользователей, в котором: распространяют между компьютерными устройствами пользователей правила фильтрации из коллективной базы данных правил фильтрации; получают отчеты пользователей о том, что определенное сообщение относится к определенной категории; вычисляют вес сообщения по данной категории на основе количества присланных пользователями отчетов и веса репутации каждого пользователя, приславшего отчет; выносят решение о том, что сообщение относится к данной категории на основании превышения вычисленным весом сообщения по данной категории заданного порога; изменяют на основании вынесенного решения правила фильтрации в коллективной базе данных правил фильтрации; распространяют между компьютерными устройствами пользователей измененные правила фильтрации из коллективной базы данных правил фильтрации.
В частном случае реализации способа вес сообщения по определенной категории вычисляют с использованием следующих инструментов: нечеткая логика; имитационное моделирование; искусственные нейронные сети; метод опорных векторов.
В другом частном случае реализации способа репутация пользователя зависит от следующих факторов: включение пользователем дополнительных модулей антивирусного приложения, которые отключены по умолчанию; повышение уровня безопасности каждого из модулей в настройках; увеличение пользователем частоты антивирусных проверок в настройках расписания; увеличение пользователем частоты обновления антивирусных баз; использование пользователем в веб-обозревателе дополнительных надстроек, повышающих безопасность при работе в сети Интернет; изменение пользователем настроек веб-обозревателя, с целью повышения безопасности при работе в сети Интернет; тематика посещаемых сайтов; тематика запускаемых на компьютерном устройстве пользователя приложений и программ; регулярное пополнение баз анти-спам фильтра и родительского контроля; продолжительность использования антивирусного приложения пользователем; проведение антивирусных проверок компьютерной системы по требованию; антивирусная проверка съемных носителей информации; частота попадания в компьютерную систему вредоносных файлов.
В еще одном частном случае реализации способа на компьютерном устройстве пользователя отправляют отчет о том, что полученное сообщение относится к определенной категории; производят фильтрацию входящих сообщений в соответствии с правилами фильтрации в базе данных правил фильтрации; изменяют правила фильтрации в базе данных правил фильтрации в соответствии с измененными правилами, полученными из коллективной базы данных фильтрации.
В другом частном случае реализации способа изменяют правила фильтрации в базе данных правил фильтрации в соответствии с требованиями пользователя.
В еще одном частном случае реализации способа задают перечень действий пользователей и правила, в соответствии с которыми будет изменен вес репутации пользователя, совершившего действие из указанного перечня; распространяют между компьютерными устройствами пользователей перечень заданных действий, необходимых для регистрации; регистрируют на компьютерном устройстве пользователя действия пользователя из заданного перечня; отправляют уведомления о зарегистрированных действиях пользователя; изменяют вес репутации пользователя согласно заданным правилам на основе информации о действиях пользователя из полученных уведомлений.
В другом частном случае реализации способа задают перечень аномальных действий, которые отрицательно влияют на репутацию пользователя, совершившего данное действие.
В еще одном частном случае реализации способа для снижения веса репутации пользователя аномальное действие учитывают только после того, как количество аномальных действий, совершенных данным пользователем, превысит установленное значение.
В другом частном случае реализации способа к аномальным действиям пользователя относятся: слишком быстрая категоризация сообщений; слишком частая категоризация сообщений; категоризация сообщений в неуместное время; необоснованно частый запуск антивирусной проверки по требованию; отправка отчетов о сетевых атаках, которые не были зарегистрированы сетевым экраном; отсутствие открытия пользователем окна интерфейса антивирусного приложения при поступающих отчетах об использовании пользователем антивирусного приложения; отсутствие антивирусных проверок при поступающих отчетах об их проведении; отсутствие событий на устройствах ввода при совершении пользователем различных действий; использование приложений, которые не являются активными во время использования; использование приложений, которые не являются запущенными.
В еще одном частном случае реализации способа аномальные действия не учитываются при расчете веса репутации данного пользователя.
В другом частном случае реализации способа производят изменение веса репутации пользователей также на основе достоверности отправленных ими отчетов.
В еще одном частном случае реализации способа производят вычисление значений веса репутации пользователей отдельно для каждой заданной категории сообщений.
В другом частном случае реализации способа вычисляют вес сообщения по определенной категории на основе количества присланных пользователями отчетов и веса репутации по данной категории каждого пользователя, приславшего отчет.
В еще одном частном случае реализации способа учитывают отчеты, отправленные только теми пользователями, у которых вес репутации превышает определенное пороговое значение.
В другом частном случае реализации способа распространяют правила фильтрации систем фильтрации сообщений, установленных на компьютерных устройствах пользователей, имеющих самый высокий репутационный вес, среди остальных пользователей группы.
В еще одном частном случае реализации способа одной из категорий сообщений является категория сообщений, содержащих спам.
В другом частном случае реализации способа в качестве сообщений может выступать голосовой спам.
В еще одном частном случае реализации способа отчеты пользователей содержат уникальный идентификатор отправителя голосового спама, а правила фильтрации в коллективной базе данных правил фильтрации изменяют за счет внесения в черный список уникальных идентификаторов отправителей тех объектов голосового спама, вычисленный спам-вес которых превысил заданный порог.
В другом частном случае реализации способа правила фильтрации в коллективной базе данных правил фильтрации дополнительно изменяют путем использования поисковых роботов, предназначенных для поиска в сети Интернет информации об отправителях спам-сообщений с целью добавления ее в коллективную базу данных правил фильтрации.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг.1 показывает структурную схему системы фильтрации спама, в которой правила фильтрации задаются пользователем.
Фиг.2 показывает образное представление облачного сервиса.
Фиг.3 показывает структурную схему системы усовершенствования правил фильтрации на основе отчетов пользователей.
Фиг.4 показывает алгоритм работы системы усовершенствования правил фильтрации на основе отчетов пользователей.
Фиг.5 показывает структурную схему системы фильтрации спама на компьютерном устройстве пользователя, являющегося клиентом облачного сервиса.
Фиг.6 показывает структурную схему системы оценки репутаций пользователей.
Фиг.7 показывает пример построения базы данных правил репутации.
Фиг.8 показывает алгоритм работы системы оценки репутаций пользователей.
Фиг.9 показывает структурную схему системы отправки уведомлений на компьютерном устройстве пользователя, являющегося клиентом облачного сервиса.
Фиг.10 показывает пример компьютерной системы общего назначения.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено в приложенной формуле.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.
На Фиг.1 показана структурная схема простейшей системы фильтрации спама, в которой правила фильтрации задаются пользователем. Сообщения 100, примером которых могут быть электронные письма, SMS- или MMS-сообщения, поступают на проверку в спам-фильтр 130 системы фильтрации спама 120, которая в общем случае установлена на компьютерном устройстве 110 пользователя 160. В качестве компьютерного устройства 110 может выступать, например, персональный компьютер или мобильное устройство, такое как ноутбук, планшетный компьютер или мобильный телефон. Спам-фильтр 130 определяет параметры поступивших сообщений 100 и проверяет наличие соответствий между указанными параметрами и хранимыми в базе данных правил фильтрации 140. В случае если соответствия между параметрами какого-либо сообщения 100 и параметрами, хранимыми в базе данных 140, будут найдены, к указанному сообщению будет применено заданное действие (например, помещение в карантин или удаление сообщения). В случае если соответствий найдено не будет, сообщение 100 будет передано пользователю 160. При этом если сообщение, содержащее спам, будет пропущено системой фильтрации спама 120 и передано пользователю 160, пользователь 160 имеет возможность изменить правила фильтрации в базе данных 140 с помощью средства изменения правил 150 с целью не допустить в дальнейшем прохождения аналогичных сообщений через систему фильтрации спама 120.
Так как в абсолютном большинстве случаев спам-рассылки имеют массовый характер, целесообразно применить подход, в котором изменение правил фильтрации в системе фильтрации спама 120, установленной на компьютерном устройстве 110 пользователя 160, производится на основании статистики спам-сообщений, полученных и обработанных большим числом пользователей. Данный подход можно реализовать, предоставив определенной группе пользователей возможность отправки отчетов о том, что полученное ими сообщение содержит спам, централизованной системе. В этом случае указанная централизованная система может производить обработку полученных отчетов и, на основании результатов данной обработки, централизованно менять правила фильтрации систем фильтрации спама 120 на компьютерных устройствах 110 всех пользователей группы. Таким образом, в случаях, когда часть пользователей определенной группы получает идентичные спам-сообщения и отправляет отчеты об этом централизованной системе, изменение правил фильтрации систем фильтрации спама 120 на компьютерных устройствах 110 всех пользователей группы обеспечивает гарантию того, что остальная часть пользователей группы аналогичные спам-сообщения не получит. Централизация системы обработки спама может быть достигнута путем использования облачного сервиса.
На Фиг.2 показано образное представление облачного сервиса. Сам облачный сервис 200 представлен в виде программно-аппаратных ресурсов 210, которые предоставляются пользователям компьютерных устройств 110. При этом наличие нескольких источников используемых ресурсов 210 с одной стороны позволяет повышать доступность системы клиент-сервер за счет возможности масштабирования при повышении нагрузки, а с другой - снижать риск неработоспособности виртуального сервера в случае выхода из строя какого-либо из ресурсов 210, так как вместо вышедшего из строя ресурса возможно автоматическое подключение виртуального сервера к резервным ресурсам.
На Фиг.3 представлена структурная схема системы усовершенствования правил фильтрации на основе отчетов пользователей. Каждый из пользователей компьютерных устройств 110, которые являются клиентами облачного сервиса 200, при получении сообщения, содержащего спам, имеет возможность отправить отчет об этом системе усовершенствования правил фильтрации 300, которая является частью облачного сервиса 200. Данные отчеты пользователей о спам-сообщениях поступают на средство обработки отчетов 310 системы усовершенствования правил фильтрации 300. Для количественной характеристики вероятности нахождения в сообщении спама средство обработки отчетов 310 для каждого сообщения, по которому был получен отчет, вычисляет величину, которую можно назвать спам-весом сообщения. Спам-вес сообщения вычисляется на основе количества присланных отчетов по данному сообщению, а также на основе величины, характеризующей уровень знаний и репутацию каждого пользователя, приславшего отчет, которую условно можно назвать весом репутации пользователя. Вес репутации вычисляется для каждого пользователя с целью категоризации всех пользователей - клиентов облачного сервиса по уровню знаний и репутации, вычисленное значение веса репутации хранится в базе данных репутаций пользователей 320. Методы вычисления веса репутации, используемые в рассматриваемом изобретении, будут раскрыты далее. Основная идея вычисления спам-веса сообщения на основе количества присланных отчетов и веса репутации каждого пользователя, приславшего отчет, состоит в том, что отчеты пользователей, которые имеют более высокий вес репутации, повышают спам-вес сообщения в большей степени, чем отчеты пользователей, имеющих низкий вес репутации. В одном из вариантов реализации может быть задан порог таким образом, что отчеты, присланные пользователями, чей вес репутации ниже заданного порога, при вычислении спам-веса сообщения учитываться не будут. При этом возможен случай, когда отчеты пользователей, имеющих вес репутации ниже заданного порога, не учитываются при вычислении спам-веса сообщения, а отчеты пользователей, имеющих вес репутации выше заданного порога, учитываются таким образом, что отчеты пользователей, которые имеют более высокий вес репутации, повышают спам-вес сообщения в большей степени, чем отчеты пользователей, имеющих более низкий вес репутации. Например, если заданное условное пороговое значение веса репутации составляет пятьдесят единиц из ста возможных, то отчеты пользователей с условным значением репутации ниже пятидесяти единиц при расчете спам-веса сообщения учитываться не будут, а отчет пользователя с условным значением репутации, равным девяноста пяти единицам, изменит спам-вес сообщения в большей степени, чем отчет пользователя с условным значением репутации, равным пятидесяти одной единице. Вычисление спам-веса сообщения на основе количества присланных пользователями отчетов о том, что в данном сообщении содержится спам, и на основе веса репутации каждого пользователя, приславшего отчет, производится по заранее заданному алгоритму с использованием таких аппаратов, как, например, нечеткая логика, имитационное моделирование, искусственные нейронные сети, метод опорных векторов. После того как спам-вес сообщения вычислен, его значение сравнивается с установленным порогом, на основании чего средство обработки отчетов 310 выносит решение о том, что сообщение содержит или не содержит спам. На основании вынесенного решения средство обработки отчетов 310 производит изменения в коллективной базе данных 330, куда вносит параметры рассматриваемого сообщения и присваивает ему соответствующую решению категорию. После этого средство распространения правил 340 отправляет измененные правила фильтрации из коллективной базы данных фильтрации 330 на все компьютерные устройства 110 пользователей, являющихся клиентами облачного сервиса 200. Таким образом, измененные правила из коллективной базы данных правил фильтрации 330 мигрируют на базы данных фильтрации 140 компьютерных устройств 110 пользователей, являющихся клиентами облачного сервиса 200. Кроме того, при возникновении ситуации, когда некоторое количество пользователей отправило отчеты о том, что определенное сообщение содержит спам, а средством обработки отчетов 310 вынесено решение о том, что сообщение не содержит спам, средство обработки отчетов 310 имеет возможность произвести изменения в базе данных репутаций пользователей 320 с целью уменьшения значения веса репутации каждого из пользователей, приславшего недостоверный отчет, на заданное значение. Соответственно, если средством обработки отчетов 310 вынесено решение о том, что сообщение содержит спам, средство обработки отчетов 310 имеет возможность произвести изменения в базе данных репутаций пользователей 320 с целью увеличения значения веса репутации каждого из пользователей, приславшего достоверный отчет, на заданное значение.
На Фиг.4 показан алгоритм работы системы усовершенствования правил фильтрации на основе отчетов пользователей. На этапе 410 средство обработки отчетов 310 системы усовершенствования правил фильтрации 300 получает отчеты пользователей о том, что определенное сообщение содержит спам. На этапе 420 средство обработки отчетов 310 находит в базе данных репутаций пользователей 320 вес репутации каждого пользователя, приславшего отчет. На основе количества присланных пользователями отчетов и на основе веса репутации каждого пользователя, средство обработки отчетов 310 на этапе 430 вычисляет спам-вес данного сообщения, после чего на этапе 440 определяет, превысило ли значение вычисленного спам-веса заданный порог. В случае если порог превышен, средство обработки отчетов 310 выносит решение о том, что сообщение содержит спам, и на этапе 445 производит соответствующие изменения в коллективной базе данных фильтрации 330, после чего на этапе 455 средство распространения правил 340 производит отправку измененных правил фильтрации всем компьютерным устройствам 110 пользователей, которые являются клиентами облачного сервиса 200. Кроме того, на этапе 465 средство обработки отчетов 310 в базе данных репутаций пользователей 320 увеличивает на заданное значение вес репутации каждого из пользователей, приславшего достоверный отчет о том, что сообщение содержит спам. В случае если вычисленное значение спам-веса не превысило заданный порог, средство обработки отчетов 310 выносит решение о том, что сообщение не содержит спам, и на этапе 470 в базе данных репутаций пользователей 320 уменьшает на заданное значение вес репутации каждого из пользователей, приславшего недостоверный отчет о том, что сообщение содержит спам.
Подход к изменению правил в коллективной базе данных правил фильтрации 330, описанный выше, является основным для настоящего изобретения. В частном случае реализации изобретения параметром сообщения, по которому сообщение идентифицируется как содержащее спам, является уникальный идентификатор отправителя. Примером уникального идентификатора отправителя для сообщений электронной почты является адрес электронной почты отправителя, для SMS- и MMS-сообщений - номер мобильного телефона отправителя. При этом в открытом доступе в сети Интернет существуют ресурсы, на которых хранится и постоянно пополняется информация, содержащая уникальные идентификаторы отправителей спам-сообщений. Поэтому в данном частном случае реализации изобретения информация в коллективной базе данных правил фильтрации 330 может дополнительно пополняться при помощи поискового робота (так называемого краулера) - программы, предназначенной для перебора страниц в сети Интернет с целью поиска необходимой информации и передачи ее в базу данных 330.
Стоит также отметить, что в рассматриваемом изобретении спам является одной из множества возможных категорий сообщений. Поэтому отчет пользователя о том, что сообщение содержит спам, является способом, с помощью которого данный пользователь уведомляет систему о том, что, по его мнению, данное сообщение относится к спаму, как к одной из возможных категорий. При необходимости перечень тех категорий, о принадлежности к которым определенных сообщений пользователь имеет возможность уведомить систему с помощью отчетов, может быть расширен либо изменен. При этом алгоритм работы системы усовершенствования правил фильтрации 300 для сообщений различных категорий будет аналогичен вышеописанному алгоритму работы данной системы для сообщений категории «спам». Кроме того, возможны случаи, когда в системе существуют две взаимоисключающие категории сообщений, такие, например, как категория «спам» и категория «доверенные сообщения». В этом случае отчет пользователя о том, что сообщение, например, относится к категории «спам», будет в равной степени увеличивать вес данного сообщения по категории «спам» и уменьшать вес данного сообщения по категории «доверенные сообщения».
На Фиг.5 показана структурная схема системы фильтрации спама на компьютерном устройстве пользователя, являющегося клиентом облачного сервиса. Сообщения 100 поступают на проверку в спам-фильтр 130 системы фильтрации спама 120, которая установлена на компьютерном устройстве 110 пользователя 160. Спам-фильтр 130 определяет параметры поступивших сообщений 100 и проверяет наличие соответствий между указанными параметрами и хранимыми в базе данных правил фильтрации 140. В случае если соответствия между параметрами какого-либо сообщения 100 и параметрами, хранимыми в базе данных 140, будут найдены, к указанному сообщению будет применено заданное действие (например, помещение в карантин или удаление сообщения). В случае если соответствий найдено не будет, сообщение 100 будет передано пользователю 160. Если какое-либо сообщение не было отфильтровано спам-фильтром 130 и было передано пользователю 160, то пользователь 160 имеет возможность с помощью средства отправки отчетов 510 отправить отчет о том, что данное сообщение содержит спам, системе усовершенствования правил фильтрации 300, которая является частью облачного сервиса 200. На основании данного отчета, а также, возможно, отчетов других пользователей по данному сообщению, в системе усовершенствования правил фильтрации 300 будет принято решение о том, что данное сообщение содержит или не содержит спам. На основании решений по данному сообщению, а также по другим сообщениям, отчеты о содержании спама, в которых присылали другие пользователи - клиенты облачного сервиса 200, в коллективную базу данных 330 правил фильтрации системы усовершенствования правил фильтрации 300 будут внесены соответствующие изменения, которые в свою очередь мигрируют в базы данных правил фильтрации 140 систем фильтрации спама 120 каждого пользователя 160, который является клиентом облачного сервиса 200.
При этом, как известно, спам является одним из видов распространения рекламы, и существует некоторое количество пользователей, которые, в силу своих служебных обязанностей либо по иным причинам, заинтересованы в получении определенных рекламных сообщений. Например, некоторым пользователям может быть интересна информация, содержащаяся в таких рассылках сообщений, которые большинство пользователей считает спам-рассылками. Поэтому возможно возникновение ситуации, когда правила, полученные из коллективной базы данных правил фильтрации 330 и хранящиеся в базе данных правил фильтрации 140, противоречат интересам пользователя 160. Для предотвращения подобных ситуаций у каждого пользователя 160 остается возможность в индивидуальном порядке изменять правила в базе данных правил фильтрации 140 своей собственной системы фильтрации спама 120 с помощью средства изменения правил 150. Очевидно, что правила в базе данных правил фильтрации 140, измененные пользователем 160 в индивидуальном порядке с помощью средства изменения правил 150, имеют приоритет над правилами, которые мигрировали в базу данных правил фильтрации 140 из коллективной базы данных правил фильтрации 330.
Кроме того, в одном из частных случаев реализации настоящего изобретения в базе данных правил фильтрации 140 и в коллективной базе данных правил фильтрации 330 могут быть заданы единые правила фильтрации для различных категорий спам-сообщений. Примерами категорий спам-сообщений могут служить: бухгалтерские услуги, курсы руководителей, аудиторские услуги, фармацевтические препараты и другие. Пользователь 160, который заинтересован в получении спам-сообщений определенной категории, имеет возможность с помощью средства изменения правил 150 соответствующим образом изменять правила в базе данных правил фильтрации 140 для всей категории, а не для каждого сообщения в отдельности. В другом частном случае реализации настоящего изобретения значения веса репутации пользователей вычисляются отдельно для каждой заданной категории спам-сообщений. Таким образом, средство обработки отчетов 310 изменяет значение веса репутации пользователя для определенной категории на основании достоверности присланного данным пользователем отчета о том, что сообщение, относящееся к указанной категории, содержит спам. Данный подход позволяет выделить пользователей, наиболее компетентных в определении спама для каждой категории спам-сообщений.
Стоит также отметить, что в настоящее время наряду со спамом, который передается посредством текстовых сообщений, существует еще и так называемый голосовой спам. Под голосовым спамом понимается разновидность спама, в котором передача рекламы и иной информации лицам, не выражавшим желания их получать, осуществляется посредством голосовой связи с использованием мобильных и стационарных телефонов, а также IP-телефонии, в том числе и с использованием так называемых программных телефонов, таких как, например, Skype, Mail.ru Агент, ICQ или QIP. По причине того, что голосовой спам передается в режиме реального времени, единственным способом фильтрации такого вида спама является блокировка входящего вызова от абонента, чей уникальный идентификатор находится в черном списке. Под уникальным идентификатором в данном случае может пониматься номер телефона вызывающего абонента либо тот уникальный идентификатор, который используют для идентификации своих пользователей службы, работающие посредством IP-телефонии.
В частном случае реализации настоящего изобретения, когда компьютерное устройство 110 поддерживает функцию голосовой связи, с использованием описанных выше подходов может производиться также фильтрация голосового спама. В данном случае реализации отчеты, отправленные пользователями, получившими голосовой спам, будут содержать уникальный идентификатор отправителя голосового спама. На основе количества присланных отчетов по голосовому спаму с определенным уникальным идентификатором отправителя, а также на основе величины, характеризующей уровень знаний и репутацию каждого пользователя, приславшего отчет, средством обработки отчетов 310 будет вычислен спам-вес голосового спама с данным уникальным идентификатором отправителя. В случае если вычисленный спам-вес превысит установленное пороговое значение, уникальный идентификатор отправителя указанного голосового спама будет добавлен в черный список, который хранится в коллективной базе данных правил фильтрации 330. Системы фильтрации спама 120, установленные на поддерживающих функцию голосовой связи компьютерных устройствах 110, будут производить фильтрацию голосового спама путем блокировки входящих вызовов от абонентов, чьи уникальные идентификаторы находятся в указанном черном списке.
При этом по аналогии с подходом, описанным выше, пополнение черного списка может также дополнительно осуществляться с помощью поисковых роботов (краулеров).
Как видно из описания структурной схемы системы усовершенствования правил фильтрации на основе отчетов пользователей, представленной на Фиг.3, а также алгоритма работы данной системы, представленного на Фиг.4, в рассматриваемом изобретении предусмотрена возможность категоризации пользователей путем изменения их веса репутации на основании достоверности присланных ими отчетов о том, что определенное сообщение содержит спам. Однако, как было упомянуто ранее, данный подход обладает недостатками, так как в большинстве случаев не позволяет судить о реальном уровне знаний того или иного пользователя. Для устранения указанных недостатков в настоящем изобретении предусмотрена система оценки репутации пользователей, которая будет рассмотрена далее.
На Фиг.6 представлена структурная схема системы оценки репутаций пользователей. Данная система позволяет произвести более глубокую оценку уровня знаний каждого пользователя по сравнению с оценкой на основе достоверности присланных пользователем отчетов о спаме. Подход, используемый в данной системе, производит оценку репутации пользователя на основе информации об активности, которую пользователь проявляет на своем компьютерном устройстве для защиты от спама. Примером такой информации может быть информация о том, насколько детализировано настроен анти-спам фильтр пользователя, информация о продолжительности использования анти-спам фильтра или информация о том, сколько времени пользователь потратил с момента открытия сообщения до отправки отчета о спаме по данному сообщению. Также оценка репутации пользователя в данной системе может производиться на основе информации, которая косвенно характеризует активность данного пользователя при борьбе со спамом. Примером такой информации может служить информация о количестве получаемых и отправляемых пользователем сообщений. Кроме того, во многих случаях система фильтрации спама на компьютерных устройствах пользователей является частью антивирусного приложения, в состав которого могут входить и другие модули, такие как, например, файловый антивирус, веб-антивирус, сетевой экран, анти-фишинг, модуль обновления и другие. Об уровне знаний и компетенции пользователя в области компьютерной безопасности можно судить также по информации об активности его работы с полным комплексом модулей антивирусного приложения. Примером такой информации может быть информация о том, насколько детализировано настроено антивирусное приложение пользователя, информация о продолжительности использования антивирусного приложения или информация о количестве обнаруженных вредоносных объектов. Кроме того, для оценки репутации пользователя в данной системе может использоваться информация, касающаяся детализации настройки компьютерного устройства, информация о продолжительности использования компьютерного устройства, информация об индивидуальных динамических характеристиках работы на клавиатуре пользователя, информация об установленных приложениях, настройки сетевых подключений или информация о тематике посещаемых пользователем сайтов.
Таким образом, репутация пользователя, рассчитываемая в настоящей системе, зависит от большого количества факторов. Для упрощения понимания правил расчета репутаций пользователей в настоящей системе далее рассмотрен пример возможного частного случая. Например, в системе установлено, что максимально возможное значение репутационного веса пользователя может составлять сто условных единиц. В качестве правил расчета репутационного веса задано, что установленная на компьютерном устройстве пользователя компьютерная игра для детей снижает репутационный вес пользователя на пять условных единиц, а установленная программа для разработки программного обеспечения повышает репутационный вес на десять условных единиц. В таком случае если у условного пользователя А на компьютерном устройстве установлена компьютерная игра для детей, а у условного пользователя Б - программа для разработки программного обеспечения, то, с учетом только указанных факторов, репутационный вес пользователя Б будет выше репутационного веса пользователя А на пятнадцать условных единиц. При этом стоит отметить, что пользователи А и Б могут работать на одном компьютерном устройстве, но с использованием разных учетных записей пользователей. В случае если пользователи А и Б работают на одном компьютерном устройстве с использованием одной учетной записи пользователя, репутационный вес будет вычислен с применением обоих указанных правил и составит пять условных единиц. Стоит также отметить, что в рассмотренном примере изменения величины веса репутации в правилах расчета репутации заданы в абсолютных величинах. Однако указанные изменения величины веса репутации могут быть заданы также в процентном отношении от величины максимально возможного репутационного веса пользователя. Кроме того, изменение величины веса репутации может производиться дифференцирование в зависимости от текущей величины репутационного веса пользователя. Например, при установленном нормальном изменении значения веса репутации на пять условных единиц, для пользователя с весом репутации девяносто условных единиц изменение может составлять две условных единицы.
Как было указано ранее, отчеты пользователей, которые имеют более высокий вес репутации, повышают спам-вес сообщения в большей степени, чем отчеты пользователей, имеющих более низкий вес репутации. То есть, если рассматривать конкретный пример, отчет пользователя, значение веса репутации которого составляет девяносто две условные единицы, увеличит спам-вес сообщения в большей степени, чем отчет пользователя, значение веса репутации которого составляет двадцать одну условную единицу.
Кроме того, ранее было указано, что при расчете спам-веса сообщения возможен учет результатов сравнений значений веса репутаций пользователей, приславших отчет, с установленным пороговым значением. Например, установленное пороговое значение веса репутации пользователя составляет пятьдесят условных единиц. Если предположить, что условный пользователь А имеет значение веса репутации в двадцать одну условную единицу, пользователь Б - в пятьдесят одну условную единицу, а пользователь В - в девяносто три условные единицы, то в частном случае реализации настоящего изобретения отчет пользователя А при расчете спам-веса сообщения учитываться не будет, так как значение его веса репутации ниже установленного порогового значения, а отчет пользователя В увеличит спам-вес сообщения в большей степени, чем отчет пользователя Б. В другом частном случае реализации настоящего изобретения отчет пользователя А также учтен не будет, а отчеты пользователей Б и В увеличат спам-вес сообщения в равной степени.
Таким образом, для того чтобы получить наиболее объективную оценку репутации пользователя, в рассматриваемом изобретении производится учет информации об активностях пользователей, касающихся всех аспектов компьютерной безопасности. Для этого на средство подсчета репутаций пользователей 610 системы оценки репутаций пользователей 600, которая является частью облачного сервиса 200, поступают уведомления о действиях пользователей компьютерных устройств 110, которые являются клиентами облачного сервиса 200. Указанные уведомления содержат идентификатор пользователя и информацию о действиях пользователя, необходимую для определения репутации данного пользователя. В качестве идентификатора пользователя может выступать идентификатор антивирусного программного обеспечения либо системы фильтрации спама, информация о лицензиях определенного пользователя на указанные программные продукты, а также международный идентификатор мобильного оборудования (IMEI) в случае, если настоящая система используется на мобильном устройстве. Отправка данных уведомлений со стороны компьютерных устройств 110 может происходить либо сразу же после совершения пользователем определенного действия, либо периодически, по истечении заданного интервала времени. После получения уведомления о действиях средство подсчета репутаций пользователей 610 проверяет в базе данных аномальных действий 620 наличие информации о содержащихся в данном уведомлении действиях. База данных аномальных действий 620 хранит информацию о тех действиях, которые пользователи могут совершать в качестве обманных приемов для того, чтобы необоснованно увеличить свой вес репутации. Примером таких действий могут быть различные аномальные поведения пользователей, такие как, например, чрезмерная активность при работе с антивирусным приложением. Частные примеры аномальных действий будут приведены ниже. Поэтому действия, информация о которых будет найдена в базе данных аномальных действий 620, не будут учитываться при вычислении веса репутации пользователя до тех пор, пока их количество не превысит определенного значения. На основе действий, которые не были признаны аномальными, будет рассчитываться вес репутации пользователя. База данных правил репутации 630 содержит информацию о том, каким образом должна быть изменена репутация пользователя в зависимости от совершенного им действия. Кроме того, аномальные действия также могут влиять на вес репутации пользователя. Средство подсчета репутаций пользователей 610 производит поиск соответствий между информацией о совершенных пользователем действиях, находящейся в полученном уведомлении, и информацией о действиях, хранящейся в базе данных правил репутации 630. Если соответствие будет найдено, средство подсчета репутаций пользователей 610 произведет изменение веса репутации пользователя в базе данных репутаций пользователей 320 системы усовершенствования правил фильтрации 300 по правилу для найденного соответствия. Администратор системы оценки репутаций пользователей 600 имеет возможность производить изменения правил репутации в базе данных правил репутации 630, а также информации о подозрительных действиях в базе данных аномальных действий 620 с помощью средства задания правил 640. Для того чтобы обеспечить компьютерные устройства 110 пользователей информацией о том, какие действия необходимо регистрировать для передачи в уведомлениях, средство распространения регистрируемых действий 650 получает данную информацию из базы данных правил репутации 630 и передает ее всем компьютерным устройствам 110 пользователей, которые являются клиентами облачного сервиса 200.
На Фиг.7 показан пример построения базы данных правил репутации 630. С помощью средства задания правил 640 каждому действию пользователя, относящемуся к работе с антивирусным программным обеспечением, присваивается определенная категория и правило, в соответствии с которым вес репутации пользователя в базе данных репутаций пользователей 320 может быть повышен либо понижен на задаваемое значение.
На Фиг.8 представлен алгоритм работы системы оценки репутаций пользователей. На этапе 810 средство подсчета репутаций пользователей 610 получает уведомление о действиях пользователя от компьютерного устройства 110 пользователя, являющегося клиентом облачного сервиса 200. Для упрощения понимания алгоритма будем считать, что в уведомлении содержится информация об одном действии. Алгоритм работы системы оценки репутаций пользователей 600 для случая, когда в уведомлении содержится информация о большом количестве действий, заключается в циклическом повторении рассматриваемого алгоритма. На этапе 820 средство подсчета репутаций пользователей 610 определяет информацию о совершенном пользователем действии, содержащуюся в полученном уведомлении, после чего на этапе 830 производит поиск соответствия между информацией о действии, содержащейся в полученном уведомлении, и информацией, хранящейся в базе данных аномальных действий 620. В случае если соответствие будет найдено, действие будет признано аномальным, и на этапе 880 средство подсчета репутаций пользователей 610 завершит свою работу. В случае если соответствие найдено не будет, средство подсчета репутаций пользователей 610 на этапе 850 произведет поиск соответствия между информацией о действии, содержащейся в полученном уведомлении, и информацией, хранящейся в базе данных правил репутации 630. В случае если соответствие будет найдено, средство подсчета репутаций пользователей 610 на этапе 870 произведет изменение веса репутации пользователя в базе данных репутаций пользователей 320 по соответствующему правилу, после чего на этапе 880 завершит свою работу.
В случае если соответствие найдено не будет, средство подсчета репутаций пользователей 610 на этапе 880 завершит свою работу.
На Фиг.9 показана структурная схема системы отправки уведомлений на компьютерном устройстве пользователя, являющегося клиентом облачного сервиса. База данных регистрируемых действий 930 системы отправки уведомлений 900, которая установлена на компьютерном устройстве 110 пользователя 160, который является клиентом облачного сервиса 200, получает на хранение от системы оценки репутаций пользователя 600 информацию о том, какие действия пользователя необходимо регистрировать для передачи в уведомлениях. Средство регистрации действий пользователя 910 имеет доступ к базе данных регистрируемых действий 930 и производит мониторинг действий пользователя 160, которые он осуществляет при работе с компьютерным устройством 110 и, в частности, с антивирусным программным обеспечением 940. Система фильтрации спама 120 может быть частью антивирусного программного обеспечения 940 либо, в частном случае, являться отдельно установленной системой. В случае если пользователь 160 совершает какое-либо действие, информация о котором содержится в базе данных регистрируемых действий 930, средство регистрации действий пользователя 910 регистрирует данное действие и передает информацию о нем средству отправки уведомления 920. На основе полученной информации средство отправки уведомления формирует уведомление о действиях пользователя и передает его системе оценки репутаций пользователей 600.
Ниже приведены примеры факторов и действий пользователя, которые могут влиять на изменение его репутационного веса:
- включение дополнительных модулей антивирусного приложения, которые отключены по умолчанию;
- повышение уровня безопасности каждого из модулей в настройках;
- увеличение частоты антивирусных проверок в настройках расписания;
- увеличение частоты обновления антивирусных баз;
- регулярное пополнение баз анти-спам и родительского контроля;
- срок использования антивирусного приложения;
- проведение проверок системы по требованию;
- проверка съемных носителей;
- частота попадания в систему вредоносных файлов;
- использование в веб-обозревателе дополнительных надстроек, повышающих безопасность при работе в сети Интернет (например, бесплатная надстройка Web of Trust, которая предоставляет Интернет-пользователю информацию о репутации посещаемых веб-сайтов);
- изменение настроек веб-обозревателя, с целью повышения безопасности при работе в сети Интернет (например, отключение выполнения сценариев, включение блокировки всплывающих окон, включение фильтра фишинга, ограничение управляющих элементов ActiveX, отключение сохранения паролей, файлов «cookie»);
- тематика посещаемых сайтов;
- тематика запускаемых на устройстве приложений и программ (например, игры, мультимедиа приложения, программы для программирования, компиляторы).
Ниже приведены примеры действий пользователя, которые могут считаться аномальными:
- слишком быстрая категоризация сообщений пользователем (например, порядка нескольких миллисекунд, то есть времени, которого пользователю теоретически недостаточно для прочтения сообщения и вынесения решения о его категории. В общем случае эта величина может быть задана с учетом среднего времени, необходимого обычному пользователю для категоризации сообщений);
- слишком частая категоризация сообщений пользователем (например, аномальная частота категоризации сообщений составляет порядка от 1 до 10 сообщений в секунду или более. В общем случае эта величина может быть задана с учетом средней частоты категоризации сообщений обычных пользователей);
- категоризация сообщений в неуместное время (например, ночью);
- отсутствие нажатий клавиш клавиатуры и кнопки компьютерной мыши при совершении различных действий;
- отсутствие активации приложения при поступающих отчетах об его использовании пользователем;
- отсутствие открытия пользователем окон антивируса при поступающих отчетах, свидетельствующих об открытии окон;
- отсутствие антивирусных проверок при поступающих отчетах об их проведении;
- отсутствие информации о запуске приложений (в соответствии с информацией, полученной, например, от диспетчера задач операционной системы) при поступающих отчетах об их запуске;
- отсутствие зарегистрированных сетевым экраном сетевых атак при поступающих отчетах, свидетельствующих об обратном;
- необоснованно частый запуск антивирусной проверки по требованию (например, при интервале времени между проверками, составляющем менее получаса, или при запуске последующей проверки, когда предыдущая еще не закончена).
В одном частном случае реализации настоящего изобретения возможно выделение наиболее компетентных пользователей с целью распространения правил фильтрации, заданных в системах фильтрации спама 120 данных пользователей, среди остальных клиентов облачного сервиса 200.
Фиг.10 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 110, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 110, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 110 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 110.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 110 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 110 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 110 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 110 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 110, представленного на Фиг.10. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 110 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 110 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим. В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
название | год | авторы | номер документа |
---|---|---|---|
СИСТЕМА И СПОСОБ ЗАЩИТЫ ОТ НЕЛЕГАЛЬНОГО ИСПОЛЬЗОВАНИЯ ОБЛАЧНЫХ ИНФРАСТРУКТУР | 2012 |
|
RU2536663C2 |
СПОСОБ ИСПОЛЬЗОВАНИЯ ВЫДЕЛЕННОГО СЕРВИСА КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ | 2015 |
|
RU2601162C1 |
Способ обнаружения мошеннического письма, относящегося к категории внутренних ВЕС-атак | 2021 |
|
RU2766539C1 |
Система и способ антивирусной проверки объектов на мобильном устройстве | 2023 |
|
RU2818877C1 |
Система и способ определения уровня доверия файла | 2019 |
|
RU2750628C2 |
СИСТЕМА И СПОСОБ РАСЧЕТА ИНТЕРВАЛА ПОВТОРНОГО ОПРЕДЕЛЕНИЯ КАТЕГОРИЙ СЕТЕВОГО РЕСУРСА | 2014 |
|
RU2589310C2 |
Система и способ создания антивирусной записи | 2018 |
|
RU2697954C2 |
СПОСОБ РАСПРЕДЕЛЕННОГО ВЫПОЛНЕНИЯ ЗАДАЧ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ | 2011 |
|
RU2494453C2 |
Способ обработки событий информационной безопасности перед передачей на анализ | 2020 |
|
RU2762528C1 |
Способ корректировки параметров модели машинного обучения для определения ложных срабатываний и инцидентов информационной безопасности | 2020 |
|
RU2763115C1 |
Изобретение относится к системам и способам фильтрации сообщений на основе отчетов пользователей. Технический результат настоящего изобретения заключается в идентификации сообщений, относящихся к различным категориям, таким как, например, категория сообщений, содержащих спам, на основе отчетов пользователей. При вынесении решения о соответствии сообщения определенной категории, отчеты пользователей по данному сообщению учитываются в зависимости от репутации каждого из пользователей, приславшего отчет. Репутация пользователя в настоящем изобретении рассчитывается как с учетом активностей пользователя, касающихся всех аспектов компьютерной безопасности, так и с учетом достоверности присланных им отчетов. 2 н. и 23 з.п. ф-лы, 10 ил.
1. Система категоризации сообщений, получаемых группой пользователей, которая содержит:
а) коллективную базу данных правил фильтрации, предназначенную для хранения правил фильтрации и передачи указанных правил средству распространения правил фильтрации;
б) средство распространения правил фильтрации, предназначенное для передачи компьютерным устройствам пользователей правил фильтрации сообщений из коллективной базы данных правил фильтрации;
в) базу данных репутаций пользователей, предназначенную для хранения веса репутации каждого из пользователей и передачи информации о значениях веса репутации пользователей средству обработки отчетов;
г) средство обработки отчетов, предназначенное для:
- получения отчетов пользователей о том, что определенное сообщение относится к определенной категории;
- вычисления веса сообщения по данной категории на основе количества присланных пользователями отчетов и веса репутации каждого пользователя, приславшего отчет, при этом: вес репутации пользователя зависит от совершения пользователем заданных действий и факторов, характеризующих уровень знаний пользователя в области компьютерной безопасности; отчеты пользователей, которые имеют более высокий вес репутации, повышают вес сообщения по данной категории в большей степени, чем отчеты пользователей, имеющих более низкий вес репутации;
- вынесения решения о том, что сообщение относится к данной категории на основании превышения вычисленным весом сообщения по данной категории заданного порога;
- изменения на основании вынесенного решения правил фильтрации в коллективной базе данных правил фильтрации;
- распространения измененных правил фильтрации из коллективной базы данных правил фильтрации, с помощью средства распространения правил фильтрации, между компьютерными устройствами пользователей.
2. Система по п.1, в которой средство обработки отчетов и средство распространения правил фильтрации связаны с установленной на компьютерном устройстве каждого пользователя системой фильтрации сообщений, которая содержит:
а) средство отправки отчетов, с помощью которого пользователь имеет возможность отправить средству обработки отчетов системы усовершенствования правил фильтрации отчет о том, что полученное им сообщение относится к определенной категории;
б) базу данных правил фильтрации, предназначенную для хранения правил фильтрации сообщений;
в) фильтр сообщений, предназначенный для фильтрации входящих сообщений в соответствии с правилами, хранимыми в базе данных правил фильтрации;
г) средство изменения правил фильтрации, предназначенное для изменения правил фильтрации в базе данных правил фильтрации в соответствии с правилами, полученными от средства распространения правил фильтрации.
3. Система по п.1, в которой пользователь с помощью средства изменения правил фильтрации имеет возможность изменять правила фильтрации в базе данных правил фильтрации.
4. Система по п.1, в которой база данных репутаций пользователей связана с системой оценки репутаций пользователей, которая содержит:
а) средство задания правил, предназначенное для задания перечня действий пользователя и правил, в соответствии с которыми будет изменен вес репутации пользователя, совершившего действие из указанного перечня;
б) базу данных правил репутации, предназначенную для хранения заданных действий и соответствующих им правил изменения веса репутации;
в) средство подсчета репутаций пользователей, предназначенное для:
- получения уведомлений о совершенных пользователями действиях из заданного перечня;
- изменения веса репутации каждого из пользователей в базе данных репутаций пользователей в соответствии с заданными правилами;
г) средство распространения регистрируемых действий, предназначенное для передачи компьютерным устройствам пользователей перечня заданных действий, необходимых для регистрации.
5. Система по п.1, в которой система оценки репутаций пользователей содержит также базу данных аномальных действий, предназначенную для хранения информации о действиях, которые отрицательно влияют на репутацию пользователя, совершившего данное действие.
6. Система по п.1, в которой одной из категорий сообщений является категория сообщений, содержащих спам.
7. Способ категоризации сообщений, получаемых группой пользователей, в котором:
а) распространяют между компьютерными устройствами пользователей правила фильтрации из коллективной базы данных правил фильтрации;
б) получают отчеты пользователей о том, что определенное сообщение относится к определенной категории;
в) вычисляют вес сообщения по данной категории на основе количества присланных пользователями отчетов и веса репутации каждого пользователя, приславшего отчет, при этом:
- вес репутации пользователя зависит от совершения пользователем заданных действий и факторов, характеризующих уровень знаний пользователя в области компьютерной безопасности;
- отчеты пользователей, которые имеют более высокий вес репутации, повышают вес сообщения по данной категории в большей степени, чем отчеты пользователей, имеющих более низкий вес репутации;
г) выносят решение о том, что сообщение относится к данной категории на основании превышения вычисленным весом сообщения по данной категории заданного порога;
д) изменяют на основании вынесенного решения правила фильтрации в коллективной базе данных правил фильтрации;
е) распространяют между компьютерными устройствами пользователей измененные правила фильтрации из коллективной базы данных правил фильтрации.
8. Способ по п.7, в котором вес сообщения по определенной категории вычисляют с использованием следующих инструментов:
- нечеткая логика;
- имитационное моделирование;
- искусственные нейронные сети;
- метод опорных векторов.
9. Способ по п.7, в котором репутация пользователя зависит от следующих факторов:
- включение пользователем дополнительных модулей антивирусного приложения, которые отключены по умолчанию;
- повышение уровня безопасности каждого из модулей в настройках;
- увеличение пользователем частоты антивирусных проверок в настройках расписания;
- увеличение пользователем частоты обновления антивирусных баз;
- использование пользователем в веб-обозревателе дополнительных надстроек, повышающих безопасность при работе в сети Интернет;
- изменение пользователем настроек веб-обозревателя, с целью повышения безопасности при работе в сети Интернет;
- тематика посещаемых сайтов;
- тематика запускаемых на компьютерном устройстве пользователя приложений и программ;
- регулярное пополнение баз анти-спам фильтра и родительского контроля;
- продолжительность использования антивирусного приложения пользователем;
- проведение антивирусных проверок компьютерной системы по требованию;
- антивирусная проверка съемных носителей информации;
- частота попадания в компьютерную систему вредоносных файлов.
10. Способ по п.7, в котором на компьютерном устройстве пользователя:
а) отправляют отчет о том, что полученное сообщение относится к определенной категории;
б) производят фильтрацию входящих сообщений в соответствии с правилами фильтрации в базе данных правил фильтрации;
в) изменяют правила фильтрации в базе данных правил фильтрации в соответствии с измененными правилами, полученными из коллективной базы данных фильтрации.
11. Способ по п.7, в котором изменяют правила фильтрации в базе данных правил фильтрации в соответствии с требованиями пользователя.
12. Способ по п.7, в котором:
а) задают перечень действий пользователей и правила, в соответствии с которыми будет изменен вес репутации пользователя, совершившего действие из указанного перечня;
б) распространяют между компьютерными устройствами пользователей перечень заданных действий, необходимых для регистрации;
в) регистрируют на компьютерном устройстве пользователя действия пользователя из заданного перечня;
г) отправляют уведомления о зарегистрированных действиях пользователя;
д) изменяют вес репутации пользователя согласно заданным правилам на основе информации о действиях пользователя из полученных уведомлений.
13. Способ по п.7, в котором задают перечень аномальных действий, которые отрицательно влияют на репутацию пользователя, совершившего данное действие.
14. Способ по п.13, в котором для снижения веса репутации пользователя аномальное действие учитывают только после того, как количество аномальных действий, совершенных данным пользователем, превысит установленное значение.
15. Способ по п.13, в котором к аномальным действиям пользователя относятся:
- слишком быстрая категоризация сообщений;
- слишком частая категоризация сообщений;
- категоризация сообщений в неуместное время;
- необоснованно частый запуск антивирусной проверки по требованию;
- отправка отчетов о сетевых атаках, которые не были зарегистрированы сетевым экраном;
- отсутствие открытия пользователем окна интерфейса антивирусного приложения при поступающих отчетах об использовании пользователем антивирусного приложения;
- отсутствие антивирусных проверок при поступающих отчетах об их проведении;
- отсутствие событий на устройствах ввода при совершении пользователем различных действий;
- использование приложений, которые не являются активными во время использования;
- использование приложений, которые не являются запущенными.
16. Способ по п.7, в котором аномальные действия не учитываются при расчете веса репутации данного пользователя.
17. Способ по п.7, в котором производят изменение веса репутации пользователей также на основе достоверности отправленных ими отчетов.
18. Способ по п.7, в котором производят вычисление значений веса репутации пользователей отдельно для каждой заданной категории сообщений.
19. Способ по п.18, в котором вычисляют вес сообщения по определенной категории на основе количества присланных пользователями отчетов и веса репутации по данной категории каждого пользователя, приславшего отчет.
20. Способ по п.7, в котором учитывают отчеты, отправленные только теми пользователями, у которых вес репутации превышает определенное пороговое значение.
21. Способ по п.7, в котором распространяют правила фильтрации систем фильтрации сообщений, установленных на компьютерных устройствах пользователей, имеющих самый высокий репутационный вес, среди остальных пользователей группы.
22. Способ по п.7, в котором одной из категорий сообщений является категория сообщений, содержащих спам.
23. Способ по п.7, в котором в качестве сообщений может выступать голосовой спам.
24. Способ по п.23, в котором отчеты пользователей содержат уникальный идентификатор отправителя голосового спама, а правила фильтрации в коллективной базе данных правил фильтрации изменяют за счет внесения в черный список уникальных идентификаторов отправителей тех объектов голосового спама, вычисленный спам-вес которых превысил заданный порог.
25. Способ по п.7, в котором правила фильтрации в коллективной базе данных правил фильтрации дополнительно изменяют путем использования поисковых роботов, предназначенных для поиска в сети Интернет информации об отправителях спам-сообщений с целью добавления ее в коллективную базу данных правил фильтрации.
Способ приготовления лака | 1924 |
|
SU2011A1 |
Способ приготовления лака | 1924 |
|
SU2011A1 |
Приспособление для суммирования отрезков прямых линий | 1923 |
|
SU2010A1 |
АДАПТИВНАЯ СИСТЕМА ФИЛЬТРАЦИИ НЕНУЖНЫХ СООБЩЕНИЙ | 2003 |
|
RU2327205C2 |
Передвижная обжигательная камера для обжига кирпича | 1949 |
|
SU85247A1 |
Авторы
Даты
2014-04-10—Публикация
2012-04-06—Подача