Адаптивный выбор правил сканирования электронных сообщений
Патент 2586853
Авторы
Правообладатели
Классы МПК
Адаптивный выбор правил сканирования электронных сообщений
Иллюстрации
Изобретение относится к способам и системе адаптивного выбора правил классификации электронных сообщений. Технический результат заключается в повышении эффективности выбора правил классификации электронных сообщений. Система содержит процессор, системную память, компьютерный накопитель, хранящий правила обнаружения SPAM и исполняемые инструкции, которыми реализуются классификатор сообщений и модуль выбора и переупорядочивания правил, при этом классификатор сообщений принимает сообщение электронной почты, применяет правило обнаружения SPAM, для которого вычисляет вероятность того, что сообщение электронной почты представляет собой SPAM, измеряет количество ресурсов, израсходованных на применение правила обнаружения SPAM и синтезирует показатель производительности из вычисленных результатов и измеренных затрат ресурсов для правила обнаружения SPAM, определяющий производительность классификации электронного сообщения как SPAM, при этом модуль выбора и переупорядочивания правил сравнивает синтезированный показатель производительности с существующими показателями производительности для правил обнаружения SPAM, и выбирает новое подмножество правил обнаружения SPAM для использования в классификации последующих принятых сообщений электронной почты на основе результатов сравнения. 3 н. и 17 з.п. ф-лы, 2 табл., 5 ил.
Реферат
ПРЕДШЕСТВУЮЩИЙ УРОВЕНЬ ТЕХНИКИ
[0001] Компьютерные системы и связанные с ними технологии влияют на многие аспекты жизни общества. Действительно, способность компьютерных систем обрабатывать информацию изменила то, как мы живем и работаем. Компьютерные системы в настоящее время обычно выполняют множество задач (например, обработка текста, планирование, учет и т.п.), которые до появления компьютерных систем выполнялись вручную. В последнее время компьютерные системы были соединены друг с другом и другими электронными устройствами для формирования проводных и беспроводных компьютерных сетей, по которым компьютерные системы и другие электронные устройства могут передавать электронные данные. Соответственно, производительность множества вычислительных задач распределяется между несколькими различными компьютерными системами и/или несколькими различными вычислительными средами.
[0002] Во многих вычислительных средах электронные сообщения, такие как, например, сообщения электронной почты, используются для законного обмена информацией между пользователями компьютерных систем. Однако такие вычислительные среды также предоставляют пользователям невостребованные и/или нежелательные сообщения, часто именуемые как SPAM. Множество различных технологий было разработано для поиска и блокирования SPAM.
[0003] Технологии поиска SPAM должны, как правило, согласовать набор показателей, включающий в себя: эффективность, точность, производительность и время ожидания. Эффективность относится к тому, в какой мере SPAM может быть идентифицирован и остановлен. Точность к тому, в какой мере допустимые сообщения ошибочно идентифицируются как SPAM (например, доля ошибочных срабатываний). Производительность относится к потреблению ресурсов, связанному с идентификацией сообщения как SPAM или допустимого. Время ожидания относится к тому, на какое время каждое отдельное сообщение задерживается при передаче в результате сканирования.
[0004] Согласование между этими показателями является относительно сложной задачей, так как улучшение в одной области, как правило, означает деградацию в одной или нескольких других областях. Например, более агрессивное анти-SPAM обнаружение (повышенная эффективность) может вести к более высокому уровню ошибочных срабатываний (сниженная точность) и/или более высокой загрузке ЦПУ благодаря более сложным алгоритмам обработки (повышенное потребление ресурсов).
[0005] Кроме того, некоторая комбинация этих показателей часто отображается в Service Level Agreements ("SLA") - соглашениях об уровне обслуживания, которые поддерживаются поставщиком услуг. Например, поставщик анти-SPAM услуг может согласиться поддерживать эффективность не ниже, чем X, точность не ниже, чем Y, и т.д. Нарушение условий SLA, например обладание эффективностью меньше, чем X, в течение некоторого количества времени, для поставщика анти-SPAM услуг может быть поводом для некоторого денежного возмещения заказчику.
[0006] Однако в то же время службы анти-SPAM, как правило, сталкиваются с высокой изменчивостью нагрузки системы. Например, на протяжении любого конкретного дня, по выходным и сезонно, объем SPAM и/или объем допустимых электронных сообщений может изменяться. К сожалению, это может привести к тому, что поставщики услуг используют избыточное обеспечение. Например, общепринятое конструктивное решение заключается в том, чтобы построить службу поиска с достаточной мощностью, чтобы гарантировать SLA во время пиковой нагрузки, которая может быть в три-пять раз выше, чем средняя нагрузка.
[0007] На практике результат проектирования под пиковую нагрузку относительно ресурсов бывает (потенциально существенно) недозагружен значительную часть времени. Сканирование, как правило, включает в себя фиксированное количество этапов и/или использование фиксированного количества правил сканирования с ограниченным, если таковой имеется, фактором доступных ресурсов. Таким образом, в непиковое время используется фиксированное количество этапов и/или правил для сканирования сообщения, даже если доступны ресурсы для дополнительного сканирования. Таким образом, проектирование под пиковую нагрузку представляет собой нежелательную форму перспективы затрат по продаже продукции, но тем не менее необходимую для целей SLA.
[0008] Дополнительные осложнения могут возникнуть, когда поддерживаются всевозможные различные уровни обслуживания, такие как, например, постоянные заказчики, премиальные заказчики, низкобюджетные заказчики и т.п., каждые из которых, как правило, с различными метриками, определенными в их SLA. Зачастую предложения премиумных услуг поступают с SLA, которые гарантируют наивысший уровень обслуживания (например, повышенная точность, меньшее время ожидания и т.д.), нуждающийся в больших вычислительных/процессорных со стороны поставщика услугах.
[0009] Одно конструктивное решение для обработки различных уровней обслуживания представляет собой для нас одну общую анти-SPAM услугу для всех уровней обслуживания. Каждый уровень обслуживания ограничен количеством правил и/или этапов обработки, через которые проходит сообщение, на основании требований SLA. Например, электронная почта премиальных заказчиков может проходить через десять этапов обработки, тогда как электронная почта базового заказчика может проходить только лишь через пять этапов обработки. Затраты на обслуживание базовых заказчиков снижены за счет более низкого качества сканирования (например, сниженной эффективности), даже когда ресурсы для дополнительного сканирования могут быть доступны. В дополнение к более низкому качеству сканирования, базовые заказчики также более подвержены целевым атакам за счет использования слабых мест в уровне защиты, предоставленном базовым заказчикам (предсказуемость системы).
[0010] Другое общеизвестное решение состоит в том, чтобы установить две отдельные системы, одну для премиальных заказчиков, а другую для базовых заказчиков. Каждая система спроектирована, чтобы сбалансировать качество услуг и затраты на услуги в соответствии с типом заказчика. К сожалению, этот тип системы нуждается в двойной инфраструктуре, что ведет к более высоким общим затратам, так же как и основная проблема использования избыточного обеспечения в целях соответствия SLA во время пиковой нагрузки.
КРАТКОЕ ИЗЛОЖЕНИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ
[0011] Настоящее изобретение распространяется на способы, системы и компьютерные программные продукты для адаптивного выбора правил сканирования электронных сообщений. В некоторых вариантах осуществления выбираются адаптивно правила, используемые для классификации электронных сообщений. Принимаются одно или несколько электронных сообщений. Для каждого одного или из нескольких электронных сообщений каждое правило классификации сообщений из предварительно выбранного подмножества правил классификации электронных сообщений применяется к данному электронному сообщению. Предварительно выбранное подмножество правил классификации электронных сообщений представляет собой подмножество множества доступных правил классификации электронных сообщений.
[0012] Для каждого правила классификации электронных сообщений из предварительно выбранного подмножества правил классификации электронных сообщений вычисляется результат, который показывает вероятность того, что электронное сообщение обладает заданными характеристиками сообщения. Измеряются затраты ресурсов, показывающие количества ресурсов, потребляемых для применения правила классификации электронных сообщений к электронному сообщению. Сохраняются вычисленный результат и измеренные затраты ресурсов, связанные с применением каждого правила классификации электронной почты к каждому электронному сообщению.
[0013] Показатель производительности для каждого правила классификации сообщений из предварительно выбранного подмножества правил классификации сообщений синтезируется из сохраненных вычисленных результатов и измеренных затрат ресурсов для данного правила классификации сообщений. Синтезированные показатели производительности сравниваются с существующими показателями производительности для правил классификации электронных сообщений, входящих во множество доступных правил классификации электронных сообщений. Выделяется новое подмножество правил классификации электронных сообщений из множества доступных правил классификации электронных сообщений на основании, по меньшей мере частично, результатов сравнения синтезированного показателя производительности с существующим показателем производительности. Новое подмножество правил классификации электронных сообщений предназначено для использования в классификации последующих принятых электронных сообщений. Соответственно, правила классификации сообщений могут вводиться и выводиться из использования для адаптации к изменяющимся образцам содержимого сообщения.
[0014] Данное краткое изложение сущности изобретения предоставляется для знакомства с подборкой концепций в упрощенной форме, которые дополнительно описаны ниже в подробном описании. Данное краткое изложение сущности изобретения не предназначено ни для определения ключевых признаков или существенных признаков заявленного изобретения, ни для использования в качестве помощи в определении объема заявленного изобретения.
[0015] Дополнительные признаки и преимущества изобретения будут установлены далее в описании, которое следует ниже, и частично будут очевидны из описания или могут быть изучены при осуществлении изобретения. Признаки и преимущества изобретения могут быть реализованы и получены посредством инструментов и комбинаций, подробно указанных в прилагаемой формуле изобретения. Эти и другие признаки настоящего изобретения станут очевидными в наиболее полной мере из нижеследующих описания и формулы изобретения или могут быть изучены при осуществлении изобретения, как изложено ниже.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0016] Для того, чтобы описать, каким образом вышеизложенные и другие преимущества и признаки изобретения могут быть получены, более подробное описание изобретения, кратко описанного выше, будет представлено со ссылками на конкретные варианты осуществления, которые показаны на прилагаемых чертежах. Понимая, что эти чертежи изображают только типичные варианты осуществления изобретения и поэтому не должны рассматриваться как ограничивающие его объем, изобретение будет описано и объяснено с дополнительными спецификой и детализацией посредством прилагаемых чертежей.
[0017] На фигуре 1 показан пример компьютерной архитектуры, которая обеспечивает адаптивную классификацию электронных сообщений.
[0018] На фигуре 2 показан пример компьютерной архитектуры, которая обеспечивает адаптивный выбор правил, использующихся для классификации электронных сообщений.
[0019] На фигуре 3 показан пример логической блок-схемы способа адаптивной классификации электронных сообщений.
[0020] На фигуре 4 показан пример логической блок-схемы способа адаптивного выбора правил, используемых для классификации электронных сообщений.
[0021] На фигуре 5 показан еще один пример компьютерной архитектуры, которая обеспечивает адаптивное сканирование электронных сообщений и адаптивный выбор правил, используемых для классификации электронных сообщений.
ПОДРОБНОЕ ОПИСАНИЕ
[0022] Настоящее изобретение распространяется на способы, системы и компьютерные программные продукты для адаптивного выбора правил сканирования электронных сообщений. В некоторых вариантах осуществления правила, используемые для классификации электронных сообщений, выбираются адаптивно. Принимаются одно или несколько электронных сообщений. Для каждого из одного или нескольких электронных сообщений каждое правило классификации сообщений из предварительно выделенного подмножества правил классификации электронных сообщений применяется к электронному сообщению. Предварительно выбранное подмножество правил классификации электронных сообщений представляет собой подмножество множества доступных правил классификации электронных сообщений.
[0023] Для каждого правила классификации электронных сообщений из предварительно выбранного подмножества правил классификации электронных сообщений вычисляется результат, который показывает вероятность того, что электронное сообщение обладает заданными характеристиками сообщения. Измеряются затраты ресурсов, показывающие количество ресурсов, потребляемых для применения правила классификации электронных сообщений к электронному сообщению. Сохраняются вычисленный результат и измеренные затраты ресурсов, связанные с применением каждого правила классификации электронной почты к каждому электронному сообщению.
[0024] Показатель производительности для каждого правила классификации сообщений из предварительно выбранного подмножества правил классификации сообщений синтезируется из сохраненных вычисленных результатов и измеренных затрат ресурсов для данного правила классификации сообщений. Синтезированные показатели производительности сравниваются с существующими показателями производительности для правил классификации электронных сообщений, входящих во множество доступных правил классификации электронных сообщений. Выделяется новое подмножество правил классификации электронных сообщений из множества доступных правил классификации электронных сообщений на основании, по меньшей мере частично, результатов сравнения синтезированного показателя производительности с существующим показателем производительности. Новое подмножество правил классификации электронных сообщений предназначено для использования в классификации последующих принятых электронных сообщений. Соответственно, правила классификации сообщений могут вводиться и выводиться из состава услуги для адаптации к изменяющимся образцам содержания сообщения.
[0025] В других вариантах осуществления адаптивно классифицируются электронные сообщения. Электронное сообщение, отправленное от отправителя к получателю, принимается в заданное время. Уровень обслуживания, применимый к принятому электронному сообщению, определяется на основе одного или более из отправителя и получателя.
[0026] Уровень обслуживания устанавливает по меньшей мере значение минимальной эффективности и ряд значений максимальных затрат на сканирование электронных сообщений. Значение минимальной эффективности отражает минимальную совокупную общую эффективность, при которой комбинация правил классификации сообщений должна удовлетворять уровню обслуживания. Каждое значение максимальных затрат из ряда значений максимальных затрат соответствует различным обозначенным временным диапазонам и отражает общее количество ресурсов, которые могут быть использованы для применения правил классификации сообщений к электронному сообщению. Максимальное значение затрат из ряда максимальных значений затрат выбирается для использования, когда сканирование принятого электронного сообщения основано на заданном времени в течение обозначенного временного диапазона для выбранного максимального значения затрат.
[0027] Одно или несколько правил классификации сообщений применяются к принятому электронному сообщению. Каждое правило классификации сообщений имеет измеренную эффективность, подсчитанные затраты ресурсов и производительность, вычисленную на основе измеренной эффективности с учетом подсчитанных затрат ресурсов. Измеренная эффективность отражает вероятность надлежащей идентификации электронного сообщения как имеющего заданные характеристики сообщения. Одно или несколько правил классификации сообщений применяются в порядке производительности до тех пор, пока не будет достигнута минимальная совокупная общая эффективность, определенная в уровне обслуживания.
[0028] Каждое правило классификации сообщений применяется к электронному сообщению, чтобы сгенерировать результат, показывающий вероятность того, что данное электронное сообщение обладает заданными характеристиками сообщения. Подсчитанные затраты ресурсов для примененного правила классификации сообщений добавляется к совокупному количеству израсходованных ресурсов. Совокупное количество израсходованных ресурсов вычисляется посредством суммирования подсчитанных затрат ресурсов ранее примененных правил классификации сообщений в одном или нескольких правилах классификации сообщений.
[0029] Определяют, меньше ли совокупное количество израсходованных ресурсов, чем выбранное максимальное значение затрат. Дополнительные правила классификации сообщений применяются к электронным сообщениям на основании данного определения. Когда количество израсходованных ресурсов меньше, чем выбранное максимальное значение затрат, больше правил электронных сообщений применяется к принятому электронному сообщению, в результате чего эффективность превышает заданную в уровне обслуживания. Когда количество израсходованных ресурсов по меньшей мере равно выбранному максимальному значению затрат, правила электронных сообщений применяются к еще одному другому электронному сообщению.
[0030] Варианты осуществления настоящего изобретения могут включать в себя или задействовать компьютер специального назначения или общего назначения, включающий в себя компьютерное аппаратное обеспечение, такое как, например, один или несколько процессоров и системная память, как рассмотрено более подробно ниже. Варианты осуществления в рамках объема настоящего изобретения также включают в себя физические и прочие считываемые компьютером носители информации для доставки или хранения исполняемых компьютером инструкций и/или структур данных. Такие считываемые компьютером носители информации могут быть любыми доступными носителями информации, к которым может осуществлять доступ компьютерная система общего назначения или специального назначения. Считываемые компьютером носители информации, которые хранят исполняемые компьютером инструкции, представляют собой физические накопители. Считываемые компьютером носители информации, которые несут в себе исполняемые компьютером инструкции, представляют собой среды передачи данных. Таким образом, в качестве примера и без ограничения, варианты осуществления изобретения могут включать в себя по меньшей мере два отдельных различных вида считываемых компьютером носителей информации: компьютерные накопители (устройства) и среды передачи данных.
[0031] Компьютерные накопители (устройства) включают в себя RAM (ОЗУ), ROM (ПЗУ), EEPROM (ЭСППЗУ), CD-ROM или другой накопитель на оптических дисках, накопитель на магнитных дисках или другие магнитные накопительные устройства или любые другие средства, которые могут быть использованы для хранения необходимого программного кода в форме исполняемых компьютером инструкций или структур данных и которые могут быть доступны для компьютера общего назначения или специального назначения.
[0032] "Сеть" определена как одна или несколько линий передачи данных, которые позволяют перемещать электронные данные между компьютерными системами и/или модулями и/или другими электронными устройствами. Когда информация передается или предоставляется через сеть или другие коммуникационные соединения (как проводные, так и беспроводные или сочетание проводных и беспроводных) на компьютер, компьютер соответственно рассматривает соединение как среду передачи данных. Среда передачи данных может включать в себя сеть и/или линии передачи данных, которые могут быть использованы для передачи необходимых средств программного кода в форме исполняемых компьютером инструкций или структур данных и которые могут быть доступны для компьютера общего назначения или специального назначения. Комбинации вышеперечисленного также должны быть включены в область считываемых компьютером носителей информации.
[0033] Дополнительно, при досягаемости различных компьютерных системных компонентов, средства программного кода в форме исполняемых компьютером инструкций или структур данных могут быть переданы автоматически от сред передачи данных к компьютерным накопителям (устройствам) (или наоборот). Например, исполняемые компьютером инструкции или структуры данных, принятые по сети или линии передачи данных, могут быть буферизированы в RAM сетевого интерфейсного модуля (например, "NIC") и затем со временем перемещены в RAM компьютерной системы и/или менее энергозависимый компьютерный накопитель в компьютерной системе. Таким образом, следует понимать, что компьютерные накопители (устройства) могут быть включены в состав компонентов компьютерной системы, которые также (или даже в первую очередь) используют среды передачи данных.
[0034] Исполняемые компьютером инструкции включают в себя, например, инструкции и данные, которые во время исполнения в процессоре побуждают компьютер общего назначения, компьютер специального назначения или обрабатывающее устройство специального назначения к исполнению некоторой функции или группы функций. Исполняемые компьютером инструкции могут представлять собой, например, двоичные файлы, инструкции промежуточного формата, такого как язык ассемблера, или даже исходный код. Несмотря на то что изобретение описано на языке, характерном для структурных признаков и/или методологических действий, следует понимать, что объем изобретения, определяемый в прилагаемой формуле изобретения, не обязательно ограничивается описанными функциями или действиями, описанными выше. Скорее, описанные признаки и действия раскрыты как пример формы реализации формулы изобретения.
[0035] Специалисты в данной области техники оценят, что изобретение может осуществляться в сетевом компьютерном окружении со многими типами конфигураций компьютерных систем, в том числе персональными компьютерами, настольными компьютерами, портативными компьютерами, обработчиками сообщений, портативными устройствами, многопроцессорными системами, микропроцессорной или программируемой бытовой электронной аппаратурой, сетевыми персональными компьютерами, миникомпьютерами, большими электронными вычислительными машинами, мобильными телефонами, карманными персональными компьютерами, пейджерами, маршрутизаторами, коммутационными устройствами и т.п. Изобретение также может осуществляться в окружениях распределенных систем, где локальная и удаленная компьютерные системы, которые соединены (либо по проводным линиям передачи данных, либо беспроводным линиям передачи данных, либо с помощью комбинации проводных и беспроводных линий передачи данных) по сети, обе выполняют задачи. В окружении распределенной системы программные модули могут быть расположены как на локальных, так и на удаленных запоминающих устройствах.
[0036] В основном, варианты осуществления изобретения относятся к динамически (и потенциально непредсказуемо) меняющейся глубине/полноте классификации электронных сообщений для защиты от нежелательного содержания сообщения (например, SPAM, вирусов, цифровой утечки и т.д.). Поддерживается минимальная эффективность и, когда имеющиеся ресурсы позволяют, она может быть превышена для предоставления повышенной защиты. Оптимальное подмножество доступных правил классификации сообщений может быть выбрано на основе каждого сообщения. Выбор правил базируется на доступных системных ресурсах, минимальной желаемой эффективности (например, определенной в соглашении об уровне обслуживания ("SLA") и характеристиках правил. Обратная связь может быть использована для оптимизации подмножеств правил классификации.
[0037] Таким образом, в рамках описания изобретения и последующей формулы изобретения "классификация сообщений" включает в себя классификацию электронных сообщений (например, сообщений электронной почты, сообщений службы коротких сообщений ("SMS"), файлов и т.п.) по различным "классам" на основе характеристик сообщения (или файла), таких как, например, содержимое, размер сообщения, прикрепленные файлы, доменные имена категории бизнес-потребитель, регион происхождения, отправитель, получатель, время, дата и т.д.
[0038] В некоторых вариантах осуществления электронное сообщение классифицируется, чтобы определить уровень обслуживания (например, согласно SLA), соответствующий электронному сообщению. Уровень обслуживания определяет дальнейшее применение правил классификации сообщений к электронному сообщению. Уровень обслуживания может задавать, каких типов и сколько других правил классификации сообщений должно быть применено к электронному сообщению. Например, правила классификации, которые особенно эффективны для классификации сообщений в одной стране, могут быть менее эффективны для классификации сообщений в другой стране, и наоборот.
[0039] В некоторых вариантах осуществления дополнительная классификация относится к определению, представляет ли собой электронное сообщение нежелательное и/или невостребованное электронное сообщение (например, SPAM), либо электронное сообщение содержит вредоносную программу или, напротив, зараженную и/или опасную (например, вирусы, программу-шпион, троянский конь и т.п.), либо происходит утечка конфиденциальной информации в электронном сообщении и т.д. Например, система предотвращения утечек информации ("DLP") может использовать правила для определения того, включает ли в себя электронное сообщение конфиденциальную информацию.
[0040] На фигуре 1 показан пример компьютерной архитектуры 100, которая обеспечивает адаптивную классификацию электронного сообщения. Ссылаясь на фигуру 1, компьютерная архитектура 100 включает в себя классификатор 102 сообщений, определитель 107 уровня обслуживания, таймер 108, корректировочные коэффициенты 118, правила 121 классификации сообщений и соглашения 131 об уровне обслуживания. Каждый из проиллюстрированных компонентов соединен с другим по сети (или представляет собой ее часть), такой как, например, локальная сеть ("LAN"), глобальная сеть ("WAN") и даже Интернет. Соответственно, каждый из проиллюстрированных компонентов, как и любые другие соединенные компьютерные системы и их компоненты, могут производить данные, относящиеся к сообщениям, и обмениваться данными, относящимися к сообщениям (например, датаграммами протокола Интернет ("IP") и других протоколов высокого уровня, которые используют датаграммы IP, таких как протокол управления передачей данных ("TCP"), протокол передачи гипертекста ("HTTP"), упрощенный протокол пересылки электронной почты ("SMTP") и т.д.), по сети.
[0041] Правило 121 содержит множество правил классификации сообщений, таких как, например, правила с 121A по 121N, которые могут быть использованы для классификации электронных сообщений. Каждое правило может показывать эффективность, затраты, производительность и может включать в себя инструкции. Эффективность показывает, насколько правдоподобно правило идентифицирует сообщение, точно как, тем или иным образом, нежелательное на основании используемого типа сканирования. Например, эффективность правила для обнаружения SPAM может показывать, насколько правдоподобно правило выявляет SPAM без ложных срабатываний. Затраты показывают (например, предполагаемое) количество системных ресурсов, которые расходуются, когда исполняемый модуль выполняет инструкции правила. Производительность показывает, насколько эффективно правило, на основе эффективности с точки зрения потребления ресурсов. В некоторых вариантах осуществления производительность представляет собой частное от деления эффективности на затраты. Инструкции исполняются для формирования результата, относящегося к классификации электронного сообщения (например, определения того, представляет ли собой электронное сообщение SPAM, содержит ли оно вредоносную программу, содержит ли оно конфиденциальную информацию и т.п.).
[0042] В большинстве случаев классификатор 102 сообщений сконфигурирован классифицировать электронные сообщения на основании характеристик электронного сообщения. Как проиллюстрировано, классификатор 102 сообщений включает в себя модуль 103 исполнения, монитор 104 затрат и монитор 106 эффективности. Модуль 103 исполнения сконфигурирован исполнять инструкции (например, скрипты или другой исполняемый код), содержащиеся в полученном правиле. Инструкции производят индивидуальный результат, который может быть использован как точка данных для классификации электронного сообщения. Например, индивидуальный результат может показать, представляет ли собой электронное сообщение нежелательное и/или невостребованное электронное сообщение (например, SPAM), заражено ли оно или опасно, содержит ли конфиденциальную информацию и т.д. Модуль 103 исполнения может накапливать индивидуальные результаты исполнения целого ряда различных правил. Классификатор 102 сообщений может использовать накопленные индивидуальные результаты для классификации сообщений.
[0043] Монитор 104 затрат сконфигурирован отслеживать текущие затраты ресурсов, связанные со сканированием электронного сообщения. Когда правила исполняются, монитор 104 затрат сохраняет общие затраты ресурсов для всех правил в отношении электронного сообщения. В некоторых вариантах осуществления, когда каждое правило исполняется, затраты на правило добавляются к затратам ресурсов всех прежде исполненных правил.
[0044] Монитор 106 эффективности сконфигурирован отслеживать текущую эффективность сканирования электронного сообщения. Когда правила исполняются, монитор 106 эффективности сохраняет общую эффективность для всех правил, исполняемых в отношении электронного сообщения. В некоторых вариантах осуществления, когда каждое правило исполняется, эффективность правила добавляется к эффективности всех прежде исполненных правил.
[0045] Соглашение 129 об уровне обслуживания содержит множество SLA, в том числе SLA 131. Каждое SLA включает в себя минимальную эффективность и одну или несколько затрат. Каждые затраты применимы к заданному диапазону даты/времени. Минимальная эффективность отражает накопленную эффективность (т.е. сумму эффективностей множества правил классификации), которая достигается в процессе сканирования сообщения (даже если потребление ресурсов превышено). Таблица 1 представляет собой пример эффективности в пересчете на SLA в зависимости от типа заказчика.
| Таблица 1 | |
| Тип заказчика | Минимальная эффективность |
| Базовый заказчик | 75 |
| Премиальный заказчик | 100 |
[0046] Таблица 1 показывает, что минимальная эффективность (т.е. накопленная эффективность, полученная в результате применения множества правил классификации) равна 75 для базовых заказчиков и 100 для премиальных заказчиков. Другие факторы также могут быть учтены при назначении минимальной эффективности в SLA.
[0047] Одна или каждая из нескольких затрат учитывает временной диапазон и максимальное потребление. Каждая пара временного диапазона/максимального потребления отображает, какие максимальные затраты ресурсов для применения правил рассматриваются для сообщения, когда сообщение принято в рамках временного диапазона. Пары временного диапазона/максимального потребления могут меняться или быть одинаковыми для разных уровней обслуживания. В некоторых вариантах осуществления пары временного диапазона/максимального потребления назначены в общедоступной таблице так, что пары временного диапазона/максимального потребления одинаковы для многих SLA. В других вариантах осуществления пары временного диапазона/максимального потребления могут быть назначены на основании SLA, например, путем включения в SLA. Таблица 2 представляет собой пример пары временного диапазона/максимального потребления.
| Таблица 2 | |
| Время суток | Максимальные затраты |
| Часы пик | 50 |
| Обычное время | 75 |
| Время непиковой нагрузки | 100 |
[0048] Таблица 2 показывает, что максимальные затраты ресурсов на применение правил классификации в час пик составляют 50, в обычное время составляют 75, а во время непиковой нагрузки равны 100. Могут также быть учтены и другие факторы.
[0049] Максимальные затраты могут меняться со временем. Если на сервер классификации сообщений устанавливается дополнительное аппаратное обеспечение и таким образом достигается большая вычислительная мощность, возможность максимальных затрат может возрасти. С другой стороны, если к обслуживанию добавляются дополнительные заказчики или нагрузка внезапно увеличивается, возможность максимальных затрат может уменьшиться.
[0050] В некоторых вариантах осуществления минимальная эффективность рассматривается с более значительным отношением к максимальным затратам. В таких вариантах осуществления ресурсы с превышением максимальных затрат могут быть израсходованы, чтобы гарантировать, что минимальная эффективность достигнута. Если минимальная эффективность достигнута с использованием меньших ресурсов, чем максимальные затраты, то могут быть применены дополнительные правила классификации для повышения эффективности до тех пор, пока максимальные затраты не будет достигнуты или превышены.
[0051] Определитель 107 уровня обслуживания сконфигурирован определять уровень обслуживания, соответствующий принятому электронному сообщению. На основе характеристик сообщения и времени/даты определитель 107 уровня обслуживания может определить соответствующее SLA из соглашений 131 об уровне обслуживания. Таймер 108 может сохранять дату и время дня и отсылать эту информацию анализатору 107 уровня обслуживания, когда электронное сообщение принято. Определитель уровня обслуживания может отослать минимальную эффективность и максимальные затраты на сообщение классификатору 102 сообщений. Для каждого правила классификации сообщений классификатор 102 сообщений может сравнивать накопленную эффективность с максимальной эффективностью и суммарные затраты с максимальными затратами, чтобы определить, сколько и каких правил классификации применить к принятому сообщению.
[0052] Корректировочные коэффициенты 118 определяют некоторый процентный показатель того, что дополнительные правила классификации должны применяться к электронному сообщению, даже если минимальная эффективность уже достигнута, а максимальные затраты уже достигнуты или превышены. Корректировочные коэффициенты 118 позволяют правилам классификации, которые иначе были бы пропущены (например, в связи с их производительностью), выполняться время от времени. В некоторых вариантах осуществления корректировочные коэффициенты 118 показывают процентный показатель того, что каждое правило из правил 121 классификации сообщений должно применяться к электронному сообщению.
[0053] На фигуре 3 показана логическая блок-схема последовательности операций примера способа 300 адаптивной классификации электронного сообщения. Способ 300 будет описан в отношении компонентов и данных компьютерной архитектуры 100.
[0054] Способ 300 включает в себя действие приема электронного сообщения в указанное время, когда электронное сообщение посылается от отправителя к получателю (действие 301). Например, классификатор 102 сообщений может принять сообщение 101U во время 114 (как показывает таймер 108). Сообщение 101U может включать в себя характеристики 111 сообщения, в том числе адрес отправителя и адрес получателя.
[0055] Способ 300 включает в себя действие идентификации уровня обслуживания, применимого к принятому электронному сообщению, на основе одного или более из отправителя и получателя, уровня обслуживания, причем уровень обслуживания задает по меньшей мере значение минимальной эффективности и набор максимальных значений затрат, причем значение минимальной эффективности отражает минимальную накопленную общую эффективность, для которой комбинация правил классификации сообщений должна удовлетворять уровню обслуживания, причем каждое максимальное значение затрат из набора максимальных значений затрат соответствует отличающемуся от других обозначенному временному диапазону, каждо