CN102138306A

CN102138306A - 确定网络流量优先级

Info

Publication number: CN102138306A
Application number: CN2009801200093A
Authority: CN
Inventors: 德米特里·阿尔佩洛维奇; 斯文·克拉塞尔; 保拉·格雷夫; 菲利斯·A·施内克; 乔纳森·托雷斯
Original assignee: Secure Computing LLC
Current assignee: Secure Computing LLC
Priority date: 2008-04-04
Filing date: 2009-04-03
Publication date: 2011-07-27
Also published as: EP2266268A4; US8606910B2; AU2009251584A1; EP2266268A1; US20090254663A1; US20120084441A1; US8589503B2; WO2009146118A1; AU2009251584B2; EP2266268B1

Abstract

用于在一个或多个数据处理器上操作、基于与实体关联的信誉信息来确定与实体关联的通信传输的优先级的方法和系统。

Description

确定网络流量优先级

技术领域

本文档总体涉及用于处理通信的系统和方法，并且更具体地涉及用于确定网络流量优先级的系统和方法。

背景技术

因特网连通性已成为许多日常活动的中心。例如，全世界数百万人使用因特网进行各种账单支付和银行业务功能。更多无以数计的人使用因特网用于购物、娱乐、获得新闻、和用于众多的其它目的。而且，许多商业依赖于因特网以与供应商和客户通信，以及为它们的雇员提供资源库。

然而，因特网传送的大量流量是相对不重要的或者不是时间要求严格的。例如，电子邮件通常不是时间敏感的。因此，电子邮件是被立刻递送还是延迟一个小时递送通常没有区别。这种不重要的通信流量有延迟和/或干扰更重要的流量的可能性。

发明内容

在一个方面中，提供了系统、方法、装置和计算机程序产品。在一个实现中，向路由器提供了基于信誉的网络流量的优先化(prioritization)，用于路由网络流量(network traffic)。用于确定网络流量优先级的方法可以包括：接收通信，通信包括通过网络从发送设备传送到目的设备的数据；基于与通信关联的一个或多个传输协议来解析通信，解析可操作来识别一个或多个发起实体和一个或多个目的实体；确定网络是否处于带宽受限的情况；如果网络处于带宽受限的情况，则识别与一个或多个发起实体和一个或多个目的实体关联的信誉；向通信应用优先化策略，优先化策略可操作来基于与一个或多个发起实体关联的信誉和与一个或多个目的实体关联的信誉来确定传输的优先级；并且基于所应用的优先化策略来传输通信。本公开的其它实施例包括相应的系统、装置、和计算机程序产品。

在下面的附图和描述中阐述在本说明书中描述的主题的一个或多个实现的细节。从描述、附图和权利要求，主题的其它特征和优点将变得明显。

附图说明

图1A是示出包括基于信誉的路由系统的示例网络拓扑的框图。

图1B是示出用于分发信誉信息的示例网络拓扑的框图。

图2是示出从信誉系统接收信誉信息的示例的基于信誉的路由系统的框图。

图3是示出包括信誉信息的本地缓存的基于信誉的路由系统的示例的框图。

图4是示出包括延迟模块的基于信誉的路由系统的另一个示例的框图。

图5是示出包括分类模块的基于信誉的路由系统的另一个示例的框图。

图6是示出包括分类检索的基于信誉的路由系统的另一个示例的框图。

图7是示出示例的基于信誉的网络流量优先化的流程图。

图8是示出示例的基于信誉和分类信息的网络流量的优先化的流程图。

具体实施方式

基于信誉的网络流量的优先化可以包括向路由设备(例如路由器)提供基于信誉的策略。路由器通常检查分组以提取与数据分组关联的目的地并且在将数据分组传送到接收者(或者另一个路由器)之前检索与目的地关联的路由信息。在检索路由信息期间，可以检索与发起实体和/或目的实体关联的信誉信息。信誉信息可以提供与数据分组关联的流量是否信誉不好(例如恶意的、来路不明的)的指示。基于信誉的优先化系统然后可以基于与设备关联的信誉信息来确定流量的优先级。

图1是示出包括基于信誉的路由系统100a-c的示例网络拓扑的框图。基于信誉的路由系统100a-c可以是网络110的模块。基于信誉的路由系统可以与信誉系统120通信，所述信誉系统120可操作来分发来自信誉存储130的信誉信息。基于信誉的路由系统100a-c可以为网络110提供骨干通信设施以在实体140a-o之间传送数据。

在各种实现中，实体140a-o可以包括网际协议地址、域名、统一资源定位器(URL)、设备(例如媒体访问控制(MAC)地址所识别的)、或者用户身份、公司身份等中的任何一个。因此，许多不同的实体可以与单个设备关联。例如，设备可以执行为用于许多不同URL和/或域名的web服务器，或者设备可以具有若干个不同用户，导致了多个不同用户身份。而且，设备可以被动态地寻址，导致了使用多个不同的IP地址。因此，在各种实现中，可以相互分离地(或者组合地)来跟踪设备的出现。

实体140a-o可以以各种不同方式来接入网络110。在某些示例中，实体140a-o可以是局域网(LAN)或广域网(WAN)的任何类型。在其它示例中，网络可以是由公司、或学校或大学操作的网络，以使得工人/学生能够接入因特网进行研究、通信、获取等。在又另一个示例中，某些实体140c、140e、140h、140k、140o可以是向更多的实体(未示出)提供因特网服务的因特网服务提供商。

基于信誉的路由系统100a-c可以包括路由处理信息，便于将通信从一个实体路由到另一个实体。例如，实体A 140a可以通过向关联的路由器(例如基于信誉的路由系统100a)发送数据分组来与实体I 140i通信。基于信誉的路由系统100a可以解析数据分组以识别与数据分组关联的目的地。基于信誉的路由系统可以基于与基于信誉的路由系统100a关联的路由表来识别第二路由器(例如基于信誉的路由系统100c)。基于信誉的路由系统100a可以基于与关联于数据分组的发起实体或目的实体关联的信誉来将数据分组传送到其它基于信誉的路由系统100c。

可以从信誉系统120检索发起和/或接收实体的信誉。在某些实现中，信誉系统120可以包括信誉服务器，其可以向其它基于信誉的设备(例如基于信誉的路由系统100a-c)提供信誉信息。在其它实现中，信誉系统120可以包括分发信誉系统。例如，分发信誉系统可以包括全局信誉服务器和许多本地信誉设备。在各种实现中，信誉服务器可以周期性地将信誉更新推送到其它基于信誉的设备(例如基于信誉的路由系统100a-c)。

在某些实现中，所更新的信誉信息的传送可以从一个基于信誉的路由系统(例如基于信誉的路由系统100a)中继到另一个基于信誉的路由系统(例如基于信誉的路由系统100c)，其中在信誉系统120和基于信誉的路由系统100c之间没有直接连接。在这些实现中，所更新的信誉信息可以被安全地传送到基于信誉的路由系统100c，以防止篡改。在其它实现中，所更新的信誉信息可以包括验证信誉更新的凭证。例如，信誉系统120可以生成信誉更新的CRC校验和，其必须匹配在应用信誉更新之前由接收信誉设备生成的信誉更新的CRC校验和。

在某些实现中，跟踪的各种实体的信誉可以基于那些实体参加的活动来获得。例如，如果实体一贯地发起垃圾邮件通信，则可以利用信誉将实体分类为垃圾邮件发送者。可选地，如果实体一贯地发起信誉好的通信，可以利用信誉将实体分类为信誉好的发送者。

在另外的实现中，发起和/或接收设备的信誉可以基于实体之间获得的关系来获得。关系可以基于实体之间的任何一种通信、与实体关联的流量模式(例如流量的类似增加和/或减少)、从实体独立发起的类似通信、偶发的通信模式、或者频繁的欺骗地址的使用(例如IP、MAC、URL、域名等)等来获得。例如，具有不确定类别的第一实体可能被识别为与具有用于发起僵尸网络流量(例如，秘密地发起例如垃圾邮件流量的感染了恶意软件的计算机的网络)的信誉的第二实体一贯地通信。因此，尽管第一实体的信誉可能是不确定的，基于第一和第二实体之间识别的关系，第二实体的信誉的一部分可以应用到第一实体。可选地，如果具有中间信誉的第一实体一贯地与具有用于发起/接收信誉好的流量的信誉的第二实体通信，则第一实体的信誉可能偏向于分类为信誉好的实体。

在某些实现中，用于某些活动的信誉可以是基于时间或位置的。例如，与商业关联的实体可能一贯地显示6:00AM和7:00PM时间段之间的活动。因此，如果实体显示出该时间段之外的不寻常的活动，在营业时间期间，相比于在晚上，实体的信誉可能被不同地分类。类似地，实体可能显示出流量从特定地理位置的一贯发起(例如基于登记的位置或者从实体接收通信的第一路由器)。基于与实体关联的地理位置，从声称与相同实体关联的不同地理位置接收到的通信可以被视为可疑的和/或实体的信誉可以被识别为信誉不好的。在其它实现中，实体正用于信誉不好的活动的事实可以导致确定实体没有被所有者正确地保证和/或管制。在这些实现中，实体的信誉可能偏向于信誉不好的种类，即使实体的所有者相对于实体表现为有信誉的。

在另外的实现中，信誉可以基于多个实体属性。例如，当域名与特定IP地址关联时，域名可能具有网络钓鱼的信誉。因此，尽管与IP地址分离的域名可能保持信誉好的流量的信誉，但域名和IP地址的相关可以被分配欺骗的信誉。在其它实现中，实体正用于信誉不好(例如网络钓鱼)的活动的事实可能导致确定另外的信誉好的实体(例如信誉好的域名)没有被正确地保证和/或管制。在这些实现中，基于这些活动，域名的信誉可以偏向于信誉不好的种类，即使另外的信誉好的实体没有参加某人利用实体伪装它们本身所展示出的信誉不好的活动。

例如在2005年6月2日提交的标题为“Systems and Methods for Classification of Messaging Entities”的美国专利申请序列号11/142,943中可以找到信誉获得过程的完整描述，在此合并该申请的全部作为参考。信誉系统的其它描述可以在下面这些中找到：2007年1月24日提交的标题为“Correlation and Analysis of Entity Attributes”的美国专利申请序列号11/626,462，在此合并该申请的全部作为参考；2007年1月24日提交的标题为“Web Reputation Scoring”的美国专利申请序列号11/626,470，在此合并该申请的全部作为参考；2007年1月24日提交的标题为“Aggregation of Reputation Data”的美国专利申请序列号11/626,479，在此合并该申请的全部作为参考；2007年1月24日提交的标题为“Multi-Dimensional Reputation Scoring”的美国专利申请序列号11/626,603，在此合并该申请的全部作为参考；和2008年1月25日提交的标题为“Reputation based Message Processing”的美国专利申请序列号12/020,370，在此合并该申请的全部作为参考。在某些示例中，信誉检索模块220可以检索从加利福尼亚州圣何塞的Secure Computing Corporation(安全计算公司)可得到的TrustedSource^TM数据库提供的信誉信息。

在某些实现中，实体参与的活动的分析可以与基于信誉的路由系统100a-c分离地发生。与实体关联的活动的这些单独的分析可以有助于便于路由系统100a-c对通信的有效路由。由此得到的信誉信息可以推送到基于信誉的设备(例如包括基于信誉的路由系统100a-c)。

在其它实现中，实体参与的活动的分析可以由基于信誉的路由系统100a-c提供，或者可以由基于信誉的路由系统100a-c使用的处理器而分发到其它信誉设备。

图1B是示出用于分发信誉信息的示例网络拓扑的框图。图1B的网络拓扑相比于图1A中所描绘的示出了基于信誉的路由系统100d-n的更大的网络和分发信誉系统120a-d。在图1B的示例中，基于信誉的路由系统100d-n提供了用于网络实体的通信路径(未示出)。在某些示例中，两个实体之间的通信可能包括多个跳(例如，由发起实体和目的实体之间的多个路由器处理)。

在某些实现中，当在从发起实体到目的实体的通信路径中定义多于一个的跳时，信誉确定可能在源和目的之间仅发生一次。基于信誉的路由系统100d-n可以通知随后的基于信誉的路由系统100d-n，策略已经应用到数据分组。在这些实现中，安全通知可以用于将策略的先前应用传送到从发起实体到目的实体的路径中其它基于信誉的路由系统100d-n。在另外的实现中，策略应用到流的通知可以包括时间限制。例如，如果在策略已经应用到通信的通知之后接收到新的策略或更新的信誉，则策略向通信流的应用不再是最新的。因此，新的策略和/或信誉可以用于确定数据要传送到下一跳或者目的实体还是数据要被全部终止或是仅被延迟。如上所述的这些实现可以便于数据的有效处理，以使得在从发起实体到目的实体的路径中不会多次查询特定通信。

在其它实现中，当在从发起实体到目的实体的通信路径中定义多于一个跳时，从发起实体到目的实体的路径中每个基于信誉的路由系统100d-n可以检索与发起和/或目的实体关联的信誉信息并且将策略应用到通信。这些实现可以减少基于信誉的路由系统100d-n对数据执行以确定是否应用策略的分析量，并且避免了先前向数据应用基于信誉的策略的通知的欺骗生成的问题。

在某些实现中，分发信誉系统120a-d可以用于向基于信誉的路由系统100d-n分发信誉信息。分发信誉系统120a-d可以减少在向基于信誉的路由系统100d-n应用信誉更新中的传播延迟，特别是其中它排除了信誉系统120a-d和基于信誉的路由系统100d-e之间的多个跳。

可以在整个网络布置本地信誉服务器120b-d，以向基于信誉的路由系统100d-n提供信誉更新。如前所述，信誉更新可以被安全地传送到基于信誉的路由系统100d-n，或者具有在由基于信誉的路由系统100d-n应用信誉更新之前被独立验证的CRC校验和。在当接收到可能是欺骗的信誉更新的那些情况下，可以将失败的信誉更新的通知传送到中心信誉服务器(例如全局信誉服务器120a)。在某些实现中，全局信誉服务器120a可以向发出通知的基于信誉的路由系统100d-n提供更新的最新信誉(例如安全地，连同凭证等一起)。

在某些实现中，全局信誉服务器120a还可以向某些基于信誉的路由系统(例如基于信誉的路由系统100a、100h、100k)提供信誉更新。在某些示例中，可以将全局信誉系统提供的信誉更新提供到附近的基于信誉的路由系统100a、100h、100k。在其它示例中，全局信誉服务器120a可以将信誉更新提供到逻辑上重要(例如高容量)的基于信誉的路由设备。

全局信誉服务器120a可以聚集从本地信誉服务器120b-d接收到的信誉信息。信誉信息的聚集在2007年1月24日提交的标题为“Aggregation of Reputation Data”的美国专利申请序列号11/626,479中详细描述，在上面合并作为参考。

分发信誉系统120a-d可以提供对信誉信息的更频繁的更新。而且，因为本地信誉服务器120b-d基于本地信誉服务器120b-d所观测到的数据来更新信誉信息，更新可能更相关于由基于信誉的路由系统100d-n路由的特定数据。例如，本地信誉服务器120b更可能看到来自通常经由基于信誉的路由系统100e、100f、100i通信的实体的数据。这是因为本地信誉服务器120b向其提供信誉更新的基于信誉的路由系统100e、100f、100i也向本地信誉服务器120b提供在网络上传送的数据。而且，本地信誉服务器120b可以在类似的逻辑空间中或者在物理空间附近分发到它们服务的基于信誉的路由系统100e、100f、100i。

图2是示出从信誉系统120接收信誉信息的示例的基于信誉的路由系统200的框图。基于信誉的路由系统200可以从发起实体140a，例如直接从发起实体140a或者间接通过另一个基于信誉的路由系统或者通过另一个设备(例如网关、因特网服务提供商、遗留路由器)接收进入的通信。

基于信誉的路由系统200可以包括路由处理210、信誉检索220和优先化模块230。路由处理模块210可以解析进入的数据以识别与数据关联的发起实体和与数据关联的目的实体。在某些实现中，路由处理模块210可以提供传统上与路由器设备关联的基本功能。路由处理模块210还可以从优先化模块230接收优先化信号。优先化信号可以便于：使得对某些数据分组(例如具有指定信誉的那些)的路由优先于对其它数据分组(例如具有其它信誉的那些数据分组)路由。

在某些实现中，信誉检索模块230可以从信誉系统120检索信誉信息。如上所述，在各种实现中，信誉系统120可以从单个服务器在中心提供或者分布在多个服务器上。可以基于与实体关联的属性(例如观测到的动作、关系等)得到信誉。可以将以可识别模式发生的动作提取为行为。规定的行为集合可以与信誉分类关联。与各种实体关联的属性、行为和分类可以由信誉系统120存储在信誉存储130中。信誉系统120可以从信誉存储130检索与特定实体关联的信誉信息。在某些实现中，信誉系统120当从信誉检索模块220接收检索请求时可以向信誉检索模块220提供信誉信息。

信誉检索模块220当接收与发起实体和/或接收实体关联的信誉信息时，可以将信誉信息转发到优先化模块230。优先化模块230可以通过提供到路由处理模块210的优先化信号确定路由处理模块210传输数据的优先级。

在某些实现中，数据的优先化可以基于管理员240提供的优先化策略。管理员240提供的优先化策略可以指定例如将从指定类别的信誉发起的数据以低优先级(例如在其它流量之后)发送、终止、隔离用于进一步测试或信息收集等，和/或例如将指定类别的信誉以高优先级(例如在其它流量之前)发送。在某些实现中，如果网络是带宽受限的，可以终止用于低优先级的流量的连接，以便为高优先级的流量提供连接。

在某些实现中，可以生成专用实体，其可以由基于信誉的路由系统识别，并且可以在路由其它流量之前路由与专用实体关联的流量。例如，在紧急状态下，因特网流量通常在量上激烈地增加，导致带宽受限的情况。这种流量上的增加常常可以导致对于全部流量的较慢的吞吐量。可选地，当网络收到分布式拒绝服务攻击而阻塞时，对于管理员来说难于在这种带宽受限的情况下得到必需的带宽来远程关闭攻击。在这些示例中，对于那些有方法解决问题的个人来说，可能常常难于充分地传送解决方案(例如，系统管理员可能难于与服务器/防火墙远程通信来关闭分布式拒绝服务攻击，因为网络路由器塞满了拒绝服务请求)。因此，如上所述，可以生成专用实体以通过那些专用实体向网络提供无障碍的接入，由此将终止其他用户，以向专用实体提供任何请求的带宽。

在某些实现中，路由处理模块210可以与信誉处理并行操作，由此增加信誉查找和优先化判定的效率。

图3是示出包括信誉信息的本地缓存310的基于信誉的路由系统300的示例的框图。在图3的示例中，基于信誉的路由系统200可以使用本地信誉存储310来本地缓存来自信誉系统120的信誉信息。利用本地信誉存储310的这种缓存可以减少与从位于远程的信誉系统检索信誉信息关联的延迟，并且本地地向基于信誉的路由系统提供信誉信息。

路由器常常对另外的处理具有有限的资源。因此，路由器内的资源可以通过由基于信誉的路由系统300限制在本地信誉存储310本地缓存的信誉信息量来保存。在某些实现中，本地缓存可以包括最近最少使用(LRU)算法，该算法可操作来在接收了新的信誉信息条目时将最近最少使用的信誉信息条目推出缓存。在某些示例中，没有接收到指定与条目关联的信誉信息的数据时，从LRU栈检索的条目可以在栈顶端重新进入，由此维持了它们在栈中的存在，直到栈已被循环。因此，检索模块最经常请求的数据保持在本地缓存中的时间最长，而未由检索模块定期请求的数据不存储在本地缓存310中。可以实现其它栈算法，例如包括最不经常使用堆栈算法。

在其它实现中，本地信誉存储310可以包括信誉数据存储130的至少部分镜像。在仅一部分信誉数据存储130在本地信誉存储310镜像的那些实现中，很难精确地确定信誉数据存储130的哪个部分应当由本地信誉存储310镜像。

在某些实现中，信誉系统120可以使用布隆过滤器来提供要包括在本地信誉存储310中的特定信誉信息的概率确定。对于信誉数据集使用布隆过滤器可以减少基于信誉的路由系统300上存储的数据集的大小并且减少用于检索数据的访问时间。

在某些实现中，信誉系统120可以识别最可能由基于信誉的路由系统300使用的特定信誉信息。如果接收到与不在本地信誉存储310中的实体关联的通信，则信誉系统120还可以允许信誉检索模块210查询信誉系统120。例如，如果用于实体A、C、E、F、和G的信誉信息存储在本地信誉存储310中，并且基于信誉的路由系统接收了从实体D发起的数据，则信誉检索模块可以向信誉系统120查询用于与实体D关联的信誉信息。

在某些实现中，可以周期性地执行对本地信誉存储310的更新。基于由信誉系统120收集的另外数据，信誉信息随着时间迁移。因此，本地信誉存储310存储的信誉信息可能变得陈旧。在某些实现中，信誉系统120可以跟踪由本地信誉存储310所存储的信誉信息，并且可以将由本地信誉存储310存储的信誉信息的版本与当前的版本比较和提供仅包括自从先前更新以来已经改变的信誉信息的信誉更新。

在某些实现中，例如在预测的低活动时间段期间，信誉系统120可以将信誉更新推送到本地信誉存储310。预测的低活动可以基于网络的历史使用。在其它实现中，基于信誉的路由系统300可以向信誉系统120用信号通知低活动时间段。信誉系统120可以将这些信号作为请求处理，以应用信誉更新。可以使用其它信誉更新过程。

在另外的实现中，信誉系统120可以从信誉检索模块(例如信誉检索模块210a)接收反馈。反馈可以指示多长时间进行一次检索用于各种实体的信誉。这种反馈可以用于修改信誉系统以提供被最频繁请求的实体的信誉更新。在某些实现中，反馈可以由基于信誉的路由系统的物理邻近(例如区域、位置等)生成。例如，如果来自基于信誉的路由系统的反馈指示实体A被频繁地请求，则信誉系统可以向相同区域或位置中的所有基于信誉的路由系统提供用于实体A的信誉。在其它实现中，反馈可以由基于信誉的路由系统的逻辑邻近生成。例如，服务某种类型流量的基于信誉的路由系统可以识别实体B的信誉被频繁地请求。基于信誉的路由系统可以向路由相同类型的流量的所有其它的基于信誉的路由系统提供包括实体B的信誉更新。在另外的实现中，信誉系统可以从外部源接收指示特定实体在活动中的出现的信息。在另外的实现中，信誉系统可以分析反馈以识别对于某些实体的活动的时间成分/相关性。基于与实体活动关联的时间成分，信誉系统可以通过提供包括仅在一天中的某些小时之间的那些实体的信誉更新，来提供说明对于某些实体的活动的时间成分的信誉更新。

图4是示出包括延迟模块410的基于信誉的路由系统400的另一个示例的框图。在某些实现中，基于信誉的路由系统400可以包括延迟模块410，以基于与通信关联的一个或多个实体140a、140b的信誉来延迟通信的路由。可以基于与基于信誉的路由系统400关联的优先化策略到与通信关联的实体140a、140b的信誉的应用来延迟通信的路由。

在某些实现中，优先化策略可以基于关联于与通信关联的一个或多个实体140a、140b的未确定信誉来延迟通信的路由。当信誉由信誉检索模块210a表示为未确定时，优先化模块220a可以基于信誉将优先化策略应用到分组。在某些示例中，优先化策略可以指定将具有未确定信誉的分组发送到延迟模块410。

延迟模块410可以在向信誉检索模块210a重新发送分组之前将分组保存一段时间。在某些实现中，分组的路由可以由优先化模块220a连同延迟模块410来延迟，直到确定了信誉。在其它实现中，可以在与通信关联的一个或多个实体140a、140b的信誉保持未确定期间在预定义时间段或预定循环次数之后，终止通信。在另外的实现中，将与具有在预定义时间段或循环次数之后保持未确定的信誉的实体140a、140b关联的通信传送到目的实体140b。

图5是图示包括分类模块510的基于信誉的路由系统500的另一个示例的框图。在某些实现中，基于信誉的路由系统500可以包括路由处理200、信誉检索520、分类模块510和优先化模块530。路由处理模块200可以从发起实体140a或某些其它实体(例如包括这里描述的任一实现的另一个基于信誉的路由处理系统)接收进入的通信。路由处理模块可以提取与进入的通信关联的发起实体140a和目的实体140b的信息并且基于路由表到目的实体140b的应用来处理与通信关联的路由。

路由处理模块也可以将分组和所提取的发起实体140a和目的实体140b的信息的标识转发到信誉检索模块520。信誉检索模块520可以识别与发起实体140a和/或目的实体140b关联的信誉信息。

在某些实现中，如果与通信关联的实体140a、140b的信誉是未确定的，则信誉检索模块可以通知优先化模块530并且将通信发送到分类模块510。分类模块可以对通信执行各种测试以识别与通信关联的类别。在各种实现中，分类模块可以从通信提取特征以获得特征向量并且将特征向量与使用那些特征向量的各个线性分类器比较，以确定从通信获得的特征向量是否共享将通信定义为利用与各个特征向量关联的类别来分类的特征。特征向量分类的示例在2008年1月25日提交的标题为“Granular Support Vector Machine with Random Granularity”的美国专利申请序列号12/020,253中描述，在此将其全部合并作为参考。另外的分类过程和系统由以下详细描述：在2005年7月1日提交的标题为“Message Profiling Systems and Methods”的美国专利申请序列号11/173,941，在此将其全部合并作为参考；和2006年5月15日提交的标题为“Content-based Policy Compliance Systems and Methods”的美国专利申请序列号11/383,347，在此将其全部合并作为参考。在某些实现中，分类模块510可以通过从加利福尼亚州圣何塞的Secure Computing Corporation(安全计算公司)可得到的TrustedSource^TM数据库来查询，其可操作来提供分类定义，通信可以与该定义比较以用于分类。其它机器学习分类系统(包括其它支持向量机(SVM)或随机森林过程)可以用于分类消息。

分类模块510可以将获得的分类传送到优先化模块530。优先化模块530可以将从管理员230接收到的优先化策略应用到与通信关联的信誉和/或分类以识别提供给通信的优先级。在另外的实现中，基于与通信关联的分类和/或与通信的一个或多个实体关联的信誉，优先化策略可以指示优先化模块530终止通信。

优先化模块530可以将通信的优先化传送到路由处理模块200。路由处理模块200可以基于接收到的优先化来处理通信。

图6是图示包括分类检索610的基于信誉的路由系统600的另一个示例的框图。在某些实现中，基于信誉的路由系统500可以包括路由处理200、信誉检索210、分类检索610、优先化模块620和未递送的通信模块630。路由处理模块200可以从发起实体140a或者某些其它实体(例如包括这里描述的任一实现的另一个基于信誉的路由处理系统)接收进入的通信。路由处理模块可以提取与进入的通信关联的发起实体140a和目的实体140b的信息并且基于路由表到目的实体140b的应用来处理与通信关联的路由。

路由处理模块也可以将分组和所提取的发起实体140a和目的实体140b的信息的标识转发到信誉检索模块210。例如基于从信誉系统120检索到的信誉，信誉检索模块210可以识别与发起实体140a和/或目的实体140b关联的信誉信息。在其它示例中，信誉信息的检索可以基于从提供信誉数据存储130的至少部分镜像的本地信誉存储(例如图3的本地信誉存储310)检索信誉信息。

优先化模块530可以将通信发送到优先化模块620，连同用于与通信关联的一个或多个实体的信誉信息。优先化模块620可以基于从信誉检索模块210接收到的信誉信息将优先化策略应用到通信。

在某些实现中，优先化策略的应用可以确定应当将通信发送到分类检索模块610。分类检索模块610可以将通信转发到分类系统640。分类系统640可以对通信执行各种测试以识别与通信关联的类别。在各种实现中，分类模块可以从通信提取特征以获得特征向量并且将特征向量与使用那些特征向量的各个线性分类器比较，以确定从通信获得的特征向量是否共享将通信定义为利用与各个特征向量关联的类别来分类的特征。其它分类系统和过程可以用于分类消息。

分类系统640可以将与通信关联的所识别的分类返回到分类检索模块610。分类检索模块610可以将所获得的分类传送到优先化模块620。优先化模块620可以将从管理员230接收到的优先化策略应用到与通信关联的信誉和/或分类以识别通信的优先级。在另外的实现中，优先化策略可以指示优先化模块620将通信发送到未递送的通信模块630。

优先化模块620可以将通信的优先化传送到路由处理模块200。路由处理模块200可以基于接收到的优先化来处理通信。

图7是图示示例的网络流量的基于信誉的优先化的流程图。在阶段700，可以接收通信。通信例如可以由路由处理模块(例如图2的路由处理210)来接收。通信可以包括一个或多个数据分组，并且一个或多个数据分组中的每一个可以识别它所属的通信流，和用于路由目的的源和目的地址。

在某些实现中，接收通信可以使得基于信誉的路由系统确定路由系统是否处于带宽受限的情况。在带宽受限的情况下，基于信誉的路由系统可以基于与通信关联的信誉来路由通信。

在阶段710，可以识别通信的发起实体和目的实体。发起实体和目的实体例如可以由路由处理模块(例如图2的路由处理200)来识别。在各种实现中，可以解析与通信关联的数据分组，以根据数据分组报头识别发起实体和目的实体地址。数据分组报头还可以识别数据分组所属的数据流。在各种实现中，路由处理模块可以使用发起实体和目的实体地址来识别数据分组的路由。

在阶段720，可以检索源实体和目的实体的信誉。源实体和目的实体的信誉例如通过信誉检索模块(例如图2中的信誉检索210)连同本地信誉存储(例如图3中的本地信誉存储310)和/或信誉系统(例如图2的信誉系统120)一起来检索。可以使用信誉信息从基于信誉的路由系统远程地获得信誉。在各种实现中，所获得的信誉信息可以由信誉系统推送到基于信誉的路由系统或者直接从信誉系统检索并且在本地缓存。在信誉信息推送到基于信誉的路由系统的那些实现中，布隆过滤器可以用于选择要被推送到本地信誉存储的信誉信息的特定数据集。

在阶段730，可以应用优先化策略。例如优先化策略可以由优先化模块(例如图2的优先化模块230)来应用。在某些实现中，将优先化策略应用到所有的通信。在这些实现中，优先化策略可以基于识别带宽受限的情况并且基于与通信关联的实体的信誉。在其它实现中，当路由处理已确定网络处于带宽受限的情况下时，可以讲优先化策略应用到通信。在另外的实现中，当通信超过与基于信誉的路由系统关联的阈值使用时，可以将优先化策略应用到通信。

在阶段740，基于信誉来确定通信路由的优先级。通信路由例如可以由优先化模块(例如图2的优先化模块230)来确定优先级。在某些实现中，可以向优先化模块提供来自管理员(例如图2的管理员240)的优先化策略。优先化策略可以基于与通信关联的一个或多个实体的信誉来定义通信的处理。

图8是图示示例的基于信誉和分类信息的网络流量的优先化的流程图。在阶段800，接收网络通信。例如可以由路由处理模块(例如图2的路由处理210)来接收通信。通信可以包括一个或多个数据分组，并且一个或多个数据分组中的每一个可以识别它所属的通信流，和用于路由目的的源和目的地址。在某些实现中，接收通信可以使得基于信誉的路由系统确定路由处理是否处于带宽受限的情况。

在阶段810，可以解析网络通信以识别发起实体和目的实体。例如可以由路由处理模块(例如图2的路由处理200)来解析发起实体和目的实体。在各种实现中，可以解析与通信关联的数据分组，以根据数据分组报头识别发起实体和目的实体地址。数据分组报头还可以识别数据分组所属的数据流。在各种实现中，路由处理模块可以使用发起实体和目的实体地址来识别数据分组的路由。

在阶段820，可以检索源实体和目的实体的信誉。例如可以通过信誉检索模块(例如图2中的信誉检索210)连同本地信誉存储(例如图3中的本地信誉存储310)和/或信誉系统(例如图2的信誉系统120)来检索源实体和目的实体的信誉。可以使用信誉信息从基于信誉的路由系统远程地获得信誉。在各种实现中，所获得的信誉信息可以由信誉系统推送到基于信誉的路由系统或者直接从信誉系统检索并且在本地缓存。在信誉信息推送到基于信誉的路由系统的那些实现中，布隆过滤器可以用于选择要被推送到本地信誉存储的信誉信息的特定数据集。在阶段830，确定实体是否是信誉好的。例如可以由优先化模块(例如图2的优先化模块230)来确定实体是否是信誉好的。

如果实体是信誉好的，则在阶段840，可以将优先化策略应用到通信。例如可以由优先化模块(例如图2的优先化模块230)来应用优先化策略。在某些实现中，可以向优先化模块提供来自管理员(例如图2的管理员240)的优先化策略。优先化策略可以基于与通信关联的一个或多个实体的信誉来定义通信的处理。

在阶段850，可以基于优先级来路由数据分组。通信的路由例如可以由路由处理模块(例如图2的路由处理200)来路由。在某些实现中，路由处理模块可以检索路由表并且基于路由表识别路由。在另外的实现中，相比于具有低优先级的通信，路由处理模块可以优先路由具有高优先级的通信。例如，如果识别了高优先级的通信，则可以终止低优先级通信关联的连接。在其它示例中，可以延迟低优先级的通信，直到已经路由了高优先级的通信。

返回到信誉好的实体的确定阶段(830)，如果确定通信与信誉不好的实体关联，则在阶段860可以检索通信的分类。例如可以由分类检索模块(例如图6的分类检索模块610)来检索通信的分类。在某些实现中，分类检索模块可以基于查询分类系统来检索分类信息。在其它实现中，分类检索模块可以检索分类定义(例如SVM线性分类向量)，从通信获得特征向量，并且比较特征向量与线性分类向量以确定通信是否属于与线性分类向量关联的分类。可以使用其它分类方法。

在阶段870，确定通信是否合法。例如可以由优先化模块(例如图2的优先化模块230)来确定通信是否合法。

如果通信合法，则在阶段880，可以将优先化策略应用到通信。例如可以由优先化模块(例如图2的优先化模块230)来应用优先化策略。在某些实现中，可以向优先化模块提供来自管理员(例如图2的管理员240)的优先化策略。优先化策略可以基于通信的分类而不是与通信关联的实体的信誉来定义通信的处理。

在阶段850，可以基于优先级来路由数据分组。通信的路由例如可以由路由处理模块(例如图2的路由处理200)来路由。在某些实现中，路由处理模块可以检索路由表并且基于路由表识别路由。在另外的实现中，相比于低优先级的通信，路由处理模块可以优先路由高优先级的通信。例如，如果识别了高优先级的通信，可以终止与低优先级通信关联的连接。在其它示例中，可以延迟低优先级的通信，直到已经路由了高优先级的通信。

返回到合法通信确定阶段(870)，如果通信被确定为不合法，则在阶段890，可以将通信终止、隔离、延迟、等。例如可以由未递送的消息模块(例如图6的未递送消息模块630)将通信终止、隔离、延迟、等。在某些实现中，特定处理(例如终止、隔离、延迟等)可以通过应用到通信的优先化策略来指定。基于优先化策略，可以指定其它通信处理机制。

当涉及网络路由时在网络流量优先化中使用信誉还在2007年11月8日提交的标题为“Prioritizing Network Traffic”的美国专利申请序列号11/937,274中公开，在此将其全部合并作为参考。

这里公开的系统和方法可以使用数据信号与一个或多个数据处理设备(例如移动设备)通信，所述数据信号使用网络(例如局域网、广域网、因特网等)、光纤介质、载波、无线网络(例如无线局域网、无线城域网、蜂窝网络等)等来传送。数据信号可以携带提供到设备或者从其提供的在此公开的任何一种或全部数据。

通过包括可由一个或多个处理器执行的程序指令的程序代码，可以在许多不同类型的处理设备上实现这里描述的方法和系统。软件程序指令可以包括源代码、目标代码、机器码、或可操作来使得处理系统执行在此所述的方法的任何其它存储的数据。

可以在包括计算机存储机制(例如CD-ROM、磁盘、RAM、闪存、计算机硬盘等)的许多不同类型的计算机可读介质上提供系统和方法，所述计算机存储机制包含用于由处理器执行以完成方法的操作并且实现这里描述的系统的指令。

在此描述的计算机组件、软件模块、功能和数据结构可以相互直接或间接地连接，以允许它们的操作所需的数据流动。还应注意，软件指令或模块例如可以实现为代码的子例程单元，或者实现为代码的软件功能单元，或者实现为对象(如在面向对象范式中)，或者实现为applet，或者以计算机脚本语言实现，或者实现为另一种类型的计算机代码或固件。取决于手边的情况，软件组件和/或功能可以位于单个设备上或者在多个设备上分布。

所撰写的描述阐述了本发明的最佳模式并提供了描述本发明的示例，并且使得本领域普通技术人员能够制作和使用本发明。所撰写的的描述不将本发明限于所阐述的精确条款。因此，尽管参考上面阐述的示例详细描述了本发明，本领域普通技术人员在不偏离本发明的范围的情况下可以实现对示例的变更、修改和变化。

如这里在描述中以及遍及随后的权利要求所使用的，“一”、“一个”、和“所述”的含意包括复数引用，除非上下文以其他方式明确地指示。而且，如这里在描述中以及遍及随后的权利要求所使用的，“在...中”的含意包括“在...中”和“在...上”，除非上下文以其他方式明确地指示。最后，如这里在描述中以及遍及随后的权利要求所使用的，“和”和“或”的含意包括连接和转折两者，并且可以交换地使用，除非上下文以其他方式明确地指示。

这里，范围可以表示为从“大约”一个特定值，和/或到“大约”另一个特定值。当表示这样的范围时，另一个实施例包括从一个特定值和/或到另一个特定值。类似地，当值表示为近似值时，通过前面使用“大约”，将会理解特定值形成了另一个实施例。将进一步理解，每个范围的端点相关于其它端点以及独立于其它端点都是重要的。

这些和其它实现在以下权利要求的范围内。

Claims

1.一种计算机实现的网络流量优先化的方法，包括：

接收通信，所述通信包括通过网络从发送设备传送到目的设备的数据；

基于与所述通信关联的一个或多个传输协议来解析所述通信，所述解析可操作来识别一个或多个发起实体和一个或多个目的实体；

识别与所述一个或多个发起实体和所述一个或多个目的实体关联的信誉；

向所述通信应用优先化策略，所述优先化策略可操作来基于与所述一个或多个发起实体关联的信誉和与所述一个或多个目的实体关联的信誉来确定传输的优先级；以及

基于所应用的优先化策略传输所述通信。

2.根据权利要求1所述的计算机实现的方法，其中识别与所述一个或多个发起实体和所述一个或多个目的实体关联的信誉包括：

向信誉系统查询与所述一个或多个发起实体关联的信誉；以及

向信誉系统查询与所述一个或多个目的实体关联的信誉。

3.根据权利要求1所述的计算机实现的方法，其中识别与所述一个或多个发起实体和所述一个或多个目的实体关联的信誉包括：

从本地信誉存储检索所述一个或多个发起实体的信誉；以及

从本地信誉存储检索所述一个或多个目的实体的信誉。

4.根据权利要求3所述的计算机实现的方法，其中如果从所述本地数据存储未成功检索到所述一个或多个发起实体，则所述方法进一步包括向信誉系统查询所述一个或多个发起实体的信誉；并且其中如果从所述本地数据存储未成功检索到所述一个或多个目的实体，则所述方法进一步包括向信誉系统查询所述一个或多个目的实体的信誉。

5.根据权利要求1所述的计算机实现的方法，其中应用所述优先化策略包括确定与具有指定信誉的实体关联的通信的优先级。

6.根据权利要求1所述的计算机实现的方法，其中所述优先化策略可操作来使得与信誉好的实体关联的通信优先于与信誉不好的实体关联的通信。

7.根据权利要求6所述的计算机实现的方法，其中所述信誉不好的信誉包括垃圾邮件实体、网络钓鱼实体、间谍软件实体或恶意软件实体。

8.根据权利要求1所述的计算机实现的方法，进一步包括：

确定所述网络是否处于带宽受限的情况下；以及

其中识别与所述实体关联的信誉和将优先化策略应用到所述通信是基于所述网络处于带宽受限的情况下的确定。

9.一种计算机实现的方法，包括：

管理多个现有网络连接，所述多个连接与所分配的优先级关联；

接收新连接请求；

基于所述多个现有网络连接确定因为带宽限制不能处理所述新连接请求；

识别与所述新连接请求关联的实体的信誉；

基于优先化策略到所识别的信誉的应用来识别用于所述新连接请求的新连接优先级；

识别具有最低的所分配的优先级的现有连接；

如果所述最低的所分配的优先级低于所述新连接的优先级，则终止具有所述最低的所分配的优先级的所述现有连接；以及

如果连接被终止，则连接所述新连接请求。

10.根据权利要求9所述的计算机实现的方法，其中识别与所述新连接请求的实体关联的信誉包括解析所述连接请求以识别与所述新连接请求关联的实体，所述实体包括与所述新连接请求关联的一个或多个发起实体和一个或多个目的实体。

11.根据权利要求10所述的计算机实现的方法，其中识别与所述新连接请求关联的实体的信誉进一步包括从本地信誉存储检索与所述一个或多个发起实体和所述一个或多个目的实体关联的信誉信息。

12.根据权利要求11所述的计算机实现的方法，其中识别与所述新连接请求关联的实体的信誉信息进一步包括：如果从所述本地信誉存储未检索到信誉信息，则向信誉系统查询信誉信息。

13.根据权利要求9所述的计算机实现的方法，其中所述最低的所分配的信誉是垃圾邮件信誉、恶意软件信誉、间谍软件信誉、或网络钓鱼信誉中的一个或多个。

14.根据权利要求9所述的计算机实现的方法，其中与识别为信誉不好的实体关联的连接被断开，用与识别为信誉好的实体关联的新连接取代。

15.一种系统，包括：

路由处理模块，可操作来基于与通信关联的优先化从发起实体接收所述通信并且向目的实体路由所述通信；

信誉检索模块，可操作来检索与所述发起实体和所述目的实体关联的信誉信息；以及

优先化模块，可操作来从管理员接收优先化策略并且基于所述优先化策略识别所述通信的优先化，所述优先化策略基于识别带宽受限的网络情况并且基于与所述发起实体或所述目的实体关联的检索到的信誉来指定策略。

16.根据权利要求15所述的系统，其中所述信誉检索模块包括本地信誉数据存储，并且所述信誉检索模块可操作来从所述本地信誉数据存储检索与所述发起实体和所述目的实体关联的信誉信息。

17.根据权利要求16所述的系统，其中所述信誉检索模块可操作来确定与所述发起实体或所述目的实体关联的信誉信息未包括在所述本地信誉存储中，所述信誉检索模块可操作来从外部信誉系统检索未包括在所述本地信誉存储中的信誉信息。

18.根据权利要求15所述的系统，其中所述信誉检索模块可操作来将查询发送到信誉系统，以从信誉数据存储检索信誉信息。

19.根据权利要求15所述的系统，其中所述路由处理模块可操作来管理多个现有网络连接并且接收新连接请求，并且所述优先化模块可操作来基于与所述新连接请求关联的信誉信息来确定所述新连接请求是否与高优先级通信关联，所述优先化模块可操作来指示所述路由处理模块从现有的网络连接中终止任何低优先级的连接并且连接所述新连接请求。

20.根据权利要求19所述的系统，其中所述低优先级的连接包括与具有用于垃圾邮件、网络钓鱼、间谍软件或恶意软件的信誉的实体关联的那些连接。

21.一种系统，包括：

路由模块，可操作来管理与信誉不好的实体关联的现有的低优先级连接并且接收从发起实体指向目的实体的新连接请求，所述路由模块可操作来基于所述系统的带宽限制确定不能处理所述新连接请求；

信誉检索模块，可操作来响应于所述路由模块确定不能路由所述新连接请求而检索与所述发起实体和所述目的实体关联的信誉信息；以及

连接控制模块，可操作来基于检索到的信誉信息和优先化策略的应用来识别所述新连接请求是否为高优先级，所述连接控制模块可操作来基于识别所述新连接请求为高优先级来指示所述路由模块终止所述现有的低优先级连接请求以及连接所述新连接请求。