CN104813332A - 即时的,电子邮件内嵌url的信誉确定 - Google Patents
即时的,电子邮件内嵌url的信誉确定 Download PDFInfo
- Publication number
- CN104813332A CN104813332A CN201380060594.9A CN201380060594A CN104813332A CN 104813332 A CN104813332 A CN 104813332A CN 201380060594 A CN201380060594 A CN 201380060594A CN 104813332 A CN104813332 A CN 104813332A
- Authority
- CN
- China
- Prior art keywords
- urls
- prestige
- processor
- carry out
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/07—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
- H04L51/08—Annexed information, e.g. attachments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/07—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
- H04L51/18—Commands or executable codes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种系统允许即时检查关于内嵌有超链接的电子邮件的信息。一旦接收含有超链接的电子邮件,超链接的资源定位符被修改以允许一旦遍历超链接时检查电子邮件的信誉。在遍历超链接时,资源定位符的当前信誉和电子邮件的当前信誉均会被确定,并且响应于该确定执行一个或多个操作。
Description
背景
本公开大致涉及恶意软件检测领域。更具体而言,但不以限制的方式,其涉及采用信誉来确定是否允许遍历电子邮件中内嵌超链接的技术。
反恶意软件系统已经提供了电子邮件网关(email gateway)以在传送至电子邮件客户端之前进行电子邮件检查,网络网关(web gateway)在允许遍历(traversal)超链接之前进行统一资源定位符(URL)检查。这样的检查常常会考虑电子邮件或URL的信誉。信誉是基于从全球来源收集到的信息用于确定电子邮件或URL有效性的一个概念。电子邮件或URL的信誉不是固定的,是可以基于从全球来源收集到的数据随时间变化的。在当前反恶意软件系统中存在一个弱点,即可能使网络钓鱼电子邮件或其他不需要的电子邮件通过传送至收件人,因为用以确定电子邮件信誉的电子邮件网关所使用的服务器对于特定主机或内容还不具有足够的了解。然后电子邮件收件人可能会点击消息中的超链接,但超链接本身并不具有与其相关联的足够的信誉信息以防止遍历该超链接。
附图简要说明
图1是图示了根据一个实施例的一种执行即时(just-in-time)电子邮件内嵌URL信誉确定的系统的框图。
图2是图示了根据另一个实施例的一种执行即时电子邮件内嵌URL信誉确定的系统的框图。
图3是图示了根据再另一个实施例的一种执行即时电子邮件内嵌URL信誉确定的系统的框图。
图4是图示了根据一个实施例的一种执行即时电子邮件内嵌URL信誉确定的技术的一部分的流程图。
图5是图示了根据一个实施例的一种执行即时电子邮件内嵌URL信誉确定的技术的一部分的流程图。
图6是图示了根据一个实施例的一种执行基于即时电子邮件内嵌URL信誉确定的自适应内容过滤技术的流程图。
图7是图示了根据一个实施例的一种用于本文中所描述技术的计算设备的框图。
详细说明
在以下描述中,出于解释的目的,许多具体细节被公开以提供本发明的透彻理解。然而,对于本领域的技术人员而言,本发明显然无需这些具体细节亦可实施。在另一些实例中,结构和设备以框图的形式被示出,以避免模糊本发明。对于无脚注或后缀的数字的引用应理解为对于对应引用数字的所有脚注和后缀实例的引用。另外,本公开中所使用的语言主要出于可读性和指导性的目的进行选择的,并且可能未以描绘或限制本发明主题,诉诸于对于确定该发明主题必要的权利要求而进行选择。说明书中引用的“一个实施例(oneembodiment)”或“一实施例(an embodiment)”表示所描述的与实施例相关的特定特征、结构、或特性被包括于本发明的至少一个实施例中,而多次引用“一个实施例(one embodiment)”或“一实施例(an embodiment)”不应被理解为所有都必定是指相同的实施例。
如本文所使用的,术语“计算机系统(a computer system)”可以指单一个计算机或一起工作以执行所描述的在计算机系统上或由计算机系统所执行的功能的多个计算机。
如本文所使用的,术语“超链接(hyperlink)”是指可被用以访问资源的信息,所述资源可以是远程资源,例如网站,或本地资源,例如文件系统中的文件或当前文档中的位置。超链接包括标识将要访问资源的资源定位符。尽管在此通常被描述为统一资源定位符(URL),资源定位符可以是对于标识资源有用的任何信息,包括由资源向访问请求所应用的参数或选项。如本文所使用的,遍历(traverse)超链接或遍历资源定位符是指一尝试(attempt),其通过发送包含URL的网络请求至采用诸如超文本传输协议(HTTP)或超文本传输协议文本(HTTPS)的协议的网络服务器,允许网络服务器基于URL中的信息响应网络请求,以此来访问由在超链接中指定URL所指向的资源。
以下详细描述的各种实施例允许额外的背景(context)与电子邮件中包含的超链接相关联,以允许在尝试遍历超链接时确定电子邮件的信誉。由于遍历有时发生在电子邮件的原始扫描之后,原始扫描和用户尝试遍历超链接之间的时间延迟可提供时间使电子邮件网关或本文描述的系统的其他部分得以更多地了解电子邮件,并且由此给出一个更准确的信誉确定。
通过将信息编码至电子邮件中的URL中,编码信息可被提取并被用于请求原始电子邮件的当前信誉且合并该信誉和在遍历时关于URL所做的任何判断。因此,这允许采用内嵌信息来实时地检查即时信誉。
图1是图示了一种执行即时电子邮件内嵌URL信誉确定的系统100实施例的框图。电子邮件网关110采用客户端130接收寄给收件人的电子邮件。电子邮件网关110可采用本领域已知的任何所期望的技术进行接收。电子邮件网关110可在电子邮件上执行信誉检查,在本示例中,是采用信誉服务器120的服务来执行信誉检查。
为了进行该初始电子邮件信誉检查,电子邮件网关110可在收到电子邮件时提取充足的信息来进行电子邮件信誉确定,例如数据签名、报头(header)数据、以及信封(envelope)数据。信息可包括电子邮件本身,或电子邮件的部分。信息也可包括关于电子邮件通过其被接收的连接的信息,例如发送电子邮件服务器的IP地址。
尽管在图1中被图示为在云端(in the clound)提供服务的单一信誉服务器120,但信誉服务器120可以是本地信誉服务器,其可进而访问一个或多个其他信誉服务器的服务,包括诸如由McAfee公司的全球威胁智能(Global ThreatIntelligence)系统所提供全球信誉服务器。信誉信息可以任何期望的形式被提供至电子邮件网关110,采用任何期望的协议来进行信誉信息通信。在一个示例中,信誉得分可由信誉服务器120提供。如在图1中所示,信誉服务器120被置于云端150中,且可在任何地方从电子邮件网关110访问。
一旦从信誉服务器120接收信誉信息,电子邮件网关110可选择将电子邮件递送至客户端130、阻止电子邮件递送、或采取任何其他期望的操作。如果电子邮件要被递送至客户端130,电子邮件网关110可进一步分析电子邮件的内容以确定电子邮件是否包含超链接。如果有超链接被检测到,电子邮件网关将修改超链接的资源定位符以包括标识电子邮件消息的信息。标识信息通常包括消息标识符,例如包含于电子邮件的消息ID报头中的部分,但可以是足以允许之后确定URL是最初被内嵌于电子邮件中的,并且唯一地标识电子邮件的任何信息。标识信息在遍历超链接时被插入至超链接中以供以后使用。URL仍然可用作资源定位符,从而使得用户可点击包含URL的超链接从而以通常的方式遍历该超链接。在超链接具有相关联的超链接文本数据的情况下,对于URL的修改可能无法立即在电子邮件中可见。
其他信息可按需要被编码至URL中,例如与电子邮件相关联的环境信息。例如,验证信息可被编码至URL中以允许网络网关或获得URL的系统100的其他部分来确定编码是由电子元件网关110所产生的。另外,被插入至URL的编码信息可被加密,以防止对标识信息的未授权的解码,以允许检测对编码信息未授权的插入或修改。
电子邮件网关也可产生对应于电子邮件的元信息,将元信息储存在本地或远程数据库中,由消息标识符键控(keyed)。当在遍历超链接时确定电子邮件的信誉时,元信息被保存以供以后使用。元信息可包括一个或多个数据签名,例如电子邮件的哈希值、电子邮件的报头数据、和电子邮件的信封数据。其他元信息可按需要被保存,包括整个原始电子邮件和所有连接/协议信息。
在修改电子邮件中的URL之后,电子邮件网关可采用任何期望的电子邮件递送技术将电子邮件递送至收件人的邮箱中(在图1中,客户端130的用户)。递送可涉及将电子邮件递送至在邮件服务器中的邮箱,其随后通过客户端130上的客户端软件进行访问。然而,如有需要,递送也可涉及将电子邮件递送至客户端130。晚些时候,当客户端130的用户例如通过点击电子邮件中的超链接而试图遍历超链接时,电子邮件软件通过发送URL请求发起遍历。遍历尝试可被网络网关140拦截,网络网关140通常作为客户端130的代理服务器。
一旦从客户端130接收URL信息,网络网关140可分析URL并确定URL最初作为超链接被内嵌于电子邮件中。网络网关140可采用任何期望的技术来选择是否允许遍历超链接,包括从信誉服务器,例如信誉服务器120,请求信誉信息。如果URL未被内嵌于电子邮件中,那么网络网关140可基于该决定按需要进行动作。在URL被内嵌于电子邮件中的情况下,URL的信誉检查可被延迟,如下文所述。
然而,如果URL被确定已被内嵌于电子邮件中,网络网关140也可采用任何期望的通信技术,将从URL中提取的标识信息传递至电子邮件网关110。电子邮件网关110然后可复查电子邮件本身的信誉,如之前一样从信誉服务器120获取信誉信息,但现在会获得可能被更新的信誉信息,其在电子邮件消息的原始分析和超链接遍历尝试之间的过渡期间产生。
在电子邮件网关在其初始的电子邮件处理过程中储存关于电子邮件的元信息的情况下,该元信息可基于由网络网关140提供的标识信息而被提取,并被用以获得电子邮件当前信誉。
该更新的电子邮件信誉信息然后可被提供至网络网关140,允许网络网关140使用URL的当前信誉和URL被内嵌于其中的电子邮件的当前信誉来决定是否允许遍历超链接。电子邮件信誉信息可被请求并在获得URL本身的信誉信息之前、之后、或同时被获得。
其结果是,网络网关140能够不仅仅基于URL的信誉,而是该URL的超链接内嵌所在的电子邮件的当前信誉,来采取任何需要的动作,包括对URL更严格的审查(greater scrutiny)、阻止URL、或重定向遍历至备用站点。
如果URL被允许通过网络网关,网关也可对从网络服务器被返回并再次遍历网络网关的数据应用不同的过滤策略。取决于URL请求是否被包含在电子邮件和该电子邮件的信誉中,具有不同设置的不同内容过滤器组可被应用。例如,如果电子邮件的信誉指出电子邮件是垃圾邮件信息,启发式的反恶意软件扫描器可进入其最高检测模式。
图1的系统是示例性的且仅作为示例,并且可采用图1中所阐述的系统的变型。例如,电子邮件网关110可提供其本身的信誉服务功能,而非使用信誉服务器120的服务。在这样的系统中,一旦为电子邮件信誉确定提取充足的信息,电子邮件网关110可在数据库中记录从电子邮件提取的信息(未被示于图1中),由被插入至URL中的标识信息进行键控。一旦接收从网络网关140的通信,电子邮件网关110不查询信誉服务器120,而是可用消息标识符作为查询数据库的密钥,允许电子邮件网关110从数据库中的信息产生信誉信息。
即使是电子邮件网关110采用远程信誉服务器120的服务,电子邮件网关110可在数据库中储存关于电子邮件的信息,其随后可在从网络网关140接收请求时被传递至信誉服务器120。
图2是图示了即时电子邮件和URL信誉确定的系统200(其为前述系统的变型)的另一个实施例的框图。在示于图2的系统中,电子邮件网关110不是储存关于电子邮件消息的信息以便以后在超链接遍历时为确定电子邮件的信誉而检索和使用,而是电子邮件网关110可在电子邮件自身中传输该信息,例如通过进一步的URL修改,或如虚线所指,将该信息传输至网络网关140,网络网关140可储存该信息以在从信誉服务器120请求信誉信息时使用。在这样的变型中,网络网关140不需要具备从电子邮件网关110请求信誉信息的能力。如果网络网关140保存了关于由电子邮件网关110所处理的电子邮件的信息的数据库(未示出),它可使用该信息来执行其自身信誉确定,而非查询信誉服务器120。另外,网络网关140可从数据库获得信息,并用它查询信誉服务器120以获得电子邮件的当前信誉。如之前一样,网络网关140随后可用URL和电子邮件二者的当前信誉来确定响应于超链接的遍历要采取什么动作。
图3是图示了即时电子邮件和URL信誉确定的系统300(其为前述系统的变型)的再另一个实施例的框图。在该变型中,电子邮件网关110可用指向URL缩短(shortening)服务360的替代URL替换超链接中的URL。URL缩短服务360是重定向服务器,从而使电子邮件在被电子邮件网关110接收时,遍历替代URL引起重定向遍历内嵌于电子邮件的原始URL的目的地(destination)。尽管被称为缩短服务,因为替代URL通常被编码为短的URL(例如,http://macaf.ee/x4q53fly);然而,替代URL可以是任意期望的长度,包括比原始URL更长,并且可包括根据需要的URL查询参数。
电子邮件网关110还将关于原始URL的信息和充足的信息(例如以上所描述的信息)提供至缩短服务360以允许缩短服务360重定向原始URL位置的遍历以及执行信誉检查,其中通过查询信誉信息的本地数据库,或通过从信誉服务器120为电子邮件和URL之一或两者查询信誉信息而执行信誉检查。在这样的系统中,缩短服务通常保持由电子邮件网关110提供至其的信息的数据库。电子邮件网关通常将URL提供给缩短服务360,缩短服务360会返回缩短了的URL至电子邮件网关110,电子邮件网关110用缩短了的URL替换原始URL。缩短服务360在数据库中保持原始和缩短URL之间的联系,允许其重定向遍历至最初所期望的目的地。从电子邮件网关110收到的用于确定电子邮件信誉的其他信息也可被储存在数据库中。如先前所述的实施例,图3中的系统可基于URL或其内嵌所在的电子邮件的信誉,允许或禁止遍历超链接,或执行任何其他所期望的动作。
当与缩短服务360通信时,电子邮件网关110也可传输任何期望的策略信息,例如指示缩短服务360采取何种动作的信息、关于任何错误/警告消息定制(包括应用标记(branding))的信息、以及关于是否允许用户看见原始URL的信息。
尽管在图1-3中被图示为单一计算机,其中所示系统的每个元素可采用多计算机实现,其中的任意项可使用一个或多个处理器。
图4-6是图示了根据一个实施例的一种即时电子邮件内嵌URL信誉确定技术的各部分的流程图。图4示出了当电子邮件被收到时所执行的部分。图5示出了当包含该URL的超链接被遍历时所执行的部分。图6示出了当作为遍历的结果接收到内容时所执行的部分。
在方框410中,电子邮件通过电子邮件网关110被接收。在方框420中,采用任意期望的用于建立电子邮件信誉的技术(例如查询本地数据库或远程信誉服务器,诸如信誉服务器120)对电子邮件的信誉进行检查。
在方框430中,如果电子邮件的信誉表明电子邮件不应该被递送至客户端130,电子邮件网关110可拒绝该电子邮件。附加于或替代于拒绝电子邮件,可在此时基于电子邮件的信誉采取任何其他期望的动作。
在方框440中,电子邮件由电子邮件网关110进行分析以确定它是否包含任何超链接。在方框480中,如果在电子邮件中不存在超链接,那么电子邮件可被简单地发送至客户端130。如果在电子邮件中发现超链接,那么在方框450中,消息标识符可被产生以唯一地标识电子邮件。在方框460中,可在递送电子邮件至客户端130(在方框480中)之前,将消息标识符编码至包含于超链接的URL中。
在一些实现中,为防止恶意的或无意的URL修改以致错误地标识电子邮件,编码可包含校验和或其他类型的安全编码以允许网络网关140或分析URL的的任何其他系统元素确定修改已被作出。任何期望的技术可被用以对消息标识符安全地进行编码。
在方框470中,电子邮件网关110可储存信息以供以后用于在遍历超链接时确定电子邮件的信誉。如以上所描述的,该信息可被储存在本地数据库或被远程存储。另外,如以上所描述的,信誉信息可被直接编码进URL本身之中。
这样,当在方框480中电子邮件被发送至客户端时,URL包含充足的信息以允许网络网关140或其他系统元素,除在接收电子邮件时检查信誉之外,在遍历超链接时标识并检查在其中内嵌URL的电子邮件的信誉。一些实现可在接收电子邮件时取消方框420-430中的信誉检查,将信誉检查延迟直至发生遍历超链接。
尽管图4示出了仅处理单一超链接,方框440-460可根据需要重复多次以处理所有位于电子邮件中的超链接。
如以上所描述的,替代于修改在电子邮件中最初接收到的URL,URL可被诸如由URL缩短服务360所提供的指向重定向服务器的替代URL所替换。
图5示出了在遍历时的URL处理。在以下的讨论中,技术是根据图1中的系统进行描述的,但图2-3中系统的实现将执行相似的步骤。在方框510中,网络网关140接收超链接遍历请求,超链接遍历请求通常为对超链接的URL中指定位置作出文本传输协议(HTTP)连接或超文本传输协议安全(HTTPS)连接的请求。在方框520中,网络网关140可扫描URL并执行安全检查,例如从信誉服务器120请求URL的信誉。附加于或作为信誉检查的替代,任何其他期望类型的安全检查可在此时被执行。在方框530中,如果安全检查的结果表明遍历应该被拒绝,那么请求可被拒绝。替代地,可由网络网关140返回其他结果,包括发送消息或对于作出请求的客户端130的其他响应,其可导致显示关于URL或安全检查结果的信息。
如果遍历是可被允许的,那么在方框540中,网络网关通过查找由电子邮件网关添加的编码信息,确定超链接是否被内嵌于电子邮件中。如果超链接未被内嵌于电子邮件中,那么在方框580中,常规的遍历超链接可被执行。然而,如果从电子邮件中的超链接中获得URL,那么在方框550中,编码的信息被检验且电子邮件的标识被确定,例如通过从URL中提取消息标识符。然后,在方框560中,电子邮件的当前信誉可通过查询本地数据库或信誉服务器120被确定。如在图1中所示,该查询可如下执行:网络网关140请求电子邮件网关110执行信誉检查,将消息标识符或其他电子邮件标识信息传送给电子邮件网关110,允许电子邮件网关110获得用以从信誉服务器120请求电子邮件信誉的必要的信誉信息数据。一旦信誉被电子邮件网关110所获得,在这样的系统中,信誉被返回至网络网关140以作分析。
网络网关140,在已经接收或确定在其中内嵌有超链接的电子邮件的当前信誉(该当前信誉在电子邮件的原始信誉被电子邮件网关110所考虑后可能已改变过)情况下,在方框570中确定是否拒绝遍历超链接。如果遍历未被拒绝,那么在方框580中网络网关可重定向遍历请求至由URL所指的超链接的目的地。在一些实施例中,在URL中由电子邮件网关所编码的信息可被移除,在将URL放在HTTP或HTTPS请求中传送至目的地之前,将URL返回至其原始状态,以保证遍历的完整性。
图6是图示了在从超链接的目的地接收内容时由网络网关140执行的技术的部分。在方框610中,内容信息被接收。在方框620中,如果遍历源自电子邮件,那么在方框630中,内容可适应性地被过滤,基于电子邮件的当前信誉而修改过滤。在一些实现中,网络网关140可在此时再获得电子邮件的信誉。过滤也可基于URL的当前信誉来修改(adapted)。
在图4-6的流程图中执行步骤的顺序是示例性的且仅作为示例,并且其他的步骤和步骤的顺序可被采用。例如,尽管以上所描述的,在检查电子邮件信誉之前检查URL信誉,网络网关140可首先执行即时电子邮件信誉检查,允许关于电子邮件的信息被用于URL的信誉检查。此外,尽管是以信誉检查被描述,如图4的讨论中所指出的,任何所需形式的安全检查可被执行,以替代或附加于信誉检查。
现参考图7,用以提供电子邮件网关110、客户端130、网络网关140、信誉服务器120、以及缩短服务360的示例计算机700以框图的形式被示出。示例计算机700包括可选择性地被连接至输入设备或系统760(例如,键盘、鼠标、触摸屏等)和显示770的系统单元710。程序储存设备(PSD)780(有时是指硬盘)被包括于系统单元710。用以通过网络与其他计算及合作基础设备(未示出)进行通信的网络接口740也被包括于系统单元710。网络接口740可被包括于系统单元710之中,或在系统单元710的外部。任一情况下,系统单元710被通信地耦接至网络接口740。程序储存设备780代表任意形式的非易失性存储,包括但不限于,光学的以及磁力的所有形式,包括固态的、储存元件,包括可移动介质,并且可被包括于系统单元710之中或在系统单元710的外部。程序储存设备780可被用于储存控制系统单元710的软件、为计算机700所用的数据、或其两者。
系统单元710可被编程以执行依照本公开(图4-5中的示例)的方法。系统单元710包括处理器单元(PU)720、输入-输出(I/O)接口750以及存储器730。处理单元720可包括任何可编程控制器设备,包括一个或多个在计算机中常用的处理器系列中的成员,包括多核处理器。存储器730可包括一个或多个存储器模块,且包括随机访问存储器(RAM)、只读存储器(ROM)、科编程只读存储器(PROM)、可编程读写存储器、和固态存储器。本领域的普通技术人员还将认识到,PU 720也可包括一些内部存储器,包括,举例而言,缓存存储器。
应当理解的是,以上的描述旨在是说明性的,而不是限制性。例如,上述的实施例可用于彼此组合。对于本领域的技术人员而言,在阅读以上描述之后,许多其他的实施例将是显而易见的。因此,本发明的范围应参照所附的权利要求及其等效的全部范围而确定。
Claims (25)
1.一种程序储存设备,在所述程序储存设备上储存有指令,包括使一个或多个处理器进行以下操作的指令:
从包含超链接的电子邮件中接收遍历所述超链接的资源定位符的请求;
响应于所述请求,确定所述电子邮件的信誉和所述资源定位符的信誉;以及
响应于所述电子邮件的信誉和所述资源定位符的信誉来执行操作。
2.如权利要求1所述的程序储存设备,其中所述操作包括以下的一个或多个项:
使所述资源定位符受到更严格的审查;
拒绝准许对所述资源定位符的遍历;以及
将遍历重定向至替代目的地。
3.如权利要求2所述的程序储存设备,其中所述操作还包括使对应于所述资源定位符的已下载数据受到更严格的审查。
4.如权利要求1-2中任一项所述的程序储存设备,在所述程序储存设备上储存有指令,还包括使一个或多个处理器进行以下操作的指令:
接收包含超链接的电子邮件;以及
修改所述电子邮件中所述超链接的所述资源定位符以指示所述电子邮件的身份。
5.如权利要求4中所述的程序储存设备,在所述程序储存设备上储存有指令,还包括使一个或多个处理器进行以下操作的指令:
在信誉数据库中储存与所述电子邮件的身份相关联的信誉信息。
6.如权利要求4所述的程序储存设备,其中所述使一个或多个处理器修改所述资源定位符的指令包括使一个或多个处理器进行以下操作的指令:
在电子邮件消息中替换所述资源定位符。
7.如权利要求1-2中任一项所述的程序储存设备,其中所述使一个或多个处理器确定所述电子邮件的信誉和所述资源定位符的信誉的指令包括使一个或多个处理器进行以下操作的指令:
从电子邮件网关请求所述电子邮件的信誉信息。
8.一种程序储存设备,在所述程序储存设备上储存有指令,包括使一个或多个处理器进行以下操作的指令:
接收电子邮件;
为所述电子邮件创建消息标识符;
生成对应于所述电子邮件的元信息;
在数据库中储存所述元信息,所述元信息由所述消息标识符进行键控;以及
修改包含于所述电子邮件中的超链接的资源定位符。
9.如权利要求8所述的程序储存设备,其中所述元信息包括:
数据签名;
所述电子邮件的报头数据;以及
所述电子邮件的信封数据。
10.如权利要求8-9中任一项所述的程序储存设备,其中所述使一个或多个处理器修改所述资源定位符的指令包括使一个或多个处理器进行以下操作的指令:
将所述消息标识符编码进所述资源定位符中。
11.如权利要求10所述的程序储存设备,其中所述使一个或多个处理器将所述消息标识符编码进所述资源定位符中的指令包括使一个或多个处理器进行以下操作的指令:
将额外的信息编码进所述资源定位符中。
12.如权利要求8-9中任一项所述的程序储存设备,其中所述使一个或多个处理器修改所述资源定位符的指令包括使一个或多个处理器进行以下操作的指令:
用不同的资源定位符替代所述的资源定位符。
13.如权利要求8-9中任一项所述的程序储存设备,其中所述使一个或多个处理器修改所述资源定位符的指令包括使一个或多个处理器进行以下操作的指令:
将关于所述电子邮件的背景的信息编码进所述资源定位符中。
14.一种系统,包括:
网络网关;以及
电子邮件网关,
其中所述网络网关包括:
处理器;
储存设备,其被耦接至所述处理器,在所述储存设备上储存有软件,包括使所述处理器进行以下操作的指令:
接收建立连接至由内嵌于电子邮件的超链接的资源定位符所指定的位置的请求;
基于所述资源定位符确定所述电子邮件的身份;
确定所述电子邮件的当前信誉;以及
确定所述资源定位符的当前信誉;以及
响应于所述资源定位符和所述电子邮件的信誉进行操作,
其中所述电子邮件网关包括:
处理器;
储存设备,其被耦接至所述处理器,在所述储存设备上储存有软件,包括使所述处理器进行以下操作的指令:
接收所述电子邮件;以及
修改所述电子邮件中的所述资源定位符以标识所述电子邮件。
15.如权利要求14所述的系统,其中所述电子邮件网关的软件还包括使处理器进行以下操作的指令:
缓存对应于所述电子邮件的信息;
从所述网络网关接收所述请求;
基于所述请求中的信息,从所述已缓存的信息中提取关于所述电子邮件的信息;
获得所述电子邮件的信誉信息;以及
发送所述信誉信息至所述网络网关。
16.如权利要求14所述的系统,
其中所述网络网关的软件还包括使处理器进行以下操作的指令:
确定所述资源定位符包括与所述电子邮件内容相关联的信息,
其中使所述处理器请求信誉信息的所述指令包括使所述处理器进行以下操作的指令:
在所述请求中包括与所述电子邮件的所述背景相关联的所述信誉信息。
17.如权利要求14所述的系统,
其中所述电子邮件网关的软件还包括使处理器进行以下操作的指令:
传送包含所述已修改资源定位符的所述电子邮件。
18.如权利要求14所述的系统,其中所述使所述处理器修改所述资源定位符的指令包括使所述处理器进行以下操作的指令:
生成所述电子邮件的消息标识符;
通过在所述电子邮件中将所述消息标识符编码进所述资源定位符中,来修改所述电子邮件。
19.如权利要求14所述的系统,其中所述电子邮件网关的软件还包括使处理器进行以下操作的指令:
一旦接收所述电子邮件则获取所述电子邮件的初始信誉;以及
响应于所述初始信誉执行操作。
20.如权利要求14-19中任一项所述的系统,还包括:
重定向服务器,包括:
处理器;以及
储存设备,其被耦接至所述处理器,在所述储存设备上储存有软件,包括使所述处理器进行以下操作的指令:
接收将所述已修改资源定位符与所述电子邮件中所述资源定位符关联的信息;
接收对应所述资源定位符的连接;
请求所述电子邮件和所述电子邮件中所述资源定位符的信誉;以及
将所述连接重定向至所述电子邮件中所述资源定位符所指定的目的地,
其中所述使所述处理器修改所述资源定位符的指令包括使所述处理器进行以下操作的指令:
用指向所述重定向服务器的资源定位符替代所述电子邮件中的所述资源定位符。
21.一种方法,包括:
接收电子邮件,包括:
确定所述电子邮件的初始信誉;以及
修改内嵌于所述电子邮件的超链接的第一资源定位符以标识所述电子邮件;以及
接收遍历所述第一资源定位符的请求,包括:
确定所述第一资源定位符的当前信誉;
分析所述第一资源定位符以标识具有所述超链接内嵌于其中的所述电子邮件;
确定所述电子邮件的当前信誉;以及
响应于所述第一资源定位符的所述信誉和所述电子邮件的所述当前信誉,执行操作。
22.如权利要求21所述的方法,其中修改第一资源定位符包括:
用第二资源定位符替代所述资源定位符;以及
将所述第一资源定位符与所述第二资源定位符关联。
23.如权利要求22所述的方法,其中接收遍历所述第一资源定位符的请求还包括:
接收重定向服务器作出的遍历所述第二资源定位符的请求;以及
确定与所述第二资源定位符相关联的所述第一资源定位符。
24.如权利要求21所述的方法,
其中接收电子邮件还包括:
储存关于所述电子邮件的元信息;以及
将所述元信息与消息标识数据关联,且
其中修改第一资源定位符包括:
将所述消息标识数据编码进所述第一资源定位符中。
25.一种设备,所述设备包括用于执行如权利要求21-24中任一项所要求的方法的装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811462952.XA CN109495377B (zh) | 2012-12-20 | 2013-12-12 | 即时的电子邮件内嵌url的信誉确定设备、系统和方法 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/721,303 | 2012-12-20 | ||
US13/721,303 US9467410B2 (en) | 2012-12-20 | 2012-12-20 | Just-in-time, email embedded URL reputation determination |
PCT/US2013/074715 WO2014099615A1 (en) | 2012-12-20 | 2013-12-12 | Just-in-time, email embedded url reputation determination |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811462952.XA Division CN109495377B (zh) | 2012-12-20 | 2013-12-12 | 即时的电子邮件内嵌url的信誉确定设备、系统和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104813332A true CN104813332A (zh) | 2015-07-29 |
CN104813332B CN104813332B (zh) | 2018-11-09 |
Family
ID=50975963
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380060594.9A Active CN104813332B (zh) | 2012-12-20 | 2013-12-12 | 即时的电子邮件内嵌url的信誉确定 |
CN201811462952.XA Active CN109495377B (zh) | 2012-12-20 | 2013-12-12 | 即时的电子邮件内嵌url的信誉确定设备、系统和方法 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811462952.XA Active CN109495377B (zh) | 2012-12-20 | 2013-12-12 | 即时的电子邮件内嵌url的信誉确定设备、系统和方法 |
Country Status (5)
Country | Link |
---|---|
US (2) | US9467410B2 (zh) |
EP (1) | EP2936375B1 (zh) |
KR (1) | KR101700176B1 (zh) |
CN (2) | CN104813332B (zh) |
WO (1) | WO2014099615A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109672607A (zh) * | 2018-12-20 | 2019-04-23 | 东软集团股份有限公司 | 一种邮件处理方法、装置及存储设备、程序产品 |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9241009B1 (en) * | 2012-06-07 | 2016-01-19 | Proofpoint, Inc. | Malicious message detection and processing |
US20140289271A1 (en) * | 2013-03-25 | 2014-09-25 | Salesforce.Com, Inc. | System, method and computer program product for integrating a multi-tenant database system and a user information management application |
US9391938B2 (en) * | 2013-07-08 | 2016-07-12 | International Business Machines Corporation | Indicating in an electronic message whether a user has previously accessed content provided by a resource |
US10694029B1 (en) | 2013-11-07 | 2020-06-23 | Rightquestion, Llc | Validating automatic number identification data |
EP3108395B1 (en) | 2014-02-18 | 2018-10-24 | Proofpoint, Inc. | Targeted attack protection using predictive sandboxing |
KR101670687B1 (ko) * | 2014-12-17 | 2016-10-31 | 주식회사 케이티 | 메시지 전송 시스템, 방법 및 컴퓨터 프로그램 |
US10050980B2 (en) * | 2015-06-27 | 2018-08-14 | Mcafee, Llc | Enterprise reputations for uniform resource locators |
US9628419B2 (en) | 2015-07-29 | 2017-04-18 | Mimecast North America, Inc. | System for annotation of electronic messages with contextual information |
CN106503548B (zh) * | 2015-09-08 | 2019-08-27 | 阿里巴巴集团控股有限公司 | 漏洞检测方法、装置及系统 |
US10536449B2 (en) | 2015-09-15 | 2020-01-14 | Mimecast Services Ltd. | User login credential warning system |
US10728239B2 (en) | 2015-09-15 | 2020-07-28 | Mimecast Services Ltd. | Mediated access to resources |
US11595417B2 (en) | 2015-09-15 | 2023-02-28 | Mimecast Services Ltd. | Systems and methods for mediating access to resources |
US9654492B2 (en) | 2015-09-15 | 2017-05-16 | Mimecast North America, Inc. | Malware detection system based on stored data |
US11018947B2 (en) | 2016-01-27 | 2021-05-25 | Oracle International Corporation | System and method for supporting on-demand setup of local host channel adapter port partition membership in a high-performance computing environment |
US10756961B2 (en) | 2016-01-27 | 2020-08-25 | Oracle International Corporation | System and method of assigning admin partition membership based on switch connectivity in a high-performance computing environment |
US20180084002A1 (en) * | 2016-09-20 | 2018-03-22 | Re-Sec Technologies Ltd. | Malicious hyperlink protection |
US10880322B1 (en) * | 2016-09-26 | 2020-12-29 | Agari Data, Inc. | Automated tracking of interaction with a resource of a message |
US10805314B2 (en) | 2017-05-19 | 2020-10-13 | Agari Data, Inc. | Using message context to evaluate security of requested data |
US11936604B2 (en) | 2016-09-26 | 2024-03-19 | Agari Data, Inc. | Multi-level security analysis and intermediate delivery of an electronic message |
US10805270B2 (en) | 2016-09-26 | 2020-10-13 | Agari Data, Inc. | Mitigating communication risk by verifying a sender of a message |
US11044267B2 (en) | 2016-11-30 | 2021-06-22 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
US10715543B2 (en) | 2016-11-30 | 2020-07-14 | Agari Data, Inc. | Detecting computer security risk based on previously observed communications |
US11722513B2 (en) | 2016-11-30 | 2023-08-08 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
US10454952B2 (en) | 2016-12-23 | 2019-10-22 | Microsoft Technology Licensing, Llc | Threat protection in documents |
CN106992975B (zh) * | 2017-03-21 | 2021-01-12 | 腾讯科技(深圳)有限公司 | 恶意网址识别方法及装置 |
US11019076B1 (en) | 2017-04-26 | 2021-05-25 | Agari Data, Inc. | Message security assessment using sender identity profiles |
US11757914B1 (en) | 2017-06-07 | 2023-09-12 | Agari Data, Inc. | Automated responsive message to determine a security risk of a message sender |
US11102244B1 (en) | 2017-06-07 | 2021-08-24 | Agari Data, Inc. | Automated intelligence gathering |
US11677699B2 (en) | 2018-12-03 | 2023-06-13 | International Business Machines Corporation | Cognitive pre-loading of referenced content in electronic messages |
US10686826B1 (en) * | 2019-03-28 | 2020-06-16 | Vade Secure Inc. | Optical scanning parameters computation methods, devices and systems for malicious URL detection |
US11741223B2 (en) | 2019-10-09 | 2023-08-29 | International Business Machines Corporation | Validation of network host in email |
US20230079612A1 (en) * | 2021-09-13 | 2023-03-16 | Paul Maszy | System and Method for Computer Security |
US11943257B2 (en) * | 2021-12-22 | 2024-03-26 | Abnormal Security Corporation | URL rewriting |
US11991207B2 (en) * | 2022-03-14 | 2024-05-21 | Bank Of America Corporation | Anti-phish, personalized, security token for use with electronic communications |
US11991172B2 (en) | 2022-03-29 | 2024-05-21 | Bank Of America Corporation | Double anti-phish, personalized, security token for use with electronic communications |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060101334A1 (en) * | 2004-10-21 | 2006-05-11 | Trend Micro, Inc. | Controlling hostile electronic mail content |
US20090037469A1 (en) * | 2007-08-02 | 2009-02-05 | Abaca Technology Corporation | Email filtering using recipient reputation |
US20100318623A1 (en) * | 2006-04-05 | 2010-12-16 | Eric Bloch | Method of Controlling Access to Network Resources Using Information in Electronic Mail Messages |
CN102402620A (zh) * | 2011-12-26 | 2012-04-04 | 余姚市供电局 | 一种恶意网页防御方法和系统 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4143907B2 (ja) | 2002-09-30 | 2008-09-03 | ソニー株式会社 | 情報処理装置および方法、並びにプログラム |
US7421498B2 (en) | 2003-08-25 | 2008-09-02 | Microsoft Corporation | Method and system for URL based filtering of electronic communications and web pages |
US20080022013A1 (en) | 2004-10-29 | 2008-01-24 | The Go Daddy Group, Inc. | Publishing domain name related reputation in whois records |
US20060168066A1 (en) * | 2004-11-10 | 2006-07-27 | David Helsper | Email anti-phishing inspector |
US8498981B2 (en) * | 2009-03-09 | 2013-07-30 | Apple Inc. | Search capability implementation for a device |
US8839422B2 (en) * | 2009-06-30 | 2014-09-16 | George Mason Research Foundation, Inc. | Virtual browsing environment |
US8862699B2 (en) | 2009-12-14 | 2014-10-14 | Microsoft Corporation | Reputation based redirection service |
US9317680B2 (en) * | 2010-10-20 | 2016-04-19 | Mcafee, Inc. | Method and system for protecting against unknown malicious activities by determining a reputation of a link |
US8959626B2 (en) | 2010-12-14 | 2015-02-17 | F-Secure Corporation | Detecting a suspicious entity in a communication network |
CN103535004B (zh) * | 2011-05-16 | 2017-05-17 | 瑞典爱立信有限公司 | 用于促进匿名音频和视频通信的方法和基于web的系统 |
CN102355657B (zh) * | 2011-06-28 | 2014-10-08 | 华为数字技术(成都)有限公司 | 业务访问控制方法、装置和系统 |
-
2012
- 2012-12-20 US US13/721,303 patent/US9467410B2/en active Active
-
2013
- 2013-12-12 EP EP13866110.3A patent/EP2936375B1/en active Active
- 2013-12-12 CN CN201380060594.9A patent/CN104813332B/zh active Active
- 2013-12-12 CN CN201811462952.XA patent/CN109495377B/zh active Active
- 2013-12-12 WO PCT/US2013/074715 patent/WO2014099615A1/en active Application Filing
- 2013-12-12 KR KR1020157013151A patent/KR101700176B1/ko active IP Right Grant
-
2016
- 2016-09-16 US US15/267,658 patent/US9929991B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060101334A1 (en) * | 2004-10-21 | 2006-05-11 | Trend Micro, Inc. | Controlling hostile electronic mail content |
US20100318623A1 (en) * | 2006-04-05 | 2010-12-16 | Eric Bloch | Method of Controlling Access to Network Resources Using Information in Electronic Mail Messages |
US20090037469A1 (en) * | 2007-08-02 | 2009-02-05 | Abaca Technology Corporation | Email filtering using recipient reputation |
CN102402620A (zh) * | 2011-12-26 | 2012-04-04 | 余姚市供电局 | 一种恶意网页防御方法和系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109672607A (zh) * | 2018-12-20 | 2019-04-23 | 东软集团股份有限公司 | 一种邮件处理方法、装置及存储设备、程序产品 |
Also Published As
Publication number | Publication date |
---|---|
US20140181216A1 (en) | 2014-06-26 |
EP2936375A4 (en) | 2016-09-21 |
CN109495377B (zh) | 2021-06-29 |
CN109495377A (zh) | 2019-03-19 |
EP2936375A1 (en) | 2015-10-28 |
KR101700176B1 (ko) | 2017-01-26 |
EP2936375B1 (en) | 2019-11-06 |
KR20150076206A (ko) | 2015-07-06 |
US9467410B2 (en) | 2016-10-11 |
CN104813332B (zh) | 2018-11-09 |
US9929991B2 (en) | 2018-03-27 |
WO2014099615A1 (en) | 2014-06-26 |
US20170005961A1 (en) | 2017-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104813332A (zh) | 即时的,电子邮件内嵌url的信誉确定 | |
CN102984121B (zh) | 访问监视方法和信息处理装置 | |
US7086050B2 (en) | Updating computer files | |
CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
CN103001856B (zh) | 一种信息分享方法及系统、即时通讯客户端及服务器 | |
US8286248B1 (en) | System and method of web application discovery via capture and analysis of HTTP requests for external resources | |
KR101907392B1 (ko) | 이메일 본문에 게재된 링크주소의 악성 여부 검사방법과 검사시스템 | |
KR100732689B1 (ko) | 웹 보안방법 및 그 장치 | |
US20200106790A1 (en) | Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic | |
CN103973664A (zh) | 网络木马后门探测/应对系统 | |
CA2609464A1 (en) | Method and system for filtering electronic messages | |
CN103034808B (zh) | 扫描方法、设备和系统以及云端管理方法和设备 | |
US20240007498A1 (en) | Apparatus for providing mail security service using hierarchical architecture based on security level and operation method therefor | |
CN108600081A (zh) | 一种邮件外发存档的方法及装置、邮件网关 | |
US20110060789A1 (en) | File transfer security system and method | |
CN104395894A (zh) | 中继装置和中继装置的控制方法 | |
CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
CN104539604A (zh) | 网站防护方法和装置 | |
KR101566363B1 (ko) | 규칙 기반 보안 이벤트 연관성 분석장치 및 방법 | |
US20240163299A1 (en) | Email security diagnosis device based on quantitative analysis of threat elements, and operation method thereof | |
US20080022004A1 (en) | Method And System For Providing Resources By Using Virtual Path | |
CN111130993B (zh) | 一种信息提取的方法及装置、可读存储介质 | |
CN110061864B (zh) | 一种域名配置自动化验证的方法和系统 | |
JP2006268335A (ja) | 電子メールシステム、電子メールシステムにおけるリンク先のフィルタ方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mcafee, Inc. |