RU2787303C1

RU2787303C1 - System and method for restricting reception of electronic messages from a mass spam mail sender

Info

Publication number: RU2787303C1
Application number: RU2021137562A
Authority: RU
Inventors: Дмитрий Сергеевич Голубев; Роман Андреевич Деденок; Юрий Геннадьевич Слободянюк
Original assignee: Акционерное общество "Лаборатория Касперского"
Filing date: 2021-12-17
Publication date: 2023-01-09

Abstract

FIELD: information security.

SUBSTANCE: stated result is achieved by a system restricting the reception of electronic messages from a mass spam mail sender, containing: an identification tool, a detection tool, a cancellation tool, and a rule database intended for storing collision detection rules.

EFFECT: protection against receiving spam-containing electronic messages by forming and modifying restrictions for receiving electronic messages from mass spam mailing senders.

18 cl, 4 dwg

Description

Область техникиTechnical field

Изобретение относится к области информационной безопасности, а более конкретно к системам и способам управления процессом получения электронных сообщений от различных отправителей.The invention relates to the field of information security, and more specifically to systems and methods for managing the process of receiving electronic messages from various senders.

Уровень техникиState of the art

Количество пользователей, количество компаний и разнообразие направлений их деятельности продолжает непрерывно расти. Одновременно увеличивается и количество передаваемых электронных сообщений. The number of users, the number of companies and the diversity of their activities continues to grow continuously. At the same time, the number of transmitted electronic messages is also increasing.

Реклама в Интернете является одним из самых дешевых способов рекламы. Спам-сообщения, как основной и наиболее массовый вид рекламы в современном мире, занимает от 70% общего объема почтового трафика.Online advertising is one of the cheapest ways to advertise. Spam messages, as the main and most massive type of advertising in the modern world, account for 70% of the total email traffic.

Спам – рассылка рекламы или иного вида информации лицам, не выражавшим желания их получать. К спаму относятся электронные сообщения, передаваемые по электронной почте, протоколам мгновенных сообщений, в социальных сетях, блогах, сайтах знакомств, форумах, а также посредством SMS-сообщений (англ. Short Message Service - служба коротких сообщений) и MMS-сообщений (англ. Multimedia Messaging Service - система передачи мультимедийных сообщений).Spam is the sending of advertisements or other types of information to persons who did not express a desire to receive them. Spam includes electronic messages transmitted via email, instant messaging protocols, social networks, blogs, dating sites, forums, as well as through SMS messages (English Short Message Service) and MMS messages (Eng. Multimedia Messaging Service - multimedia messaging system).

Ввиду постоянного роста объемов рассылки спама возникают проблемы технического, экономического и криминального характера. Нагрузка на аппаратуру и каналы передачи данных, затраты времени пользователей на обработку электронных сообщений, изменение направленности электронных сообщений в сторону мошенничества и воровства – эти и другие аспекты показывают острую необходимость непрерывной борьбы со спамом. Due to the constant increase in spam volumes, technical, economic and criminal problems arise. The load on equipment and data transmission channels, the time spent by users on processing electronic messages, the direction of electronic messages towards fraud and theft - these and other aspects show the urgent need for a continuous fight against spam.

Существует много способов противодействия массовым рассылкам спама. Одним из эффективных способов является использование обученных моделей машинного обучения для выявления электронных сообщений, содержащих спам.There are many ways to counter mass spam mailings. One effective way is to use trained machine learning models to detect spam emails.

В публикации US20050198159A1 представлена система, в которой используют черные и белые списки отправителей. В случае, если отправитель, который находится в белом списке, начинает пересылать электронные сообщения, содержащие спам, коэффициент его доверия снижается. Отдельно представлены методы категоризации электронных писем, в том числе на основе данных о сессии SMTP (англ. Simple Mail Transfer Protocol — простой протокол передачи почты), представлен полный перечень данных и репутации отправителя.Publication US20050198159A1 presents a system that uses sender blacklists and whitelists. In the event that a sender who is on the white list starts forwarding spam emails, his trust coefficient decreases. Separately, methods for categorizing emails are presented, including those based on SMTP session data (English Simple Mail Transfer Protocol - a simple mail transfer protocol), a complete list of data and reputation of the sender is presented.

Указанное решение частично осуществляет категоризацию электронных сообщений в зависимости от отправителя, но не позволяет эффективно решить задачу изменения ограничений на получение электронных сообщений от отправителя массовой рассылки спама в электронных сообщениях, отправленных по электронной почте.This solution partially categorizes electronic messages depending on the sender, but does not effectively solve the problem of changing restrictions on receiving electronic messages from the sender of bulk spam in electronic messages sent by e-mail.

Раскрытие изобретенияDisclosure of invention

Изобретение предназначено для управления ограничениями на получение электронных сообщений от отправителей. Технический результат настоящего изобретения заключается в обеспечении защиты от получения электронных сообщений, содержащих спам, путем формирования и изменения ограничений на получение электронных сообщений от отправителей, которые массово рассылают спам.The invention is intended to control restrictions on receiving electronic messages from senders. The technical result of the present invention is to provide protection against receiving electronic messages containing spam, by creating and changing restrictions on receiving electronic messages from senders who send spam in bulk.

В одном из вариантов реализации предоставляется система ограничения получения электронных сообщений от отправителя массовой рассылки спама, при этом упомянутая система содержит: средство выявления, предназначенное для: выявления неизвестного отправителя электронных сообщений, формирования набора электронных сообщений, полученных от выявленного отправителя, передачи сформированного набора электронных сообщений средству обнаружения; средство обнаружения, предназначенное для: определения типа спама массовой рассылки на основании сформированного набора электронных сообщений при помощи сигнатур для выявления спама, формирования ограничений на получение электронных сообщений от отправителя, который рассылает спам определенного типа, передачи данных об ограничениях средству отмены; средство отмены, предназначенное для: проверки сформированных ограничений на наличие коллизий при помощи правил выявления коллизий из базы данных правил, изменения сформированного ограничения при обнаружении коллизии; базу данных правил, предназначенную для хранения правил выявления коллизий.In one embodiment, a system is provided to restrict the receipt of electronic messages from a bulk spam sender, said system comprising: detection means for: identifying an unknown sender of electronic messages, generating a set of electronic messages received from a identified sender, transmitting the generated set of electronic messages a means of detection; detection means for: determining the type of bulk spam based on the generated set of electronic messages using signatures to detect spam, generating restrictions on receiving electronic messages from a sender that sends spam of a certain type, transmitting data about the restrictions to the canceling means; a canceler for: checking the generated constraints for collisions using collision detection rules from the rules database, changing the generated constraint when a collision is detected; a rule database for storing collision detection rules.

В другом варианте реализации системы средство выявления осуществляет выявление неизвестного отправителя электронных сообщений путем формирования профиля отправителя электронных сообщений и сравнения сформированного профиля отправителя с известными профилями отправителей из базы данных отправителей.In another implementation of the system, the detecting means detects an unknown sender of electronic messages by generating a profile of the sender of electronic messages and comparing the generated sender profile with known sender profiles from the sender database.

Еще в одном варианте реализации системы под профилем отправителя понимают совокупность следующих данных: хэш-код от тела электронного сообщения, хэш-код от заголовка электронного сообщения, доменное имя отправителя, IP-адрес отправителя, хэш-код от html-верстки электронного сообщения. In another embodiment of the system, the sender profile is understood as a set of the following data: hash code from the body of the electronic message, hash code from the header of the electronic message, domain name of the sender, IP address of the sender, hash code from the html layout of the electronic message.

Еще в другом варианте реализации системы которой известные профили отправителей хранят в базе данных отправителей.In yet another implementation of the system, known sender profiles are stored in a sender database.

В другом варианте реализации системы средство обнаружения осуществляет формирование ограничения путем временного включения профиля отправителя, от которых выявлена массовая рассылка спама, в группу запрещенных.In another embodiment of the system, the detection means performs the formation of a restriction by temporarily including the profile of the sender, from which mass spam was detected, into the blocked group.

Еще в одном варианте реализации системы под правилом выявления коллизий понимают набор условий, при выполнении которого выявляют необходимость изменения сформированного ограничения.In another embodiment of the system, a collision detection rule is understood as a set of conditions, under which the need to change the generated constraint is identified.

Еще в другом варианте реализации системы средство отмены при наличии коллизии изменяет сформированное ограничение путем исключения из списка запрещенных IP-адрес, который стал причиной коллизии.In yet another implementation of the system, the collision canceler modifies the generated constraint by delisting the IP address that caused the collision.

В другом варианте реализации системы средство отмены при наличии коллизии изменяет сформированное ограничение путем исключения из списка запрещенных доменное имя, которое стало причиной коллизии.In another implementation of the system, the collision canceler modifies the generated constraint by delisting the domain name that caused the collision.

Еще в одном варианте реализации системы средство отмены при наличии коллизии изменяет профиль отправителя, в котором возникла коллизия.In yet another implementation of the system, the collision canceler modifies the sender profile in which the collision occurred.

В одном из вариантов реализации предоставляется способ ограничения получения электронных сообщений от отправителя массовой рассылки спама, содержащий этапы, которые реализуются с помощью средств из упомянутой системы, и на которых: выявляют неизвестного отправителя электронных сообщений; формируют набор электронных сообщений, полученных от выявленного отправителя; определяют тип спама массовой рассылки на основании сформированного набора электронных сообщений при помощи сигнатур для выявления спама; формируют ограничение на получение электронных сообщений от отправителя, который рассылает спам определенного типа; проверяют сформированные ограничения на наличие коллизий при помощи правил выявления коллизий из базы данных правил; изменяют сформированное ограничение при обнаружении коллизии.In one embodiment, a method is provided to restrict the receipt of electronic messages from a bulk spam sender, comprising steps that are implemented using tools from said system, and in which: an unknown sender of electronic messages is identified; forming a set of electronic messages received from the identified sender; determining the type of bulk spam based on the generated set of electronic messages using signatures to detect spam; form a restriction on receiving electronic messages from a sender who sends spam of a certain type; checking the generated constraints for collisions using collision detection rules from the rules database; change the generated constraint when a collision is detected.

В другом варианте реализации способа осуществляют выявление неизвестного отправителя электронных сообщений путем формирования профиля отправителя электронных сообщений и сравнения сформированного профиля отправителя с известными профилями отправителей из базы данных отправителейIn another embodiment of the method, an unknown sender of electronic messages is identified by generating a profile of the sender of electronic messages and comparing the generated sender profile with known sender profiles from the sender database

Еще в одном варианте реализации способа под профилем отправителя понимают совокупность следующих данных: хэш-код от тела электронного сообщения, хэш-код от заголовка электронного сообщения, доменное имя отправителя, IP-адрес отправителя, хэш-код от html-верстки электронного сообщения.In another embodiment of the method, the sender profile is understood as a set of the following data: hash code from the body of the electronic message, hash code from the header of the electronic message, domain name of the sender, IP address of the sender, hash code from the html layout of the electronic message.

Еще в другом варианте реализации способа известные профили отправителей хранят в базе данных отправителей. In yet another embodiment of the method, known sender profiles are stored in a sender database.

В другом варианте реализации способа осуществляют формирование ограничения путем временного включения профилей отправителей, от которых выявлена массовая рассылка спама, в группу запрещенных.In another variant of the implementation of the method, a restriction is formed by temporarily including the profiles of senders, from which bulk spam was detected, into the group of prohibited ones.

Еще в одном варианте реализации способа под правилом выявления коллизий понимают набор условий, при выполнении которого выявляют необходимость изменения сформированного ограничения.In another embodiment of the method, a collision detection rule is understood as a set of conditions, under which the need to change the generated constraint is determined.

Еще в другом варианте реализации способа при наличии коллизии изменяют сформированное ограничение путем исключения из списка запрещенных IP-адрес, который стал причиной коллизии.In yet another embodiment of the method, in the presence of a collision, the generated restriction is changed by excluding the IP address that caused the collision from the list of prohibited ones.

В другом варианте реализации способа при наличии коллизии изменяют сформированное ограничение путем исключения из списка запрещенных доменное имя, которое стало причиной коллизии.In another embodiment of the method, in the presence of a collision, the generated restriction is changed by excluding the domain name that caused the collision from the list of prohibited ones.

Еще в одном варианте реализации способа при наличии коллизии изменяют профиль отправителя, в котором возникла коллизия.In another embodiment of the method, in the presence of a collision, the profile of the sender in which the collision occurred is changed.

Краткое описание чертежейBrief description of the drawings

Фиг. 1 отображает случай, когда один отправитель использует несколько узлов для передачи сообщений в виде массовой рассылки. Fig. 1 depicts the case where a single sender uses multiple nodes to send messages in bulk.

Фиг. 2 иллюстрирует структуру системы ограничения получения электронных сообщений от отправителя массовой рассылки спама. Fig. 2 illustrates the structure of a system for restricting the receipt of e-mails from a bulk spam sender.

Фиг. 3 иллюстрирует алгоритм функционирования системы ограничения получения электронных сообщений от отправителя массовой рассылки спама. Fig. 3 illustrates the operation of a system for restricting the receipt of electronic messages from a bulk spam sender.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер. Fig. 4 represents an example of a general purpose computer system, a personal computer or a server.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено в приложенной формуле.Although the invention may have various modifications and alternative forms, the characteristic features shown by way of example in the drawings will be described in detail. It should be understood, however, that the purpose of the description is not to limit the invention to a particular embodiment thereof. On the contrary, the purpose of the description is to cover all changes, modifications included in the scope of this invention, as defined in the attached claims.

Описание вариантов осуществления изобретенияDescription of embodiments of the invention

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The gist of the description is nothing but the specific details necessary to assist a person skilled in the art in a thorough understanding of the invention, and the present invention is defined within the scope of the appended claims.

Введем ряд определений и понятий, которые будут использованы при описании вариантов осуществления изобретения.We introduce a number of definitions and concepts that will be used in describing embodiments of the invention.

Электронная почта (electronic mail, e-mail) – набор услуг компьютерной сети по пересылке сообщений между ее пользователями. Является средством быстрой доставки писем, текстов программ, документов и другой подобной корреспонденции. При передаче сообщения по электронной почте передающий и принимающий компьютеры не обязательно взаимодействуют друг с другом непосредственно (Дорот В. Л., Новиков Ф. А., Толковый словарь современной компьютерной лексики. - 3-е из Д., перераб. и доп. - СПб.: БХВ-Петербург, 2004. - 608 с.: ил.).E-mail (electronic mail, e-mail) is a set of computer network services for sending messages between its users. It is a means of fast delivery of letters, program texts, documents and other similar correspondence. When sending a message by e-mail, the transmitting and receiving computers do not necessarily interact directly with each other (Dorot V. L., Novikov F. A., Explanatory Dictionary of Modern Computer Vocabulary. - 3rd of D., revised and added - St. Petersburg: BHV-Petersburg, 2004. - 608 p.: ill.).

Электронное письмо или сообщение – согласно RFC 5322 представляет собой последовательность символов. Сообщения, соответствующие данной спецификации, включают символы с десятичными кодами от 1 до 127, интерпретируемые в соответствии с кодировкой US-ASCII. Сообщение состоит из полей заголовков (совокупность этих полей называют разделом заголовков сообщения), за которыми может следовать основная часть сообщения. Раздел заголовков представляет собой последовательность символьных строк, синтаксис которых описан в данной спецификации. Тело сообщения представляет собой последовательность символов, которая следует после раздела заголовков и отделена от него пустой строкой (строкой, содержащей только CRLF). Далее и по тексту под электронным сообщением понимают электронное сообщение, переданное по электронной почте.E-mail or message - according to RFC 5322 is a sequence of characters. Messages conforming to this specification include characters with decimal codes 1 to 127, interpreted according to the US-ASCII encoding. A message consists of header fields (collectively, these fields are referred to as the message header section), which may be followed by the body of the message. The header section is a sequence of character strings whose syntax is described in this specification. The message body is a sequence of characters that follows the header section and is separated from it by a blank line (a line containing only CRLF). Hereinafter and throughout the text, an electronic message is understood to mean an electronic message transmitted by e-mail.

Атрибут электронного сообщения – необходимое, существенное, неотъемлемое свойство электронного сообщения. Attribute of an electronic message is a necessary, essential, integral property of an electronic message.

Признак для обнаружения спама – признак, вычисляемый на основании значения атрибута электронного сообщения, характеризующий наличие спама и применяемый при использовании технологий машинного обучения. Spam detection feature – a feature calculated based on the value of an email message attribute that characterizes the presence of spam and is used when using machine learning technologies.

Поток электронных сообщений – совокупность электронных сообщений, передаваемых по электронной почте, которые получает один или несколько пользователей. Набор электронных сообщений – фиксированное количество сообщений, отобранных из потока электронных сообщений для выполнения проверки наличия спама. E-mail flow - a set of electronic messages transmitted by e-mail, which are received by one or more users. Email Set - A fixed number of emails selected from an email thread to perform a spam check.

Отправитель (адресант, коммуникатор) электронного сообщения — это участник коммуникативного акта, который формирует электронное сообщение с целью передать информацию другому участнику и (или) воздействовать на него. Далее и по тексту под отправителем понимают отправителя электронных сообщений.The sender (addresser, communicator) of an electronic message is a participant in a communicative act that forms an electronic message in order to transmit information to another participant and (or) influence him. Hereinafter and throughout the text, the sender is understood as the sender of electronic messages.

Профиль отправителя электронного сообщения – совокупность атрибутов электронного сообщения, характеризующих особенность отправителя. Далее и по тексту под профилем отправителя понимают профиль отправителя электронных сообщений.Profile of the sender of an electronic message is a set of attributes of an electronic message that characterizes the peculiarity of the sender. Hereinafter and throughout the text, the sender profile is understood as the profile of the sender of electronic messages.

Злоумышленники нередко используют метод массовой рассылки электронных сообщений, содержащих спам. Для реализации метода массовой рассылки используют шаблоны для генерации текста и содержимого упомянутых электронных сообщений. Для усложнения обнаружения спама шаблоны дополняют методами обфускации, анонимизации и т.д. Поимо этого существуют различные способы и службы запутывания процесса передачи электронных сообщений. Один отправитель для передачи нескольких электронных сообщений может использовать как одни узел, так и сеть узлов. Отправка может быть осуществлена с разной частотой и различным количеством электронных сообщений, отправляемых одновременно. Фиг. 1 отображает случай, когда один отправитель использует несколько узлов для передачи электронных сообщений в виде массовой рассылки. В этом случае отправитель 110 организует несколько вариантов передачи электронных сообщений, которые имеют свои особенные черты и являются профилями отправителя 120. Массовая рассылка электронных сообщений 130, пересылаемая с использованием одного профиля отправителя, осуществляется на почтовые ящики определенных пользователей 140. Для контроля процесса получения электронных сообщений от отправителей используют систему ограничения получения электронных сообщений от отправителя массовой рассылки спама.Attackers often use the method of mass sending e-mails containing spam. To implement the mass mailing method, templates are used to generate the text and content of said electronic messages. To complicate the detection of spam, templates are supplemented with methods of obfuscation, anonymization, etc. In addition, there are various ways and services to obfuscate the transmission of electronic messages. One sender can use both one node and a network of nodes to send several electronic messages. Sending can be done with different frequency and different number of emails sent at the same time. Fig. 1 depicts the case where a single sender uses multiple nodes to send bulk e-mail messages. In this case, the sender 110 organizes several options for the transmission of electronic messages, which have their own special features and are profiles of the sender 120 . Bulk email messages 130 sent using a single sender profile are sent to mailboxes of specific users 140 . To control the process of receiving electronic messages from senders, a system is used to restrict the receipt of electronic messages from the sender of mass spam.

Фиг 2. иллюстрирует структуру системы ограничения получения электронных сообщений от отправителя массовой рассылки спама, которая включает в себя средство выявления 220, средство обнаружения 230, средство отмены 240, базу данных отправителей 250, базу данных правил 260. FIG. 2 illustrates the structure of a system for restricting the receipt of e-mails from a bulk spam sender, which includes a detection engine 220 , a detection engine 230 , a cancellation engine 240 , a sender database 250 , a rules database 260 .

Представленная на Фиг. 2 система является компьютерной системой, например, компьютером общего назначения, представленным и обладает аппаратным процессором и памятью. Упомянутая система содержит функциональные и/или аппаратные модули и средства, которые в свою очередь содержат инструкции для исполнения на аппаратном процессоре. Ниже описаны варианты реализации упомянутых модулей и средств системы.Shown in FIG. 2 , the system is a computer system, such as a general purpose computer, provided and has a hardware processor and memory. Said system contains functional and/or hardware modules and means, which in turn contain instructions for execution on a hardware processor. The options for implementing the mentioned modules and system tools are described below.

Средство выявления 220 предназначено для выявления неизвестного отправителя электронных сообщений. Средство выявления 220 осуществляет выявление неизвестного отправителя электронных сообщений путем формирования профиля отправителя электронных сообщений и сравнения сформированного профиля отправителя с известными профилями отправителей из базы данных отправителей 250. Средство выявления 220 выполняет анализ каждого электронного сообщения из потока электронных сообщений 210. В результате анализа средство выявления 220 формирует профиль отправителя каждого электронного сообщения на основании его атрибутов. Атрибутами электронного сообщения являются: IP-адрес (англ. Internet Protocol (IP), досл. «межсетевой протокол») отправителя, размер электронного сообщения, язык текста электронного сообщения, количество символов в заголовке электронного сообщения, размер электронного сообщения и т.д. На основании атрибутов подсчитывают данные, которые впоследствии объединяют в профиль. Профилем отправителя является совокупность следующих данных: хэш-код от тела электронного сообщения, хэш-код от заголовка электронного сообщения, доменное имя отправителя, IP-адрес отправителя, хэш-код от HTML-верстки (англ. HyperText Markup Language — язык гипертекстовой разметки) электронного сообщения. После этого для каждого профиля определяют степень схожести с другими известными профилями отправителей на основании базы данных отправителей 250. The detection means 220 is designed to detect an unknown sender of electronic messages. Detector 220 performs detection of an unknown sender of electronic messages by generating an email sender profile and comparing the generated sender profile with known sender profiles from the sender database 250 . The detector 220 analyzes each electronic message from the stream of electronic messages 210 . As a result of the analysis, the finder 220 generates a profile of the sender of each electronic message based on its attributes. The attributes of an electronic message are: the IP address (English Internet Protocol (IP), literally "internet protocol") of the sender, the size of the electronic message, the language of the text of the electronic message, the number of characters in the header of the electronic message, the size of the electronic message, etc. Based on the attributes, data is calculated, which is subsequently combined into a profile. The sender profile is a combination of the following data: hash code from the body of the email message, hash code from the header of the email message, domain name of the sender, IP address of the sender, hash code from the HTML layout (HyperText Markup Language - Hypertext Markup Language) email. Thereafter, for each profile, a degree of similarity to other known sender profiles is determined based on the sender database 250 .

Например, пользователь 1 получил электронное сообщение 1, на основании атрибутов которого подсчитан профиль отправителя 1; пользователь 1 получил электронное сообщение 2, на основании атрибутов которого подсчитан профиль отправителя 2; пользователь 2 получил электронное сообщение 3, на основании атрибутов которого подсчитан профиль отправителя 3. И так далее. Допустим, получено 10 сообщений.For example, user 1 received email 1, based on the attributes of which the profile of sender 1 was calculated; user 1 received email 2, based on the attributes of which the profile of sender 2 was calculated; user 2 received email 3, based on the attributes of which the sender profile 3 was calculated. And so on. Let's say 10 messages are received.

Например, с помощью методов машинного обучения выполняют кластеризацию подсчитанных профилей, в результате которой профиль отправителя 1 и профиль отправителя 3 объединяют в один профиль отправителя 13, профили отправителя 8 и 9 – в профиль 89. Далее с помощью методов машинного обучения выполняют классификацию профилей отправителя 2, 4, 5, 6, 7, 10 и профилей отправителя 13, 89. В результате классификации все профили, кроме 13 и 89, имеют высокую степень схожести c известными профилями отправителей. Объединенные профили отправителя 13 и 89 имеют степень схожести с известными профилями отправителей из базы данных отправителей ниже предельного значения. Следовательно, профили отправителя 13 и 89 считаются неизвестными. В базе данных отправителей 250 создают отправителя, который по очереди получает имя U111, которому соответствует профиль отправителя 13, и отправителя, который по очереди получает имя U112, которому соответствует профиль отправителя 89. Объединенный профиль отправителя 13 имеет следующие параметры: хэш-код от тела 1 (идентичен 3), хэш-код от заголовка 1 (сильно схож с 3), доменное имя отправителя 1, доменное имя отправителя 3, IP-адрес отправителя 1, перечень IP-адресов отправителя 3, хэш-код от html-верстки 1.For example, using machine learning methods, clustering of calculated profiles is performed, as a result of which sender profile 1 and sender profile 3 are combined into one sender profile 13, sender profiles 8 and 9 into profile 89. Next, using machine learning methods, sender profiles 2 are classified , 4, 5, 6, 7, 10 and sender profiles 13, 89. As a result of the classification, all profiles except 13 and 89 have a high degree of similarity with known sender profiles. The combined sender profiles 13 and 89 have a degree of similarity with known sender profiles from the sender database below the threshold. Therefore, sender profiles 13 and 89 are considered unknown. In the sender database 250 , a sender is created, which in turn receives the name U111, which corresponds to the sender profile 13, and a sender, which in turn receives the name U112, which corresponds to the sender profile 89. The combined sender profile 13 has the following parameters: a hash code from the body 1 (identical to 3), header hash code 1 (very similar to 3), sender domain name 1, sender domain name 3, sender IP address 1, list of sender IP addresses 3, hash code from html layout 1 .

Предельное значение степени схожести может быть определено статистически, эмпирически или задано экспертом. Могут быть случаи, когда несколько профилей соответствуют одному отправителю.The limit value for the degree of similarity can be determined statistically, empirically, or given by an expert. There may be cases where multiple profiles match the same sender.

Помимо этого, средство выявления 220 предназначено для формирования набора электронных сообщений, полученных от выявленного отправителя, и передачи сформированного набора электронных сообщений средству обнаружения 230. Формирование набора электронных сообщений, полученных от выявленного отправителя, выполняют путем отбора из потока электронных сообщений 210 всех электронных сообщений от выявленного отправителя. Продолжая пример из предыдущего абзаца, выявленным отправителем является неизвестный отправитель U111, которому соответствует профиль 13. Соответственно, из электронных сообщений с профилями отправителя 1 и 3 формируют упомянутый набор электронных сообщений.In addition, the finder 220 is configured to generate a set of electronic messages received from the identified sender and transmit the generated set of electronic messages to the finder 230 '. The formation of a set of electronic messages received from the identified sender is performed by selecting from the stream of electronic messages 210 all electronic messages from the identified sender. Continuing the example from the previous paragraph, the identified sender is the unknown sender U111, which corresponds to the profile 13. Accordingly, from the electronic messages with sender profiles 1 and 3, the mentioned set of electronic messages is formed.

Средство обнаружения 230 предназначено для определения типа спама массовой рассылки на основании сформированного набора электронных сообщений при помощи сигнатур для выявления спама. Выявление массовой рассылки выполняют путем выявления схожих между собой групп электронных сообщений среди набора электронных сообщений, полученного от выявленного отправителя, с использованием методов машинного обучения. Выявленные группы электронных сообщений из сформированного набора электронных сообщений проверяют на наличие спама с использованием сигнатур выявления спама Каждому типу спама соответствует совокупность условий, при выполнении которых электронное сообщение однозначно причисляют к тому или иному типу. Например, для типа спама «фишинг» условиями являются наличие URL-ссылки (англ. Uniform Resource Locator — система унифицированных адресов электронных ресурсов, или единообразный указатель местонахождения ресурса (файла)) и текста электронного сообщения или хэш-кода, подсчитанного от текста электронного сообщения, содержащего характерные для фишинга словосочетания. Основные типы спама: The detector 230 is adapted to determine the type of bulk spam based on the generated set of e-mail messages using signatures to detect spam. Bulk mail detection is performed by identifying similar groups of emails among a set of emails received from the identified sender using machine learning techniques. The identified groups of electronic messages from the generated set of electronic messages are checked for spam using spam detection signatures. Each type of spam corresponds to a set of conditions under which an electronic message is unambiguously attributed to one or another type. For example, for the "phishing" type of spam, the conditions are the presence of a URL link (English Uniform Resource Locator - a system of unified addresses of electronic resources, or a uniform resource (file) location indicator) and the text of an electronic message or a hash code calculated from the text of an electronic message , containing phrases typical for phishing. Main types of spam:

реклама товаров и услуг, в том числе и незаконных;advertising of goods and services, including illegal ones;

фишинг, в том числе «нигерийские письма» и «письма счастья»;phishing, including “Nigerian emails” and “chain letters”;

пропаганда;propaganda;

распространение приложений, содержащих вредоносный код;distribution of applications containing malicious code;

ложная благотворительность и т.д.false charity, etc.

Продолжая пример из предыдущих абзацев, сформированный набор электронных сообщений, который состоит из электронных сообщений 1 и 3 от профиля отправителя 13, проверяют, выявляют наличие спама и его тип, например тип 4 – распространение приложений, содержащих вредоносный код. Набор электронных сообщений, который состоит из электронных сообщений 8 и 9 от профиля отправителя 89, не содержит спам.Continuing the example from the previous paragraphs, the generated set of emails, which consists of emails 1 and 3 from sender profile 13, is checked for the presence of spam and its type, for example type 4 - distribution of applications containing malicious code. The email set, which consists of emails 8 and 9 from sender profile 89, does not contain spam.

Помимо этого, средство обнаружения 230 предназначено для формирования ограничений на получение электронных сообщений от отправителя, который рассылает спам определенного типа, и передачи данных о сформированных ограничениях средству отмены 240. Средство обнаружения 230 осуществляет формирование ограничения путем временного включения профилей отправителей, от которых выявлена массовая рассылка спама, в группу запрещенных.In addition, the detector 230 is configured to generate restrictions on receiving e-mails from a sender that sends spam of a certain type, and communicate the generated restrictions to the canceler 240 . The detection engine 230 performs the formation of a restriction by temporarily including the profiles of senders from which bulk spam is detected in the blocked group.

Продолжая пример из предыдущих абзацев, злоумышленник с помощью объединенного профиля отправителя 13 рассылает электронные сообщения, содержащие спам типа 4, поэтому на него накладывают ограничения, а именно доменное имя отправителя 3, IP-адрес отправителя 1, перечень IP-адресов отправителя 3 помещают в список запрещенных на 2 недели.Continuing the example from the previous paragraphs, the attacker, using the combined sender profile 13, sends emails containing type 4 spam, so it is subject to restrictions, namely, the domain name of the sender 3, the IP address of the sender 1, the list of IP addresses of the sender 3 are placed in the list banned for 2 weeks.

Средство отмены 240 предназначено для проверки сформированных ограничений на наличие коллизий при помощи правил выявления коллизий из базы данных правил 260.The canceler 240 is designed to check the generated constraints for collisions using the collision detection rules from the rules database 260 .

Под коллизией ограничения на получение электронных сообщений от отправителя понимают такую ситуацию, когда запрет на получение электронных сообщений от отправителя по какой-либо причине не является оправданным и может быть рассмотрена его полная отмена или частичное изменение.The conflict of restrictions on receiving electronic messages from the sender is understood as such a situation when the ban on receiving electronic messages from the sender for any reason is not justified and its complete cancellation or partial change can be considered.

Под правилом выявления коллизий понимают набор условий, при выполнении которого, выявляют необходимость отмены или изменения сформированного ограничения.A collision detection rule is understood as a set of conditions, under which, the need to cancel or change the formed restriction is revealed.

Одним из примеров правила выявления коллизии может быть следующий набор условий: определен тип спама «реклама», период ограничения – 1 неделя, IP-адрес из выявленного профиля отправителя использует компания или пользователь с положительной репутацией, IP-адрес ранее никогда не находился под ограничениями. При выполнении вышеупомянутых условий выявленный профиль отправителя корректируют, а отмеченный IP-адрес исключают из списка запрещенных, назначают повторную проверку выявленного профиля отправителя через 7 дней.One example of a collision detection rule can be the following set of conditions: spam type "advertisement" is defined, the restriction period is 1 week, the IP address from the detected sender profile is used by a company or user with a positive reputation, the IP address has never been under restrictions before. If the above conditions are met, the identified sender profile is corrected, and the marked IP address is excluded from the list of prohibited ones, and the identified sender profile is re-checked after 7 days.

Другим примером правила выявления коллизий может быть следующий набор условий: определен тип спама «ложная благотворительность», период ограничения – 1 месяц, PTR-запись (англ. Domain Name Pointer - указатель, служащий как обратное отображения IP-адресов в именах хостов), соответствующая IP-адресу из выявленного профиля отправителя, имеет исключительно положительную репутацию, IP-адрес ранее никогда не находился под ограничениями. При выполнении вышеупомянутых условий выявленный профиль отправителя корректируют, а отмеченный IP-адрес исключают из списка запрещенных, назначают повторную проверку выявленного профиля отправителя через 1 день.Another example of a collision detection rule could be the following set of conditions: spam type "false charity" is defined, the restriction period is 1 month, a PTR record (Domain Name Pointer - a pointer that serves as a reverse mapping of IP addresses in host names) corresponding The IP address from the identified sender profile has an extremely positive reputation, the IP address has never been under restrictions before. If the above conditions are met, the identified sender profile is corrected, and the marked IP address is excluded from the list of prohibited ones, and the identified sender profile is re-checked after 1 day.

Еще одним примером правила выявления коллизий может быть следующий набор условий: определен тип спама «ложная благотворительность», период ограничения – 1 неделя, доменное имя из выявленного профиля отправителя существует 10 лет, владелец доменного имени реально существующий человек или компания с положительной репутацией, доменное имя ранее никогда не находилось под ограничениями. При выполнении вышеупомянутых условий выявленный профиль отправителя корректируют, а отмеченное доменное имя исключают из списка запрещенных, назначают повторную проверку выявленного профиля отправителя через 1 день.Another example of a collision detection rule could be the following set of conditions: spam type "false charity" is defined, the limitation period is 1 week, the domain name from the identified sender profile has existed for 10 years, the owner of the domain name is a real person or company with a positive reputation, the domain name has never been restricted before. If the above conditions are met, the identified sender profile is corrected, and the marked domain name is excluded from the list of prohibited ones, and the identified sender profile is re-checked after 1 day.

Помимо этого, средство отмены 240 предназначено для изменения сформированного ограничения при обнаружении коллизии.In addition, the canceler 240 is designed to change the generated constraint when a collision is detected.

Продолжая пример из предыдущих абзацев, в ходе проверки наличия коллизии сработало два правила, которые предписывают исключение доменного имени 1 и одного из IP-адресов из перечня IP-адресов отправителя 3 из списка запрещенных. Таким образом корректируют профиль отправителя 13 и списки запрещенных доменных имен и IP-адресов.Continuing with the example from the previous paragraphs, during the collision check, two rules worked that require the exclusion of domain name 1 and one of the IP addresses from the list of sender IP addresses 3 from the list of prohibited ones. Thus, the sender profile 13 and the lists of banned domain names and IP addresses are corrected.

База данных отправителей 250 предназначена для хранения данных об известных профилях отправителей. База данных правил 260 предназначена для хранения правил выявления коллизий. В качестве базы данных отправителей 250 и базы данных правил 260 могут быть использованы различные виды баз данных, а именно: иерархические (IMS, TDMS, System 2000), сетевые (Cerebrum, Сronospro, DBVist), реляционные (DB2, Informix, Microsoft SQL Server), объектно-ориентированные (Jasmine, Versant, POET), объектно-реляционные (Oracle Database, PostgreSQL, FirstSQL/J), функциональные и т.д. Правила могут быть созданы при помощи алгоритмов машинного обучения и автоматизированной обработки больших массивов данных.The sender database 250 is designed to store data about known sender profiles. The rules database 260 is for storing clash detection rules. Various types of databases can be used as the sender database 250 and the rules database 260 , namely: hierarchical (IMS, TDMS, System 2000), network (Cerebrum, Сronospro, DBVist), relational (DB2, Informix, Microsoft SQL Server ), object-oriented (Jasmine, Versant, POET), object-relational (Oracle Database, PostgreSQL, FirstSQL/J), functional, etc. Rules can be created using machine learning algorithms and automated processing of large data sets.

Ниже представлены подробности реализации, полученные от технических специалистов, в упрощенном виде.Below are the implementation details received from technical experts in a simplified form.

Реализация подсчета и объединения профилей отправителя:Implementation of counting and merging sender profiles:

Электронное сообщение 1:Email 1:

Sender-IP: 1.1.1.1Sender IP: 1.1.1.1

From: [email protected]From: [email protected]

To: test@localdomainTo: test@localdomain

Content-type: text/html;content-type: text/html;

Subject: Hi!Subject: Hi!

</body></body>

Электронное сообщение 3:Email 3:

Sender-IP: 1.1.1.2Sender IP: 1.1.1.2

From: [email protected]From: [email protected]

To: test@localdomainTo: test@localdomain

Content-type: text/html;content-type: text/html;

Subject: Hello!Subject: Hello!

</body></body>

Данные электронные сообщения являются схожими по хэш-коду заголовков письма (header_md5: af14) и хэш-коду html-верстки (html_md5: ba6). Таким образом, профиль отправителя соотносится один ко многим с перечнем IP-адресов [1.1.1.1, 1.1.1.2].These e-mails are similar in terms of the hash code of the message headers (header_md5: af14) and the hash code of the html layout (html_md5: ba6). Thus, the sender profile has a one-to-many relationship with the list of IP addresses [1.1.1.1, 1.1.1.2].

Реализация использования правил выявления коллизий.Implementation of the use of collision detection rules.

1. BLOCK_IP_LIST (список запрещенных) содержит записи: (1.1.1.2, 1.1.1.3, 1.1.1.4, 2.2.2.2)1. BLOCK_IP_LIST (banned list) contains entries: (1.1.1.2, 1.1.1.3, 1.1.1.4, 2.2.2.2)

ALLOW_IP_LIST_ORG (список доверенных) содержит записи:ALLOW_IP_LIST_ORG (list of trusted) contains entries:

1.1.1.2: Good_Organization1.1.1.2: Good_Organization

2.2.2.1: Good_Organization2.2.2.1: Good_Organization

При обнаружении в сформированных ограничениях информации об IP-адресе 1.1.1.2 ограничение будет изменено. Данный список доверенных отправителей получен в результате анализа множества потоков и ловушек для электронных сообщений, а также в результате выявления принадлежности к крупным организациям диапазонов IP-адресов и доменных имен.If information about the IP address 1.1.1.2 is found in the generated restrictions, the restriction will be changed. This list of trusted senders is derived from the analysis of multiple email flows and traps, and from the identification of large-scale IP address and domain name ranges.

2. BLOCK_IP_LIST содержит записи: (1.1.1.2, 1.1.1.3, 1.1.1.4, 2.2.2.3), 2. BLOCK_IP_LIST contains entries: (1.1.1.2, 1.1.1.3, 1.1.1.4, 2.2.2.3),

2021-10-08;1.1.1.2;none2021-10-08;1.1.1.2;none

2021-10-08;1.1.3;none2021-10-08;1.1.3;none

2021-10-08;2.2.2.3;mail.good.ptr2021-10-08;2.2.2.3;mail.good.ptr

IP-адрес 2.2.2.3 исключат из списка запрещенных, потому что он не пройдет проверку PTR-записи.IP address 2.2.2.3 will be removed from the banned list because it will not pass the PTR record check.

3. BLOCK_DOMAIN_LIST содержит записи: (baddomain1, baddomain2, gooddomain)3. BLOCK_DOMAIN_LIST contains entries: (baddomain1, baddomain2, gooddomain)

Baddomain1;created: 2021-10-11;owner: unknownBaddomain1;created: 2021-10-11;owner: unknown

Baddomain2;created: 2021-10-11;owner: unknownBaddomain2;created: 2021-10-11;owner: unknown

Gooddomain;created: 2003-08-08;owner: good_companygooddomain;created: 2003-08-08;owner: good_company

Из списка запрещенных будет исключено доменное имя gooddomain, потому что оно не пройдет проверку на дату создания и владельца данного доменного имени. The gooddomain domain name will be excluded from the banned list, because it will not pass the check on the date of creation and the owner of this domain name.

Фиг. 3 иллюстрирует алгоритм функционирования системы ограничения получения электронных сообщений от отправителя массовой рассылки спама. На этапе 311 средство выявления 220 осуществляет выявление неизвестного отправителя электронных сообщений. На этапе 312 средство выявления 220 осуществляет формирование набора электронных сообщений, полученных от выявленного отправителя, и передает сформированный набор электронных сообщений средству обнаружения 230. На этапе 313 средство обнаружения 230 осуществляет определение типа спама массовой рассылки на основании сформированного набора электронных сообщений при помощи сигнатур для выявления спама. На этапе 314 средство обнаружения 230 осуществляет формирование ограничений на получение электронных сообщений от отправителя, который рассылает спам определенного типа, и передачу данных о сформированных ограничениях средству отмены 240. На этапе 315 средство отмены 240 осуществляет проверку сформированных ограничений на наличие коллизий при помощи правил выявления коллизий из базы данных правил 260. При наличии коллизий на этапе 317 средство отмены 240 осуществляет изменение сформированного ограничения. При отсутствии коллизий на этапе 316 система завершает работу. Fig. 3 illustrates the operation of a system for restricting the receipt of electronic messages from a bulk spam sender. At step 311 , the detection engine 220 performs detection of the unknown sender of the electronic messages. At step 312 , the finder 220 generates a set of electronic messages received from the identified sender and passes the generated set of electronic messages to the finder 230 '. At step 313 , the detection engine 230 determines the type of bulk spam based on the generated set of e-mail messages using signatures to detect spam. At step 314 , the detection engine 230 generates restrictions on receiving e-mails from a sender that sends spam of a certain type, and transmits data about the generated restrictions to the cancellation engine 240 . At 315 , the canceler 240 checks the generated constraints for collisions using the collision detection rules from the rules database 260 . If there are collisions, at step 317 , the canceler 240 changes the generated constraint. If there are no collisions at 316 , the system exits.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24. Fig. 4 shows an example of a general purpose computer system, a personal computer or server 20 ', comprising a central processing unit 21 ', system memory 22 ', and a system bus 23 ', which contains various system components including memory associated with the central processing unit 21 '. The system bus 23 is implemented as any bus structure known in the art, in turn comprising a bus memory or bus memory controller, a peripheral bus, and a local bus capable of interfacing with any other bus architecture. The system memory contains read-only memory (ROM) 24 , random access memory (RAM) 25 . The main input/output system (BIOS) 26 contains the basic procedures that ensure the transfer of information between the elements of a personal computer 20 , for example, at the time of booting the operating system using ROM 24 .

Персональный компьютер 20 в свою очередь содержит жёсткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жёсткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жёсткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20. The personal computer 20 , in turn, contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29 and an optical drive 30 for reading and writing to removable optical disks 31 , such as CD-ROM, DVD -ROM and other optical storage media. The hard disk 27 , the magnetic disk drive 28 , the optical drive 30 are connected to the system bus 23 via the hard disk interface 32 , the magnetic disk interface 33 , and the optical drive interface 34 , respectively. Drives and related computer storage media are non-volatile means of storing computer instructions, data structures, program modules, and other personal computer data 20 .

Настоящее описание раскрывает реализацию системы, которая использует жёсткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27 , a removable magnetic disk 29 and a removable optical disk 31 , but it should be understood that other types of computer storage media 56 that are capable of storing data in a computer-readable form (solid-state drives, flash memory cards, digital disks, random access memory (RAM), etc.), which are connected to the system bus 23 through the controller 55 .

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединён к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединён к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащён другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.The computer 20 has a file system 36 that stores the recorded operating system 35 as well as additional software applications 37 , other program modules 38 and program data 39 . The user has the ability to enter commands and information into the personal computer 20 through input devices (keyboard 40 , mouse 42 ). Other input devices (not shown) may be used: microphone, joystick, game console, scanner, etc. Such input devices are typically connected to the computer system 20 through a serial port 46 which is in turn connected to the system bus, but may be connected in other ways, such as through a parallel port, game port, or universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48 '. In addition to the monitor 47 , the personal computer may be equipped with other peripheral output devices (not shown), such as speakers, a printer, etc.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удалёнными компьютерами 49. Удалённый компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы. The personal computer 20 is capable of operating in a networked environment using a network connection to another or more remote computers 49 . The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the nature of the personal computer 20 shown in FIG. 4 . Other devices may also be present in the computer network, such as routers, network stations, peer-to-peer devices, or other network nodes.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключён к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключён к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.The network connections may form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local network 50 via a network adapter or network interface 51 . When using networks, personal computer 20 may use a modem 54 or other means to communicate with a wide area network, such as the Internet. Modem 54 , which is an internal or external device, is connected to system bus 23 via serial port 46 . It should be clarified that network connections are only indicative and are not required to represent the exact network configuration, i.e. in fact, there are other ways to establish a connection by technical means of communication from one computer to another.

В заключение следует отметить, что приведённые в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определённого формулой.In conclusion, it should be noted that the information given in the description are examples that do not limit the scope of the present invention defined by the formula.

Claims

1. Система ограничения получения электронных сообщений от отправителя массовой рассылки спама, при этом упомянутая система содержит:1. A system for restricting the receipt of electronic messages from a sender of bulk spam, while said system contains:

а) средство выявления, предназначенное для:a) a means of detection designed to:

выявления неизвестного отправителя электронных сообщений;identifying an unknown sender of electronic messages;

формирования набора электронных сообщений, полученных от выявленного отправителя;formation of a set of electronic messages received from the identified sender;

передачи сформированного набора электронных сообщений средству обнаружения;transmitting the generated set of electronic messages to the detection means;

б) средство обнаружения, предназначенное для:b) a means of detection intended for:

определения типа спама массовой рассылки на основании сформированного набора электронных сообщений при помощи сигнатур для выявления спама;determining the type of bulk spam based on the generated set of electronic messages using signatures to detect spam;

формирования ограничений на получение электронных сообщений от отправителя, который рассылает спам определенного типа;formation of restrictions on receiving electronic messages from a sender who sends spam of a certain type;

передачи данных об ограничениях средству отмены.passing the constraint data to the canceler.

в) средство отмены, предназначенное для:c) a means of cancellation designed to:

проверки сформированных ограничений на наличие коллизий при помощи правил выявления коллизий из базы данных правил; checking the generated constraints for collisions using collision detection rules from the rules database;

изменения сформированного ограничения при обнаружении коллизии;changes to the generated constraint when a collision is detected;

г) базу данных правил, предназначенную для хранения правил выявления коллизий.d) a database of rules designed to store the rules for detecting collisions.

2. Система по п. 1, в которой средство выявления осуществляет выявление неизвестного отправителя электронных сообщений путем формирования профиля отправителя электронных сообщений и сравнения сформированного профиля отправителя с известными профилями отправителей из базы данных отправителей.2. The system of claim 1, wherein the detection means detects an unknown sender of electronic messages by generating a profile of the sender of electronic messages and comparing the generated sender profile with known sender profiles from the sender database.

3. Система по п. 2, в которой под профилем отправителя понимают совокупность следующих данных: хэш-код от тела электронного сообщения, хэш-код от заголовка электронного сообщения, доменное имя отправителя, IP-адрес отправителя, хэш-код от html-верстки электронного сообщения.3. The system according to claim 2, in which the sender profile is understood as the totality of the following data: hash code from the body of the electronic message, hash code from the header of the electronic message, domain name of the sender, IP address of the sender, hash code from the html layout email.

4. Система по п. 1, в которой известные профили отправителей хранят в базе данных отправителей.4. The system of claim 1, wherein known sender profiles are stored in a sender database.

5. Система по п. 1, в которой средство обнаружения осуществляет формирование ограничения путем временного включения профиля отправителя, от которых выявлена массовая рассылка спама, в группу запрещенных.5. The system according to claim 1, in which the detection tool performs the formation of a restriction by temporarily including the profile of the sender, from which mass spam was detected, in the group of prohibited ones.

6. Система по п. 1, в которой под правилом выявления коллизий понимают набор условий, при выполнении которого выявляют необходимость изменения сформированного ограничения.6. The system according to claim 1, in which the collision detection rule is understood as a set of conditions, under which the need to change the generated constraint is identified.

7. Система по п. 1, в которой средство отмены при наличии коллизии изменяет сформированное ограничение путем исключения из списка запрещенных IP-адрес, который стал причиной коллизии.7. The system of claim 1, wherein the collision canceler modifies the generated constraint by delisting the IP address that caused the collision.

8. Система по п. 1, в которой средство отмены при наличии коллизии изменяет сформированное ограничение путем исключения из списка запрещенных доменное имя, которое стало причиной коллизии.8. The system according to claim 1, in which the canceler, in the presence of a collision, changes the generated restriction by excluding from the list of prohibited domain names that caused the collision.

9. Система по п. 1, в которой средство отмены при наличии коллизии изменяет профиль отправителя, в котором возникла коллизия.9. The system of claim 1, wherein the collision canceler modifies the sender profile in which the collision occurs.

10. Способ ограничения получения электронных сообщений от отправителя массовой рассылки спама, содержащий этапы, которые реализуются с помощью средств из системы по п. 1 и на которых:10. A method for restricting the receipt of electronic messages from a sender of mass spamming, containing steps that are implemented using the tools from the system according to claim 1 and in which:

а) выявляют неизвестного отправителя электронных сообщений;a) identify an unknown sender of electronic messages;

б) формируют набор электронных сообщений, полученных от выявленного отправителя;b) form a set of electronic messages received from the identified sender;

в) определяют тип спама массовой рассылки на основании сформированного набора электронных сообщений при помощи сигнатур для выявления спама;c) determine the type of bulk spam based on the generated set of electronic messages using signatures to detect spam;

г) формируют ограничение на получение электронных сообщений от отправителя, который рассылает спам определенного типа;d) form a restriction on receiving electronic messages from a sender who sends spam of a certain type;

д) проверяют сформированные ограничения на наличие коллизий при помощи правил выявления коллизий из базы данных правил;e) checking the generated constraints for collisions using the collision detection rules from the rules database;

е) изменяют сформированное ограничение при обнаружении коллизии.f) modify the generated constraint when a collision is detected.

11. Способ по п. 10, в котором осуществляют выявление неизвестного отправителя электронных сообщений путем формирования профиля отправителя электронных сообщений и сравнения сформированного профиля отправителя с известными профилями отправителей из базы данных отправителей.11. The method according to claim 10, wherein the identification of an unknown sender of electronic messages is carried out by generating a profile of the sender of electronic messages and comparing the generated sender profile with known sender profiles from the sender database.

12. Способ по п. 12, в котором под профилем отправителя понимают совокупность следующих данных: хэш-код от тела электронного сообщения, хэш-код от заголовка электронного сообщения, доменное имя отправителя, IP-адрес отправителя, хэш-код от html-верстки электронного сообщения.12. The method according to claim 12, in which the sender profile is understood as the totality of the following data: hash code from the body of the electronic message, hash code from the header of the electronic message, domain name of the sender, IP address of the sender, hash code from the html layout email.

13. Способ по п. 10, в котором известные профили отправителей хранят в базе данных отправителей.13. The method of claim 10, wherein known sender profiles are stored in a sender database.

14. Способ по п. 10, в котором осуществляют формирование ограничения путем временного включения профилей отправителей, от которых выявлена массовая рассылка спама, в группу запрещенных.14. The method according to claim 10, in which the formation of the restriction is carried out by temporarily including the profiles of the senders from which the mass sending of spam is detected in the blocked group.

15. Способ по п. 10, в котором под правилом выявления коллизий понимают набор условий, при выполнении которого выявляют необходимость изменения сформированного ограничения.15. The method according to claim 10, in which the collision detection rule is understood as a set of conditions, under which the need to change the generated constraint is determined.

16. Способ по п. 10, в котором при наличии коллизии изменяют сформированное ограничение путем исключения из списка запрещенных IP-адрес, который стал причиной коллизии.16. The method according to claim 10, in which, in the presence of a collision, the generated restriction is changed by excluding the IP address that caused the collision from the list of prohibited ones.

17. Способ по п. 10, в котором при наличии коллизии изменяют сформированное ограничение путем исключения из списка запрещенных доменное имя, которое стало причиной коллизии.17. The method according to claim 10, in which, in the presence of a collision, the generated restriction is changed by excluding the domain name that caused the collision from the list of prohibited ones.

18. Способ по п. 10, в котором при наличии коллизии изменяют профиль отправителя, в котором возникла коллизия.18. The method according to claim 10, in which, in the presence of a collision, the profile of the sender in which the collision occurred is changed.