用于基于用户信誉过滤垃圾邮件消息的系统和方法

摘要

一种用于更新用于由多个用户所接收的消息的过滤规则的系统，包括存储用于多个用户的过滤规则的过滤规则数据库；用于分配过滤规则给多个用户的装置；包括用于多个用户的每一个的信誉权重的用户信誉数据库；和用于对指示消息属于特定类别的用户报告进行接收和处理的装置。用于接收的装置（i）基于从多个用户所接收的报告的数量和这些用户的信誉权重来计算在其类别中的消息权重，（ii）如果消息权重超出预定义阈值，则决定该信息是否属于特定类别,（iii）基于决定来更新过滤规则数据库中的过滤规则，以及（iv）使用用于分配的装置将所更新的过滤规则从过滤规则数据库分配给多个用户。

说明书

技术领域

本发明涉及用于过滤消息的系统和方法，并且更具体地涉及基于用户 报告来过滤消息。

背景技术

任何因特网用户都熟悉垃圾邮件（SPAM）。因为SPAM的成本低，因 此其通常是肆无忌惮的广告商的第一选择。最近的研究已经显示SPAM占 据因特网上所有邮件流量的80%。通常地，SPAM是指大规模邮寄商业广 告或其他广告给不希望接收到它们的收件人。最初，SPAM主要涉及电子 邮件。然而，现在SPAM通过即时通讯工具、网站、社交网络、博客、网 络论坛以及短信服务（SMS）和彩信服务（MMS）消息来发送。

因此，SPAM已经成为严重的技术和经济问题。大容量的SPAM增加 了数据通道上的负载并且增加了必须由用户支付的因特网流量。另外，人 们将有效工作时间浪费在清理SPAM上。更进一步，由于SPAM消息的匿 名性，因此SPAM的商业性越来越小并且经常被用于因特网欺诈阴谋。另 外，SPAM可以用于传送恶意软件。

SPAM经常用于尝试获得用户信用卡号码或在线银行系统密码的金融 阴谋（例如，诸如“尼日利亚诈骗信（Nigerian letters）”）。网络钓鱼阴谋和 恶意软件传送是如何使用SPAM的其他例子。因此，需要用于防止SPAM 的装置。存在若干用于处理SPAM的方法。例如，黑名单方法使用黑名单 来阻止来自黑名单中所标记的地址的消息。尽管该方法提供对来自列入黑 名单的地址的消息的100%阻止，但是因为一些合法地址也在黑名单上，因 此其会导致许多误报。

另一种反SPAM（anti-SPAM）方法使用在大规模邮件流中对同样的（或 几乎同样的）消息进行检测的技术。有效的大规模邮件分析器要求极大容 量的邮件。因此，该方法仅可以由非常大型的邮件提供者使用。该方法的 明显缺点是大多数合法服务（例如，订阅新闻和更新）也使用大规模邮寄 并且可能被误认为SPAM的来源。

而另一种反SPAM方法是检查消息头。该方法对其消息头中存在一些 典型错误的消息进行阻止，这些典型错误指示由机器人所生成的SPAM消 息。该方法的缺点是随着SPAM生成机器人改进并且在消息头中更少犯错 误时，其有效性降低。

另一种反SPAM方法是灰名单方法。为每个传入消息生成具有特殊错 误代码的拒绝（rejection）。然后，和标准邮件服务器不同，SPAM发送机 器人不再尝试发送相同的消息。这被用作用于确定合法消息的标准。如果 在某一时期内发送者重复尝试发送消息，则允许该消息并且将发送者存入 白名单中。然而，由于所有消息的发送均延迟，因此该解决方案不能为很 多用户所接受。

而另一种反SPAM方法是使用特殊SPAM过滤器进行内容过滤，其对 传入消息（包括图形消息）的所有部分进行分析。该分析允许形成SPAM 词汇向量或计算消息的SPAM权重。基于这些参数来做出SPAM或非SPAM 的裁决。这种反SPAM方法在专利号为7,836,061、名为“Method and system  for classifying electronic text messages and spam messages（用于对电子文本 消息和垃圾邮件消息进行分类的系统和方法）”的美国专利中公开。

SPAM过滤器在创建和完善过滤规则的反SPAM实验室中配置。因为 SPAM发送者不断的尝试克服由SPAM过滤器所创建的保护，因此修改和 完善过滤规则的过程也在继续。SPAM过滤器的有效性取决于过滤规则的 及时更新。

如上所述，常规的反SPAM方法无法提供允许以100%有效性来阻止 所有SPAM消息的解决方案。因此，需要有效的反SPAM解决方案，其不 仅使用自动过滤规则更新，还基于由大量SPAM接收者所产生的统计来更 新过滤规则。

公开号为2010/0153394的美国专利公开文本公开了基于用户报告来更 新过滤规则。消息由位于邮件服务器上的SPAM过滤器进行检查并且被发 送给用户。每个用户可以发送与SPAM消息有关的报告至服务器。基于用 户报告来改变SPAM过滤规则，因此下次检测到所报告的消息则对其进行 阻止。在一些实施方案中，用户信誉数据库用于改变过滤规则。为了基于 用户报告来改变过滤规则，系统确定用户信誉。用户信誉可以增加或减小， 这取决于用户的SPAM报告的精确性和可靠性。

专利号为7,373,385的美国专利公开了一种用于基于用户报告来识别 SPAM的方法。所有的电子邮件用户均连接到共同的反垃圾邮件系统。当 用户接收到SPAM时，用户可以将其报告给系统。然后，基于若干报告的 数量和每个报告用户的可靠性系数来为每个电子邮件赋予等级。将等级与 阈值进行比较，并且产生SPAM裁决。基于用户报告统计来计算用户可靠 性系数。如果用户发送不可靠报告，其可靠性系数减小并且当计算电子邮 件等级时不会考虑他的报告。

专利号为7,937,468的美国专利旨在基于用户报告来减少SPAM裁决 需要的时间。系统使用对初期用户报告和基于初期用户报告所估计的共同 报告的统计分析，来确定消息是否包含SPAM。基于该估计和用户信誉来 做出裁决。

公开号2004/0177110的美国专利公开文本公开了用于使用用户报告来 教导SPAM过滤器的方法。用户确定消息是否包含SPAM并且对其进行报 告。基于用户报告来修改SPAM过滤规则。发明包括用户的交叉引用检查 和删除没有通过检查的用户。

常规系统通过基于用户的信誉而考虑每个单独用户的意见来增加过滤 的有效性。基于用户报告的可靠性统计来计算用户信誉。虽然这个方法是 有效的，但也具有某些缺点。首先，第一次报告SPAM的用户会具有低信 誉，而不管他们的实际知识和专业技能。其次，为了估计用户专业技能的 真实水平，对于该用户需要收集可靠性统计。这要求大量的用户报告，其 花费较长的时间，尤其是当用户对已经通过初始自动过滤的、相对“干净 的”消息进行处理时。

因此，所有的常规系统都具有一个主要的缺点——用户差异化，其使 得不能对实际的用户知识和专业技能做出真实的判断或精确估计。因此， 在本领域中需要允许深入全面估计用户知识的系统和方法，其提供更有效 的消息过滤。

发明内容

本发明涉及一种用于SPAM的检测的系统和方法，并且更具体地，涉 及基于用户报告和信誉来过滤消息，其基本避免了相关技术的一个或多个 缺点。

在本发明的一个方面，提供了允许深入估计用户知识的系统和方法。 很多客户端使用云服务。云服务系统基于用户信誉来提供更有效的消息过 滤。确定在云服务系统内具有最好信誉的最胜任的用户。从这些用户接收 SPAM报告到过滤规则修改系统中。更新规则并提供给云服务的所有用户。

本发明附加的特征和优点将在以下描述中进一步阐述，并且在一定程 度上将从描述中可以明显看出，或者可以通过本发明的实践获得。本发明 的优点将通过本书面描述和权利要求及附图中所特别指出的结构来实现和 得到。

可以理解前述总体描述和以下详细描述都是示例性的和解释性的，旨 在为所要求保护的本发明提供进一步解释。

附图说明

附图示出了本发明的实施例并与描述一起用于解释本发明的原理，所 述附图被包括以提供对本发明的进一步理解，且并入说明书中并构成说明 书的一部分。

在附图中：

图1描绘了依据示例性实施例的简易的垃圾邮件过滤系统；

图2示出用在示例性实施例中的云服务；

图3示出依据示例性实施例的，过滤规则修改系统的架构；

图4示出依据示例性实施例的，基于用户报告来进行过滤规则修改的 方法的算法；

图5示出依据示例性实施例的，客户端侧的SPAM过滤系统的架构；

图6示出依据示例性实施例的，用于估计用户信誉的系统；

图7示出依据示例性实施例的用户信誉数据库；

图8示出依据示例性实施例的，用于估计用户信誉的方法的流程图；

图9示出用于在作为云服务客户端的用户计算机上实现的发送通知的 系统；

图10示出可用于实现本发明的示例性计算机系统的示意图。

具体实施方式

现在将详细参考本发明的优选实施例，其示例在附图中示出。

根据示例性实施例，提供用于基于用户报告来检测SPAM的方法和系 统。根据所提出的方法，确定用户信誉并且将用户SPAM报告用于全面的 SPAM检测。基于用户报告来完善和修改SPAM过滤规则并且提供给云服 务的所有用户。

图1示出简易的SPAM过滤系统，在该系统中由用户160来设置过滤 规则。消息100（例如，电子邮件、SMS或者MMS消息）被接收到SPAM 过滤系统120的SPAM过滤器130中，该SPAM过滤系统120安装在用户 160的计算机系统110上。根据示例性实施例，计算机系统110可以是PC 或者移动设备（例如，笔记本、平板电脑或者移动电话）。SPAM过滤器130 确定所接收的消息100的参数，并且与存储在过滤规则数据库140中的参 数对照检查这些参数。如果消息100的参数与来自数据库140的参数相匹 配，则针对消息100采取某一动作（例如，将消息置入隔离区，或者删除 消息）。

如果没有发现匹配，则发送消息100给用户160。然而，如果通过SPAM 过滤系统120没有检测到消息100包含SPAM并且发送该消息给用户160， 那么用户160可以通过规则更新模块150来改变数据库140中的过滤规则。 因此，将来相同的或相似的SPAM消息将不会通过SPAM过滤器130。

由于大部分SPAM通过大规模邮寄实现，因此可以收集由大量用户所 接收和处理的SPAM消息的统计。根据示例性的实施例，给予用户发送 SPAM报告到中央处理系统的机会。中央处理系统对报告进行分析并且改 变在所有用户计算机110上的SPAM过滤系统120的过滤规则。

因此，当用户组的一部分接收到同样的SPAM消息并且将其报告给中 央处理系统时，在所有用户计算机110上的SPAM过滤系统120的过滤规 则的更新保证组的其他用户将不会接收到相同的SPAM消息。根据示例性 实施例，如图2中所描绘的，中央处理系统实现为云服务。

云服务200示出为硬件资源（服务器）210，其对计算机110的用户是 可用的。由于在高负载下的可扩展性，多个资源210使客户端-服务器系统 更易于访问。如果一个资源210故障，因为虚拟服务器（VS）可以自动连 接到备用源，因此这也降低了虚拟服务器故障的风险。

图3示出根据示例性实施例的、过滤规则修改系统的架构。基于用户 报告来完善和修改过滤规则。作为云服务200的客户端的计算机系统110 的每个用户可发送SPAM检测报告到过滤规则修改系统300。SPAM报告 将在下面图5的描述中详细的讨论。过滤规则修改系统300是云服务200 的一部分。用户报告被接收到过滤规则修改系统300内的报告处理模块310 中。

报告处理模块310计算每个所报告消息的SPAM权重。基于针对该消 息所接收到的SPAM报告的数量以及基于每个报告用户的信誉权重来计算 消息的SPAM权重。信誉权重反映用户知识和可靠性。为了基于用户的知 识和报告的可靠性来对所有用户分类，为每个用户计算信誉权重。将用于 云服务所有客户端的信誉权重存储在用户信誉数据库320中。

根据示例性实施例，与具有较低信誉权重的用户相比，来自具有高信 誉权重的用户的SPAM报告将消息SPAM权重增加到更高的级别。在一个 实施例中，可以设置信誉权重阈值，使得从具有低于阈值的信誉权重的用 户所接收的报告不被考虑用于消息SPAM权重的计算。可选地，可基于信 誉值来给高于阈值的信誉赋予权重（例如，为了计算SPAM权重，忽略信 誉在50以下、可能的100之外的所有用户，而信誉例如为51的用户相比 于信誉为95的用户具有较低的权重）。

根据示例性实施例，根据特定的算法来实施基于用户SPAM报告的数 量和基于每个报告用户的信誉权重的消息SPAM权重的计算。该算法可以 使用模糊逻辑、仿真、神经网络、基向量法（参见例如， http:**en.wikipedia.org/wiki/Support_vector_machine）等。在计算出消息的 SPAM权重后，将其数值与预设的阈值相比较。基于比较，报告处理模块 310产生SPAM裁决。

然后，基于SPAM裁决，报告处理模块310更新共同过滤规则数据库 330。共同过滤规则数据库330包含具有基于SPAM裁决所指派的类别的消 息的参数。随后，规则广播模块340将所更新的过滤规则从共同过滤规则 数据库330发送到所有用户计算机系统110。因此，来自共同过滤规则数据 库330的所更新的过滤规则迁移至用户计算机系统110上的过滤规则数据 库140。

此外，如果大量用户报告某一消息为SPAM，但是报告处理模块310 产生非SPAM裁决，那么为了减小每个发送了不可靠SPAM报告的用户的 信誉权重，报告处理模块310更新用户信誉数据库320。同样的，如果报告 处理模块310产生SPAM裁决，为了增加每个发送了可靠报告的用户的信 誉权重，报告处理模块310更新用户信誉数据库320。

图4示出依据示例性实施例的，用于基于用户报告来进行过滤规则修 改的方法的算法。在步骤410，接收来自用户的SPAM报告。在步骤420， 确定用户信誉权重。在步骤430，基于多个用户的信誉权重（针对那些就特 定消息提交报告的用户）以及基于SPAM报告的总数来计算消息SPAM权 重。在步骤440，如果超出SPAM权重阈值，则在步骤445改变过滤规则 并且在步骤455广播给用户。随后，在步骤465，增加用户信誉权重。如果 在步骤440没有超出SPAM权重阈值，则在步骤470，减小用户信誉权重。 在步骤480，操作完成。

注意，在示例性实施例中，使用SPAM作为可能的消息类别之一。然 而，过滤规则修改算法可以和所过滤消息的其他类别一起使用。可替代地， 系统可以具有两个消息类别——SPAM消息和受信消息。指示消息为SPAM 的用户报告将增加这个消息的SPAM权重，并且如果消息属于受信消息类 别则减小这个消息权重。

除上述方法之外，基于其消息被识别为包含SPAM的参数，可以是发 送者的唯一标识符。例如针对电子邮件来说这种唯一标识符是发送者的电 子邮件地址。针对SMS和NMS消息来说，这种参数可以是发送者的移动 电话号码。另外注意，在因特网上有可公开访问的资源，其被常规地更新 并且包含列出了SPAM消息发送者的唯一标识符的信息。因此，在该示例 中，也可以通过使用搜索机器人（有时称为“网络爬虫”）——即旨在以搜 索特定信息为目标而在因特网上扫描网页的程序，并且将其添加到数据库 330，来更新过滤器规则数据库330中的信息。

图5示出客户端侧SPAM过滤系统的架构。将消息100接收到安装在 用户160的计算机系统110上的SPAM过滤系统120的SPAM过滤器130 中。SPAM过滤器130确定所接收的消息100的参数，并与存储在过滤规 则数据库140中的参数对照检查这些参数。如果消息100的参数与来自数 据库140的参数匹配，则针对消息100采取某一动作（例如消息删除或者 隔离）。

如果没有发现匹配，则发送消息100给用户160。然而，如果通过SPAM 过滤系统120没有检测到消息100包含有SPAM并且发送该消息到用户 160，则用户160可以通过规则更新模块150来改变数据库140中的过滤规 则。用户160也可以经由报告发送模块510发送SPAM报告到云服务200 内的过滤规则修改系统300。

根据示例性实施例，过滤规则修改系统300基于来自用户160的SPAM 报告和来自云服务200的其他用户的报告来做出给定消息是否包含SPAM 的决定。相应地，基于过滤规则修改系统决定来更新共同过滤规则数据库 330。随后，这些改变会迁移至每个用户160的过滤规则数据库140中。

注意，SPAM包含广告并且一些用户160可能想看它们。因此，来自 共同过滤规则数据库330和来自过滤规则数据库140的规则可能不为该用 户160所接受。因此，每个用户160可经由规则更新模块150来单独改变 在其自己的SPAM过滤系统120的过滤规则数据库140中的规则。在已由 用户160以单独方式（经由规则更新模块150）加以改变的过滤规则数据库 140中的规则具有超过此前已从共同过滤规则数据库330迁移到数据库140 中的规则的优先级。

可替代地，过滤规则数据库140和共同过滤规则数据库330可以具有 同样的过滤规则用于SPAM消息的不同类别。SPAM类别的示例可以是记 账服务、管理课程、审计服务、医药产品等。对接收特定类别的SPAM消 息感兴趣的用户160，可以经由规则更新模块150来针对消息的整个类别 （而不仅仅是一个消息）而改变在数据库140中的过滤规则。

可替代地（或另外地），为每个SPAM消息类别来计算用户信誉权重。 因此，报告处理模块310基于指示特定类别的消息包含SPAM的用户报告 的可靠性来改变用于该类别消息的用户信誉权重。该方法允许确定在每个 消息类别中最胜任检测SPAM的用户。

还应该注意，如今除文字类型的SPAM消息外，还存在所谓的“语音 垃圾邮件”，其是这样的垃圾邮件种类：商业消息和类似类型的信息通过移 动电话和固定电话以及有时通过IP电话被发送到不希望接收到它的用户， 所述通过IP电话例如通过使用来自SKYPE、ICQ、QIP、mail.ru、雅虎即 时通等的网络语音电话（VOIP）客户端。由于语音垃圾邮件通常实时发送， 因此用于处理这样的垃圾邮件的仅有的现实机制是，如果发送者的标识符 列入黑名单中，则阻止来自发送者的呼叫。在这种情况下，这种唯一标识 符可以是呼叫者的电话号码或者发送者用于他的VOIP连接的唯一标识符。

本发明可如何实现的一个示例是，当计算机110支持诸如VOIP的语 音类连接时，也可以过滤语音垃圾邮件。在这种情况下，由接收到这样的 语音垃圾邮件的发送者所发送的报告可以包含语音垃圾邮件发送者的唯一 标识符。基于涉及语音垃圾邮件和特定的唯一发送者标识符的报告的数量， 以及基于上面所描述的涉及用户知识和信誉的参数，处理方法310可以针 对发送者的唯一标识符来计算语音垃圾邮件的垃圾邮件权重。如果所计算 的垃圾邮件权重比阈值高，发送者的唯一标识符将被添加到存储在过滤规 则数据库330中的黑名单。安装在计算机110上的垃圾邮件过滤系统120， 将通过阻止来自在黑名单中发现其唯一标识符的订阅者的传入呼叫来过滤 语音垃圾邮件。还注意，类似于上面描述的方法，还可以通过使用搜索机 器（search bots）（网络爬虫）来进行黑名单的更新。

在图3和图4中所描绘的系统可以并不虑及估计用户知识的真实水平。 该问题通过图6所描绘的系统来纠正，其示出用于用户信誉估计的系统。 该系统虑及用户知识的深入估计，其比基于该用户SPAM报告的可靠性进 行估计更全面。根据示例性实施例，也可以基于反映由用户在其自己的计 算机系统上所执行的反SPAM动作的数据来估计用户信誉。

例如，这样的数据可以是用户反SPAM过滤器的配置细节的级别、涉 及使用反SPAM过滤器的持续时间的数据、或反映用户从打开消息的时间 点直到发送关于该消息的SPAM报告的所花费时间周期的数据。另外，也 可以基于间接地表现用户反SPAM活动的特性的信息来估计用户信誉。这 样的信息可以是，例如，与由用户所发送和接收的消息的数量有关的信息。

此外，SPAM过滤系统是用户AV应用的一部分，所述用户AV应用包 括诸如文件反病毒、web反病毒、防火墙、反网络钓鱼模块、更新模块等 其他模块。因此，可通过涉及AV应用的整个模块集的用户动作来确定用 户知识和能力。这样的信息的示例可以是AV应用的配置细节的级别、使 用AV应用的持续时间、或者所检测到的恶意软件对象的数量。

用于估计用户信誉的附加数据可以是计算机系统配置细节的级别、使 用计算机系统的持续时间、键盘使用的动态特性，所安装的应用、网络设 定、非默认端口设定、和反映由用户所访问的网站的数据。可根据用户特 性来配置信誉规则。例如，信誉规则数据库可以包含两个规则：

-如果用户计算机已经安装儿童游戏，那么用户信誉权重减小5（从例 如最大值100中——注意，信誉权重可以按绝对值改变例如改变5，或者按 相对值改变即百分比，或者差分地改变例如，如果用户当前信誉权重为90 并且正常增加值是5，对他来说，该增加值将是2。作为进一步可替代的， 满足特定规则意味着信誉设置为100）；

-如果用户计算机已经安装一些软件开发工具，那么用户信誉权重增加 10。

如果用户A已经安装游戏并且用户B已经安装开发工具，那么用户B 的信誉权重将比用户A的高15。注意，用户A和B都可以于不同账号下 在同一个计算机系统上工作。然而，如果游戏和开发工具被同一个用户所 安装并使用，则该用户的信誉权重将计算为+10-5=5。

根据示例性实施例，具有较高信誉权重的用户报告比那些具有低权重 的用户报告更显著地增加消息的SPAM权重。也就是说，来自具有信誉权 重为92的用户的报告比具有信誉权重为21的用户报告使消息的SPAM权 重增加得更多。

使用阈值，因此具有低于阈值的信誉权重的用户的报告不会被考虑用 于计算消息SPAM权重。如上面描述，来自其他用户的报告作为考虑因素。 例如，阈值设置于50。用户A信誉权重是21、用户B信誉权重是51以及 用户C是93。那么，用户A的报告低于阈值并且不被考虑。来自用户B 的报告将比来自用户C的报告更显著地增加消息SPAM权重。

可替代地，在消息SPAM权重的计算中不考虑来自所有具有低于阈值 的信誉权重的用户的报告，并且对来自其他用户的报告同等地予以考虑。

因此，在示例性实施例中，为了具有对用户信誉的最客观的估计，反 映与计算机安全相关的用户活动的所有数据均予以考虑。在图6中描绘了 用户信誉估计系统。

用户信誉估计系统600是云服务200的一部分。用户信誉估计系统600 包括用户信誉计算模块610。用户信誉计算模块610接收由计算机系统110 的用户所实施的活动的通知，其中计算机系统110作为云服务200的客户 端。通知包含评估用户信誉所需要的用户ID和反映用户动作的数据。用户 ID可以是AV应用的标识或者是SPAM过滤系统的标识、用于某些应用数 据的用户许可、以及移动设备的国际标识符（如果在移动装置上使用系统 的话）。

可以在用户实施某些动作后从计算机系统110发送通知，或者其可以 被周期性地在设置的时间间隔后发送。在接收到动作的通知后，用户信誉 计算模块610与异常动作数据库620对照检查通知中所描述的用户动作。 异常动作数据库620包含反映用户为了增加其信誉而可能实施的“欺骗” 动作的数据。这样的动作的示例可以是涉及AV应用的过多的用户活动。 其他“欺骗”动作的示例如下所述。

因此，作为一种选择，如果这样的用户动作的数量低于阈值，则与异 常动作数据库620中的数据相匹配的用户动作不会被用户信誉计算模块 610考虑用于用户信誉计算。然后，基于所有其他（即，正常）用户动作来 计算用户信誉权重。信誉规则数据库630包含反映出需要基于特定动作而 做出适当的用户信誉改变的数据。可替代地，任何异常活动的证据均可用 于影响用户信誉。

用户信誉计算模块610在信誉规则数据库630中查找与所接收的通知 中所描述的用户动作相对应的数据。如果发现相应的信誉规则，则用户信 誉计算模块610根据该信誉规则对过滤规则修改系统300内的用户信誉数 据库320中的用户信誉权重进行更新。

用户信誉估计系统600的管理员可以使用规则定义模块640来对信誉 规则数据库630中的信誉规则以及异常活动数据库620中的数据进行更新。 为了向用户系统110告知在通知中什么动作需要登记，所登记动作广播模 块650从信誉规则数据库630中检索数据。

图7示出示例性的用户信誉数据库630。规则定义模块640指派某一 类别和规则给每个用户动作（与AV处理相关）。然后，可以根据规则对用 户信誉数据库320中用户信誉权重增加或减小某一值。

图8示出用于估计用户信誉的方法的流程图。在步骤810，接收用户 动作的通知。对于该示例性情况，通知仅包含关于一个用户动作的信息。 注意，如果通知包含关于多个用户动作的信息，则循环重复方法的步骤。

在步骤820，确定关于用户动作的信息。然后，在步骤830，过程在异 常动作数据库中搜索匹配的用户动作。如果在步骤840发现匹配，则在步 骤880任务完成。如果在步骤840没有发现匹配，则在步骤850，该过程在 信誉规则数据库中搜索匹配的用户动作。然后，如果在步骤860发现匹配 的规则，则在步骤870根据所发现的规则改变信誉权重。在步骤880，任务 完成。

图9示出用于在作为云服务200的客户端的用户计算机110上实现的 发送通知的系统。在用户160的计算机系统110上实现通知系统900，该计 算机系统110是云服务200的客户端。通知系统900包括所登记用户动作 数据库930，其从用户信誉估计系统600接收（用于存储）需要登记用于通 知的用户动作。

用户动作登记模块910访问所登记动作数据库930，并且监控用户160 的动作，该动作由用户在工作于计算机系统110上特别是与AV应用940 一起工作时所实施。SPAM过滤系统120可以包括在AV模块940中或者可 以实现为单独的模块。如果用户160实施了在所登记动作数据库930中有 相应数据的动作，则用户动作登记模块910登记该动作并将动作相关的信 息传递给通知发送模块920。

通知发送模块920基于接收到的信息形成用户动作的通知并发送通知给 用户信誉估计系统600。根据示例性实施例，影响用户信誉的因素有：

-启动默认关闭的AV应用的附加模块；

-为每个模块增加安全配置设定；

-增加预定的AV扫描的频率；

-增加AV数据库更新的频率；

-反SPAM和家长控制数据的定期更新；

-用户使用AV应用的持续时间；

-系统扫描请求；

-外部媒介的扫描；

-在用户系统上检测恶意软件的频率；

-用户采用增加网上冲浪安全的附加浏览器小应用程序（例如，WOT 指示站点信誉）；

-为了增加安全性而改变浏览器设定（例如，关闭脚本执行、弹出式拦 截器的激活、网络钓鱼过滤器的激活、限制ActiveX控件、和关闭cookie 和密码的保存）；

-所访问网站的主题；以及

-在用户系统上所启动的应用的类型（即，游戏、多媒体应用、软件开 发工具、编译工具等）。

异常用户动作的示例（即，为增加用户等级而做出的篡改用户报告的 证据）为：

-用户过快地分类信息（例如，在几毫秒量级，或者不到四分之一秒—— 在理论上，人类阅读和分类消息与他能理解消息性质相比不会更快——“过 快”参数也可以是基于用户分类消息所花费的平均时间）；

-用户太频繁地分类消息，例如，每秒1个到10个消息，以明确地指 示异常的范围的较高端；

-用户在异样的或不正常的时间分类消息（例如，在晚上，或者凌晨1 到4点之间）；

-当用户实施一些动作时，没有检测到按压键盘键和鼠标点击。

-应用未激活，但是用户发送指示其使用的报告；

-AV界面未打开，但是用户发送指示AV应用的使用的报告；

-AV扫描未实施，但是用户报告指示相反；

-应用未启动（基于来自任务管理器的信息），然而用户报告指示应用 启动；

-防火墙未检测到网络攻击，然而用户报告指示相反；和

-太频繁地请求AV扫描（在AV扫描之间时间短，诸如扫描之间少于 半小时，或者在当前一个AV扫描完成之前开始AV扫描）并且没有合理原 因说明异常。

基于上面列出的因素和异常的活动，可确定最胜任的用户用于修改由 SPAM过滤系统120所定义的过滤规则。可基于来自这些用户的报告进行 修改。提供所更新的规则给云服务200的其他客户端。

参考图10，用于实现本发明的示例性系统包括以计算机110形式或者 类似形式的通用计算设备，其包括处理单元21、系统存储器22和将包括系 统存储器的各种系统部件耦连到处理单元21的系统总线23。

系统总线23可以是几种类型的总线结构中的任何一种，总线结构包 括使用各种总线架构中任何一种的存储器总线或者存储器控制器、外围总 线和本地总线。系统存储器包括只读存储器（ROM）24和随机存取存储器 （RAM）25。基本输入/输出系统26（BIOS）存储在ROM204中，其包含 诸如在启动阶段有助于在计算机110内的元素之间传递信息的基本例程。

计算机110可以进一步包括用于读出和写入未示出的硬盘的硬盘驱动 器27、用于读出和写入可移动磁盘29的磁盘驱动器28、和用于读出和写 入诸如CD-ROM、DVD-ROM或其他光学媒介的可移动光盘31的光盘驱 动器30。

硬盘驱动器27、磁盘驱动器28和光盘驱动器30分别由硬盘驱动器接 口32、磁盘驱动器接口33和光驱动器接口34连接到系统总线23。驱动器 和其相关联的计算机可读媒介为计算机可读指令、数据结构、程序模块和 用于计算机110的其他数据提供非易失性存储。

尽管本文描述的示例性环境采用硬盘、可移动磁盘29和可移动光盘 31，但本领域的技术人员应该理解，在示例性操作环境中也可以使用可由 计算机所访问的、可存储数据的其他类型计算机可读媒介，诸如磁带、闪 存卡、数字视频盘、伯努利盒、随机存取存储器（RAM）、只读存储器（ROM） 和类似物。

大量程序模块可以存储在硬盘、磁盘29、光盘31、ROM24或者RAM 25上，包括操作系统35。计算机110包括与操作系统35相关联或包括在 其内的文件系统36、一个或者多个应用程序37、其他程序模块38和程序 数据39。用户可以通过诸如键盘40和定位设备42的输入设备来将命令和 信息输入到计算机110中。其他输入设备（未示出）可以包括麦克风、操 纵杆、游戏垫、卫星天线、扫描仪或类似物。

这些或者其他输入设备通常通过耦连到系统总线的串行端口接口46 连接到处理单元21，但是也可以通过诸如并行端口、游戏端口或通用串行 总线(USB)的其他接口连接。监视器47或者其他类型的显示设备还经由诸如 视频适配器48的接口连接到系统总线23。除监视器47以外，个人计算机通 常包括其他外围的输出设备（未示出），诸如扬声器和打印机。

使用到一个或多个远程计算机49的逻辑连接，计算机110可以操作 在经联网环境中。远程计算机（或计算机们）49可以是另一台计算机、服 务器、路由器、网络PC、对等设备或者其他共同网络节点，并且通常包括 上面所描述的与计算机110有关的很多或所有的元素，尽管仅示出存储器 存储设备50。逻辑连接包括局域网（LAN）51和广域网（WAN）52。在 办公室、企业范围的计算机网络、企业内联网和互联网中这样的联网环境 是常见的。

当使用在局域网（LAN）联网环境中时，计算机110通过网络接口或 者适配器53连接到本地网络51。当使用在广域网（WAN）联网环境中时， 计算机110通常包括调制解调器54或者其他装置用于通过诸如因特网的广 域网建立通信。

调制解调器54可以内置或外置，经由串行端口接口46连接到系统总 线23。在经联网的环境中，关于计算机110或其部分所描述的程序模块可 以存储在远程存储器存储设备中。将理解，所显示的网络连接是示例性的 并且可以使用在计算机之间建立通信链路的其他装置。

本文已经描述了优选实施例，本领域技术人员应该理解，所描述方法 和装置某些优点已经达到。具体地，本领域技术人员将理解，所提出的系 统和方法基于用户报告提供有效的SPAM过滤，同时考虑到用户信誉。

还应该理解，在本发明的范围和精神内可以做出各种修改、适应和其 替代实施例。本发明由下面的权利要求进一步定义。