[发明专利]通过探测数据传输来检测垃圾邮件机器人的系统和方法

说明书

技术领域

本发明涉及实时分析网络数据传输的系统和方法，尤其涉及对通过网络协议发送多余数据或“垃圾邮件（spam）”的程序的识别和使之失效。

背景技术

全世界每天有数以百万计的电子消息（电子邮件）通过例如互联网的网络发送，但是它们中的大多数是主动提供的和多余的，即所谓“垃圾邮件”。电子垃圾邮件已经被定义成包含商用的、政治的和其它形式的广告以及恶意程序和网络钓鱼或其它声名狼藉的网站的链接的消息。垃圾邮件最令人不快之处在于定期地通过互联网向并未表示期望接收这类消息的个人发送消息。此外，由于每个典型的互联网用户在一天中会收到数十或甚至数百个垃圾邮件消息，因此统计表明垃圾邮件达到所有被发送消息的90%。很显然如何对付垃圾邮件的问题是极其重要的。

对付垃圾邮件的一种方式是使用能够通过一个或多个关键字或通过将发送者的地址放入黑名单来发现垃圾邮件消息的各种过滤器。更先进的技术例如使用柱状图或分类也使用户能够将垃圾邮件检测的程度提升为有时接近100%的数值。现在这些技术实施在为个人用户和公司部门设计的诸如反垃圾邮件过滤器，反垃圾邮件邮递，GFI MailEssentials，卡巴斯基互联网安全和卡巴斯基反垃圾邮件的商用产品中。

这些方案在垃圾邮件已被发送到用户的电子邮件服务器之后对其进行处置，并不能解决主要问题本身，即大量发送的垃圾邮件。这些方案也冒着误报的风险，即合法的电子邮件（例如，来自朋友或同事）一旦碰巧触发了过滤机制可能表现为垃圾邮件。

大部分垃圾邮件现在通过个人程序——也称为垃圾邮件机器人（spam bots）——执行发送，所述程序经常被隐蔽地安装在用户的计算机上用以执行诸如发送垃圾邮件的定期操作。垃圾邮件发送者短期租用的发送垃圾电子邮件的各种服务器，并不是垃圾邮件的主要来源，而是出于促进传输的目的。因此，对付垃圾邮件的一个可选办法是在用户的计算机上检测垃圾邮件机器人。对于一个使用10-20Mbps信道带宽的家庭用户来说垃圾邮件量可达到每天50-100G字节的垃圾邮件。由于存在大量的垃圾邮件机器人，总通信量可引起邮件服务器严重压力。因此迫切需要从用户计算机有效删除垃圾邮件机器人。

发明内容

鉴于上述原因，需要创建一种系统，该系统能够根据垃圾邮件机器人执行的操作类型和它们的实施方式的细节识别它们，并在它们的操作中挖掘潜在的弱点以进一步锁定和删除垃圾邮件机器人。本发明的一个方面是用于分析客户端程序对服务器上的数据传输协议的使用和交互。该分析的结果可用于辨认、阻止和删除发送出垃圾邮件的程序。

除了根据垃圾邮件机器人的行为方式发现它们以外，另一种检测它们的方式与它们的拙劣的实施方式有关。垃圾邮件机器人经常被实施为试图与合法的邮件服务器交互的SMTP客户端。发明人已经认识到垃圾邮件机器人往往被拙劣地优化并具有用于它们自行发送电子邮件的低质量的算法。这是由于垃圾邮件机器人设计者方面缺乏能力，或也许是由于垃圾邮件机器人的主要任务是在短时间内尽可能多的发送垃圾邮件，而使其设计者感到没有必要去改进垃圾邮件机器人。

本发明的一个实施例通过分析程序对数据传输协议的使用来确定该程序的实施方式的错误，从而辨认、阻止和删除发送垃圾邮件的程序。