ES2287140T3 - Metodo y sistema para procesar correo electronico. - Google Patents

Metodo y sistema para procesar correo electronico. Download PDF

Info

Publication number
ES2287140T3
ES2287140T3 ES01949640T ES01949640T ES2287140T3 ES 2287140 T3 ES2287140 T3 ES 2287140T3 ES 01949640 T ES01949640 T ES 01949640T ES 01949640 T ES01949640 T ES 01949640T ES 2287140 T3 ES2287140 T3 ES 2287140T3
Authority
ES
Spain
Prior art keywords
email
criteria
emails
message
electronic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES01949640T
Other languages
English (en)
Inventor
Alexander MessageLabs Ltd SHIPP
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MessageLabs Ltd
Original Assignee
MessageLabs Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MessageLabs Ltd filed Critical MessageLabs Ltd
Application granted granted Critical
Publication of ES2287140T3 publication Critical patent/ES2287140T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/234Monitoring or handling of messages for tracking messages
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/107Computer-aided management of electronic mailing [e-mailing]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Abstract

Un método automático para procesar correo electrónico, caracterizado porque con objeto de detectar la difusión de virus anteriormente desconocidos, el método comprende vigilar el tráfico de correo electrónico que pasa a través de uno o más nodos de una red, comprendiendo esa vigilancia: a) registrar (22) los detalles acerca de los correos electrónicos en una base de datos (23); y b) buscar (24) en la base de datos patrones de tráfico de correo electrónico que sean indicadores de, o sugieran, la difusión de un virus llevado por el correo electrónico, aplicando para ello un conjunto predeterminado de criterios de sospecha a los atributos, por ejemplo, a la longitud del mensaje, al número de anexos, a la dirección IP del remitente, al resumen del primer anexo de los correos electrónicos, incluyendo el conjunto criterios que se refieren a una pluralidad de partes constituyentes, por ejemplo, a la línea de sujeto, a los destinatarios, al texto del mensaje, a los anexos de los correos electrónicos, y, una vez detectado uno de tales patrones, iniciar (25) una acción de remedio automática, avisar a un operador, o ambas cosas.

Description

Método y sistema para procesar correo electrónico.
Introducción
El presente invento se refiere a un método y un sistema para procesar correo electrónico, y en particular para detectar irrupciones de virus. El invento es aplicable en particular, aunque no exclusivamente, al procesado de correo electrónico mediante los ISPs (Proveedores de Servicios de Internet).
Antecedentes del invento
Es de hacer notar que en algunos debates sobre software con malicia se hace uso del término "virus"en un sentido estrecho, como relativo a un software que tiene características particulares en términos de propagación, o simplemente también de multiplicación, y efectos que son distintos a los de otras formas, tales como las de "caballos de Troya", "gusanos", etc. Sin embargo, en esta Memoria Descriptiva, incluidas las reivindicaciones anexas, se usa el término "virus" en el sentido general de cualquier software que por malicia (o por accidente) origine efectos no deseados.
Los detectores de virus usuales encuentran los virus atendiendo para ello a patrones conocidos en archivos, comprobando los archivos nuevos o cambiados en un sistema de archivos, o bien haciendo correr programas sospechosos en un ambiente emulador de "caja de arena" para detectar la actividad similar a la de un virus.
El creciente uso que se está haciendo del correo electrónico, tanto por las redes de Internet como por las privadas, aumenta la exposición de los usuarios y las operaciones finales individuales a una irrupción maliciosa. Recientemente se han producido irrupciones de virus llevados por el correo electrónico que se han extendido en todo el mundo, en cuestión de horas. Se puede obtener un cierto grado de protección mediante la exploración de los correos electrónicos y sus anexos en cuanto a virus, y evidentemente, como se hace mejor es sobre una base centralizada, por ejemplo mediante los ISPs y otros que operan con puertas de correo electrónico, en vez de dejarlo a los usuarios finales, los cuales pueden, o no, disponer de los recursos, el conocimiento o la inclinación para tomar sus propias medidas antivirus.
Sin embargo, con una exploración centralizada, sigue presente el problema de los nuevos virus. Dejando aparte la cuestión de cómo se detecta por primera vez un virus nuevo, sea por medidas adoptadas por un ISP o similar, o bien en una máquina del usuario final, los pasos necesarios para atenuar el efecto de una irrupción del mismo requieren tiempo para poderlos efectuar, y para cuando pueda haberse hecho, pueden haberse producido ya los peores efectos de la irrupción, en todo el mundo. Estos pasos incluyen, típicamente, identificar una cadena característica de objetos u otra "firma" que identifiquen el virus, diseminar esa información a los lugares de exploración de virus, y programas los exploradores con esa información, todo lo cual lleva tiempo, y mientras tanto la irrupción tiene libertad para extenderse.
Esto se ha hecho particularmente problemático recientemente, con el tipo de virus que puede multiplicarse efectivamente por sí mismo mediante la generación y el envío de copias del correo electrónico que lo contiene, por ejemplo, por obtener acceso a una agenda de direcciones de correo electrónico (por ejemplo, la que esté disponible en un cliente de correo electrónico del usuario final), y usando luego los servicios disponibles en la máquina para enviar una copia del correo electrónico y del propio virus a cualquiera de las direcciones halladas. Esta táctica puede propagar entre continentes, en cuestión de minutos, y dar por resultado una "explosión" en progresión geométrica del número de casos del mismo.
Técnica anterior
El documento US-A-5832208 (Chem): es un ejemplo de un sistema de cliente/servidor anterior que tiene una instalación en el servidor que explora los anexos de correo electrónico en cuanto a virus, antes de la entrega.
El documento WO 93/2272 (MuliInform): se refiere a un monitor de la red que reúne los paquetes de la red en archivos que son luego explorados en cuanto a virus, usando una técnica basada en la firma.
Los documentos WO 00/05650 y WO 00/05852 (Raytheon): se refieren a un "Sistema de análisis de seguridad de la información" que incluye, entre otros, medios para registrar el tráfico de correo electrónico, y una instalación para examinar la funcionalidad de códigos sospechosos, para determinar si está presente un virus de ordenador.
Objeto del invento
El presente invento trata de proporcionar un método de, y un sistema para, procesar correo electrónico, que sea capaz de detectar la difusión de un virus anteriormente desconocido, llevado por correo electrónico y, por consiguiente, suavizar los efectos de una irrupción de tal virus.
Sumario del invento
El invento proporciona un método automático para procesar correo electrónico, caracterizado porque con objeto de detectar la difusión de virus anteriormente desconocidos, el método comprende vigilar el tráfico de correo electrónico que pasa a través de uno o más nodos de una red, comprendiendo esta vigilancia:
a) registrar los detalles acerca de los correos electrónicos en una base de datos; y
b) buscar en la base de datos los patrones de tráfico de correo electrónico que sean indicadores de, o sugieran, la difusión de un virus llevado por el correo electrónico, aplicando para ello un conjunto predeterminado de criterios de sospecha a los atributos (por ejemplo, a la longitud del mensaje, al número de Anexos, a la dirección IP del remitente, al resumen del primer anexo) de los correos electrónicos, incluyendo el conjunto criterios que se refieren a una pluralidad de partes constituyentes (por ejemplo, línea de sujeto, destinatarios, texto del mensaje, anexos) de los correos electrónicos y,
una vez detectado tal patrón, iniciar la acción de remedio automática, avisar a un operador, o ambas cosas.
El invento proporciona también un sistema automático, en o para una red de ordenador por la cual los usuarios se envíen unos a otros correos electrónicos, para procesar el correo electrónico para detectar la difusión de virus anteriormente desconocidos, comprendiendo el sistema:
medios para vigilar el tráfico de correo electrónico que pasa a través de uno o más nodos de la red, cuyos medios comprenden:
a) medios para registrar detalles acerca de los correos electrónicos en una base de datos; y
b) medios para buscar en la base de datos patrones de tráfico de correo electrónico que sean indicadores de, o sugieran, la difusión de un virus llevado por el correo electrónico, aplicando para ello un conjunto predeterminado de criterios de sospecha a los atributos (por ejemplo, a la longitud del mensaje, al número de anexos, a la dirección IP del remitente, al resumen del primer anexo) de los correos electrónicos, incluyendo el conjunto criterios que se refieren a una pluralidad de partes constituyentes (por ejemplo, línea de sujeto, destinatarios, texto del mensaje) de los correos electrónicos; y
medios operativos una vez que se haya detectado tal patrón, para iniciar la acción de remedio automática, avisar a un operador, o ambas cosas.
Por consiguiente, en vez de vigilar correos electrónicos individuales, el invento trata los correos electrónicos de modo que sean procesados un "conjunto", y atiende a los patrones en el tráfico del correo electrónico que sean característicos de los virus que se propagan a través del correo electrónico. Se ha comprobado que tales patrones característicos son relativamente fáciles de definir, y de identificar una vez que se producen.
Para ayudar a la identificación de los patrones relevantes del tráfico de correo electrónico, cada correo electrónico es analizado con referencia a una serie de criterios que indiquen que el correo electrónico puede contener un virus. Cualquier correo electrónico que satisfaga cualquiera de esos criterios puede ser entonces registrado en una base de datos. El examen de las adiciones recientes a esa base de datos puede entonces usarse para identificar patrones de tráfico indicadores de, u que sugieran, una irrupción de un virus.
La decisión en cuanto a si registrar, o no, un correo electrónico particular, puede ser tomada sobre la base de si el mismo satisface uno o más criterios que indiquen que sea posible que el correo electrónico contenga un virus. En otras palabras, los criterios elegidos para decidir si se registra un correo electrónico pueden ser los que indiquen que sea posible que el correo electrónico contenga un virus, con independencia de que realmente lo contenga, sobre la base de que los correos electrónicos que no puedan contener posiblemente un virus no han de ser registrados individualmente. Sin embargo, el invento no excluye la posibilidad de la búsqueda con uno o más criterios para determinar si un correo electrónico contiene realmente un virus, mediante cualquier técnica de exploración adecuada, u otra analítica.
Supongamos que un usuario comunica que un correo electrónico particular contenía un virus como un anexo, y que éste es uno de una serie de correos electrónicos que han sido recientemente procesados por el sistema. La base de datos tendrá en su registro de entradas elementos tales como el remitente y el destinatario, el sujeto del correo electrónico, los nombres y los tamaños de los anexos. Es posible, automáticamente, es decir, con el software, identificar los atributos almacenados relevantes de estos mensajes, y usarlos como base para la toma de la acción correctora con relación a los correos electrónicos comparables que se procesen subsiguientemente. Es también posible notificar a los destinatarios de los correos electrónicos comparables que hayan sido ya procesados, que tomen la acción correctora por sí mismos, por ejemplo, la de eliminar el correo electrónico no leído ni abierto, suponiendo que el sistema almacene el nombre del destinatario en texto corriente.
\newpage
Descripción de los dibujos
Se describirá además el invento, a modo de ejemplo no limitador, con referencia a los dibujos que se acompañan, en los cuales:
La Figura 1 ilustra el proceso de enviar un correo electrónico por Internet; y
La Figura 2 es un diagrama bloque de una realización del invento.
Realización ilustrada
Antes de describir la realización ilustrada del invento, se describirá brevemente un proceso típico de envío de un correo electrónico por Internet, con referencia a la Figura 1. Esto es exclusivamente para que sirva de ilustración; hay varios métodos para entregar y recibir correo electrónico por Internet, incluyendo, aunque sin quedar limitados a ellos, el SMTP, el IMAP4 y el UCCP de extremo a extremo. Hay también otros medios de conseguir correo electrónico de SMTP a POP3, incluyendo, por ejemplo, el uso de una conexión ISDN o línea alquilada, en vez de una conexión por un módem con marcación de teléfono.
Supongamos que un usuario 1A con una ID de correo electrónico "asender" que tiene su cuenta en "asource.com" desea enviar un correo electrónico a un cierto 1B con una cuenta de "arecipient" "adestination.com", y que esos dominios.com son mantenidos por los respectivos ISPs (Proveedores de Servicios de Internet). Cada uno de los dominios tiene un servidor de correo 2A, 2B, el cual incluye uno o más servidores de SMTP 3A, 3B para mensajes de salida, y uno o más servidores POP3 4A, 4B para los de entrada. Estos dominios forman parte de la red de Internet, la cual, para mayor claridad, se ha indicado por separado en 5. El proceso actúa como sigue:
1. Asender prepara el mensaje de correo electrónico usando el software de cliente de correo electrónico 1A, tal como el Microsoft Outlook Express, y los dirige a "arecipient@adestination.com".
2. Usando una conexión de módem por marcación de teléfono o similar, el cliente 1A de correo electrónico de asender se conecta al servidor de correo electrónico 2A en "mail.asource.com".
3. El cliente 1A de correo electrónico de asender lleva a cabo una conversación con el servidor 3A de SMTP, en el curso de la cual dice al servidor 3A del SMTP las direcciones del remitente y el destinatario, y le envía el cuerpo del mensaje (incluyendo cualquier anexo) transfiriendo así el correo electrónico 10 al servidor 3A.
4. El servidor 3A de SMTP hace el análisis sintáctico del campo TO del "sobre" con la dirección del correo electrónico en a) el destinatario y en b) el nombre del dominio del destinatario. Se supone, para los presentes fines, que los ISPs del remitente y de los destinatarios son diferentes, y de no ser así el servidor 3A de SMTP podría simplemente encaminar el correo electrónico a través de su servidor (o servidores) 4A POP3 asociados, para su recogida subsiguiente.
5. El servidor 3A del SMTP sitúa un servidor de Nombre de Dominio de Internet y obtiene una dirección IP para el servidor del correo del dominio de destino.
6. El servidor 3A del SMTP conecta el servidor 3B del SMTP en "adestination.com" a través del SMTP, y le envía las direcciones del remitente y del destinatario y el cuerpo del mensaje, en forma similar a como en el Paso 3.
7. El servidor 3B del SMTP reconoce que el nombre del dominio se refiera a sí mismo, y pasa el mensaje al servidor 4B de POP3 de "adestination", el cual pone el mensaje en un buzón de correos de "arecipient" para su recogida por el cliente 1B del correo electrónico de los destinatarios.
Hay varias formas en que se puede usar el correo electrónico para que produzca un efecto malicioso, siendo probablemente la más conocida generalmente la de un virus que se desplace con el correo electrónico como un anexo. Típicamente, la "apertura" por el destinatario del anexo, como por hacer un doble click en el mismo, permite que el virus, que puede ser un ejecutable binario o un código de cifra escrito a un interpretador alojado por el cliente del correo electrónico o por el sistema operativo, para ejecutar. Ni el problema de un intento malicioso, ni la solución del presente invento para el mismo, se limitan a virus de este tipo. Por ejemplo, otros ataques maliciosos pueden implica el aprovechamiento de la debilidad del sistema de entrega (SMTP + POP3), o del cliente del correo electrónico, como por formatear deliberadamente el campo de la cabecera de un correo electrónico de modo que se sepa que origine un funcionamiento defectuoso del software que lo procese.
Con referencia ahora a la Figura 2, se han ilustrado en ella, en forma de bloque, los subsistemas clave de una realización del presente invento. En el ejemplo que se está considerando, es decir, en el procesado de correo electrónico por un ISP, esos subsistemas se implementan mediante la ejecución de software en el ordenador (u ordenadores) del ISP. Estos ordenadores operan en una o más puertas de correo electrónico 20A...20N, pasando los mensajes de correo electrónico tales como el 10.
\newpage
Los varios subsistemas de la realización se describirán con más detalle en lo que sigue, pero brevemente expuesto comprenden:
- un descomponedor/analizador 21 del mensaje, el cual descompone los correos electrónicos en sus partes constituyentes, y las analiza para determinar si son candidatos a ser registrados;
- un registrador 22, el cual prepara una entrada en la base de datos por cada mensaje seleccionado como candidato para registro por el descomponedor/analizador 21;
- una base de datos 23, la cual almacena las entradas preparadas por el registrador 22;
- un buscador 24, el cual explora las nuevas entradas en la base de datos 23 buscando señales de tráfico que contenga virus;
- un "portero" 25, el cual señala los resultados del buscador 24 y opcionalmente detiene el paso de correos electrónicos que se adapten a los criterios del descomponedor/analizador 21, como indicadores de una amenaza de
virus.
\vskip1.000000\baselineskip
El "portero" 25 puede ser ejecutado de tal modo que los correos electrónicos que sean procesados por el sistema y no sean considerados como infectados con un virus puedan tener una notificación de texto insertada en los mismos, por ejemplo, como apéndice al texto del mensaje, que diga que el correo electrónico ha sido explorado por el sistema, de modo que el destinatario pueda ver que en efecto lo ha sido.
En conjunto, el sistema de la Figura 2 trabaja sobre los siguientes principios.
Los virus que son difundidos por correo electrónico pueden ser detectados mediante el examen de los patrones de tráfico de los correos electrónicos que crean.
La realización ilustrada se aplica a un conjunto de heurísticos para identificar virus en el correo electrónico.
Se da a continuación una lista no exhaustiva de criterios por los cuales se puede determinar que los correos electrónicos ejecutan esos heurísticos. También, o en vez de esos, se pueden usar otros criterios:
Contienen las mismas o similares líneas de sujeto;
Contienen los mismos o similares textos del cuerpo;
Contienen el anexo con el mismo nombre;
Contienen un anexo con el mismo resumen del mensaje;
Se dirigen a muchos destinatarios;
Se dirigen a destinatarios en orden alfabético, o en orden alfabético inverso;
Se envían a una dirección de correo electrónico particular, y luego se multiplican las salidas de la misma dirección de correo electrónico, y/o de direcciones de correo electrónico similares;
Contienen el mismo formato estructural;
Contienen las mismas peculiaridades estructurales;
Contienen las mismas cabeceras de mensaje no usuales.
\vskip1.000000\baselineskip
Los anteriores criterios deberían ser auto explicativos, excepto posiblemente los que se refieren al "resumen del mensaje" y a "peculiaridades estructurales"; estas expresiones se explican en lo que sigue.
A cada uno de los anteriores criterios se le asigna una puntuación numérica. Cada correo electrónico que pase por el sistema es analizado por el descomponedor/analizador 21, y registrado en una base de datos 23 mediante el registrador 22. Una rutina de búsqueda ejecutada por el buscador 24 analiza continuamente la nueva información que es almacenada en la base de datos, para ver si han sido enviados mensajes similares. Si lo están siendo, se calcula entonces el "grado de sospecha" del correo electrónico, usando un algoritmo que toma en consideración cómo son de similares los mensajes, y también cuántos de ellos han sido recibidos recientemente. Una vez que hayan pasado el umbral, todos los mensajes nuevos que se adapten a los criterios son detenidos como virus potenciales por el "portero" 25, y se hace aparecer un aviso.
El sistema puede generar un resumen del mensaje, al menos para aquellos mensajes que sean registrados en la base de datos. Los resúmenes de los mensajes son un medio conveniente y eficaz para identificar mensajes que tengan el mismo texto de mensaje y como un "mango" mediante el cual se recuperen una colección de entradas de registro que representen el mismo texto de mensaje que haya sido enviado en múltiples correos electrónicos. El resumen puede ser almacenado en la base de datos además, o en vez, de la lista de mensajes.
Un resumen de mensaje se crea, típicamente, aplicando un algoritmo de direccionamiento calculado de un sentido (tal como el MD5 o Resumen de Menaje-5) a una serie de caracteres (en el presente caso, por ejemplo, a los caracteres de un mensaje). Las ventajas de usar un resumen en esta aplicación son:
* Son típicamente más pequeños que el mensaje original, y son de longitud fija, de modo que pueden ser almacenados más fácilmente en una base de datos;
* Son típicamente funciones de un solo sentido, de modo que el mensaje original no puede ser vuelto a crear, preservando así la confidencialidad del cliente;
* Un pequeño cambio en el mensaje dará por resultado un resumen completamente diferente.
Por ejemplo, el resumen MD5 de "La lluvia en España cae principalmente en la llanura"es 6f7f4c35a219625efc5a
9ebad8fa8527, y el de "La lluvia en España cae principalmente en la llanura"es b417b67704f2dd2b5a812f99ade30e00. Estos dos mensajes difieren solamente en un bit (la "s" de España (En inglés Spain), ya que una E mayúscula se diferencia en un bit de una e minúscula en el conjunto de caracteres ASCII) pero los resúmenes son totalmente diferentes.
A continuación se dan algunos ejemplos de los criterios por los cuales se pueden valorar los correos electrónicos:
Peculiaridades estructurales: La mayoría de los correos electrónicos se generan mediante aplicaciones ensayadas y comprobadas. Estas aplicaciones generarán siempre el correo electrónico de un modo particular. Es frecuentemente posible identificar qué aplicación generó un correo electrónico particular, examinando para ello las cabeceras del correo electrónico y examinando también el formato de sus diferentes partes. Es además posible identificar los correos electrónicos que contengan peculiaridades, que o bien indiquen que el correo electrónico está tratando de parecer como si hubiera sido generado por un corresponsal electrónico conocido, pero no lo es, o bien que ha sido generado por un corresponsal nuevo y desconocido, o bien por una aplicación (la cual podría ser un virus o un gusano). Todos esos son sospechosos.
\vskip1.000000\baselineskip
Ejemplos Empleo inconsistente de letras mayúsculas
from: alex@star.co.uk
To: alex@star.co.uk
Las palabras from y to se diferencian en el empleo de letras mayúsculas
\vskip1.000000\baselineskip
Ordenación anormal de los elementos de la cabecera
Sujeto: Tower fault tolerance
Content-type: multipart/mixed; boundary="======_962609498==_"
Mime-Versión: 1.0
La cabecera en Mime-Versión va normalmente antes de la cabecera Content-type.
\vskip1.000000\baselineskip
Falta o sobra de elementos de la cabecera
x-Mailer: QUALCOMM Windows Eudora Pro Version 3.0.5(32)
Fecha: Lunes, 03 jul 2000 12:24:17 +0100
Eudora incluye también normalmente una cabecera X-Sender
\vskip1.000000\baselineskip
Formato de la ID del mensaje
ID del Mensaje <00270ibfe4elSb37dbdcOS9264010a@tomkins.int.star.co.uk>
X-Mailer: QUALCOMM Windows Eudora Pro Version 3.05 (32)
La cabecera X-mailer dice que el correo es generado por Eudora, pero el formato de la ID del mensaje es una ID de mensaje de Outlook, no una ID de mensaje de Eudora.
\vskip1.000000\baselineskip
Formato del límite
X-Mailer: Microsoft Outlook 8.5, Edificio 4.71.2173.0
Tipo de contenido: multipart/mixed; boundary="=======_962609498==_"
La cabecera de X-Mailer (Corresponsal-X) dice que el correo es generado por Outlook, pero el formato del límite (boundary) es un límite de Eudora, no de un límite de Outlook.
\vskip1.000000\baselineskip
Rotura de línea y otra composición de espacio en blanco en la cabecera del mensaje
A: "Andrew Wobley" <awebley@messagelabs.com>
"Matt Cave" <MCave@messagelabs.com>.
"Alex at Messagel.abs" ashipp@messagelabs.com
X-Mailer: QUALCOMM Windows Eudora Pro Version 3.0.5 (32)
El e-mailer (corresponsal electrónico) usa normalmente un solo espacio, y no tabuladores para líneas de continuación.
\vskip1.000000\baselineskip
Se origina en direcciones de IP o gamas de direcciones de IP particulares
La dirección IP del originario es por supuesto conocida, y por consiguiente puede ser usada para determinar si se ha satisfecho este criterio.
\vskip1.000000\baselineskip
Contiene construcciones especializadas
En algunos correos electrónicos se hace uso de la clave HTML para cifrar el contenido del mensaje. Con ello se busca frustrar los analizadores lingüísticos. Cuando se ve el correo en un cliente de correo, tal como Outlook, el texto es inmediatamente descifrado y presentado. Sería inusual hacer esto en un correo electrónico normal.
\vskip1.000000\baselineskip
"Sobres" con direcciones del remitente del mensaje vacíos
Un correo electrónico indica normalmente quien es el originario en el campo de texto de Remitente, y los que originen "spam" (correo basura) pondrán frecuentemente una entrada ficticia en ese campo, para disfrazar el hecho de que el correo electrónico está infectado. Sin embargo, se supone que la identidad del Remitente está también especificada en el protocolo bajo el cual los procesos por SMTP se hablan uno con otro en la transferencia de correo electrónico, y este criterio se ve afectado por la ausencia de la identificación del Remitente en la ranura de protocolo relevante, es decir, en la ranura de protocolo de Correo De.
\vskip1.000000\baselineskip
Direcciones de correo electrónico del remitente del mensaje no válidas
Este criterio es complementario del elemento 8, y comporta la consideración tanto del campo del remitente del mensaje como de la ranura de protocolo del remitente, en cuanto a que sean no válidos. El correo electrónico puede proceder de un dominio que no exista o que no siga las reglas normales para el dominio. Por ejemplo, una dirección en HotMail de "123@hotmail.com" no es válida, ya que las direcciones de HotMail no pueden ser de todos
números.
Se pueden examinar una serie de campos del correo electrónico en cuanto a entradas no válidas, incluyendo los de "Remitente", "De", y "Errores en".
\newpage
Direcciones del remitente del mensaje que no se adapten al servidor del correo desde el cual se envía el correo
El servidor de correo local conoce, o al menos puede averiguar del protocolo, la dirección del remitente del correo, y por lo tanto puede llegar a una determinación acerca de si ésta se adapta a la dirección del remitente contenida en el texto del correo.
En una ejecución real del sistema de la Figura 2, se prefiere una red de puertas 20 de correo electrónico, de modo que el correo electrónico pueda ser procesado a la escala requerida. Cuanto más extendida esté esa red, y tanto más correo electrónico sea procesado, tanto mayor será la posibilidad de poder interceptar los nuevos virus, reconocer los síntomas, y detener las nuevas ocurrencias antes de que el virus llegue a difundirse demasiado. Sin embargo, el uso de una serie de puertas de correo electrónico no es un componente esencial del sistema; el sistema es capaz de reconocer y detectar los nuevos virus, incluso aunque solamente se use una puerta de correo electrónico, e incluso aunque pase una pequeña cantidad de correo electrónico a través de ella.
Todo el correo electrónico es hecho pasar a través del analizador/descomponedor 21, en el cual se descompone el correo electrónico en sus partes constituyentes. Para fines heurísticos del tráfico, cada parte se clasifica como:
La cabecera de correo electrónico/cabeceras de Mime (Multipurpose Internet Mail Extensions - Extensiones de Correo por Internet Multifunción)
Un componente considerado normalmente como parte del mensaje;
Un componente considerado normalmente como un anexo.
Cada parte es luego analizada además para ver si tiene la posibilidad de contener amenazas potenciales.
Cabecera de correo electrónico/cabeceras de Mime: Se pueden usar líneas excesivamente largas, o líneas con una sintaxis inusual para inutilizar los hojeadores particulares, originando ya sea un ataque de negación del servicio o ya sea una exploración que pueda dar lugar a una quiebra de la seguridad, o bien difundir un virus.
Un componente considerado normalmente como parte del mensaje: Éstos pueden contener un código ejecutable incorporado. Por ejemplo, un mensaje en HTML puede contener un código de cifra en varios lenguajes de ordenador, o bien puede contener elementos (tales como etiquetas de <frameset> (conjunto de cuadros) o de <object> (objeto) que hayan sido ya presentados como explotables.
Un componente considerado normalmente como un anexo: Éstos pueden ser ejecutables directamente, tal como un archivo EXE. Pueden contener un código ejecutable incorporado, tal como un documento de Microsoft Word que contenga una macro. Pueden contener archivos de archivar u otros archivos de contenedor, que de por sí puedan contener otros componentes peligrosos. Por ejemplo, un archivo ZIP puede contener un ejecutable.
Normalmente, el anexo debe contener algún elemento ejecutable para que sea visto como una amenaza potencial. Sin embargo, el sistema es susceptible de ser conmutado a un modo en el que vea todos los anexos como una amenaza potencial. Esto se hace para atender a dos posibilidades, tales como:
Un documento, tal como una imagen jpg puede contener un formateo ilegal que inutilice la aplicación usada para ver el anexo. Esto puede originar ya sea un ataque de negación del servicio, o ya sea una explotación que pueda originar una quiebra de la seguridad o difundir un virus.
El cuerpo del mensaje puede contener instrucciones que, si se siguen, convierten el anexo a una forma peligrosa, por ejemplo, `renombrar la imagen.jpc en imagen.exe'.
Después de analizar cada componente, si entonces cualquier componente tiene la posibilidad de contener una amenaza potencial, se registra el mensaje mediante el registrador 22 en la base de datos 23. De lo contrario, no se registra el mensaje.
El registrador 22 está programado de modo que el sistema registre los componentes de cada mensaje para que puedan ser detectados los mensajes que sean similares. Se registran los siguientes:
Línea de sujeto y resumen de la línea de sujeto;
Los primeros pocos caracteres de la parte de texto de correo electrónico, el resumen de la primera parte de texto, y el resumen de los primeros pocos caracteres;
Nombre del primer anexo;
Resumen del primer anexo;
Número de destinatarios;
Si los destinatarios están en orden alfabético, o en orden alfabético inverso;
Hora del registro;
Resumen del remitente;
Resumen del primer destinatario;
Indicadores de formato estructural;
Indicadores de peculiaridades estructurales;
Cabeceras inusuales de los mensajes;
Hora en que llegó el correo electrónico;
La anterior lista no es exhaustiva, y el invento no queda limitado a esa combinación particular de elementos de información.
La base de datos 23 registra detalles acerca de los mensajes, y permite investigar los detalles con objeto de hallar patrones de correos electrónicos duplicados o similares.
Con objeto de dar respuestas, el registro puede ser una operación de una capa o de varias capas. Por ejemplo, los mensajes pueden ser registrados localmente en una base de datos que esté geográficamente próxima a los servidores de correo electrónico, y ser analizados localmente. Esto da una respuesta rápida a los patrones de tráfico locales. Sin embargo, los registros pueden ser también copiados de vuelta a una base de datos central para efectuar un análisis global. Éste será más lento en reaccionar, pero será capaz de reaccionar sobre patrones globales, en vez de
locales.
Las entradas de registro antiguas son borradas automáticamente de la base de datos 23, ya que no se necesitarán más - el sistema está diseñado para proporcionar un aviso temprano de nuevos virus.
El buscador 24 interroga periódicamente a la base de datos buscando mensajes similares recientes y generando una puntuación mediante el análisis de los componentes. Dependiendo de la puntuación, el sistema puede identificar una amenaza `definida' o bien una amenaza `potencial'. Una amenaza definida hace que sea enviada una firma de vuelta al "portero", de modo que todos los mensajes futuros con esa característica sean detenidos. Una amenaza potencial hace que sea enviado un aviso a un operador, quien puede entonces decidir tratarlo como si fuera una amenaza definida, marcarlo como una falsa alarma de modo que no se comuniquen los futuros casos de ese tipo, o bien esperar y ver lo que ocurre.
El buscador puede ser configurado con diferentes parámetros, de modo que puede ser más flexible si busca registros de una sola puerta de correo electrónico, y menos sensible si procesa una base de datos de información a escala mundial.
Cada criterio puede llevar asociada una puntuación diferente.
Se puede ajustar el tiempo entre búsquedas.
El intervalo de tiempo que cubre cada búsqueda puede ajustarse, y se pueden acomodar múltiples intervalos de tiempo.
Se pueden establecer umbrales generales.
El "portero" 25 toma las firmas del buscador 24. La firma identifica las características de los correos electrónicos que deban ser detenidos. Al recibir la firma, todos los futuros correos electrónicos comparables son tratados como virus, y detenidos.
Evidentemente, la acción de parar puede adoptar una serie de formas, incluyendo
- Eliminar los correos electrónicos infectados sin enviarlos a sus destinatarios a los que vayan dirigidos.
- Guardarlos en almacenamiento temporal y notificar las direcciones por correo electrónico de que se ha interceptado un mensaje infectado y que está siendo retenido durante un período de tiempo para su recuperación, si lo desean, y de no se así será borrado.
\newpage
- Desinfectar el correo electrónico retirando para ello la amenaza de virus por cualesquiera medios adecuados; por ejemplo, si el virus es un anexo ejecutable, puede ser separado o desactivado antes de enviar el correo electrónico a sus direcciones. El correo electrónico puede ser modificado mediante la inclusión de un mensaje de texto que diga que el correo electrónico ha sido desinfectado.
Cuando se detecte un virus, un servidor de correo automático 30 puede notificar otros lugares de las características relevantes de los correos electrónicos infectados, ya sea para avisar a los operadores humanos, o ya sea para suministrar realizaciones del invento en lugares alejados con las características de los correos electrónicos necesarias para que sus "porteros" 25 los detengan.
Algoritmo típico
Lo que sigue es un posible algoritmo que puede ser ejecutado mediante el buscador 24 en una realización ilustrada del invento.
Con referencia a los criterios de valoración del correo electrónico del ejemplo expuestos en lo que antecede, se apreciará que un correo electrónico que sea sometido a consideración tiene una serie de atributos, que pueden ser representados como valores de datos en un programa de ordenador, dependiendo el tipo de datos de la naturaleza del atributo. Por ejemplo, la longitud del mensaje y el número de anexos son números enteros, mientras que las diversas cabeceras de texto (por ejemplo, Para, Enviar A, Sujeto) son cadenas de caracteres, ya que son resúmenes tales como el resumen del mensaje. En lo que sigue se consideran los correos electrónicos como iguales, de acuerdo con un criterio dado, si los atributos correspondientes son iguales en los casos de números enteros y de cadenas de caracteres. En el caso de una cadena de caracteres, cuando sea apropiado, se puede determinar la igualdad mediante una comparación insensible del caso. Las comparaciones insensibles del caso son apropiadas para los campos de texto de un correo electrónico, pero no necesariamente para otras cadenas de caracteres. (En el caso de un atributo representado por un valor de coma flotante, el experto será consciente de que habrán de hacerse las comparaciones sobre la base de si el valor absoluto de la diferencia es mayor que un cierto pequeño valor arbitrario, a veces denominado como un "epsilon" en la literatura técnica, que es de por sí mayor que el error de redondeo).
En lo que sigue, los números entre paréntesis son números de paso, para identificar los pasos efectuados a intervalos regulares (100);
Para cada criterio A, medimos (110)
Para cada intervalo de tiempo de B minutos medimos (200)
Obtener el conjunto S de muestra de correos electrónicos durante los últimos B minutos, cuando su valor, de acuerdo con un criterio A seleccionado, sea igual (210). Dividir el conjunto de muestra si el mismo contiene valores que no pueden ser el mismo virus (por ejemplo, si ciertos correos electrónicos del conjunto contienen una cifra HTML y algunos contienen una EXE, éstos no pueden ser el mismo virus, y deberá ser tratado cada uno como un conjunto S separado según el paso (210).
Para cada conjunto de muestra S (300)
Establecer X = recuento de correos en el conjunto de muestra (310)
Multiplicar X, obtenido del paso (310) por un factor de importancia C para el criterio A (320). Cada criterio tiene un factor de importancia respectivo, que depende de la naturaleza del criterio, ya que algunos criterios, por ejemplo, el del nombre de un anexo de archivo, puede ser más significativo que otros en cuanto a valorar la probabilidad de una amenaza de virus; (comentarios similares son de aplicación a los otros factores que se mencionan en lo que sigue)
Añadir a X procedente del paso 320 un segundo factor de importancia D por cada otro criterio A2, cuando A2 sea también igual sobre el conjunto de muestra S (330)
Añadir a X del paso (330) un tercer factor de importancia E por cada otro criterio A3, cuando A3 tenga un conjunto limitado de valores diferentes sobre el conjunto de muestra S (340). Se entiende por "Margen limitado" uno >1 y < R. Cada intercalo de tiempo B tiene un R respectivo
Añadir a X procedente del paso (340) un factor de difusión (P por T) si el conjunto de muestra contiene Q correos electrónicos que entren en un dominio, y además T copias que salgan del dominio (donde T > Q) (350). Cada intervalo de tiempo B tiene un P y un Q diferentes
Si X procedente del paso (350) es mayor que el umbral V (cada intervalo de tiempo B tiene un umbral respectivo V), marcar entonces como virus (360)
Si no es así
Si X procedente del paso (350) es mayor que el umbral O (cada intervalo de tiempo B tiene un umbral respectivo O), donde O es menor que V, marcar entonces como que se necesita la ayuda del operador (370). El operador puede entonces valorar si hay o no presente una amenaza de virus, y dar instrucciones al software para proceder en consecuencia
Siguiente conjunto de muestra (380)
Siguiente intervalo (210).
Obsérvese que los tres "factores" de importancia C, D, E, el factor de difusión y los umbrales son valores numéricos que pueden ser establecidos empíricamente y pueden ser ajustados dinámicamente. También, el algoritmo puede ser aplicado usando uno o más valores diferentes para el intervalo de tiempo B, por ejemplo, de 5 minutos, de 30 minutos, y de 180 minutos.
Dicho claramente: buscamos correos electrónicos de características similares que lleguen en un período de tiempo dado. Cuantos más correos electrónicos similares encontremos, tanto más sospecharemos. Si los correos electrónicos tienen además otras características en común, esto hace que sean todavía más sospechosos.
Algunas cosas pueden despertar más sospechas que otras - por ejemplo, podemos elegir asignar una puntuación más alta si vemos correos electrónicos con un anexo designado con el mismo nombre, que si vemos correos electrónicos con la misma línea de sujeto.
Si vemos correos electrónicos que sean enviados a un dominio, y luego salen flotando fuera, eso es también para despertar sospechas.
Aunque en lo que antecede se ha descrito el invento con referencia a su aplicación al correo electrónico por Internet, no está limitado a tal correo electrónico; el invento es igualmente aplicable a otras redes locales o de gran área, públicas o locales, o a combinaciones de tales redes entre sí y con Internet, así como al correo electrónico enviado por WAP (Protocolo de Acceso Inalámbrico) y por SMS (Servicio de Mensajería Simple) para teléfonos móviles y dispositivos similares.

Claims (54)

1. Un método automático para procesar correo electrónico, caracterizado porque con objeto de detectar la difusión de virus anteriormente desconocidos, el método comprende vigilar el tráfico de correo electrónico que pasa a través de uno o más nodos de una red, comprendiendo esa vigilancia:
a) registrar (22) los detalles acerca de los correos electrónicos en una base de datos (23); y
b) buscar (24) en la base de datos patrones de tráfico de correo electrónico que sean indicadores de, o sugieran, la difusión de un virus llevado por el correo electrónico, aplicando para ello un conjunto predeterminado de criterios de sospecha a los atributos, por ejemplo, a la longitud del mensaje, al número de anexos, a la dirección IP del remitente, al resumen del primer anexo de los correos electrónicos, incluyendo el conjunto criterios que se refieren a una pluralidad de partes constituyentes, por ejemplo, a la línea de sujeto, a los destinatarios, al texto del mensaje, a los anexos de los correos electrónicos, y,
una vez detectado uno de tales patrones, iniciar (25) una acción de remedio automática, avisar a un operador, o ambas cosas.
2. Un método de acuerdo con la reivindicación 1, en el que en el paso b) se aplican diferentes factores de importancia numéricos a los diferentes criterios de sospecha.
3. Un método de acuerdo con la reivindicación 1 ó 2, en el que en la aplicación de los criterios del conjunto predeterminado de criterios de sospecha, se asigna a un conjunto de correos electrónicos una puntuación numérica calculada de acuerdo con una combinación seleccionada de dichos criterios, y se marca como vírica si la puntuación excede de un umbral predeterminado.
4. Un método de acuerdo con la reivindicación 3, en el que si la puntuación no excede de dicho umbral, pero excede de un segundo umbral inferior, se marca el conjunto de correos electrónicos para la atención de un operador.
5. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 4, en el que el registro de un correo electrónico incluye registrar un resumen de:
el texto del mensaje;
la línea de sujeto;
los primeros pocos caracteres de la parte de texto del correo electrónico;
la primera parte de texto del correo electrónico;
el primer anexo;
el remitente; o
el primer destinatario.
6. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 5, en el que uno de dichos criterios es el de que un correo electrónico contenga un empleo de las letras mayúsculas inconsistente.
7. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 6, en el que uno de dichos criterios es el de que un correo electrónico tenga una rotura de línea u otra composición de espacio en blanco en las cabeceras del mensaje inconsistente con el generador que se haya indicado del correo electrónico.
8. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 7, en el que uno de dichos criterios es el de que un correo electrónico tenga una ordenación anormal de los elementos de la cabecera.
9. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 8, en el que uno de dichos criterios es el de que un correo electrónico tenga falta o sobra de elementos de la cabecera.
10. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 9, en el que uno de dichos criterios es el de que un correo electrónico tenga una información de ID del mensaje inconsistente.
11. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 10, en el que uno de dichos criterios es el de que un correo electrónico tenga un formato de límite inconsistente con el generador que se haya indicado del correo electrónico.
\newpage
12. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 11, en el que uno de dichos criterios es el de que la parte de mensaje de un correo electrónico esté cifrada para frustrar un análisis lingüístico.
13. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 12, en el que uno de dichos criterios es el de que un correo electrónico tenga un "sobre" con la dirección del remitente del mensaje que esté vacío.
14. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 13, en el que uno de dichos criterios es el de que un correo electrónico tenga una dirección del remitente del mensaje no válida.
15. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 14, en el que uno de dichos criterios es el de que un correo electrónico tenga una dirección del remitente del mensaje que no se adapte a la del servidor del correo desde el cual fue enviado.
16. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 15, en el que uno de dichos criterios es el de que los correos electrónicos sean dirigidos a destinatarios en orden alfabético o en orden alfabético inverso.
17. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 16, en el que uno de dichos criterios es el de que los correos electrónicos sean enviados a una dirección de correo electrónico particular y luego se les den salidas múltiples desde la misma dirección de correo electrónico y/o a las mismas direcciones de correo electrónico y/o a direcciones de correo electrónico similares.
18. Un método de acuerdo con una cualquiera de las reivindicaciones 6 a 17, en el que uno de dichos criterios es el de que los correos electrónicos contengan el mismo formato estructural.
19. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 18, en el que uno de dichos criterios es el de que los correos electrónicos contengan las mismas cabeceras inusuales.
20. Un método de acuerdo con una cualquiera de las reivindicaciones 1 a 19, en el que uno de dichos criterios es el de que los correos electrónicos contengan las mismas peculiaridades estructurales.
21. Un método de acuerdo con una cualquiera de las reivindicaciones precedentes, en el que uno de dichos criterios es el de que un correo electrónico se origine en una dirección IP particular, o bien en una dirección comprendida en un margen de direcciones IP.
22. Un método de acuerdo con una cualquiera de las reivindicaciones precedentes, en el que los detalles de un correo electrónico no son registrados si el análisis del correo electrónico determina que no es posible que el correo electrónico contenga un virus.
23. Un método de acuerdo con una cualquiera de las reivindicaciones precedentes, en el que en la búsqueda se examinan, principal o exclusivamente, solamente las entradas recientemente añadidas a la base de datos, es decir, las entradas que hayan sido añadidas desde hace menos de un tiempo predeterminado.
24. Un método de acuerdo con una cualquiera de las reivindicaciones precedentes, en el que la acción de remedio incluye cualquiera o todas de las siguientes, en relación con cada correo electrónico que se adapte al patrón detectado:
a)
detener al menos temporalmente el paso de los correos electrónicos
b)
notificar el remitente del correo electrónico
c)
notificar al destinatario (destinatarios) previsto del correo electrónico
d)
desinfectar el correo electrónico
e)
generar una señal para avisar a un operador humano.
25. Un método de acuerdo con una cualquiera de las reivindicaciones precedentes y que incluye enviar un mensaje que identifique los correos electrónicos sospechosos a un servidor de correo electrónico automatizado.
26. Un método de acuerdo con una cualquiera de las reivindicaciones precedentes y que incluye el paso de procesar los correos electrónicos infectados para desinfectarlos, o bien para desactivar un virus que haya en los mismos.
27. Un método de acuerdo con una cualquiera de las reivindicaciones precedentes y que incluye el paso de insertar en los correos electrónicos no aceptados que puedan estar infectados por virus, un mensaje que indique que el correo electrónico ha sido procesado.
28. Un sistema automático, en o para una red de ordenador por la cual los usuarios se envían entre sí correo electrónico, para procesar correo electrónico para detectar la difusión de virus anteriormente desconocidos, comprendiendo el sistema:
medios para vigilar el tráfico de correo electrónico que pasa a través de uno o más nodos de la red, cuyos medios comprenden:
a) medios para registrar (22) detalles acerca de los correos electrónicos en una base de datos (23), y
b) medios para buscar (24) en la base de datos patrones del tráfico de correo electrónico que sean indicadores de, o sugieran, la difusión de un virus llevado por el correo electrónico, aplicando para ello un conjunto predeterminado de criterios de sospecha a atributos, por ejemplo, la longitud del mensaje, el número de anexos, la dirección IP del remitente, el resumen del primer anexo de los correos electrónicos, el conjunto que incluye los criterios que se refieren a una pluralidad de partes constituyentes, por ejemplo, la línea de sujeto, los destinatarios, el texto del mensaje de los correos electrónicos; y
medios operativos para, una vez que haya sido detectado tal patrón, iniciar (25) la acción de remedio automática, avisar a un operador, o ambas cosas.
29. Un sistema de acuerdo con la reivindicación 28, en el que en la operación de los medios b) se aplican diferentes factores de importancia numéricos a los diferentes criterios de sospecha.
30. Un sistema de acuerdo con la reivindicación 28 ó 29, en el que, en la aplicación del conjunto predeterminado de criterios de sospecha, se asigna a un conjunto de correos electrónicos una puntuación numérica calculada de acuerdo con una combinación seleccionada de dichos criterios, y se marca como vírica la puntuación excede de un umbral predeterminado.
31. Un sistema de acuerdo con la reivindicación 30, en el que si la puntuación no excede de dicho umbral, pero excede de un segundo umbral más bajo, se marca el conjunto de correos electrónicos para la atención de un operador.
32. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 31, en el que el registro de un correo electrónico incluye registrar un resumen de:
el mensaje de texto;
la línea de sujeto;
los primeros pocos caracteres de la parte de texto del correo electrónico;
la primera parte de texto del correo electrónico;
el primer anexo;
el remitente; o
el primer destinatario.
33. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 32, en el que uno de dichos criterios es el de que un correo electrónico contenga un empleo inconsistente de las letras mayúsculas.
34. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 33, en el que uno de dichos criterios es el de que un correo electrónico tenga una rotura de línea u otra composición de espacio en blanco en las cabeceras del mensaje inconsistentes con el generador que se haya indicado del correo electrónico.
35. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 34, en el que uno de dichos criterios es el de que un correo electrónico tenga una ordenación anormal de los elementos de la cabecera.
36. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 35, en el que uno de dichos criterios es el de que un correo electrónico tenga falta o sobra de elementos de la cabecera.
37. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 36, en el que uno de dichos criterios es el de que un correo electrónico tenga una información de ID del mensaje inconsistente.
38. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 37, en el que uno de dichos criterios es el de que un correo electrónico tenga un formato del límite inconsistente con el generador que se haya indicado del correo electrónico.
39. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 38, en el que uno de dichos criterios es el de que la parte de mensaje de un correo electrónico esté cifrada para frustrar el análisis lingüístico.
40. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 39, en el que uno de dichos criterios es el de que un correo electrónico tenga un sobre con la dirección del remitente del mensaje vacío.
41. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 40, en el que uno de dichos criterios es el de que un correo electrónico tenga una dirección del remitente del mensaje no válida.
42. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 41, en el que uno de dichos criterios es el de que un correo electrónico tenga una dirección del remitente del mensaje que no se adapte a la del servidor del correo electrónico desde el cual se haya enviado.
43. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 42, en el que uno de dichos criterios es el de que los correos electrónicos sean dirigidos a destinatarios en orden alfabético, o en orden alfabético inverso.
44. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 43, en el que uno de dichos criterios es el de que los correos electrónicos sean enviados a una dirección de correo electrónico particular y luego se multipliquen las salidas desde la misma dirección de correo electrónico y/o desde direcciones de correo electrónico similares.
45. Un sistema de acuerdo con una cualquiera de las reivindicaciones 33 a 44, en el que uno de dichos criterios es el de que los correos electrónicos contengan el mismo formato estructural.
46. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 45, en el que uno de dichos criterios es el de que los correos electrónicos contengan las mismas cabeceras inusuales.
47. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 46, en el que uno de dichos criterios es el de que los correos electrónicos contengan las mismas peculiaridades estructurales.
48. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 47, en el que uno de dichos criterios es el de que un correo electrónico se origine en una dirección de IP o en una dirección comprendida en un margen de direcciones de IP particulares.
49. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 48, en el que en la operación de dichos medios, los detalles de un correo electrónico no sean registrados si el análisis del correo electrónico determina que no es posible que el correo electrónico contenga un virus.
50. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 49, en el que, en la operación, en la búsqueda se examinan, principal o exclusivamente, solamente las entradas en la base de datos añadidas recientemente, es decir, las entradas que hayan sido añadidas desde hace menos de un tiempo predeterminado.
51. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 50, en el que los medios de iniciar son operativos de tal modo que la acción de remedio incluye cualquiera, o todos, de los siguientes, en relación con cada correo electrónico que se adapte al patrón detectado:
a)
detener al menos temporalmente el paso de los correos electrónicos
b)
notificar al remitente del correo electrónico
c)
notificar al destinatario (o destinatarios) previsto del correo electrónico
d)
desinfectar el correo electrónico
e)
generar una señal para avisar a un operador humano.
52. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 51, y que incluye medios para enviar un mensaje que identifique correos electrónicos sospechosos a un servidor de correo electrónico automatizado.
53. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 52, y que incluye medios para procesar los correos electrónicos infectados, para desinfectarlos o para desactivar un virus que haya en los mismos.
54. Un sistema de acuerdo con una cualquiera de las reivindicaciones 28 a 53, y que incluye medios para insertar en los correos electrónicos aceptados como no infectados por un virus, un mensaje que indique que el correo electrónico ha sido procesado.
ES01949640T 2000-07-07 2001-07-06 Metodo y sistema para procesar correo electronico. Expired - Lifetime ES2287140T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0016835 2000-07-07
GBGB0016835.1A GB0016835D0 (en) 2000-07-07 2000-07-07 Method of, and system for, processing email

Publications (1)

Publication Number Publication Date
ES2287140T3 true ES2287140T3 (es) 2007-12-16

Family

ID=9895305

Family Applications (1)

Application Number Title Priority Date Filing Date
ES01949640T Expired - Lifetime ES2287140T3 (es) 2000-07-07 2001-07-06 Metodo y sistema para procesar correo electronico.

Country Status (11)

Country Link
US (1) US7877807B2 (es)
EP (1) EP1299791B1 (es)
AT (1) ATE361489T1 (es)
AU (1) AU2001270763A1 (es)
CY (1) CY1106782T1 (es)
DE (1) DE60128227T2 (es)
DK (1) DK1299791T3 (es)
ES (1) ES2287140T3 (es)
GB (2) GB0016835D0 (es)
PT (1) PT1299791E (es)
WO (1) WO2002005072A2 (es)

Families Citing this family (126)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089591B1 (en) 1999-07-30 2006-08-08 Symantec Corporation Generic detection and elimination of marco viruses
US6886099B1 (en) * 2000-09-12 2005-04-26 Networks Associates Technology, Inc. Computer virus detection
WO2002065316A1 (en) * 2001-02-12 2002-08-22 Legato Systems, Inc. System and method of indexing unique electronic mail messages and uses for the same
EP1388068B1 (en) * 2001-04-13 2015-08-12 Nokia Technologies Oy System and method for providing exploit protection for networks
US7673342B2 (en) * 2001-07-26 2010-03-02 Mcafee, Inc. Detecting e-mail propagated malware
US20030097409A1 (en) * 2001-10-05 2003-05-22 Hungchou Tsai Systems and methods for securing computers
JP3693244B2 (ja) * 2001-10-31 2005-09-07 株式会社日立製作所 電子メールシステム、メールサーバ及びメール端末
WO2003058879A1 (en) * 2002-01-08 2003-07-17 Seven Networks, Inc. Secure transport for mobile communication network
GB2384659B (en) * 2002-01-25 2004-01-14 F Secure Oyj Anti-virus protection at a network gateway
US20030154394A1 (en) * 2002-02-13 2003-08-14 Levin Lawrence R. Computer virus control
US7237008B1 (en) * 2002-05-10 2007-06-26 Mcafee, Inc. Detecting malware carried by an e-mail message
US7155742B1 (en) 2002-05-16 2006-12-26 Symantec Corporation Countering infections to communications modules
US20030226014A1 (en) * 2002-05-31 2003-12-04 Schmidt Rodney W. Trusted client utilizing security kernel under secure execution mode
GB2394382A (en) 2002-10-19 2004-04-21 Hewlett Packard Co Monitoring the propagation of viruses through an Information Technology network
GB2391419A (en) * 2002-06-07 2004-02-04 Hewlett Packard Co Restricting the propagation of a virus within a network
GB2401280B (en) 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
US7418732B2 (en) * 2002-06-26 2008-08-26 Microsoft Corporation Network switches for detection and prevention of virus attacks
US7418729B2 (en) 2002-07-19 2008-08-26 Symantec Corporation Heuristic detection of malicious computer code by page tracking
US7380277B2 (en) * 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7478431B1 (en) 2002-08-02 2009-01-13 Symantec Corporation Heuristic detection of computer viruses
WO2004015954A1 (en) * 2002-08-07 2004-02-19 British Telecommunications Public Limited Company Server for sending electronics messages
DE10243243B4 (de) * 2002-09-17 2005-01-27 T-Mobile Deutschland Gmbh Verfahren zur empfängerseitigen automatischen Behandlung von unerwünschter elektronischer Post in Kommunikationsnetzen
US7159149B2 (en) 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
US7631353B2 (en) 2002-12-17 2009-12-08 Symantec Corporation Blocking replication of e-mail worms
US7296293B2 (en) 2002-12-31 2007-11-13 Symantec Corporation Using a benevolent worm to assess and correct computer security vulnerabilities
US7917468B2 (en) * 2005-08-01 2011-03-29 Seven Networks, Inc. Linking of personal information management data
US8468126B2 (en) * 2005-08-01 2013-06-18 Seven Networks, Inc. Publishing data in an information community
US8266215B2 (en) 2003-02-20 2012-09-11 Sonicwall, Inc. Using distinguishing properties to classify messages
US7299261B1 (en) 2003-02-20 2007-11-20 Mailfrontier, Inc. A Wholly Owned Subsidiary Of Sonicwall, Inc. Message classification using a summary
US7529754B2 (en) 2003-03-14 2009-05-05 Websense, Inc. System and method of monitoring and controlling application files
US7185015B2 (en) * 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
GB2400934B (en) 2003-04-25 2005-12-14 Messagelabs Ltd A method of,and system for detecting mass mailing viruses
US7796515B2 (en) 2003-04-29 2010-09-14 Hewlett-Packard Development Company, L.P. Propagation of viruses through an information technology network
GB2401281B (en) 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
US8271774B1 (en) 2003-08-11 2012-09-18 Symantec Corporation Circumstantial blocking of incoming network traffic containing code
WO2005050369A2 (en) * 2003-11-12 2005-06-02 The Trustees Of Columbia University In The City Ofnew York Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US20050198168A1 (en) * 2003-12-04 2005-09-08 Justin Marston Messaging protocol discovery
US7971254B1 (en) * 2004-01-28 2011-06-28 Netgear, Inc. Method and system for low-latency detection of viruses transmitted over a network
US7721334B2 (en) 2004-01-30 2010-05-18 Microsoft Corporation Detection of code-free files
US8220055B1 (en) * 2004-02-06 2012-07-10 Symantec Corporation Behavior blocking utilizing positive behavior system and method
US8214438B2 (en) * 2004-03-01 2012-07-03 Microsoft Corporation (More) advanced spam detection features
US8073911B2 (en) * 2004-05-12 2011-12-06 Bluespace Software Corporation Enforcing compliance policies in a messaging system
US7370233B1 (en) 2004-05-21 2008-05-06 Symantec Corporation Verification of desired end-state using a virtual machine environment
US7870200B2 (en) * 2004-05-29 2011-01-11 Ironport Systems, Inc. Monitoring the flow of messages received at a server
US7441042B1 (en) 2004-08-25 2008-10-21 Symanetc Corporation System and method for correlating network traffic and corresponding file input/output traffic
GB2418500A (en) * 2004-09-27 2006-03-29 Clearswift Ltd Detection, quarantine and modification of dangerous web pages
GB0422441D0 (en) * 2004-10-08 2004-11-10 I Cd Publishing Uk Ltd Processing electronic communications
US10043008B2 (en) 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files
US8104086B1 (en) 2005-03-03 2012-01-24 Symantec Corporation Heuristically detecting spyware/adware registry activity
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
GB0512744D0 (en) * 2005-06-22 2005-07-27 Blackspider Technologies Method and system for filtering electronic messages
US8069166B2 (en) * 2005-08-01 2011-11-29 Seven Networks, Inc. Managing user-to-user contact with inferred presence information
WO2007022454A2 (en) 2005-08-18 2007-02-22 The Trustees Of Columbia University In The City Of New York Systems, methods, and media protecting a digital data processing device from attack
US8544097B2 (en) * 2005-10-14 2013-09-24 Sistema Universitario Ana G. Mendez, Inc. Attachment chain tracing scheme for email virus detection and control
WO2007050667A2 (en) 2005-10-25 2007-05-03 The Trustees Of Columbia University In The City Of New York Methods, media and systems for detecting anomalous program executions
WO2007082308A2 (en) * 2006-01-13 2007-07-19 Bluespace Software Corp. Determining relevance of electronic content
US7769395B2 (en) * 2006-06-20 2010-08-03 Seven Networks, Inc. Location-based operations and messaging
US8239915B1 (en) 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
US8135994B2 (en) 2006-10-30 2012-03-13 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting an anomalous sequence of function calls
GB0621656D0 (en) 2006-10-31 2006-12-06 Hewlett Packard Development Co Data file transformation
KR100859664B1 (ko) * 2006-11-13 2008-09-23 삼성에스디에스 주식회사 전자메일의 바이러스 감염여부 판정방법
US9654495B2 (en) * 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
GB2444514A (en) * 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US9729513B2 (en) 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
CN101212470B (zh) * 2006-12-30 2011-05-04 中国科学院计算技术研究所 一种能够抵御垃圾邮件的分布式邮件系统
GB2458094A (en) * 2007-01-09 2009-09-09 Surfcontrol On Demand Ltd URL interception and categorization in firewalls
GB0709527D0 (en) * 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US8805425B2 (en) * 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
US8364181B2 (en) 2007-12-10 2013-01-29 Seven Networks, Inc. Electronic-mail filtering for mobile devices
US9002828B2 (en) * 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
US8787947B2 (en) * 2008-06-18 2014-07-22 Seven Networks, Inc. Application discovery on mobile devices
US8078158B2 (en) 2008-06-26 2011-12-13 Seven Networks, Inc. Provisioning applications for a mobile device
US8909759B2 (en) 2008-10-10 2014-12-09 Seven Networks, Inc. Bandwidth measurement
US8863279B2 (en) 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
CA2806527A1 (en) 2010-07-26 2012-02-09 Seven Networks, Inc. Mobile network traffic coordination across multiple applications
US20120066759A1 (en) * 2010-09-10 2012-03-15 Cisco Technology, Inc. System and method for providing endpoint management for security threats in a network environment
US8484314B2 (en) 2010-11-01 2013-07-09 Seven Networks, Inc. Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8417823B2 (en) 2010-11-22 2013-04-09 Seven Network, Inc. Aligning data transfer to optimize connections established for transmission over a wireless network
WO2012071384A2 (en) 2010-11-22 2012-05-31 Michael Luna Optimization of resource polling intervals to satisfy mobile device requests
EP2661697B1 (en) 2011-01-07 2018-11-21 Seven Networks, LLC System and method for reduction of mobile network traffic used for domain name system (dns) queries
US20120271903A1 (en) 2011-04-19 2012-10-25 Michael Luna Shared resource and virtual resource management in a networked environment
WO2012149216A2 (en) 2011-04-27 2012-11-01 Seven Networks, Inc. Mobile device which offloads requests made by a mobile application to a remote entity for conservation of mobile device and network resources and methods therefor
GB2505585B (en) 2011-04-27 2015-08-12 Seven Networks Inc Detecting and preserving state for satisfying application requests in a distributed proxy and cache system
US8584211B1 (en) 2011-05-18 2013-11-12 Bluespace Software Corporation Server-based architecture for securely providing multi-domain applications
US20120311710A1 (en) * 2011-06-03 2012-12-06 Voodoosoft Holdings, Llc Computer program, method, and system for preventing execution of viruses and malware
EP2737742A4 (en) * 2011-07-27 2015-01-28 Seven Networks Inc AUTOMATIC PRODUCTION AND DISTRIBUTION OF GUIDELINES INFORMATION ON MOBILE MOBILE TRANSPORT IN A WIRELESS NETWORK
JP2014526751A (ja) 2011-09-15 2014-10-06 ザ・トラスティーズ・オブ・コロンビア・ユニバーシティ・イン・ザ・シティ・オブ・ニューヨーク リターン指向プログラミングのペイロードを検出するためのシステム、方法、および、非一時的コンピュータ可読媒体
US8918503B2 (en) 2011-12-06 2014-12-23 Seven Networks, Inc. Optimization of mobile traffic directed to private networks and operator configurability thereof
EP2789138B1 (en) 2011-12-06 2016-09-14 Seven Networks, LLC A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation
WO2013086447A1 (en) 2011-12-07 2013-06-13 Seven Networks, Inc. Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol
GB2498064A (en) 2011-12-07 2013-07-03 Seven Networks Inc Distributed content caching mechanism using a network operator proxy
WO2013090212A1 (en) 2011-12-14 2013-06-20 Seven Networks, Inc. Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system
GB2499306B (en) 2012-01-05 2014-10-22 Seven Networks Inc Managing user interaction with an application on a mobile device
US9203864B2 (en) 2012-02-02 2015-12-01 Seven Networks, Llc Dynamic categorization of applications for network access in a mobile network
WO2013116852A1 (en) 2012-02-03 2013-08-08 Seven Networks, Inc. User as an end point for profiling and optimizing the delivery of content and data in a wireless network
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
WO2013155208A1 (en) 2012-04-10 2013-10-17 Seven Networks, Inc. Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network
WO2014011216A1 (en) 2012-07-13 2014-01-16 Seven Networks, Inc. Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications
US9161258B2 (en) 2012-10-24 2015-10-13 Seven Networks, Llc Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion
US9241259B2 (en) 2012-11-30 2016-01-19 Websense, Inc. Method and apparatus for managing the transfer of sensitive information to mobile devices
US20140177497A1 (en) 2012-12-20 2014-06-26 Seven Networks, Inc. Management of mobile device radio state promotion and demotion
US9241314B2 (en) 2013-01-23 2016-01-19 Seven Networks, Llc Mobile device with application or context aware fast dormancy
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US8750123B1 (en) 2013-03-11 2014-06-10 Seven Networks, Inc. Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
GB2518880A (en) 2013-10-04 2015-04-08 Glasswall Ip Ltd Anti-Malware mobile content data management apparatus and method
US9516049B2 (en) * 2013-11-13 2016-12-06 ProtectWise, Inc. Packet capture and network traffic replay
US10735453B2 (en) 2013-11-13 2020-08-04 Verizon Patent And Licensing Inc. Network traffic filtering and routing for threat analysis
US9654445B2 (en) 2013-11-13 2017-05-16 ProtectWise, Inc. Network traffic filtering and routing for threat analysis
US9330264B1 (en) 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
US11165812B2 (en) 2014-12-03 2021-11-02 Splunk Inc. Containment of security threats within a computing environment
US10057237B2 (en) * 2015-02-17 2018-08-21 Ca, Inc. Provide insensitive summary for an encrypted document
US20160287829A1 (en) * 2015-03-31 2016-10-06 Tom Whitehead Cushioned Sleep Apnea Mask
US10887261B2 (en) 2015-07-30 2021-01-05 Microsoft Technology Licensing, Llc Dynamic attachment delivery in emails for advanced malicious content filtering
US10868782B2 (en) 2018-07-12 2020-12-15 Bank Of America Corporation System for flagging data transmissions for retention of metadata and triggering appropriate transmission placement
US11151248B1 (en) * 2018-09-11 2021-10-19 NuRD LLC Increasing zero-day malware detection throughput on files attached to emails
US11677783B2 (en) * 2019-10-25 2023-06-13 Target Brands, Inc. Analysis of potentially malicious emails
EP4290808A3 (en) * 2019-11-03 2024-02-21 Microsoft Technology Licensing, LLC Campaign intelligence and visualization for combating cyberattacks
WO2021242687A1 (en) * 2020-05-28 2021-12-02 GreatHorn, Inc. Computer-implemented methods and systems for pre-analysis of emails for threat detection

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DK170490B1 (da) 1992-04-28 1995-09-18 Multi Inform As Databehandlingsanlæg
US5414833A (en) 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5889943A (en) * 1995-09-26 1999-03-30 Trend Micro Incorporated Apparatus and method for electronic mail virus detection and elimination
US6453327B1 (en) * 1996-06-10 2002-09-17 Sun Microsystems, Inc. Method and apparatus for identifying and discarding junk electronic mail
US5832208A (en) * 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US5796942A (en) * 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US5935245A (en) * 1996-12-13 1999-08-10 3Com Corporation Method and apparatus for providing secure network communications
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
WO1999032985A1 (en) * 1997-12-22 1999-07-01 Accepted Marketing, Inc. E-mail filter and method thereof
CA2338265A1 (en) 1998-07-21 2000-02-03 Raytheon Company Information security analysis system
US6253337B1 (en) * 1998-07-21 2001-06-26 Raytheon Company Information security analysis system
US6701440B1 (en) * 2000-01-06 2004-03-02 Networks Associates Technology, Inc. Method and system for protecting a computer using a remote e-mail scanning device
US7072942B1 (en) * 2000-02-04 2006-07-04 Microsoft Corporation Email filtering methods and systems
US6519703B1 (en) * 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US6886099B1 (en) 2000-09-12 2005-04-26 Networks Associates Technology, Inc. Computer virus detection

Also Published As

Publication number Publication date
DE60128227D1 (de) 2007-06-14
US7877807B2 (en) 2011-01-25
WO2002005072A2 (en) 2002-01-17
WO2002005072A3 (en) 2002-09-06
AU2001270763A1 (en) 2002-01-21
PT1299791E (pt) 2007-08-16
GB2367714A (en) 2002-04-10
ATE361489T1 (de) 2007-05-15
DE60128227T2 (de) 2008-01-10
GB0116578D0 (en) 2001-08-29
GB2367714C (en) 2006-10-30
CY1106782T1 (el) 2012-05-23
GB2367714B (en) 2004-03-17
EP1299791A2 (en) 2003-04-09
DK1299791T3 (da) 2007-09-10
US20040054498A1 (en) 2004-03-18
EP1299791B1 (en) 2007-05-02
GB0016835D0 (en) 2000-08-30

Similar Documents

Publication Publication Date Title
ES2287140T3 (es) Metodo y sistema para procesar correo electronico.
US10805314B2 (en) Using message context to evaluate security of requested data
US11044267B2 (en) Using a measure of influence of sender in determining a security risk associated with an electronic message
US20230412615A1 (en) Message security assessment using sender identity profiles
US10715543B2 (en) Detecting computer security risk based on previously observed communications
US11936604B2 (en) Multi-level security analysis and intermediate delivery of an electronic message
US10243989B1 (en) Systems and methods for inspecting emails for malicious content
US8015250B2 (en) Method and system for filtering electronic messages
US7380277B2 (en) Preventing e-mail propagation of malicious computer code
Cook et al. Catching spam before it arrives: domain specific dynamic blacklists
US20020004908A1 (en) Electronic mail message anti-virus system and method
US20060224677A1 (en) Method and apparatus for detecting email fraud
Chhabra et al. Review of e-mail system, security protocols and email forensics
Tran et al. Towards a feature rich model for predicting spam emails containing malicious attachments and urls
WO2017162997A1 (en) A method of protecting a user from messages with links to malicious websites containing homograph attacks
WO2018081016A1 (en) Multi-level security analysis and intermediate delivery of an electronic message
US11392691B1 (en) System and method of securing e-mail against phishing and ransomware attack
Zaidi Bypassing Phishing Filters
Lakshmi et al. Securing Emails and Office 365
Berkenkopf Order turns out to be phishing attack in Excel look
Landau Stop Delivery of Phishing Emails.
KR20230135373A (ko) 이미지 분석 기반 내부정보 유출 방지 시스템
KR20240019673A (ko) 표적형 이메일 공격 차단 및 대응을 위한 진단 리포팅을 제공하는 이메일 보안 시스템 및 그 동작 방법
Uppin Hybrid Soft Computing Approach For Spam Filtering
Paulus et al. Massmailers: New Threats Need Novel Anti-Virus Measures