ES2287140T3 - Metodo y sistema para procesar correo electronico. - Google Patents
Metodo y sistema para procesar correo electronico. Download PDFInfo
- Publication number
- ES2287140T3 ES2287140T3 ES01949640T ES01949640T ES2287140T3 ES 2287140 T3 ES2287140 T3 ES 2287140T3 ES 01949640 T ES01949640 T ES 01949640T ES 01949640 T ES01949640 T ES 01949640T ES 2287140 T3 ES2287140 T3 ES 2287140T3
- Authority
- ES
- Spain
- Prior art keywords
- criteria
- emails
- message
- electronic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 241000700605 Viruses Species 0.000 claims abstract description 68
- 230000009471 action Effects 0.000 claims abstract description 9
- 239000000470 constituent Substances 0.000 claims abstract description 7
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 230000008569 process Effects 0.000 claims description 11
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 230000007480 spreading Effects 0.000 claims description 2
- 230000003612 virological effect Effects 0.000 claims 2
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000000246 remedial effect Effects 0.000 claims 1
- 238000009792 diffusion process Methods 0.000 abstract description 4
- 230000000694 effects Effects 0.000 description 8
- 241000452734 Eudoraea Species 0.000 description 7
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 5
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 5
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 5
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 5
- 230000008901 benefit Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 102100024412 GTPase IMAP family member 4 Human genes 0.000 description 1
- 101000833375 Homo sapiens GTPase IMAP family member 4 Proteins 0.000 description 1
- 244000035744 Hura crepitans Species 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 239000010410 layer Substances 0.000 description 1
- 235000020004 porter Nutrition 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 102000012498 secondary active transmembrane transporter activity proteins Human genes 0.000 description 1
- 108040003878 secondary active transmembrane transporter activity proteins Proteins 0.000 description 1
- 239000002356 single layer Substances 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/234—Monitoring or handling of messages for tracking messages
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
Un método automático para procesar correo electrónico, caracterizado porque con objeto de detectar la difusión de virus anteriormente desconocidos, el método comprende vigilar el tráfico de correo electrónico que pasa a través de uno o más nodos de una red, comprendiendo esa vigilancia: a) registrar (22) los detalles acerca de los correos electrónicos en una base de datos (23); y b) buscar (24) en la base de datos patrones de tráfico de correo electrónico que sean indicadores de, o sugieran, la difusión de un virus llevado por el correo electrónico, aplicando para ello un conjunto predeterminado de criterios de sospecha a los atributos, por ejemplo, a la longitud del mensaje, al número de anexos, a la dirección IP del remitente, al resumen del primer anexo de los correos electrónicos, incluyendo el conjunto criterios que se refieren a una pluralidad de partes constituyentes, por ejemplo, a la línea de sujeto, a los destinatarios, al texto del mensaje, a los anexos de los correos electrónicos, y, una vez detectado uno de tales patrones, iniciar (25) una acción de remedio automática, avisar a un operador, o ambas cosas.
Description
Método y sistema para procesar correo
electrónico.
El presente invento se refiere a un método y un
sistema para procesar correo electrónico, y en particular para
detectar irrupciones de virus. El invento es aplicable en
particular, aunque no exclusivamente, al procesado de correo
electrónico mediante los ISPs (Proveedores de Servicios de
Internet).
Es de hacer notar que en algunos debates sobre
software con malicia se hace uso del término "virus"en un
sentido estrecho, como relativo a un software que tiene
características particulares en términos de propagación, o
simplemente también de multiplicación, y efectos que son distintos a
los de otras formas, tales como las de "caballos de Troya",
"gusanos", etc. Sin embargo, en esta Memoria Descriptiva,
incluidas las reivindicaciones anexas, se usa el término
"virus" en el sentido general de cualquier software que por
malicia (o por accidente) origine efectos no deseados.
Los detectores de virus usuales encuentran los
virus atendiendo para ello a patrones conocidos en archivos,
comprobando los archivos nuevos o cambiados en un sistema de
archivos, o bien haciendo correr programas sospechosos en un
ambiente emulador de "caja de arena" para detectar la actividad
similar a la de un virus.
El creciente uso que se está haciendo del correo
electrónico, tanto por las redes de Internet como por las privadas,
aumenta la exposición de los usuarios y las operaciones finales
individuales a una irrupción maliciosa. Recientemente se han
producido irrupciones de virus llevados por el correo electrónico
que se han extendido en todo el mundo, en cuestión de horas. Se
puede obtener un cierto grado de protección mediante la exploración
de los correos electrónicos y sus anexos en cuanto a virus, y
evidentemente, como se hace mejor es sobre una base centralizada,
por ejemplo mediante los ISPs y otros que operan con puertas de
correo electrónico, en vez de dejarlo a los usuarios finales, los
cuales pueden, o no, disponer de los recursos, el conocimiento o la
inclinación para tomar sus propias medidas antivirus.
Sin embargo, con una exploración centralizada,
sigue presente el problema de los nuevos virus. Dejando aparte la
cuestión de cómo se detecta por primera vez un virus nuevo, sea por
medidas adoptadas por un ISP o similar, o bien en una máquina del
usuario final, los pasos necesarios para atenuar el efecto de una
irrupción del mismo requieren tiempo para poderlos efectuar, y para
cuando pueda haberse hecho, pueden haberse producido ya los peores
efectos de la irrupción, en todo el mundo. Estos pasos incluyen,
típicamente, identificar una cadena característica de objetos u
otra "firma" que identifiquen el virus, diseminar esa
información a los lugares de exploración de virus, y programas los
exploradores con esa información, todo lo cual lleva tiempo, y
mientras tanto la irrupción tiene libertad para extenderse.
Esto se ha hecho particularmente problemático
recientemente, con el tipo de virus que puede multiplicarse
efectivamente por sí mismo mediante la generación y el envío de
copias del correo electrónico que lo contiene, por ejemplo, por
obtener acceso a una agenda de direcciones de correo electrónico
(por ejemplo, la que esté disponible en un cliente de correo
electrónico del usuario final), y usando luego los servicios
disponibles en la máquina para enviar una copia del correo
electrónico y del propio virus a cualquiera de las direcciones
halladas. Esta táctica puede propagar entre continentes, en cuestión
de minutos, y dar por resultado una "explosión" en progresión
geométrica del número de casos del mismo.
El documento
US-A-5832208 (Chem): es un ejemplo
de un sistema de cliente/servidor anterior que tiene una instalación
en el servidor que explora los anexos de correo electrónico en
cuanto a virus, antes de la entrega.
El documento WO 93/2272 (MuliInform): se refiere
a un monitor de la red que reúne los paquetes de la red en archivos
que son luego explorados en cuanto a virus, usando una técnica
basada en la firma.
Los documentos WO 00/05650 y WO 00/05852
(Raytheon): se refieren a un "Sistema de análisis de seguridad de
la información" que incluye, entre otros, medios para registrar
el tráfico de correo electrónico, y una instalación para examinar
la funcionalidad de códigos sospechosos, para determinar si está
presente un virus de ordenador.
El presente invento trata de proporcionar un
método de, y un sistema para, procesar correo electrónico, que sea
capaz de detectar la difusión de un virus anteriormente desconocido,
llevado por correo electrónico y, por consiguiente, suavizar los
efectos de una irrupción de tal virus.
El invento proporciona un método automático para
procesar correo electrónico, caracterizado porque con objeto de
detectar la difusión de virus anteriormente desconocidos, el método
comprende vigilar el tráfico de correo electrónico que pasa a
través de uno o más nodos de una red, comprendiendo esta
vigilancia:
a) registrar los detalles acerca de los correos
electrónicos en una base de datos; y
b) buscar en la base de datos los patrones de
tráfico de correo electrónico que sean indicadores de, o sugieran,
la difusión de un virus llevado por el correo electrónico, aplicando
para ello un conjunto predeterminado de criterios de sospecha a los
atributos (por ejemplo, a la longitud del mensaje, al número de
Anexos, a la dirección IP del remitente, al resumen del primer
anexo) de los correos electrónicos, incluyendo el conjunto
criterios que se refieren a una pluralidad de partes constituyentes
(por ejemplo, línea de sujeto, destinatarios, texto del mensaje,
anexos) de los correos electrónicos y,
una vez detectado tal patrón, iniciar la acción
de remedio automática, avisar a un operador, o ambas cosas.
El invento proporciona también un sistema
automático, en o para una red de ordenador por la cual los usuarios
se envíen unos a otros correos electrónicos, para procesar el correo
electrónico para detectar la difusión de virus anteriormente
desconocidos, comprendiendo el sistema:
medios para vigilar el tráfico de correo
electrónico que pasa a través de uno o más nodos de la red, cuyos
medios comprenden:
a) medios para registrar detalles acerca de los
correos electrónicos en una base de datos; y
b) medios para buscar en la base de datos
patrones de tráfico de correo electrónico que sean indicadores de,
o sugieran, la difusión de un virus llevado por el correo
electrónico, aplicando para ello un conjunto predeterminado de
criterios de sospecha a los atributos (por ejemplo, a la longitud
del mensaje, al número de anexos, a la dirección IP del remitente,
al resumen del primer anexo) de los correos electrónicos, incluyendo
el conjunto criterios que se refieren a una pluralidad de partes
constituyentes (por ejemplo, línea de sujeto, destinatarios, texto
del mensaje) de los correos electrónicos; y
medios operativos una vez que se haya detectado
tal patrón, para iniciar la acción de remedio automática, avisar a
un operador, o ambas cosas.
Por consiguiente, en vez de vigilar correos
electrónicos individuales, el invento trata los correos electrónicos
de modo que sean procesados un "conjunto", y atiende a los
patrones en el tráfico del correo electrónico que sean
característicos de los virus que se propagan a través del correo
electrónico. Se ha comprobado que tales patrones característicos
son relativamente fáciles de definir, y de identificar una vez que
se producen.
Para ayudar a la identificación de los patrones
relevantes del tráfico de correo electrónico, cada correo
electrónico es analizado con referencia a una serie de criterios que
indiquen que el correo electrónico puede contener un virus.
Cualquier correo electrónico que satisfaga cualquiera de esos
criterios puede ser entonces registrado en una base de datos. El
examen de las adiciones recientes a esa base de datos puede entonces
usarse para identificar patrones de tráfico indicadores de, u que
sugieran, una irrupción de un virus.
La decisión en cuanto a si registrar, o no, un
correo electrónico particular, puede ser tomada sobre la base de si
el mismo satisface uno o más criterios que indiquen que sea posible
que el correo electrónico contenga un virus. En otras palabras, los
criterios elegidos para decidir si se registra un correo electrónico
pueden ser los que indiquen que sea posible que el correo
electrónico contenga un virus, con independencia de que realmente
lo contenga, sobre la base de que los correos electrónicos que no
puedan contener posiblemente un virus no han de ser registrados
individualmente. Sin embargo, el invento no excluye la posibilidad
de la búsqueda con uno o más criterios para determinar si un correo
electrónico contiene realmente un virus, mediante cualquier técnica
de exploración adecuada, u otra analítica.
Supongamos que un usuario comunica que un correo
electrónico particular contenía un virus como un anexo, y que éste
es uno de una serie de correos electrónicos que han sido
recientemente procesados por el sistema. La base de datos tendrá en
su registro de entradas elementos tales como el remitente y el
destinatario, el sujeto del correo electrónico, los nombres y los
tamaños de los anexos. Es posible, automáticamente, es decir, con
el software, identificar los atributos almacenados relevantes de
estos mensajes, y usarlos como base para la toma de la acción
correctora con relación a los correos electrónicos comparables que
se procesen subsiguientemente. Es también posible notificar a los
destinatarios de los correos electrónicos comparables que hayan sido
ya procesados, que tomen la acción correctora por sí mismos, por
ejemplo, la de eliminar el correo electrónico no leído ni abierto,
suponiendo que el sistema almacene el nombre del destinatario en
texto corriente.
\newpage
Se describirá además el invento, a modo de
ejemplo no limitador, con referencia a los dibujos que se acompañan,
en los cuales:
La Figura 1 ilustra el proceso de enviar un
correo electrónico por Internet; y
La Figura 2 es un diagrama bloque de una
realización del invento.
Antes de describir la realización ilustrada del
invento, se describirá brevemente un proceso típico de envío de un
correo electrónico por Internet, con referencia a la Figura 1. Esto
es exclusivamente para que sirva de ilustración; hay varios métodos
para entregar y recibir correo electrónico por Internet, incluyendo,
aunque sin quedar limitados a ellos, el SMTP, el IMAP4 y el UCCP de
extremo a extremo. Hay también otros medios de conseguir correo
electrónico de SMTP a POP3, incluyendo, por ejemplo, el uso de una
conexión ISDN o línea alquilada, en vez de una conexión por un
módem con marcación de teléfono.
Supongamos que un usuario 1A con una ID de
correo electrónico "asender" que tiene su cuenta en
"asource.com" desea enviar un correo electrónico a un cierto
1B con una cuenta de "arecipient" "adestination.com", y
que esos dominios.com son mantenidos por los respectivos ISPs
(Proveedores de Servicios de Internet). Cada uno de los dominios
tiene un servidor de correo 2A, 2B, el cual incluye uno o más
servidores de SMTP 3A, 3B para mensajes de salida, y uno o más
servidores POP3 4A, 4B para los de entrada. Estos dominios forman
parte de la red de Internet, la cual, para mayor claridad, se ha
indicado por separado en 5. El proceso actúa como sigue:
1. Asender prepara el mensaje de correo
electrónico usando el software de cliente de correo electrónico 1A,
tal como el Microsoft Outlook Express, y los dirige a
"arecipient@adestination.com".
2. Usando una conexión de módem por marcación de
teléfono o similar, el cliente 1A de correo electrónico de asender
se conecta al servidor de correo electrónico 2A en
"mail.asource.com".
3. El cliente 1A de correo electrónico de
asender lleva a cabo una conversación con el servidor 3A de SMTP,
en el curso de la cual dice al servidor 3A del SMTP las direcciones
del remitente y el destinatario, y le envía el cuerpo del mensaje
(incluyendo cualquier anexo) transfiriendo así el correo electrónico
10 al servidor 3A.
4. El servidor 3A de SMTP hace el análisis
sintáctico del campo TO del "sobre" con la dirección del correo
electrónico en a) el destinatario y en b) el nombre del dominio del
destinatario. Se supone, para los presentes fines, que los ISPs del
remitente y de los destinatarios son diferentes, y de no ser así el
servidor 3A de SMTP podría simplemente encaminar el correo
electrónico a través de su servidor (o servidores) 4A POP3
asociados, para su recogida subsiguiente.
5. El servidor 3A del SMTP sitúa un servidor de
Nombre de Dominio de Internet y obtiene una dirección IP para el
servidor del correo del dominio de destino.
6. El servidor 3A del SMTP conecta el servidor
3B del SMTP en "adestination.com" a través del SMTP, y le envía
las direcciones del remitente y del destinatario y el cuerpo del
mensaje, en forma similar a como en el Paso 3.
7. El servidor 3B del SMTP reconoce que el
nombre del dominio se refiera a sí mismo, y pasa el mensaje al
servidor 4B de POP3 de "adestination", el cual pone el mensaje
en un buzón de correos de "arecipient" para su recogida por el
cliente 1B del correo electrónico de los destinatarios.
Hay varias formas en que se puede usar el correo
electrónico para que produzca un efecto malicioso, siendo
probablemente la más conocida generalmente la de un virus que se
desplace con el correo electrónico como un anexo. Típicamente, la
"apertura" por el destinatario del anexo, como por hacer un
doble click en el mismo, permite que el virus, que puede ser un
ejecutable binario o un código de cifra escrito a un interpretador
alojado por el cliente del correo electrónico o por el sistema
operativo, para ejecutar. Ni el problema de un intento malicioso,
ni la solución del presente invento para el mismo, se limitan a
virus de este tipo. Por ejemplo, otros ataques maliciosos pueden
implica el aprovechamiento de la debilidad del sistema de entrega
(SMTP + POP3), o del cliente del correo electrónico, como por
formatear deliberadamente el campo de la cabecera de un correo
electrónico de modo que se sepa que origine un funcionamiento
defectuoso del software que lo procese.
Con referencia ahora a la Figura 2, se han
ilustrado en ella, en forma de bloque, los subsistemas clave de una
realización del presente invento. En el ejemplo que se está
considerando, es decir, en el procesado de correo electrónico por
un ISP, esos subsistemas se implementan mediante la ejecución de
software en el ordenador (u ordenadores) del ISP. Estos ordenadores
operan en una o más puertas de correo electrónico 20A...20N, pasando
los mensajes de correo electrónico tales como el 10.
\newpage
Los varios subsistemas de la realización se
describirán con más detalle en lo que sigue, pero brevemente
expuesto comprenden:
- un descomponedor/analizador 21 del mensaje, el
cual descompone los correos electrónicos en sus partes
constituyentes, y las analiza para determinar si son candidatos a
ser registrados;
- un registrador 22, el cual prepara una entrada
en la base de datos por cada mensaje seleccionado como candidato
para registro por el descomponedor/analizador 21;
- una base de datos 23, la cual almacena las
entradas preparadas por el registrador 22;
- un buscador 24, el cual explora las nuevas
entradas en la base de datos 23 buscando señales de tráfico que
contenga virus;
- un "portero" 25, el cual señala los
resultados del buscador 24 y opcionalmente detiene el paso de
correos electrónicos que se adapten a los criterios del
descomponedor/analizador 21, como indicadores de una amenaza
de
virus.
virus.
\vskip1.000000\baselineskip
El "portero" 25 puede ser ejecutado de tal
modo que los correos electrónicos que sean procesados por el sistema
y no sean considerados como infectados con un virus puedan tener
una notificación de texto insertada en los mismos, por ejemplo,
como apéndice al texto del mensaje, que diga que el correo
electrónico ha sido explorado por el sistema, de modo que el
destinatario pueda ver que en efecto lo ha sido.
En conjunto, el sistema de la Figura 2 trabaja
sobre los siguientes principios.
Los virus que son difundidos por correo
electrónico pueden ser detectados mediante el examen de los patrones
de tráfico de los correos electrónicos que crean.
La realización ilustrada se aplica a un conjunto
de heurísticos para identificar virus en el correo electrónico.
Se da a continuación una lista no exhaustiva de
criterios por los cuales se puede determinar que los correos
electrónicos ejecutan esos heurísticos. También, o en vez de esos,
se pueden usar otros criterios:
Contienen las mismas o similares líneas de
sujeto;
Contienen los mismos o similares textos del
cuerpo;
Contienen el anexo con el mismo nombre;
Contienen un anexo con el mismo resumen del
mensaje;
Se dirigen a muchos destinatarios;
Se dirigen a destinatarios en orden alfabético,
o en orden alfabético inverso;
Se envían a una dirección de correo electrónico
particular, y luego se multiplican las salidas de la misma
dirección de correo electrónico, y/o de direcciones de correo
electrónico similares;
Contienen el mismo formato estructural;
Contienen las mismas peculiaridades
estructurales;
Contienen las mismas cabeceras de mensaje no
usuales.
\vskip1.000000\baselineskip
Los anteriores criterios deberían ser auto
explicativos, excepto posiblemente los que se refieren al "resumen
del mensaje" y a "peculiaridades estructurales"; estas
expresiones se explican en lo que sigue.
A cada uno de los anteriores criterios se le
asigna una puntuación numérica. Cada correo electrónico que pase
por el sistema es analizado por el descomponedor/analizador 21, y
registrado en una base de datos 23 mediante el registrador 22. Una
rutina de búsqueda ejecutada por el buscador 24 analiza
continuamente la nueva información que es almacenada en la base de
datos, para ver si han sido enviados mensajes similares. Si lo están
siendo, se calcula entonces el "grado de sospecha" del correo
electrónico, usando un algoritmo que toma en consideración cómo son
de similares los mensajes, y también cuántos de ellos han sido
recibidos recientemente. Una vez que hayan pasado el umbral, todos
los mensajes nuevos que se adapten a los criterios son detenidos
como virus potenciales por el "portero" 25, y se hace aparecer
un aviso.
El sistema puede generar un resumen del mensaje,
al menos para aquellos mensajes que sean registrados en la base de
datos. Los resúmenes de los mensajes son un medio conveniente y
eficaz para identificar mensajes que tengan el mismo texto de
mensaje y como un "mango" mediante el cual se recuperen una
colección de entradas de registro que representen el mismo texto de
mensaje que haya sido enviado en múltiples correos electrónicos. El
resumen puede ser almacenado en la base de datos además, o en vez,
de la lista de mensajes.
Un resumen de mensaje se crea, típicamente,
aplicando un algoritmo de direccionamiento calculado de un sentido
(tal como el MD5 o Resumen de Menaje-5) a una serie
de caracteres (en el presente caso, por ejemplo, a los caracteres
de un mensaje). Las ventajas de usar un resumen en esta aplicación
son:
* Son típicamente más pequeños que el mensaje
original, y son de longitud fija, de modo que pueden ser almacenados
más fácilmente en una base de datos;
* Son típicamente funciones de un solo sentido,
de modo que el mensaje original no puede ser vuelto a crear,
preservando así la confidencialidad del cliente;
* Un pequeño cambio en el mensaje dará por
resultado un resumen completamente diferente.
Por ejemplo, el resumen MD5 de "La lluvia en
España cae principalmente en la llanura"es
6f7f4c35a219625efc5a
9ebad8fa8527, y el de "La lluvia en España cae principalmente en la llanura"es b417b67704f2dd2b5a812f99ade30e00. Estos dos mensajes difieren solamente en un bit (la "s" de España (En inglés Spain), ya que una E mayúscula se diferencia en un bit de una e minúscula en el conjunto de caracteres ASCII) pero los resúmenes son totalmente diferentes.
9ebad8fa8527, y el de "La lluvia en España cae principalmente en la llanura"es b417b67704f2dd2b5a812f99ade30e00. Estos dos mensajes difieren solamente en un bit (la "s" de España (En inglés Spain), ya que una E mayúscula se diferencia en un bit de una e minúscula en el conjunto de caracteres ASCII) pero los resúmenes son totalmente diferentes.
A continuación se dan algunos ejemplos de los
criterios por los cuales se pueden valorar los correos
electrónicos:
Peculiaridades estructurales: La mayoría de los
correos electrónicos se generan mediante aplicaciones ensayadas y
comprobadas. Estas aplicaciones generarán siempre el correo
electrónico de un modo particular. Es frecuentemente posible
identificar qué aplicación generó un correo electrónico particular,
examinando para ello las cabeceras del correo electrónico y
examinando también el formato de sus diferentes partes. Es además
posible identificar los correos electrónicos que contengan
peculiaridades, que o bien indiquen que el correo electrónico está
tratando de parecer como si hubiera sido generado por un
corresponsal electrónico conocido, pero no lo es, o bien que ha
sido generado por un corresponsal nuevo y desconocido, o bien por
una aplicación (la cual podría ser un virus o un gusano). Todos esos
son sospechosos.
\vskip1.000000\baselineskip
from: alex@star.co.uk
To: alex@star.co.uk
Las palabras from y to se diferencian en el
empleo de letras mayúsculas
\vskip1.000000\baselineskip
Sujeto: Tower fault tolerance
Content-type: multipart/mixed;
boundary="======_962609498==_"
Mime-Versión: 1.0
La cabecera en Mime-Versión va
normalmente antes de la cabecera Content-type.
\vskip1.000000\baselineskip
x-Mailer: QUALCOMM Windows
Eudora Pro Version 3.0.5(32)
Fecha: Lunes, 03 jul 2000 12:24:17 +0100
Eudora incluye también normalmente una cabecera
X-Sender
\vskip1.000000\baselineskip
ID del Mensaje
<00270ibfe4elSb37dbdcOS9264010a@tomkins.int.star.co.uk>
X-Mailer: QUALCOMM Windows
Eudora Pro Version 3.05 (32)
La cabecera X-mailer dice que el
correo es generado por Eudora, pero el formato de la ID del mensaje
es una ID de mensaje de Outlook, no una ID de mensaje de Eudora.
\vskip1.000000\baselineskip
X-Mailer: Microsoft Outlook 8.5,
Edificio 4.71.2173.0
Tipo de contenido: multipart/mixed;
boundary="=======_962609498==_"
La cabecera de X-Mailer
(Corresponsal-X) dice que el correo es generado por
Outlook, pero el formato del límite (boundary) es un límite de
Eudora, no de un límite de Outlook.
\vskip1.000000\baselineskip
A: "Andrew Wobley"
<awebley@messagelabs.com>
"Matt Cave"
<MCave@messagelabs.com>.
"Alex at Messagel.abs"
ashipp@messagelabs.com
X-Mailer: QUALCOMM Windows
Eudora Pro Version 3.0.5 (32)
El e-mailer (corresponsal
electrónico) usa normalmente un solo espacio, y no tabuladores para
líneas de continuación.
\vskip1.000000\baselineskip
La dirección IP del originario es por supuesto
conocida, y por consiguiente puede ser usada para determinar si se
ha satisfecho este criterio.
\vskip1.000000\baselineskip
En algunos correos electrónicos se hace uso de
la clave HTML para cifrar el contenido del mensaje. Con ello se
busca frustrar los analizadores lingüísticos. Cuando se ve el correo
en un cliente de correo, tal como Outlook, el texto es
inmediatamente descifrado y presentado. Sería inusual hacer esto en
un correo electrónico normal.
\vskip1.000000\baselineskip
Un correo electrónico indica normalmente quien
es el originario en el campo de texto de Remitente, y los que
originen "spam" (correo basura) pondrán frecuentemente una
entrada ficticia en ese campo, para disfrazar el hecho de que el
correo electrónico está infectado. Sin embargo, se supone que la
identidad del Remitente está también especificada en el protocolo
bajo el cual los procesos por SMTP se hablan uno con otro en la
transferencia de correo electrónico, y este criterio se ve afectado
por la ausencia de la identificación del Remitente en la ranura de
protocolo relevante, es decir, en la ranura de protocolo de Correo
De.
\vskip1.000000\baselineskip
Este criterio es complementario del elemento 8,
y comporta la consideración tanto del campo del remitente del
mensaje como de la ranura de protocolo del remitente, en cuanto a
que sean no válidos. El correo electrónico puede proceder de un
dominio que no exista o que no siga las reglas normales para el
dominio. Por ejemplo, una dirección en HotMail de
"123@hotmail.com" no es válida, ya que las direcciones de
HotMail no pueden ser de todos
números.
números.
Se pueden examinar una serie de campos del
correo electrónico en cuanto a entradas no válidas, incluyendo los
de "Remitente", "De", y "Errores en".
\newpage
El servidor de correo local conoce, o al menos
puede averiguar del protocolo, la dirección del remitente del
correo, y por lo tanto puede llegar a una determinación acerca de si
ésta se adapta a la dirección del remitente contenida en el texto
del correo.
En una ejecución real del sistema de la Figura
2, se prefiere una red de puertas 20 de correo electrónico, de modo
que el correo electrónico pueda ser procesado a la escala requerida.
Cuanto más extendida esté esa red, y tanto más correo electrónico
sea procesado, tanto mayor será la posibilidad de poder interceptar
los nuevos virus, reconocer los síntomas, y detener las nuevas
ocurrencias antes de que el virus llegue a difundirse demasiado.
Sin embargo, el uso de una serie de puertas de correo electrónico no
es un componente esencial del sistema; el sistema es capaz de
reconocer y detectar los nuevos virus, incluso aunque solamente se
use una puerta de correo electrónico, e incluso aunque pase una
pequeña cantidad de correo electrónico a través de ella.
Todo el correo electrónico es hecho pasar a
través del analizador/descomponedor 21, en el cual se descompone el
correo electrónico en sus partes constituyentes. Para fines
heurísticos del tráfico, cada parte se clasifica como:
La cabecera de correo electrónico/cabeceras de
Mime (Multipurpose Internet Mail Extensions - Extensiones de Correo
por Internet Multifunción)
Un componente considerado normalmente como parte
del mensaje;
Un componente considerado normalmente como un
anexo.
Cada parte es luego analizada además para ver si
tiene la posibilidad de contener amenazas potenciales.
Cabecera de correo electrónico/cabeceras de
Mime: Se pueden usar líneas excesivamente largas, o líneas con una
sintaxis inusual para inutilizar los hojeadores particulares,
originando ya sea un ataque de negación del servicio o ya sea una
exploración que pueda dar lugar a una quiebra de la seguridad, o
bien difundir un virus.
Un componente considerado normalmente como parte
del mensaje: Éstos pueden contener un código ejecutable incorporado.
Por ejemplo, un mensaje en HTML puede contener un código de cifra
en varios lenguajes de ordenador, o bien puede contener elementos
(tales como etiquetas de <frameset> (conjunto de cuadros) o
de <object> (objeto) que hayan sido ya presentados como
explotables.
Un componente considerado normalmente como un
anexo: Éstos pueden ser ejecutables directamente, tal como un
archivo EXE. Pueden contener un código ejecutable incorporado, tal
como un documento de Microsoft Word que contenga una macro. Pueden
contener archivos de archivar u otros archivos de contenedor, que de
por sí puedan contener otros componentes peligrosos. Por ejemplo,
un archivo ZIP puede contener un ejecutable.
Normalmente, el anexo debe contener algún
elemento ejecutable para que sea visto como una amenaza potencial.
Sin embargo, el sistema es susceptible de ser conmutado a un modo en
el que vea todos los anexos como una amenaza potencial. Esto se
hace para atender a dos posibilidades, tales como:
Un documento, tal como una imagen jpg puede
contener un formateo ilegal que inutilice la aplicación usada para
ver el anexo. Esto puede originar ya sea un ataque de negación del
servicio, o ya sea una explotación que pueda originar una quiebra de
la seguridad o difundir un virus.
El cuerpo del mensaje puede contener
instrucciones que, si se siguen, convierten el anexo a una forma
peligrosa, por ejemplo, `renombrar la imagen.jpc en imagen.exe'.
Después de analizar cada componente, si entonces
cualquier componente tiene la posibilidad de contener una amenaza
potencial, se registra el mensaje mediante el registrador 22 en la
base de datos 23. De lo contrario, no se registra el mensaje.
El registrador 22 está programado de modo que el
sistema registre los componentes de cada mensaje para que puedan
ser detectados los mensajes que sean similares. Se registran los
siguientes:
Línea de sujeto y resumen de la línea de
sujeto;
Los primeros pocos caracteres de la parte de
texto de correo electrónico, el resumen de la primera parte de
texto, y el resumen de los primeros pocos caracteres;
Nombre del primer anexo;
Resumen del primer anexo;
Número de destinatarios;
Si los destinatarios están en orden alfabético,
o en orden alfabético inverso;
Hora del registro;
Resumen del remitente;
Resumen del primer destinatario;
Indicadores de formato estructural;
Indicadores de peculiaridades estructurales;
Cabeceras inusuales de los mensajes;
Hora en que llegó el correo electrónico;
La anterior lista no es exhaustiva, y el invento
no queda limitado a esa combinación particular de elementos de
información.
La base de datos 23 registra detalles acerca de
los mensajes, y permite investigar los detalles con objeto de hallar
patrones de correos electrónicos duplicados o similares.
Con objeto de dar respuestas, el registro puede
ser una operación de una capa o de varias capas. Por ejemplo, los
mensajes pueden ser registrados localmente en una base de datos que
esté geográficamente próxima a los servidores de correo
electrónico, y ser analizados localmente. Esto da una respuesta
rápida a los patrones de tráfico locales. Sin embargo, los
registros pueden ser también copiados de vuelta a una base de datos
central para efectuar un análisis global. Éste será más lento en
reaccionar, pero será capaz de reaccionar sobre patrones globales,
en vez de
locales.
locales.
Las entradas de registro antiguas son borradas
automáticamente de la base de datos 23, ya que no se necesitarán
más - el sistema está diseñado para proporcionar un aviso temprano
de nuevos virus.
El buscador 24 interroga periódicamente a la
base de datos buscando mensajes similares recientes y generando una
puntuación mediante el análisis de los componentes. Dependiendo de
la puntuación, el sistema puede identificar una amenaza `definida'
o bien una amenaza `potencial'. Una amenaza definida hace que sea
enviada una firma de vuelta al "portero", de modo que todos
los mensajes futuros con esa característica sean detenidos. Una
amenaza potencial hace que sea enviado un aviso a un operador, quien
puede entonces decidir tratarlo como si fuera una amenaza definida,
marcarlo como una falsa alarma de modo que no se comuniquen los
futuros casos de ese tipo, o bien esperar y ver lo que ocurre.
El buscador puede ser configurado con diferentes
parámetros, de modo que puede ser más flexible si busca registros
de una sola puerta de correo electrónico, y menos sensible si
procesa una base de datos de información a escala mundial.
Cada criterio puede llevar asociada una
puntuación diferente.
Se puede ajustar el tiempo entre búsquedas.
El intervalo de tiempo que cubre cada búsqueda
puede ajustarse, y se pueden acomodar múltiples intervalos de
tiempo.
Se pueden establecer umbrales generales.
El "portero" 25 toma las firmas del
buscador 24. La firma identifica las características de los correos
electrónicos que deban ser detenidos. Al recibir la firma, todos
los futuros correos electrónicos comparables son tratados como
virus, y detenidos.
Evidentemente, la acción de parar puede adoptar
una serie de formas, incluyendo
- Eliminar los correos electrónicos infectados
sin enviarlos a sus destinatarios a los que vayan dirigidos.
- Guardarlos en almacenamiento temporal y
notificar las direcciones por correo electrónico de que se ha
interceptado un mensaje infectado y que está siendo retenido
durante un período de tiempo para su recuperación, si lo desean, y
de no se así será borrado.
\newpage
- Desinfectar el correo electrónico retirando
para ello la amenaza de virus por cualesquiera medios adecuados;
por ejemplo, si el virus es un anexo ejecutable, puede ser separado
o desactivado antes de enviar el correo electrónico a sus
direcciones. El correo electrónico puede ser modificado mediante la
inclusión de un mensaje de texto que diga que el correo electrónico
ha sido desinfectado.
Cuando se detecte un virus, un servidor de
correo automático 30 puede notificar otros lugares de las
características relevantes de los correos electrónicos infectados,
ya sea para avisar a los operadores humanos, o ya sea para
suministrar realizaciones del invento en lugares alejados con las
características de los correos electrónicos necesarias para que sus
"porteros" 25 los detengan.
Lo que sigue es un posible algoritmo que puede
ser ejecutado mediante el buscador 24 en una realización ilustrada
del invento.
Con referencia a los criterios de valoración del
correo electrónico del ejemplo expuestos en lo que antecede, se
apreciará que un correo electrónico que sea sometido a consideración
tiene una serie de atributos, que pueden ser representados como
valores de datos en un programa de ordenador, dependiendo el tipo de
datos de la naturaleza del atributo. Por ejemplo, la longitud del
mensaje y el número de anexos son números enteros, mientras que las
diversas cabeceras de texto (por ejemplo, Para, Enviar A, Sujeto)
son cadenas de caracteres, ya que son resúmenes tales como el
resumen del mensaje. En lo que sigue se consideran los correos
electrónicos como iguales, de acuerdo con un criterio dado, si los
atributos correspondientes son iguales en los casos de números
enteros y de cadenas de caracteres. En el caso de una cadena de
caracteres, cuando sea apropiado, se puede determinar la igualdad
mediante una comparación insensible del caso. Las comparaciones
insensibles del caso son apropiadas para los campos de texto de un
correo electrónico, pero no necesariamente para otras cadenas de
caracteres. (En el caso de un atributo representado por un valor de
coma flotante, el experto será consciente de que habrán de hacerse
las comparaciones sobre la base de si el valor absoluto de la
diferencia es mayor que un cierto pequeño valor arbitrario, a veces
denominado como un "epsilon" en la literatura técnica, que es
de por sí mayor que el error de redondeo).
En lo que sigue, los números entre paréntesis
son números de paso, para identificar los pasos efectuados a
intervalos regulares (100);
Para cada criterio A, medimos (110)
- Para cada intervalo de tiempo de B minutos medimos (200)
- Obtener el conjunto S de muestra de correos electrónicos durante los últimos B minutos, cuando su valor, de acuerdo con un criterio A seleccionado, sea igual (210). Dividir el conjunto de muestra si el mismo contiene valores que no pueden ser el mismo virus (por ejemplo, si ciertos correos electrónicos del conjunto contienen una cifra HTML y algunos contienen una EXE, éstos no pueden ser el mismo virus, y deberá ser tratado cada uno como un conjunto S separado según el paso (210).
- Para cada conjunto de muestra S (300)
- Establecer X = recuento de correos en el conjunto de muestra (310)
- Multiplicar X, obtenido del paso (310) por un factor de importancia C para el criterio A (320). Cada criterio tiene un factor de importancia respectivo, que depende de la naturaleza del criterio, ya que algunos criterios, por ejemplo, el del nombre de un anexo de archivo, puede ser más significativo que otros en cuanto a valorar la probabilidad de una amenaza de virus; (comentarios similares son de aplicación a los otros factores que se mencionan en lo que sigue)
- Añadir a X procedente del paso 320 un segundo factor de importancia D por cada otro criterio A2, cuando A2 sea también igual sobre el conjunto de muestra S (330)
- Añadir a X del paso (330) un tercer factor de importancia E por cada otro criterio A3, cuando A3 tenga un conjunto limitado de valores diferentes sobre el conjunto de muestra S (340). Se entiende por "Margen limitado" uno >1 y < R. Cada intercalo de tiempo B tiene un R respectivo
- Añadir a X procedente del paso (340) un factor de difusión (P por T) si el conjunto de muestra contiene Q correos electrónicos que entren en un dominio, y además T copias que salgan del dominio (donde T > Q) (350). Cada intervalo de tiempo B tiene un P y un Q diferentes
- Si X procedente del paso (350) es mayor que el umbral V (cada intervalo de tiempo B tiene un umbral respectivo V), marcar entonces como virus (360)
- Si no es así
- Si X procedente del paso (350) es mayor que el umbral O (cada intervalo de tiempo B tiene un umbral respectivo O), donde O es menor que V, marcar entonces como que se necesita la ayuda del operador (370). El operador puede entonces valorar si hay o no presente una amenaza de virus, y dar instrucciones al software para proceder en consecuencia
- Siguiente conjunto de muestra (380)
- Siguiente intervalo (210).
Obsérvese que los tres "factores" de
importancia C, D, E, el factor de difusión y los umbrales son
valores numéricos que pueden ser establecidos empíricamente y
pueden ser ajustados dinámicamente. También, el algoritmo puede ser
aplicado usando uno o más valores diferentes para el intervalo de
tiempo B, por ejemplo, de 5 minutos, de 30 minutos, y de 180
minutos.
Dicho claramente: buscamos correos electrónicos
de características similares que lleguen en un período de tiempo
dado. Cuantos más correos electrónicos similares encontremos, tanto
más sospecharemos. Si los correos electrónicos tienen además otras
características en común, esto hace que sean todavía más
sospechosos.
Algunas cosas pueden despertar más sospechas que
otras - por ejemplo, podemos elegir asignar una puntuación más alta
si vemos correos electrónicos con un anexo designado con el mismo
nombre, que si vemos correos electrónicos con la misma línea de
sujeto.
Si vemos correos electrónicos que sean enviados
a un dominio, y luego salen flotando fuera, eso es también para
despertar sospechas.
Aunque en lo que antecede se ha descrito el
invento con referencia a su aplicación al correo electrónico por
Internet, no está limitado a tal correo electrónico; el invento es
igualmente aplicable a otras redes locales o de gran área, públicas
o locales, o a combinaciones de tales redes entre sí y con Internet,
así como al correo electrónico enviado por WAP (Protocolo de Acceso
Inalámbrico) y por SMS (Servicio de Mensajería Simple) para
teléfonos móviles y dispositivos similares.
Claims (54)
1. Un método automático para procesar correo
electrónico, caracterizado porque con objeto de detectar la
difusión de virus anteriormente desconocidos, el método comprende
vigilar el tráfico de correo electrónico que pasa a través de uno o
más nodos de una red, comprendiendo esa vigilancia:
a) registrar (22) los detalles acerca de los
correos electrónicos en una base de datos (23); y
b) buscar (24) en la base de datos patrones de
tráfico de correo electrónico que sean indicadores de, o sugieran,
la difusión de un virus llevado por el correo electrónico, aplicando
para ello un conjunto predeterminado de criterios de sospecha a los
atributos, por ejemplo, a la longitud del mensaje, al número de
anexos, a la dirección IP del remitente, al resumen del primer anexo
de los correos electrónicos, incluyendo el conjunto criterios que se
refieren a una pluralidad de partes constituyentes, por ejemplo, a
la línea de sujeto, a los destinatarios, al texto del mensaje, a los
anexos de los correos electrónicos, y,
una vez detectado uno de tales patrones, iniciar
(25) una acción de remedio automática, avisar a un operador, o ambas
cosas.
2. Un método de acuerdo con la reivindicación 1,
en el que en el paso b) se aplican diferentes factores de
importancia numéricos a los diferentes criterios de sospecha.
3. Un método de acuerdo con la reivindicación 1
ó 2, en el que en la aplicación de los criterios del conjunto
predeterminado de criterios de sospecha, se asigna a un conjunto de
correos electrónicos una puntuación numérica calculada de acuerdo
con una combinación seleccionada de dichos criterios, y se marca
como vírica si la puntuación excede de un umbral predeterminado.
4. Un método de acuerdo con la reivindicación 3,
en el que si la puntuación no excede de dicho umbral, pero excede de
un segundo umbral inferior, se marca el conjunto de correos
electrónicos para la atención de un operador.
5. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 4, en el que el registro de un correo
electrónico incluye registrar un resumen de:
- el texto del mensaje;
- la línea de sujeto;
- los primeros pocos caracteres de la parte de texto del correo electrónico;
- la primera parte de texto del correo electrónico;
- el primer anexo;
- el remitente; o
- el primer destinatario.
6. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 5, en el que uno de dichos criterios es el
de que un correo electrónico contenga un empleo de las letras
mayúsculas inconsistente.
7. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 6, en el que uno de dichos criterios es el
de que un correo electrónico tenga una rotura de línea u otra
composición de espacio en blanco en las cabeceras del mensaje
inconsistente con el generador que se haya indicado del correo
electrónico.
8. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 7, en el que uno de dichos criterios es el
de que un correo electrónico tenga una ordenación anormal de los
elementos de la cabecera.
9. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 8, en el que uno de dichos criterios es el
de que un correo electrónico tenga falta o sobra de elementos de la
cabecera.
10. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 9, en el que uno de dichos criterios es el
de que un correo electrónico tenga una información de ID del mensaje
inconsistente.
11. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 10, en el que uno de dichos criterios es el
de que un correo electrónico tenga un formato de límite
inconsistente con el generador que se haya indicado del correo
electrónico.
\newpage
12. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 11, en el que uno de dichos criterios es el
de que la parte de mensaje de un correo electrónico esté cifrada
para frustrar un análisis lingüístico.
13. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 12, en el que uno de dichos criterios es el
de que un correo electrónico tenga un "sobre" con la dirección
del remitente del mensaje que esté vacío.
14. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 13, en el que uno de dichos criterios es el
de que un correo electrónico tenga una dirección del remitente del
mensaje no válida.
15. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 14, en el que uno de dichos criterios es el
de que un correo electrónico tenga una dirección del remitente del
mensaje que no se adapte a la del servidor del correo desde el cual
fue enviado.
16. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 15, en el que uno de dichos criterios es el
de que los correos electrónicos sean dirigidos a destinatarios en
orden alfabético o en orden alfabético inverso.
17. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 16, en el que uno de dichos criterios es el
de que los correos electrónicos sean enviados a una dirección de
correo electrónico particular y luego se les den salidas múltiples
desde la misma dirección de correo electrónico y/o a las mismas
direcciones de correo electrónico y/o a direcciones de correo
electrónico similares.
18. Un método de acuerdo con una cualquiera de
las reivindicaciones 6 a 17, en el que uno de dichos criterios es el
de que los correos electrónicos contengan el mismo formato
estructural.
19. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 18, en el que uno de dichos criterios es el
de que los correos electrónicos contengan las mismas cabeceras
inusuales.
20. Un método de acuerdo con una cualquiera de
las reivindicaciones 1 a 19, en el que uno de dichos criterios es el
de que los correos electrónicos contengan las mismas peculiaridades
estructurales.
21. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes, en el que uno de dichos criterios
es el de que un correo electrónico se origine en una dirección IP
particular, o bien en una dirección comprendida en un margen de
direcciones IP.
22. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes, en el que los detalles de un
correo electrónico no son registrados si el análisis del correo
electrónico determina que no es posible que el correo electrónico
contenga un virus.
23. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes, en el que en la búsqueda se
examinan, principal o exclusivamente, solamente las entradas
recientemente añadidas a la base de datos, es decir, las entradas
que hayan sido añadidas desde hace menos de un tiempo
predeterminado.
24. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes, en el que la acción de remedio
incluye cualquiera o todas de las siguientes, en relación con cada
correo electrónico que se adapte al patrón detectado:
- a)
- detener al menos temporalmente el paso de los correos electrónicos
- b)
- notificar el remitente del correo electrónico
- c)
- notificar al destinatario (destinatarios) previsto del correo electrónico
- d)
- desinfectar el correo electrónico
- e)
- generar una señal para avisar a un operador humano.
25. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes y que incluye enviar un mensaje que
identifique los correos electrónicos sospechosos a un servidor de
correo electrónico automatizado.
26. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes y que incluye el paso de procesar
los correos electrónicos infectados para desinfectarlos, o bien para
desactivar un virus que haya en los mismos.
27. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes y que incluye el paso de insertar
en los correos electrónicos no aceptados que puedan estar infectados
por virus, un mensaje que indique que el correo electrónico ha sido
procesado.
28. Un sistema automático, en o para una red de
ordenador por la cual los usuarios se envían entre sí correo
electrónico, para procesar correo electrónico para detectar la
difusión de virus anteriormente desconocidos, comprendiendo el
sistema:
medios para vigilar el tráfico de correo
electrónico que pasa a través de uno o más nodos de la red, cuyos
medios comprenden:
a) medios para registrar (22) detalles acerca de
los correos electrónicos en una base de datos (23), y
b) medios para buscar (24) en la base de datos
patrones del tráfico de correo electrónico que sean indicadores de,
o sugieran, la difusión de un virus llevado por el correo
electrónico, aplicando para ello un conjunto predeterminado de
criterios de sospecha a atributos, por ejemplo, la longitud del
mensaje, el número de anexos, la dirección IP del remitente, el
resumen del primer anexo de los correos electrónicos, el conjunto
que incluye los criterios que se refieren a una pluralidad de partes
constituyentes, por ejemplo, la línea de sujeto, los destinatarios,
el texto del mensaje de los correos electrónicos; y
medios operativos para, una vez que haya sido
detectado tal patrón, iniciar (25) la acción de remedio automática,
avisar a un operador, o ambas cosas.
29. Un sistema de acuerdo con la reivindicación
28, en el que en la operación de los medios b) se aplican diferentes
factores de importancia numéricos a los diferentes criterios de
sospecha.
30. Un sistema de acuerdo con la reivindicación
28 ó 29, en el que, en la aplicación del conjunto predeterminado de
criterios de sospecha, se asigna a un conjunto de correos
electrónicos una puntuación numérica calculada de acuerdo con una
combinación seleccionada de dichos criterios, y se marca como vírica
la puntuación excede de un umbral predeterminado.
31. Un sistema de acuerdo con la reivindicación
30, en el que si la puntuación no excede de dicho umbral, pero
excede de un segundo umbral más bajo, se marca el conjunto de
correos electrónicos para la atención de un operador.
32. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 31, en el que el registro de un correo
electrónico incluye registrar un resumen de:
- el mensaje de texto;
- la línea de sujeto;
- los primeros pocos caracteres de la parte de texto del correo electrónico;
- la primera parte de texto del correo electrónico;
- el primer anexo;
- el remitente; o
- el primer destinatario.
33. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 32, en el que uno de dichos criterios es
el de que un correo electrónico contenga un empleo inconsistente de
las letras mayúsculas.
34. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 33, en el que uno de dichos criterios es
el de que un correo electrónico tenga una rotura de línea u otra
composición de espacio en blanco en las cabeceras del mensaje
inconsistentes con el generador que se haya indicado del correo
electrónico.
35. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 34, en el que uno de dichos criterios es
el de que un correo electrónico tenga una ordenación anormal de los
elementos de la cabecera.
36. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 35, en el que uno de dichos criterios es
el de que un correo electrónico tenga falta o sobra de elementos de
la cabecera.
37. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 36, en el que uno de dichos criterios es
el de que un correo electrónico tenga una información de ID del
mensaje inconsistente.
38. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 37, en el que uno de dichos criterios es
el de que un correo electrónico tenga un formato del límite
inconsistente con el generador que se haya indicado del correo
electrónico.
39. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 38, en el que uno de dichos criterios es
el de que la parte de mensaje de un correo electrónico esté cifrada
para frustrar el análisis lingüístico.
40. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 39, en el que uno de dichos criterios es
el de que un correo electrónico tenga un sobre con la dirección del
remitente del mensaje vacío.
41. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 40, en el que uno de dichos criterios es
el de que un correo electrónico tenga una dirección del remitente
del mensaje no válida.
42. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 41, en el que uno de dichos criterios es
el de que un correo electrónico tenga una dirección del remitente
del mensaje que no se adapte a la del servidor del correo
electrónico desde el cual se haya enviado.
43. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 42, en el que uno de dichos criterios es
el de que los correos electrónicos sean dirigidos a destinatarios en
orden alfabético, o en orden alfabético inverso.
44. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 43, en el que uno de dichos criterios es
el de que los correos electrónicos sean enviados a una dirección de
correo electrónico particular y luego se multipliquen las salidas
desde la misma dirección de correo electrónico y/o desde direcciones
de correo electrónico similares.
45. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 33 a 44, en el que uno de dichos criterios es
el de que los correos electrónicos contengan el mismo formato
estructural.
46. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 45, en el que uno de dichos criterios es
el de que los correos electrónicos contengan las mismas cabeceras
inusuales.
47. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 46, en el que uno de dichos criterios es
el de que los correos electrónicos contengan las mismas
peculiaridades estructurales.
48. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 47, en el que uno de dichos criterios es
el de que un correo electrónico se origine en una dirección de IP o
en una dirección comprendida en un margen de direcciones de IP
particulares.
49. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 48, en el que en la operación de dichos
medios, los detalles de un correo electrónico no sean registrados si
el análisis del correo electrónico determina que no es posible que
el correo electrónico contenga un virus.
50. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 49, en el que, en la operación, en la
búsqueda se examinan, principal o exclusivamente, solamente las
entradas en la base de datos añadidas recientemente, es decir, las
entradas que hayan sido añadidas desde hace menos de un tiempo
predeterminado.
51. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 50, en el que los medios de iniciar son
operativos de tal modo que la acción de remedio incluye cualquiera,
o todos, de los siguientes, en relación con cada correo electrónico
que se adapte al patrón detectado:
- a)
- detener al menos temporalmente el paso de los correos electrónicos
- b)
- notificar al remitente del correo electrónico
- c)
- notificar al destinatario (o destinatarios) previsto del correo electrónico
- d)
- desinfectar el correo electrónico
- e)
- generar una señal para avisar a un operador humano.
52. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 51, y que incluye medios para enviar un
mensaje que identifique correos electrónicos sospechosos a un
servidor de correo electrónico automatizado.
53. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 52, y que incluye medios para procesar los
correos electrónicos infectados, para desinfectarlos o para
desactivar un virus que haya en los mismos.
54. Un sistema de acuerdo con una cualquiera de
las reivindicaciones 28 a 53, y que incluye medios para insertar en
los correos electrónicos aceptados como no infectados por un virus,
un mensaje que indique que el correo electrónico ha sido
procesado.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB0016835 | 2000-07-07 | ||
GBGB0016835.1A GB0016835D0 (en) | 2000-07-07 | 2000-07-07 | Method of, and system for, processing email |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2287140T3 true ES2287140T3 (es) | 2007-12-16 |
Family
ID=9895305
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES01949640T Expired - Lifetime ES2287140T3 (es) | 2000-07-07 | 2001-07-06 | Metodo y sistema para procesar correo electronico. |
Country Status (11)
Country | Link |
---|---|
US (1) | US7877807B2 (es) |
EP (1) | EP1299791B1 (es) |
AT (1) | ATE361489T1 (es) |
AU (1) | AU2001270763A1 (es) |
CY (1) | CY1106782T1 (es) |
DE (1) | DE60128227T2 (es) |
DK (1) | DK1299791T3 (es) |
ES (1) | ES2287140T3 (es) |
GB (2) | GB0016835D0 (es) |
PT (1) | PT1299791E (es) |
WO (1) | WO2002005072A2 (es) |
Families Citing this family (126)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7089591B1 (en) | 1999-07-30 | 2006-08-08 | Symantec Corporation | Generic detection and elimination of marco viruses |
US6886099B1 (en) * | 2000-09-12 | 2005-04-26 | Networks Associates Technology, Inc. | Computer virus detection |
WO2002065316A1 (en) * | 2001-02-12 | 2002-08-22 | Legato Systems, Inc. | System and method of indexing unique electronic mail messages and uses for the same |
EP1388068B1 (en) * | 2001-04-13 | 2015-08-12 | Nokia Technologies Oy | System and method for providing exploit protection for networks |
US7673342B2 (en) * | 2001-07-26 | 2010-03-02 | Mcafee, Inc. | Detecting e-mail propagated malware |
US20030097409A1 (en) * | 2001-10-05 | 2003-05-22 | Hungchou Tsai | Systems and methods for securing computers |
JP3693244B2 (ja) * | 2001-10-31 | 2005-09-07 | 株式会社日立製作所 | 電子メールシステム、メールサーバ及びメール端末 |
WO2003058879A1 (en) * | 2002-01-08 | 2003-07-17 | Seven Networks, Inc. | Secure transport for mobile communication network |
GB2384659B (en) * | 2002-01-25 | 2004-01-14 | F Secure Oyj | Anti-virus protection at a network gateway |
US20030154394A1 (en) * | 2002-02-13 | 2003-08-14 | Levin Lawrence R. | Computer virus control |
US7237008B1 (en) * | 2002-05-10 | 2007-06-26 | Mcafee, Inc. | Detecting malware carried by an e-mail message |
US7155742B1 (en) | 2002-05-16 | 2006-12-26 | Symantec Corporation | Countering infections to communications modules |
US20030226014A1 (en) * | 2002-05-31 | 2003-12-04 | Schmidt Rodney W. | Trusted client utilizing security kernel under secure execution mode |
GB2394382A (en) | 2002-10-19 | 2004-04-21 | Hewlett Packard Co | Monitoring the propagation of viruses through an Information Technology network |
GB2391419A (en) * | 2002-06-07 | 2004-02-04 | Hewlett Packard Co | Restricting the propagation of a virus within a network |
GB2401280B (en) | 2003-04-29 | 2006-02-08 | Hewlett Packard Development Co | Propagation of viruses through an information technology network |
US7418732B2 (en) * | 2002-06-26 | 2008-08-26 | Microsoft Corporation | Network switches for detection and prevention of virus attacks |
US7418729B2 (en) | 2002-07-19 | 2008-08-26 | Symantec Corporation | Heuristic detection of malicious computer code by page tracking |
US7380277B2 (en) * | 2002-07-22 | 2008-05-27 | Symantec Corporation | Preventing e-mail propagation of malicious computer code |
US7478431B1 (en) | 2002-08-02 | 2009-01-13 | Symantec Corporation | Heuristic detection of computer viruses |
WO2004015954A1 (en) * | 2002-08-07 | 2004-02-19 | British Telecommunications Public Limited Company | Server for sending electronics messages |
DE10243243B4 (de) * | 2002-09-17 | 2005-01-27 | T-Mobile Deutschland Gmbh | Verfahren zur empfängerseitigen automatischen Behandlung von unerwünschter elektronischer Post in Kommunikationsnetzen |
US7159149B2 (en) | 2002-10-24 | 2007-01-02 | Symantec Corporation | Heuristic detection and termination of fast spreading network worm attacks |
US7631353B2 (en) | 2002-12-17 | 2009-12-08 | Symantec Corporation | Blocking replication of e-mail worms |
US7296293B2 (en) | 2002-12-31 | 2007-11-13 | Symantec Corporation | Using a benevolent worm to assess and correct computer security vulnerabilities |
US7917468B2 (en) * | 2005-08-01 | 2011-03-29 | Seven Networks, Inc. | Linking of personal information management data |
US8468126B2 (en) * | 2005-08-01 | 2013-06-18 | Seven Networks, Inc. | Publishing data in an information community |
US8266215B2 (en) | 2003-02-20 | 2012-09-11 | Sonicwall, Inc. | Using distinguishing properties to classify messages |
US7299261B1 (en) | 2003-02-20 | 2007-11-20 | Mailfrontier, Inc. A Wholly Owned Subsidiary Of Sonicwall, Inc. | Message classification using a summary |
US7529754B2 (en) | 2003-03-14 | 2009-05-05 | Websense, Inc. | System and method of monitoring and controlling application files |
US7185015B2 (en) * | 2003-03-14 | 2007-02-27 | Websense, Inc. | System and method of monitoring and controlling application files |
GB2400934B (en) | 2003-04-25 | 2005-12-14 | Messagelabs Ltd | A method of,and system for detecting mass mailing viruses |
US7796515B2 (en) | 2003-04-29 | 2010-09-14 | Hewlett-Packard Development Company, L.P. | Propagation of viruses through an information technology network |
GB2401281B (en) | 2003-04-29 | 2006-02-08 | Hewlett Packard Development Co | Propagation of viruses through an information technology network |
US8271774B1 (en) | 2003-08-11 | 2012-09-18 | Symantec Corporation | Circumstantial blocking of incoming network traffic containing code |
WO2005050369A2 (en) * | 2003-11-12 | 2005-06-02 | The Trustees Of Columbia University In The City Ofnew York | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data |
US20050198168A1 (en) * | 2003-12-04 | 2005-09-08 | Justin Marston | Messaging protocol discovery |
US7971254B1 (en) * | 2004-01-28 | 2011-06-28 | Netgear, Inc. | Method and system for low-latency detection of viruses transmitted over a network |
US7721334B2 (en) | 2004-01-30 | 2010-05-18 | Microsoft Corporation | Detection of code-free files |
US8220055B1 (en) * | 2004-02-06 | 2012-07-10 | Symantec Corporation | Behavior blocking utilizing positive behavior system and method |
US8214438B2 (en) * | 2004-03-01 | 2012-07-03 | Microsoft Corporation | (More) advanced spam detection features |
US8073911B2 (en) * | 2004-05-12 | 2011-12-06 | Bluespace Software Corporation | Enforcing compliance policies in a messaging system |
US7370233B1 (en) | 2004-05-21 | 2008-05-06 | Symantec Corporation | Verification of desired end-state using a virtual machine environment |
US7870200B2 (en) * | 2004-05-29 | 2011-01-11 | Ironport Systems, Inc. | Monitoring the flow of messages received at a server |
US7441042B1 (en) | 2004-08-25 | 2008-10-21 | Symanetc Corporation | System and method for correlating network traffic and corresponding file input/output traffic |
GB2418500A (en) * | 2004-09-27 | 2006-03-29 | Clearswift Ltd | Detection, quarantine and modification of dangerous web pages |
GB0422441D0 (en) * | 2004-10-08 | 2004-11-10 | I Cd Publishing Uk Ltd | Processing electronic communications |
US10043008B2 (en) | 2004-10-29 | 2018-08-07 | Microsoft Technology Licensing, Llc | Efficient white listing of user-modifiable files |
US8104086B1 (en) | 2005-03-03 | 2012-01-24 | Symantec Corporation | Heuristically detecting spyware/adware registry activity |
US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
GB2427048A (en) | 2005-06-09 | 2006-12-13 | Avecho Group Ltd | Detection of unwanted code or data in electronic mail |
WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
GB0512744D0 (en) * | 2005-06-22 | 2005-07-27 | Blackspider Technologies | Method and system for filtering electronic messages |
US8069166B2 (en) * | 2005-08-01 | 2011-11-29 | Seven Networks, Inc. | Managing user-to-user contact with inferred presence information |
WO2007022454A2 (en) | 2005-08-18 | 2007-02-22 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media protecting a digital data processing device from attack |
US8544097B2 (en) * | 2005-10-14 | 2013-09-24 | Sistema Universitario Ana G. Mendez, Inc. | Attachment chain tracing scheme for email virus detection and control |
WO2007050667A2 (en) | 2005-10-25 | 2007-05-03 | The Trustees Of Columbia University In The City Of New York | Methods, media and systems for detecting anomalous program executions |
WO2007082308A2 (en) * | 2006-01-13 | 2007-07-19 | Bluespace Software Corp. | Determining relevance of electronic content |
US7769395B2 (en) * | 2006-06-20 | 2010-08-03 | Seven Networks, Inc. | Location-based operations and messaging |
US8239915B1 (en) | 2006-06-30 | 2012-08-07 | Symantec Corporation | Endpoint management using trust rating data |
US8135994B2 (en) | 2006-10-30 | 2012-03-13 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting an anomalous sequence of function calls |
GB0621656D0 (en) | 2006-10-31 | 2006-12-06 | Hewlett Packard Development Co | Data file transformation |
KR100859664B1 (ko) * | 2006-11-13 | 2008-09-23 | 삼성에스디에스 주식회사 | 전자메일의 바이러스 감염여부 판정방법 |
US9654495B2 (en) * | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
GB2444514A (en) * | 2006-12-04 | 2008-06-11 | Glasswall | Electronic file re-generation |
US9729513B2 (en) | 2007-11-08 | 2017-08-08 | Glasswall (Ip) Limited | Using multiple layers of policy management to manage risk |
CN101212470B (zh) * | 2006-12-30 | 2011-05-04 | 中国科学院计算技术研究所 | 一种能够抵御垃圾邮件的分布式邮件系统 |
GB2458094A (en) * | 2007-01-09 | 2009-09-09 | Surfcontrol On Demand Ltd | URL interception and categorization in firewalls |
GB0709527D0 (en) * | 2007-05-18 | 2007-06-27 | Surfcontrol Plc | Electronic messaging system, message processing apparatus and message processing method |
US8805425B2 (en) * | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
US8364181B2 (en) | 2007-12-10 | 2013-01-29 | Seven Networks, Inc. | Electronic-mail filtering for mobile devices |
US9002828B2 (en) * | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
US8787947B2 (en) * | 2008-06-18 | 2014-07-22 | Seven Networks, Inc. | Application discovery on mobile devices |
US8078158B2 (en) | 2008-06-26 | 2011-12-13 | Seven Networks, Inc. | Provisioning applications for a mobile device |
US8909759B2 (en) | 2008-10-10 | 2014-12-09 | Seven Networks, Inc. | Bandwidth measurement |
US8863279B2 (en) | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
CA2806527A1 (en) | 2010-07-26 | 2012-02-09 | Seven Networks, Inc. | Mobile network traffic coordination across multiple applications |
US20120066759A1 (en) * | 2010-09-10 | 2012-03-15 | Cisco Technology, Inc. | System and method for providing endpoint management for security threats in a network environment |
US8484314B2 (en) | 2010-11-01 | 2013-07-09 | Seven Networks, Inc. | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
US8417823B2 (en) | 2010-11-22 | 2013-04-09 | Seven Network, Inc. | Aligning data transfer to optimize connections established for transmission over a wireless network |
WO2012071384A2 (en) | 2010-11-22 | 2012-05-31 | Michael Luna | Optimization of resource polling intervals to satisfy mobile device requests |
EP2661697B1 (en) | 2011-01-07 | 2018-11-21 | Seven Networks, LLC | System and method for reduction of mobile network traffic used for domain name system (dns) queries |
US20120271903A1 (en) | 2011-04-19 | 2012-10-25 | Michael Luna | Shared resource and virtual resource management in a networked environment |
WO2012149216A2 (en) | 2011-04-27 | 2012-11-01 | Seven Networks, Inc. | Mobile device which offloads requests made by a mobile application to a remote entity for conservation of mobile device and network resources and methods therefor |
GB2505585B (en) | 2011-04-27 | 2015-08-12 | Seven Networks Inc | Detecting and preserving state for satisfying application requests in a distributed proxy and cache system |
US8584211B1 (en) | 2011-05-18 | 2013-11-12 | Bluespace Software Corporation | Server-based architecture for securely providing multi-domain applications |
US20120311710A1 (en) * | 2011-06-03 | 2012-12-06 | Voodoosoft Holdings, Llc | Computer program, method, and system for preventing execution of viruses and malware |
EP2737742A4 (en) * | 2011-07-27 | 2015-01-28 | Seven Networks Inc | AUTOMATIC PRODUCTION AND DISTRIBUTION OF GUIDELINES INFORMATION ON MOBILE MOBILE TRANSPORT IN A WIRELESS NETWORK |
JP2014526751A (ja) | 2011-09-15 | 2014-10-06 | ザ・トラスティーズ・オブ・コロンビア・ユニバーシティ・イン・ザ・シティ・オブ・ニューヨーク | リターン指向プログラミングのペイロードを検出するためのシステム、方法、および、非一時的コンピュータ可読媒体 |
US8918503B2 (en) | 2011-12-06 | 2014-12-23 | Seven Networks, Inc. | Optimization of mobile traffic directed to private networks and operator configurability thereof |
EP2789138B1 (en) | 2011-12-06 | 2016-09-14 | Seven Networks, LLC | A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation |
WO2013086447A1 (en) | 2011-12-07 | 2013-06-13 | Seven Networks, Inc. | Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol |
GB2498064A (en) | 2011-12-07 | 2013-07-03 | Seven Networks Inc | Distributed content caching mechanism using a network operator proxy |
WO2013090212A1 (en) | 2011-12-14 | 2013-06-20 | Seven Networks, Inc. | Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system |
GB2499306B (en) | 2012-01-05 | 2014-10-22 | Seven Networks Inc | Managing user interaction with an application on a mobile device |
US9203864B2 (en) | 2012-02-02 | 2015-12-01 | Seven Networks, Llc | Dynamic categorization of applications for network access in a mobile network |
WO2013116852A1 (en) | 2012-02-03 | 2013-08-08 | Seven Networks, Inc. | User as an end point for profiling and optimizing the delivery of content and data in a wireless network |
US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
WO2013155208A1 (en) | 2012-04-10 | 2013-10-17 | Seven Networks, Inc. | Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network |
WO2014011216A1 (en) | 2012-07-13 | 2014-01-16 | Seven Networks, Inc. | Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications |
US9161258B2 (en) | 2012-10-24 | 2015-10-13 | Seven Networks, Llc | Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion |
US9241259B2 (en) | 2012-11-30 | 2016-01-19 | Websense, Inc. | Method and apparatus for managing the transfer of sensitive information to mobile devices |
US20140177497A1 (en) | 2012-12-20 | 2014-06-26 | Seven Networks, Inc. | Management of mobile device radio state promotion and demotion |
US9241314B2 (en) | 2013-01-23 | 2016-01-19 | Seven Networks, Llc | Mobile device with application or context aware fast dormancy |
US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
US8750123B1 (en) | 2013-03-11 | 2014-06-10 | Seven Networks, Inc. | Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network |
US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
GB2518880A (en) | 2013-10-04 | 2015-04-08 | Glasswall Ip Ltd | Anti-Malware mobile content data management apparatus and method |
US9516049B2 (en) * | 2013-11-13 | 2016-12-06 | ProtectWise, Inc. | Packet capture and network traffic replay |
US10735453B2 (en) | 2013-11-13 | 2020-08-04 | Verizon Patent And Licensing Inc. | Network traffic filtering and routing for threat analysis |
US9654445B2 (en) | 2013-11-13 | 2017-05-16 | ProtectWise, Inc. | Network traffic filtering and routing for threat analysis |
US9330264B1 (en) | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
US11165812B2 (en) | 2014-12-03 | 2021-11-02 | Splunk Inc. | Containment of security threats within a computing environment |
US10057237B2 (en) * | 2015-02-17 | 2018-08-21 | Ca, Inc. | Provide insensitive summary for an encrypted document |
US20160287829A1 (en) * | 2015-03-31 | 2016-10-06 | Tom Whitehead | Cushioned Sleep Apnea Mask |
US10887261B2 (en) | 2015-07-30 | 2021-01-05 | Microsoft Technology Licensing, Llc | Dynamic attachment delivery in emails for advanced malicious content filtering |
US10868782B2 (en) | 2018-07-12 | 2020-12-15 | Bank Of America Corporation | System for flagging data transmissions for retention of metadata and triggering appropriate transmission placement |
US11151248B1 (en) * | 2018-09-11 | 2021-10-19 | NuRD LLC | Increasing zero-day malware detection throughput on files attached to emails |
US11677783B2 (en) * | 2019-10-25 | 2023-06-13 | Target Brands, Inc. | Analysis of potentially malicious emails |
EP4290808A3 (en) * | 2019-11-03 | 2024-02-21 | Microsoft Technology Licensing, LLC | Campaign intelligence and visualization for combating cyberattacks |
WO2021242687A1 (en) * | 2020-05-28 | 2021-12-02 | GreatHorn, Inc. | Computer-implemented methods and systems for pre-analysis of emails for threat detection |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DK170490B1 (da) | 1992-04-28 | 1995-09-18 | Multi Inform As | Databehandlingsanlæg |
US5414833A (en) | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
US5889943A (en) * | 1995-09-26 | 1999-03-30 | Trend Micro Incorporated | Apparatus and method for electronic mail virus detection and elimination |
US6453327B1 (en) * | 1996-06-10 | 2002-09-17 | Sun Microsystems, Inc. | Method and apparatus for identifying and discarding junk electronic mail |
US5832208A (en) * | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
US5796942A (en) * | 1996-11-21 | 1998-08-18 | Computer Associates International, Inc. | Method and apparatus for automated network-wide surveillance and security breach intervention |
US5935245A (en) * | 1996-12-13 | 1999-08-10 | 3Com Corporation | Method and apparatus for providing secure network communications |
US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
WO1999032985A1 (en) * | 1997-12-22 | 1999-07-01 | Accepted Marketing, Inc. | E-mail filter and method thereof |
CA2338265A1 (en) | 1998-07-21 | 2000-02-03 | Raytheon Company | Information security analysis system |
US6253337B1 (en) * | 1998-07-21 | 2001-06-26 | Raytheon Company | Information security analysis system |
US6701440B1 (en) * | 2000-01-06 | 2004-03-02 | Networks Associates Technology, Inc. | Method and system for protecting a computer using a remote e-mail scanning device |
US7072942B1 (en) * | 2000-02-04 | 2006-07-04 | Microsoft Corporation | Email filtering methods and systems |
US6519703B1 (en) * | 2000-04-14 | 2003-02-11 | James B. Joyce | Methods and apparatus for heuristic firewall |
US6886099B1 (en) | 2000-09-12 | 2005-04-26 | Networks Associates Technology, Inc. | Computer virus detection |
-
2000
- 2000-07-07 GB GBGB0016835.1A patent/GB0016835D0/en not_active Ceased
-
2001
- 2001-07-06 PT PT01949640T patent/PT1299791E/pt unknown
- 2001-07-06 GB GB0116578A patent/GB2367714C/en not_active Expired - Fee Related
- 2001-07-06 AT AT01949640T patent/ATE361489T1/de not_active IP Right Cessation
- 2001-07-06 DE DE60128227T patent/DE60128227T2/de not_active Expired - Lifetime
- 2001-07-06 DK DK01949640T patent/DK1299791T3/da active
- 2001-07-06 US US10/332,552 patent/US7877807B2/en not_active Expired - Fee Related
- 2001-07-06 ES ES01949640T patent/ES2287140T3/es not_active Expired - Lifetime
- 2001-07-06 EP EP01949640A patent/EP1299791B1/en not_active Expired - Lifetime
- 2001-07-06 WO PCT/GB2001/003036 patent/WO2002005072A2/en active IP Right Grant
- 2001-07-06 AU AU2001270763A patent/AU2001270763A1/en not_active Abandoned
-
2007
- 2007-08-01 CY CY20071101022T patent/CY1106782T1/el unknown
Also Published As
Publication number | Publication date |
---|---|
DE60128227D1 (de) | 2007-06-14 |
US7877807B2 (en) | 2011-01-25 |
WO2002005072A2 (en) | 2002-01-17 |
WO2002005072A3 (en) | 2002-09-06 |
AU2001270763A1 (en) | 2002-01-21 |
PT1299791E (pt) | 2007-08-16 |
GB2367714A (en) | 2002-04-10 |
ATE361489T1 (de) | 2007-05-15 |
DE60128227T2 (de) | 2008-01-10 |
GB0116578D0 (en) | 2001-08-29 |
GB2367714C (en) | 2006-10-30 |
CY1106782T1 (el) | 2012-05-23 |
GB2367714B (en) | 2004-03-17 |
EP1299791A2 (en) | 2003-04-09 |
DK1299791T3 (da) | 2007-09-10 |
US20040054498A1 (en) | 2004-03-18 |
EP1299791B1 (en) | 2007-05-02 |
GB0016835D0 (en) | 2000-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2287140T3 (es) | Metodo y sistema para procesar correo electronico. | |
US10805314B2 (en) | Using message context to evaluate security of requested data | |
US11044267B2 (en) | Using a measure of influence of sender in determining a security risk associated with an electronic message | |
US20230412615A1 (en) | Message security assessment using sender identity profiles | |
US10715543B2 (en) | Detecting computer security risk based on previously observed communications | |
US11936604B2 (en) | Multi-level security analysis and intermediate delivery of an electronic message | |
US10243989B1 (en) | Systems and methods for inspecting emails for malicious content | |
US8015250B2 (en) | Method and system for filtering electronic messages | |
US7380277B2 (en) | Preventing e-mail propagation of malicious computer code | |
Cook et al. | Catching spam before it arrives: domain specific dynamic blacklists | |
US20020004908A1 (en) | Electronic mail message anti-virus system and method | |
US20060224677A1 (en) | Method and apparatus for detecting email fraud | |
Chhabra et al. | Review of e-mail system, security protocols and email forensics | |
Tran et al. | Towards a feature rich model for predicting spam emails containing malicious attachments and urls | |
WO2017162997A1 (en) | A method of protecting a user from messages with links to malicious websites containing homograph attacks | |
WO2018081016A1 (en) | Multi-level security analysis and intermediate delivery of an electronic message | |
US11392691B1 (en) | System and method of securing e-mail against phishing and ransomware attack | |
Zaidi | Bypassing Phishing Filters | |
Lakshmi et al. | Securing Emails and Office 365 | |
Berkenkopf | Order turns out to be phishing attack in Excel look | |
Landau | Stop Delivery of Phishing Emails. | |
KR20230135373A (ko) | 이미지 분석 기반 내부정보 유출 방지 시스템 | |
KR20240019673A (ko) | 표적형 이메일 공격 차단 및 대응을 위한 진단 리포팅을 제공하는 이메일 보안 시스템 및 그 동작 방법 | |
Uppin | Hybrid Soft Computing Approach For Spam Filtering | |
Paulus et al. | Massmailers: New Threats Need Novel Anti-Virus Measures |