CN103444130A

CN103444130A - 调整过滤器或者分类控制设置

Info

Publication number: CN103444130A
Application number: CN2008801239737A
Authority: CN
Inventors: 德米特里·阿尔佩洛维奇; 保拉·格雷夫; 斯文·克拉塞尔; 托莫·富特-伦诺克斯
Original assignee: Secure Computing LLC
Current assignee: McAfee LLC
Priority date: 2007-11-06
Filing date: 2008-11-06
Publication date: 2013-12-11
Anticipated expiration: 2028-11-06
Also published as: WO2009061893A2; US20090119740A1; EP2218215A2; CN103444130B; EP2218215A4; US20120216248A1; WO2009061893A3; AU2008323922B2; US8185930B2; US8621559B2; AU2008323922A1

Abstract

用于调整与过滤或者分类对计算机或者网络的通信的控制设置的方法和系统。该控制设置的调整可以包括：调整与计算机或者网络相关联的策略和/或安全设置。在一些实施方式中，还可以提供与控制设置相关联的范围。

Description

调整过滤器或者分类控制设置

技术领域

本文一般地涉及用于处理通信的系统和方法，并且更具体地涉及用于分类和/或过滤通信的系统和方法。

背景技术

因特网连接已经成为许多日常活动的中心。例如，在美国的以百万计的人使用因特网来进行各种账单支付和银行业务功能。无数更多的人使用因特网来进行购物、娱乐、获得新闻和各种其他目的。而且，许多企业依赖于因特网来与供应商和客户进行通信，并且向它们的雇员提供资源库。然而，各种实体仍然使用因特网来进行恶意或者不具信誉的活动。例如，垃圾信息发送者(spammer)每天发送亿万的消息，使得许多用户和管理者头疼。

信誉系统以及消息分析器(message profiler)已经使得能够更好地识别不具信誉的业务。信誉系统以及消息分析器可以采用一体适用的方法来识别不具信誉的实体和/或消息。这样的方法可能导致用户退出这样的保护，并且忽略由这样的系统提供的信息。

发明内容

在一个方面中，提供了系统、方法、设备和计算机程序产品。在一个方面，公开了方法，其包括：从管理员接收多个范围；向用户提供安全控制接口，所述安全控制接口包括与安全控制相关联的多个安全控制表示，所述安全控制机制的每一个包括在所述多个范围中的相关范围，相关范围限定了与相应的安全控制相关联的最小和最大设置；通过所述安全控制接口从所述用户接收多个安全控制设置；调整与从所述用户接收到的多个控制设置相关的多个阈值，所述多个阈值与对于可能的安全违反的分类的容限相关联；以及基于所述多个阈值对来自与所述用户相关联的受保护实体的通信流进行过滤。

系统可以包括安全控制接口、策略控制接口和过滤模块。所述安装控制接口可以产生安全控制表示，所述安全控制表示的每一个都可操作用于控制与受保护的实体相关联的安全设置。所述策略控制接口可以产生策略控制表示，所述策略控制表示的每一个都可操作用于控制与受保护的实体相关联的策略设置。所述过滤模块可以基于所述多个安装设置并且基于所述多个策略设置来过滤一个或多个通信流。

计算机可读介质可以包括程序代码，所述程序代码可操作用于使得能够调整用于进入和外出的通信的过滤器和/或分类设置，使得处理器执行下述步骤，包括：从管理员接收多个范围；向用户提供安全控制接口，所述安全控制接口包括与安全控制设置相关联的多个安全控制表示，所述安全控制机制中的每一个包括在所述多个范围中的相关范围，所述相关范围限定了与所述相应安全控制相关联的最小和最大设置；通过所述安全控制接口从所述用户接收输入，所述输入请求对安全控制设置的调整；调整与从所述用户接收到的多个控制设置相关的多个阈值，所述多个阈值与对于可能的安全违反的分类的容限相关联；以及，基于所述多个阈值，对来自与所述用户相关联的受保护的实体的通信流的进行过滤。

附图说明

图1A是包括安全代理的示例性网络环境的框图。

图1B是包括本地安全代理的另一个示例性网络架构的框图。

图2是示例性安全代理的框图。

图3A是包括调谐器接口的用于得到全局信誉的系统的框图。

图3B是包括调谐器接口的用于提供消息分类的系统的框图。

图4是提供在全局信誉和本地信誉之间的分辨的系统的框图。

图5是用于调整通信过滤器的设置的示例性图形用户接口的屏幕截图。

图6是用于调整通信过滤器的设置的另一个示例性图形用户接口的屏幕截图。

图7是用于调整通信过滤器的设置的另一个示例性接口的图。

图8是用于调整通信过滤器的设置的另一个示例性接口的图。

图9是用于调整与网络安全代理相关联的过滤器设置的示例性方法的流程图。

具体实施方式

图1是描绘包括安全代理的示例性网络环境的框图。在各个实施方式中，网络环境可以包括安全代理100、包括多个代理120a-f的受保护的网络110和经由外部网络140连接的多个外部实体130a-f。在各个实施方式中，安全系统可以包括信誉系统150和/或消息分析器160。在一些实施方式中，安全代理100可以位于防火墙系统(未示出)和网络110(例如，企业网)之间。在各个实施方式中，网络110可以包括多个代理(例如，计算机)。在另外的实施方式中，网络110可以包括多个服务器，包括，例如，电子邮件服务器、web服务器和可以由与网络110相关联的企业使用的各种应用服务器。

在各个实施方式中，安全代理100可以监视进入和退出网络110的通信。例如，可以通过外部网络120(例如，因特网)来从连接到外部网络120的多个实体130a-f中的任何一个接收这些通信。实体130a-f中的一个或多个可能是通信业务的合法始发者，而其他实体130a-f还可能是始发不需要的通信的不具信誉的实体。然而，可能难以预先知道哪些实体130a-f正在始发不需要的通信以及哪些实体正在始发合法的通信。因此，在一些实施方式中，安全代理100可以包括信誉引擎150。

在各个实施方式中，信誉引擎可以检查通信，并且确定与所述通信相关联的实体130a-f的信誉。在一些实施方式中，安全代理100可以基于始发实体的信誉来确定要对通信采取的动作。例如，如果信誉指示了通信的始发者是具有信誉的，则安全代理可以将该通信转发到通信的接收者。但是，例如，如果信誉指示了通信的始发者是不具信誉的，则安全代理可以隔离该通信、对消息执行更多的测试、或者要求来自消息始发者的鉴权等。在美国专利公开No.2006/0015942中详细地内说明了信誉引擎。

在其他实施方式中，安全代理100可以监视进入的通信，并且通过识别与通信相关联的特性来得到通信的具有信誉的特性和不具信誉的特性。例如，可以将与通信相关联的特性与已知的具有信誉的消息和已知的不具信誉的消息的属性作比较，以确定通信是否是合法的。在2005年6月2日提交的标题为“Message Profiling Systems and Methods”并且作为美国专利公开号2006/0015563公开的美国申请序列No.11/173,941中详细地描述了消息分析。

在一些实施方式中，用户可以经由代理120a-f由用户或者安全代理100的管理员来设置特定类型的消息或者活动的容限。但是，用户为每个独立属性设置容限是不实际的。因此，在一些实施方式中，用户可以通过代理120a-f来提供控制设置，以用于活动的一般分类。例如，与代理120a-f中的一个相关联的用户可能具有对于垃圾消息的高容限和对于病毒活动的低容限。因此，安全代理100可以被设置成包括用于可能正在始发病毒内容的属性或者发送者的低阈值，并且还被设置成包括用于可能正在始发垃圾内容的属性或者发送者的高阈值。

在一些实施方式中，用于分类通信的低阈值可能导致对类别的过包含(overinclusive)的分类，而用于分类通信的高阈值可能导致对类别的欠包含(underinclusive)的分类。例如，当阈值被设置得低时，通信无需在被指派到分类之前呈现与该分类相关联的多个属性。同样，当阈值被设置得高时，通信将在被指派到分类之前呈现与该分类相关联的多个属性。在一些实施方式中，当阈值被设置得高时，在分析中可以加重与通信相关联的正属性。在其他实施方式中，当阈值被设置得低时，可以在分析中减轻与通信相关联的正属性。

图1B是图示包括本地安全代理的示例性网络架构的框图。在图2的示例中，多个代理170a-c可以耦接到外部网络175。在一些实施方式中，代理170a-c可以位于个人计算装置(例如，个人计算机、移动通信装置、膝上型计算机、个人数字助理等)上。代理170a-c可以包括本地信誉引擎和/或消息分析器。

多个其他实体180a-c也耦接到网络175。实体180a-c可以在网络上发送通信。从实体180a-c始发的一些通信可以被引导到包括代理170a-c的个人计算装置。代理170a-c可以接收通信，并且基于发送实体180a-c的信誉或者与通信相关联的简档(例如，属性)来确定要对通信采取什么动作。例如，如果接收代理170a-c确定所述消息不合法或者发送实体180a-c不合法，则代理170a-c可以确定延迟该通信的传递、将该通信置于隔离区中、标记该通信或者放弃该通信等。在其他示例中，当消息合法时，代理170a-c可以允许与通信相关联的程序访问该通信。

在一些实施方式中，代理170a-c可以包括用户接口。用户接口可以允许与代理170a-c相关联的用户调整与代理170a-c相关联的控制设置。例如，如果用户特别厌恶群发(bulk)通信(例如，垃圾消息)，则用户可以设置控制设置，以即使在通信仅与已知的群发通信共享少数几个特性时也将该通信分类为群发。类似地，如果用户不关心群发消息并且替代地更关心通信的误分类，则用户可以设置控制设置以提供群发通信的更严格的分类，由此将更少的通信识别为群发通信。在另一个示例中，用户和/或管理员可能特别厌恶钓鱼网站。在这样的情况下，用户可以设置控制设置以提供钓鱼通信的更松的分类，由此将更多的通信识别为钓鱼通信。

在一些实施方式中，用户可能不关心正在传递的内容的类型，而是关心与该内容相关联的通信风险。在这样的实施方式中，用户可以设置控制设置，以针对与所呈现的进入数据相关联的各种内容分类(例如，包括电子邮件、web数据、即时消息收发数据、因特网协议语音(VoIP)数据或者用于传送数据的任何其他应用)提供较高的容限，并且针对与任何进入数据相关联的通信风险的分类提供较低的容限。

在一些实施方式中，可以包括可选的中央信誉服务器185。中央信誉服务器185可以在请求时向代理170a-c提供关于网络实体180a-c的信誉信息。例如，代理170a-c中的一个可能从先前没有从其接收通信的实体185a-c接收通信。因而，代理170a-c可以不被配置成确定与实体180a-c相关联的信誉。然而，代理170a-c可以向中央信誉服务器185发送信誉请求，以确定与实体180a-c相关联的信誉。

在另外的实施方式中，代理170a-c可以将所有的信誉功能外包给中央信誉服务器185。因此，可以对中央信誉服务器185查询由代理170a-c接收到的每个通信。在另外的实施方式中，代理170a-c可以向中央信誉服务器185提供控制设置。在这样的实施方式中，中央信誉服务器可以使用从代理170a-c接收到的控制设置来偏置向代理170a-c中的每一个发送的相应的查询响应。

在一些实施方式中，中央信誉服务器可以是与每天接收和/或路由大量业务的大的网络相关联的信誉服务器。在这样的情况下，中央信誉服务器可以基于中央信誉服务器已经直接观察到的通信和行为来提供信誉。在另外的实施方式中，中央信誉服务器185可以是被配置成向代理170a-c提供信誉信息的许多中央信誉服务器中的一个。

在其他实施方式中，中央信誉服务器可以提供多个本地信誉的聚集，诸如由代理170a-c得到的本地信誉。例如，中央信誉服务器可以针对于代理170a-c已经观察到的所有业务相关联的信誉信息来定期地对多个代理170a-c进行轮询。然后，信誉服务器185聚集本地信誉信息，以提供全局信誉。

图2是示例性安全代理200的框图。在各个实施方式中，安全代理200可以在接口模块220处从用户或者外部实体210接收数据(例如，根据数据流的方向)。可以通过各种通信介质(例如，有线或者无线)的任何一个来接收通信。

在一些实施方式中，接口模块可以向信誉和/或分类引擎230提供通信。信誉和/或分类模块230可以操作成提供与接收到的数据和/或数据的分类相关联的实体的信誉。在一些实施方式中，信誉和/或分类模块230可以是安全代理200的一部分。在其他实施方式中，可以将信誉和/或分类模块230从中央装置提供给安全代理200。

在各个实施方式中，可以基于与各种类型的数据相关联的一个或多个实体来得到信誉。这样的实体的过去的活动可以用于预测这些实体的未来活动。例如，如果实体高频率地始发垃圾内容，则未来的通信有可能包括垃圾内容。在一些实施方式中，当实体进行活动的频率增大时，未来的活动呈现相同特性的可能性也增大。在另外的实施方式中，信誉也可以是时间相关的。例如，实体可以具有安装在装置上的恶意软件(例如，“bot”)。这样的恶意软件可以在预定时间定期地向其他装置发送数据。这样的实体可以被指派包括时间相关性的信誉。在包括信誉引擎的那些实施方式中，这样的特性可以由信誉和/或分类引擎230来识别，并且被提供给安全代理200以用于确定是否允许相关数据。

在一些实施方式中，可以基于在数据内容和先前分类的内容之间的相似性来得到数据的分类。例如，用户/管理员可以识别与特定分类相关联的文档的汇编(corpus)。所述文档的汇编已经由用户/管理员识别为显示属于所识别的特定分类的特性。分类引擎可以分析文档的汇编以识别在文档之间的相似性，由此识别文档的特定分类的限定特性。然后，可以测试后续接收到的数据，以确定数据是否显示与特定分类的文档汇编特性相同的特征。在各个实施方式中，可以通过提供多组文档汇编来识别文档的多个分类。例如，用户/管理员可能提供垃圾内容分类的文档汇编、钓鱼分类的文档汇编、恶意软件分类的文档汇编或者间谍软件分类的文档汇编等。在包括分类引擎的那些实施方式中，这样的分类特性可以由信誉和/或分类模块230来识别，并且被提供给安全代理200以供在确定是否允许相关数据中使用。

在一些实施方式中，安全代理200可以包括风险评估模块240。风险评估模块240可以操作成评估与由用户进行的特定活动240相关联的风险。在各个实施方式中，风险可以包括活动谱。活动越接近与该活动相关联的风险度量的原点，活动就越安全。活动越远离与该活动相关联的风险度量的原点，在活动中涉及的风险越大。在各个示例中，风险分类可以包括：责任、成熟度、网络安全、带宽耗尽、通信自由度、信息安全和低生产力。可以使用其他风险分类。风险评估模块240可以对活动进行评估以识别与该活动相关联的风险。

在各个实施方式中，安全代理200可以包括过滤器模块250。过滤器模块250可以从风险评估模块240接收与活动相关联的评估的风险。过滤器模块250可以应用策略以确定活动是否落在可接受的风险水平内。在活动在可接受的风险水平之外的那些情况下，可以阻止该活动，并且可以通知管理员和/或用户260。在活动在可接受的风险水平内的那些情况下，可以允许该活动，并且可以允许用户260继续该活动。

在各个实施方式中，安全代理也可以包括控制设置接口270。控制设置接口270可以便利用户和/或管理员260的策略提供。控制设置接口270可以允许用户和/或管理员关于与由用户进行的活动相关联的风险来调节他的/她的自己的舒适水平。例如，可以使用成为若干风险分类的多个转换来合并数据的分类和始发数据的实体的信誉。然后，通过将与活动相关联的风险与策略进行比较以确定该活动是否被策略禁止来进行与在这些不同的分类中的数据相关联的风险的评估。

图3A是中央信誉模块的框图。在一些实施方式中，控制设置可以用于调整由中央信誉模块基于本地信誉反馈做出的全局信誉的确定。安全代理300可以通过网络310向信誉模块320发送查询。在一些实施方式中，信誉模块320可以在安全代理300本地。在一些示例中，安全代理300响应于接收来自未知实体的通信而始发查询。替代地，安全代理300可以始发响应于接收任何通信的查询，由此促进更多最新的信誉信息的使用。

信誉模块320可操作用于用全局信誉确定来对查询进行响应。中央信誉模块320可以使用信誉引擎330来得到信誉。在一些实施方式中，信誉引擎330可操作用于从相应的多个本地信誉引擎接收多个本地信誉332。在一些示例中，信誉引擎可以定期地向信誉模块320发送多个本地信誉332。替代地，服务器可以在从安全代理300接收到查询时检索多个本地信誉332。在一些实施方式中，信誉模块330可以是中央信誉模块，并且多个本地信誉332可以包括由与安全代理300相关联的本地信誉引擎得到的本地信誉。

可以使用与本地信誉引擎中的每一个相关的置信度值334来合并本地信誉，并且然后累积结果。置信度值334可以指示与由相关信誉引擎产生的本地信誉相关联的置信度。与个体相关联的信誉引擎例如可以在全局信誉确定中接收较低的加权。相反，与在大的网络上进行操作的信誉引擎相关联的本地信誉可以基于与该信誉引擎相关联的置信度值334来在信誉确定中接收较大的加权。

在一些实施方式中，置信度值334可以基于从用户接收到的反馈。例如，接收到指示没有适当地处理通信的很多反馈的信誉引擎可以针对与那些置信引擎相关联的本地信息332被指派低的置信度值334，没有适当地处理通信是因为与通信相关联的本地信誉332指示了错误的动作。类似地，接收到指示基于与指示正确动作的通信相关联的本地信誉信息332而正确处理了通信的反馈的信誉引擎可以针对与该信誉引擎相关联的本地信誉332被指配高的置信度值334。

在一些实施方式中，调谐器340可以用于调整与各种信誉引擎相关联的置信度值。调谐器可以接收控制设置342，并且可以基于接收到的控制设置342来调整置信度值。例如，代理300可以提供控制设置342，包括各种安全设置，诸如在许多其他类型的恶意软件灵敏度中的病毒灵敏度设置、计算机蠕虫灵敏度设置、钓鱼检测灵敏度设置、木马灵敏度设置及其组合。

在其他示例中，代理300可以提供控制设置，该控制设置包括各种策略设置，诸如间谍软件灵敏度设置、垃圾内容灵敏度设置、群发邮件灵敏度设置、内容灵敏度设置、用户隐私灵敏度设置和许多其他策略设置，以保护网络不受不需要或者非法活动的影响，该不需要或者非法的活动在一些情况下包括从受保护的计算机始发的通信业务(例如，防止感染计算机的间谍软件向外部实体提供键击记录)。在一些实施方式中，各种设置可能被归类为安全设置，而其他设置可能被重新归类为策略设置。例如，可以根据由管理员或者用户期望的配置来在安全设置和/或策略设置下对垃圾内容设置进行分类。在其他示例中，可以基于由管理员或者用户提供的配置来将钓鱼设置归类为安全设置或者策略设置。

在各个实施方式中，可以由本地信誉引擎本身基于所存储的不正确地分类的实体的统计来将置信度值334提供给信誉模块320。在其他实施方式中，可以将用于加权本地信誉信息的信息传送到信誉模块320。

在一些示例中，可以对得到的全局信誉向量应用偏置345。偏置345可以规范化信誉向量，以向安全代理300提供规范化的全局信誉向量。替代地，可以应用偏置345以考虑与始发信誉查询的安全代理300相关联的本地偏好。因此，安全代理300可以接收匹配查询安全代理300的的限定的偏好的全局信誉向量。安全代理300可以基于从信誉模块320接收到的全局信誉向量来对于信息采取动作。

在一些实施方式中，在偏置345中使用的偏好可以包括由安全代理300向中央信誉模块320提供的控制设置342。例如，代理300可以提供控制设置342，包括各种安全设置和/或策略设置。在一些实施方式中，安全设置可以包括策略设置。在行业中，策略设置经常被建立为安全措施，用于防止公司设备的误用并且防止敏感的交易秘密被暴光。

图3B是示例性安全代理350的框图。在一些实施方式中，安全代理350可以使用控制设置来调整消息的分类和/或过滤。在各个实施方式中，安全代理可以被配置成考察如由管理员394指定的现有的一组相关文件392，以创建与该组相关文件392相关联的标识特性。文件392可以被提供到分类引擎355。在各种实施方式中，分类引擎355可能对该组相关文件392使用分类技术375、380、385的任何一种，以确定标识在文件392之间的关系的特征或者特性。例如，法律文档可能包括拉丁文短语，诸如in re、ipso facto或者prima facie。这样的包括能够由消息分类引擎355来发现。

在一些实施方式中，分类引擎355可以生成用于一类内容的一组标识特性。然后，对进入安全代理350的通信使用相同的技术375、380、385。在这些实施方式中，可以然后将通信的特性与一类内容的标识特性作比较，以确定通信的内容属于哪一类(如果有的话)，由此产生通信的内容分类390。在一些实施方式中，安全代理350可以应用与内容分类相关的策略，如由过滤模块360所示，以确定通信是否将经由网络365来提供或者丢弃、隔离等，如块370所示。在通信不满足策略的情况下，可以向始发系统396警告策略失效。消息收发内容一致性系统也可以向系统用户或者管理员394和/或发送者通知策略失效。

在一些实施方式中，安全代理350可以向用户或者管理员394提供调谐器接口398。调谐器接口可以由用户或者管理员使用来进行对分类引擎355的调整。在一些实施方式中，用户或者管理员394可以向分类引擎355提供控制设置。控制设置可以在将接收到的消息分类为属于一个分类之前调整在接收到的消息和分类特征之间找到的相似度水平。在其他实施方式中，控制设置可以在被分类为属于一个分类之前调整消息特性可能落入的范围。在一些实施方式中，控制设置的提供可以动态地调整与安全代理相关联的过滤水平。在其他实施方式中，控制设置的提供可以调整由安全代理消耗的系统资源的水平。

在其他实施方式中，调谐器接口398可以提供便利对过滤器模块360基于业务的类型的调整的接口。例如，管理员/用户可以确定应当比其他类型的数据通信(例如，web业务、音乐/视频流送业务、即时消息收发业务等)更密切地监视电子邮件。在这样的示例中，管理员可以使用接口来基于被过滤的业务的类型调整控制设置。

在其他实施方式中，调谐器接口398可以提供接口来便利对与通信相关联的风险容限的调整。在这样的实施方式中，管理员和/或用户可以向过滤器提供控制设置，指示过滤器应当基于与通信相关联的风险而通过的业务的一个或多个分类。因此，当可以通过分类引擎355来宽松或者严格地分类数据时，过滤器模块360可以由调谐器接口基于与各个分类的数据相关联的风险来进行调整，以提供过滤器策略的严格强制或者过滤器策略的宽松强制。

图4是在全局信誉和本地信誉之间的示例性分辨的框图。在一些实施方式中，安全代理(例如，图3A的安全代理300)可以使用全局信誉数据，并且提供在全局信誉数据和本地信誉数据之间的分辨。安全代理400与服务器420进行通信，以从服务器420检索全局信誉信息。本地安全代理400可以在402处接收通信。本地安全代理可以在404处关连该通信以识别消息的属性。该消息的属性可以包括，例如，始发实体、消息内容的指纹、消息大小等。本地安全代理400将该信息包括在对服务器420的查询中。在其他示例中，本地安全代理400可以将整个消息转发到服务器420，并且服务器可以执行该消息的关连和分析。

服务器420使用从查询接收到的信息来基于服务器420的配置425确定全局信誉。配置425可以包括多个信誉信息，包括指示所查询的实体是不具信誉的信息430和指示所查询的实体具有信誉的信息435二者。配置425还可以应用对所聚集的信誉430、435的每一个的加权440。信誉分值确定器445可以向用于加权440的引擎提供聚集的信誉信息430、435，并且产生全局信誉向量。

然后本地安全代理400在406处向本地信誉引擎发送查询。本地信誉引擎408执行本地信誉的确定，并且在410处返回本地信誉向量。本地安全代理400还接收以全局信誉向量形式的发送到服务器420的信誉查询的响应。然后，本地安全代理400在412处将本地和全局信誉向量混合在一起。然后，在414处对于接收到的消息采取动作。

在一些实施方式中，混合器412可以包括从接收者450接收到的安全和/或策略控制设置。例如，与成人内容提供者相关联的接收者450可能对从计算机阻止包括成人内容的通信不感兴趣。因此，接收者450可以提高与基于包括在通信中的成人内容将特定通信分类为不具信誉的相关联的阈值。在各个实施方式中，可以提供多个安全和/或策略控制设置。例如，这样的设置可以包括恶意软件检测设置、病毒检测设置、钓鱼检测设置、木马检测设置、逻辑炸弹检测设置、僵尸检测设置、间谍软件检测设置、点击欺诈检测设置、分布式拒绝服务检测设置、垃圾内容检测设置、群发通信检测设置、策略违反检测设置等及其组合。

图5是用于调整与信誉服务器相关联的过滤器的设置的示例性图形用户接口500。图形用户接口500可以允许逻辑安全代理的用户调整在若干不同类别510中的逻辑过滤器的设置，诸如“病毒”、“蠕虫”、“木马”、“钓鱼”、“间谍软件”、“垃圾内容”、“内容”和“群发”。然而，所描述的类别510仅是示例。其他列表是可能的。

在各种实施方式中，本公开提供了一种接口，该接口使得用户和/或管理员能够动态地控制进入和外出的网络业务的过滤。例如，用户和/或管理员可以调整过滤以降低垃圾内容过滤，并且调整过滤以提高色情内容过滤。在另外的实施方式中，用户和/或管理员可以“调节”进入和外出的过滤的量。例如，网络管理员可以负责网络的性能以及不需要的网络业务的识别。因此，网络管理员可能要提高过滤系统的吞吐量来提高网络性能，同时牺牲一些类型的业务的识别。

在一些实施方式中，类别510可以被划分为两个或者更多类型的类别。例如，图5的类别510被划分为类别510的“安全设置”类型520和类别的“策略设置”类型530。其他类别是可能的。在类别510和类型520、530的每一个中，混合器条表示540可以允许用户调整与通信或者实体信誉的相应类别510相关联的特定过滤器设置。

而且，虽然可以基于用户自己的判断来自由地调整在各个实施方式中的“策略设置”类型530的类别510，但是“安全设置”类型520的类别可能限于在范围内的调整。该对于调整的限制可以被设置，以便于防止用户改变在网络管理员可接受的范围之外的安全代理的安全设置。例如，不满的雇员可以试图降低安全设置，由此使得企业网络容易被攻击。因此，在一些实施方式中，在“安全设置”类型520中的类别510上布置的范围限制550可操作用于将安全性保持在最低水平，以防止网络被入侵。在一些实施方式中，范围550可以被系统硬性设置(hard-wired)。在其他实施方式中，管理员可以调整范围550，或者可以基于由用户和/或管理员选择的简档来调整范围550。这样的范围550可以防止用户破坏网络设置。

在各个示例中，“策略设置”类型530的类别510是不折衷网络的安全但是如果降低设置则仅使得用户或者企业不方便的那些类别510的类型。因此，在一些实施方式中，可以自由地调整“策略设置”530。在其他实施方式中，“策略设置”530可以包括由管理员设置、通过简档设置或者通过系统硬性设置的限制。

而且，在一些实施方式中，可以对所有的类别510设置范围限制550。因此，本地安全代理可以防止用户将混合器条表示540设置在所提供的范围550之外。在另外的实施方式中，可以不在图形用户接口500上示出所述范围。相反，可以从图形用户接口500提取范围550，并且所有的设置将是相对设置。因此，类别510可以显示和呈现为允许设置的全范围，同时将所述设置转换成在所提供的范围内的设置。例如，在该示例中将“病毒”类别510范围550提供为在水平标记8和13之间。如果图形用户接口500被设置为从图形用户接口500中提取可允许的范围550，则“病毒”类别510将允许在0和14之间的任何位置的混合器条表示540的设置。然而，图形用户接口500可以将0-14的设置转换为在8-13的范围550内的设置。因此，如果用户请求在0和14之间中间的设置，则图形用户接口可以将该设置转换为在8和13之间中间的设置。

在一些实施方式中，控制设置范围可以由系统性能来限制。例如，如果系统具有给定的处理能力，则系统可能没有支持特定的控制设置的能力。在一些实施方式中，可以提供系统性能控制设置。系统性能控制设置可以用于基于给定的安全和策略控制设置向管理员或者用户提供网络的系统性能的表示。例如，如果安全和策略控制设置的每一个被调整到最大水平，则系统性能控制设置可能在比最大水平更低。

在一些实施方式中，系统性能设置的调整可以使得调整安全和/或策略控制设置。例如，如果安全和策略控制设置被设置在最高水平，并且管理员试图将系统性能设置调整为最大水平，则接口可以降低安全和策略控制设置以支持最大的性能。在一些实施方式中，当调整系统性能控制设置时，可以保持在设置之间的比率。

在一些实施方式中，用户可以创建他/她自己类别来进行分类。在这样的实施方式中，调谐器接口可以允许用户或者管理员提供表示用户想要建立分类的一组文档(例如，文件、消息等)的目录。消息分类引擎可以查看文档，并且得到在文档之间的任何关系，并且得到与所述一组文档相关联的特性。例如，用户可以确定所有未经请求的业务是不需要的。这样的用户可以对于未经请求的业务建立单个分类，其可以包括与属于消息分类的那些文档相关联的多个分类中的任何一个，并且将属于该分类的那些文档提供给消息分类引擎。消息分类引擎由此可以创建分类，并且允许用户调整与所述分类相关联的容限。

图6是用于调整与信誉服务器相关联的过滤器的设置的另一个示例性图形用户接口600。在一些实施方式中，图形用户接口600可以允许用户定制设置视图。例如，在用户接口600中，可以水平地移动多个滑块640，以调整策略控制设置620和/或安全控制设置630。可以显示类别610以向用户提供与滑块640的每一个相对应的类别的列表。在一些实施方式中，滑块可以被限制为位于例如由管理员提供的范围650内。

在其他实施方式中，图形用户接口可以提供旋钮表示，可操作用于向用户提供接口，该接口用于通过调整旋钮表示来调整安全和/或策略控制设置。其他接口抽象化是可能的。

图7是用于调整通信过滤器的设置的另一个示例性接口700的框图。在一些实施方式中，接口700可以包括多个风险分类710。在一些示例中，风险分类可以包括责任、成熟度、网络安全、带宽耗尽、通信自由、信息安全、低生产力和一般信息等。

接口700可以包括尺度表示720，可以相对于它来调整风险分类710。在一些实施方式中，将控制设置调整为在尺度720上的高容限可以允许访问与那个活动类别相关联的更多类型的信息，同时将控制设置调整为在尺度720上的低容限可以防止用户从事可能包括对于相关网络有一定风险水平的活动。

在一些实施方式中，尺度720还可以包括黑名单设置表示730和白名单设置表示740。黑名单设置表示730可以通过下述方式来向用户提供更大的自由度：允许访问与风险分类710相关联的任何类型的活动，除了被黑名单条目禁止的活动之外。白名单设置表示740可以通过下述方式来对与风险分类710相关联的动作提供更有限的访问：阻止与该风险分类710相关联的所有活动，除了在与风险分类710相关联的白名单上包括的活动之外。

在一些实施方式中，接口700可以包括多个控制设置表示750a-h。控制设置表示750a-h可以表示风险分类710，分别包括责任、成熟度、网络安全、带宽耗尽、通信自由、信息安全、低产生率和一般信息。各种控制设置可以使得用户或者管理员能够调整分别与风险分类710相关联的控制设置。

在一些实施方式中，责任风险分类设置750a可以关于法律责任来限定用户的风险容限。在各种情况下，雇员可能从事使得雇主具有法律责任的网络动作。例如，如果用户向其他雇员发送成人内容，则该雇员可能使得雇主承担在接收者一方的性骚扰指控的责任。在其他示例中，雇员可能从事犯罪活动，这会使得雇主承担责任，诸如以对于雇主的任务的借口来欺骗客户或者贪污钱财。

在一些实施方式中，成熟度风险分类设置750b可以包括会损害孩子的情感发展的内容。例如，在可能有孩子的环境中，管理员可能要限制对包含成人内容的内容的访问。在其他示例中，诸如工作场所的环境可能不包括孩子。这样的工作场所环境可以提供对于成人内容的较高容限。在各个示例中，成人内容可以包括(无具体顺序)诸如暴力、赌博、药物、污秽或者裸露等的概念。

在一些实施方式中，网络安全风险分类设置750c可以包括过滤内容，诸如可能损害计算机软件、避开过滤策略或者暴光保密数据的恶意软件的源。任何网络活动可以将网络资产暴露为安全风险。但是，网络的目标不是阻止所有的网络业务，而是限制与由用户进行的活动相关联的风险。

在一些实施方式中，带宽耗尽风险分类设置750d可以包括对应用可能耗尽网络的带宽的风险进行过滤。诸如流送媒体的一些应用可以使用过度的带宽，并且可以引起网络可能没有足够的带宽来服务新的应用的更大风险。例如，如果企业由数字订户线(DSL)连接来服务，则多个流送媒体连接(例如，流送视频、web电话等)可能增加不能建立重要的电话会议连接的风险。在其他示例中，企业可以具有T3网络连接。在这样的示例中，基于可用带宽管理员或者用户可能不太关心带宽。因此，用户/管理员可以跟踪网络的使用，并且基于历史使用来适当地设置风险水平。

在一些实施方式中，通信自由度风险分类设置750e可以包括过滤用户可以使用来与其他用户进行通信的应用的类型。例如，许多web邮件程序和web电话难以管理风险，因为它们允许用户直接向组织之外的其他用户传送信息。因此，一些管理员可以提供对可以被网络实体使用的应用类型的限制。

在一些实施方式中，信息安全风险分类设置750f可以包括过滤用户或者应用将机密的公司信息向公司之外的用户暴露的风险，例如，对等的文件共享可以允许在企业之外的用户访问在企业计算机上的文件。在其他示例中，钓鱼网站和/或应用可以允许外部用户接收与公司的雇员相关联的数据，并且甚至允许访问企业信息。

在一些实施方式中，生产力风险分类设置750g可以包括过滤雇员正在使用网络资源来用于非生产使用的风险。许多公司不希望限制对于这样的资源的访问，因为恐怕雇员感到不被信任并且不发展对于公司的忠心。但是，许多网站和/或应用可以减少公司的雇员的生产力。因此，公司可能要减少这样的网站和/或应用的总的使用，同时不消除对于这些网站和/或应用的访问。

在一些实施方式中，一般信息风险分类设置750h可以包括过滤基于事实的站点，所述基于事实的站点允许用户观看关于各种主题的信息。如果管理员将用于一般信息类别的控制设置设置在低容限，则策略引擎将被访问的信息限于有益于他们工作的那些类别，而不是关于用户的轮询地点的位置的信息或者描述为什么天空是蓝的科学网站。如果控制设置被调整到高容限(或者黑名单)，则策略引擎允许用户访问大多数类型的一般信息。因此，如果存在具有可能有你的带宽或适当设置来阻止一些风险的大量信息的站点，则不管那些其他风险以使得这个站点通过。

在各个实施方式中，可以使用其他风险分类。

图8是用于调整通信过滤器的设置的另一个示例性接口的框图。在各个实施方式中，可以识别很多风险分类。风险分类可以被映射到多维风险空间800上。在一些实施方式中，可以使用多维风险空间以帮助用户或者管理员确定如何设置和应用用于相关网络(或者网络装置)的策略。

在一些实施方式中，风险分类中的每一个可以由轴810-870来表示，并且可以被识别为彼此正交(或者基本上正交)。在这样的实施方式中，与风险分类相关联的轴810-870中的每一个基本上独立于其他轴，并且可以想象与其他轴成直角。轴810-870可以基于与活动相关联的风险来将活动映射到相应的风险分类。例如，非法的活动可以暗示公司的责任问题。在一些情况下，活动可以暗示多个风险分类。例如，如果有年轻人可能受色情内容的影响(诸如，儿童电视制作公司)，则观看色情内容的雇员可能暗示责任风险和成熟度风险。

多维风险空间800还可以包括很多控制设置750a-g。在一些实施方式中，多维风险空间可以被提供为用于滑块接口(例如，图7的接口700)的伴随接口。在这些实施方式中，控制设置750a-g可以提供由关于滑块接口进行的各种设置过滤的活动的类型的指示。

在其他实施方式中，多维风险空间800可以被提供为用于过滤模块(例如，图2的过滤模块250)的主要控制设置接口。在这样的实施方式中，管理员和/或用户可以通过将控制设置750a-g从与控制设置750a-g相关联的相应轴810-870的原点移开或者移向所述原点来调整控制设置750a-g。例如，如果管理员对网络安全设置了高优先级，则管理员可以向网络安全轴830的原点移动网络安全控制设置750c。在其他示例中，如果管理员和/或用户对网络带宽设置了低优先级(例如，因为有很多可用带宽)，则管理员和/或用户可以将带宽控制设置750d从带宽轴840的原点移开。可以使用其他轴。

在其他实施方式中，可以基于与活动相关联的区域来计算总的风险。例如，基于多维空间800，可以识别可能存在涉及超过两个不同风险的活动。在这样的情况下，过滤器可以计算由在风险分类轴810-870上的活动限定的区域，并且基于由在暗示的风险分类轴810-870的每一个上的活动暗示的风险来计算与活动相关联的总的风险。在这样的实施方式中，用户和/或管理员可以定义用户和/或管理员可接受的最大的总的风险水平，并且可以将所计算的活动的总的风险与可接受的风险的最大总水平相比较，以确定是否允许活动。

图9是图示用于调整与网络安装代理相关联的过滤器设置的示例方法的流程图。在阶段900，识别范围。可以例如通过安装代理(例如，图1的安装代理100)来识别范围。在各个实施方式中，所识别的范围可以提供其中可以调整控制设置的范围。在一些实施方式中，可以在用户接口环境中描述范围。在其他实施方式中，控制设置可以是与在加权范围内的分类类别相关联的加权，由此，在默认设置上，所述设置包括百分比运算符(例如，乘数)。在一些示例中，可以允许管理员设置最大乘数和最小乘数，并且所述最大和最小乘数包括可以在其中调整控制设置的范围。在其他实施方式中，控制设置可以是与分类相关联的阈值的直接调整，并且范围可以是与分类相关联的最小和最大阈值的反映。在一些实施方式中，范围可以被硬编码到安全代理中。在一些这样的实施方式中，可以向管理员提供授权来在由安全代理允许的范围内提供进一步的限制。

在阶段910，提供控制接口。例如，可以由安全代理(例如，图1的安全代理100)结合用户接口来提供控制接口。在一些实施方式中，控制接口可以包括多个滑块，其可操作成调整与通信过滤器相关联的控制设置。例如，控制接口可以向用户提供均衡器表示，使得用户能够调整用于可以由通信过滤器过滤的各类通信的多个检测设置。

在阶段920，可以接收控制设置。例如，可以由安全代理(例如，图1的安全代理100)结合用户接口来接收控制设置。在一些实施方式中，基于用户访问控制接口和调整与控制接口相关联的控制表示来接收所述控制设置。在各个实施方式中，控制设置可以提供分类阈值的直接调整。在其他实施方式中，控制设置可以操作为关于与分类相关联的默认偏置的百分比运算符。例如，默认设置可以表示默认偏置的身份，而将控制设置调整得更高或者更低可以分别乘以或者除以默认偏置。

在阶段930，可以调整与通信类型相关联的阈值。例如，可以由安全代理(例如，图1的安全代理100)结合用户接口来调整阈值。在一些实施方式中，与通信类型相关联的阈值可以定义在将主题通信分类为属于那个通信类型之前在主题通信和先前与所述类型相关联的通信之间所要求的相似度水平。例如，高阈值可能要求在将主题通信分类为属于所述类型之前在主题通信和分类的通信之间的许多相似度。类似地，低阈值可能仅要求在将主题通信分类为属于所述类型之前在主题通信和分类类型的先前接收到的通信之间的少数相似度。在各个实施方式中，可以基于与通信相关联的多个属性，包括与公知的合法通信的相似度，来得到在通信之间的相似度。

在其他实施方式中，阶段930可以由可操作用于调整与通信类型相关联的偏置的阶段。例如，可以调整与主题的特定属性或者特性相关联的加权以向分析器提供结果。加权可以基于相对于其他属性被放大的通信的特定属性来使得分析器将通信与特定的分类相关联。

在阶段940，可以基于阈值来过滤通信。例如，可以由安全代理(例如，图1的安全代理100)结合通信过滤器来过滤通信。在一些实施方式中，过滤器可以丢弃特定分类的通信。在其他实施方式中，过滤器可以隔离通信以进一步进行查看。在其他实施方式中，过滤器可以基于分类来标注通信。在一些这样的实施方式中，可以使得于通信相关的标示可用于用户和/或与用户的计算机相关联的程序可。

在替选实施方式中，阶段940可以由基于由分析器的结果识别的分类来过滤通信来替代，并且被替代为基于控制设置被偏置。例如，用户可以请求基于分类来标注所有的通信，或者丢弃、量化或者延迟特定的分类。

在此公开的系统和方法可以使用利用网络(例如，局域网、广域网、因特网等)、光纤介质、载波、无线网络(例如，无线局域网、无线城域网、蜂窝网络等)等传递的数据信号来与一个或多个数据处理装置(例如，移动装置)进行通信。数据信号可以承载向装置提供或者从装置提供的在此公开的数据的任何一个或者全部。

在此所述的方法和系统可以通过程序代码来在许多不同类型的处理装置上实现，所述程序代码包括可由一个或多个处理器执行的程序指令。软件程序指令可以包括源代码、对象代码、机器代码或者可操作用于使得处理系统执行在此所述的方法的任何其他存储的数据。

所述系统和方法可以被提供在许多不同类型的计算机可读介质上，包括计算机存储机制(例如，CD-ROM、磁盘、RAM、闪速存储器、计算机的硬盘驱动器等)，其包含用于在由处理器执行来执行所述方法的操作并且实现在此所述的系统的指令。

在此所述的计算机部件、软件模块、功能和数据结构可以直接地或者间接地彼此连接，以便于允许它们的操作所需要的数据的流动。也注意，软件指令或者模块可以被实现为例如代码的子例程单元、或者被实现为代码的软件功能单元、或者被实现为对象(如在面向对象的范例中)、或者被实现为小服务程序、或者以计算机脚本语言实现或者被实现为另一种类型的计算机代码或者固件。软件组件和/或功能可以位于单个装置上或者根据当前的情况来被分布在多个装置中。

本撰写的描述阐述了本发明具体实施方式，并且提供了示例来描述本发明，并且使得本领域内的普通技术人员能够建立和使用本发明。本撰写的描述不将本发明限制为所给出的确切形式。因此，虽然已经参考上面给出的示例详细地描述了本发明，但是本领域内的普通技术人员可以在不偏离本发明的范围的情况下对于所述示例进行改变、修改和变化。

如在此处的描述和所附的权利要求中使用的，不带数量词限定的项和“所述”的含义包括复数引用，除非上下文清楚地另外指示。而且，如在此处的描述和所附的权利要求中使用的，“在...中”的含义包括“在...中”和“在...上”，除非上下文清楚地另外指示。最后，如在此处的描述和所附的权利要求中使用的，“和”与“或”的含义包括连接和分离，并且可以将交换地使用，除非上下文清楚地另外指示。

范围可以在此被表达为从“大约”一个特定值和/或到“大约”另一个特定值。当表达这样的范围时，另一个实施例包括从一个特定值和/或到另一个特定值。类似地，当值被表达为近似值时，通过使用在前的“大约”，可以明白所述特定值形成另一个实施例。还可以进一步明白，每个范围的端点关于另一个端点并且独立于另一个端点地是有意义的。

这些和其它实施方式在下面的权利要求的范围内。

Claims

1.一种系统，包括：

通信接口，所述通信接口可操作用于接收与网络相关联的数据；

风险评估模块，所述风险评估模块可操作用于基于对所述数据的多个测试的应用来分析所述数据，以确定与所述数据相关联的一个或多个风险，所述多个测试可操作用于识别与所述数据相关联的发送者和接收者以及与所述数据相关联的活动的类型，所述风险评估模块可操作用于基于所述发送者或者所述接收者以及与所述数据相关联的活动的类型来向所述数据指派风险水平；

过滤模块，所述过滤模块可操作用于基于与所述数据相关联的所述风险水平和与所述网络相关联的策略来过滤所述数据；以及

控制设置接口，所述控制设置接口可操作用于便利对所述策略的设置，所述控制设置接口包括与各种活动相关联的多个基本上正交的风险类别。

2.根据权利要求1所述的系统，其中，所述控制设置接口包括：滑块接口，所述滑块接口便利与所述多个基本上正交的风险类别相关联的控制设置表示的移动。

3.根据权利要求2所述的系统，其中，所述控制设置接口可操作用于允许用户沿着分别与所述基本上正交的风险类别相关联的多个轴来移动控制设置表示。

4.根据权利要求3所述的系统，其中，所述轴中的每一个包括示例性活动，所述示例性活动对应于与所述示例性活动相关联的风险水平。

5.根据权利要求4所述的系统，其中，所述示例性活动与在相关联的轴上的相应风险水平相关联。

6.根据权利要求3所述的系统，其中，所述多个轴基本上彼此平行。

7.根据权利要求3所述的系统，其中，所述多个轴共享原点。

8.根据权利要求3所述的系统，其中，所述基本上正交的风险类别包括责任类别、成熟度类别、安全类别、带宽类别、通信类别、信息安全类别或者生产力类别中的一个或多个。

9.根据权利要求3所述的系统，其中，所述滑块接口包括多个范围，所述范围中的每一个与相应的控制设置表示相关联，在所述范围内，能够调整与所述风险类别相关联的控制设置。

10.根据权利要求3所述的系统，其中，所述滑块接口包括与所述基本上正交的风险类别中的特定风险类别相关联的黑名单设置，由此仅阻止与所述特定风险类别相关联的在黑名单上的实体。

11.根据权利要求3所述的系统，其中，所述滑块接口包括与所述基本上上正交的风险类别中的特定风险类别相关联的白名单设置，由此仅允许与所述特定风险类别相关联的在白名单上的实体。

12.一种计算机实现的方法，包括：

接收用于与网络相关联的通信的网络策略，所述网络策略包括与各种活动相关联的多个基本上正交的风险类别；

接收与所述网络相关联的通信；

对所述通信应用多个测试，所述多个测试可操作用于识别与所述数据相关联的发送者和接收者以及与所述数据相关联的活动类型；

基于所述测试来识别与所述通信相关联的一个或多个风险；

基于所识别的风险对在所述多个基本上正交的风险类别的每一个中的所述数据指派相应的风险水平；

基于在所述多个基本上正交的风险类别的每一个中的相应风险水平来向所述通信应用所述网络策略；以及

基于所述网络策略的应用来延迟通信的传递。

13.根据权利要求12所述的计算机实现的方法，进一步包括：提供滑块接口，所述滑块接口便利通过与所述多个基本上正交的风险类别相关联的多个控制设置表示来调整网络策略。

14.根据权利要求13所述的计算机实现的方法，其中，所述滑块接口可操作用于使得用户能够沿着分别与所述基本上正交的风险类别相关联的多个轴来移动控制设置表示。

15.根据权利要求14所述的计算机实现的方法，其中，沿着所述轴的每一个在与和所述示例性活动的每一个相关联的风险水平相对应的位置处分别部署多个示例性活动。

16.根据权利要求15所述的计算机实现的方法，其中，每个所述示例性活动与在相关联的轴上的相应风险水平相关联。

17.根据权利要求14所述的计算机实现的方法，其中，所述多个轴被部署得基本上彼此平行。

18.根据权利要求14所述的计算机实现的方法，其中，所述多个轴共享原点。

19.根据权利要求14所述的计算机实现的方法，进一步包括：将多个范围与相应的控制设置表示相关联，在所述多个范围内，能够调整与所述风险类别相关联的控制设置。

20.根据权利要求14所述的计算机实现的方法，进一步包括：提供与所述基本上正交的风险类别中的特定风险类别相关联的黑名单设置，由此仅阻止与所述特定风险类别相关联的在黑名单上的实体。

21.根据权利要求14的计算机实现的方法，进一步包括：提供与所述基本上正交的风险类别中的特定风险类别相关联的白名单设置，由此仅允许与所述特定风险类别相关联的在白名单上的实体。

22.一种计算机可读介质，所述计算机可读介质存储可由处理装置执行的指令，并且在这样的执行后使得所述处理装置便利下述过程，所述过程包括：

接收用于与网络相关联的通信的网络策略，所述网络策略包括与各种活动相关联的多个风险类别；

接收与所述网络相关联的通信；

基于所述测试来识别与所述通信相关联的一个或多个风险；

基于所识别的风险对在所述多个风险类别的每一个中的所述数据指派相应的风险水平；

基于在所述多个风险类别的每一个中的相应风险水平来对所述通信应用所述网络策略；以及

基于所述网络策略的应用来延迟通信的传递。