一种图像邮件的检测分析方法.pdf

摘要
申请专利号：	CN201410543120.6	申请日：	2014.10.14
公开号：	CN104270304A	公开日：	2015.01.07
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 12/58申请日:20141014\|\|\|公开
IPC分类号：	H04L12/58	主分类号：	H04L12/58
申请人：	四川神琥科技有限公司
发明人：	罗阳; 陈虹宇; 王峻岭
地址：	610041 四川省成都市高新区天府大道中段177号19栋1单元1层5号
优先权：
专利代理机构：	北京天奇智新知识产权代理有限公司 11340	代理人：	郭霞
PDF下载：	PDF下载

内容摘要

本发明涉及一种图像邮件的检测分析方法。该方法基于邮件中的图像，以及邮件的其它内容属性检测过滤。首先，截取邮件中的图像或子区域图像与用户的垃圾图像库匹配，若匹配，则为垃圾邮件；否则，查询用户的黑名单列表和白名单列表、以及基于信任度分值的灰名单，获得邮件的类别；对于无法确认类别的邮件，可通过查询网络中朋友节点的黑名单列表和白名单列表获得该邮件的类别，所述朋友节点是指与当前用户节点之间具有较高邮件交互频率的网络节点；还可以将该邮件发送至云端服务器进行类别判断。该方法可有效检测过滤邮件中的垃圾图片，并可对邮件进行多层次和级别的全面检测分析。

权利要求书

权利要求书1. 一种图像邮件的检测分析方法，其特征在于，该方法包括以下步骤：步骤1，截取邮件中的图像或图像的子区域图像，将所述图像或子区域图像与用户节点的垃圾图像库中的图像进行匹配，如果存在匹配项，则该邮件的分类属性为垃圾邮件，结束；否则，执行步骤2；步骤2，根据用户接收的邮件的地址查询该用户节点本地存储的黑名单列表和白名单列表，获得该邮件的分类属性，所述分类属性包括：垃圾邮件、正常邮件、以及无法确认；如果该邮件的地址在黑名单列表中，则该邮件的分类属性为垃圾邮件；如果该邮件的地址在白名单列表中，则该邮件的分类属性为正常邮件；否则，该邮件的分类属性为无法确认。2. 根据权利要求1所述的方法，其特征在于，所述将所述图像或子区域图像与用户节点的垃圾图像库中的图像进行匹配的过程可以使用基于特征的图像匹配方法；其中，所述基于特征的图像匹配方法包括：基于空间关系的匹配算法、基于不变量描述的匹配算法、金字塔算法、小波算法；所述图像的子区域包括：文字区域、广告公司商标图案。3. 根据权利要求2所述的方法，其特征在于，如果邮件的分类属性为无法确认，则执行以下步骤：步骤3，用户节点向所有朋友节点发出一个查询请求，所述查询请求包含当前邮件的地址信息；步骤4，朋友节点根据所述查询请求搜索自己的黑名单列表和白名单列表，如果发现命中黑名单列表或白名单列表，则向该用户节点返回查询结果，所述查询结果表示该邮件的类型是垃圾邮件或正常邮件；如果收到朋友节点返回的查询结果，并且所有的查询结果所表示的邮件类型相同，则执行步骤5；否则，执行步骤6；步骤5，用户节点根据该查询结果更新本地的黑名单列表或白名单列表，结束；步骤6，将该邮件发送至云端服务器，以判断该邮件的类别；其中，所述朋友节点是指与当前用户节点之间具有较高的邮件交互频率的网络节点。4. 根据权利要求3所述的方法，其特征在于，如果用户节点将邮件发送至云端服务器，则云端服务器执行以下操作：步骤7，接收云计算网络中用户节点发送的邮件，将所述邮件发送至垃圾邮件数据库；步骤8，查看云端服务器的垃圾邮件数据库，判断所述邮件是否与垃圾邮件数据库中的邮件匹配；如果匹配，执行步骤9；否则，执行步骤10；步骤9，将该垃圾邮件数据库中对应的结果报告返回给用户节点，结束；步骤10，将该邮件发送给多个不同的过滤引擎并进行分析；步骤11，整合多个不同的过滤引擎产生的子结果得到一个结果报告，该结果报告表明该邮件是否为垃圾邮件，将该结果报告返回给用户节点，结束。5. 根据权利要求4所述的方法，其特征在于，网络中每个节点的本地存储有一个朋友节点列表，该列表中包括N个朋友节点的地址和关联度分值，所述关联度分值的计算方式为：关联度分值＝(A*周期T内的邮件交互次数+B*周期T内返回黑名单或白名单查询结果的次数)/T；其中，系数A、B、周期T和朋友节点的数量N既可以是常数，也可以由系统设定并根据实际需要动态调整。6. 根据权利要求5所述的方法，其特征在于，所述朋友节点列表的初始化过程为：将与本地有邮件交互的网络节点按照邮件交互次数从高至低进行排序，选择排序结果中的前N个节点作为朋友节点，以建立初始的朋友节点列表；其中，所述关联度分值的初始值都为0。7. 根据权利要求6所述的方法，其特征在于，所述朋友节点列表的更新过程为：每间隔固定的周期T，计算在当前的周期T内与本地有邮件交互的每个网络节点的关联度分值，按照关联度分值从高至低进行排序，选择排序结果中的前N个节点作为朋友节点，从而更新朋友节点列表。8. 根据权利要求7所述的方法，其特征在于，所述系数A、B、周期T和朋友节点的数量N可以是：A＝10，B＝20，T＝24，N＝50。9. 根据权利要求8所述的方法，其特征在于，用户节点本地有一个信任度列表，所述信任度列表中的每一项表示与一个与当前用户节点有邮件交互的网络节点的地址以及其对应的信任度分值，对于每个网络节点，定义如下变量：hit：表示该网络节点向用户节点发送垃圾邮件的数量；total：表示该网络节点向用户节点发送邮件的总数量；Trust：表示该网络节点的信任度分值；上述变量之间的关系满足：Trust＝1–(hit/total)2/3；其中，变量hit和total都是整数，hit的初始值为0，total的初始值为1；每当用户节点接收来自该网络节点的邮件，则total＝total+1；并且每当用户节点接收的来自该网络节点的邮件经判断是垃圾邮件，则hit＝hit+1；如果Trust≤阈值θ，将该网络节点的地址加入用户节点本地的灰名单列表；对于来自灰名单列表中用户节点发送的邮件，可以作出特殊标记，并可以提示用户判断该邮件的类别；其中，0<θ<1。10. 根据权利要求9所述的方法，其特征在于，所述多个不同的过滤引擎采用的过滤方法可以包括：SVM、决策树、黑白名单、贝叶斯算法、模糊理论、智能计算、神经网络、推理技术、基于关键词和规则过滤、分类数据库、以及单一用户启发式学习中的一种或多种。

说明书

说明书一种图像邮件的检测分析方法
技术领域
本发明涉及网络通信领域。具体地，涉及一种图像邮件的检测分析方法。
背景技术
随着互联网应用的发展，电子邮件得到广泛的应用，已成为Internet上最基本的服务之一，用户可以通过电子邮件与远程用户进行经济、方便和快捷的信息交流。然而，就在电子邮件逐渐成为一种不可缺少的重要信息交流工具的同时，也正在成为一种商业广告手段。用户在收到有用信息的同时，还必须花费大量时间和精力多各种各样的邮件进行分类识别，以过滤“垃圾”邮件，而现有的邮件分类识别方法或采用较单一的分类识别方法而导致结果不准确，或使用过于复杂的识别方式而提高了时间成本。因此，如何提高邮件分类识别的准确率以及效率是目前研究的热点问题。
现有技术在处理单机垃圾邮件过滤方面卓有成效。如今，最好的垃圾邮件过滤累积差错已经远低于1％。这似乎意味着人们已经在对抗垃圾邮件的战役中取得了胜利。但另外一方面，垃圾邮件制造者采用更加隐蔽的信息载体形式，即图片或图像形式，我们称这种垃圾邮件为图像垃圾邮件。他们将文字嵌入到图像当中，使得一些基于文本的过滤系统无法识别而失效。这种包含图片或者图像的垃圾邮件正以很快的速度增长，这些垃圾邮件可避免基于文本的过滤器的过滤。由于图像垃圾邮件可以比文本邮件能更好的躲避过滤器，为垃圾邮件制造者所发送的垃圾邮件提供了更好的保护屏障，从而也给用户带来了不少负担。图像垃圾邮件现状：
图像垃圾邮件，是垃圾邮件发送者宣传其信息并诱使用户针对其信息进行操作的一种新型垃圾邮件。垃圾邮件发送者将信息作为嵌入附件的一部分(如gif) 也或者是嵌入网页中的而不是在邮件主题内容中发送。这些图像自动地显示给最终用户，但是图像本身内容却可以躲过大部分垃圾邮件过滤器的过滤。更复杂的图像垃圾邮件的增长已经导致电子邮件安全行业垃圾邮件截获率的全面下降，使最终用户感到失望。因为许多邮件系统无法跟上这些垃圾邮件数量的增长速度，电子邮件基础设施逐渐堵塞。由于图像文件的格式与电子邮件中的文本完全不同，因此基于文本内容的过滤器绝对“发现”不了垃圾邮件信息的内容，因此这些过滤器很容易被这类垃圾邮件欺骗。
图像垃圾邮件的过滤技术：
从邮件过滤的执行方法来说大致可以分为以下3类：一是基于IP地址的方式，根据发送方的邮件地址或地址，拒绝接收不正当的邮件攻击；二是基于手工规则的过滤，手工设置一些规则，只要符合这些规则的一条或几条，就认为是垃圾邮件；三是基于邮件内容的过滤，通过对邮件内容进行识别和检查，来决定是否接收邮件。另外随着邮件过滤技术的发展还出现了一些其它的方法。
目前大部分图像过滤方法主要是针对广告图像中的文字内容进行提取与分析，这种针对图像文字的操作往往难以见效，垃圾邮件制造者可以很容易地做一些预处理而躲避过滤器的检测。
从另一个角度来看，关于垃圾邮件的定义本身就是个难题，仅通过一个算法或者规则去判别垃圾邮件是不现实的，因为“垃圾邮件”只是一个相对的定义，并不存在一个绝对的评判标准能够完全正确地进行区分，所以应该根据具体用户的意见进行垃圾邮件的识别与过滤。垃圾邮件不存在普遍适用的具体评判准则，而应该属于个性化的定义，交由邮件用户做具体的判断是较为合理的。
此外，由于图像垃圾邮件绝大部分是广告邮件，无论广告的产品内容如何变化，生产商的相关信息(例如商标图案)却往往是固定不变的，所以垃圾图片的局部内容重复性很高，针对这一特性，可以利用这部分重复性高的子图内容去识别同属一系列的广告垃圾图像。
同时，通过长期的研究，现有技术在处理单机垃圾邮件过滤方面卓有成效。但近年来复杂网络和社会网络方面研究的深入开展，人们普遍猜测真实世界网络都具有无标度和小世界的特性，比如计算机网络、神经系统、交通网络、电力网络、邮件网络、社会关系网络等等。
为何现有现状和用户体验之间有如此之大的落差？这应归结于以往的垃圾邮件过滤技术大多从个人用户角度考虑垃圾邮件的防治，从而忽略了用户之间实际上是一种相互影响、相互协作的关系而联结在一起，进而表现出某些类似的特性。
网络中存在许多的孤立节点，而如果两个网络用户节点之间如果存在较大的邮件交互(收发邮件)频率，则意味着这两个用户节点之间有较高的同质性。用户收到的垃圾邮件绝大部分来自于之前从未接触过的邮件收/发件人；另一方面，随着邮件收/发件人的熟悉或信任程度的增加，邮件是垃圾邮件的概率将迅速降低。
由于与用户节点进行邮件交互的网络IP地址数量较庞大且不断动态增长，要全面分析所有人的邮件交互关系是不可能的，也是没有必要的。
云计算(Cloud Computing)是近年来在互联网领域新兴的一个热点，它将应用的“计算”从终端转移到服务器端，交给“云”端去做，从而弱化了对终端设备的处理需求，用户不关心应用的具体实现方式，应用的实现和维护由其提供商完成，云计算具有规模经济性，多个用户通过互联网共享同一应用，进而实现了计算在客户间的共享，显著提高了处理器和存储设备的利用率，也避免了用户对信息系统的重复建设。在云计算模式下，邮件复杂的过滤任务交给云端去做，弱化了对终端设备的处理需求，符合瘦客户端的发展趋势。
云计算为存储和管理数据提供了几乎无限多的空间，也为我们完成各类应用提供了几乎无限强大的计算能力。把海量邮件的过滤任务转移到可以提供无限处理能力的“云”端，避免了传统反垃圾邮件系统在少数服务器上执行，服务器功能单一，处理能力有限，容易发生系统瓶颈等缺点。
云计算可以轻松实现信息共享在云环境下，邮件被送到“云”端分析，如果一封邮件被判定为垃圾邮件，它的判定结果会被保存在“云”端垃圾邮件数据库中，只要有一封垃圾邮件被识别了，整个互联网的用户都可以共享该结果，网络中资源得到充分利用，可以更有效更准确的识别垃圾邮件，这与云防毒的思想比较类似，把病毒的查杀功能通过网络放到云端，终端不需要装大容量的病毒样本库，也不用管病毒库的升级，这样既可以消除防御空窗期，也可以减轻用户维护管理的负担。
发明内容
本发明的主要目的在于提供一种图像邮件的检测分析方法，该方法首先基于邮件中的图像，其次基于邮件的其它内容及属性进行检测过滤：首先，截取邮件中的图像或子区域图像与用户的垃圾图像库匹配，若匹配，则为垃圾邮件；否则，查询用户的黑名单列表和白名单列表、以及基于信任度分值的灰名单，获得邮件的类别；对于无法确认类别的邮件，可通过查询网络中朋友节点的黑名单列表和白名单列表获得该邮件的类别，所述朋友节点是指与当前用户节点之间具有较高邮件交互频率的网络节点；还可以将该邮件发送至云端服务器进行类别判断。上述方法可有效检测过滤邮件中的垃圾图片，并可结合其他检测方法对邮件进行多层次和级别的全面检测分析，可解决现有技术中对于垃圾邮件的识别的计算代价过大、效率较低的问题。
为了实现上述目的，根据本发明的一个方面，提供了一种图像邮件的检测分析方法，包括以下步骤：
步骤1，截取邮件中的图像或图像的子区域图像，将所述图像或子区域图像与用户节点的垃圾图像库中的图像进行匹配，如果存在匹配项，则该邮件的分类属性为垃圾邮件，结束；否则，执行步骤2；
步骤2，根据用户接收的邮件的地址查询该用户节点本地存储的黑名单列表和白名单列表，获得该邮件的分类属性，所述分类属性包括：垃圾邮件、正常邮件、以及无法确认；
如果该邮件的地址在黑名单列表中，则该邮件的分类属性为垃圾邮件；
如果该邮件的地址在白名单列表中，则该邮件的分类属性为正常邮件；
否则，该邮件的分类属性为无法确认。
进一步地，所述将所述图像或子区域图像与用户节点的垃圾图像库中的图像进行匹配的过程可以使用基于特征的图像匹配方法；
其中，所述基于特征的图像匹配方法包括：基于空间关系的匹配算法、基于不变量描述的匹配算法、金字塔算法、小波算法；
所述图像的子区域包括：文字区域、广告公司商标图案。
进一步地，如果邮件的分类属性为无法确认，则执行以下步骤：
步骤3，用户节点向所有朋友节点发出一个查询请求，所述查询请求包含当前邮件的地址信息；
步骤4，朋友节点根据所述查询请求搜索自己的黑名单列表和白名单列表，如果发现命中黑名单列表或白名单列表，则向该用户节点返回查询结果，所述查询结果表示该邮件的类型是垃圾邮件或正常邮件；
如果收到朋友节点返回的查询结果，并且所有的查询结果所表示的邮件类型相同，则执行步骤5；否则，执行步骤6；
步骤5，用户节点根据该查询结果更新本地的黑名单列表或白名单列表，结束；
步骤6，将该邮件发送至云端服务器，以判断该邮件的类别；
其中，所述朋友节点从与当前用户节点之间有邮件交互的网络节点中选择；
其中，所述朋友节点是指与当前用户节点之间具有较高的邮件交互频率的网络节点。
进一步地，如果用户节点将邮件发送至云端服务器，则云端服务器执行以下操作：
步骤7，接收云计算网络中用户节点发送的邮件，将所述邮件发送至垃圾邮件数据库；
步骤8，查看云端服务器的垃圾邮件数据库，判断所述邮件是否与垃圾邮件数据库中的邮件匹配；
如果匹配，执行步骤9；否则，执行步骤10；
步骤9，将该垃圾邮件数据库中对应的结果报告返回给用户节点，结束；
步骤10，将该邮件发送给多个不同的过滤引擎并进行分析；
步骤11，整合多个不同的过滤引擎产生的子结果得到一个结果报告，该结果报告表明该邮件是否为垃圾邮件，将该结果报告返回给用户节点，结束。
进一步地，网络中每个节点的本地存储有一个朋友节点列表，该列表中包括N个朋友节点的地址和关联度分值，所述关联度分值的计算方式为：
关联度分值＝(A*周期T内的邮件交互次数+B*周期T内返回黑名单或白名单查询结果的次数)/T；
其中，系数A、B、周期T和朋友节点的数量N既可以是常数，也可以由系统设定并根据实际需要动态调整。
进一步地，所述朋友节点列表的初始化过程为：
将与本地有邮件交互的网络节点按照邮件交互次数从高至低进行排序，选择排序结果中的前N个节点作为朋友节点，以建立初始的朋友节点列表；其中，所述关联度分值的初始值都为0。
进一步地，所述朋友节点列表的更新过程为：
每间隔固定的周期T，计算在当前的周期T内与本地有邮件交互的每个网络节点的关联度分值，按照关联度分值从高至低进行排序，选择排序结果中的前N个节点作为朋友节点，从而更新朋友节点列表。
进一步地，所述系数A、B、周期T和朋友节点的数量N可以是：
A＝10，B＝20，T＝24，N＝50。
进一步地，用户节点本地有一个信任度列表，所述信任度列表中的每一项表示与一个与当前用户节点有邮件交互的网络节点的地址以及其对应的信任度分值，对于每个网络节点，定义如下变量：
hit：表示该网络节点向用户节点发送垃圾邮件的数量；total：表示该网络节点向用户节点发送邮件的总数量；Trust：表示该网络节点的信任度分值；
上述变量之间的关系满足：Trust＝1–(hit/total)2/3；
其中，2/3是幂指数，变量hit和total都是整数，hit的初始值为0，total的初始值为1；
每当用户节点接收来自该网络节点的邮件，则total＝total+1；并且
每当用户节点接收的来自该网络节点的邮件经判断是垃圾邮件，则hit＝hit+1；
如果Trust≤阈值θ，将该网络节点的地址加入用户节点本地的灰名单列表；对于来自灰名单列表中用户节点发送的邮件，可以作出特殊标记，并可以提示用户判断该邮件的类别；
其中，0<θ<1。
进一步地，所述多个不同的过滤引擎采用的过滤方法可以包括：SVM、决策树、黑白名单、贝叶斯算法、模糊理论、智能计算、神经网络、推理技术、基于关键词和规则过滤、分类数据库、以及单一用户启发式学习中的一种或多种。
进一步地，所述云端服务器包括：
邮件接收模块，用于接收云计算网络中用户节点发送的邮件；
垃圾邮件数据库，用于存储已识别的垃圾邮件，以及所述垃圾邮件对应的结果报告；
垃圾邮件过滤器，由多个不同的过滤引擎组成；
结果整合器，用于将不同垃圾邮件过滤引擎产生的结果整合，得到结果报告。
本发明的图像邮件的检测分析方法可实现以下有益效果：
第一，截取邮件中的图像或图像的子区域图像与用户的垃圾图像库进行匹配，截取的子区域可以由用户自定义，灵活度高。
第二，通过网络节点的信任度分值，筛选出信任度分值较低的网络节点，将其加入灰名单列表，对于灰名单列表中的网络节点，可以特殊标记或其他方式提示用户判断邮件的类别。
第三，由于基于与本地节点通信较频繁的有代表性的朋友节点，往往也会同时收到类似的垃圾邮件和/或正常邮件的特性，借助于在网络中并发查询这些朋友节点的黑、白名单列表，可以快速地筛选出垃圾邮件和/或正常邮件，能够大大简化本地的分析筛选工作。
第四，朋友节点与用户本地节点之间的关联度分值，既能体现某段时间内两者之间的通信频率，又能体现黑、白名单列表的命中概率。通过综合以上两个因素，可动态确定关联度最佳的朋友节点列表。
第五，云计算的出现和发展给反垃圾邮件领域提供了新的思路，它可为反垃圾邮件系统提供一体化、可扩展的服务。通过云计算的方式，在云端服务器识别并返回结果报告，可准确判别邮件是否为垃圾邮件,可减少不必要的网络流量，并减小传统反垃圾邮件系统的负荷,降低用户时间消耗。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
图1是根据本发明实施例的图像邮件的检测分析方法的流程图。
图2是根据本发明实施例的朋友节点列表的结构。
具体实施方式
需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
本发明的实施例提供了一种图像邮件的检测分析方法，以下对本发明实施例所提供的图像邮件的检测分析方法进行具体介绍：
图1是根据本发明实施例的图像邮件的检测分析方法的流程图。如图1所示，该方法包括如下的步骤：
步骤1，截取邮件中的图像或图像的子区域图像，将所述图像或子区域图像与用户节点的垃圾图像库中的图像进行匹配，如果存在匹配项，则该邮件的分类属性为垃圾邮件，结束；否则，执行步骤2；
本申请的匹配过滤规则由用户自己定义，先由用户抓取一些截图，比如某封邮件或者网页广告，系统将用户的所有截图存入一个“垃圾图像库”。对于每一封新到的图像邮件，系统都会提取其内嵌的图像，在垃圾图像库中查找是否存在与之类似的图像，一旦匹配，说明这封邮件的图像有该用户先前定义的垃圾图像内容，那么也就认定该邮件是一封垃圾邮件。
在本发明的优选实施例中，在步骤1具体包括以下4个步骤：
1.1)用户发现邮件含有垃圾图像，截取图像或图像的某子区域图像的内容(如特定的一段文字，广告公司商标图案或者其他具有代表性的文字或图案)，并注明垃圾邮件类型(如“医药广告”)；
1.2)将提取出图像或图像的子区域图像的特征信息并导入到一个数据区(“垃圾图像库”)中，这个数据区维护着从所有垃圾图像或子区域图像的截图中提取的特征信息，任何含有“垃圾图像库”中某项内容的图像都将视为垃圾图像处理；
1.3)一旦有新的邮件出现，先检测该邮件是否含有图像，如果有，则截取邮件中的图像或图像的子区域图像，提取出所述图像或图像的子区域图像的特征信息，用所述特征信息在步骤1.2)所生成的“垃圾图像库”中查找进行匹配，一旦发现存在匹配项，则表示在该邮件识别出了垃圾图像，该邮件的分类属性为垃圾邮件，将此垃圾邮件过滤；
1.4)前3步实际上是针对新进入的垃圾邮件的检测与过滤操作。一旦用户修改了某条垃圾邮件判别规则，系统有必要对既有的邮件重新进行过滤操作。即：每隔一定时间，自动对收件箱中已收取的邮件进行垃圾邮件扫描。
图像匹配是虚拟现实与计算机视觉等领域中的一个重要课题，其中基于特征的图像匹配一直是研究热点，目前已有众多的匹配算法，它们对于不同环境、不同要求下的图像工作各自具有不同的效果，在基于特征的匹配技木中，其首要任务是提取稳定的特征，并进行描述，常用的方法有基于空间关系的匹配算法、基于不变量描述子的匹配算法、金字塔算法、小波算法等等，不同的算法所适用的对象不尽相同，因此，针对图像垃圾邮件过滤问题，选择图像匹配算法要结合垃圾图片的特性。
由于图像垃圾邮件绝大部分是广告邮件，无论广告的产品内容如何变化，生产商的相关信息(例如商标图案)却往往是固定不变的，所以垃圾图像的局部内容重复性很高，针对这一特性，可以利用这部分重复性高的子图内容去识别同属一系列的广告垃圾图像。
步骤2，根据用户接收的邮件的地址查询该用户节点本地存储的黑名单列表和白名单列表，获得该邮件的分类属性，所述分类属性包括：垃圾邮件、正常邮件、以及无法确认；
如果该邮件的地址在黑名单列表中，则该邮件的分类属性为垃圾邮件；
如果该邮件的地址在白名单列表中，则该邮件的分类属性为正常邮件；
否则，该邮件的分类属性为无法确认。
进一步地，如果邮件的分类属性为无法确认，则执行以下步骤：
步骤3，用户节点向所有朋友节点发出一个查询请求，所述查询请求包含当前邮件的地址信息；
步骤4，朋友节点根据所述查询请求搜索自己的黑名单列表和白名单列表，如果发现命中黑名单列表或白名单列表，则向该用户节点返回查询结果，所述查询结果表示该邮件的类型是垃圾邮件或正常邮件；
如果收到朋友节点返回的查询结果，并且所有的查询结果所表示的邮件类型相同，则执行步骤5；否则，执行步骤6；
步骤5，用户节点根据该查询结果更新本地的黑名单列表或白名单列表，结束；
步骤6，将该邮件发送至云端服务器，以判断该邮件的类别；
其中，所述朋友节点从与当前用户节点之间有邮件交互的网络节点中选择。
其中，所述朋友节点是指与当前用户节点之间具有较高的邮件交互频率的网络节点。
进一步地，如果用户节点将邮件发送至云端服务器，则云端服务器执行以下操作：
步骤7，接收云计算网络中用户节点发送的邮件，将所述邮件发送至垃圾邮件数据库；
步骤8，查看云端服务器的垃圾邮件数据库，判断所述邮件是否与垃圾邮件数据库中的邮件匹配；
如果匹配，执行步骤9；否则，执行步骤10；
步骤9，将该垃圾邮件数据库中对应的结果报告返回给用户节点，结束；
步骤10，将该邮件发送给多个不同的过滤引擎并进行分析；
步骤11，整合多个不同的过滤引擎产生的子结果得到一个结果报告，该结果报告表明该邮件是否为垃圾邮件，将该结果报告返回给用户节点，结束。
在本发明的优选实施例中，由于单机垃圾邮件过滤的代价较大，并且通常准确率不高，而将垃圾邮件过滤任务全部交给服务器，又将明显增加服务器端的开销。因此，本申请的垃圾邮件过滤拦截方法将利用网络中与本地交互的其他用户节点进行并发式协同过滤分析。
网络中存在许多的孤立节点，而如果两个网络用户节点之间如果存在较大的邮件交互(收发邮件)频率，则意味着这两个用户节点之间有较高的同质性。在本申请中，将与用户节点之间具有较高的邮件交互频率的网络节点称为“朋友节点”(例如，同一个家公司的多个用户节点)。由于朋友节点之间可能具有大致相同的统计特性，那么显然基于邮件交互频率的网络同步并发式协同分析可以较快且较容易地给出关于本地邮件的分类建议，由于这种协同分析是网络并发协作式的，因此效率较高，且不会增加本地节点的运算负担。
网络中所有节点(包括本地节点、所有朋友节点)的本地都存储有一个黑名单列表和一个白名单列表。本地节点可查询其黑名单列表和白名单列表；本地节点的所有的朋友节点可以请求本地节点查询该本地节点的黑名单列表和白名单列表，并返回查询结果。其中，所述黑名单列表中包括垃圾邮件的地址，白名单列表中包括正常邮件的地址。黑、白名单列表的初始值可由云端服务器获取，并可以实时更新。
同时，网络中所有节点(包括本地节点、所有朋友节点)的本地存储有一个朋友节点列表。
实际中，由于基于与本地节点通信较频繁的有代表性的朋友节点，往往也会同时收到类似的垃圾邮件和/或正常邮件的特性，因此借助于在网络中并发查询这些朋友节点的黑、白名单列表，可以快速地筛选出垃圾邮件和/或正常邮件，能够大大简化本地的分析筛选工作。
在本发明的优选实施例中，用户节点本地有一个信任度列表，所述信任度列表中的每一项表示与一个与当前用户节点有邮件交互的网络节点的地址以及其对应的信任度分值，对于每个网络节点，定义如下变量：
hit：表示该网络节点向用户节点发送垃圾邮件的数量；total：表示该网络节点向用户节点发送邮件的总数量；Trust：表示该网络节点的信任度分值；
上述变量之间的关系满足：Trust＝1–(hit/total)2/3；
其中，2/3是幂指数，变量hit和total都是整数，hit的初始值为0，total的初始值为1；
每当用户节点接收来自该网络节点的邮件，则total＝total+1；并且
每当用户节点接收的来自该网络节点的邮件经判断是垃圾邮件，则hit＝hit+1；
由于型如X2/3的函数一个幂函数，在(0,1)区间，函数值随着自变量(hit/total)的增加而增大，而在本申请中，自变量(hit/total)的增加意味着某网络节点所发送的邮件中，垃圾邮件的比例有所增加，这时该网络节点的信任度分值自然会下降，当某网路节点的信任度分值下降到某一个固定的阈值θ时，表明来自该网络节点的邮件中垃圾邮件的比例较大，即该网络节点可能中毒或者是不安全的，因此，需要将该网络节点的地址加入灰名单，即：
如果网络节点的信任度分值Trust≤阈值θ，将该网络节点的地址加入用户节点本地的灰名单列表；对于来自灰名单列表中用户节点发送的邮件，可以作出特殊标记，并可以提示用户或者向用户报警，由用户来判断该邮件的类别；
其中，0<θ<1。
图2是根据本发明实施例的朋友节点列表的结构。如图2所示，所述朋友节点列表包括N个朋友节点的地址和关联度分值。
初始化时，所有的关联度分值的值都为0，该朋友节点列表每间隔周期T更新一次。
朋友节点列表的初始化和更新过程如下：
a.初始化：将与本地有邮件交互(收、发邮件)的网络节点按照邮件交互次数从高至低进行排序，选择排序结果中的前N个节点作为朋友节点，以建立初始的朋友节点列表。
其中，周期T和朋友节点的数量N既可以是常数，也可以由系统设定并根据实际需要动态调整。
b.更新：每间隔固定的周期T，计算在当前的周期T内与本地有邮件交互(收、发邮件)的每个网络节点的关联度分值，按照关联度分值从高至低进行排序，选择排序结果中的前N个节点作为朋友节点，从而更新朋友节点列表；所述关联度分值的计算方式如下：
关联度分值＝(A*周期T内的邮件交互次数+B*周期T内返回黑名单或白名单查询结果的次数)/T；
其中，系数A、B、周期T和朋友节点的数量N既可以是常数；也可以由系统设定并根据实际需要动态调整，例如，可以选择：
A＝10，B＝20，T＝24(小时)，N＝50。
在本发明的优选实施例中，可将无法确定类别的邮件发送至云端服务器，进行最终的类别判断。
云端服务器负责接收互联网中各个用户节点上传的邮件，它包括：邮件接收模块，用于接收云计算网络中用户节点发送的邮件；垃圾邮件数据库，用于存储已识别的垃圾邮件，以及所述垃圾邮件对应的结果报告；垃圾邮件过滤器，由多个不同的过滤引擎组成；以及结果整合器，用于将不同垃圾邮件过滤引擎产生的结果整合，得到结果报告。具体地：
(1)邮件接收模块，用于接收云计算系统中的网络中的用户节点发送的邮件，并将所接收的邮件发送给垃圾邮件数据库进行垃圾邮件识别。
(2)垃圾邮件数据库，垃圾邮件数据库中存放着被识别出来的垃圾邮件，以及其对应的结果报告，一封邮件被送到云端分析，云端服务器首先会查看垃圾邮件数据库，如果该邮件和数据库中的某一邮件匹配，直接把数据库中对应的结果报告返回给用户节点；
否则，云端网络服务器会继续查看垃圾邮件过滤器，垃圾邮件有个特点就是同一封邮件会发给成千上万的用户接收，引入垃圾邮件数据库可以实现垃圾邮件信息最大程度的共享，垃圾邮件识别时间大大缩减，效率明显提高。
(3)垃圾邮件过滤器，垃圾邮件过滤器是由采用多种不同技术(例如：基于SVM、决策树、黑白名单、贝叶斯算法、模糊理论、智能计算、神经网络、推理技术、基于关键词和规则过滤、分类数据库、单一用户启发式学习等)的多个不同的过滤引擎所组成的庞大服务器动态分析平台，可以进行24小时自动化运算分析，这种广泛的过滤分析技术可以显著增加垃圾邮件检测的范围，同时使用由不同厂家提供的采用不同技术的过滤引擎使得最终结果不会依赖单一的提供商或者单一的过滤技术，后台的垃圾邮件过滤引擎在一个基于xen的虚拟容器上运行，这样可以提供很好的隔离和拓展功能，将每个过滤引擎相互隔离是非常重要的，如果一个过滤引擎被病毒攻击了，病毒很容易被清除，同时也不影响其他过滤引擎的正常运行。
(4)结果整合器，由不同垃圾邮件过滤引擎产生的结果必须整合到一块才能判定一封邮件是不是垃圾邮件，不同垃圾邮件过滤引擎返回的结果可能不同，可以把分析结果封装到一个对象中来描述邮件，同时，不同垃圾邮件过滤引擎产生的结果到达结果整合器的时间也可能不同，如果一个垃圾邮件过滤引擎在执行过程中产生异常，它可能永远也不会返回结果，为了防止一个垃圾邮件过滤引擎返回结果太慢或者失败影响整体速度，可以用返回结果的子集整合出一个结果报告。
使用多种过滤引擎可以增加检测的范围，但是出现假阳性(将一封正常的邮件误判成垃圾邮件)的几率比使用单一过滤引擎要高，假阳性严重影响提供商的信誉和正常运行，同时也给用户带来很大的麻烦，用户宁愿多收到几封垃圾邮件也不愿意丢失一封正常的邮件，通过调整结果整合器中的相应参数，可以在检测范围和防止假阳性之间进行平衡，在极端情况下，如果管理人员希望得到最大的检测范围，他们可以通过设置结果整合器的参数，规定如果任意一个过滤引擎判定一封邮件是垃圾邮件，就认为这封邮件是垃圾邮件，在这种情况下，如果任何一个过滤引擎误判了一封邮件，将导致结果整合器将这封邮件最终判定为垃圾邮件，相反，如果管理者想将假阳性出现的几率降到最低，他们也可以通过调整相关参数，规定只有当所有过滤引擎把一封邮件判定为垃圾邮件的时候，结果整合器才最终判定这封邮件是垃圾邮件。
具体地，所述云端服务器执行以下操作：
首先，接收云计算网络中用户节点发送的邮件，将所述邮件发送至垃圾邮件数据库；
其次，查看云端服务器的垃圾邮件数据库，进行垃圾邮件识别；
如果所述邮件和垃圾邮件数据库中的某一邮件匹配，则将该垃圾邮件数据库中对应的结果报告返回给用户节点；
否则，将该邮件发送给所述多个不同的过滤引擎并进行分析，然后整合所述多个不同的过滤引擎产生的子结果得到一个结果报告，该结果报告表明该邮件是否为垃圾邮件，将该结果报告返回给用户节点。
以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

资源描述

《一种图像邮件的检测分析方法.pdf》由会员分享，可在线阅读，更多相关《一种图像邮件的检测分析方法.pdf（15页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 104270304 A (43)申请公布日 2015.01.07 CN 104270304 A (21)申请号 201410543120.6 (22)申请日 2014.10.14 H04L 12/58(2006.01) (71)申请人四川神琥科技有限公司地址 610041 四川省成都市高新区天府大道中段 177 号 19 栋 1 单元 1 层 5 号 (72)发明人罗阳陈虹宇王峻岭 (74)专利代理机构北京天奇智新知识产权代理有限公司 11340 代理人郭霞 (54) 发明名称一种图像邮件的检测分析方法 (57) 摘要本发明涉及一种图像邮件的检测。

2、分析方法。该方法基于邮件中的图像，以及邮件的其它内容属性检测过滤。首先，截取邮件中的图像或子区域图像与用户的垃圾图像库匹配，若匹配，则为垃圾邮件；否则，查询用户的黑名单列表和白名单列表、以及基于信任度分值的灰名单，获得邮件的类别；对于无法确认类别的邮件，可通过查询网络中朋友节点的黑名单列表和白名单列表获得该邮件的类别，所述朋友节点是指与当前用户节点之间具有较高邮件交互频率的网络节点；还可以将该邮件发送至云端服务器进行类别判断。该方法可有效检测过滤邮件中的垃圾图片，并可对邮件进行多层次和级别的全面检测分析。 (51)Int.Cl. 权利要。

3、求书 2 页说明书 10 页附图 2 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书2页说明书10页附图2页 (10)申请公布号 CN 104270304 A CN 104270304 A 1/2 页 2 1. 一种图像邮件的检测分析方法，其特征在于，该方法包括以下步骤：步骤 1，截取邮件中的图像或图像的子区域图像，将所述图像或子区域图像与用户节点的垃圾图像库中的图像进行匹配，如果存在匹配项，则该邮件的分类属性为垃圾邮件，结束；否则，执行步骤 2 ；步骤 2，根据用户接收的邮件的地址查询该用户节点本地存储的黑名单列表和白名单。

4、列表，获得该邮件的分类属性，所述分类属性包括：垃圾邮件、正常邮件、以及无法确认；如果该邮件的地址在黑名单列表中，则该邮件的分类属性为垃圾邮件；如果该邮件的地址在白名单列表中，则该邮件的分类属性为正常邮件；否则，该邮件的分类属性为无法确认。 2. 根据权利要求 1 所述的方法，其特征在于，所述将所述图像或子区域图像与用户节点的垃圾图像库中的图像进行匹配的过程可以使用基于特征的图像匹配方法；其中，所述基于特征的图像匹配方法包括：基于空间关系的匹配算法、基于不变量描述的匹配算法、金字塔算法、小波算法；所述图像的子区域包括：文字区域、广告。

5、公司商标图案。 3. 根据权利要求 2 所述的方法，其特征在于，如果邮件的分类属性为无法确认，则执行以下步骤：步骤 3，用户节点向所有朋友节点发出一个查询请求，所述查询请求包含当前邮件的地址信息；步骤 4，朋友节点根据所述查询请求搜索自己的黑名单列表和白名单列表，如果发现命中黑名单列表或白名单列表，则向该用户节点返回查询结果，所述查询结果表示该邮件的类型是垃圾邮件或正常邮件；如果收到朋友节点返回的查询结果，并且所有的查询结果所表示的邮件类型相同，则执行步骤 5 ；否则，执行步骤 6 ；步骤 5，用户节点根据该查询结果更新本地的黑名单列表或白名。

6、单列表，结束；步骤 6，将该邮件发送至云端服务器，以判断该邮件的类别；其中，所述朋友节点是指与当前用户节点之间具有较高的邮件交互频率的网络节点。 4. 根据权利要求 3 所述的方法，其特征在于，如果用户节点将邮件发送至云端服务器，则云端服务器执行以下操作：步骤 7，接收云计算网络中用户节点发送的邮件，将所述邮件发送至垃圾邮件数据库；步骤 8，查看云端服务器的垃圾邮件数据库，判断所述邮件是否与垃圾邮件数据库中的邮件匹配；如果匹配，执行步骤 9 ；否则，执行步骤 10 ；步骤 9，将该垃圾邮件数据库中对应的结果报告返回给用户节点，结束；步。

7、骤 10，将该邮件发送给多个不同的过滤引擎并进行分析；步骤 11，整合多个不同的过滤引擎产生的子结果得到一个结果报告，该结果报告表明该邮件是否为垃圾邮件，将该结果报告返回给用户节点，结束。 5. 根据权利要求 4 所述的方法，其特征在于，网络中每个节点的本地存储有一个朋友节点列表，该列表中包括 N 个朋友节点的地址和关联度分值，所述关联度分值的计算方式为：权利要求书 CN 104270304 A 2 2/2 页 3 关联度分值 (A* 周期 T 内的邮件交互次数 +B* 周期 T 内返回黑名单或白名单查询结果的次数 )/T ；其中，系数 A、 B、。

8、周期 T 和朋友节点的数量 N 既可以是常数，也可以由系统设定并根据实际需要动态调整。 6. 根据权利要求 5 所述的方法，其特征在于，所述朋友节点列表的初始化过程为：将与本地有邮件交互的网络节点按照邮件交互次数从高至低进行排序，选择排序结果中的前 N 个节点作为朋友节点，以建立初始的朋友节点列表；其中，所述关联度分值的初始值都为 0。 7. 根据权利要求 6 所述的方法，其特征在于，所述朋友节点列表的更新过程为：每间隔固定的周期 T，计算在当前的周期 T 内与本地有邮件交互的每个网络节点的关联度分值，按照关联度分值从高至低进行排序，选择排序结果中的。

9、前 N 个节点作为朋友节点，从而更新朋友节点列表。 8. 根据权利要求 7 所述的方法，其特征在于，所述系数 A、 B、周期 T 和朋友节点的数量 N 可以是： A 10， B 20， T 24， N 50。 9. 根据权利要求 8 所述的方法，其特征在于，用户节点本地有一个信任度列表，所述信任度列表中的每一项表示与一个与当前用户节点有邮件交互的网络节点的地址以及其对应的信任度分值，对于每个网络节点，定义如下变量： hit ：表示该网络节点向用户节点发送垃圾邮件的数量； total ：表示该网络节点向用户节点发送邮件的总数量； Trust ：表示该网络节。

10、点的信任度分值；上述变量之间的关系满足： Trust 1(hit/total)2/3；其中，变量 hit 和 total 都是整数， hit 的初始值为 0， total 的初始值为 1 ；每当用户节点接收来自该网络节点的邮件，则 total total+1 ；并且每当用户节点接收的来自该网络节点的邮件经判断是垃圾邮件，则 hit hit+1 ；如果 Trust 阈值，将该网络节点的地址加入用户节点本地的灰名单列表；对于来自灰名单列表中用户节点发送的邮件，可以作出特殊标记，并可以提示用户判断该邮件的类别；其中， 01。 10. 根据权利要求 9 所述的。

11、方法，其特征在于，所述多个不同的过滤引擎采用的过滤方法可以包括： SVM、决策树、黑白名单、贝叶斯算法、模糊理论、智能计算、神经网络、推理技术、基于关键词和规则过滤、分类数据库、以及单一用户启发式学习中的一种或多种。权利要求书 CN 104270304 A 3 1/10 页 4 一种图像邮件的检测分析方法技术领域 0001 本发明涉及网络通信领域。具体地，涉及一种图像邮件的检测分析方法。背景技术 0002 随着互联网应用的发展，电子邮件得到广泛的应用，已成为 Internet 上最基本的服务之一，用户可以通过电子邮件与远程用户进行经济、方。

12、便和快捷的信息交流。然而，就在电子邮件逐渐成为一种不可缺少的重要信息交流工具的同时，也正在成为一种商业广告手段。用户在收到有用信息的同时，还必须花费大量时间和精力多各种各样的邮件进行分类识别，以过滤 “垃圾” 邮件，而现有的邮件分类识别方法或采用较单一的分类识别方法而导致结果不准确，或使用过于复杂的识别方式而提高了时间成本。因此，如何提高邮件分类识别的准确率以及效率是目前研究的热点问题。 0003 现有技术在处理单机垃圾邮件过滤方面卓有成效。如今，最好的垃圾邮件过滤累积差错已经远低于1。这似乎意味着人们已经在对抗垃圾邮件的战役中取得了胜利。但另外一方面，垃。

13、圾邮件制造者采用更加隐蔽的信息载体形式，即图片或图像形式，我们称这种垃圾邮件为图像垃圾邮件。他们将文字嵌入到图像当中，使得一些基于文本的过滤系统无法识别而失效。这种包含图片或者图像的垃圾邮件正以很快的速度增长，这些垃圾邮件可避免基于文本的过滤器的过滤。由于图像垃圾邮件可以比文本邮件能更好的躲避过滤器，为垃圾邮件制造者所发送的垃圾邮件提供了更好的保护屏障，从而也给用户带来了不少负担。图像垃圾邮件现状： 0004 图像垃圾邮件，是垃圾邮件发送者宣传其信息并诱使用户针对其信息进行操作的一种新型垃圾邮件。垃圾邮件发送者将信息作为嵌入附件的一部分 ( 如 gif) 也或者是嵌。

14、入网页中的而不是在邮件主题内容中发送。这些图像自动地显示给最终用户，但是图像本身内容却可以躲过大部分垃圾邮件过滤器的过滤。更复杂的图像垃圾邮件的增长已经导致电子邮件安全行业垃圾邮件截获率的全面下降，使最终用户感到失望。因为许多邮件系统无法跟上这些垃圾邮件数量的增长速度，电子邮件基础设施逐渐堵塞。由于图像文件的格式与电子邮件中的文本完全不同，因此基于文本内容的过滤器绝对 “发现” 不了垃圾邮件信息的内容，因此这些过滤器很容易被这类垃圾邮件欺骗。 0005 图像垃圾邮件的过滤技术： 0006 从邮件过滤的执行方法来说大致可以分为以下 3 类：一是基于 IP 地址的方式，。

15、根据发送方的邮件地址或地址，拒绝接收不正当的邮件攻击；二是基于手工规则的过滤，手工设置一些规则，只要符合这些规则的一条或几条，就认为是垃圾邮件；三是基于邮件内容的过滤，通过对邮件内容进行识别和检查，来决定是否接收邮件。另外随着邮件过滤技术的发展还出现了一些其它的方法。 0007 目前大部分图像过滤方法主要是针对广告图像中的文字内容进行提取与分析，这种针对图像文字的操作往往难以见效，垃圾邮件制造者可以很容易地做一些预处理而躲避过滤器的检测。说明书 CN 104270304 A 4 2/10 页 5 0008 从另一个角度来看，关于垃圾邮件的定义本身。

16、就是个难题，仅通过一个算法或者规则去判别垃圾邮件是不现实的，因为 “垃圾邮件” 只是一个相对的定义，并不存在一个绝对的评判标准能够完全正确地进行区分，所以应该根据具体用户的意见进行垃圾邮件的识别与过滤。垃圾邮件不存在普遍适用的具体评判准则，而应该属于个性化的定义，交由邮件用户做具体的判断是较为合理的。 0009 此外，由于图像垃圾邮件绝大部分是广告邮件，无论广告的产品内容如何变化，生产商的相关信息 ( 例如商标图案 ) 却往往是固定不变的，所以垃圾图片的局部内容重复性很高，针对这一特性，可以利用这部分重复性高的子图内容去识别同属一系列的广告垃圾图像。 0。

17、010 同时，通过长期的研究，现有技术在处理单机垃圾邮件过滤方面卓有成效。但近年来复杂网络和社会网络方面研究的深入开展，人们普遍猜测真实世界网络都具有无标度和小世界的特性，比如计算机网络、神经系统、交通网络、电力网络、邮件网络、社会关系网络等等。 0011 为何现有现状和用户体验之间有如此之大的落差？这应归结于以往的垃圾邮件过滤技术大多从个人用户角度考虑垃圾邮件的防治，从而忽略了用户之间实际上是一种相互影响、相互协作的关系而联结在一起，进而表现出某些类似的特性。 0012 网络中存在许多的孤立节点，而如果两个网络用户节点之间如果存在较大的邮件交互 ( 收。

18、发邮件 ) 频率，则意味着这两个用户节点之间有较高的同质性。用户收到的垃圾邮件绝大部分来自于之前从未接触过的邮件收/发件人；另一方面，随着邮件收/发件人的熟悉或信任程度的增加，邮件是垃圾邮件的概率将迅速降低。 0013 由于与用户节点进行邮件交互的网络 IP 地址数量较庞大且不断动态增长，要全面分析所有人的邮件交互关系是不可能的，也是没有必要的。 0014 云计算 (Cloud Computing) 是近年来在互联网领域新兴的一个热点，它将应用的 “计算” 从终端转移到服务器端，交给 “云” 端去做，从而弱化了对终端设备的处理需求，用户不关心应用的具体实现方式，。

19、应用的实现和维护由其提供商完成，云计算具有规模经济性，多个用户通过互联网共享同一应用，进而实现了计算在客户间的共享，显著提高了处理器和存储设备的利用率，也避免了用户对信息系统的重复建设。在云计算模式下，邮件复杂的过滤任务交给云端去做，弱化了对终端设备的处理需求，符合瘦客户端的发展趋势。 0015 云计算为存储和管理数据提供了几乎无限多的空间，也为我们完成各类应用提供了几乎无限强大的计算能力。把海量邮件的过滤任务转移到可以提供无限处理能力的 “云” 端，避免了传统反垃圾邮件系统在少数服务器上执行，服务器功能单一，处理能力有限，容易发生系统瓶颈等缺点。 001。

20、6 云计算可以轻松实现信息共享在云环境下，邮件被送到 “云” 端分析，如果一封邮件被判定为垃圾邮件，它的判定结果会被保存在 “云” 端垃圾邮件数据库中，只要有一封垃圾邮件被识别了，整个互联网的用户都可以共享该结果，网络中资源得到充分利用，可以更有效更准确的识别垃圾邮件，这与云防毒的思想比较类似，把病毒的查杀功能通过网络放到云端，终端不需要装大容量的病毒样本库，也不用管病毒库的升级，这样既可以消除防御空窗期，也可以减轻用户维护管理的负担。说明书 CN 104270304 A 5 3/10 页 6 发明内容 0017 本发明的主要目的在于提供一种图像邮件的。

21、检测分析方法，该方法首先基于邮件中的图像，其次基于邮件的其它内容及属性进行检测过滤：首先，截取邮件中的图像或子区域图像与用户的垃圾图像库匹配，若匹配，则为垃圾邮件；否则，查询用户的黑名单列表和白名单列表、以及基于信任度分值的灰名单，获得邮件的类别；对于无法确认类别的邮件，可通过查询网络中朋友节点的黑名单列表和白名单列表获得该邮件的类别，所述朋友节点是指与当前用户节点之间具有较高邮件交互频率的网络节点；还可以将该邮件发送至云端服务器进行类别判断。上述方法可有效检测过滤邮件中的垃圾图片，并可结合其他检测方法对邮件进行多层次和级别的全面检测分析，可。

22、解决现有技术中对于垃圾邮件的识别的计算代价过大、效率较低的问题。 0018 为了实现上述目的，根据本发明的一个方面，提供了一种图像邮件的检测分析方法，包括以下步骤： 0019 步骤 1，截取邮件中的图像或图像的子区域图像，将所述图像或子区域图像与用户节点的垃圾图像库中的图像进行匹配，如果存在匹配项，则该邮件的分类属性为垃圾邮件，结束；否则，执行步骤 2 ； 0020 步骤 2，根据用户接收的邮件的地址查询该用户节点本地存储的黑名单列表和白名单列表，获得该邮件的分类属性，所述分类属性包括：垃圾邮件、正常邮件、以及无法确认； 0021 如果该邮件。

23、的地址在黑名单列表中，则该邮件的分类属性为垃圾邮件； 0022 如果该邮件的地址在白名单列表中，则该邮件的分类属性为正常邮件； 0023 否则，该邮件的分类属性为无法确认。 0024 进一步地，所述将所述图像或子区域图像与用户节点的垃圾图像库中的图像进行匹配的过程可以使用基于特征的图像匹配方法； 0025 其中，所述基于特征的图像匹配方法包括：基于空间关系的匹配算法、基于不变量描述的匹配算法、金字塔算法、小波算法； 0026 所述图像的子区域包括：文字区域、广告公司商标图案。 0027 进一步地，如果邮件的分类属性为无法确认，则执行以下步骤： 002。

24、8 步骤 3，用户节点向所有朋友节点发出一个查询请求，所述查询请求包含当前邮件的地址信息； 0029 步骤 4，朋友节点根据所述查询请求搜索自己的黑名单列表和白名单列表，如果发现命中黑名单列表或白名单列表，则向该用户节点返回查询结果，所述查询结果表示该邮件的类型是垃圾邮件或正常邮件； 0030 如果收到朋友节点返回的查询结果，并且所有的查询结果所表示的邮件类型相同，则执行步骤 5 ；否则，执行步骤 6 ； 0031 步骤 5，用户节点根据该查询结果更新本地的黑名单列表或白名单列表，结束； 0032 步骤 6，将该邮件发送至云端服务器，以判断该邮件的类别。

25、； 0033 其中，所述朋友节点从与当前用户节点之间有邮件交互的网络节点中选择； 0034 其中，所述朋友节点是指与当前用户节点之间具有较高的邮件交互频率的网络节点。说明书 CN 104270304 A 6 4/10 页 7 0035 进一步地，如果用户节点将邮件发送至云端服务器，则云端服务器执行以下操作： 0036 步骤 7，接收云计算网络中用户节点发送的邮件，将所述邮件发送至垃圾邮件数据库； 0037 步骤 8，查看云端服务器的垃圾邮件数据库，判断所述邮件是否与垃圾邮件数据库中的邮件匹配； 0038 如果匹配，执行步骤 9 ；否则，执行步骤 1。

26、0 ； 0039 步骤 9，将该垃圾邮件数据库中对应的结果报告返回给用户节点，结束； 0040 步骤 10，将该邮件发送给多个不同的过滤引擎并进行分析； 0041 步骤 11，整合多个不同的过滤引擎产生的子结果得到一个结果报告，该结果报告表明该邮件是否为垃圾邮件，将该结果报告返回给用户节点，结束。 0042 进一步地，网络中每个节点的本地存储有一个朋友节点列表，该列表中包括 N 个朋友节点的地址和关联度分值，所述关联度分值的计算方式为： 0043 关联度分值 (A* 周期 T 内的邮件交互次数 +B* 周期 T 内返回黑名单或白名单查询结果的次数 )/T ； 0。

27、044 其中，系数 A、 B、周期 T 和朋友节点的数量 N 既可以是常数，也可以由系统设定并根据实际需要动态调整。 0045 进一步地，所述朋友节点列表的初始化过程为： 0046 将与本地有邮件交互的网络节点按照邮件交互次数从高至低进行排序，选择排序结果中的前 N 个节点作为朋友节点，以建立初始的朋友节点列表；其中，所述关联度分值的初始值都为 0。 0047 进一步地，所述朋友节点列表的更新过程为： 0048 每间隔固定的周期 T，计算在当前的周期 T 内与本地有邮件交互的每个网络节点的关联度分值，按照关联度分值从高至低进行排序，选择排序结果中的前 N 。

28、个节点作为朋友节点，从而更新朋友节点列表。 0049 进一步地，所述系数 A、 B、周期 T 和朋友节点的数量 N 可以是： 0050 A 10， B 20， T 24， N 50。 0051 进一步地，用户节点本地有一个信任度列表，所述信任度列表中的每一项表示与一个与当前用户节点有邮件交互的网络节点的地址以及其对应的信任度分值，对于每个网络节点，定义如下变量： 0052 hit ：表示该网络节点向用户节点发送垃圾邮件的数量； total ：表示该网络节点向用户节点发送邮件的总数量； Trust ：表示该网络节点的信任度分值； 0053 上述变量之间的关系。

29、满足： Trust 1(hit/total)2/3； 0054 其中， 2/3 是幂指数，变量 hit 和 total 都是整数， hit 的初始值为 0， total 的初始值为 1 ； 0055 每当用户节点接收来自该网络节点的邮件，则 total total+1 ；并且 0056 每当用户节点接收的来自该网络节点的邮件经判断是垃圾邮件，则 hit hit+1 ； 0057 如果 Trust 阈值，将该网络节点的地址加入用户节点本地的灰名单列表；对于来自灰名单列表中用户节点发送的邮件，可以作出特殊标记，并可以提示用户判断该邮说明书 CN 104270304 。

30、A 7 5/10 页 8 件的类别； 0058 其中， 01。 0059 进一步地，所述多个不同的过滤引擎采用的过滤方法可以包括： SVM、决策树、黑白名单、贝叶斯算法、模糊理论、智能计算、神经网络、推理技术、基于关键词和规则过滤、分类数据库、以及单一用户启发式学习中的一种或多种。 0060 进一步地，所述云端服务器包括： 0061 邮件接收模块，用于接收云计算网络中用户节点发送的邮件； 0062 垃圾邮件数据库，用于存储已识别的垃圾邮件，以及所述垃圾邮件对应的结果报告； 0063 垃圾邮件过滤器，由多个不同的过滤引擎组成； 0064 结果整合。

31、器，用于将不同垃圾邮件过滤引擎产生的结果整合，得到结果报告。 0065 本发明的图像邮件的检测分析方法可实现以下有益效果： 0066 第一，截取邮件中的图像或图像的子区域图像与用户的垃圾图像库进行匹配，截取的子区域可以由用户自定义，灵活度高。 0067 第二，通过网络节点的信任度分值，筛选出信任度分值较低的网络节点，将其加入灰名单列表，对于灰名单列表中的网络节点，可以特殊标记或其他方式提示用户判断邮件的类别。 0068 第三，由于基于与本地节点通信较频繁的有代表性的朋友节点，往往也会同时收到类似的垃圾邮件和 / 或正常邮件的特性，借助于在网络中并发查询这些朋。

32、友节点的黑、白名单列表，可以快速地筛选出垃圾邮件和 / 或正常邮件，能够大大简化本地的分析筛选工作。 0069 第四，朋友节点与用户本地节点之间的关联度分值，既能体现某段时间内两者之间的通信频率，又能体现黑、白名单列表的命中概率。通过综合以上两个因素，可动态确定关联度最佳的朋友节点列表。 0070 第五，云计算的出现和发展给反垃圾邮件领域提供了新的思路，它可为反垃圾邮件系统提供一体化、可扩展的服务。通过云计算的方式，在云端服务器识别并返回结果报告，可准确判别邮件是否为垃圾邮件 , 可减少不必要的网络流量，并减小传统反垃圾邮件系统的负荷 , 降低用户时间消。

33、耗。附图说明 0071 构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中： 0072 图 1 是根据本发明实施例的图像邮件的检测分析方法的流程图。 0073 图 2 是根据本发明实施例的朋友节点列表的结构。具体实施方式 0074 需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。 0075 本发明的实施例提供了一种图像邮件的检测分析方法，以下对本发明实施例所提说明书 CN 104270304 A 8 6/10 页。

34、 9 供的图像邮件的检测分析方法进行具体介绍： 0076 图 1 是根据本发明实施例的图像邮件的检测分析方法的流程图。如图 1 所示，该方法包括如下的步骤： 0077 步骤 1，截取邮件中的图像或图像的子区域图像，将所述图像或子区域图像与用户节点的垃圾图像库中的图像进行匹配，如果存在匹配项，则该邮件的分类属性为垃圾邮件，结束；否则，执行步骤 2 ； 0078 本申请的匹配过滤规则由用户自己定义，先由用户抓取一些截图，比如某封邮件或者网页广告，系统将用户的所有截图存入一个 “垃圾图像库” 。对于每一封新到的图像邮件，系统都会提取其内嵌的图像，在垃圾图像库中。

35、查找是否存在与之类似的图像，一旦匹配，说明这封邮件的图像有该用户先前定义的垃圾图像内容，那么也就认定该邮件是一封垃圾邮件。 0079 在本发明的优选实施例中，在步骤 1 具体包括以下 4 个步骤： 0080 1.1) 用户发现邮件含有垃圾图像，截取图像或图像的某子区域图像的内容 ( 如特定的一段文字，广告公司商标图案或者其他具有代表性的文字或图案 )，并注明垃圾邮件类型 ( 如 “医药广告” ) ； 0081 1.2) 将提取出图像或图像的子区域图像的特征信息并导入到一个数据区 ( “垃圾图像库” ) 中，这个数据区维护着从所有垃圾图像或子区域图像的截图中提取的特征。

36、信息，任何含有 “垃圾图像库” 中某项内容的图像都将视为垃圾图像处理； 0082 1.3) 一旦有新的邮件出现，先检测该邮件是否含有图像，如果有，则截取邮件中的图像或图像的子区域图像，提取出所述图像或图像的子区域图像的特征信息，用所述特征信息在步骤 1.2) 所生成的 “垃圾图像库” 中查找进行匹配，一旦发现存在匹配项，则表示在该邮件识别出了垃圾图像，该邮件的分类属性为垃圾邮件，将此垃圾邮件过滤； 0083 1.4)前3步实际上是针对新进入的垃圾邮件的检测与过滤操作。一旦用户修改了某条垃圾邮件判别规则，系统有必要对既有的邮件重新进行过滤操作。即：每隔一定。

37、时间，自动对收件箱中已收取的邮件进行垃圾邮件扫描。 0084 图像匹配是虚拟现实与计算机视觉等领域中的一个重要课题，其中基于特征的图像匹配一直是研究热点，目前已有众多的匹配算法，它们对于不同环境、不同要求下的图像工作各自具有不同的效果，在基于特征的匹配技木中，其首要任务是提取稳定的特征，并进行描述，常用的方法有基于空间关系的匹配算法、基于不变量描述子的匹配算法、金字塔算法、小波算法等等，不同的算法所适用的对象不尽相同，因此，针对图像垃圾邮件过滤问题，选择图像匹配算法要结合垃圾图片的特性。 0085 由于图像垃圾邮件绝大部分是广告邮件，无论广告的产品内容。

38、如何变化，生产商的相关信息(例如商标图案)却往往是固定不变的，所以垃圾图像的局部内容重复性很高，针对这一特性，可以利用这部分重复性高的子图内容去识别同属一系列的广告垃圾图像。 0086 步骤 2，根据用户接收的邮件的地址查询该用户节点本地存储的黑名单列表和白名单列表，获得该邮件的分类属性，所述分类属性包括：垃圾邮件、正常邮件、以及无法确认； 0087 如果该邮件的地址在黑名单列表中，则该邮件的分类属性为垃圾邮件； 0088 如果该邮件的地址在白名单列表中，则该邮件的分类属性为正常邮件；说明书 CN 104270304 A 9 7/10 页 10 00。

39、89 否则，该邮件的分类属性为无法确认。 0090 进一步地，如果邮件的分类属性为无法确认，则执行以下步骤： 0091 步骤 3，用户节点向所有朋友节点发出一个查询请求，所述查询请求包含当前邮件的地址信息； 0092 步骤 4，朋友节点根据所述查询请求搜索自己的黑名单列表和白名单列表，如果发现命中黑名单列表或白名单列表，则向该用户节点返回查询结果，所述查询结果表示该邮件的类型是垃圾邮件或正常邮件； 0093 如果收到朋友节点返回的查询结果，并且所有的查询结果所表示的邮件类型相同，则执行步骤 5 ；否则，执行步骤 6 ； 0094 步骤 5，用户节点根据。

40、该查询结果更新本地的黑名单列表或白名单列表，结束； 0095 步骤 6，将该邮件发送至云端服务器，以判断该邮件的类别； 0096 其中，所述朋友节点从与当前用户节点之间有邮件交互的网络节点中选择。 0097 其中，所述朋友节点是指与当前用户节点之间具有较高的邮件交互频率的网络节点。 0098 进一步地，如果用户节点将邮件发送至云端服务器，则云端服务器执行以下操作： 0099 步骤 7，接收云计算网络中用户节点发送的邮件，将所述邮件发送至垃圾邮件数据库； 0100 步骤 8，查看云端服务器的垃圾邮件数据库，判断所述邮件是否与垃圾邮件数据库中的邮件匹配； 0。

41、101 如果匹配，执行步骤 9 ；否则，执行步骤 10 ； 0102 步骤 9，将该垃圾邮件数据库中对应的结果报告返回给用户节点，结束； 0103 步骤 10，将该邮件发送给多个不同的过滤引擎并进行分析； 0104 步骤 11，整合多个不同的过滤引擎产生的子结果得到一个结果报告，该结果报告表明该邮件是否为垃圾邮件，将该结果报告返回给用户节点，结束。 0105 在本发明的优选实施例中，由于单机垃圾邮件过滤的代价较大，并且通常准确率不高，而将垃圾邮件过滤任务全部交给服务器，又将明显增加服务器端的开销。因此，本申请的垃圾邮件过滤拦截方法将利用网络中与本地交互的。

42、其他用户节点进行并发式协同过滤分析。 0106 网络中存在许多的孤立节点，而如果两个网络用户节点之间如果存在较大的邮件交互 ( 收发邮件 ) 频率，则意味着这两个用户节点之间有较高的同质性。在本申请中，将与用户节点之间具有较高的邮件交互频率的网络节点称为 “朋友节点” ( 例如，同一个家公司的多个用户节点)。由于朋友节点之间可能具有大致相同的统计特性，那么显然基于邮件交互频率的网络同步并发式协同分析可以较快且较容易地给出关于本地邮件的分类建议，由于这种协同分析是网络并发协作式的，因此效率较高，且不会增加本地节点的运算负担。 0107 网络中所有节点 ( 包括本地节。

43、点、所有朋友节点 ) 的本地都存储有一个黑名单列表和一个白名单列表。本地节点可查询其黑名单列表和白名单列表；本地节点的所有的朋友节点可以请求本地节点查询该本地节点的黑名单列表和白名单列表，并返回查询结果。其中，所述黑名单列表中包括垃圾邮件的地址，白名单列表中包括正常邮件的地址。黑、白说明书 CN 104270304 A 10 8/10 页 11 名单列表的初始值可由云端服务器获取，并可以实时更新。 0108 同时，网络中所有节点(包括本地节点、所有朋友节点)的本地存储有一个朋友节点列表。 0109 实际中，由于基于与本地节点通信较频繁的有代表性的朋友节点，。

44、往往也会同时收到类似的垃圾邮件和 / 或正常邮件的特性，因此借助于在网络中并发查询这些朋友节点的黑、白名单列表，可以快速地筛选出垃圾邮件和 / 或正常邮件，能够大大简化本地的分析筛选工作。 0110 在本发明的优选实施例中，用户节点本地有一个信任度列表，所述信任度列表中的每一项表示与一个与当前用户节点有邮件交互的网络节点的地址以及其对应的信任度分值，对于每个网络节点，定义如下变量： 0111 hit ：表示该网络节点向用户节点发送垃圾邮件的数量； total ：表示该网络节点向用户节点发送邮件的总数量； Trust ：表示该网络节点的信任度分值； 01。

45、12 上述变量之间的关系满足： Trust 1(hit/total)2/3； 0113 其中， 2/3 是幂指数，变量 hit 和 total 都是整数， hit 的初始值为 0， total 的初始值为 1 ； 0114 每当用户节点接收来自该网络节点的邮件，则 total total+1 ；并且 0115 每当用户节点接收的来自该网络节点的邮件经判断是垃圾邮件，则 hit hit+1 ； 0116 由于型如X2/3的函数一个幂函数，在(0,1)区间，函数值随着自变量(hit/total) 的增加而增大，而在本申请中，自变量 (hit/total) 的增加意味着某网络节点。

46、所发送的邮件中，垃圾邮件的比例有所增加，这时该网络节点的信任度分值自然会下降，当某网路节点的信任度分值下降到某一个固定的阈值时，表明来自该网络节点的邮件中垃圾邮件的比例较大，即该网络节点可能中毒或者是不安全的，因此，需要将该网络节点的地址加入灰名单，即： 0117 如果网络节点的信任度分值 Trust 阈值，将该网络节点的地址加入用户节点本地的灰名单列表；对于来自灰名单列表中用户节点发送的邮件，可以作出特殊标记，并可以提示用户或者向用户报警，由用户来判断该邮件的类别； 0118 其中， 01。 0119 图 2 是根据本发明实施例的朋友节点列表的。

47、结构。如图 2 所示，所述朋友节点列表包括 N 个朋友节点的地址和关联度分值。 0120 初始化时，所有的关联度分值的值都为 0，该朋友节点列表每间隔周期 T 更新一次。 0121 朋友节点列表的初始化和更新过程如下： 0122 a. 初始化：将与本地有邮件交互 ( 收、发邮件 ) 的网络节点按照邮件交互次数从高至低进行排序，选择排序结果中的前 N 个节点作为朋友节点，以建立初始的朋友节点列表。 0123 其中，周期T和朋友节点的数量N既可以是常数，也可以由系统设定并根据实际需要动态调整。 0124 b. 更新：每间隔固定的周期 T，计算在当前的周期 T 。

48、内与本地有邮件交互 ( 收、发邮件 ) 的每个网络节点的关联度分值，按照关联度分值从高至低进行排序，选择排序结果说明书 CN 104270304 A 11 9/10 页 12 中的前 N 个节点作为朋友节点，从而更新朋友节点列表；所述关联度分值的计算方式如下： 0125 关联度分值 (A* 周期 T 内的邮件交互次数 +B* 周期 T 内返回黑名单或白名单查询结果的次数 )/T ； 0126 其中，系数 A、 B、周期 T 和朋友节点的数量 N 既可以是常数；也可以由系统设定并根据实际需要动态调整，例如，可以选择： 0127 A 10， B 20， T 24( 小时 )， N 50。 0128 在本发明的优选实施例中，可将无法确定类别的邮件发送至云端服务器，进行最终的类别判断。 0129 云端服务器负责接收互联网中各个用户节点上传的邮件，它包括：邮件接收模块，用于接收云计算网络中用户节点发送的邮件；垃圾邮件数据库，用于存储已识别的垃圾邮件，以及所述垃圾邮件对应的结果报告；垃圾邮件过滤器，由多个不同的过滤引擎组成；以及结果整合器，用于将不同垃圾邮件过滤引擎产生的结果整合，得到结果报告。具体地： 0130 (1) 邮件接收模块，用于接收云计算系统中的网络中的用户节。

展开阅读全文