JP2008545177A - 電子メッセージ中での脅威の識別 - Google Patents
電子メッセージ中での脅威の識別 Download PDFInfo
- Publication number
- JP2008545177A JP2008545177A JP2008510321A JP2008510321A JP2008545177A JP 2008545177 A JP2008545177 A JP 2008545177A JP 2008510321 A JP2008510321 A JP 2008510321A JP 2008510321 A JP2008510321 A JP 2008510321A JP 2008545177 A JP2008545177 A JP 2008545177A
- Authority
- JP
- Japan
- Prior art keywords
- message
- virus
- rule
- score value
- quarantine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/234—Monitoring or handling of messages for tracking messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Abstract
コンピューターウィルスおよび他のメッセージを媒介とする脅威の早期検知は、経験則によるテストをメッセージコンテンツに適用しおよびウィルスシグネチャ情報が利用できない場合に送信者信用情報を調べることによって提供される。その結果、メッセージングゲートウェイはウィルスの突然発生時にメッセージの配信を早期に停止することができ、メッセージからウィルスコードを取り除くことができるアンチウィルスチェッカーを更新するのに十分な時間を提供する。動的およびフレキシブルな脅威隔離キューは、先入れ先出し以外の順序メッセージの早期解放を許容する様々な終了基準および終了アクションを備える。脅威ルールを選択されたメッセージ要素のみと照合することおよび一つのメッセージ要素に対する照合が脅威閾値を超えるとすぐにルール照合を中止することによって構文解析およびスキャニングからの早期終了が発生可能であるメッセージスキャン方法を説明する。
Description
本発明は一般に、電子メッセージ中でコンピューターウィルス、スパム、およびフィッシング攻撃といった脅威を検知する。より具体的には、本発明は電子メッセージ中での脅威の新たな発生に応答し、脅威を保持するメッセージの隔離キューを管理し、および脅威を探してメッセージをスキャンする技術に関する。
この節に記載されるアプローチは追求しうるが、必ずしもこれまでに思い付いたりまたは追求されてきたアプローチではない。したがって、本明細書中に他に示されない限り、この章に記載されるアプローチは、本出願明細書中の特許請求の範囲に対する先行技術ではなく、およびこの章に包含することによって先行技術に加えられることはない。
公共のネットワークに接続されたコンピューター中のメッセージを媒介とするウィルスの繰り返しの発生は、とりわけ大規模な私設ネットワークを備えた企業にとって深刻な問題となった。何千ドルの直接および間接コストが、無駄になった従業員の生産性、追加的なハードウェアおよびソフトウェアを購入するための設備投資、多くのウィルスが共有ディレクトリ上のファイルを破壊することを理由とする失われた情報、および、多くのウィルスがファイルに添付され、およびランダムファイルをユーザーのコンピューターから送信することを理由とするプライバシーおよび機密保持の侵害から生じうる。
さらに、ウィルスによる損害はきわめて短時間のうちに発生する。非常に高い比率の企業ネットワーク中のマシンが、ウィルスが突然発生した時と、ウィルス定義が公開されてウィルス感染したメッセージを検知できおよび阻止できる企業のメールゲートウェイに配備される時との間に感染する可能性がある。「突然発生」と「ルールの配備」との間の時間枠は、多くの場合5時間またはそれ以上である。反応時間を削減することは極めて価値が高いであろう。
大部分のウィルスの突然発生において、実行可能な添付ファイルは現在はウィルスコードのキャリヤとしての役割を果たしている。たとえば、過去3年間に発生した17個の主要なウィルスの突然発生のうち、13個のウィルスは電子メールの添付ファイルを介して送信された。電子メールの添付ファイルを介して送信された13個のウィルスのうち12個は、危険な添付ファイルの種類を介して送信された。このように、いくつかの企業ネットワークのメールゲートウェイは今やすべての種類の実行可能な添付ファイルを阻止する。
それに明らかに対応して、現在のウィルス作成者は実行ファイルを隠している。ウィルス作成者はますます、一見無害に見えるファイルの中に既知の危険なファイルの種類を隠しつつある。たとえば、あるウィルス作成者は、WinZIPおよび他のアーカイブユーティリティによって生成された種類の.zipファイルの中に実行ファイルを埋め込むかもしれない。このような.zipファイルは、より大きなファイルを圧縮しおよび共有するために企業において非常に一般的に用いられ、このため、大部分の企業は.zipファイルを阻止することに消極的であるかまたはそれらを阻止することができない。実行ファイルをMicrosoft Word(登録商標)およびいくつかのバージョンのAdobe Acrobat(登録商標)の中に埋め込むことも可能である。
上記に基づいて、ウィルスの突然発生を管理するための改善されたアプローチに対する明確な必要性がある。大量の商業的な迷惑メール(「スパム」)、およびフィッシング攻撃といった他の形態の脅威を含むメッセージの配信を防止するための現在の各技術もまた、不十分と考えられている。脅威を探してメッセージをスキャンする現在の技術もまた不十分と考えられ、および改善が必要とされる。
コンピューターウィルスの突然発生を管理する方法および装置が記載される。下記の記載では、説明目的で多数の具体的な詳細事項が、本発明の完全な理解を提供するために説明されている。しかしながら、これら具体的な詳細事項がなくても本発明を実施しうることは当業者にとって明らかであろう。他の例では、本発明を不必要に曖昧にするのを避けるために、周知の構造および機器はブロック図の形態で示される。
下記のアウトラインにしたがって実施形態は本明細書中に記載される:
1.0 総括
2.0 ウィルスの突然発生抑制アプローチ−第一の実施形態−構造的および機能的な概要
2.1 ネットワークシステムおよびウィルス情報ソース
2.2 疑わしいメッセージのカウント
2.3 ウィルス突然発生情報に基づくメッセージの処理
2.4 ウィルス突然発生情報の生成
2.5 ウィルス突然発生情報の使用
2.6 追加的な特徴
2.7 例となる使用事例
3.0 スパムメッセージを阻害するためのアプローチ
3.1 スパムスキャンからの早期終了
3.2 スパムスキャン判定キャッシュ
4.0 メッセージ経験則、送信者情報、動的隔離操作、およびきめの細かいルールに基づくウィルスの検知方法
4.1 メッセージ経験則を用いた検知
4.2 送信者ごとのウィルス検知
4.3 再スキャンを含む動的隔離操作
4.4 きめの細かいルール
4.5 メッセージングゲートウェイのサービスプロバイダーとの通信
4.6 発信側ホワイトリストモジュール
5.0 実施メカニズム−ハードウェア概要
6.0 拡張および代替
1.0 総括
上述の背景で特定された必要性、および下記の記載において明らかになるであろう他の必要性および目的は、本発明において達成されるとともに、一実施態様では、受信者アカウントの宛先アドレスを有する電子メールメッセージを受信する;コンピューターウィルスを含むことがわかっているメッセージの属性を規定する一つ以上のルールに基づいて、メッセージに対するウィルススコア値を決定する、該属性は、メッセージへの添付ファイルの種類、添付ファイルのサイズ、およびメッセージの送信者、件名または本文および添付ファイル以外のシグネチャに基づく一つ以上の経験則を含む;ウィルススコア値が規定の閾値と同じかそれを上回る場合に、メッセージを受信者アカウントに即座に配信せずに、メッセージを隔離キューに記憶することを含む方法を含む。
1.0 総括
2.0 ウィルスの突然発生抑制アプローチ−第一の実施形態−構造的および機能的な概要
2.1 ネットワークシステムおよびウィルス情報ソース
2.2 疑わしいメッセージのカウント
2.3 ウィルス突然発生情報に基づくメッセージの処理
2.4 ウィルス突然発生情報の生成
2.5 ウィルス突然発生情報の使用
2.6 追加的な特徴
2.7 例となる使用事例
3.0 スパムメッセージを阻害するためのアプローチ
3.1 スパムスキャンからの早期終了
3.2 スパムスキャン判定キャッシュ
4.0 メッセージ経験則、送信者情報、動的隔離操作、およびきめの細かいルールに基づくウィルスの検知方法
4.1 メッセージ経験則を用いた検知
4.2 送信者ごとのウィルス検知
4.3 再スキャンを含む動的隔離操作
4.4 きめの細かいルール
4.5 メッセージングゲートウェイのサービスプロバイダーとの通信
4.6 発信側ホワイトリストモジュール
5.0 実施メカニズム−ハードウェア概要
6.0 拡張および代替
1.0 総括
上述の背景で特定された必要性、および下記の記載において明らかになるであろう他の必要性および目的は、本発明において達成されるとともに、一実施態様では、受信者アカウントの宛先アドレスを有する電子メールメッセージを受信する;コンピューターウィルスを含むことがわかっているメッセージの属性を規定する一つ以上のルールに基づいて、メッセージに対するウィルススコア値を決定する、該属性は、メッセージへの添付ファイルの種類、添付ファイルのサイズ、およびメッセージの送信者、件名または本文および添付ファイル以外のシグネチャに基づく一つ以上の経験則を含む;ウィルススコア値が規定の閾値と同じかそれを上回る場合に、メッセージを受信者アカウントに即座に配信せずに、メッセージを隔離キューに記憶することを含む方法を含む。
別の一実施態様では、本発明は、受信者アカウントの宛先アドレスを有する電子メールメッセージを受信する;メッセージに対する脅威スコア値を決定する;脅威スコア値が規定の脅威閾値と同じかそれを上回る場合に、メッセージを受信者アカウントに即座に配信せずに、メッセージを隔離キューに記憶する;先入れ先出しの以外の順序で複数の隔離終了基準のうち任意の基準に基づいて隔離キューからメッセージを解放する、それぞれの隔離終了基準は一つ以上の終了アクションと関連付けられている;および、特定の終了基準に基づいて、関連付けられた一つ以上の終了アクションを選択しおよび実行することを含む方法を提供する。
別の実施態様では、本発明は、メッセージと関連付けられた脅威を示す電子メッセージの特性を規定する複数のルールを受信しおよび記憶する 、それぞれのルールが優先順位の値を持ち、それぞれのルールがメッセージ要素型と関連付けられている;受信者アカウントの宛先アドレスを有する電子メールメッセージを受信し、該メッセージは複数のメッセージ要素を含む;第一のメッセージ要素を抽出する;第一のメッセージ要素のみを、第一のメッセージ要素に対応するメッセージ要素型を有する選択されたルールのみと、および選択されたルールの優先順位の順序にしたがって照合することによって、メッセージに対する脅威スコア値を決定する;脅威スコア値が規定の閾値よりも大きい場合に、脅威スコア値を出力することを含む方法を提供する。
これらアプローチでは、コンピューターウィルスおよび他のメッセージ媒介脅威の早期検知は、経験則によるテストをメッセージコンテンツに適用し、およびウィルスシグネチャ情報が利用できない場合には送信者信用情報を調べることによって提供される。その結果、メッセージングゲートウェイはウィルスの突然発生時にメッセージの配信を早期に停止することができ、メッセージからウィルスコードを取り除くことができるアンチウィルスチェッカーを更新するのに十分な時間を提供する。動的なおよびフレキシブルな脅威隔離キューは、先入れ先出し以外の順序でメッセージの早期解放を可能にする様々な終了基準および終了アクションを備えている。脅威ルールを選択されたメッセージ要素とのみ照合しおよびある一つのメッセージ要素に対する照合が脅威閾値を超えるとすぐにルール照合を中止することによって、構文解析およびスキャンからの早期終了が起きることを可能にするメッセージスキャン方法を説明する。
別の実施態様では、本発明は上述のステップを実施するように構成されたコンピューター装置およびコンピューターが解読可能な媒体を包含する。
本発明は、添付図面の図において、例として示されるものでありおよび限定として示されるものではなく、および添付図面において同様の参照数字は類似の要素を示す。
2.0 ウィルスの突然発生抑制システム−第一の実施形態−構造的および機能的概要
2.1 ネットワークシステムおよびウィルス情報ソース
図1は、一実施形態によるコンピューターウィルスの突然発生を管理するシステムのブロック図である。身元および場所が典型的には知られていないウィルス送信者100は、ウィルスに感染したメッセージを、典型的には電子メッセージ、または電子メールの形で、ウィルスを保有する添付された実行ファイルとともにインターネットといった公共のネットワーク102に送信する。メッセージは、ウィルス情報ソース104およびスパムトラップ106といた複数の宛先に宛てられるか、またはウィルスの作用によって伝播する。スパムトラップは、迷惑電子メールのメッセージに関する情報を収集するのに用いられる電子メールアドレスまたは電子メールメールボックスである。ウィルス情報ソース104およびスパムトラップ106の動作および実施は、後に詳述する。単純な例を示すという目的のため、図1は ウィルス情報ソース104およびスパムトラップ106の形態での宛先を二つのみ示す。しかし、実際の実施形態ではウィルス情報のこのようなソースは任意の数であってよい。
2.1 ネットワークシステムおよびウィルス情報ソース
図1は、一実施形態によるコンピューターウィルスの突然発生を管理するシステムのブロック図である。身元および場所が典型的には知られていないウィルス送信者100は、ウィルスに感染したメッセージを、典型的には電子メッセージ、または電子メールの形で、ウィルスを保有する添付された実行ファイルとともにインターネットといった公共のネットワーク102に送信する。メッセージは、ウィルス情報ソース104およびスパムトラップ106といた複数の宛先に宛てられるか、またはウィルスの作用によって伝播する。スパムトラップは、迷惑電子メールのメッセージに関する情報を収集するのに用いられる電子メールアドレスまたは電子メールメールボックスである。ウィルス情報ソース104およびスパムトラップ106の動作および実施は、後に詳述する。単純な例を示すという目的のため、図1は ウィルス情報ソース104およびスパムトラップ106の形態での宛先を二つのみ示す。しかし、実際の実施形態ではウィルス情報のこのようなソースは任意の数であってよい。
ウィルス送信者100は、ウィルス情報ソース104およびスパムトラップ106のネットワークアドレスを、公共のソースから、またはウィルスを少数の既知のアドレスに送信しおよびウィルスを伝播させることによって、取得しうる。
ウィルス情報処理装置108は公共のネットワーク102に通信可能に接続され、およびウィルス情報ソース104およびスパムトラップ106から情報を受信することができる。ウィルス情報処理装置108は、ウィルス情報ソース104およびスパムトラップ106からウィルス情報を収集すること、ウィルス突然発生情報を生成すること、およびウィルス突然発生情報をデータベース112に記憶することを初めとする、本明細書中に詳述する所定の機能を実装する。
メッセージングゲートウェイ107は、直接的にまたはファイアウォール111または他のネットワーク要素を介して非直接的に、公共のネットワーク102から、複数の終端ステーション120A、120B、120Cを含む私設ネットワーク110に接続されている。メッセージングゲートウェイ107は私設ネットワーク110の電子メールを処理するメール配達エージェント109と統合されてもよく、または、メール配達エージェントは別途配備されてもよい。たとえば、Iron Port Systems Inc.社(カリフォルニア州サンブルノ)によって市販されているモデルC60、C30、またはC10といったアイロンポートメッセージングゲートウェイアプライアンス(MGA)は、メール配達エージェント109、ファイアウォール111、およびメッセージングゲートウェイ107のために本明細書中に記載される機能を実装する。
一実施形態では、メッセージングゲートウェイ107は、ウィルス情報処理装置108からウィルス突然発生情報を取得し、およびメッセージングゲートウェイで設定されたポリシーにしたがって終端ステーション120A、120B、120Cに仕向けられたメッセージを処理するウィルス情報ロジック114を含む。本明細書中にさらに記載されるように、ウィルス突然発生情報は、多数の種類の情報のうち任意のものを含むことができ、該情報は、ウィルススコア値、およびウィルススコア値をウィルスと関連付けられたメッセージ特性に関連付ける一つ以上のルールを含むがこれに限らない。図3に関して本明細書中にさらに記載されるように、このようなウィルス情報ロジックはメッセージングゲートウェイ107のコンテンツフィルター機能に統合されてもよい。
一実施形態では、ウィルス情報ロジック114は、メッセージングゲートウェイ107内の独立した論理モジュールとして実装されている。メッセージングゲートウェイ107は、ウィルス情報ロジック114をメッセージデータによって呼び出し、およびそれに対応する判定を受信する。判定はメッセージ経験則に基づいてもよい。メッセージ経験則は、メッセージをスコア付けし、およびメッセージがウィルスである可能性を決定する。
ウィルス情報ロジック114は、メッセージのパラメーターに部分的に基づいてウィルスを検知する。一実施形態では、ウィルス検知は下記のうち一つ以上のいずれかに基づいて実行される:実行可能なコードを含むメールの経験則;一致しないメッセージヘッダの経験則;既知のオープンリレーからのメールの経験則;一致しないコンテンツ種類および拡張子を有するメールの経験則;動的ユーザーリスト、ブラックリストに載ったホスト、または信用が低いことがわかっている送信者からのメールの経験則;および送信者の信頼性テスト結果。送信者の信頼性テスト結果は、公共のネットワークから送信者ID値を受信するロジックによって生成してもよい。
メッセージングゲートウェイ107は、アンチウィルスチェッカー116、コンテンツフィルター118、およびアンチスパムロジック119も含んでもよい。アンチウィルスチェッカー116はたとえばSophosアンチウィルスソフトウェアを含んでもよい。コンテンツフィルター118は、私設ネットワーク110と関連付けられたポリシーにより許容できないメッセージ件名またはメッセージ本文中にコンテンツを含むメッセージの配信または受信を制限するロジックを提供する。
アンチスパムロジック119は、着信メッセージをスキャンして、たとえば着信メッセージが商業的な迷惑電子メールであるか否かとメール受信ポリシーにしたがって、着信メッセージが望まれないかどうかを判断し、および、アンチスパムロジック119は任意の望まれないメッセージの配信、出力先変更、または受信拒否を制限するポリシーを適用する。一実施形態では、アンチスパムロジック119はメッセージをスキャンし、および、それぞれのメッセージに対する、該メッセージがスパムまたは別の種類の望まれない電子メールである確率を示す0から100までのスコアを返す。スコアの範囲は、管理者によって定義可能でありユーザーが下記に詳述する規定のアクション群を適用できる、スパムの可能性があるものおよびスパムの可能性が高いものの閾値と関連付けられている。一実施形態では、スコアが90以上であるメッセージはスパムであり、およびスコアが75から89であるメッセージはスパンと疑われるものである。
一実施形態では、アンチスパムロジック119は、データベース112またはIron Port Systems Inc.社のSender Baseといった外部信用サービスから取得した信用情報に部分的に基づいて、メッセージの送信者がスパム、ウィルス、または他の脅威と関連付けられていることを示すスパムスコアを決定する。スキャンは、メッセージが首尾よくスキャンされたことを確認するXヘッダをスキャンされたメッセージ中に記録することを含んでもよく、および、メッセージに合致したルールを識別する難読化された文字列を含む。難読化には、ルール識別子のハッシュを、秘密キーおよび一方向のハッシュアルゴリズムに基づいて作成することを含んでもよい。難読化は、図7のサービスプロバイダー700といった規定の当事者のみが一致したルールを解読することを保証し、システムのセキュリティを向上させる。
私設ネットワーク110は、企業と関連付けられた企業ネットワーク、またはセキュリティまたは保護の向上が望まれる任意の他の形態のネットワークであってもよい。公共のネットワーク102および私設ネットワーク110は、通信用のTCP/IPといったオープン標準プロトコルを用いてもよい。
ウィルス情報ソース104は、公共のネットワーク102と別の私設ネットワーク(明確にするために図示しない)との間に該別の私設ネットワークを保護する目的で介挿される別のメッセージングゲートウェイ107の例を含んでもよい。一実施形態では、ウィルス情報ソース104はIron Port MGAである。スパムトラップ106は、一つ以上のドメインと関連付けられた一つ以上の電子メールアドレスまたは電子メールメールボックスと関連付けられている。スパムトラップ106は、電子迷惑メールメッセージまたは「スパム」を分析または報告のために受信する目的で確立され、および従来の電子メール通信には典型的には用いられない。たとえば、スパムトラップは「dummyaccountforspam@mycompany.com」といった電子メールアドレスであることができ、または、スパムトラップは、受信した電子メール情報が提供される、メール交換(MX)ドメイン名システム(DNS)レコードへとグループ分けされた電子メールアドレスの一群であることができる。メール配達エージェント109、または別のIron Port MGAのメール配達エージェントは、スパムトラップ106のホストとなってもよい。
一実施形態では、ウィルス情報ソース104は、コンピューターウィルスの突然発生を管理するのに用いる情報を生成し、およびウィルス情報処理装置108に提供し、および、ウィルス情報処理装置108は、同じ目的でスパムトラップ106からの情報を取得することができる。たとえば、ウィルス情報ソース104は、受信した疑わしい添付ファイが添付されたメッセージのカウントを生成し、およびカウントをウィルス情報処理装置108に提供するか、または外部処理がカウントを読み出しおよびカウントを専用データベースに記憶することを可能にする。メッセージングゲートウェイ107は、ウィルスと関連付けられているかまたは別なふうに疑わしいとの徴候を示すメッセージを検知し、特定の時間周期内に受信した疑わしいメッセージのカウントを作成し、およびカウントをウィルス情報処理装置108に定期的に提供することによって、ウィルス情報ソースとしての役割もする。
具体例として、本明細書中に記載される機能は、Iron Port Systems Inc.社のSenderBaseサービスといった、包括的なメッセージデータ収集および報告設備の一部として実施されてもよい。この実施形態では、ウィルス情報処理装置108は、ウィルス情報ソース104およびスパムトラップ106から情報を読み出すかまたは受信し、疑わしい添付ファイルまたは他のウィルスインジケーターが添付されたメッセージのカウントを生成し、およびデータベース112を該カウントで更新しおよびメッセージングゲートウェイ107のウィルス情報ロジック114による後の読み出しおよび使用のためにウィルス突然発生情報を生成する。SenderBaseサービスに関連した方法および装置は、2004年5月28日に出願されたRobert Brahams et al.の係属出願第10/857,641号、表題「メッセージ送信者の信用を決定する技法」に記載されており、この内容のすべては参照により、本明細書中に完全に説明されているかのごとく、本明細書に組み入れられ。
追加的にまたは代替的に、ウィルス情報ソース104は、ワールドワイドウェブ上のドメイン「spamCop.net」でアクセス可能なSpamCop情報サービス、またはSpamCopサービスのユーザーを含んでもよい。ウィルス情報ソース104は、一つ以上のインターネットサービスプロバイダーまたは他の多量メールの受信者を含んでもよい。
SenderBaseおよびSpamCopサービスは、ウィルスを検知するための強力なデータソースを提供する。サービスは、スパムトラップのアドレス、エンドユーザー苦情報告者、DNSログ、および第三者データソースを介して、一日あたり何百万のメッセージに関する情報を追跡する。このデータは、本明細書中のアプローチを用いて迅速にウィルスを検知するのに用いることができる。とりわけ、正常のレベルに対して特定の添付ファイルの種類が添付され、正当なまたはスパムトラップアドレスに送信され、および、アンチウィルススキャナーによってウィルスとして識別されないメッセージの数は、まだ公知でなくおよびアンチウィルススキャナーによって検知可能な新しいウィルスに基づいて、ウィルスの突然発生が起こった旨の早期の警告インジケーターを提供する。
別の代替的な実施形態では、本明細書中の自動的なアプローチへの補足として、ウィルス情報ソース104は、情報サービスコンサルタントまたはアナリスト、または外部ソースによって取得されたデータの手作業による見直しを含んでもよい。たとえば、アンチウィルス開発ベンダー、第三者ベンダー、セキュリティメーリングリスト、スパムトラップデータおよび他のソースからの警告を監視している管理者(人間)は、ほとんどの場合においてウィルス定義が公開される時よりも十分前もって、ウィルスを検知することができる。
ウィルス突然発生情報に基づいてウィルスの突然発生がひとたび識別されると、メッセージングゲートウェイ107といったネットワーク要素は、メッセージをそれがウィルスである確率に基づいて取り扱うための様々な選択肢を提供することができる。メッセージングゲートウェイ107がメール配達エージェントまたはメールゲートウェイと統合されると、ゲートウェイは即座にこのデータに作用することがでえきる。たとえば、メール配達エージェント109は、私設ネットワーク110へのメッセージ配信を、ウィルス更新がアンチウィルスベンダーから受信されおよびメッセージングゲートウェイ107にインストールされるまで遅延させることができ、その結果、遅延されたメッセージは、ウィルス更新が受信された後に、アンチウィルスチェッカー116によってスキャンすることができる。
遅延されたメッセージは、隔離キュー316に記憶されてもよい。隔離キュー316の中のメッセージは、詳述されるようなポリシーにしたがって解放および配信され、削除されるか、または配信前に修正されてもよい。一実施形態では、複数の隔離316がメッセージングゲートウェイ107の中に確立され、および一つの隔離は、管理された私設ネットワーク110中のコンピューター120A、120B等に対するそれぞれの受信者アカウントと関連付けられている。
図1に示されていないものの、ウィルス情報処理装置108は、ウィルスの突然発生業務センター(VOOC)、受信ウィルススコア(RVS)処理装置、またはその両方を含むことができるか、またはそれらに通信可能に接続されている。VOOCおよびRVS処理装置ウィルス情報処理装置108とは別体であるが、データベース112および公共のネットワーク102と通信可能に接続することができる。VOOCは、ウィルス情報処理装置108によって収集されおよびデータベース112に記憶された情報を監視するために、1日24時間、週7日、利用可能な人員を備えたスタッフ配属センターとして実施することができる。VOCCに配属された人員は、ウィルスの突然発生警告を発行する、データベース112に記憶された情報を更新する、メッセージングゲートウェイ107がウィルス突然発生情報にアクセスできるようにウィルス突然発生情報を公開する、およびウィルス突然発生情報のメッセージングゲートウェイ107および他のメッセージングゲートウェイ107への送信を手入力で開始するといった、手作業のアクションを行うことができる。
追加的に、VOCCに配属された人員は、「ソフトバウンス」を配信するといった所定のアクションを実行するよう、メール配達エージェント109を構成してもよい。メール配達エージェント109が、メール配達エージェント109にアクセス可能なルール群に基づいて、受信したメッセージを返す場合に、ソフトバウンスは実行される。より具体的には、送信者からの電子メールのメッセージを受信することによってメール配達エージェント109がSMTPトランザクションを完了すると、メール配達エージェント109は、メール配達エージェント109にアクセス可能な記憶されたソフトウェアルール群に基づいて、受信したメッセージが望まれていないかまたは配信不可能であることを決定する。受信したメッセージが望まれていないかまたは配信不可能であるという決定に対応して、メール配達エージェント109は、送信者によって規定されたバウンス電子メールアドレスにメッセージを返す。メール配達エージェント109がメッセージを送信者に返すと、メール配達エージェント109はいかなる添付ファイルもメッセージから取り外してもよい。
いくつかの実施において、VOCCに配属された人員といった、人員によってなされた手作業のアクションに対応して、ウィルス突然発生情報は利用可能になるか、または公開される。他の実施において、ウィルス情報処理装置、VOOC、またはRVSの構成にしたがって、ウィルス突然発生情報は自動的に利用可能になり、および次いでウィルス突然発生情報および行われた自動的なアクションは、必要または望ましいと考えられる場合に、VOOCにいる修正を行うことができる人員によって引き続き見直される。
一実施形態では、VOCCに配属された人員または一実施形態によるシステムの構成部品は、(a)添付ファイルの付いたメッセージを受信する際のパターン、(b)受信したメッセージへの添付ファイルのリスクのある特性、(c)公開されたベンダーウィルス警告、(d)増加したメーリングリスト活動、(e)メッセージのソースごとのリスクのある特性、(f)受信したメッセージのソースと関連付けられた動的ネットワークアドレスパーセント比率、(g)受信したメッセージのソースと関連付けられたコンピューター化されたホストのパーセント比率、および(h)疑わしいボリュームパターンのパーセント比率といった、様々な要因に基づいて、メッセージがウィルスを含むか否かを決定してもよい。
上記の要因のそれぞれは、様々な基準を含んでもよい。たとえば、受信したメッセージへの添付ファイルのリスクのある特性は、添付のファイル名がどの程度疑わしいか、ファイルが複数のファイル拡張子と関連付けられているか否か、受信したメッセージに添付された類似のファイルサイズの量、受信したメッセージに添付された類似のファイルサイズの量、および既知のウィルスの添付ファイルの名称についての考慮に基づいてもよい。添付ファイルの付いたメッセージを受信する際のパターンは、添付ファイルを含むメッセージの数の現在の比率、リスクのある添付ファイルが付いた受信したメッセージの数の動向、および、添付ファイルの付いたメッセージの増加を報告している顧客データソース、ウィルス情報ソース104、およびスパムトラップ106の数についての考慮に基づいてもよい。
加えて、メッセージがウィルスを含むか否かの決定は、顧客から送信された情報に基づいてもよい。たとえば、安全な環境にあるシステムで受信した電子メールメッセージを用いて、情報がユーザーからシステムに報告されてもよい。その結果、メッセージ受信体がウィルスに感染している場合、システムのメッセージ受信体がシステムの他の部分へのコンピューターウィルスの拡散をできる限り防止するよう構成される。
RVS処理装置は、たとえば様々な添付ファイルの種類に対するウィルススコア値の形態またはウィルススコア値をメッセージ特性に関連付けるルール群の形態で、メッセージングゲートウェイ107および他のメッセージングゲートウェイ107が利用可能となる、ウィルス突然発生情報を生成する自動システムとして実施することができる。
一実施形態では、メッセージングゲートウェイ107は、アンチウィルスチェッカー116および/またはアンチスパムロジック119からの判定値のローカルストレージを複写されたメッセージが受信される際の再使用のために提供する判定キャッシュ115を含む。判定キャッシュ115の構造および機能を下記にさらに説明する。一実施形態では、メッセージングゲートウェイ107は、メッセージングゲートウェイの機能に関する統計的情報またはステータスメッセージを記憶することができるログファイル113を含む。記録をつけることができる情報の例として、メッセージ判定および判定の結果として行われるアクション;難読化された形式でメッセージと一致したルール;スキャンエンジンの更新が起こった旨の表示;ルールの更新が起こった旨の表示;スキャンエンジンのバージョン番号、等を含む。
2.2 疑わしいメッセージのカウント
図2は、一実施形態による疑わしいメッセージのカウントを生成する処理のフロー図である。一実施において、図2のステップは、図1のウィルス情報ソース104といったウィルス情報ソースによって実行されてもよい。
図2は、一実施形態による疑わしいメッセージのカウントを生成する処理のフロー図である。一実施において、図2のステップは、図1のウィルス情報ソース104といったウィルス情報ソースによって実行されてもよい。
ステップ202において、メッセージが受信される。たとえば、ウィルス情報ソース104またはメッセージングゲートウェイ107は、ウィルス送信者100から送信されたメッセージを受信する。
ステップ204において、メッセージがリスクがあるか否かについての決定が行われる。一実施形態では、ウィルスチェッカーがウィルス情報ソース104またはメッセージングゲートウェイ107でウィルスを識別せずにメッセージをスキャンするが、メッセージは、リスクがあることがわかっているファイルの種類または拡張子を有する添付ファイルも含んでいる合は、メッセージはリスクがあると決定される。たとえば、MS Windows(登録商標)(XP Pro)のファイルの種類または拡張子COM、EXE、SCR、BAT、PIF、またはZIPは、ウィルス作成者は一般的にこのようなファイルを悪意のある実行可能なコードに用いるので、リスクがあると考えてもよい。上述のものはリスクがあると考えることができるファイルの種類または拡張子の例にすぎない。50を超える既知の異なるファイルの種類がある。
メッセージが疑わしいという決定は、ソースIP値といったソースネットワークアドレスをメッセージから抽出し、および、ソースがスパムまたはウィルスと関連付けられていることがわかっているか否かを判断するため、SenderBaseサービスに対してクエリーを発行することによって行われてもよい。たとえば、メッセージが疑わしいか否かを決定する際にSenderBaseサービスによって提供される信用スコア値を考慮に入れてもよい。メッセージは、セキュリティ侵害されたことがわかっている、ウィルスを送信した履歴を有する、または電子メールのインターネットへの送信を最近開始したばかりであるホストと関連付けられたIPアドレスから送信された場合にも、疑わしいと決定してもよい。決定は、下記の要因のうち一つ以上に基づいてもよい:(a)メッセージに直接添付された添付ファイルの種類または拡張子、(b)圧縮されたファイル、アーカイブ、.zipファイル、またはメッセージに直接添付された他のファイルの中に含まれるファイルの種類または拡張子、および(c)添付ファイルから取得したデータフィンガープリント。
加えて、疑わしいメッセージの決定は、疑わしいメッセージに対する添付ファイルのサイズ、疑わしいメッセージの件名のコンテンツ、疑わしいメッセージの本文のコンテンツ、または疑わしいメッセージの任意の他の特性に基づくことができる。いくつかのファイルの種類には、他のファイルの種類を埋め込むことができる。たとえば「.doc」ファイルおよび「.pdf」ファイルには、「.gif」または「.bmp」といった他の画像ファイルの種類を埋め込んでもよい。メッセージが疑わしいか否かを判断する場合、ホストファイルの種類の中に埋め込まれた任意のファイルの種類を考慮してもよい。疑わしいメッセージの特性は、メッセージングゲートウェイ107に提供されるかまたはメッセージングゲートウェイ107が利用可能となり、および一つ以上のこのような特性と関連付けられたウィルススコア値を含むルールを策定するのに用いることができる。
ステップ206において、メッセージが疑わしい場合は、次いで現在の時間周期に対する疑わしいメッセージの数がインクリメントされる。たとえば、メッセージがEXE添付ファイルを有する場合、EXE添付ファイルが添付されたメッセージのカウントがインクリメントされる。
ステップ208において、疑わしいメッセージのカウントが報告される。たとえば、ステップ208は報告メッセージをウィルス情報処理装置108に送信することを伴ってもよい。
一実施形態では、ウィルス情報処理装置108はステップ208の報告といった多数の報告を継続的にリアルタイムで受信する。報告が受信されるにつれ、ウィルス情報処理装置108は更新データベース112を報告データ更新し、およびウィルス突然発生情報を決定しおよび記憶する。一実施形態では、ウィルス突然発生情報は、図4を参照して下記にさらに説明される従属処理にしたがって決定されるウィルススコア値を含む。
2.3 ウィルス突然発生情報に基づくメッセージの処理
図3は、一実施形態によるウィルス突然発生情報に基づくメッセージの処理を示すデータフロー図である。一実施において、図3のステップは図1のメッセージングゲートウェイ107といったMGAによって実行されてもよい。有利には、図3に示すステップを実行することによって、メッセージがウィルスを含むと肯定的な決定がされる前にメッセージが作用してもよい。
図3は、一実施形態によるウィルス突然発生情報に基づくメッセージの処理を示すデータフロー図である。一実施において、図3のステップは図1のメッセージングゲートウェイ107といったMGAによって実行されてもよい。有利には、図3に示すステップを実行することによって、メッセージがウィルスを含むと肯定的な決定がされる前にメッセージが作用してもよい。
ブロック302では、コンテンツフィルターがメッセージに適用される。コンテンツフィルターを適用することは、一実施形態では、メッセージ件名、他のメッセージのヘッダ値、およびメッセージ本文を調べ、コンテンツのフィルタリングに対する一つ以上のルールがコンテンツ値によって満たされているか否かを決定し、ルールが満たされている場合コンテンツポリシーに規定されうるような一つ以上のアクションを行うことを伴う。ブロック302の実行は随意的である。このようにして、いくつかの実施形態はブロック302を実行してもよく、一方、他の実施形態はブロック302を実行しなくてもよい。
さらに、ブロック302では、ウィルス突然発生情報が、後続の処理ステップでの使用のために読み出される。一実施形態では、ブロック302では、図3を実施するメッセージングゲートウェイ107は、当時最新のウィルス突然発生情報をウィルス情報処理装置108に定期的に要求することができる。一実施形態では、メッセージングゲートウェイ107は、許可されていない者がウィルス突然発生情報にアクセスすることを防止する安全な通信プロトコルを用いて、ウィルス突然発生情報をウィルス情報処理装置108から約5分ごとに読み出す。メッセージングゲートウェイ107がウィルス突然発生情報を読み出すことができない場合、ゲートウェイはゲートウェイに記憶されている最新の利用可能なウィルス突然発生情報を用いることができる。
ブロック304において、アンチスパム処理がメッセージに適用され、および、一見迷惑メールのメッセージと思われるメッセージがスパムポリシーにしたがって印を付けられるかまたは処理される。たとえば、スパムメッセージは静かに切り落とされ、規定のメールボックスまたはフォルダに移されてもよく、または、メッセージの件名は「スパムの可能性があるもの」といった指定を含むよう修正されてもよい。ブロック304の実行は随意的である。このようにして、いくつかの実施形態はブロック304を実行してもよく、一方、他の実施形態はブロック304を実行しなくてもよい。
ブロック306において、アンチウィルス処理がメッセージに適用され、および、メッセージまたは添付ファイル中の、一見ウィルスを含むように見えるメッセージには印が付けられる。一実施形態では、Sophosからのアンチウィルスソフトウェアはブロック306を実施する。メッセージがウィルス陽性であると決定する場合、次いでブロック308において、メッセージは削除され、隔離キュー316内に隔離され、または適切なウィルス処理ポリシーにしたがって別な方法で処理される。
代替的に、ブロック306がメッセージがウィルス陽性でないと決定する場合、次いでブロック310において、メッセージが前にウィルスのスキャンをされたことがあるか否かを決定するためのテストが実行される。本明細書中にさらに説明されるように、メッセージが過去にウィルスのスキャンをされていた後は、後続のブロックからブロック306に再び到達することができる。
ブロック306においてこれまでにメッセージがウィルスのスキャンをされたことがある場合、次いで図3の処理は、ウィルスの突然発生が識別された場合に、首尾よくウィルスを識別するのに必要なすべてのパターン、ルール、または他の情報とともにアンチウィルス処理306が更新されたと仮定する。したがって、制御はブロック314へと進み、そこでは前にスキャンされたメッセージが配信される。ブロック310において、メッセージが前にスキャンされたことがないと決定される場合、処理はブロック312へと続く。
ブロック312において、ブロック302で取得したウィルス突然発生情報が規定の閾値を満たすか否かを決定するためのテストが実行される。たとえば、ウィルス突然発生情報がウィルススコア値(VSV)を含む場合、ウィルススコア値は、ウィルススコア値がウィルススコア閾値と同じかそれを上回るか否かが確認される。
閾値は構成ファイル中に管理者コマンドによって規定されるか、または、別個の処理で、他のマシン、処理またはソースからから受信される。一実施において、閾値は、メッセージがウィルスを含む確率に対応しているか、または、新しいウィルスの突然発生と関連付けられている。閾値を上回るスコアを受信するウィルスは、隔離キュー316の中でメッセージの隔離を実行するといった、オペレーターによって規定されたアクションの対象となる。いくつかの実施では、規定された単一の値がすべてのメッセージに用いられる、一方、他の実施では、複数の閾値が異なる特性に基づいて用いられ、その結果、管理者は、メッセージングゲートウェイが受信するメッセージの種類および関連付けられたメッセージ受信者にとって正常またはリスクが少ないと考えられるものに基づいて、いくつかのメッセージより他よりも注意深く取り扱うことができる。一実施形態では、0から5までのウィルススコア尺度に基づいて、デフォルト閾値3が用いられ、ここでは5が最も高い(脅威)リスクレベルである。
たとえば、ウィルス突然発生情報はウィルススコア値を含むことができ、およびネットワーク管理者は許容されたウィルススコア閾値を決定すること、およびウィルススコア閾値をすべてのメッセージ配達エージェントまたは図3の処理を実行する他の処理装置に送信することができる。他の例として、ウィルス突然発生情報は、ウィルススコア値を一つ以上のウィルスを示すメッセージ特性に関連付けられたルール群を含むことができ、および図5に関して本明細書中に記載されるアプローチに基づいて、メッセージに対する一致するルールに基づいてウィルススコア値を決定することができる。
管理者によって設定されたウィルススコア閾値の値は、メッセージの遅延配信をいつ開始するかを示唆する。たとえば、ウィルススコア閾値が1であると、次いで図3を実施するメッセージングゲートウェイは、ウィルス情報処理装置108によって決定されるウィルススコア値が低い場合にメッセージの配信を遅延させる。ウィルススコア閾値が4である場合、次いで図3を実施するメッセージングゲートウェイは、ウィルス情報処理装置108によって決定されるウィルススコア値が高い場合にメッセージの配信を遅延させる。
規定の閾値スコア値を上回らない場合は、次いでブロック314において、メッセージが配信される。
ブロック312においてウィルススコア閾値を上回っていると決定され、およびブロック310において決定されるようにメッセージは前にスキャンされたことがない場合、次いで、メッセージは突然発生隔離キュー316に入れられる。それぞれのメッセージは、メッセージが突然発生隔離キュー316内に保持される時間を表す規定の保持時間値、または満了日−時間値でタグ付けされている。突然発生隔離キュー316の目的は、検知されたウィルスの突然発生と関連付けられた新しいウィルスを計上するためのアンチウィルス処理306の更新を可能にするのに十分な時間の量だけ、メッセージの配信を遅延させることである。
保持時間は任意の所望の期間を有してよい。保持時間値の例は1時間から24時間の間でありうる。一実施形態では、デフォルト保持時間値12時間が提供されている。管理者は、本明細書中の処理を実施するメッセージングゲートウェイにコマンドを発行することによって、いつでも、任意の好適な保持時間値の間、保持時間を変更してもよい。このようにして、保持時間値はユーザーによって構成可能である。
一つ以上のツール、特性、またはユーザーインターフェースを提供して、オペレーターが突然発生隔離キューの状態および隔離されたメッセージを監視できる。たとえば、オペレーターは現在隔離されているメッセージのリストを取得することができ、および、リストは、規定の閾値を満たしたメッセージに対する適用可能なウィルススコア値、またはメッセージに一致したルール群のうちの一つまたは複数のルールといった、キュー内のそれぞれのメッセージが隔離された理由を特定することができる。添付ファイルの種類といったメッセージ特性によって、または一連のルールが用いられている場合に適用可能なルールによって、概略情報を提供することができる。ツールを提供して、オペレーターがキュー内のそれぞれの個々のメッセージを見直すことを可能にすることができる。別の特性を提供して、オペレーターが、一つ以上の基準を満たす隔離されたメッセージを検索することを可能にすることができる。メッセージング・ゲートウェイの構成が正しく実行されたことおよび着信メッセージがウィルス発生フィルターによって適切に処理されていること確実にするよう、メッセージを「追跡する」と呼ばれる、さらに別のツールを提供して、処理中のメッセージをシミュレートすることができる。
加えて、ウィルス情報処理装置、これまでに識別された特別なまたは重大なウィルスリスクまたは脅威に関する一般的な警告情報を示す、VOOC、RVSからのツールを提供することができる。また、警告が発せられた時に、MGAと関連付けられた一人以上の人員に連絡するためのツールをMGAに含めることができる。たとえば、メッセージが隔離中の場合、所定数のメッセージが隔離された場合、または隔離キューの容量満杯になったかまたは規定のレベルに到達した場合、自動電話または呼び出しシステムが規定の個人に連絡することができる。
メッセージは、図3中の指定された経路316A、316B、316Cによって示される3つの回路で突然発生隔離キュー316を終了してもよい。経路316Aに示されるように、当該メッセージに対する規定の保持時間が満了すると、メッセージは正常に満了してもよい。その結果、正常な満了によって、一実施において、突然発生隔離キュー316は、FIFO(先入れ先出し)キューとして作動する。次いで、保持時間の満了後に、メッセージ中に存在しうるウィルスを検知するのに必要な任意のパターンファイルまたは他の情報によって、アンチウィルス処理が更新されたと仮定して、メッセージは再スキャンのためのアンチウィルス処理306に戻るよう転送される。
経路316Bによって示されるように、メッセージは突然発生隔離キュー316から手入力で解放されてもよい。たとえば、管理者、オペレーター、または他のマシンまたは処理によって発行されたコマンドに対応して、一つ以上のメッセージを突然発生隔離キュー316から解放することができる。手動解放に基づいて、ブロック318において、たとえば、オペレーターが特定の種類のメッセージが絶対にウィルス感染していることを示すオフライン情報を受信したかもしれない場合など、メッセージを再スキャンまたは削除するとのオペレーターの決定が実行される。その場合、オペレーターはブロック320でメッセージを削除することを選択できたであろう。代替的に、保持時間値の満了より前に、ウィルスの突然発生に対応してアンチウィルス処理306が新しいパターンまたは他の情報で更新されたことを示すオフライン情報を、オペレーターが受信した可能性がある。その場合、経路319で示されるように、メッセージをスキャンのためにアンチウィルス処理306に送り返すことによって、保持時間が満了するのを待たずに、オペレーターはメッセージを再スキャンすることを選択してもよい。
さらに別の例として、オペレーターは、現在突然発生隔離キュー316に保持されているメッセージの検索を実行して、一つ以上のメッセージを識別することができる。たとえば、ウィルスの突然発生にかかわるウィルスを検知するのに十分な情報でアンチウィルス処理306が更新されたか否かをテストするために、このようにして識別されたメッセージは、アンチウィルス処理306によるスキャンのためにオペレーターによって選択することができる。選択されたメッセージの再スキャンが首尾よくウィルスを特定すると、オペレーターは、突然発生隔離キューの中の一部またはすべてのメッセージを手入力で解放することができ、その結果、解放されたメッセージはアンチウィルス処理306によって再スキャンすることができる。しかしながら、アンチウィルス処理によって選択されたテストメッセージ中にウィルスが検知されると、次いでオペレーターは、後の時間まで待ち、および、ウィルスを検知できるようにアンチウィルス処理306が更新された否かを決定するためにテストメッセージまたは別のメッセージをテストすることができ、または、オペレーターはメッセージの満了時間が満了するまで待っておよびその際メッセージを解放することができる。
経路316Cに示されるように、たとえば、突然発生隔離キュー316が満杯なので、メッセージは早期に満了してもよい。オーバーフローポリシー322が早期に満了するメッセージに適用される。たとえば、ブロック320に示されるように、オーバーフローポリシー322はメッセージが削除されることを要求してもよい。別の例として、オーバーフローポリシー322は、ブロック324に示されるように、メッセージがウィルスを含む可能性が高いリスクの適切な警告がメッセージの件名に付記されることを要求してもよい。たとえば、「感染しているかもしれない」または「疑わしいウィルス」といったメッセージを、件名に、メッセージの件名欄の終わりまたは初めなどに、付記することができる。件名が付記されたメッセージがアンチウィルス処理306を介して配信され、および、メッセージはこれまでにスキャンされたことがあるため、処理はアンチウィルス処理306からブロック310を介して継続し、および、メッセージは次いでブロック314に示されるように配信される。
明確にするために図3には示されていないが、追加的なオーバーフローポリシーを適用することができる。たとえば、オーバーフローポリシー322は、メッセージに添付された添付ファイルの除去、その後の添付ファイルが取り外されたメッセージの配信を要求してもよい。随意的に、オーバーフローポリシー322は、特定のサイズを上回る添付ファイルのみを取り外すことを要求してもよい。別の例として、オーバーフローポリシー322は、突然発生隔離キュー316が満杯であるとき、MTAは新しいメッセージを受信することが可能であるが、しかし、メッセージがSMTPトランザクション中に受信される前に、メッセージが4xx一時的エラーで拒絶されることを要求してもよい。
一実施形態では、経路316A、316B、316Cにしたがったメッセージの取り扱いは、隔離キューのコンテンツ全体に対してユーザーによって構成可能である。代替的に、このようなポリシーはそれぞれのメッセージに対してユーザーによって構成可能である。
一実施形態では、ブロック312は、たとえば、ウィルススコア値が規定のウィルススコア閾値を満たすかまたは超える場合といった、ウィルス情報処理装置108から取得したウィルス突然発生情報が規定の閾値を満たす場合、警告メッセージを一人以上の管理者に生成しおよび送信することを伴ってもよい。たとえば、ブロック312で送信された警告メッセージは、ウィルススコアが変更になった添付ファイルの種類、現在のウィルススコア、過去のウィルススコア、現在のウィルススコア閾値、および、いつその種類の添付ファイルに対するウィルススコアの最新の更新がウィルス情報処理装置108から受信されたかを規定する電子メールを含んでもよい。
さらに別の実施形態では、隔離キューの中の全メッセージ数が管理者によって設定された閾値を超えるといつでも、または、隔離キュー記憶容量の特定の量または比率を上回った場合、図3の処理は、一人以上の管理者に警告メッセージを生成しおよび送信することを伴ってもよい。このような警告メッセージは、隔離キューのサイズ、用いられる容量のパーセント比率等を規定してもよい。
突然発生隔離キュー316は任意の所望のサイズを有してもよい。一実施形態では、隔離キューは約3GBのメッセージを記憶することができる。
2.4 ウィルス突然発生情報の生成
一実施形態では、一つ以上のメッセージ特性に基づいてウィルスの突然発生の可能性を示すウィルス突然発生情報が生成される。一実施形態では、ウィルス突然発生情報はウィルススコア値といった数値を含む。ウィルス突然発生情報は、メッセージへの添付ファイルの種類、添付ファイルのサイズ、メッセージのコンテンツ(たとえば、メッセージの件名欄またはメッセージの本文のコンテンツ)、メッセージの送信者、メッセージの送信者のIPアドレスまたはドメイン、メッセージの受信者、メッセージの送信者のSenderBaseの信用スコア、または任意の他の適切なメッセージ特性、といった一つ以上のメッセージの特性と対応付けることができる。具体例として、ウィルス突然発生情報は、一つのメッセージ特性を、種類がEXEの添付ファイルが添付されたメッセージに対するウィルススコア値が「4」であることを示す「EXE=4」といった、ウィルススコア値に関連付けることができる。
一実施形態では、一つ以上のメッセージ特性に基づいてウィルスの突然発生の可能性を示すウィルス突然発生情報が生成される。一実施形態では、ウィルス突然発生情報はウィルススコア値といった数値を含む。ウィルス突然発生情報は、メッセージへの添付ファイルの種類、添付ファイルのサイズ、メッセージのコンテンツ(たとえば、メッセージの件名欄またはメッセージの本文のコンテンツ)、メッセージの送信者、メッセージの送信者のIPアドレスまたはドメイン、メッセージの受信者、メッセージの送信者のSenderBaseの信用スコア、または任意の他の適切なメッセージ特性、といった一つ以上のメッセージの特性と対応付けることができる。具体例として、ウィルス突然発生情報は、一つのメッセージ特性を、種類がEXEの添付ファイルが添付されたメッセージに対するウィルススコア値が「4」であることを示す「EXE=4」といった、ウィルススコア値に関連付けることができる。
別の実施形態では、ウィルス突然発生情報は、それぞれがウィルスの突然発生の可能性を一つ以上のメッセージ特性に関連付ける一つ以上のルールを含む。具体例として、「if EXE and size < 50, then 4」という形態のルールは、種類がEXEでありおよびサイズが50k未満である添付ファイルが添付されたメッセージに対するウィルススコア値は「4」であることを示す。着信メッセージがルールのメッセージ特性に一致するか否かを判断するために適用されるルール群を、メッセージングゲートウェイに提供することができ、これによってルールが着信メッセージに適用可能でありおよびしたがって関連付けられたウィルススコア値に基づいて取り扱われるべきであることを示す。ルール群の使用について、図5を参照して下記にさらに説明する。
図4は、一実施形態による、ウィルススコア値を決定する方法のフロー図である。一実施において、図4のステップは、ウィルス情報ソース104およびスパムトラップ106から受信したデータベース112中の情報に基づいて、ウィルス情報処理装置108によって実行されてもよい。
図4のステップ401は、所定のコンピューターによるステップ402、404が、ウィルス情報処理装置108にアクセス可能な、ウィルス情報ソース104またはスパムトラップ106といったウィルス情報の異なるそれぞれのソースに対して実行されることを示す。
ステップ402は、より最近の過去のウィルススコア値に対するより大きな重み付けに合致する重み付けアプローチを用いて、過去の時間に対する一つ以上の過去のウィルススコア値を組み合わせることによって、特定の電子メールの添付ファイルの種類に対する重み付けされた現在の平均ウィルススコア値を生成することを伴う。特定の時間周期に対するウィルススコア値は、特定のソースで受信した疑わしい添付ファイルを有するメッセージの数に基づくスコア値のことをいう。添付ファイルが特定のファイルサイズ、ファイルの種類等といった一つ以上の評価指標を満たすか、または、送信者のネットワークアドレスが過去のウィルスの突然発生と関連付けられていることがわかっている場合に、メッセージは、疑わしい添付ファイルを有すると考えられる。決定は、添付ファイルのファイルサイズまたはファイルの種類または拡張子に基づいてもよい。
ウィルススコア値の決定は、メッセージからソースIPアドレス値といったソースネットワークアドレスを抽出し、および、ソースがスパムまたはウィルスと関連付けられていることがわかっているか否かを決定するため、SenderBaseサービスに対してクエリーを発行することによっても行ってもよい。決定は、(a)メッセージに直接添付された添付ファイルの種類または拡張子、(b)ファイル、アーカイブ、.zipファイル、またはメッセージに直接添付された他のファイルの中に含まれる圧縮されたファイルの種類または拡張子、および(c)添付ファイルから取得したデータフィンガープリント、に基づいてもよい。上記のいずれかにおいて発見されたそれぞれの添付ファイルの種類に対して、別々のウィルススコア値が生成されおよび記憶されてもよい。さらに、メッセージ内に発見された最もリスクの高い添付ファイルの種類に基づいて、ウィルススコア値が生成されおよび記憶されてもよい。
一実施形態では、ステップ402は、所定の添付ファイルの種類に対する最後3回分の15分の時間幅に対するウィルススコア値の組み合わせの演算を伴う。さらに、一実施形態では、重み付けされた値が15分の時間幅に対する3つの値に適用され、最も直近の15分の時間枠がより早期の15分の時間幅よりもより重く重み付けされている。たとえば、一つの重み付けアプローチでは、乗数0.10が最も古い15分の時間幅(30〜45分前)に対するウィルススコア値に適用され、乗数0.25が二番目に古い値(15〜30分前)に適用され、乗数0.65が0〜15分前の期間に対する最も直近のウィルススコア値に適用される。
ステップ404において、ステップ402で決定された現在の平均ウィルススコア値を長期の平均ウィルススコア値と比較することによって、特定の添付ファイルの種類に対する正常パーセント比率ウィルススコア値が生成される。正常レベルの現在のパーセント比率は、30日間の期間のうちすべての15分の時間周期に対して、その添付ファイルの種類に対する30日間平均値を参照することによって演算してもよい。
ステップ405において、ウィルス情報ソース104およびスパムトラップ106といったすべてのソースに対する正常パーセント比率ウィルススコア値のすべての平均が求められ、その結果、特定の添付ファイルの種類に対する正常値の全体比率を作成する。
ステップ406において、全体の正常パーセント比率値が、特定の添付ファイルの種類に対するウィルススコア値にマッピングされる。一実施形態では、ウィルススコア値は0から5までの整数であり、および正常パーセント比率値がウィルススコア値にマッピングされる。表1はウィルススコア尺度の例を示す。
他の実施形態では、スコア値0から100まで、0から10まで、1から5まで、または任意の他の所望の値の幅へのマッピングを用いてもよい。整数スコア値に加えて、非整数値を用いることができる。定義された値の幅を用いる代わりに、確率値を決定することができる。たとえば、より高い確率がウィルスの突然発生のより高い可能性を示す0%から100%までの範囲の確率、または、分数または0.543といった小数として表される0から1までの確率などである。
最適化として、および非常に低い30日間カウントによって起こりうるゼロ発行による除算を回避するため、図4の処理では、ステップ402で演算されるベースライン平均に1を加算することができる。本質的に、1を加えることによってデータのうちいくつかを減衰することによって、値のノイズレベルを好ましい方法でわずかに上昇させる。
表2は、仮説的な実施形態におけるファイルの種類EXEに対するデータ例を示す。
代替的な実施形態では、図2、図3、図4の処理は、報告されたデータの動向を認識しおよびウィルススコア演算における変則性を識別するロジックも含んでもよい。
大部分の実行ファイルは、ある一種類のまたは別の種類の電子メールの添付ファイルを介して伝播するので、本明細書中のアプローチの戦略は、添付ファイルの種類に基づいてポリシー決定を行うことに焦点を当てる。代替的な実施形態では、ウィルススコア値は、メッセージ中のユーアールエル(URL)、添付ファイルの名前、ソースネットワークアドレス、といった他のメッセージデータおよびメタデータを考慮することによって、開発されうる。さらに、代替的な実施形態では、ウィルススコア値は、添付ファイルの種類ではなくむしろ、個々のメッセージに割り当てられてもよい。
さらに別の実施形態では、ウィルススコア値を決定するために別の評価指標を考慮してもよい。たとえば、これまでに一度もメッセージを一度も送信していない新しいホストからウィルス情報処理装置108またはその情報ソースに多数のメッセージが急に受信された場合に、ウィルスが識別されてもよい。このようにして、特定のメッセージ最初に見られた日付が最近であるという事実、および、ウィルス情報処理装置108によって検知されたメッセージ量における急な上昇によって、ウィルスの突然発生を早期に示唆してもよい。
2.5 ウィルス突然発生情報の使用
上記のとおり、ウィルス突然発生情報は、ウィルススコア値を添付ファイルの種類といったメッセージ特性に単純に関連付けることができ、または、ウィルス突然発生情報は、それぞれがウィルススコア値を、ウィルスを示唆するメッセージの一つ以上の特性に関連付けるルール群を含むことができる。MGAは、ルール群を着信メッセージに適用して、どのルールがメッセージに一致するかを決定することができる。着信メッセージに一致するルールに基づいて、たとえば、一致するルールに由来する一つ以上のウィルススコア値に基づいてウィルススコア値を決定すること等によって、MGAは、メッセージがウィルスを含む可能性を決定することができる。
上記のとおり、ウィルス突然発生情報は、ウィルススコア値を添付ファイルの種類といったメッセージ特性に単純に関連付けることができ、または、ウィルス突然発生情報は、それぞれがウィルススコア値を、ウィルスを示唆するメッセージの一つ以上の特性に関連付けるルール群を含むことができる。MGAは、ルール群を着信メッセージに適用して、どのルールがメッセージに一致するかを決定することができる。着信メッセージに一致するルールに基づいて、たとえば、一致するルールに由来する一つ以上のウィルススコア値に基づいてウィルススコア値を決定すること等によって、MGAは、メッセージがウィルスを含む可能性を決定することができる。
たとえば、ルールは、EXE添付ファイルが添付されたメッセージに対するウィルススコアが4であることを示す「‘exe’の場合は、4である」であることができる。別の例として、ルールは、EXE添付ファイルが添付されサイズが50k未満であるメッセージに対するウィルススコアが3であることを示す「‘exe’でおよびサイズが<50kの場合は、3である」であることができる。さらに別の例として、ルールは、SenderBase信用スコア (SBRS)が「−5」未満である場合にウィルススコアが4であることを示す 「SBRS<−5の場合は、4である」であることができる。別の例として、ルールは、メッセージが添付ファイルの種類PIFを有しおよびメッセージの件名が文字列「FOOL」を含む場合ウィルススコアが5であることを示す「‘PIF’でありおよび件名が‘FOOL’を含む場合は、5である」であってもよい。一般に、ルールは、ウィルス発生を決定するために用いることができる任意の数のメッセージ特性または他のデータを、メッセージ特性または他のデータに一致するメッセージがウィルスを含む可能性を示すインジケーターに関連付けることができる。
さらに、メッセージングゲートウェイは、一つ以上の隔離ポリシーの形態などで、例外を適用して、図3のブロック312において決定されるような、一致するルールに基づいて決定されたウィルススコア値に基づいて規定された閾値を別の方法で満たすメッセージが突然発生隔離キュー内に入れられるべきか否か、または、メッセージが突然発生隔離キュー内に入れられずに処理されるべきか否かを決定することができる。MGAは、ウィルススコアにかかわらずメッセージが電子メールアドレスまたは電子メールアドレス群に常に配信されることを可能にする、または、PDFファイルを含むZIPファイルといった規定の添付ファイルの種類の添付されたメッセージを常に配信するポリシーといったルールを適用するための、一つ以上のポリシーを適用するよう構成することができる。
一般に、ウィルス情報処理装置にウィルススコア値の代わりにルールを供給させることによって、それぞれのMGAは、MGAの管理者によって決定された態様で一部またはすべてのルールを適用することができ、これによって特定のMGAの必要性を満たすための追加的な柔軟性を提供する。その結果、二つのメッセージングゲートウェイ107が、同じルール群を用いる場合であっても、それぞれのMGAの管理者によってルールの適用を構成する能力は、それぞれのMGAが同じメッセージを処理し、および決定されたウィルス攻撃が起きている可能性の点で異なる結果を取得することができること、および、それぞれのMGAが同じメッセージを処理しおよびMGAの管理者によって確立された構成に応じて異なるアクションを取ることができることを意味している。
図5は、一実施形態による、ウィルスの突然発生を管理するルール群の適用を示すフロー図である。図5に示す機能は、メッセージングゲートウェイによって、ブロック312の一部としてまたは着信メッセージの処理中の任意の他の適切な位置において、実行することができる。
ブロック502において、メッセージングゲートウェイは着信メッセージのメッセージ特性を特定する。たとえば、メッセージングゲートウェイ107は、メッセージが添付ファイルを有するか否か、およびもしそうであれば、添付ファイルの種類、添付ファイルのサイズ、および添付ファイルの名称を決定することができる。他の例として、メッセージングゲートウェイ107は、SenderBaseの信用スコアを取得するために、送信側IPアドレスに基づいてSenderBaseサービスに問い合わせを行うことができる。図5を説明する目的で、メッセージが添付ファイルの種類EXEが添付され、大きさが35kであり、およびメッセージの送信ポストがSenderBaseの信用スコア−2を有すると仮定する。
ブロック504において、メッセージングゲートウェイは、該メッセージのメッセージ特性に基づいてルール群のうちどのルールと一致しているかを決定する。たとえば、図5を説明する目的で、ルール群は、例となる特性を提供された仮説的ウィルススコア値に関連付ける下記の5つのルールから成ると仮定する:
ルール1:「EXEの場合は、3である」
ルール2:「ZIPの場合は、4である」
ルール3:「EXEでおよびサイズが>50kの場合は、5である」
ルール4:「EXEでおよびサイズが<50kおよび>20kの場合は、4である」
ルール5:「SBRS<−5の場合は、4である」
これらルール例において、ルール1は、ZIP添付ファイルのほうがEXE添付ファイルよりもウィルスを含む可能性が高いことを示す。その理由は、ウィルススコアはルール2で4であるがしかしルール1ではわずか3であるからである。さらに、上記のルール例において、サイズが50kよりも大きいEXE添付ファイルはウィルスを有する可能性が最も高いが、しかし、サイズが50k未満であるが20kよりも大きいEXE添付ファイルがウィルスを含む可能性はわずかに低いことを示す。その理由はおそらくは、EXE添付ファイルが添付された疑わしいメッセージの大部分がサイズが50kよりも大きいからである。
ルール1:「EXEの場合は、3である」
ルール2:「ZIPの場合は、4である」
ルール3:「EXEでおよびサイズが>50kの場合は、5である」
ルール4:「EXEでおよびサイズが<50kおよび>20kの場合は、4である」
ルール5:「SBRS<−5の場合は、4である」
これらルール例において、ルール1は、ZIP添付ファイルのほうがEXE添付ファイルよりもウィルスを含む可能性が高いことを示す。その理由は、ウィルススコアはルール2で4であるがしかしルール1ではわずか3であるからである。さらに、上記のルール例において、サイズが50kよりも大きいEXE添付ファイルはウィルスを有する可能性が最も高いが、しかし、サイズが50k未満であるが20kよりも大きいEXE添付ファイルがウィルスを含む可能性はわずかに低いことを示す。その理由はおそらくは、EXE添付ファイルが添付された疑わしいメッセージの大部分がサイズが50kよりも大きいからである。
メッセージが添付ファイルの種類EXEを有しサイズが35kである添付ファイルを有し、および関連付けられたSenderBaseの信用スコアが−2である本例において、ルール1と4は一致するが、一方で、ルール2、3、および5は一致しない。
ブロック506において、メッセージングゲートウェイは、一致するルールに由来するウィルススコア値に基づいて、メッセージに対して用いられるウィルススコア値を決定する。メッセージに対して用いられるウィルススコア値の決定は、多数のアプローチのうちのいずれかに基づいて実行することができる。用いられる特定のアプローチは、メッセージングゲートウェイの管理者によって規定され、および所望のとおり修正することができる。
たとえば、ルールのリストをリスト化された順序で適用する際に最初に一致するルールを用いることができ、および、任意の他の一致するルールは無視される。したがって、この例では、一致する最初のルールはルール1であり、およびしたがって、メッセージに対するウィルススコア値は3である。
他の例として、ウィルススコア値が最も高い一致するルールが用いられる。したがって、この例では、一致するルールの中でルール3が最も高いウィルススコア値を有し、およびしたがって、メッセージに対するウィルススコア値は5である。
さらに別の例として、最も具体的なメッセージ特性群を備えた一致するルールが用いられる。したがって、この例では、ルール4は3つの異なる基準を含むので、ルール4は最も具体的な一致するルールであり、およびしたがって、メッセージに対するウィルススコア値は4である。
他の例として、一致するルールに由来するウィルススコア値を組み合わせて、メッセージに適用するウィルススコア値を決定することができる。具体例として、ルール1、3、および4に由来するウィルススコア値を平均化して、ウィルススコア値4を決定することができる(たとえば、(3+4+5)÷3=4)。別の例として、一致するルールのウィルススコア値の重み付けされた平均を用いて、より具体的なルールに対してより大きな重みを与えることができる。具体例として、それぞれのウィルススコア値に対する重みは、ルール中の基準の数と同じであることができる(たとえば、1個の基準を持つルール1は重み1を有し、一方、3個の基準があるルール4は重み3を有する)、およびしたがって、ルール1、3、および4の重み付けされた平均は結果としてウィルススコア値4.2となる(たとえば、(1×3+2×5+3×4)÷(1+2+3)=4.2)。
ブロック508において、メッセージングゲートウェイは、ブロック506で決定されたウィルススコア値を用いて、規定のウィルススコア閾値が満たされているか否かを決定する。たとえば、この例において、閾値が、ウィルススコア値が4であることと仮定する。その結果、すべての例示的なアプローチによってブロック506で決定されたウィルススコア値は、一致する最初のルールを用いる場合およびブロック506がウィルススコア値が3であると決定する場合を除いて、閾値を満たすであろう。
規定の閾値が、ブロック508で決定されたウィルススコア値によって満たされると決定される場合、次いでブロック510において、一つ以上の隔離ポリシーが適用されて、メッセージを突然発生隔離キューに加えるか否かを判断する。たとえば、メッセージングゲートウェイの管理者は、たとえウィルスの突然発生が検知された場合であっても、一人以上のユーザーまたは一つ以上のユーザーの群に決してメッセージを隔離させるべきでないと決定してもよい。他の例として、管理者は、規定の閾値に基づいてウィルス突然発生情報がウィルス攻撃を示す場合、所定の特性を備えたメッセージ(たとえば、XLS添付ファイルが添付されサイズが少なくとも75kであるメッセージ)が、隔離される代わりに、常に配信されるようにするポリシーを確立することができる。
具体例として、組織の法務部の人員は、たとえメッセージングゲートウェイがウィルスの突然発生が起きていると決定した場合であっても、突然発生隔離中に入れられることによって遅延させられるべきでない、重要な法的文書を含むZIPファイルを高い頻度で受信するかもしれない。したがって、メッセージングゲートウェイのメール管理者は、たとえZIP添付ファイルに対するウィルススコア値が規定の閾値を満たすかまたは超える場合であっても、ZIPファイルが添付されたメッセージを法務部に常に配信するというポリシーを策定することができる。
他の具体例として、メール管理者は、メール管理者の電子メールアドレスに宛てられたメッセージを常に配信させたいと願うかもしれない。その理由は、このようなメッセージはウィルスの突然発生に対処するための情報を提供しうるからである。メール管理者が教養あるユーザーである場合、ウィルスに感染したメッセージを配信するリスクは低い。その理由は、メール管理者が、ウィルスが作用できる前に、感染されたメッセージを識別しおよび対処することができる可能性が高いからである。
図5を説明するのに用いられている例に対して、企業の上級技術マネジャーに宛てられたEXE添付ファイルは、たとえこのようなメッセージに対するウィルススコア値がウィルススコア閾値を満たすかまたは超える場合であっても、常に配信されるというポリシーをメール管理者が確立したと仮定する。したがって、メッセージが任意の上級技術マネジャーに宛てられる場合、それにもかかわらずメッセージは、突然発生隔離中に入れられる代わりに配信される。しかしながら、上級技術マネジャー以外に宛てられたメッセージは、(他の適用可能なポリシーによって他に除外されない限り)隔離される。
一実施形態では、メッセージングゲートウェイは、2つの状態「平穏な」および「緊張した」のうち一つの状態に構成することができる。どのメッセージも隔離されない場合、平穏な状態が適用される。しかしながら、ウィルス突然発生情報が更新され、および規定の閾値を上回ったことを示す場合、メッセージングゲートウェイによって受信中の任意のメッセージが隔離中か否かにかかわらず、状態は「平穏な」から「緊張した」に変化する。緊張した状態は、ウィルス突然発生情報が更新されおよび規定の閾値をもはや上回らないと示すまで持続する。
いくつかの実施では、システム状態の変化(たとえば、「平穏な」から「緊張した」または「緊張した」から「平穏な」)が起きるといつでも、警告メッセージがオペレーターまたは管理者に送信される。加えて、かつては閾値を満たさない低かったウィルススコア値が今では閾値を満たすかまたは上回る場合は、たとえシステムの全体の状態が変化しない (たとえば、システムが過去に「平穏な」から「緊張した」に変化し、および一方では「緊張した」状態で、閾値を満たすかまたは超える別のウィルススコアがウィルス情報処理装置から受信される) 場合であっても、警告を発することができる。同様に、過去に閾値を満たした高いウィルススコアが低下しておよび今では規定の閾値未満である場合も、警告を発することができる。
警告メッセージは、下記を含むがそれに限らない一つ以上の種類の情報含むことができる:ウィルス突然発生情報が変更した添付ファイルの種類、現在のウィルススコア、過去のウィルススコア、現在の閾値、およびいつウィルス突然発生情報の最新の更新が発生したか。
2.6 追加的な特徴
上記に記載の特徴に加えて、一つ以上の下記の追加的な特徴を特定の実施において用いることができる。
上記に記載の特徴に加えて、一つ以上の下記の追加的な特徴を特定の実施において用いることができる。
一つの追加的な特徴は、ウィルス脅威の識別を支援するよう具体的に設計された送信者ごとのデータを取得することである。たとえば、MGAが、SenderBaseといったサービスに、IPアドレスを接続するためのSenderBaseの信用スコアを取得するよう問い合わせをする場合、SenderBaseのIPアドレスを接続するために特有のウィルス脅威データを提供することができる。ウィルス脅威データは、IPアドレスに対してSenderBaseによって収集されたデータに基づき、および、IPアドレスまたはIPアドレスと関連付けられた企業から由来するメッセージ中にウィルスがどれだけの頻度で検出されるかという点において、およびIPアドレスの履歴を反映する。これによって、MGAは、特定のメッセージのコンテンツについて送信側IPアドレスから何の情報または知識もなしに、メッセージの送信者のみに基づいて、SenderBaseからウィルススコアを取得することができる。送信者ごとのウィルス脅威に関するデータは、上記のように決定されたウィルススコアの代わりに、またはそれに加えて、用いることができ、または、送信者ごとのウィルス脅威に関するデータは、ウィルススコアの計算に組み入れることができる。たとえばMGAは、送信者ごとのウィルス脅威データに基づいて、特定のウィルススコア値を増加または減少させうる。
別の特徴は、動的またはダイアルアップのブラックリストを用いて、動的またはダイアルアップのホストが外部のSMTAPサーバーに直接接続している場合に、ウィルスに感染した可能性の高いメッセージを識別することである。通常は、インターネットに接続する動的およびダイアルアップのホストは、ホストのローカルSMTAPサーバーを介して、発信メッセージを送信すると予想される。しかしながら、ホストがウィルスに感染している場合、ウィルスは、MGAといった外部のSMTAPサーバーにホストを直接接続させることができる。このような状況では、ホストに外部のSMTAPサーバーとの接続を確立させるウィルスに、ホストが感染する可能性は高い。例としては、スパムおよびOpen Relay Blocking Systeme(SORBS)動的ホスト、およびNot Just Another Bogus List (MJABL) 動的ホストがあげられる。
しかしながら、一部の場合では、初心者のユーザーが直接接続を行う場合、または接続がDSLまたはケーブルモデムといった動的でないブロードバンド・ホストからの場合などは、直接接続はウィルスによって開始されない。それにもかかわらず、このようなダイアルアップまたは動的ホストからの外部のSMTAPサーバーへの直接接続の結果、高いウィルススコアを決定するか、または、すでに決定されたウィルススコアを増加するかして、直接接続がウィルスを原因とする能性が高まったことを反映することができる。
別の特徴は、過去にウィルスによって不当に利用されたホストを追跡する不当に利用されたホストのブラックリストを、ウィルス情報源として用いることである。サーバーがオープンリレー、オープンプロキシであるか、またはその他誰もが電子メールをどこにでも配信できるという脆弱性を有する場合に、ホストは不当に利用される可能性がある。不当に利用されたホストのブラックリストは、二つの技法のうち一つを用いて、不当に利用されたホストを追跡する:感染したホストが送信するコンテンツ、および、接続時間スキャンによって感染したホストを検索すること。例として、Composite Blocking List(CBL)およびOpen Proxy Monitor(OPM)およびDistributed Server Boycott List(DSBL)からのデータを用いるExploits Block List(XBL)があげられる。
別の特徴は、ウィルス情報処理装置が、ウィルスを送信した過去の履歴を有する送信者およびネットワークのブラックリストを開発することである。たとえば、最も高いウィルススコアを、ウィルスのみを送信することがわかっている個人のIPアドレスに割り当てることができる。中等度のウィルススコアを、ウィルスとウィルスに感染していない正当なメッセージとの両方を送信することがわかっている個人のIPアドレスに関連付けることができる。中等度から低いウィルススコアを、一つ以上の個々の感染したホストを含むネットワークに割り当てることができる。
別の特徴は、上記に論じたことに加えて、添付ファイルの特性を識別するといった、疑わしいメッセージを識別する広範なテスト群を組み入れることである。たとえば、一般的ヘッダテストを用いて、任意の一般的メッセージヘッダに対して下記の例のような定められた文字列または正規表現を探すことができる:
head X_MIME_FOO X−Mime=〜/foo/
head SUBJECT_YOUR Subject=〜/your document/
別の例として、一般的本文テストを用いて、下記の例のような定められた文字列または正規表現を検索することによって、メッセージ本文をテストすることができる:
body HEY_PAL /hey pal|long time, no see/
body ZIP_PASSWORD /\.zip password is/i
さらに別の例として、機能テスト用いて、下記の例のようなテストメッセージのきわめて特有の態様をテストするカスタムテストを作成することができる:
eval EXTENSION_EXE message_attachment_ext(“.exe”)
eval MIME_BOUND_FOO mime_boundary(“−−/d/d/d/d[a−f]”)
eval XBL_IP connecting_ip(exploited host)
別の例として、上記のような複数の特徴に基づいてメタテストを用いて、下記の例のようなルールのメタルールを作成することができる:
meta VIRUS_FOO ((SUBJECT_FOO1 || SUBJECT_FOO2) && BODY_FOO)
meta VIRUS_BAR (SIZE_BAR + SUBJECT_BAR + BODY_BAR >2)
用いることができる別の特徴は、すべてのルールを作動させる必要がないよう上記のウィルススコア決定アプローチを一つ以上のマシン学習技法に拡張すること、および、誤判定および検知漏れを最小化することによって正確な分類を提供することである。たとえば、下記の方法のうち一つ以上を採用することができる:離散回答を提供するデシジョンツリー;付加的なスコアを提供する認知;および確率をスコアにマッピングするベイズ様解析。
head X_MIME_FOO X−Mime=〜/foo/
head SUBJECT_YOUR Subject=〜/your document/
別の例として、一般的本文テストを用いて、下記の例のような定められた文字列または正規表現を検索することによって、メッセージ本文をテストすることができる:
body HEY_PAL /hey pal|long time, no see/
body ZIP_PASSWORD /\.zip password is/i
さらに別の例として、機能テスト用いて、下記の例のようなテストメッセージのきわめて特有の態様をテストするカスタムテストを作成することができる:
eval EXTENSION_EXE message_attachment_ext(“.exe”)
eval MIME_BOUND_FOO mime_boundary(“−−/d/d/d/d[a−f]”)
eval XBL_IP connecting_ip(exploited host)
別の例として、上記のような複数の特徴に基づいてメタテストを用いて、下記の例のようなルールのメタルールを作成することができる:
meta VIRUS_FOO ((SUBJECT_FOO1 || SUBJECT_FOO2) && BODY_FOO)
meta VIRUS_BAR (SIZE_BAR + SUBJECT_BAR + BODY_BAR >2)
用いることができる別の特徴は、すべてのルールを作動させる必要がないよう上記のウィルススコア決定アプローチを一つ以上のマシン学習技法に拡張すること、および、誤判定および検知漏れを最小化することによって正確な分類を提供することである。たとえば、下記の方法のうち一つ以上を採用することができる:離散回答を提供するデシジョンツリー;付加的なスコアを提供する認知;および確率をスコアにマッピングするベイズ様解析。
別の特徴は、ウィルスの影響に基づくウィルスの突然発生による脅威の重大性をウィルススコア決定に組み込むことである。たとえば、ウィルスによって、感染したコンピューターのハードドライブが、すべてのコンテンツを削除させた場合、そのウィルススコアを増加することができ、一方、メッセージを単に表示するウィルスは、変化しないままのまたはさらに減少したウィルススコアを有することができる。
別の追加的な特徴は、疑わしいメッセージを取り扱うための選択肢を拡大することである。たとえば、たとえば、ユーザーが、メッセージに対して決定されたウィルスリスクのレベルの警告を受けるよう(たとえば、件名または本文の)メッセージにウィルススコアを加えることによって、疑わしいメッセージは、メッセージが疑わしいことを示すようタグ付けすることができる。別の例として、新しいメッセージを生成して、ウィルスに感染したメッセージを送信しようとしている試みを受信者に対して警告するか、または、メッセージの非ウィルス感染部を含む新しくかつ未感染のメッセージを作成することができる。
2.7 例となる使用事例
下記の仮説的な説明は、どのように本明細書中に記載されるアプローチをウィルスの突然発生を管理するのに用いても良いかを提供する。
下記の仮説的な説明は、どのように本明細書中に記載されるアプローチをウィルスの突然発生を管理するのに用いても良いかを提供する。
最初の使用事例として、「Sprosts.ky」という題の新しいウィルスがMicrosoft Excel(登録商標)に埋め込まれたVisual Basicマクロを介して伝播したと仮定する。ウィルスがヒットして間もなく、ウィルススコアは添付ファイル.xlsのために1から3へと移動し、および本明細書中のアプローチのユーザーであるBig Company社は、Excelファイルの配信の遅延を開始する。Big Company社のネットワーク管理者は、.xlsファイルが現在隔離中であると記載する電子メールを受信する。Sophosは次いで、1時間後に、ウィルスを止めるための新しい更新ファイルが利用可能であると記載された警告を送信する。ネットワーク管理者は次いで、自分のIronPort C60が最新の更新ファイルをインストール済であることを確認する。ネットワーク管理者は、隔離キューのための遅延時間を5時間と設定したものの、Excelファイルは企業にとってきわめて重要であり、したがって管理者はさらに4時間待つ余裕はない。したがって、管理者はIronPort C60にアクセスし、および手入力でキューを一気に消去し、Excelファイルを添付したすべてのメッセージを、Sophosアンチウィルスチェッキングを介して送信する。管理者は、これらメッセージのうち249個がウィルス陽性であり、および1個が感染していなかったのでSophosによって捉えられなかったことを発見する。メッセージは、全遅延時間1.5時間で配信される。
第二の使用事例として、「Clegg.P」ウィルスが、暗号化されたzipファイルを介して伝播したと仮定する。Big Company社のネットワーク管理者は、ウィルススコア値が急上昇したとの電子メールの警告を受信するが、しかし、管理者は警告を無視し、本明細書中に提供された自動的な処理に依存する。6時間後に一夜明けて、管理者は隔離キューが容量の75%に到達したことを警告する2ページ目を受信する。管理者が仕事場に到着する時間までに、Clegg.PはBig Company社の隔離キューを満杯にした。幸運にも、ネットワーク管理者はIronPort C60に対して、隔離キューがオーバーフローした場合にはメッセージを正常どおり配信するというポリシーを設定しており、および、Sophosは、隔離キューがオーバーフローする前に、徹夜で新しい更新を出していた。ウィルススコア値が隔離キューをトリガーする前は2名のみのユーザーが感染しており、したがって、管理者はあふれた隔離キューにのみ直面する。すべてのメッセージがウィルスであったとの仮定に基づいて、管理者は、メッセージをキューから一気に消去し、自動的にそれらを削除して、IronPort C60上のロードを使わないで取っておく。予防的なアプローチとして、ネットワーク管理者は、規定の未来の時間周期の間すべての暗号化された.zipファイルを阻止する。
3.0 「スパム」メッセージを阻害するためのアプローチ
図7は、「スパム」メッセージを阻害するための、および他の種類の電子メールスキャン処理のアプローチに用いてもよいブロック図である。この文脈において、語「スパム」は任意の迷惑電子メールのことをいい、および語「ハム」は正当な大量の電子メールのことをいう。語「TI」は脅威特定、すなわち、ウィルスの突然発生またはスパム通信が起きていることを決定することをいう。
図7は、「スパム」メッセージを阻害するための、および他の種類の電子メールスキャン処理のアプローチに用いてもよいブロック図である。この文脈において、語「スパム」は任意の迷惑電子メールのことをいい、および語「ハム」は正当な大量の電子メールのことをいう。語「TI」は脅威特定、すなわち、ウィルスの突然発生またはスパム通信が起きていることを決定することをいう。
サービスプロバイダー700中に、一つ以上のTI開発コンピューター702が、コーパスサーバークラスタ706に接続され、コーパスサーバークラスタ706は脅威識別ルールのコーパスまたはマスターリポジトリの役割を果たし、および脅威識別ルールを評価のためにメッセージに適用し、その結果スコア値を生成する。サービスプロバイダー700のメールサーバー704は、ハム電子メールをコーパスサーバークラスタ706に与える。一つ以上のスパムトラップ716は、スパム電子メールをコーパスに与える。スパムトラップ716は、確立されたおよびスパム発信者にシードされた電子メールアドレスであり、その結果、該アドレスはスパム電子メールのみを受信する。スパムトラップ716で受信されたメッセージは、メッセージシグニチャまたはチェックサムへと変換され、これらはコーパスサーバークラスタ706に記憶される。一つ以上のアバター714が非機密の電子メールをコーパスに評価のために与える。
サービスプロバイダー700中に、一つ以上のTI開発コンピューター702が、コーパスサーバークラスタ706に接続され、コーパスサーバークラスタ706は脅威識別ルールのコーパスまたはマスターリポジトリホストの役割を果たし、および脅威識別ルールを評価用にメッセージに適用してその結果スコア値を生成する。サービスプロバイダー700のメールサーバー704は、ハム電子メールをコーパスサーバークラスタ706に与える。一つ以上のスパムトラップ716は、スパム電子メールをコーパスに与える。スパムトラップ716は、確立されおよびスパム発信者にシードされた電子メールアドレスであり、その結果アドレスはスパム電子メールのみを受信する。スパムトラップ716で受信されたメッセージは、メッセージシグニチャまたはチェックサムへと変換され、これらはコーパスサーバークラスタ706に記憶される。一つ以上のアバター714が評価のために非機密の電子メールをコーパスに与える。
コーパスサーバークラスタ706によって作成されたスコアは、ルール/URLサーバー707に接続され、該ルール/URLサーバー707は、ウィルス、スパム、および他の電子メール脅威と関連付けられたルールおよびURLを、顧客のもとに配置されたサービスプロバイダー700の一つ以上のメッセージングゲートウェイ107に対して発行する。メッセージングゲートウェイ107は、HTTPS転送を介して新しいルールを定期的に読み出す。脅威オペレーションセンター(TOC)708は、テスト目的の暫定的なルールを生成し、およびそれをコーパスサーバークラスタ706に送信してもよい。脅威オペレーションセンター708は、ウィルス脅威を検知しおよびにそれに応答することにかかわる人員、ツール、データおよび施設のことをいう。TOC708はまた、生産用途のために承認されたルールも、ルール/URLサーバー707に発行し、および、スパム、ウィルスまたは他の脅威と関連付けられていないことがわかっているホワイトリストに掲載されたURLを、ルール−URLサーバーに送信する。TIチーム710は、手入力で他のルールを作成し、およびそれらをルール/URLサーバーに提供してもよい。
明確な例を示すために、図7は一つのメッセージングゲートウェイ107を示す。しかしながら、様々な実施形態および商業的な実施では、サービスプロバイダー700は、様々な顧客のもとでまたは顧客のサイトにある、多数の現場に配備されたメッセージングゲートウェイ107に接続されている。メッセージングゲートウェイ107、アバター714、およびスパムトラップ716は、インターネットといった公共のネットワークを介してサービスプロバイダー700に接続する。
一実施形態によると、それぞれの顧客のメッセージングゲートウェイ107は、実行可能なロジックおよびDNSブラックリストを含むローカルDNS URLブラックリストモジュール718を保持する。DNSブラックリストの構造は、IPアドレスといったネットワークアドレスを、IPアドレスと関連付けられた信用スコア値にマッピングする、複数のDNS型記録Aを含んでもよい。IPアドレスは、スパムメッセージの送信者のIPアドレス、または、スパムメッセージ中に発見されたことがあるかまたはフィッシング攻撃またはウィルスといった脅威と関連付けられていることがわかっているURLのルートドメインと関連付けられたサーバーアドレスを表してもよい。
したがって、それぞれのメッセージングゲートウェイ107は、IPアドレスの自己のDNSブラックリストを保持する。これに対して、過去のアプローチでは、グローバルな場所で保持され、ここでは、ネットワーク通信を介してすべてのクエリーを受信しなければならない。本アプローチは、MGAによって生成されるDNSクエリーはネットワークを横切って集中型のDNSサーバーに到達する必要がないので、性能を改善する。このアプローチは更新もしやすい;セントラルサーバーは、インクリメントの更新をメッセージングゲートウェイ107に定期的に送信することができる。フィルタースパムメッセージに対して、メッセージングゲートウェイ107中の他のロジックが、テストされているメッセージから一つ以上のURLを抽出することができ、 (URL、ビットマスクの)対のリストとして入力をブラックリストモジュール718に提供し、およびブラックリストIPアドレスヒットのリストとして出力を受信する。ヒットが示される場合、次いでメッセージングゲートウェイ107は、電子メールの配信を阻止し、電子メールを隔離するか、または、配信の前にメッセージからURLを取り外すといった他のポリシーを適用することができる。
一実施形態では、ブラックリストモジュール718は、電子メール中のURLポイズニングのテストも行う。URLポイズニングとは、スパム発信者によって用いられる、悪意のないURLも合わせて含んでいる電子迷惑メールメッセージの中に悪意のあるまたは破壊的なURLを入れる技法のことをいい、その結果、疑いを持たずにURLをクリックするユーザーが、悪意のあるローカルなアクション、広告の表示等を知らずにトリガーする可能性がある。「善良な」URLの存在には、スパム検知ソフトウェアがメッセージをスパムとしてマーキングすることを防止することが意図されている。一実施形態では、ブラックリストモジュール718は、入力として提供される悪意のあるおよび善良なURLの特定の組み合わせがスパムメッセージを表す場合を決定することができる。
一実施形態は、DNSデータを取得し、および、それを、数個のデータベースクエリーを受け取りおよび次いでDNS応答を受信できるハッシュ型のローカルデータベースに移動させるシステムを提供する。
上述のアプローチは、SpamAssassinオープンソースプロジェクトへのプラグインとして構成されるコンピュータープログラム中に実施されてもよい。SpamAssassinは、コアプログラムとともに用いることができるPerlモジュール群から成る。該コアプログラムは、SpamAssassinとともに出荷される「spamd」といったメッセージチェックを実行するネットワークプロトコルを提供することができる。SpamAssassinのプラグインアーキテクチャは、アプリケーションプログラミング。インタ−フェースを介して拡張可能である;プログラマーは、新しいチェック経験則および他の機能を、コアコードを変更することなく加えることができる。プラグインは構成ファイルの中で識別され、およびランタイムにロードされ、およびSpamAssassinの機能的な一部分となる。APIは、経験則の形式(スパムに一般的に用いられる単語または句を検知するルール)およびメッセージチェックのルールを定義する。一実施形態では、経験則は単語の辞書に基づいており、およびメッセージングゲートウェイ107は、管理者が辞書のコンテンツを編集していかがわしい単語または既知の善良な単語を追加または除去することを可能にするユーザーインターフェースをサポートする。一実施形態では、管理者は、他のアンチスパムスキャンを実行する前に、企業に特有のコンテンツ辞書に対してメッセージをスキャンするアンチスパムロジック119を構成することができる。このアプローチによって、メッセージが企業に特有の語または業界標準の語を含む場合に、コンピューターを用いた高価な他のスパムスキャンを実施せずに、メッセージが低いスコアを最初に受信することが可能になる。
さらに、広い意味では、上記に記載のアプローチによって、スパムチェックエンジンが、信用度決定の基盤を形成してきたがスパムチェックでの直接使用を発見していない情報を受信しおよび用いることが可能になる。該情報は、加重値およびスパムチェッカーの他の経験則を修正するのに用いることができる。したがって、スパムチェッカーは、新たに受信したメッセージがスパムであるか否かをより高い精度で決定することができる。さらに、スパムチェッカーは、コーパス中の大量の情報によって情報を得て、これによっても精度が向上する。
3.1 スパムスキャンからの早期終了
アンチスパムロジック119は、通常は、完全な態様でそれぞれのメッセージに対して作動し、このことは、それぞれのメッセージのすべての要素が完全に構文解析され、および次いで、すべての登録されたテストが実行されることを意味している。これによって、ある一つのメールがハムかスパムかについての非常に正確な全体評価を与えられる。しかしながら、ひとたび、メッセージが十分「スパム性がある」と、該メッセージはスパムとして信号を発しおよび取り扱うことができる。メールのバイナリー性質に寄与する必要のある追加的な情報はない。一実施形態がスパムおよびハムの閾値を実施する場合には、次いで、メッセージが確実にスパムであると言えるほど十分「スパム性がある」とひとたびロジックが決定すると、メッセージスキャン機能を終了することによって、アンチスパムロジック119の性能が向上する。本明細においては、このようなアプローチは、アンチスパム構文解析またはスキャンからのEarly Exit(早期終了)とよばれる。
アンチスパムロジック119は、通常は、完全な態様でそれぞれのメッセージに対して作動し、このことは、それぞれのメッセージのすべての要素が完全に構文解析され、および次いで、すべての登録されたテストが実行されることを意味している。これによって、ある一つのメールがハムかスパムかについての非常に正確な全体評価を与えられる。しかしながら、ひとたび、メッセージが十分「スパム性がある」と、該メッセージはスパムとして信号を発しおよび取り扱うことができる。メールのバイナリー性質に寄与する必要のある追加的な情報はない。一実施形態がスパムおよびハムの閾値を実施する場合には、次いで、メッセージが確実にスパムであると言えるほど十分「スパム性がある」とひとたびロジックが決定すると、メッセージスキャン機能を終了することによって、アンチスパムロジック119の性能が向上する。本明細においては、このようなアプローチは、アンチスパム構文解析またはスキャンからのEarly Exit(早期終了)とよばれる。
早期終了によって、単にメッセージがスパムであることをさらに確認するだけの何百のルールを評価しないことによって、相当な時間を節約することができる。ネガティブな採点ルールは典型的にはごくわずかしか存在しないため、ひとたび所定の閾値がヒットすると、ロジック119はメッセージがスパムであると陽性の決定をすることができる。二つの別の性能利得も、ルールの秩序化および実行およびオンデマンドの構文解析と呼ばれるメカニズムを用いて実施される。
ルールの秩序化および実行は、確実に迅速使用できるインジケーターを使用するメカニズムである。ルールが秩序化されおよびテストグループに分類される。それぞれのグループが実行された後、現在のスコアがチェックされ、およびメッセージが十分「スパム性がある」か否かについて決定が行われる。スパム性がある場合は、ロジック119はルール処理を中止し、およびメッセージがスパムであるとの判定を発表する。
オンデマンドの構文解析は、必要な場合のみ、アンチスパムロジック119の一部としてメッセージ構文解析を実行する。たとえば、メッセージヘッダのみを構文解析した結果メッセージがスパムであるいう決定が得られた場合、他の構文解析動作は実行されない。とりわけ、メッセージヘッダに適用可能なルールは、非常に良いスパムのインジケーターとなることができる;アンチスパムロジック119が、ヘッダルールに基づいてメッセージがスパムであると決定する場合には、本文は構文解析されない。その結果、アンチスパムロジック119の性能が向上する。構文解析ヘッダは、メッセージ本文を構文解析するよりもコンピューターを用いる高価なものであるからである。
別の例として、メッセージ本文が構文解析されるが、しかし、非HTML本文要素に適用されるルールの結果スパムの判定が得られた場合には、HTML要素は除外される。HTMLの構文解析または(下記に詳述するような)URIブラックリスト化のテストは、必要とされる場合にのみ実行される。
図11は、早期終了アプローチによる、メッセージ脅威スキャンを実行する処理のフロー図である。ステップ1102において複数のルールが受信される。ルールは、メッセージと関連付けられた脅威を示す電子メッセージの特性を規定する。したがって、あるルールがメッセージ要素に一致する場合、該メッセージはおそらくは、脅威を有するかまたはスパムである。それぞれのルールは優先順位の値を有し、およびそれぞれのルールがメッセージ要素型と関連付けられている。
ステップ1104において、受信者アカウントの宛先アドレスを有する電子メールメッセージが受信される。メッセージは複数のメッセージ要素を含む。要素は典型的にはヘッダ、メール本文、およびHTML本文要素を含む。
ステップ1106において、次のメッセージ要素が抽出される。ブロック1106Aに示されるように、ステップ1106は、ヘッダ、メール本文、またはHTML本文要素を抽出することを伴うことができる。例として、ステップ1106でメッセージヘッダのみが抽出されると仮定する。抽出は典型的には一時コピーをデータ構造の中に作成することを伴う。
ステップ1108において、同じ要素型に対するルール群の中からルールの優先順位の順序に基いて、次のルールが選択される。したがって、ステップ1108は、ステップ1106で抽出された現在のメッセージ要素に対して、その要素型に対するルールのみが考慮され、および、ルールはその優先順位の順序にしたがって照合することを反映する。たとえば、メッセージヘッダがステップ1106で抽出された場合には、ヘッダルールのみが照合される。過去のアプローチとは異なり、メッセージ全体は同時には考慮されず、および、すべてのルールは同時には考慮されない。
ステップ1109において、メッセージに対する脅威スコア値が、現在のメッセージ要素のみを現在のルールのみに照合することによって決定される。代替的に、ステップ1108および1109は、現在のメッセージ要素型に対応するすべてのルールを選択し、および、すべてのこのようなルールを現在のメッセージ要素に照合することを伴うことができる。したがって、図11は、それぞれのルールの後にテストすることによって早期終了を実行すること、または、特定のメッセージ要素型に対するすべてのルールを照合しおよび次いで早期終了が可能であるか否かを決定することを包含する。
ステップ1110においてテストされるように脅威スコア値が規定の閾値よりも大きい場合には、スキャンからの終了、構文解析およびを照合がステップ1112で実行され、および、脅威スコア値がステップ1114で出力される。その結果、スキャン、抽出、およびルール照合処理において閾値を早い時期に超える場合は、スキャン処理からの早期終了が達成され、および、脅威スコア値をはるかに急速に出力してもよい。とりわけ、ヘッダルールの結果が閾値を超える脅威スコア値である場合は、HTMLメッセージ要素を表示しおよびルールをそれら照合するコンピューターを用いるコストの高い処理を省略することができる。
しかしながら、ステップ1110で脅威スコア値が閾値を上回らない場合、次いでステップ1111で、テストを実行して、現在のメッセージ要素に対するすべてのルールが照合されたか否かを決定する。テストの前にメッセージ要素に対するすべてのルールがステップ1110の照合される上記に記載の代替形態では、ステップ1111は必要ない。同じメッセージ要素型に対する他のルールが存在する場合には、制御はステップ1108に戻り、それらルールを照合する。同じメッセージ要素型に対するすべてのルールがすでに照合された場合には、制御はステップ1106に戻り、次のメッセージ要素を検討する。
図11の処理は、アンチスパムスキャンエンジン、アンチウィルススキャナー、または複数の異なる種類の脅威を識別することができる一般的な脅威スキャンエンジンにおいて実施されてもよい。脅威は、ウィルス、スパム、またはフィッシング攻撃のうちいずれか一つを含むことができる。
したがって、一実施形態では、ひとたびメッセージ性質についての確実性に到達すると、アンチスパム、アンチウィルス、または他のメッセージスキャン動作を実行する論理エンジンは、メッセージに対してテストもまたは動作も実行しない。エンジンは、ルールを優先順位の群へと分類し、その結果、最も効果的でありおよび最もコストのかからないテストが先に実行される。エンジンは、特定のルールまたはルール群が構文解析を必要とするまで構文解析を避けるよう、論理的に順序付けられている。
一実施形態では、ルールの優先順位の値がルールに割り当てられ、およびルールは実行時に順序付けられることができる。たとえば、優先順位が−4のルールは優先順位が0のルールよりも前に実行され、および、優先順位が0のルールは、優先順位が1000のルールより前に実行される。一実施形態では、ルールの優先順位の値は、ルール群が作成される際に管理者によって割り当てられる。ルール優先順位の例は、−4、−3、−2、−1、BOTH、VOFを含み、および、ルールの有効性、ルールの種類、およびルールの大まかな間接費に基いて割り当てられる。たとえば、非常に効果的でありおよび単純な正規表現比較であるヘッダルールは、優先順位が−4(最初に実行)かもしれない。BOTHは、ルールがスパムとウィルスの両方を検知するのに効果的であることを示す。VOFはウィルスの突然発生を検知するために実行されるルールを示す。
一実施形態では、脅威特定チーム710(図7)はルールの分類および順序付けを決定し、および優先順位を割り当てる。TIチーム710は、ルールの統計的な有効性を継続的に評価して、異なる優先順位を割り当てることを含め、実行のためにルールをどのように順序付けるかを決定することができる。
一実施形態では、最初に、メッセージヘッダが構文解析され、およびヘッダルールが実行される。次に、メッセージ本文の復号が実行され、およびメール本文ルールが実行される。最後に、HTML要素が表示され、および本文ルールおよびURIルールが実行される。それぞれの構文解析ステップの後、テストが実行されて、現在のスパムスコアがスパム要請の閾値よりも大きいか否かを決定する。大きい場合には次いで、パーサーは終了し、および後続のステップは実行されない。追加的にまたは代替的に、それぞれのルールが実行された後テストが実行される。
表3は、早期終了の実施時のアンチスパムロジック119内のイベントの作動順序の例を示すマトリクスである。HEADの行はメッセージHEADが構文解析され、およびヘッダテストが実行され、およびこのようなテストは早期終了をサポートし、およびすべての優先順位の範囲を許容する(−4からVOF)ことを示す。
3.2 スパムスキャン判定キャッシュ
所定のスパムメッセージによって、アンチスパムロジック119が、メッセージがスパムであるか否かの判定を決定するために莫大な時間の量を必要とするかもしれない。したがって、スパム送信者は、システム管理者にアンチスパムロジック119を無効にさせようとして、このような難解なメッセージを繰り返し送信する「ポイズンメッセージ」の攻撃を用いるかもしれない。一実施形態では、この問題に対応しおよび性能を向上させるため、アンチスパムロジック119が生成するメッセージのアンチスパム判定がメッセージングゲートウェイ107中の判定キャッシュ115中に記憶され、および、アンチスパムロジック119は、同一の本文を有するメッセージを処理するために、キャッシュされた判定を再使用する。
所定のスパムメッセージによって、アンチスパムロジック119が、メッセージがスパムであるか否かの判定を決定するために莫大な時間の量を必要とするかもしれない。したがって、スパム送信者は、システム管理者にアンチスパムロジック119を無効にさせようとして、このような難解なメッセージを繰り返し送信する「ポイズンメッセージ」の攻撃を用いるかもしれない。一実施形態では、この問題に対応しおよび性能を向上させるため、アンチスパムロジック119が生成するメッセージのアンチスパム判定がメッセージングゲートウェイ107中の判定キャッシュ115中に記憶され、および、アンチスパムロジック119は、同一の本文を有するメッセージを処理するために、キャッシュされた判定を再使用する。
効果的な実施において、キャッシュから読み出された判定が、実際のスキャンによって返されるであろう判定と同じ場合には、判定は「真の判定」と呼ばれる。スキャンからの判定と一致しないキャッシュからの判定は、「偽の判定」と呼ばれる。効果的な実施において、いくつかの性能利得がトレードオフ評価されて信頼性を保証する。たとえば、一実施形態では、「件名」欄メッセージのダイジェストがキャッシュへのキーの一部として含まれ、これによってキャッシュのヒット率を低下させるが、しかし、偽の判定の機会も低下させる。
スパム送信者は、本文の連続するメッセージの形態が異なりそれ以外はコンテンツが同一である非印刷の、無効のURLタグを含むことによって、判定キャッシュの使用を無効にしようと試みるかもしれない。メッセージ本文中でのこのようなタグの使用によって、このような連続するメッセージの中で、本文のメッセージダイジェストを異ならせる。一実施形態では、アルゴリズムを生成するあいまいなダイジェストを用いることができ、その中では、HTML要素は構文解析され、非表示バイトが入力から取り除かれダイジェストアルゴリズムに入れられる。
一実施形態では、判定キャッシュ115が、アンチスパムロジック119からのパイソン辞書の判定として実装されている。キャッシュへのキーはメッセージダイジェストである。一実施形態では、アンチスパムロジック119は、ブライトメールソフトウェアを含み、およびキャッシュキーは、DCC「fuz2」メッセージダイジェストを含む。Fuz2は、MD5ハッシュ、またはメッセージ本文の意味的に固有の部分のダイジェストである。Fuz2は、HTMLを構文解析し、およびユーザーがメッセージを閲覧する時に見るものに影響しないメッセージ中のバイトを省略する。Fuz2はまた、スパム送信者によって高い頻度で変更されるメッセージの部分を省略することも試みる。たとえば、「Dear」で始まる件名欄は、入力から除外されダイジェストに入れられる。
一実施形態では、アンチスパムロジック119がスパムまたはウィルススキャンに適格なメッセージの処理を開始し、メッセージダイジェストが作成されおよび記憶される。メッセージダイジェストを作成できない場合、または、判定キャッシュ115の使用が無効にされる場合には、ダイジェストは「なし」に設定される。ダイジェストは、判定キャッシュ115中で参照を実行するためのキーとして用いられ、過去に演算された判定が同一のメッセージ本文を有するメッセージに対して記憶されているか否かを決定する。語「同一の」は、読者がメッセージがスパムであるか否かを決定する際に読者が意味があると考える、メッセージの一部が同一であることを意味する。キャッシュ中にヒットが起きる場合には、キャッシュされた判定が読み出され、およびさらなるメッセージのスキャンは実行されない。キャッシュ中にダイジェストが存在しない場合には、アンチスパムロジック119を用いてメッセージがスキャンされる。
一実施形態では、判定キャッシュ115はサイズ制限を有する。サイズ制限に到達した場合には、最も長い間使われていない入力がキャッシュから削除される。一実施形態では、それぞれのキャッシュ入力は、構成可能な入力存続期間の終了時に満了する。存続期間のデフォルト値は600秒である。サイズ制限は、入力存続期間の100倍に設定される。したがって、キャッシュは約6MBと比較的小量のメモリを必要とする。一実施形態では、キャッシュ中のそれぞれの値は、入力された時間、判定、およびアンチスパムロジック119が初期のスキャンを完了するのにかかった時間を含むタプルである。
一実施形態では、要求されたキャッシュキーがキャッシュ中に存在する場合に、次いで入力された時間の値が現在の時間と比較される。入力が依然として最新のものである場合には、次いでキャッシュ中の項目の値が判定として返される。入力が期間満了した場合、入力はキャッシュから削除される。
一実施形態では、判定がキャッシュされる前に、メッセージダイジェストを演算するためのいくつかの試みがなされるかもしれない。たとえば、fuz2が利用可能であれば用いられ、そうでない場合は、fuz1が利用可能であれば用いられ、およびそうでない場合は、「すべてのマイム部分」が利用可能であればダイジェストとして用いられ、そうでなければキャッシュ入力は何も作成されない。「すべてのマイム部」のダイジェストは、一実施形態では、メッセージのMIME部のダイジェストの連結を含む。MIME部がない場合には、メッセージ本文全体のダイジェストが用いられる。一実施形態では、「すべてのマイム部」のダイジェストは、いくつかの他の理由によりアンチスパムロジック119がメッセージ本文スキャンを実行する場合にのみ演算される。本文のスキャンによってMIME部を抽出し、および、演算ダイジェストの限界費用は無視できる;したがって、動作を効率的に組み合わせることができる。
一実施形態では、メッセージングゲートウェイ107がルール−URLサーバー707(図7)からルール更新を受信するたびにいつでも、判定キャッシュが一気に消去される。一実施形態では、アンチスパムロジック119の構成の変化が起きるときはいつでも、たとえば、管理的なアクションによってまたは新しい構成ファイルをロードすることによって、判定キャッシュは一気に消去される。
一実施形態では、アンチスパムロジック119は複数のメッセージを並列的にスキャンすることができる。したがって、二つ以上の同一のメッセージを同時にスキャンしうる。このため、キャッシュはメッセージのうち一つに基づいてまだ更新されていないので、キャッシュミスを引き起こす。一実施形態では、メッセージの一コピーが完全にスキャンされた後にのみ、判定がキャッシュされる。現在スキャン中の同じメッセージの他のコピーはキャッシュミスである。
一実施形態では、アンチスパムロジック119は、定期的に判定キャッシュ全体をスキャンし、および期間満了した判定キャッシュ入力を削除する。その場合には、アンチスパムロジック119は、キャッシュのヒット、ミス、満了および追加のカウントを報告するログファイル113へのログ入力を書き込む。アンチスパムロジック119または判定キャッシュ115は、ログを実行しまたは性能報告の目的のために、カウンター変数を保持してもよい。
別の実施形態では、キャッシュされたダイジェストをメッセージフィルターまたはアンチウィルス判定に用いてもよい。一実施形態では、複数のチェックサムを用いて、より高いヒット率およびより低い偽判定比率の両方を提供するよりリッチなキーを作成する。さらに、長いメッセージをスパムがないかスキャンするのに必要な時間量といった他の情報を、判定キャッシュに記憶してもよい。
特定のアンチスパムソフトウェアまたはロジックの特定の要求事項に対応するために最適化を導入することができる。たとえば、ブライトメールはトラッカー文字列を作成し、および、トラッカー文字列をメッセージ判定とともに返す;トラッカー文字列は、X−ブライトメール−トラッカーヘッダとしてメッセージに付加することができる。トラッカー文字列は、ブライトメールのプラグインによってMicrosoft Outlook(登録商標)に用いられ、言語識別を実施することができる。トラッカー文字列は、プラグインが誤判定を報告する際にも、ブライトメールに送り返すことができる。
判定およびトラッカー文字列の両方は、同一の本文を有するメッセージごとに異なることができる。いくつかの場合には、本文は非スパムであるが、しかし、スパムは件名の中に符号化されている。一アプローチでは、メッセージの件名欄はメッセージ本文とともに、メッセージダイジェストアルゴリズムへの入力として含まれる。しかしながら、両方のメッセージの本文が明らかにスパムであるかまたは明らかにウィルスであるかその両方である場合は、件名欄は異なることができる。たとえば、二つのメッセージは、同じウィルスを含むことができ、およびブライトメールによってスパムと考えられるが、しかし、件名ヘッダは異なってもよい。それぞれのメッセージは、他のメッセージとは異なる短いテキストの添付ファイルを有してもよく、および異なる名称を有してもよい。添付されているファイル中のファイルの名称は異なってもよい。しかしながら、両方のメッセージがスキャンされる場合には、同じ判定が結果として生じる。
一実施形態では、ウィルス陽性ルールを用いてキャッシュのヒット率が改善される。添付ファイルのダイジェストが、ウィルス陽性判定およびスパム陽性判定と一致する場合には、たとえ件名と序文が異なる場合であっても、過去のスパム判定が再使用される。
いくつかの類似のメッセージでは、異なるFromの値および異なるメッセージID欄の結果、異なるトラッカー文字列を生成する。スパム判定は同じであるが、しかし、明らかに偽の「From」値および明らかに偽のメッセージ−IDによって、判定をより早期に発見し、および他のルールをトラッカー文字列に報告することができる。一実施形態では、「From」ヘッダおよびメッセージ−IDヘッダは第二のメッセージから削除され、および、メッセージが再スキャンされ、および、トラッカーヘッダが最初のメッセージのものと同じになる。
4.0 メッセージ経験則、送信者情報、動的隔離操作、およびきめの細かいルールに基づくウィルスの検知方法
4.1 メッセージ経験則を用いた検知
一アプローチによると、経験則アプローチを使用するウィルスを検知することが提供される。ウィルスの突然発生を検知するための基本的なアプローチが、Michael Olivier et al.の、2004年12月6日出願、係属出願第11/006,209号、「コンピューターウィルスの発生を管理する方法および装置」に記載されている。
4.1 メッセージ経験則を用いた検知
一アプローチによると、経験則アプローチを使用するウィルスを検知することが提供される。ウィルスの突然発生を検知するための基本的なアプローチが、Michael Olivier et al.の、2004年12月6日出願、係属出願第11/006,209号、「コンピューターウィルスの発生を管理する方法および装置」に記載されている。
この文脈において、メッセージ経験則は、メッセージに関するシグネチャ情報が利用可能でない場合には、メッセージがウィルスである可能性を決定するために用いられる要因の群のことをいう。経験則は、スパム中に一般的に用いられる単語または句を検知するルールを含んでもよい。経験則は、メッセージテキストに用いられる言語にしたがって異なってもよい。一実施形態では、管理的なユーザーは、アンチスパムスキャンにおいてどの言語を経験則が用いるかを選択することができる。メッセージ経験則を用いて、VSV値を決定してもよい。メッセージの経験則は、基本的なアンチスパムスキャンおよびアンチウィルススキャンを実行するスキャンエンジンによって決定されてもよい。
メッセージは、ウィルスを含むかもしれないので、ウィルスの突然発生の定義ではなくまたはそれに加えて経験則動作の結果に基づいて、隔離記憶装置に入れることができる。このような定義は、上記に参照されるOliver et al.の出願に記載されている。したがって、コーパスサーバークラスタ706は、過去のウィルスの履歴を含み、および、メッセージが経験則の結果として過去の履歴中のパターンと一致する場合には、次いでメッセージは、メッセージがウィルス突然発生の定義に一致するか否かにかかわらず隔離されてもよい。このような早期の隔離は、メッセージ処理中に有益な遅延を提供し、一方、TOCはウィルスの突然発生の定義を準備する。
図8は、ウィルス突然発生の仮想例において、時間対感染したマシンの数のグラフである。図8では、横軸814は時間を表し、および縦軸812は感染したマシンの数を表す。点806は、Sophosといったアンチウィルスソフトウェアベンダーが、更新されたウィルス定義を公開する時間を表す。該ウィルス定義は、ウィルスに感染したメッセージを検知し、およびそのアンチウィルスソフトウェアを使用しているメッセージングゲートウェイ107によって保護されるネットワーク中のマシンへのさらなる感染を防止する。点808は、TOC708が同じウィルスに対するウィルスの突然発生を識別するルールを公開する時間を表す。曲線804は、図8に示されるように、感染したマシンの数が経時的に増加するように変化するが、しかし、増加の比率は点808を過ぎると減少し、および次いで、感染したマシンの全数は、最終的には点806を過ぎて大幅に減少するよう、変化する。本明細書中に記載される経験則に基づく早期の隔離は点810で適用されて、曲線804の領域816内に包含されたマシンの数を減少させるのに役に立つ。
一実施形態では変動可能な隔離時間が用いられる。隔離時間は、経験則がメッセージウィルスを含む可能性がより高いことを示す場合に、増加してもよい。これによって、TOCまたはアンチウィルスベンダーがルールまたは定義を準備するために最大の時間を提供する一方、ウィルスを含む可能性がより低いメッセージには最小の隔離遅延を適用する。したがって、隔離時間は、メッセージがウィルスを含む確率と関連しており、結果として、隔離バッファ領域の最適な使用、ならびに、重要でないメッセージの隔離時間の最小化につながる。
4.2 送信者ごとのウィルス検知
一アプローチによると、ウィルススコアは、メッセージの送信者のIPアドレス値に関連付けられて決定され、およびデータベースに記憶される。スコアはしたがって、関連付けられたアドレスから由来するメッセージがウィルスを含む可能性を示す。その前提は、一つのウィルスを送信するマシンは、別のウィルスによって感染するか、または同じウィルスまたは更新されたウィルスによって再感染するかする可能性が高いということである。その理由は、それらのマシンは十分に保護されていないからである。さらに、マシンがスパムを送信する場合には、次いでウィルスを送信する可能性はより高い。
一アプローチによると、ウィルススコアは、メッセージの送信者のIPアドレス値に関連付けられて決定され、およびデータベースに記憶される。スコアはしたがって、関連付けられたアドレスから由来するメッセージがウィルスを含む可能性を示す。その前提は、一つのウィルスを送信するマシンは、別のウィルスによって感染するか、または同じウィルスまたは更新されたウィルスによって再感染するかする可能性が高いということである。その理由は、それらのマシンは十分に保護されていないからである。さらに、マシンがスパムを送信する場合には、次いでウィルスを送信する可能性はより高い。
IPアドレスは遠隔にあるマシンを特定してもよく、または、メッセージングゲートウェイ107が保護している企業ネットワーク内のマシンを規定してもよい。たとえば、IPアドレスは、うっかりしてウィルスに感染した企業ネットワーク内のマシンを規定してもよい。このような感染したマシンは、ウィルスを含む別のメッセージを送信する可能性が高い。
関連したアプローチにおいて、ウィルスの突然発生検知チェックは、メッセージングゲートウェイ107内のスパムチェックとして、全体のメッセージ処理中に同時間に実行することができる。したがって、ウィルスの突然発生検知は、メッセージが構文解析され、およびスパム検知を受けるのと同時に実行することができる。一実施形態では、一つのスレッドは、順序付けられた連続的な態様で上述の動作を実行する。さらに、所定の経験則動作の結果を用いて、アンチスパム検知動作およびアンチウィルス検知動作の両方を伝えることができる。
一実施形態では、VSV値は下記のうち一つ以上のいずれかに基づいて決定される:ファイル名の拡張子;送信者およびコンテンツごとに識別されたローカルでの、およびグローバルでのメッセージ量の急な上昇;「Microsoft」実行ファイルといった添付ファイルのコンテンツに基づき;および送信者ごとの脅威識別情報。様々な実施形態では、様々な送信者ごとのデータ識別情報が用いられる。例として、動的またはダイアルアップのホストブラックリスト、不当に利用されたホストブラックリスト、およびウィルスのホットゾーンがあげられる。
インターネットに接続する動的およびダイアルアップのホストは、一般に、ローカルSMTAPサーバーを介して発信メール送信する。ホストが、メッセージングゲートウェイ107といった外部のSMTAPサーバーに直接接続する場合には、ホストはおそらくすでに損傷しており、および、スパムメッセージまたは電子メールウィルスのいずれかを送信している。一実施形態では、メッセージングゲートウェイ107は、前述の方法で過去に動作したことのある動的ホストのブラックリストを保持するロジックを含むか、または、NJABL動的ホストリストおよびSORBS動的ホストリストといった外部ソースで取得されうる取得した動的ホストのブラックリストに接続する。
この実施形態では、図5のステップ502で着信メッセージのメッセージ特性を識別することは、メッセージの送信者が動的ホストのブラックリスト中にあるか否かを決定することをさらに含む。存在する場合は、より高いVSV値が決定されるかまたは割り当てられる。
ステップ502は、不当に利用されたホストブラックリストに接続するかまたはそれを管理すること、および、メッセージの送信者が不当に利用されたホストブラックリスト上にあるか否かを決定することを含んでもよい。不当に利用されたホストブラックリストは、感染したホストが送信しているコンテンツに基づいて、ウィルスに感染していることがわかっているかまたはスパムを送信することがわかっているホストを追跡し、および、接続時間のスキャンによって感染したホストを検索する。例として、XBL(CBLおよびOPM)およびDSBLがあげられる。
別の実施形態では、サービスプロバイダー700は、顧客のメッセージングゲートウェイ107から受信した送信者情報に基づいて、ウィルスを送信した過去の履歴を有する送信者およびネットワークの内部ブラックリストを作成しおよび記憶する。一実施形態では、顧客のメッセージングゲートウェイ107は、定期的にコーパスサーバークラスタ706へのネットワーク通信を開始し、および、メッセージングゲートウェイ107内部ロジックがスパムであるかまたはウィルスないし他の脅威と関連付けられていると決定したメッセージの送信者のネットワークアドレス(たとえば、IPアドレス)を報告する。サービスプロバイダー700のロジックは、内部ブラックリストを定期的にスキャンすることができ、および、任意のネットワークアドレスがウィルスまたはスパムのみを送信することがわかっているか否かを決定することができる。肯定の場合は、ロジックは高い脅威レベル値またはVSVをそれらアドレスと関連付けて記憶することができる。中等度の脅威レベル値は、ウィルスと正当な電子メールの両方を送信することがわかっているネットワークアドレスと関連付けて記憶することができる。中等度のまたは低い脅威レベル値は、一つ以上の個々の感染したホストを含むネットワークと関連付けることができる。
ブラックリストに対してテストを行うことは、上記の種類のルールを用いて開始することができる。たとえば、下記のルールはブラックリストテストを開始することができる:
eval DYNAMIC_IP connecting_ip(dynamic)
eval HOTZONE_NETWORK connecting_ip(hotzone)
eval XBL_IP connecting_ip(exploited host)
4.3 再スキャンを含む動的隔離操作
過去のアプローチでは、メッセージは先入れ先出しの順番で隔離から解放される。代替的に、別の実施形態では初終了アルゴリズムを用いてもよい。このアプローチでは、隔離バッファが満杯である場合には、順序付けのメカニズムは、どのメッセージを最初に解放するべきかを決定する。一実施形態では、最も危険が少ないと考えられるメッセージが最初にが解放される。たとえば、経験則の結果として隔離されたメッセージが最初に解放され、および、一致するウィルスの突然発生テストの結果として隔離されたメッセージが二番目に解放される。このメカニズムを支援するため、それぞれの隔離されたメッセージは、隔離の理由を示す情報に関連付けられて、メッセージングゲートウェイ107の隔離の中に記憶される。したがって、メッセージングゲートウェイ107中の処理は、この理由に基づいてメッセージを解放することができる。
eval DYNAMIC_IP connecting_ip(dynamic)
eval HOTZONE_NETWORK connecting_ip(hotzone)
eval XBL_IP connecting_ip(exploited host)
4.3 再スキャンを含む動的隔離操作
過去のアプローチでは、メッセージは先入れ先出しの順番で隔離から解放される。代替的に、別の実施形態では初終了アルゴリズムを用いてもよい。このアプローチでは、隔離バッファが満杯である場合には、順序付けのメカニズムは、どのメッセージを最初に解放するべきかを決定する。一実施形態では、最も危険が少ないと考えられるメッセージが最初にが解放される。たとえば、経験則の結果として隔離されたメッセージが最初に解放され、および、一致するウィルスの突然発生テストの結果として隔離されたメッセージが二番目に解放される。このメカニズムを支援するため、それぞれの隔離されたメッセージは、隔離の理由を示す情報に関連付けられて、メッセージングゲートウェイ107の隔離の中に記憶される。したがって、メッセージングゲートウェイ107中の処理は、この理由に基づいてメッセージを解放することができる。
順序付けは、メッセージングゲートウェイ107によって処理される構成ファイル中の順序を規定することによって、データ駆動型の態様で構成されてもよい。したがって、サービスプロバイダーから顧客のメッセージングゲートウェイ107への順序付けを含む新しい構成ファイルを公開することによって、自動的に、それらメッセージングゲートウェイ107は新しい順序付けを採用する。
同様に、メッセージが隔離を離れる時には、メッセージが隔離を離れる際にメッセージと関連付けられる脅威レベルに基づいて、隔離されたメッセージに対して異なるアクションを取ることができる。たとえば、一見きわめて脅威的であるが、しかし、オーバーフローの結果隔離を離れてもよいメッセージは、取り外し−配信動作の対象となることができる。該取り外し−配信動作では、添付ファイルが取り外されおよびメッセージは添付ファイルなしに受信者に配信される。代替的に、より低い脅威レベルメッセージが正常通り配信される。
さらに別の実施形態では、Xヘッダをより低い脅威レベルのメッセージに付加しうる。この代替形態は、顧客の電子メールプログラム(たとえば、Eudora(商標)、「Microsoft Outlook」)が、Xヘッダを認識しおよびXヘッダが添付されたメッセージを特別なフォルダに入れるルール(たとえば、「潜在的に危険なメッセージ」)で構成される場合には適切である。さらに別の代替形態では、メッセージの特定の脅威レベルの添付ファイルの名称が変更され(メッセージが「無力化され」)、受信側ユーザーに対し、積極的に添付ファイルの名称を変更して、添付ファイルがアプリケーションによって利用可能になるよう要求する。このアプローチは、ファイルの名称を変更しおよびファイルを開く前に、ユーザーにファイルを注意深く調べさせることを意図している。メッセージは、評価のために管理者に転送されうる。一実施形態では、これら代替のうち任意のものを組み合わせることができる。
図9は、ウィルスを含むかもしれないメッセージを再スキャンするアプローチのフロー図である。一実施形態によると、TOC710が新しい脅威ルールをメッセージングゲートウェイ107に解放する場合には、それぞれのメッセージングゲートウェイは、隔離中にあるメッセージをその新しいルールに対して再スキャンする。このアプローチは、メッセージを隔離からより早期に解放してもよいという利点を提供する。その理由は、後の段階の処理において新しいルールを用いて、メッセージがウィルスを含むと検知されるからである。この文脈において、「解放」はメッセージを隔離から除去し、および、メッセージをアンチウィルススキャン処理に送信することをいう。
代替的に、再スキャンはメッセージの隔離時間を減少または増加させうる。これによって、隔離中のメッセージの数を最小化し、および感染されたメッセージを解放する可能性を低下させる。たとえば、隔離が定まった解放時間を有し、および、アンチウィルスベンダーまたは他のソースが、解放されたメッセージを捕捉するウィルス定義を解放する前に、定まった解放タイマーが期間満了した場合、このような不慮の解放は起こりうるであろう。そのシナリオでは、悪意のあるメッセージは自動的に解放され、および下流の処理はメッセージを捕捉しないであろう。
一実施形態では、いくつかのイベントのうち任意のものが、メッセージ隔離中にメッセージの再スキャンをトリガーしてもよい。さらに、図9のアプローチは、ウィルス、スパム、または他の脅威またはメッセージの所望しない特性の結果として、隔離の中にあるメッセージを処理するのに適用される。ステップ902において、再スキャンタイマーが始動し、およびが満了まで実行され、および満了とともに、隔離キューの中のすべてのメッセージの再スキャンがステップ906でトリガーされる。
追加的にまたは代替的に、ステップ904において、メッセージングゲートウェイ107は、ルール−URLサーバー707からの、一つ以上の新しいウィルス脅威ルール、アンチスパムルール、URL、スコア、または他のメッセージ分類情報を受信する。このような情報を受信することによって、ステップ906での再スキャンもトリガーすることができる。新しいルール、スコアおよび他の情報を再スキャンステップに用いて、隔離中のそれぞれのメッセージに対して新しいVSVを生成する。たとえば、TOCサーバー708は、初めは広範であり、および後により多くの突然発生に関する情報が知られるにつれルールの範囲を狭めてもよい、ウィルスの突然発生に対するルール群を、ルール−URLサーバー707を介して公開してもよい。その結果、より早期のルール群に一致したメッセージは改正されたルールとは一致しない可能性があり、および、既知である誤判定となる。本明細書中のアプローチは、メッセージングゲートウェイ107の管理者による介入なしに、ルール更新に自動的に対応して既知である誤判定を解放することを試みる。
一実施形態では、隔離キュー316の中のそれぞれのメッセージは、メッセージがいつ隔離に入ったかを示す時間値を記憶しており、および、ステップ906での再スキャンは、隔離侵入時間の順序で、最も古いメッセージを最初に実行する。
ステップ908において、図3ステップ312のように、テストを実行して、あるメッセージに対する新しいVSVが特定の閾値と同じかそれを上回るか否かを決定する。VSV閾値は、メッセージングゲートウェイ107の管理者によって、隔離メッセージの許容範囲を決定するために設定される。VSVが閾値未満である場合には、次いでメッセージを隔離からおそらく解放することができる。したがって制御はステップ910へと進み、そこでは正常隔離終了配信ポリシーが適用される。
随意的に、一実施形態では、メッセージングゲートウェイ107は別々の報告用閾値を実施してもよい。ステップ907でテストされるように、メッセージが報告用閾値を超えるVSVを有する場合には、メッセージングゲートウェイ107はステップ909でサービスプロバイダー700に通知し、および、メッセージの処理を継続する。このような通知は、新しいウィルスの突然発生が起きたことを決定する重要な入力を提供してもよい。所定の実施形態では、このような報告は、「SenderBase Network Participation」(SBNP)の一態様であり、および構成設定を用いる管理者によって選択的に有効化することができる。
ステップ910で配信ポリシーを適用することは、修正されない形態で受信者に配信されるメッセージを即座に問い合わせするか、または添付ファイルを取り外すか、またはコンテンツフィルタリングを実行するか、またはメッセージに対する他のチェックを実行することを含んでもよい。配信ポリシーを適用することは、ウィルススキャンが結果生じることを示すメッセージにXヘッダを付加することを含んでもよい。すべての適用可能なXヘッダは、アクションが起きた順序でメッセージに付加されてもよい。配信ポリシーを適用することは、メッセージの件名欄を修正して、ウィルス、スパムまたは他の脅威の存在の可能性を示すことを含んでもよい。配信ポリシーを適用することは、メッセージの出力先を交互に発生する受信者に変更すること、および他のロジック、システムまたは人員による後続の解析のためにメッセージのアーカイブされたコピーを記憶することを含んでもよい。
一実施形態では、いくつかの隔離のうちのいずれかにメッセージが存在し、および一つの隔離が、添付ファイルを取り外すことが正しいアクションであると決定する場合には、ステップ910で配信ポリシーを適用することは、メッセージを配信する前にメッセージからすべての添付ファイルを取り除くことを含む。たとえば、メッセージングゲートウェイ107は、ウィルス突然発生隔離キュー316、および、許容されない単語の存在といった、ゲートウェイのポリシーに違反するように見えるメッセージを保持する別の隔離キューを支持してもよい。ウィルス突然発生隔離キュー316は、配信の前に、オーバーフロー後直ちに添付ファイルを取り外すよう構成されていると仮定する。メッセージが、ウィルス突然発生隔離キュー316および別のポリシー隔離キューの両方に存在し、および、たまたまウィルス突然発生隔離キュー316をオーバーフローさせると仮定する。管理者が次いでポリシー隔離キューから同じメッセージを手入力で解放する場合には、次いで配信前に添付ファイルが再び取り外される。
ステップ912では、メッセージが配信される。
ステップ909のテストが真である場合、メッセージには問題があり、およびおそらく隔離の中に保持される必要がある。
随意的に、それぞれのメッセージは、満了時間値に割り当てられてもよく、および満了時間値は、隔離キュー316に関連付けられたメッセージングゲートウェイ107のデータベース中に記憶される。一実施形態では、満了時間は、メッセージが隔離キュー316に侵入した時間および規定の保持時間と等しい。満了時間値は、メッセージコンテンツまたはメッセージの経験則に基づいて異なってもよい。
ステップ914において、テストを実行して、メッセージ満了時間が満了したか否かを決定する。満了した場合は、次いで、メッセージは隔離から除去されるが、しかし、その時点でのメッセージの除去は異常または早期終了とみなされ、およびしたがって、ステップ918で異常終了配信ポリシーが適用される。その後、メッセージはステップ912において配信されステップ918の配信ポリシーを受ける。ステップ918で適用される配信ポリシーは、ステップ910で適用されるポリシーとは異なっていてもよい。たとえば、ステップ910のポリシーは、制限されない配信を提供しうるが、一方、ステップ918では(疑わしいが、しかし満了時間よりも長い間隔離中であったメッセージの配信に対して)添付ファイルを除去することが要求されうる。
ステップ914でメッセージ時間が満了していない場合には、次いでステップ916で示されるように、メッセージは隔離保持される。VSVに閾値を上回らせるルールが変化する場合には、次いでルールの名称および詳細がメッセージデータベース中において更新される。
様々な実施形態では、図9の異なるステップによって、メッセージングゲートウェイ107に、一つ以上の警告メッセージを管理者または特定されたユーザーアカウントまたはグループに送信させてもよい。たとえば警告は、ステップ904、912または916で生成することができる。警告イベントの例として、規定の隔離満杯レベルまたは空間制限に到達すること;隔離オーバーフロー;新しい発生ルール、たとえば、一致すれば、メッセージングゲートウェイ中に構成される隔離閾値よりも高く、VSVを設定するルールを受信すること;突然発生ルールを除去する情報を受信すること;メッセージングゲートウェイ中の新しいルールを更新する試みの失敗などがあげられる。突然発生ルールを除去する情報は、メッセージングゲートウェイ中に構成される隔離閾値を下回る特定の種類のメッセージの脅威レベルを低下させる新しいルールを受信することを含んでもよい。
さらに、図9の異なるステップは、メッセージゲートウェイ107に、実行されたアクションを記載する一つ以上のログ入力をログファイル113中に書き込ませてもよい。たとえば、ログファイル入力は、メッセージが異常に早期終了において解放される場合に、書き込むことができる。警告またはログ入力は、隔離が規定のレベルを満たす時に、送信するかまたは書き込むことができる。たとえば、警告またはログ入力は、隔離が5%満杯、50%満杯、75%満杯等に到達する際に、送信されるかまたは書き込まれる。ログ入力は、隔離受信時間、隔離終了時間、隔離終了基準、隔離終了アクション、隔離中のメッセージの数等を含んでもよい。
別の実施形態では、警告メッセージは、スキャンエンジン更新の失敗;ルール更新の失敗;規定の時間周期中にルール更新を読み出すことの失敗;規定のパーセント比率のメッセージの拒絶;規定数のメッセージの拒絶;等を示すことができる。
図10は、上記に記載のロジックを実施するメッセージングゲートウェイ中のメッセージフローモデルのブロック図である。メッセージ経験則1002およびウィルスの突然発生ルール1004が、アンチウィルスチェッカー116といった、スキャンエンジンに提供され、スキャンエンジンはVSV値またはウィルス脅威レベル(VTL)値1005を生成する。VSV値が規定の閾値を超える場合には、メッセージは隔離316に侵入する。
複数の終了基準1006は、メッセージが隔離316を離れることを可能にする。終了基準1006の例として、時間制限1008の満了、オーバーフロー1010、手動解放1012、またはルール更新1014があげられる。終了基準1006が満たされる場合には、一つ以上の終了アクション1018が次いで起こる。終了アクション1018の例として、取り外しおよび配信1020、削除1022、正常配信1024、メッセージ件名のキーワードとのタグ付け(たとえば、[SPAM])1026、およびXヘッダの付加1028を含む。別の実施形態では、終了アクションはメッセージの規定の受信者を警告することを含むことができる。
一実施形態では、メッセージングゲートウェイ107は、メッセージと関連付けられたそれぞれの送信側ホストに対して、ホストから受信したメッセージに作用するポリシーを定義するデータ構造を保持する。たとえば、ホストアクセス表は、図3、図9に関して本明細書中に記載されるように、そのホストに対してウィルスの突然発生スキャンを実行するか否かを示すブール属性値を含む。
さらに、メッセージングゲートウェイ107中で処理されるそれぞれのメッセージは、メッセージングゲートウェイ中でどのメッセージ処理を実行するかを示すメタデータを保持するデータ構造中に記憶されてもよい。メタデータの例として:メッセージのVSV値;結果としてVSV値を生じるルールの名称および対応するルールの詳細;メッセージ隔離時間およびオーバーフローの優先順位;アンチスパムおよびアンチウィルススキャンおよびウィルスの突然発生スキャンを実行するか否かを規定するフラッグ;およびコンテンツフィルターがバイパスされるようにするフラグがあげられる。
一実施形態では、メッセージングゲートウェイ107中に記憶された構成情報の群は、ゲートウェイからのメッセージのそれぞれの潜在的な受信者ごとの、ウィルスの突然発生スキャンに対する追加的なプログラム挙動を規定する。メッセージングゲートウェイ107は、典型的にはメッセージトラッフィクを、たとえば、従業員、請負業者または企業私設ネットワーク内の他のユーザー等有限なユーザーの群へと管理するので、このような構成情報は、すべての潜在的な受信者に対して管理してもよい。たとえば、受信者ごとの構成値は、本明細書中に記載されるスキャンによる検討から除外されるメッセージ添付ファイルの拡張子の種類(「.doc」、「.ppt」等)のリストを規定してもよく、および、該値はメッセージが隔離すべきでないことを示す値である。一実施形態では、構成情報はそれぞれの受信者ごとの特定の閾値を含むことができる。したがって、ステップ312およびステップ908のテストは、関連付けられた閾値に応じて、異なる受信者ごとに異なる結果を有してもよい。
メッセージングゲートウェイ107は、図3、図9の技法を用いてフィルタリングされたメッセージ、このようなメッセージのVSV、およびメッセージ隔離316に送信されたメッセージのカウントを数えるデータベース表も管理してもよい。
一実施形態では、それぞれのメッセージ隔離316は、どのようにメッセージが隔離を終了するかを制御する複数の関連付けられたプログラム的アクションを有する。再び図3を参照すると、終了アクションは、オペレーターの決定318に基づいて、メッセージ隔離316からのメッセージの手動解放を含んでもよい。終了アクションは、図9のように、満了タイマーが満了する際の、メッセージ隔離316からのメッセージの自動的な解放を含んでもよい。終了アクションは、オーバーフローポリシー322の実施として、隔離が満杯になった際の、メッセージ隔離316からの早期終了を含んでもよい。「早期終了」とは、メッセージと関連付けられた満了時間値の終了よりも前に、キューのオーバーフローといったリソースの制限に基づいて、時期尚早にメッセージを解放することをいう。
正常のメッセージ終了アクションおよび早期の終了アクションは、配信ポリシーステップ910に対する上述の種類の一次アクションおよび二次アクションとして編成してもよい。一次アクションは、バウンス、削除、添付ファイルの取り外しおよび配信、および配信を含んでもよい。二次アクションは、件名タグ、X−ヘッダ、送信先変更、または保存を含んでもよい。二次アクションは、一次アクションである削除と関連付けられていない。一実施形態では、二次アクションである送信先変更は、メッセージングゲートウェイ107上ではなく、コーパスサーバークラスタ706に、またはサービスプロバイダー700内の他の要素にホストされた「ボックス外」二次隔離キューに、メッセージを送信することを可能にする。このアプローチによって、TIチーム710は隔離されたメッセージを調べることができる。
一実施形態では、隔離キューオーバーフローに起因する隔離からの早期終了アクションは、添付ファイルの取り外しおよび配信を初めとする、任意の一次アクションを含んでもよい。このような早期終了には、任意の二次アクションを用いてもよい。メッセージングゲートウェイ107の管理者は、早期終了の直後に、コマンドインターフェースまたはGUIを用いてメッセージングゲートウェイに構成コマンドを発行することによって、一次アクションおよび二次アクションを選択してもよい。追加的にまたは代替的に、アンチウィルススキャンまたは他のメッセージスキャンを実行した結果、決定されたメッセージ経験則は、対応して実行される早期終了アクションを異ならせてもよい。
一実施形態では、メッセージングゲートウェイ107中のローカルデータベースは、メッセージ隔離316の中にある受信したメッセージの添付ファイルの名称、およびの添付ファイルのサイズを記憶する。
ステップ906での再スキャンは、メッセージングゲートウェイ107の他のアクションに対応して、特定のメッセージに対して起こってもよい。一実施形態では、メッセージングゲートウェイ107は、一つ以上のルールにしたがって受信したメッセージのコンテンツ変更することができるコンテンツフィルターを実装する。過去にウィルスがないかスキャンされた受信したメッセージのコンテンツを、コンテンツフィルターが変更する場合には、次いでそのメッセージのVSV値は再スキャン後ただちに変化しうる。たとえば、コンテンツフィルターがー添付ファイルをメッセージから取り外し、およびウィルスが添付ファイル中にあった場合には、取り外されたメッセージはもはやウィルス脅威を有さないかもしれない。したがって、一実施形態では、受信されたメッセージのコンテンツをコンテンツフィルターが変更する場合には、ステップ906で再スキャンは実行される。
一実施形態では、メッセージングゲートウェイ107の管理者は、コンソールコマンドまたは他のユーザーインターフェースコマンドを用いて、隔離316のコンテンツを検索することができる。一実施形態では、添付ファイルの名称、添付ファイルの種類、添付ファイルのサイズ、および他のメッセージ属性に基づいて、検索を実行することができる。一実施形態では、ファイル種類による検索は、隔離316の中にありおよびポリシー隔離または他の隔離の中にはないメッセージに対してのみ実行することができる。このような検索は、性能にネガティブに影響を与えうるメッセージ本文のスキャンを必要とするからである。一実施形態では、管理者は、上述の属性のうち任意のものにしたがって並べ替えられた順序で、ウィルスの突然発生隔離316のコンテンツを表示することができる。
一実施形態では、図3または図9の処理を介してメッセージが隔離316の中に入れられると、メッセージングゲートウェイ107はウィルスの突然発生隔離の一覧を自動的に表示する。一実施形態では、一覧は、隔離の中のそれぞれのメッセージに対して下記の属性値を含む:突然発生識別子またはルールの名称;送信者の名称;送信者のドメイン;受信者の名称;受信者のドメイン;件名;添付ファイルの名称;添付ファイルの種類;添付ファイルのサイズ;VSV;隔離侵入時間;隔離保持時間。
一実施形態では、メッセージングゲートウェイ107は、隔離316から手入力によって解放されたメッセージと関連付けることができる随意の固有のテキスト文字列を含む再挿入キーを記憶する。解放されたメッセージが、それらと関連付けられた再挿入キーを有する場合には、メッセージングゲートウェイ107中における配信前の後続の処理中には、解放されたメッセージは隔離することができない。
4.4 きめの細かいルール
メッセージルールは抽象的な命令文であり、アンチスパムロジック119中のメッセージと比較して一致している場合は、その結果、メッセージは、より高いスパムスコアとなる。ルールは、ルールの種類を有してもよい。ルールの種類の例として、損傷したホスト、疑いのあるスパムソース、ヘッダ特性、本文特性、URI、および学習があげられる。一実施形態では、特定の突然発生ルールを適用することができる。たとえば、ウィルスの突然発生検知メカニズムは、ZIP添付ファイルが添付されサイズが20kbの所定の種類のメッセージがウィルスを表すことを決定しうる。顧客のメッセージングゲートウェイ107は、20kbのZIP添付ファイルが添付されたメッセージを隔離するが、しかし、1MBのZIP添付ファイルが添付されたメッセージは隔離しないというルールを、メカニズムは作成することができる。その結果、より少ない誤った隔離動作が起こる。
メッセージルールは抽象的な命令文であり、アンチスパムロジック119中のメッセージと比較して一致している場合は、その結果、メッセージは、より高いスパムスコアとなる。ルールは、ルールの種類を有してもよい。ルールの種類の例として、損傷したホスト、疑いのあるスパムソース、ヘッダ特性、本文特性、URI、および学習があげられる。一実施形態では、特定の突然発生ルールを適用することができる。たとえば、ウィルスの突然発生検知メカニズムは、ZIP添付ファイルが添付されサイズが20kbの所定の種類のメッセージがウィルスを表すことを決定しうる。顧客のメッセージングゲートウェイ107は、20kbのZIP添付ファイルが添付されたメッセージを隔離するが、しかし、1MBのZIP添付ファイルが添付されたメッセージは隔離しないというルールを、メカニズムは作成することができる。その結果、より少ない誤った隔離動作が起こる。
一実施形態では、ウィルス情報ロジック114は、定められた文字列または正規表現を識別するためのメッセージヘッダおよびメッセージ本文に対するルールまたはテストを確立するのを支援するロジックを含む:
head X_MIME_FOO X−Mime = 〜/foo/
head SUBJECT_YOUR Subject = 〜/your document/
body HEY_PAL /hey pal|long time, no see/
body ZIP_PASSWORD /¥.zip password is/i
一実施形態では、機能テストはメッセージの特定の態様をテストすることができる。それぞれの機能はカスタムコードを実行して、メッセージ、メッセージに関してすでに捉えられた情報等を調べる。一般的なヘッダまたは本文テストの単純な論理的な組み合わせを用いて、テストを形成することはできない。たとえば、ファイルのコンテンツを調べずにウィルスを照合する効果的なテストは、MIMEフィールドの「ファイル名」または「名称」の拡張子を主張されたMIMEのコンテンツの種類と比較することである。拡張子が「doc」であり、およびコンテンツの種類がapplication/octet−streamまたはapplication/.*wordのいずれでもない場合、コンテンツは疑わしい。類似の比較を、PowerPoint、Excel、画像ファイル、テキストファイル、および実行ファイルにも実行することができる。
head X_MIME_FOO X−Mime = 〜/foo/
head SUBJECT_YOUR Subject = 〜/your document/
body HEY_PAL /hey pal|long time, no see/
body ZIP_PASSWORD /¥.zip password is/i
一実施形態では、機能テストはメッセージの特定の態様をテストすることができる。それぞれの機能はカスタムコードを実行して、メッセージ、メッセージに関してすでに捉えられた情報等を調べる。一般的なヘッダまたは本文テストの単純な論理的な組み合わせを用いて、テストを形成することはできない。たとえば、ファイルのコンテンツを調べずにウィルスを照合する効果的なテストは、MIMEフィールドの「ファイル名」または「名称」の拡張子を主張されたMIMEのコンテンツの種類と比較することである。拡張子が「doc」であり、およびコンテンツの種類がapplication/octet−streamまたはapplication/.*wordのいずれでもない場合、コンテンツは疑わしい。類似の比較を、PowerPoint、Excel、画像ファイル、テキストファイル、および実行ファイルにも実行することができる。
他のテストの例として:BASE64型のコンテンツの第1行が「Microsoft」の実行ファイルを示す正規表現/^TV[nopqr]/に一致するか否かテストする;電子メールの優先順位が高く設定されているが、しかし、X−メーラーまたはユーザーエージェントヘッダがないか否かテストする;メッセージがマルチパート/オルタナティブであるが、しかし、オルタナティブパートのコンテンツが非常に異なるか否かテストする;メッセージがマルチパートであるが、HTMLテキストのみを含むか否かテストする;新しい突然発生に対する特定のMIMEバウンダリー形式を検索する;があげられる。
一実施形態では、ウィルス情報ロジック114は、複数の関連付けられたルールを含むメタルールを確立するよう支援する。例として下記があげられる:
meta VIRUS_FOO ((SUBJECT_FOO1 || SUBJECT_FOO2) && BODY_FOO)
meta VIRUS_BAR (SIZE_BAR + SUBJECT_BAR + BODY_BAR >;2)
一実施形態では、ウィルス情報論理114は、添付ファイルのサイズ、ファイル名称のキーワード、暗号化されたファイル、メッセージのURL、およびアンチウィルスロジックバージョン値に基づく規則に対して、メッセージを確立しおよびテストするのを支援するロジックを含む。一実施形態では、添付ファイルのサイズに関するルールは、すべての起こりうるサイズ値ではなく離散値に基づいて確立される;たとえば、ルールは、ファイルサイズが0から5Kのファイルには1Kのインクリメントで;5Kから1MBのサイズのファイルには5Kのインクリメントで;および1MBインクリメントでファイルサイズを規定することができる。
meta VIRUS_FOO ((SUBJECT_FOO1 || SUBJECT_FOO2) && BODY_FOO)
meta VIRUS_BAR (SIZE_BAR + SUBJECT_BAR + BODY_BAR >;2)
一実施形態では、ウィルス情報論理114は、添付ファイルのサイズ、ファイル名称のキーワード、暗号化されたファイル、メッセージのURL、およびアンチウィルスロジックバージョン値に基づく規則に対して、メッセージを確立しおよびテストするのを支援するロジックを含む。一実施形態では、添付ファイルのサイズに関するルールは、すべての起こりうるサイズ値ではなく離散値に基づいて確立される;たとえば、ルールは、ファイルサイズが0から5Kのファイルには1Kのインクリメントで;5Kから1MBのサイズのファイルには5Kのインクリメントで;および1MBインクリメントでファイルサイズを規定することができる。
メッセージへの添付ファイルがルール中に一つ以上のキーワードを含む名称を有する場合、ファイル名称のキーワードルールはメッセージに一致する。暗号化されたファイルルールは、添付ファイルが暗号化されているか否かをテストする。このようなルールは、メッセージへの添付ファイルとして、暗号化されたZIPファイルといった、暗号化コンテナを有するメッセージを隔離するのに有用かもしれない。メッセージ本文がルール中に規定された一つ以上のURLを含む場合に、メッセージURLのルールはメッセージに一致する。一実施形態では、少なくとも一つのメッセージURLがシステムにインストールされていない限り、URLを識別するためにメッセージがスキャンされない。
メッセージングゲートウェイ107が一致するバージョンを有するアンチウィルスロジックを実行する場合、アンチウィルスロジックのバージョン値に基づくルールはメッセージに一致する。たとえば、あるルールは、AVシグネチャのバージョン「7.3.1」を規定してもよく、および、メッセージングゲートウェイはバージョン番号を有するシグネチャファイルでAVソフトウェアを実行している場合には、ルールはメッセージに一致するであろう。
一実施形態では、過去に受信したルールよりもより特定的なメッセージ群に対する新しいルールを受信すると直ちに、メッセージングゲートウェイ107は、メッセージに対する記憶されたVSVを自動的に低下させる。たとえば、TOC708が、.ZIP添付ファイルが添付されたいかなるメッセージにもVSV「3」に割り当てられるというルールを最初に、配信すると仮定する。TOC708は次いで、30KBから35KBまでの.ZIP添付ファイルが添付されたメッセージはVSV「3」を有するというルールを配信する。これに対応して、メッセージングゲートウェイ107は、異なるファイルサイズの.ZIP添付ファイルが添付されたすべてのメッセージのVSVをデフォルトVSV、たとえば「1」に低下させる。
一実施形態では、アンチスパムロジック119は、受信者のアドレス、受信者のドメインおよび高い頻度で用いられる単語または句といった発信メッセージの特性に基づいて、組織に特有の正当な電子メールを識別することを学習することができる。この文脈において、発信メッセージは、私設ネットワーク110上のコンピューター120A、120B、120Cと関連付けられたユーザーアカウントによって構成され、および、メッセージングゲートウェイ107を介して、メッセージングゲートウェイよりも論理的に外側にある受信者アカウントに向けられるメッセージである。このような受信者アカウントは典型的には、公共のネットワーク102に接続されたコンピューター上にある。すべての発信メッセージはネットワーク102への配信前にメッセージングゲートウェイ107を通過し、およびこのような発信メッセージはスパムであることがめったにないので、メッセージングゲートウェイはこのようなメッセージをスキャンすることができ、および、非スパムメッセージと関連付けられた経験則またはルールを自動的に生成することができる。一実施形態では、学習は、発信メッセージのテキストに対してアンチスパムロジック119中のベイジアンフィルターを訓練し、および次いで、ベイジアンフィルターを用いて着信メッセージをテストすることによって、達成される。訓練されたベイジアンフィルターが高い確率を返す場合には、発信側メッセージがスパムでない確率に従うと着信メッセージはおそらくはスパムではない。
一実施形態では、メッセージングゲートウェイ107は、ルール−URLサーバー707を定期的にポーリングして、すべての利用可能なルールの更新を要求する。HTTPSを用いてルール更新を配信してもよい。一実施形態では、メッセージングゲートウェイ107の管理者は、ルール更新のURLを入力し、およびブラウザおよびプロキシサーバーまたは定まったアドレスを用いてルール−URLサーバー707に接続することによって、ルール更新にアクセスしおよび調べることができる。管理者は、次いで、管理されたネットワークの中の選択されたメッセージングゲートウェイ107に更新を配信することができる。ルール更新を受信することは、ルール更新が受信されたこと、またはメッセージングゲートウェイが首尾よくルール−URLサーバー707に接続されたことを明記する、メッセージングゲートウェイ107のインターフェース内にユーザー通知を表示するか、またはログファイル113中に入力を書き込むことを含んでもよい。
4.5 サービスプロバイダーとの通信
図1の顧客のメッセージングゲートウェイ107は、「自動電話呼び出し」または「SenderBase Network Participation」サービスを実施することができる。これらサービスでは、メッセージングゲートウェイ107は、サービスプロバイダー700への接続を開くことができ、およびメッセージングゲートウェイ107が処理したメッセージに関する情報を提供し、その結果、フィールドからのこのような情報をコーパスに追加するか、およびそうでなければサービスプロバイダーで用いて、採点、突然発生検知、および経験則を改善することができる。
図1の顧客のメッセージングゲートウェイ107は、「自動電話呼び出し」または「SenderBase Network Participation」サービスを実施することができる。これらサービスでは、メッセージングゲートウェイ107は、サービスプロバイダー700への接続を開くことができ、およびメッセージングゲートウェイ107が処理したメッセージに関する情報を提供し、その結果、フィールドからのこのような情報をコーパスに追加するか、およびそうでなければサービスプロバイダーで用いて、採点、突然発生検知、および経験則を改善することができる。
一実施形態では、ツリーデータ構造および処理アルゴリズムを用いて、メッセージングゲートウェイ107からサービスプロバイダーへの効率的なデータ通信を提供する。
アンチスパムおよびアンチウィルスチェックの一部として生成されるサービスプロバイダーからのデータが、フィールド中のメッセージングゲートウェイ107に送信される。その結果、サービスプロバイダーは、サービスプロバイダーがメッセージングゲートウェイ107に何のデータをサービスプロバイダーに返してほしいかを記載するメタデータを作成する。メッセージングゲートウェイ107は、ある時間周期、たとえば5分間、メタデータのデータマッチングを照合する。メッセージングゲートウェイ107は次いで、サービスプロバイダーに接続を戻し、およびメタデータの仕様にしたがってフィールドデータを提供する。
このアプローチでは、異なるメタデータを定義しおよびメッセージングゲートウェイ107に異なる時間に配信することによって、サービスプロバイダーは、フィールド内のメッセージングゲートウェイ107に、異なるデータをサービスプロバイダーへ送り返すよう指示することができる。したがって、サービスプロバイダーの指示がなされた時に、「自動電話呼び出し」サービスは拡張可能となる。MGAではソフトウェアへの更新は要求されない。
一実施において、複数のハッシュのうちの一ハッシュとしてツリーが実施される。ネスト化されたハッシュ(またはパイソン中の辞書)のツリーへの標準的なマッピングが存在した。どの物が何であるかについてのデータをMGAから返すことができる方法で、所定の節点に名前が付けられる。位置のみに基づいて物を記載するのではなく、ツリー中で名前を付けることによって、MGAはサービスプロバイダーがこのデータで何をするのかを知る必要はない。MGAが必要なのは、名称で正しいデータを検索し、およびデータのコピーをサービスプロバイダーに送り返すことのみである。MGAが知る必要のあることは、データの種類、すなわち、データが数値かまたは文字列かということのみである。MGAは、サービスプロバイダーに適するようにデータの演算または変換を実行する必要はない。
定数がデータの構造上に置かれている。ルールは、ツリーの終点は常に二つのうちの一つであるということである。標的データが数字である場合、葉節点はカウンターである。MGAが入ってくる次のメッセージを確認すると、MGAはその節のカウンターをインクリメントまたはデクリメントする。標的データが文字列である場合には、次いで葉節点はその文字列値で上書きされる。
カウンターのアプローチを用いて、任意の形態のデータを通信することができる。たとえば、サービスプロバイダーが平均スコアとして特定の値を返してほしいことをサービスプロバイダーからMGAに通知させるのでなく、MGAが、通信によってサービスプロバイダーに平均スコア値を戻す必要がある場合、一方が上側値および一方が下側値である二つのカウンターが用いられる。MGAは何が何であるか知る必要はない。MGAは、単に規定の値をカウントし、それを返す。サービスプロバイダーのロジックは、MGAから受信した値はカウンターであり、および平均化および記憶される必要がないことを知っている。
このようにして、このアプローチは、ユーザーから見えないデータの照合および転送の方法を提供する。この方法では、データを転送する装置はデータの特定の用途を知らないが、しかし、データを照合しおよびを提供することができる。さらに、サービスプロバイダーは自己のソフトウェアを更新して、メッセージングゲートウェイ107に追加的な値を要求することができるが、しかし、MGAのソフトウェアの更新は必要とされない。これによって、サービスプロバイダーは、フィールド内の何百または何千のメッセージングゲートウェイ107を変更する必要なしにデータを採取することができる。
メッセージングゲートウェイ107からサービスプロバイダー700に通信できるデータの例は、特定のメッセージに一致しおよびスパム判定につながるルールを含む難読化された、Xヘッダ値を含む。
4.7 発信側ホワイトリストモジュール
図3の構成では、顧客のメッセージングゲートウェイ107を顧客ネットワークに配備して、着信側および発信側のメッセージトラッフィクの両方を受信しおよび処理することができる。したがって、メッセージングゲートウェイ107は、発信側メッセージホワイトリストで構成することができる。このアプローチでは、メッセージングゲートウェイ107を離れる指定されたメッセージの宛先ネットワークアドレスは、加重値を付けて発信側メッセージホワイトリストに入れられる。着信メッセージが受信されると、発信側メッセージホワイトリストが参照され、および、加重値が適切な場合には、発信側ホワイトリスト中にソースネットワークアドレスを有する着信メッセージが配信される。すなわち、メッセージが配信されるべきであるか否かを決定する際に加重値が考慮され;発信側ホワイトリスト中のアドレスの存在は必ずしも配信を命令しない。その理論的根拠は、メッセージを団体に送信することは暗示的に信用を示すので、発信側ホワイトリスト中の団体から受信されたメッセージは、スパムであったりまたは脅威的であったりするはずがないということである。発信側ホワイトリストは、他の顧客のメッセージングゲートウェイ107への配信のために、サービスプロバイダーで保持されてもよい。
図3の構成では、顧客のメッセージングゲートウェイ107を顧客ネットワークに配備して、着信側および発信側のメッセージトラッフィクの両方を受信しおよび処理することができる。したがって、メッセージングゲートウェイ107は、発信側メッセージホワイトリストで構成することができる。このアプローチでは、メッセージングゲートウェイ107を離れる指定されたメッセージの宛先ネットワークアドレスは、加重値を付けて発信側メッセージホワイトリストに入れられる。着信メッセージが受信されると、発信側メッセージホワイトリストが参照され、および、加重値が適切な場合には、発信側ホワイトリスト中にソースネットワークアドレスを有する着信メッセージが配信される。すなわち、メッセージが配信されるべきであるか否かを決定する際に加重値が考慮され;発信側ホワイトリスト中のアドレスの存在は必ずしも配信を命令しない。その理論的根拠は、メッセージを団体に送信することは暗示的に信用を示すので、発信側ホワイトリスト中の団体から受信されたメッセージは、スパムであったりまたは脅威的であったりするはずがないということである。発信側ホワイトリストは、他の顧客のメッセージングゲートウェイ107への配信のために、サービスプロバイダーで保持されてもよい。
加重値を決定することは、いくつかのアプローチを用いて実行してもよい。たとえば、宛先アドレスは信用採点システムを用いて処理することができ、および、加重値は結果生じる信用スコアに基づいて選択することができる。メッセージ識別子は追跡され、および着信メッセージが送信された過去のメッセージに本当に返答しているか否かを決定するために比較することができる。メッセージ識別子のキャッシュを用いてもよい。したがって、Reply−Toヘッダが同じメッセージングゲートウェイ107によって過去に送信されたメッセージのメッセージ識別子を含む場合には、回答はスパムまたは脅威でない可能性が高い。
5.0 実施メカニズム−ハードウェア概要
本明細書中に記載されたコンピューターウィルスの突然発生を管理するアプローチは、様々な態様で実施してもよく、および、本発明は任意の特定の実施に限定されない。アプローチは、電子メールシステムまたはメールゲートウェイ装置または他の適切な装置に統合されてもよく、または、スタンドアロン型メカニズムとして実施されてもよい。さらに、アプローチは、コンピューターのソフトウェア、ハードウェア、またはそれらの組み合わせにおいて実施されてもよい。
本明細書中に記載されたコンピューターウィルスの突然発生を管理するアプローチは、様々な態様で実施してもよく、および、本発明は任意の特定の実施に限定されない。アプローチは、電子メールシステムまたはメールゲートウェイ装置または他の適切な装置に統合されてもよく、または、スタンドアロン型メカニズムとして実施されてもよい。さらに、アプローチは、コンピューターのソフトウェア、ハードウェア、またはそれらの組み合わせにおいて実施されてもよい。
図6は、本発明の一実施形態を実施することができるコンピューターシステム600を示すブロック図である。コンピューターシステム600は、情報を通信するためのバス602または他の通信メカニズム、および情報を処理するためにバス602に接続された処理装置604を含む。コンピューターシステム600はまた、処理装置604によって実行される情報および指示を記憶するために、バス602に接続されたランダムアクセスメモリ (「RAM」)または他の動的記憶装置といった、主メモリ606も含む。主メモリ606を用いて、処理装置604によって実行される指示の実行中に、一時的変数または他の中間情報を記憶してもよい。コンピューターシステム600は、さらに、処理装置604に対する静的情報および指示を記憶するためにバス602に接続された、リードオンリーメモリ(「ROM」)608または他の静的記憶装置をさらに含む。磁気ディスクまたは光学ディスクといった記憶装置610が提供され、および、情報および指示を記憶するためにバス602に接続される。
コンピューターシステム600は、バス602を介して、情報をコンピューターユーザーに表示するブラウン管(「CRT」)といったディスプレイ612に接続されてもよい。英数字および他のキーを初めとする入力装置614は、情報およびコマンド選択を処理装置604に通信するためにバス602に接続される。別の種類のユーザー入力装置は、マウス、トラックボール、スタイラス、またはカーソル方向キーといった、方向情報およびコマンド選択を処理装置604に通信し、およびディスプレイ612上のカーソルの動きを制御するカーソル制御616である。この入力装置は典型的には、第一の軸(たとえばx)および第二の軸(たとえばy)の二つの軸における二自由度を有し、装置が平面内に位置を特定することを可能にする。
本発明は、経験則によるテストをメッセージコンテンツに適用し、動的脅威隔離キューを管理し、および構文解析およびスキャンから早期終了してメッセージをスキャンするコンピューターシステム600の使用に関する。本発明の一実施形態によると、経験則によるテストをメッセージコンテンツに適用し、動的脅威隔離キューを管理し、および構文解析およびスキャンから早期終了してメッセージをスキャンすることは、主メモリ606に含まれる一つ以上の指示のうち一つ以上のシーケンスを実行する処理装置604に対応して、コンピューターシステム600によって提供される。このような指示は、記憶装置610といった、他のコンピューターが解読可能な媒体から、主メモリ606に読み込まれてもよい。主メモリ606に含まれる指示のシーケンスの実行によって、処理装置604に本明細書中に記載される処理ステップを実行させる。代替的な実施形態では、ソフトウェアの指示の変わりにまたはそれと組み合わせて、配線回路を用いて本発明を実施してもよい。したがって、本発明の実施形態は、任意の特定のハードウェア回路とソフトウェアの組み合わせに限定されない。
本明細書中に用いられる語「コンピューターが解読可能な媒体」は、実行のために処理装置604に指示を提供する際に参加する任意の媒体のことをいう。このような媒体は多くの形を取ることができ、それらは、非揮発性媒体、揮発性媒体、および伝送媒体を含むが、これに限らない。非揮発性媒体は、たとえば、記憶装置610といった光学または磁気ディスクを含む。揮発性媒体は主メモリ606といった動的メモリを含む。伝送媒体は、バス602を含む配線を初めとする、同軸ケーブル、銅線および光ファイバーである。伝送媒体もまた、電波および赤外線データの通信中に生成されたものなど、音波または光波の形態を取ることができる。
コンピューターが解読可能な媒体の一般的な形態は、たとえば、フロッピー(登録商標)ディスク、フレキシブルディスク、ハードディスク、磁気テープ、または任意の他の磁気媒体、CD−ROM、任意の他の光学媒体、パンチカード、紙テープ、任意の他の穴パターンを有する物理的媒体、RAM、PROM、およびEPROM、FLASH−EPROM、任意の他のメモリチップまたはカートリッジ、本明細書中に後に記載される搬送波、またはコンピューターが読み取ることができる任意の他の媒体を含む。
コンピューターが解読可能な様々な形態が、実行のために、処置装置604に一つ以上の指示のうち一つ以上のシーケンスを記憶装置610に搬送するのに関与してもよい。たとえば、指示は、リモートコンピューターの磁気ディスクの上で最初に搬送してもよい。リモートコンピューターは、指示をその動的メモリにロードし、およびモデムを用いて電話回線上で指示を送信することができる。ローカルからコンピューターシステム600へのモデムは電話回線上でデータを受信し、および赤外線送信機を用いてデータを赤外線信号へと変換することができる。赤外線検知器は、赤外線信号中に搬送されたデータを受信し、および適切な回路がデータをバス602に入れることができる。バス602は、主メモリ606にデータを搬送し、そこから処理装置604は指示を読み出しおよび実行する。主メモリ606によって受信された指示は、処理装置604による実行の前または後のいずれかに記憶装置610に随意的に記憶されてもよい。
コンピューターシステム600はまた、バス602に接続された通信インターフェース618も含む。通信インターフェース618は、ローカルネットワーク622に接続されたネットワークリンク620に結合した二方向データ通信を提供する。たとえば、通信インターフェース618は、対応する種類の電話回線へのデータ通信接続を提供する統合サービスデジタル通信網(「ISDN」)のカードまたはモデムであってもよい。別の例として、通信インターフェース618は、適合可能なLANへのデータ通信接続を提供するローカルエリアネットワーク(「LAN」)カードであってもよい。無線リンクもまた実施されてもよい。任意のこのような実施では、通信インターフェース618は、様々な種類の情報を表すデジタルデータストリームを搬送する電気的、電磁的または光学的信号を送信しおよび受信する。
ネットワークリンク620は、典型的には一つ以上のネットワークを介した他のデータ機器へのデータ通信を提供する。たとえば、ネットワークリンク620は、ローカルネットワーク622を介した、インターネットサービスプロバイダー(「ISP」)626によって動作されるホストコンピューター624またはデータ機器への接続を提供してもよい。ISP626は次に、今では一般に「インターネット」628と呼ばれる世界的なパケットデータ通信ネットワークを介して、データ通信サービスを提供する。ローカルネットワーク622およびインターネット628は両方とも、デジタルデータストリームを搬送する電気的、電磁的または光学的信号を用いる。様々なネットワークを通る信号、およびネットワークリンク620上の通信インターフェース618を介した信号は、コンピューターシステム600との間でデジタルデータを搬送し、これらは情報を輸送する搬送波の例示的な形態である。
コンピューターシステム600は、ネットワーク、ネットワークリンク620および通信インターフェース618を介して、メッセージを送信し、および、プログラムコードを含むデータを受信する。インターネットの例では、サーバー630は、インターネット628、ISP626、ローカルネットワーク622および通信インターフェース618を介して、アプリケーションプログラム用の要求されたコードを送信しうる。本発明によると、このようなダウンロードされたアプリケーションの一つは、経験則によるテストをメッセージコンテンツに適用し、動的脅威隔離キューを管理し、および本明細書中に記載される構文解析およびスキャンからの早期終了を用いてメッセージをスキャンすることを提供する。
処理装置604は、コードが受信されたおよび/または記憶装置610、または後の実行のための他の非揮発性記憶装置に記憶される際に、受信したコードを実行する。このようにして、コンピューターシステム600は搬送波の形態でアプリケーションコードを取得してもよい。
6.0 拡張および代替
上記に記載の明細書では、本発明はその具体的な実施形態を参照して記載されてきた。しかしながら、本発明のより広範な精神およびその範囲から逸脱することなく、様々な修正および変更を本発明に対してなすことができるのは明らかであろう。明細書および図面はしたがって制限的な意味でなく例示的な意味に解釈されるべきである。発明は他の文脈および適用も含み、そこでは、本明細書中に記載されるメカニズムおよび処理が、他のメカニズム、方法、プログラム、および処理にも利用可能である。
上記に記載の明細書では、本発明はその具体的な実施形態を参照して記載されてきた。しかしながら、本発明のより広範な精神およびその範囲から逸脱することなく、様々な修正および変更を本発明に対してなすことができるのは明らかであろう。明細書および図面はしたがって制限的な意味でなく例示的な意味に解釈されるべきである。発明は他の文脈および適用も含み、そこでは、本明細書中に記載されるメカニズムおよび処理が、他のメカニズム、方法、プログラム、および処理にも利用可能である。
加えて、この明細書において、所定の処理ステップが特定の順序で説明されており、および、英数字ラベルを用いて所定のステップを識別する。本開示中に具体的に記載されない限り、本発明の実施形態は、このようなステップを実行する任意の特定の順序に限定されない。とりわけ、ラベルは、ステップの便利な識別のためにのみ用いられ、および、このようなステップを実行する特定の順序を示唆、規定または要求するよう意図されていない。さらに、別の実施形態は本明細書に記載されたステップよりもより多いかまたはより少ないステップを用いてもよい。
Claims (61)
- ネットワークインタ−フェース、
ネットワークインタ−フェースに接続された一つ以上の処理装置および、
一つ以上の処理装置に接続され、一つ以上の処理装置によって実行される際に、一つ以上の処理装置に下記を実行させるロジック:
受信者アカウントの宛先アドレスを有する電子メールメッセージを受信する;
コンピューターウィルスを含むことがわかっているメッセージの属性を規定する一つ以上のルールに基づいて、メッセージに対するウィルススコア値を決定する、該属性は、メッセージへの添付ファイルの種類、添付ファイルのサイズ、およびメッセージの送信者、件名または本文および添付ファイル以外のシグネチャに基づく一つ以上の経験則を含む;
ウィルスコア値が規定の閾値と同じかそれを上回る場合に、メッセージを受信者アカウントに即座に配信せずに、メッセージを隔離キューに記憶する;
を備えた装置。 - 属性が添付ファイルのコンテンツの種類を含むことを特徴とする請求項1または30に記載の装置。
- 属性がメッセージの送信者の識別を含むことを特徴とする請求項1または30に記載の装置。
- 経験則は、メッセージの本文のコンテンツを、ウィルスを保有する他のメッセージの本文に一般的に用いられる単語の辞書と照合することを含むことを特徴とする請求項1または30に記載の装置。
- 経験則は、メッセージの件名のコンテンツを、ウィルスを保有する他のメッセージの件名欄に一般的に用いられる単語の辞書を照合することを含むことを特徴とする請求項1または30に記載の装置。
- 経験則は:
送信者識別子をメッセージから抽出する;
送信者識別子と関連付けられた信用スコア値を読み出す;
信用スコア値に少なくとも部分的に基づいてウィルスコア値を決定する
ことを含むことを特徴とする請求項1または30に記載の装置。 - 経験則は、メッセージの添付ファイルのバイトをMicrosoft(登録商標)の実行ファイルの初期バイトを固有に識別するルールと照合することを含むことを特徴とする請求項1または30に記載の装置。
- 経験則は:
送信者識別子をメッセージから抽出する;
送信者識別子がローカルに記憶された送信者のブラックリストの中にあるか否かを決定する;
送信者識別子がブラックリストの中にあるか否かに少なくとも部分的に基づいてウィルスコア値を決定する
ことを含むことを特徴とする請求項1または30に記載の装置 - 経験則は:
送信者識別子をメッセージから抽出する;
ネットワーク上で、送信者識別子が記憶された送信者のブラックリストの中にあるか否かを決定するよう外部サービスを要求し、および外部サービスからの応答を受信する;
応答に少なくとも部分的に基づいてウィルスコア値を決定する
ことを含むことを特徴とする請求項1または30に記載の装置。 - ネットワークインタ−フェース、
ネットワークインタ−フェースに接続された一つ以上の処理装置、および
一つ以上の処理装置に接続され、一つ以上の処理装置によって実行される際に、一つ以上の処理装置に下記を実行させるロジック:
受信者アカウントの宛先アドレスを有する電子メールメッセージを受信する;
メッセージに対する脅威スコア値を決定する;
脅威スコア値が規定の脅威閾値と同じかそれを上回る場合に、メッセージを受信者アカウントに即座に配信せずに、メッセージを隔離キューに記憶する;
先入れ先出しの以外の順序で複数の隔離終了基準のうち任意の基準に基づいて隔離キューからメッセージを解放する、それぞれの隔離終了基準は一つ以上の終了アクションと関連付けられている;
特定の終了基準に基づいて、関連付けられた一つ以上の終了アクションを選択しおよび実行する
を備えた装置。 - 隔離終了基準は、メッセージ隔離時間制限の満了、隔離キューのオーバーフロー、隔離キューからの手動解放、および脅威スコア値を決定するために一つ以上のルールの更新を受信することを含むことを特徴とする請求項10または31に記載の装置。
- 終了アクションは、メッセージから添付ファイルを取り除きおよび添付ファイルのないメッセージを受信者アカウントに配信する;メッセージを削除する;メッセージの件名欄を修正する;およびXヘッダをメッセージに付加することを含むことを特徴とする請求項10または31に記載の装置。
- (a)メッセージ隔離からメッセージを手動解放するようにとのユーザー要求、(b)メッセージと関連付けられたタイマーの満了、(c)隔離が満杯になりつつあるというメッセージに対応して異なるアクションを実行するロジックをさらに含むことを特徴とする請求項10または31に記載の装置。
- (a)メッセージ隔離からメッセージを手動解放するようにとのユーザー要求に対応して、メッセージを修正なしに受信者アカウントに配信する;および(b)隔離が満杯に成りつつあるというメッセージに対応して、メッセージから添付ファイルを取り除きおよび添付ファイルのないメッセージを受信者アカウントに配信するロジックをさらに含むことを特徴とする請求項10または31に記載の装置。
- 満了時間値をメッセージに割り当てるロジックをさらに含み、満了時間値は、経験則によるテストをメッセージコンテンツに適用する結果に基づいて異なることを特徴とする請求項10または31に記載の装置。
- 隔離終了基準は、脅威スコア値を決定するために一つ以上のルールの更新を受信することを含み、および、終了アクションは更新されたルールに基づいてメッセージに対する脅威スコア値を再び決定することを含むことをさらに特徴とする請求項10または31に記載の装置。
- 終了アクションはメッセージのコピーを装置以外のホスト上にある第二の隔離キューに送信することを含むことを特徴とする請求項10または31に記載の装置。
- 一つ以上の異なる終了アクション群が異なる隔離終了基準と関連付けられていることを特徴とする請求項10または31に記載の装置。
- 脅威スコア値が規定の報告の閾値と同じかそれを上回る時を決定し、およびそれに対応して警告メッセージを作成しおよび別のホストに送信することを特徴とする請求項10または31に記載の装置。
- 脅威がウィルス、スパム、またはフィッシング攻撃のうちいずれか一つを含むことを特徴とする請求項10または31に記載の装置。
- ネットワークインタ−フェース、
ネットワークインタ−フェースに接続された一つ以上の処理装置、および
一つ以上の処理装置に接続され、一つ以上の処理装置によって実行される際に、一つ以上の処理装置に下記を実行させるロジック:
メッセージと関連付けられた脅威を示す電子メッセージの特性を規定する複数のルールを受信しおよび記憶する、それぞれのルールが優先順位の値を持ち、それぞれのルールがメッセージ要素型と関連付けられている;
受信者アカウントの宛先アドレスを有する電子メールメッセージを受信し、メッセージが複数のメッセージ要素を含む;
第一のメッセージ要素を抽出する;
第一のメッセージ要素のみを、第一のメッセージ要素に対応するメッセージ要素型を有する選択されたルールのみと、および選択されたルールの優先順位の順序にしたがって照合することによって、メッセージに対する脅威スコア値を決定する;
脅威スコア値が規定の閾値よりも大きい場合に、脅威スコア値を出力する
を備えた装置。 - 脅威スコア値が規定の閾値未満である場合にのみ、他のメッセージ要素を他のルールと照合することによって、メッセージに対する更新された脅威スコア値を決定するロジックをさらに含むことを特徴とする請求項21または32に記載の装置。
- メッセージ要素が、一つ以上のメッセージヘッダ、メッセージ本文、およびメッセージ本文中に一つ以上のHTML要素を含むことを特徴とする請求項21または32に記載の装置。
- 第一のメッセージ要素が一つ以上のメッセージヘッダを含み、選択されたルールがヘッダルールのみを含み、および複数のルールがヘッダルール、メール本文ルール、およびHTML本文ルールを含むことを特徴とする請求項21または32に記載の装置。
- 第一のメッセージ要素のみを、第一のメッセージ要素に対応するメッセージ要素型を有する選択されたルールのみと、および選択されたルールの優先順位の順序にしたがって照合することによって、メッセージに対する脅威スコア値を決定し;選択されたルールのうちそれぞれのルールを照合した後、脅威スコア値が規定の閾値よりも大きいか否かをテストし;および、脅威スコア値が規定の閾値よりも大きい場合に、その脅威スコア値を出力するロジックをさらに含むことを特徴とする請求項21または32に記載の装置。
- メッセージの本文を解読することによってメッセージに対する更新された脅威スコア値を決定し、および脅威スコア値が規定の閾値未満である場合にのみ本文を一つ以上のメール本文ルールと照合するロジックをさらに含むことを特徴とする請求項21または32に記載の装置。
- マークアップ言語メッセージ要素を表示することによってメッセージに対する更新された脅威スコア値を決定し、および脅威スコア値が規定の閾値未満である場合にのみ表示されたマークアップ言語メッセージ要素を一つ以上の本文ルールと照合するロジックをさらに含むことを特徴とする請求項21または32に記載の装置。
- ロジックがアンチスパムスキャンエンジンを含むことを特徴とする請求項21または32に記載の装置。
- 脅威がウィルス、スパムまたはフィッシング攻撃のうちいずれか一つを含むことを特徴とする請求項10または31に記載の装置。
- 受信者アカウントの宛先アドレスを有する電子メールメッセージを受信する手段、
コンピューターウィルスを含むことがわかっているメッセージの属性を規定する一つ以上のルールに基づいて、メッセージに対するウィルススコア値を決定する手段であって、該属性は、メッセージへの添付ファイルの種類、添付ファイルのサイズ、およびメッセージの送信者、件名または本文および添付ファイル以外のシグネチャに基づく一つ以上の経験則を含むものである手段、および
ウィルスコア値が規定の閾値と同じかそれを上回る場合に、メッセージを受信者アカウントに即座に配信せずに、メッセージを隔離キューに記憶する手段
を備えた装置。 - 受信者アカウントの宛先アドレスを有する電子メールメッセージを受信する手段、
メッセージに対する脅威スコア値を決定する手段、
脅威スコア値が規定の脅威閾値と同じかそれを上回る場合に、メッセージを受信者アカウントに即座に配信せずに、メッセージを隔離キューに記憶する手段、
先入れ先出しの以外の順序で複数の隔離終了基準のうち任意の基準に基づいて隔離キューからメッセージを解放する手段であって、それぞれの隔離終了基準は一つ以上の終了アクションと関連付けられている手段、および
特定の終了基準に基づいて、関連付けられた一つ以上の終了アクションを選択しおよび実行する手段
を備えた装置。 - メッセージと関連付けられた脅威を示す電子メッセージの特性を規定する複数のルールを受信しおよび記憶する手段であって、それぞれのルールが優先順位の値を持ち、それぞれのルールがメッセージ要素型と関連付けられている手段、
受信者アカウントの宛先アドレスを有する電子メールメッセージを受信し、メッセージが複数のメッセージ要素を含む手段、
第一のメッセージ要素を抽出する手段、
第一のメッセージ要素のみを、第一のメッセージ要素に対応するメッセージ要素型を有する選択されたルールのみと、および選択されたルールの優先順位の順序にしたがって照合することによって、メッセージに対する脅威スコア値を決定する手段、および
脅威スコア値が規定の閾値よりも大きい場合に、脅威スコア値を出力する手段
を備えた装置。 - 受信者アカウントの宛先アドレスを有する電子メールメッセージを受信するステップ、
コンピューターウィルスを含むことがわかっているメッセージの属性を規定する一つ以上のルールに基づいて、メッセージに対するウィルススコア値を決定するステップであって、該属性は、メッセージへの添付ファイルの種類、添付ファイルのサイズ、およびメッセージの送信者、件名または本文および添付ファイル以外のシグネチャに基づく一つ以上の経験則を含むものであるステップ、
ウィルスコア値が規定の閾値と同じかそれを上回る場合に、メッセージを受信者アカウントに即座に配信せずに、メッセージを隔離キューに記憶するステップ
を有してなる方法。 - 属性が添付のコンテンツの種類を含むことを特徴とする請求項33に記載の方法。
- 属性がメッセージの送信者の識別を含むことを特徴とする請求項33に記載の方法。
- 経験則は、メッセージの本文のコンテンツを、ウィルスを保有する他のメッセージの本文に一般的に用いられる単語の辞書と照合することを含むことを特徴とする請求項33に記載の方法。
- 経験則は、メッセージの件名のコンテンツを、ウィルスを保有する他のメッセージの件名欄に一般的に用いられたる単語の辞書を照合することを含むことを特徴とする請求項33に記載の方法。
- 経験則は:
送信者識別子をメッセージから抽出する;
送信者識別子と関連付けられた信用スコア値を読み出す;
信用スコア値に少なくとも部分的に基づいてウィルスコア値を決定する
ことを含むことを特徴とする請求項33に記載の方法 - 経験則は、メッセージの添付ファイルのバイトを「Microsoft」の実行ファイルの初期バイトを固有に識別するルールと照合することを含むことを特徴とする請求項33に記載の方法。
- 経験則は:
送信者識別子をメッセージから抽出する;
送信者識別子がローカルに記憶された送信者のブラックリストの中にあるか否かを決定する;
送信者識別子がブラックリストの中にあるか否かに少なくとも部分的に基づいてウィルスコア値を決定する
ことを含むことを特徴とする請求項33に記載の方法 - 経験則は:
送信者識別子をメッセージから抽出する;
ネットワーク上で、送信者識別子が記憶された送信者のブラックリストの中にあるか否かを決定するよう外部サービスを要求し、および外部サービスからの応答を受信する;
応答に少なくとも部分的に基づいてウィルスコア値を決定する
ことを含むことを特徴とする請求項33に記載の方法。 - 受信者アカウントの宛先アドレスを有する電子メールメッセージを受信するステップ、
メッセージに対する脅威スコア値を決定するステップ、
脅威スコア値が規定の脅威閾値と同じかそれを上回る場合に、メッセージを受信者アカウントに即座に配信せずに、メッセージを隔離キューに記憶するステップ、
先入れ先出しの以外の順序で複数の隔離終了基準のうち任意の基準に基づいて隔離キューからメッセージを解放するステップであって、それぞれの隔離終了基準は一つ以上の終了アクションと関連付けられているステップ、および
特定の終了基準に基づいて、関連付けられた一つ以上の終了アクションを選択しおよび実行するステップ
を有してなる方法。 - 隔離終了基準は、メッセージ隔離時間制限の満了、隔離キューのオーバーフロー、隔離キューからの手動解放、および脅威スコア値を決定するために一つ以上のルールの更新を受信することを含むことを特徴とする請求項42に記載の方法。
- 終了アクションは、メッセージから添付ファイルを取り除きおよび添付ファイルのないメッセージを受信者アカウントに配信する;メッセージを削除する;メッセージの件名欄を修正する;およびXヘッダをメッセージに付加することを含むことを特徴とする請求項42に記載の方法。
- (a)メッセージ隔離からメッセージを手動解放するようにとのユーザー要求、(b)メッセージと関連付けられたタイマーの満了、(c)隔離が満杯になりつつあるというメッセージに対応して異なるアクションを実行するロジックをさらに含むことを特徴とする請求項42に記載の方法。
- (a)メッセージ隔離からメッセージを手動解放するようにとのユーザー要求に対応して、メッセージを修正なしに受信者アカウントに配信する;および(b)隔離が満杯に成りつつあるというメッセージに対応して、メッセージから添付ファイルを取り除きおよび添付ファイルのないメッセージを受信者アカウントに配信するロジックをさらに含むことを特徴とする請求項42に記載の方法。
- 満了時間値をメッセージに割り当てるロジックをさらに含み、満了時間値が、経験則によるテストをメッセージコンテンツに適用する結果に基づいて異なることを特徴とする請求項42に記載の方法。
- 隔離終了基準は、脅威スコア値を決定するために一つ以上のルールの更新を受信することを含み、および、終了アクションは更新されたルールに基づいてメッセージに対する脅威スコア値を再び決定することを含むことをさらに特徴とする請求項42に記載の方法。
- 終了アクションはメッセージのコピーを装置以外のホスト上にある第二の隔離キューに送信することを含むことを特徴とする請求項42に記載の方法。
- 一つ以上の異なる終了アクション群が異なる隔離終了基準と関連付けられていることを特徴とする請求項42に記載の方法。
- 脅威スコア値が規定の報告の閾値と同じかそれを上回る時を決定し、およびそれに対応して警告メッセージを作成しおよび別のホストに送信することを特徴とする請求項42に記載の方法。
- 脅威がウィルス、スパムまたはフィッシング攻撃のうちいずれか一つを含むことを特徴とする請求項42に記載の方法。
- ネットワークインタ−フェース、
ネットワークインタ−フェースに接続された一つ以上の処理装置、
一つ以上の処理装置に接続され、一つ以上の処理装置によって実行される際に、一つ以上の処理装置に下記を実行させるロジック:
メッセージと関連付けられた脅威を示す電子メッセージの特性を規定する複数のルールを受信しおよび記憶する、それぞれのルールが優先順位の値を持ち、それぞれのルールがメッセージ要素型と関連付けられている;
受信者アカウントの宛先アドレスを有する電子メールメッセージを受信し、該メッセージは複数のメッセージ要素を含む;
第一のメッセージ要素を抽出する;
第一のメッセージ要素のみを、第一のメッセージ要素に対応するメッセージ要素型を有する選択されたルールのみと、および選択されたルールの優先順位の順序にしたがって照合することによって、メッセージに対する脅威スコア値を決定する;
脅威スコア値が規定の閾値よりも大きい場合に、脅威スコア値を出力する
を有してなる方法。 - 脅威スコア値が規定の閾値未満である場合にのみ、他のメッセージ要素を他のルールと照合することによって、メッセージに対する更新された脅威スコア値を決定するロジックをさらに含むことを特徴とする請求項53に記載の方法。
- メッセージ要素が、一つ以上のメッセージヘッダ、メッセージ本文、およびメッセージ本文中に一つ以上のHTML要素を含むことを特徴とする請求項53に記載の方法。
- 第一のメッセージ要素が一つ以上のメッセージヘッダを含み、選択されたルールがヘッダルールのみを含み、および複数のルールがヘッダルール、メール本文ルール、およびHTML本文ルールを含むことを特徴とする請求項53に記載の方法。
- 第一のメッセージ要素のみを、第一のメッセージ要素に対応するメッセージ要素型を有する選択されたルールのみと、および選択されたルールの優先順位の順序にしたがって照合することによって、メッセージに対する脅威スコア値を判断し;選択されたルールのうちそれぞれのルールを照合した後、脅威スコア値が規定の閾値よりも大きい場合に、脅威スコア値を出力するロジックをさらに含むことを特徴とする請求項53に記載の方法。
- メッセージの本文を解読することによってメッセージに対する更新された脅威スコア値を決定し、および脅威スコア値が規定の閾値未満である場合にのみ本文を一つ以上のメール本文ルールと照合するロジックをさらに含むことを特徴とする請求項53に記載の方法。
- マークアップ言語メッセージ要素を表示することによってメッセージに対する更新された脅威スコア値を決定し、および脅威スコア値が規定の閾値未満である場合にのみ表示されたマークアップ言語メッセージ要素を一つ以上の本文ルールと照合するロジックをさらに含むことを特徴とする請求項53に記載の方法。
- ロジックがアンチスパムスキャンエンジンを含むことを特徴とする請求項53に記載の方法。
- 脅威がウィルス、スパムまたはフィッシング攻撃のうちいずれか一つを含むことを特徴とする請求項53に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US67839105P | 2005-05-05 | 2005-05-05 | |
| US60/678,391 | 2005-05-05 | ||
| PCT/US2006/017783 WO2006119509A2 (en) | 2005-05-05 | 2006-05-05 | Identifying threats in electronic messages |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2008545177A true JP2008545177A (ja) | 2008-12-11 |
| JP2008545177A5 JP2008545177A5 (ja) | 2009-06-25 |
| JP5118020B2 JP5118020B2 (ja) | 2013-01-16 |
Family
ID=37308748
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008510321A Expired - Fee Related JP5118020B2 (ja) | 2005-05-05 | 2006-05-05 | 電子メッセージ中での脅威の識別 |
| JP2008510320A Expired - Fee Related JP4880675B2 (ja) | 2005-05-05 | 2006-05-05 | 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008510320A Expired - Fee Related JP4880675B2 (ja) | 2005-05-05 | 2006-05-05 | 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出 |
Country Status (6)
| Country | Link |
|---|---|
| US (6) | US7854007B2 (ja) |
| EP (2) | EP1877905B1 (ja) |
| JP (2) | JP5118020B2 (ja) |
| CN (2) | CN101558398B (ja) |
| CA (2) | CA2607005C (ja) |
| WO (4) | WO2006119508A2 (ja) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009015427A (ja) * | 2007-07-02 | 2009-01-22 | Nippon Telegr & Teleph Corp <Ntt> | ワーム感染ホスト特定処理における最適値設定方法および最適値設定システム |
| JP2010146566A (ja) * | 2008-12-18 | 2010-07-01 | Symantec Corp | マルウェア検出方法およびシステム |
| JP2013507722A (ja) * | 2009-10-26 | 2013-03-04 | シマンテック コーポレーション | 挙動に基づいた発見的方法の攻撃性の通知へのファイルの普及度の使用 |
| JP2013077154A (ja) * | 2011-09-30 | 2013-04-25 | Kddi Corp | マルウェア検知装置およびプログラム |
| JP2013518343A (ja) * | 2010-01-28 | 2013-05-20 | マイクロソフト コーポレーション | ユーザの閲覧履歴に基づくurlフィルタリング |
| JP2013538401A (ja) * | 2010-08-31 | 2013-10-10 | マイクロソフト コーポレーション | 電子メッセージのスキャニングルールの適合的な選択 |
| JP5982597B1 (ja) * | 2016-03-10 | 2016-08-31 | 株式会社Ffri | 情報処理装置、情報処理方法、プログラム及びプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| KR101666614B1 (ko) * | 2015-07-06 | 2016-10-14 | (주)다우기술 | 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법 |
| JP2018508054A (ja) * | 2014-11-26 | 2018-03-22 | グラスウォール・(アイピー)・リミテッド | ファイルベースコンテンツが持つリスク判定のための統計分析手法 |
| JP2018530046A (ja) * | 2015-08-17 | 2018-10-11 | エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドNsfocus Information Technology Co.,Ltd | サイバー攻撃の検出方法および検出装置 |
| JP2018190374A (ja) * | 2017-05-08 | 2018-11-29 | デジタルア−ツ株式会社 | 情報処理装置、情報処理システム、プログラム、記録媒体及び情報処理方法 |
| US10348748B2 (en) | 2006-12-04 | 2019-07-09 | Glasswall (Ip) Limited | Using multiple layers of policy management to manage risk |
| US10419456B2 (en) | 2005-06-09 | 2019-09-17 | Glasswall (Ip) Limited | Resisting the spread of unwanted code and data |
| JP2019185249A (ja) * | 2018-04-05 | 2019-10-24 | デジタルア−ツ株式会社 | 情報処理装置、情報処理プログラム、記録媒体及び情報処理方法 |
| KR20210026935A (ko) * | 2019-09-02 | 2021-03-10 | 주식회사 엘지유플러스 | 착오 송금 방지 방법 및 장치 |
Families Citing this family (653)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030097654A1 (en) * | 1998-06-05 | 2003-05-22 | Franken Kenneth A. | System and method of geographic authorization for television and radio programming distributed by multiple delivery mechanisms |
| US8010981B2 (en) | 2001-02-08 | 2011-08-30 | Decisionmark Corp. | Method and system for creating television programming guide |
| US8219620B2 (en) | 2001-02-20 | 2012-07-10 | Mcafee, Inc. | Unwanted e-mail filtering system including voting feedback |
| US7913287B1 (en) | 2001-06-15 | 2011-03-22 | Decisionmark Corp. | System and method for delivering data over an HDTV digital television spectrum |
| US8359650B2 (en) * | 2002-10-01 | 2013-01-22 | Skybox Secutiry Inc. | System, method and computer readable medium for evaluating potential attacks of worms |
| US8407798B1 (en) | 2002-10-01 | 2013-03-26 | Skybox Secutiry Inc. | Method for simulation aided security event management |
| US8195714B2 (en) * | 2002-12-11 | 2012-06-05 | Leaper Technologies, Inc. | Context instantiated application protocol |
| US7984175B2 (en) | 2003-12-10 | 2011-07-19 | Mcafee, Inc. | Method and apparatus for data capture and analysis system |
| US8656039B2 (en) | 2003-12-10 | 2014-02-18 | Mcafee, Inc. | Rule parser |
| US8548170B2 (en) | 2003-12-10 | 2013-10-01 | Mcafee, Inc. | Document de-registration |
| US8214438B2 (en) | 2004-03-01 | 2012-07-03 | Microsoft Corporation | (More) advanced spam detection features |
| US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
| US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
| US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
| US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
| US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
| US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
| US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
| US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
| US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
| US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
| US8560534B2 (en) | 2004-08-23 | 2013-10-15 | Mcafee, Inc. | Database for a capture system |
| US7949849B2 (en) | 2004-08-24 | 2011-05-24 | Mcafee, Inc. | File system for a capture system |
| US20060200528A1 (en) * | 2005-01-25 | 2006-09-07 | Krishna Pathiyal | Method and system for processing data messages |
| US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
| US9384345B2 (en) * | 2005-05-03 | 2016-07-05 | Mcafee, Inc. | Providing alternative web content based on website reputation assessment |
| US7765481B2 (en) * | 2005-05-03 | 2010-07-27 | Mcafee, Inc. | Indicating website reputations during an electronic commerce transaction |
| US7822620B2 (en) * | 2005-05-03 | 2010-10-26 | Mcafee, Inc. | Determining website reputations using automatic testing |
| US7562304B2 (en) * | 2005-05-03 | 2009-07-14 | Mcafee, Inc. | Indicating website reputations during website manipulation of user information |
| US8438499B2 (en) | 2005-05-03 | 2013-05-07 | Mcafee, Inc. | Indicating website reputations during user interactions |
| US8566726B2 (en) | 2005-05-03 | 2013-10-22 | Mcafee, Inc. | Indicating website reputations based on website handling of personal information |
| US20060253582A1 (en) * | 2005-05-03 | 2006-11-09 | Dixon Christopher J | Indicating website reputations within search results |
| US20060253584A1 (en) * | 2005-05-03 | 2006-11-09 | Dixon Christopher J | Reputation of an entity associated with a content item |
| US20060277259A1 (en) * | 2005-06-07 | 2006-12-07 | Microsoft Corporation | Distributed sender reputations |
| WO2006135798A2 (en) * | 2005-06-09 | 2006-12-21 | Boma Systems, Incorporated | Personal notification and broadcasting |
| US8522347B2 (en) * | 2009-03-16 | 2013-08-27 | Sonicwall, Inc. | Real-time network updates for malicious content |
| US7636734B2 (en) * | 2005-06-23 | 2009-12-22 | Microsoft Corporation | Method for probabilistic analysis of most frequently occurring electronic message addresses within personal store (.PST) files to determine owner with confidence factor based on relative weight and set of user-specified factors |
| US20090144826A2 (en) * | 2005-06-30 | 2009-06-04 | Webroot Software, Inc. | Systems and Methods for Identifying Malware Distribution |
| US8560413B1 (en) * | 2005-07-14 | 2013-10-15 | John S. Quarterman | Method and system for detecting distributed internet crime |
| US7610345B2 (en) | 2005-07-28 | 2009-10-27 | Vaporstream Incorporated | Reduced traceability electronic message system and method |
| US9282081B2 (en) | 2005-07-28 | 2016-03-08 | Vaporstream Incorporated | Reduced traceability electronic message system and method |
| US7565358B2 (en) | 2005-08-08 | 2009-07-21 | Google Inc. | Agent rank |
| US7907608B2 (en) | 2005-08-12 | 2011-03-15 | Mcafee, Inc. | High speed packet capture |
| US8296846B2 (en) * | 2005-08-19 | 2012-10-23 | Cpacket Networks, Inc. | Apparatus and method for associating categorization information with network traffic to facilitate application level processing |
| US8346918B2 (en) * | 2005-08-19 | 2013-01-01 | Cpacket Networks, Inc. | Apparatus and method for biased and weighted sampling of network traffic to facilitate network monitoring |
| US8024799B2 (en) * | 2005-08-19 | 2011-09-20 | Cpacket Networks, Inc. | Apparatus and method for facilitating network security with granular traffic modifications |
| US8665868B2 (en) * | 2005-08-19 | 2014-03-04 | Cpacket Networks, Inc. | Apparatus and method for enhancing forwarding and classification of network traffic with prioritized matching and categorization |
| US8769663B2 (en) | 2005-08-24 | 2014-07-01 | Fortinet, Inc. | Systems and methods for detecting undesirable network traffic content |
| US8028337B1 (en) | 2005-08-30 | 2011-09-27 | Sprint Communications Company L.P. | Profile-aware filtering of network traffic |
| US8204974B1 (en) * | 2005-08-30 | 2012-06-19 | Sprint Communications Company L.P. | Identifying significant behaviors within network traffic |
| US7818326B2 (en) | 2005-08-31 | 2010-10-19 | Mcafee, Inc. | System and method for word indexing in a capture system and querying thereof |
| US20070061402A1 (en) * | 2005-09-15 | 2007-03-15 | Microsoft Corporation | Multipurpose internet mail extension (MIME) analysis |
| US7925786B2 (en) * | 2005-09-16 | 2011-04-12 | Microsoft Corp. | Hosting of network-based services |
| US7730011B1 (en) | 2005-10-19 | 2010-06-01 | Mcafee, Inc. | Attributes of captured objects in a capture system |
| US20070129999A1 (en) * | 2005-11-18 | 2007-06-07 | Jie Zhou | Fraud detection in web-based advertising |
| US20070124500A1 (en) * | 2005-11-30 | 2007-05-31 | Bedingfield James C Sr | Automatic substitute uniform resource locator (URL) generation |
| US8595325B2 (en) * | 2005-11-30 | 2013-11-26 | At&T Intellectual Property I, L.P. | Substitute uniform resource locator (URL) form |
| US8255480B2 (en) * | 2005-11-30 | 2012-08-28 | At&T Intellectual Property I, L.P. | Substitute uniform resource locator (URL) generation |
| US8255996B2 (en) | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
| US8185741B1 (en) * | 2006-01-30 | 2012-05-22 | Adobe Systems Incorporated | Converting transport level transactional security into a persistent document signature |
| US8601160B1 (en) * | 2006-02-09 | 2013-12-03 | Mcafee, Inc. | System, method and computer program product for gathering information relating to electronic content utilizing a DNS server |
| WO2007099507A2 (en) * | 2006-03-02 | 2007-09-07 | International Business Machines Corporation | Operating a network monitoring entity |
| US8504537B2 (en) | 2006-03-24 | 2013-08-06 | Mcafee, Inc. | Signature distribution in a document registration system |
| US8443445B1 (en) * | 2006-03-31 | 2013-05-14 | Emc Corporation | Risk-aware scanning of objects |
| US8205261B1 (en) | 2006-03-31 | 2012-06-19 | Emc Corporation | Incremental virus scan |
| US7854006B1 (en) | 2006-03-31 | 2010-12-14 | Emc Corporation | Differential virus scan |
| US8701196B2 (en) | 2006-03-31 | 2014-04-15 | Mcafee, Inc. | System, method and computer program product for obtaining a reputation associated with a file |
| US7752274B2 (en) * | 2006-04-03 | 2010-07-06 | International Business Machines Corporation | Apparatus and method for filtering and selectively inspecting e-mail |
| US7849507B1 (en) | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
| US8849760B2 (en) * | 2006-05-02 | 2014-09-30 | International Business Machines Corporation | Determining whether predefined data controlled by a server is replicated to a client machine |
| US8706470B2 (en) | 2006-05-08 | 2014-04-22 | David T. Lorenzen | Methods of offering guidance on common language usage utilizing a hashing function consisting of a hash triplet |
| US7603350B1 (en) | 2006-05-09 | 2009-10-13 | Google Inc. | Search result ranking based on trust |
| US20070282770A1 (en) * | 2006-05-15 | 2007-12-06 | Nortel Networks Limited | System and methods for filtering electronic communications |
| US7921063B1 (en) | 2006-05-17 | 2011-04-05 | Daniel Quinlan | Evaluating electronic mail messages based on probabilistic analysis |
| US20080082662A1 (en) * | 2006-05-19 | 2008-04-03 | Richard Dandliker | Method and apparatus for controlling access to network resources based on reputation |
| US7958227B2 (en) | 2006-05-22 | 2011-06-07 | Mcafee, Inc. | Attributes of captured objects in a capture system |
| US8191140B2 (en) * | 2006-05-31 | 2012-05-29 | The Invention Science Fund I, Llc | Indicating a security breach of a protected set of files |
| US8640247B2 (en) * | 2006-05-31 | 2014-01-28 | The Invention Science Fund I, Llc | Receiving an indication of a security breach of a protected set of files |
| US20070282723A1 (en) * | 2006-05-31 | 2007-12-06 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Monitoring a status of a database by placing a false identifier in the database |
| US8209755B2 (en) * | 2006-05-31 | 2012-06-26 | The Invention Science Fund I, Llc | Signaling a security breach of a protected set of files |
| US20070294767A1 (en) * | 2006-06-20 | 2007-12-20 | Paul Piccard | Method and system for accurate detection and removal of pestware |
| US8087084B1 (en) | 2006-06-28 | 2011-12-27 | Emc Corporation | Security for scanning objects |
| US8122507B1 (en) | 2006-06-28 | 2012-02-21 | Emc Corporation | Efficient scanning of objects |
| US20080005315A1 (en) * | 2006-06-29 | 2008-01-03 | Po-Ching Lin | Apparatus, system and method for stream-based data filtering |
| US20080005249A1 (en) * | 2006-07-03 | 2008-01-03 | Hart Matt E | Method and apparatus for determining the importance of email messages |
| US8615800B2 (en) | 2006-07-10 | 2013-12-24 | Websense, Inc. | System and method for analyzing web content |
| US8020206B2 (en) | 2006-07-10 | 2011-09-13 | Websense, Inc. | System and method of analyzing web content |
| US7970922B2 (en) * | 2006-07-11 | 2011-06-28 | Napo Enterprises, Llc | P2P real time media recommendations |
| US8327266B2 (en) | 2006-07-11 | 2012-12-04 | Napo Enterprises, Llc | Graphical user interface system for allowing management of a media item playlist based on a preference scoring system |
| US8059646B2 (en) | 2006-07-11 | 2011-11-15 | Napo Enterprises, Llc | System and method for identifying music content in a P2P real time recommendation network |
| US9003056B2 (en) | 2006-07-11 | 2015-04-07 | Napo Enterprises, Llc | Maintaining a minimum level of real time media recommendations in the absence of online friends |
| US8001603B1 (en) * | 2006-07-24 | 2011-08-16 | Symantec Corporation | Variable scan of files based on file context |
| US8082587B2 (en) * | 2006-08-02 | 2011-12-20 | Lycos, Inc. | Detecting content in files |
| US7971257B2 (en) * | 2006-08-03 | 2011-06-28 | Symantec Corporation | Obtaining network origins of potential software threats |
| US8190868B2 (en) | 2006-08-07 | 2012-05-29 | Webroot Inc. | Malware management through kernel detection |
| US8090606B2 (en) | 2006-08-08 | 2012-01-03 | Napo Enterprises, Llc | Embedded media recommendations |
| US8620699B2 (en) | 2006-08-08 | 2013-12-31 | Napo Enterprises, Llc | Heavy influencer media recommendations |
| US8533822B2 (en) * | 2006-08-23 | 2013-09-10 | Threatstop, Inc. | Method and system for propagating network policy |
| US20160248813A1 (en) * | 2006-08-23 | 2016-08-25 | Threatstop, Inc. | Method and system for propagating network policy |
| US20080077704A1 (en) * | 2006-09-24 | 2008-03-27 | Void Communications, Inc. | Variable Electronic Communication Ping Time System and Method |
| US8087088B1 (en) | 2006-09-28 | 2011-12-27 | Whitehat Security, Inc. | Using fuzzy classification models to perform matching operations in a web application security scanner |
| CN101155182A (zh) * | 2006-09-30 | 2008-04-02 | 阿里巴巴公司 | 一种基于网络的垃圾信息过滤方法和装置 |
| US20080086555A1 (en) * | 2006-10-09 | 2008-04-10 | David Alexander Feinleib | System and Method for Search and Web Spam Filtering |
| US7882187B2 (en) | 2006-10-12 | 2011-02-01 | Watchguard Technologies, Inc. | Method and system for detecting undesired email containing image-based messages |
| US8306199B2 (en) * | 2006-10-20 | 2012-11-06 | Nokia Corporation | Accounting in a transit network |
| CN101569136B (zh) * | 2006-11-03 | 2013-08-28 | 网络通保安有限公司 | 管理入口 |
| US8484733B2 (en) * | 2006-11-28 | 2013-07-09 | Cisco Technology, Inc. | Messaging security device |
| US7962460B2 (en) | 2006-12-01 | 2011-06-14 | Scenera Technologies, Llc | Methods, systems, and computer program products for determining availability of presentable content via a subscription service |
| US9654495B2 (en) * | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
| GB2444514A (en) | 2006-12-04 | 2008-06-11 | Glasswall | Electronic file re-generation |
| CN100555991C (zh) * | 2006-12-29 | 2009-10-28 | 华为技术有限公司 | 报文访问控制的方法、转发引擎装置和通信设备 |
| US8312536B2 (en) * | 2006-12-29 | 2012-11-13 | Symantec Corporation | Hygiene-based computer security |
| WO2008087438A1 (en) * | 2007-01-18 | 2008-07-24 | Roke Manor Research Limited | A method of extracting sections of a data stream |
| GB2458094A (en) * | 2007-01-09 | 2009-09-09 | Surfcontrol On Demand Ltd | URL interception and categorization in firewalls |
| US20090070185A1 (en) * | 2007-01-17 | 2009-03-12 | Concert Technology Corporation | System and method for recommending a digital media subscription service |
| KR100850911B1 (ko) * | 2007-01-19 | 2008-08-07 | 삼성전자주식회사 | 메시지 전송을 위한 장치 및 방법 |
| US20080177843A1 (en) * | 2007-01-22 | 2008-07-24 | Microsoft Corporation | Inferring email action based on user input |
| US8214497B2 (en) | 2007-01-24 | 2012-07-03 | Mcafee, Inc. | Multi-dimensional reputation scoring |
| US8763114B2 (en) | 2007-01-24 | 2014-06-24 | Mcafee, Inc. | Detecting image spam |
| US8027975B2 (en) * | 2007-01-31 | 2011-09-27 | Reputation.Com, Inc. | Identifying and changing personal information |
| US8938773B2 (en) | 2007-02-02 | 2015-01-20 | Websense, Inc. | System and method for adding context to prevent data leakage over a computer network |
| US20080201722A1 (en) * | 2007-02-20 | 2008-08-21 | Gurusamy Sarathy | Method and System For Unsafe Content Tracking |
| US7904958B2 (en) * | 2007-02-27 | 2011-03-08 | Symantec Corporation | Spam honeypot domain identification |
| US9224427B2 (en) | 2007-04-02 | 2015-12-29 | Napo Enterprises LLC | Rating media item recommendations using recommendation paths and/or media item usage |
| US8112720B2 (en) | 2007-04-05 | 2012-02-07 | Napo Enterprises, Llc | System and method for automatically and graphically associating programmatically-generated media item recommendations related to a user's socially recommended media items |
| US9246938B2 (en) * | 2007-04-23 | 2016-01-26 | Mcafee, Inc. | System and method for detecting malicious mobile program code |
| US20080281606A1 (en) * | 2007-05-07 | 2008-11-13 | Microsoft Corporation | Identifying automated click fraud programs |
| US8230023B2 (en) | 2007-05-17 | 2012-07-24 | International Business Machines Corporation | Managing email disk usage based on user specified conditions |
| GB0709527D0 (en) * | 2007-05-18 | 2007-06-27 | Surfcontrol Plc | Electronic messaging system, message processing apparatus and message processing method |
| US8613092B2 (en) * | 2007-05-21 | 2013-12-17 | Mcafee, Inc. | System, method and computer program product for updating a security system definition database based on prioritized instances of known unwanted data |
| US9083556B2 (en) * | 2007-05-31 | 2015-07-14 | Rpx Clearinghouse Llc | System and method for detectng malicious mail from spam zombies |
| US20090049045A1 (en) | 2007-06-01 | 2009-02-19 | Concert Technology Corporation | Method and system for sorting media items in a playlist on a media device |
| US8285776B2 (en) | 2007-06-01 | 2012-10-09 | Napo Enterprises, Llc | System and method for processing a received media item recommendation message comprising recommender presence information |
| US9037632B2 (en) | 2007-06-01 | 2015-05-19 | Napo Enterprises, Llc | System and method of generating a media item recommendation message with recommender presence information |
| US9164993B2 (en) | 2007-06-01 | 2015-10-20 | Napo Enterprises, Llc | System and method for propagating a media item recommendation message comprising recommender presence information |
| US7865965B2 (en) * | 2007-06-15 | 2011-01-04 | Microsoft Corporation | Optimization of distributed anti-virus scanning |
| US8984133B2 (en) | 2007-06-19 | 2015-03-17 | The Invention Science Fund I, Llc | Providing treatment-indicative feedback dependent on putative content treatment |
| US20090063632A1 (en) * | 2007-08-31 | 2009-03-05 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Layering prospective activity information |
| US20090063585A1 (en) * | 2007-08-31 | 2009-03-05 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Using party classifiability to inform message versioning |
| US9374242B2 (en) | 2007-11-08 | 2016-06-21 | Invention Science Fund I, Llc | Using evaluations of tentative message content |
| US20080320088A1 (en) * | 2007-06-19 | 2008-12-25 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Helping valuable message content pass apparent message filtering |
| US7899870B2 (en) * | 2007-06-25 | 2011-03-01 | Microsoft Corporation | Determination of participation in a malicious software campaign |
| US20090064329A1 (en) * | 2007-06-25 | 2009-03-05 | Google Inc. | Zero-hour quarantine of suspect electronic messages |
| US8849921B2 (en) * | 2007-06-28 | 2014-09-30 | Symantec Corporation | Method and apparatus for creating predictive filters for messages |
| US8584094B2 (en) * | 2007-06-29 | 2013-11-12 | Microsoft Corporation | Dynamically computing reputation scores for objects |
| US20090012965A1 (en) * | 2007-07-01 | 2009-01-08 | Decisionmark Corp. | Network Content Objection Handling System and Method |
| US20090006211A1 (en) * | 2007-07-01 | 2009-01-01 | Decisionmark Corp. | Network Content And Advertisement Distribution System and Method |
| US8849909B2 (en) * | 2007-07-06 | 2014-09-30 | Yahoo! Inc. | Real-time asynchronous event aggregation systems |
| US20090019041A1 (en) * | 2007-07-11 | 2009-01-15 | Marc Colando | Filename Parser and Identifier of Alternative Sources for File |
| US7818384B2 (en) * | 2007-07-26 | 2010-10-19 | Rachal Eric M | Simultaneous synchronous split-domain email routing with conflict resolution |
| CN101373456A (zh) * | 2007-08-22 | 2009-02-25 | 国际商业机器公司 | 对软件进行支持的方法,软件支持代理以及计算机系统 |
| US20090063631A1 (en) * | 2007-08-31 | 2009-03-05 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Message-reply-dependent update decisions |
| JP4943278B2 (ja) | 2007-09-06 | 2012-05-30 | 株式会社日立製作所 | ウィルススキャン方法及びその方法を用いた計算機システム |
| US8219686B2 (en) * | 2007-09-17 | 2012-07-10 | Mcafee, Inc. | Method and computer program product utilizing multiple UDP data packets to transfer a quantity of data otherwise in excess of a single UDP packet |
| US8230025B2 (en) | 2007-09-20 | 2012-07-24 | Research In Motion Limited | System and method for delivering variable size messages based on spam probability |
| US20090083413A1 (en) * | 2007-09-24 | 2009-03-26 | Levow Zachary S | Distributed frequency data collection via DNS |
| US10606901B1 (en) * | 2007-09-28 | 2020-03-31 | Emc Corporation | Data disposition services orchestrated in an information management infrastructure |
| US8730946B2 (en) * | 2007-10-18 | 2014-05-20 | Redshift Internetworking, Inc. | System and method to precisely learn and abstract the positive flow behavior of a unified communication (UC) application and endpoints |
| WO2009053767A2 (en) * | 2007-10-23 | 2009-04-30 | Gecad Technologies Sa | Methods of processing or filtering and system for filtering email data |
| US8959624B2 (en) * | 2007-10-31 | 2015-02-17 | Bank Of America Corporation | Executable download tracking system |
| US9060034B2 (en) * | 2007-11-09 | 2015-06-16 | Napo Enterprises, Llc | System and method of filtering recommenders in a media item recommendation system |
| US8037536B2 (en) * | 2007-11-14 | 2011-10-11 | Bank Of America Corporation | Risk scoring system for the prevention of malware |
| US8590039B1 (en) | 2007-11-28 | 2013-11-19 | Mcafee, Inc. | System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature |
| US8144841B2 (en) * | 2007-12-05 | 2012-03-27 | Microsoft Corporation | Multimedia spam determination using speech conversion |
| US20090150497A1 (en) * | 2007-12-06 | 2009-06-11 | Mcafee Randolph Preston | Electronic mail message handling and presentation methods and systems |
| US9734507B2 (en) | 2007-12-20 | 2017-08-15 | Napo Enterprise, Llc | Method and system for simulating recommendations in a social network for an offline user |
| US8396951B2 (en) | 2007-12-20 | 2013-03-12 | Napo Enterprises, Llc | Method and system for populating a content repository for an internet radio service based on a recommendation network |
| US10318730B2 (en) * | 2007-12-20 | 2019-06-11 | Bank Of America Corporation | Detection and prevention of malicious code execution using risk scoring |
| US8316015B2 (en) | 2007-12-21 | 2012-11-20 | Lemi Technology, Llc | Tunersphere |
| KR101224319B1 (ko) * | 2007-12-21 | 2013-01-21 | 제너럴 인스트루먼트 코포레이션 | 디지털 미디어의 비인가 사용을 방지하기 위한 시스템 및 방법 |
| US8117193B2 (en) | 2007-12-21 | 2012-02-14 | Lemi Technology, Llc | Tunersphere |
| US8060525B2 (en) | 2007-12-21 | 2011-11-15 | Napo Enterprises, Llc | Method and system for generating media recommendations in a distributed environment based on tagging play history information with location information |
| US8296245B2 (en) * | 2008-01-03 | 2012-10-23 | Kount Inc. | Method and system for creation and validation of anonymous digital credentials |
| US9183368B2 (en) * | 2008-01-24 | 2015-11-10 | Go Daddy Operating Company, LLC | Validating control of domain zone |
| US8433747B2 (en) * | 2008-02-01 | 2013-04-30 | Microsoft Corporation | Graphics remoting architecture |
| US8706820B2 (en) * | 2008-02-08 | 2014-04-22 | Microsoft Corporation | Rules extensibility engine |
| JP4488074B2 (ja) * | 2008-02-13 | 2010-06-23 | 日本電気株式会社 | パターン検出装置、パターン検出システム、パターン検出プログラム、およびパターン検出方法 |
| US20110225244A1 (en) * | 2008-02-13 | 2011-09-15 | Barracuda Networks Inc. | Tracing domains to authoritative servers associated with spam |
| US9306796B1 (en) | 2008-03-18 | 2016-04-05 | Mcafee, Inc. | System, method, and computer program product for dynamically configuring a virtual environment for identifying unwanted data |
| US9130986B2 (en) | 2008-03-19 | 2015-09-08 | Websense, Inc. | Method and system for protection against information stealing software |
| US9015842B2 (en) | 2008-03-19 | 2015-04-21 | Websense, Inc. | Method and system for protection against information stealing software |
| US8407784B2 (en) | 2008-03-19 | 2013-03-26 | Websense, Inc. | Method and system for protection against information stealing software |
| US8266672B2 (en) * | 2008-03-21 | 2012-09-11 | Sophos Plc | Method and system for network identification via DNS |
| US7865561B2 (en) * | 2008-04-01 | 2011-01-04 | Mcafee, Inc. | Increasing spam scanning accuracy by rescanning with updated detection rules |
| US8244752B2 (en) * | 2008-04-21 | 2012-08-14 | Microsoft Corporation | Classifying search query traffic |
| US8302192B1 (en) * | 2008-04-30 | 2012-10-30 | Netapp, Inc. | Integrating anti-virus in a clustered storage system |
| US20090282075A1 (en) * | 2008-05-06 | 2009-11-12 | Dawson Christopher J | System and method for identifying and blocking avatar-based unsolicited advertising in a virtual universe |
| US9985978B2 (en) * | 2008-05-07 | 2018-05-29 | Lookingglass Cyber Solutions | Method and system for misuse detection |
| US9123027B2 (en) * | 2010-10-19 | 2015-09-01 | QinetiQ North America, Inc. | Social engineering protection appliance |
| US8028030B2 (en) * | 2008-05-22 | 2011-09-27 | International Business Machines Corporation | Method and system for supervising electronic text communications of an enterprise |
| US20090300012A1 (en) * | 2008-05-28 | 2009-12-03 | Barracuda Inc. | Multilevel intent analysis method for email filtration |
| US8301904B1 (en) | 2008-06-24 | 2012-10-30 | Mcafee, Inc. | System, method, and computer program product for automatically identifying potentially unwanted data as unwanted |
| US8490185B2 (en) * | 2008-06-27 | 2013-07-16 | Microsoft Corporation | Dynamic spam view settings |
| US8381298B2 (en) * | 2008-06-30 | 2013-02-19 | Microsoft Corporation | Malware detention for suspected malware |
| CA2729158A1 (en) * | 2008-06-30 | 2010-01-07 | Websense, Inc. | System and method for dynamic and real-time categorization of webpages |
| US20100011420A1 (en) * | 2008-07-02 | 2010-01-14 | Barracuda Networks Inc. | Operating a service on a network as a domain name system server |
| US8219644B2 (en) * | 2008-07-03 | 2012-07-10 | Barracuda Networks, Inc. | Requesting a service or transmitting content as a domain name system resolver |
| US8205242B2 (en) | 2008-07-10 | 2012-06-19 | Mcafee, Inc. | System and method for data mining and security policy management |
| US8676903B2 (en) * | 2008-07-17 | 2014-03-18 | International Business Machines Corporation | System and method to control email whitelists |
| US20100023871A1 (en) * | 2008-07-25 | 2010-01-28 | Zumobi, Inc. | Methods and Systems Providing an Interactive Social Ticker |
| US9253154B2 (en) | 2008-08-12 | 2016-02-02 | Mcafee, Inc. | Configuration management for a capture/registration system |
| US9641537B2 (en) * | 2008-08-14 | 2017-05-02 | Invention Science Fund I, Llc | Conditionally releasing a communiqué determined to be affiliated with a particular source entity in response to detecting occurrence of one or more environmental aspects |
| US20100057895A1 (en) * | 2008-08-29 | 2010-03-04 | At& T Intellectual Property I, L.P. | Methods of Providing Reputation Information with an Address and Related Devices and Computer Program Products |
| EP2169897A1 (en) * | 2008-09-25 | 2010-03-31 | Avira GmbH | Computer-based method for the prioritization of potential malware sample messages |
| CN101378407B (zh) * | 2008-09-26 | 2012-10-17 | 成都市华为赛门铁克科技有限公司 | 一种信息推送方法、系统及设备 |
| US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
| US8997219B2 (en) * | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| US20100125663A1 (en) * | 2008-11-17 | 2010-05-20 | Donovan John J | Systems, methods, and devices for detecting security vulnerabilities in ip networks |
| US8375435B2 (en) * | 2008-12-19 | 2013-02-12 | International Business Machines Corporation | Host trust report based filtering mechanism in a reverse firewall |
| US9704177B2 (en) | 2008-12-23 | 2017-07-11 | International Business Machines Corporation | Identifying spam avatars in a virtual universe (VU) based upon turing tests |
| US9697535B2 (en) | 2008-12-23 | 2017-07-04 | International Business Machines Corporation | System and method in a virtual universe for identifying spam avatars based upon avatar multimedia characteristics |
| US8424075B1 (en) * | 2008-12-31 | 2013-04-16 | Qurio Holdings, Inc. | Collaborative firewall for a distributed virtual environment |
| US8850591B2 (en) * | 2009-01-13 | 2014-09-30 | Mcafee, Inc. | System and method for concept building |
| US8706709B2 (en) | 2009-01-15 | 2014-04-22 | Mcafee, Inc. | System and method for intelligent term grouping |
| US8200602B2 (en) | 2009-02-02 | 2012-06-12 | Napo Enterprises, Llc | System and method for creating thematic listening experiences in a networked peer media recommendation environment |
| US8265658B2 (en) * | 2009-02-02 | 2012-09-11 | Waldeck Technology, Llc | System and method for automated location-based widgets |
| US8473442B1 (en) | 2009-02-25 | 2013-06-25 | Mcafee, Inc. | System and method for intelligent state management |
| US8627461B2 (en) | 2009-03-04 | 2014-01-07 | Mcafee, Inc. | System, method, and computer program product for verifying an identification of program information as unwanted |
| US9141794B1 (en) * | 2009-03-10 | 2015-09-22 | Trend Micro Incorporated | Preemptive and/or reduced-intrusion malware scanning |
| US8904520B1 (en) | 2009-03-19 | 2014-12-02 | Symantec Corporation | Communication-based reputation system |
| US20110047192A1 (en) * | 2009-03-19 | 2011-02-24 | Hitachi, Ltd. | Data processing system, data processing method, and program |
| US9350755B1 (en) * | 2009-03-20 | 2016-05-24 | Symantec Corporation | Method and apparatus for detecting malicious software transmission through a web portal |
| US8447722B1 (en) | 2009-03-25 | 2013-05-21 | Mcafee, Inc. | System and method for data mining and security policy management |
| US8667121B2 (en) | 2009-03-25 | 2014-03-04 | Mcafee, Inc. | System and method for managing data and policies |
| US11489857B2 (en) | 2009-04-21 | 2022-11-01 | Webroot Inc. | System and method for developing a risk profile for an internet resource |
| US8234259B2 (en) * | 2009-05-08 | 2012-07-31 | Raytheon Company | Method and system for adjudicating text against a defined policy |
| CN101582887B (zh) * | 2009-05-20 | 2014-02-26 | 华为技术有限公司 | 安全防护方法、网关设备及安全防护系统 |
| US9130972B2 (en) | 2009-05-26 | 2015-09-08 | Websense, Inc. | Systems and methods for efficient detection of fingerprinted data and information |
| US8621614B2 (en) * | 2009-05-26 | 2013-12-31 | Microsoft Corporation | Managing potentially phishing messages in a non-web mail client context |
| US8656476B2 (en) | 2009-05-28 | 2014-02-18 | International Business Machines Corporation | Providing notification of spam avatars |
| EP2438540A1 (en) | 2009-06-01 | 2012-04-11 | AOL Inc. | Providing suggested web search queries based on click data of stored search queries |
| CN101576947B (zh) * | 2009-06-05 | 2012-08-08 | 成都市华为赛门铁克科技有限公司 | 文件防护处理方法、装置及系统 |
| CN101600207A (zh) * | 2009-06-18 | 2009-12-09 | 中兴通讯股份有限公司 | 一种基于wap的sp访问控制方法和系统 |
| JP5147078B2 (ja) * | 2009-07-01 | 2013-02-20 | 日本電信電話株式会社 | アドレスリスト構築方法およびアドレスリスト構築システム、ならびにそのためのプログラム |
| US8347394B1 (en) * | 2009-07-15 | 2013-01-01 | Trend Micro, Inc. | Detection of downloaded malware using DNS information |
| US8271650B2 (en) * | 2009-08-25 | 2012-09-18 | Vizibility Inc. | Systems and method of identifying and managing abusive requests |
| US8800030B2 (en) * | 2009-09-15 | 2014-08-05 | Symantec Corporation | Individualized time-to-live for reputation scores of computer files |
| US8510835B1 (en) * | 2009-09-18 | 2013-08-13 | Trend Micro Incorporated | Techniques for protecting data in cloud computing environments |
| US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
| US8539583B2 (en) | 2009-11-03 | 2013-09-17 | Mcafee, Inc. | Rollback feature |
| US8356354B2 (en) * | 2009-11-23 | 2013-01-15 | Kaspersky Lab, Zao | Silent-mode signature testing in anti-malware processing |
| US20110136542A1 (en) * | 2009-12-09 | 2011-06-09 | Nokia Corporation | Method and apparatus for suggesting information resources based on context and preferences |
| US8479286B2 (en) | 2009-12-15 | 2013-07-02 | Mcafee, Inc. | Systems and methods for behavioral sandboxing |
| US20110144567A1 (en) * | 2009-12-15 | 2011-06-16 | Alcon Research, Ltd. | Phacoemulsification Hand Piece With Integrated Aspiration Pump and Cartridge |
| US20110153035A1 (en) * | 2009-12-22 | 2011-06-23 | Caterpillar Inc. | Sensor Failure Detection System And Method |
| US8719939B2 (en) * | 2009-12-31 | 2014-05-06 | Mcafee, Inc. | Malware detection via reputation system |
| US8549642B2 (en) * | 2010-01-20 | 2013-10-01 | Symantec Corporation | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails |
| US8800034B2 (en) | 2010-01-26 | 2014-08-05 | Bank Of America Corporation | Insider threat correlation tool |
| US8782209B2 (en) * | 2010-01-26 | 2014-07-15 | Bank Of America Corporation | Insider threat correlation tool |
| US8793789B2 (en) | 2010-07-22 | 2014-07-29 | Bank Of America Corporation | Insider threat correlation tool |
| US9038187B2 (en) * | 2010-01-26 | 2015-05-19 | Bank Of America Corporation | Insider threat correlation tool |
| US8719352B2 (en) * | 2010-01-29 | 2014-05-06 | Mcafee, Inc. | Reputation management for network content classification |
| US8516100B1 (en) * | 2010-02-04 | 2013-08-20 | Symantec Corporation | Method and apparatus for detecting system message misrepresentation using a keyword analysis |
| US8606792B1 (en) | 2010-02-08 | 2013-12-10 | Google Inc. | Scoring authors of posts |
| US20110209207A1 (en) * | 2010-02-25 | 2011-08-25 | Oto Technologies, Llc | System and method for generating a threat assessment |
| US9009820B1 (en) | 2010-03-08 | 2015-04-14 | Raytheon Company | System and method for malware detection using multiple techniques |
| US8863279B2 (en) * | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
| US8910279B2 (en) * | 2010-03-10 | 2014-12-09 | Sonicwall, Inc. | Reputation-based threat protection |
| CN101789105B (zh) * | 2010-03-15 | 2013-01-30 | 北京安天电子设备有限公司 | 一种在数据包的级别动态检测邮件附件病毒的方法 |
| US8856165B1 (en) * | 2010-03-26 | 2014-10-07 | Google Inc. | Ranking of users who report abuse |
| US8544100B2 (en) | 2010-04-16 | 2013-09-24 | Bank Of America Corporation | Detecting secure or encrypted tunneling in a computer network |
| US8782794B2 (en) | 2010-04-16 | 2014-07-15 | Bank Of America Corporation | Detecting secure or encrypted tunneling in a computer network |
| CN101827104B (zh) * | 2010-04-27 | 2013-01-02 | 南京邮电大学 | 一种基于多反病毒引擎的网络病毒联合防御方法 |
| US9361130B2 (en) | 2010-05-03 | 2016-06-07 | Apple Inc. | Systems, methods, and computer program products providing an integrated user interface for reading content |
| US8719900B2 (en) * | 2010-05-18 | 2014-05-06 | Amazon Technologies, Inc. | Validating updates to domain name system records |
| US8601114B1 (en) | 2010-05-21 | 2013-12-03 | Socialware, Inc. | Method, system and computer program product for interception, quarantine and moderation of internal communications of uncontrolled systems |
| US8244818B2 (en) | 2010-05-28 | 2012-08-14 | Research In Motion Limited | System and method for visual representation of spam probability |
| US8627476B1 (en) * | 2010-07-05 | 2014-01-07 | Symantec Corporation | Altering application behavior based on content provider reputation |
| CN101877710B (zh) * | 2010-07-13 | 2012-10-17 | 成都市华为赛门铁克科技有限公司 | 代理网关防病毒实现方法、预分类器和代理网关 |
| US8595830B1 (en) | 2010-07-27 | 2013-11-26 | Symantec Corporation | Method and system for detecting malware containing E-mails based on inconsistencies in public sector “From” addresses and a sending IP address |
| US9021043B2 (en) * | 2010-09-28 | 2015-04-28 | Microsoft Technology Licensing Llc | Message gateway with hybrid proxy/store-and-forward logic |
| US9148432B2 (en) * | 2010-10-12 | 2015-09-29 | Microsoft Technology Licensing, Llc | Range weighted internet protocol address blacklist |
| US8806615B2 (en) | 2010-11-04 | 2014-08-12 | Mcafee, Inc. | System and method for protecting specified data combinations |
| US8990316B1 (en) * | 2010-11-05 | 2015-03-24 | Amazon Technologies, Inc. | Identifying message deliverability problems using grouped message characteristics |
| US20120123778A1 (en) * | 2010-11-11 | 2012-05-17 | At&T Intellectual Property I, L.P. | Security Control for SMS and MMS Support Using Unified Messaging System |
| US8819816B2 (en) * | 2010-11-15 | 2014-08-26 | Facebook, Inc. | Differentiating between good and bad content in a user-provided content system |
| US8826437B2 (en) * | 2010-12-14 | 2014-09-02 | General Electric Company | Intelligent system and method for mitigating cyber attacks in critical systems through controlling latency of messages in a communications network |
| US8769060B2 (en) | 2011-01-28 | 2014-07-01 | Nominum, Inc. | Systems and methods for providing DNS services |
| US8554907B1 (en) * | 2011-02-15 | 2013-10-08 | Trend Micro, Inc. | Reputation prediction of IP addresses |
| US8667592B2 (en) * | 2011-03-15 | 2014-03-04 | Symantec Corporation | Systems and methods for looking up anti-malware metadata |
| US9122877B2 (en) * | 2011-03-21 | 2015-09-01 | Mcafee, Inc. | System and method for malware and network reputation correlation |
| US9473527B1 (en) * | 2011-05-05 | 2016-10-18 | Trend Micro Inc. | Automatically generated and shared white list |
| US9858415B2 (en) * | 2011-06-16 | 2018-01-02 | Microsoft Technology Licensing, Llc | Cloud malware false positive recovery |
| US9106680B2 (en) | 2011-06-27 | 2015-08-11 | Mcafee, Inc. | System and method for protocol fingerprinting and reputation correlation |
| US20130018965A1 (en) * | 2011-07-12 | 2013-01-17 | Microsoft Corporation | Reputational and behavioral spam mitigation |
| US9087324B2 (en) | 2011-07-12 | 2015-07-21 | Microsoft Technology Licensing, Llc | Message categorization |
| US8650649B1 (en) * | 2011-08-22 | 2014-02-11 | Symantec Corporation | Systems and methods for determining whether to evaluate the trustworthiness of digitally signed files based on signer reputation |
| US9319404B2 (en) | 2011-09-23 | 2016-04-19 | Jerome Svigals | Security for the internet of things |
| US9432378B1 (en) | 2011-09-23 | 2016-08-30 | Jerome Svigals | Internet of things security |
| US8997188B2 (en) * | 2012-04-11 | 2015-03-31 | Jerome Svigals | System for enabling a smart device to securely accept unsolicited transactions |
| US9344437B2 (en) | 2011-09-23 | 2016-05-17 | Jerome Svigals | Internet of things security |
| US8726385B2 (en) | 2011-10-05 | 2014-05-13 | Mcafee, Inc. | Distributed system and method for tracking and blocking malicious internet hosts |
| GB201117262D0 (en) * | 2011-10-06 | 2011-11-16 | Clark Steven D | Electronic mail system |
| US8909667B2 (en) | 2011-11-01 | 2014-12-09 | Lemi Technology, Llc | Systems, methods, and computer readable media for generating recommendations in a media recommendation system |
| AU2012332219B2 (en) * | 2011-11-03 | 2015-07-30 | Forcepoint Federal Llc | Intrusion prevention system (IPS) mode for a malware detection system |
| US9832221B1 (en) * | 2011-11-08 | 2017-11-28 | Symantec Corporation | Systems and methods for monitoring the activity of devices within an organization by leveraging data generated by an existing security solution deployed within the organization |
| US8549612B2 (en) * | 2011-11-28 | 2013-10-01 | Dell Products, Lp | System and method for incorporating quality-of-service and reputation in an intrusion detection and prevention system |
| US20130159497A1 (en) * | 2011-12-16 | 2013-06-20 | Microsoft Corporation | Heuristic-Based Rejection of Computing Resource Requests |
| US10365911B2 (en) * | 2011-12-18 | 2019-07-30 | International Business Machines Corporation | Determining optimal update frequency for software application updates |
| US8886651B1 (en) | 2011-12-22 | 2014-11-11 | Reputation.Com, Inc. | Thematic clustering |
| US20130198203A1 (en) * | 2011-12-22 | 2013-08-01 | John Bates | Bot detection using profile-based filtration |
| US9001699B2 (en) * | 2011-12-26 | 2015-04-07 | Jaya MEGHANI | Systems and methods for communication setup via reconciliation of internet protocol addresses |
| US8700561B2 (en) | 2011-12-27 | 2014-04-15 | Mcafee, Inc. | System and method for providing data protection workflows in a network environment |
| US9270638B2 (en) | 2012-01-20 | 2016-02-23 | Cisco Technology, Inc. | Managing address validation states in switches snooping IPv6 |
| WO2013112153A1 (en) * | 2012-01-26 | 2013-08-01 | Hewlett-Packard Development Company, L.P. | Identifying a push communication pattern |
| US10636041B1 (en) | 2012-03-05 | 2020-04-28 | Reputation.Com, Inc. | Enterprise reputation evaluation |
| US9697490B1 (en) | 2012-03-05 | 2017-07-04 | Reputation.Com, Inc. | Industry review benchmarking |
| RU2510982C2 (ru) * | 2012-04-06 | 2014-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ оценки пользователей для фильтрации сообщений |
| US8931043B2 (en) | 2012-04-10 | 2015-01-06 | Mcafee Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
| US8782793B2 (en) * | 2012-05-22 | 2014-07-15 | Kaspersky Lab Zao | System and method for detection and treatment of malware on data storage devices |
| US9876742B2 (en) * | 2012-06-29 | 2018-01-23 | Microsoft Technology Licensing, Llc | Techniques to select and prioritize application of junk email filtering rules |
| US11093984B1 (en) | 2012-06-29 | 2021-08-17 | Reputation.Com, Inc. | Determining themes |
| US9432401B2 (en) * | 2012-07-06 | 2016-08-30 | Microsoft Technology Licensing, Llc | Providing consistent security information |
| US9049235B2 (en) * | 2012-07-16 | 2015-06-02 | Mcafee, Inc. | Cloud email message scanning with local policy application in a network environment |
| US9124472B1 (en) | 2012-07-25 | 2015-09-01 | Symantec Corporation | Providing file information to a client responsive to a file download stability prediction |
| US9461897B1 (en) * | 2012-07-31 | 2016-10-04 | United Services Automobile Association (Usaa) | Monitoring and analysis of social network traffic |
| US9363133B2 (en) | 2012-09-28 | 2016-06-07 | Avaya Inc. | Distributed application of enterprise policies to Web Real-Time Communications (WebRTC) interactive sessions, and related methods, systems, and computer-readable media |
| RU2514140C1 (ru) * | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов |
| US10164929B2 (en) | 2012-09-28 | 2018-12-25 | Avaya Inc. | Intelligent notification of requests for real-time online interaction via real-time communications and/or markup protocols, and related methods, systems, and computer-readable media |
| US8918473B1 (en) * | 2012-10-09 | 2014-12-23 | Whatsapp Inc. | System and method for detecting unwanted content |
| CN103824018B (zh) * | 2012-11-19 | 2017-11-14 | 腾讯科技(深圳)有限公司 | 一种可执行文件处理方法以及可执行文件监控方法 |
| US8904526B2 (en) * | 2012-11-20 | 2014-12-02 | Bank Of America Corporation | Enhanced network security |
| US8869275B2 (en) * | 2012-11-28 | 2014-10-21 | Verisign, Inc. | Systems and methods to detect and respond to distributed denial of service (DDoS) attacks |
| US9258263B2 (en) * | 2012-11-29 | 2016-02-09 | International Business Machines Corporation | Dynamic granular messaging persistence |
| US9241259B2 (en) | 2012-11-30 | 2016-01-19 | Websense, Inc. | Method and apparatus for managing the transfer of sensitive information to mobile devices |
| US9560069B1 (en) * | 2012-12-02 | 2017-01-31 | Symantec Corporation | Method and system for protection of messages in an electronic messaging system |
| US9106681B2 (en) * | 2012-12-17 | 2015-08-11 | Hewlett-Packard Development Company, L.P. | Reputation of network address |
| US8955137B2 (en) * | 2012-12-21 | 2015-02-10 | State Farm Mutual Automobile Insurance Company | System and method for uploading and verifying a document |
| US8744866B1 (en) | 2012-12-21 | 2014-06-03 | Reputation.Com, Inc. | Reputation report with recommendation |
| US8805699B1 (en) | 2012-12-21 | 2014-08-12 | Reputation.Com, Inc. | Reputation report with score |
| US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
| US8966637B2 (en) | 2013-02-08 | 2015-02-24 | PhishMe, Inc. | Performance benchmarking for simulated phishing attacks |
| US9398038B2 (en) | 2013-02-08 | 2016-07-19 | PhishMe, Inc. | Collaborative phishing attack detection |
| US9356948B2 (en) | 2013-02-08 | 2016-05-31 | PhishMe, Inc. | Collaborative phishing attack detection |
| US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
| US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
| US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
| US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
| US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
| US9137049B2 (en) * | 2013-02-28 | 2015-09-15 | Apple Inc. | Dynamically overriding alert suppressions based on prior actions |
| US10659480B2 (en) * | 2013-03-07 | 2020-05-19 | Inquest, Llc | Integrated network threat analysis |
| US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
| US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
| US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
| US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
| US10649970B1 (en) * | 2013-03-14 | 2020-05-12 | Invincea, Inc. | Methods and apparatus for detection of functionality |
| US9294458B2 (en) | 2013-03-14 | 2016-03-22 | Avaya Inc. | Managing identity provider (IdP) identifiers for web real-time communications (WebRTC) interactive flows, and related methods, systems, and computer-readable media |
| US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
| US8925099B1 (en) | 2013-03-14 | 2014-12-30 | Reputation.Com, Inc. | Privacy scoring |
| US9722918B2 (en) | 2013-03-15 | 2017-08-01 | A10 Networks, Inc. | System and method for customizing the identification of application or content type |
| US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
| US10164989B2 (en) * | 2013-03-15 | 2018-12-25 | Nominum, Inc. | Distinguishing human-driven DNS queries from machine-to-machine DNS queries |
| US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
| US9460074B2 (en) * | 2013-04-15 | 2016-10-04 | Vmware, Inc. | Efficient data pattern matching |
| US10318397B2 (en) * | 2013-04-15 | 2019-06-11 | Vmware, Inc. | Efficient data pattern matching |
| WO2014176461A1 (en) * | 2013-04-25 | 2014-10-30 | A10 Networks, Inc. | Systems and methods for network access control |
| US9634970B2 (en) * | 2013-04-30 | 2017-04-25 | Cloudmark, Inc. | Apparatus and method for augmenting a message to facilitate spam identification |
| US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
| US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
| US10205624B2 (en) | 2013-06-07 | 2019-02-12 | Avaya Inc. | Bandwidth-efficient archiving of real-time interactive flows, and related methods, systems, and computer-readable media |
| US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
| US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
| US9639693B2 (en) * | 2013-06-28 | 2017-05-02 | Symantec Corporation | Techniques for detecting a security vulnerability |
| US9065969B2 (en) | 2013-06-30 | 2015-06-23 | Avaya Inc. | Scalable web real-time communications (WebRTC) media engines, and related methods, systems, and computer-readable media |
| US9525718B2 (en) | 2013-06-30 | 2016-12-20 | Avaya Inc. | Back-to-back virtual web real-time communications (WebRTC) agents, and related methods, systems, and computer-readable media |
| US9112840B2 (en) | 2013-07-17 | 2015-08-18 | Avaya Inc. | Verifying privacy of web real-time communications (WebRTC) media channels via corresponding WebRTC data channels, and related methods, systems, and computer-readable media |
| CN103338211A (zh) * | 2013-07-19 | 2013-10-02 | 腾讯科技(深圳)有限公司 | 一种恶意url鉴定方法及装置 |
| US9614890B2 (en) | 2013-07-31 | 2017-04-04 | Avaya Inc. | Acquiring and correlating web real-time communications (WEBRTC) interactive flow characteristics, and related methods, systems, and computer-readable media |
| US9531808B2 (en) | 2013-08-22 | 2016-12-27 | Avaya Inc. | Providing data resource services within enterprise systems for resource level sharing among multiple applications, and related methods, systems, and computer-readable media |
| KR101480903B1 (ko) * | 2013-09-03 | 2015-01-13 | 한국전자통신연구원 | 모바일 악성코드 다중 점검 방법 |
| US10225212B2 (en) | 2013-09-26 | 2019-03-05 | Avaya Inc. | Providing network management based on monitoring quality of service (QOS) characteristics of web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media |
| US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
| US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
| US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
| US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
| US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
| US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
| RU2013144681A (ru) | 2013-10-03 | 2015-04-10 | Общество С Ограниченной Ответственностью "Яндекс" | Система обработки электронного сообщения для определения его классификации |
| GB2518880A (en) | 2013-10-04 | 2015-04-08 | Glasswall Ip Ltd | Anti-Malware mobile content data management apparatus and method |
| GB2519516B (en) * | 2013-10-21 | 2017-05-10 | Openwave Mobility Inc | A method, apparatus and computer program for modifying messages in a communications network |
| WO2015060857A1 (en) | 2013-10-24 | 2015-04-30 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
| US10263952B2 (en) | 2013-10-31 | 2019-04-16 | Avaya Inc. | Providing origin insight for web applications via session traversal utilities for network address translation (STUN) messages, and related methods, systems, and computer-readable media |
| US9319423B2 (en) * | 2013-11-04 | 2016-04-19 | At&T Intellectual Property I, L.P. | Malware and anomaly detection via activity recognition based on sensor data |
| US9769214B2 (en) | 2013-11-05 | 2017-09-19 | Avaya Inc. | Providing reliable session initiation protocol (SIP) signaling for web real-time communications (WEBRTC) interactive flows, and related methods, systems, and computer-readable media |
| US10694029B1 (en) | 2013-11-07 | 2020-06-23 | Rightquestion, Llc | Validating automatic number identification data |
| US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
| GB2520972A (en) | 2013-12-05 | 2015-06-10 | Ibm | Workload management |
| US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
| US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
| US10129243B2 (en) | 2013-12-27 | 2018-11-13 | Avaya Inc. | Controlling access to traversal using relays around network address translation (TURN) servers using trusted single-use credentials |
| US9288221B2 (en) * | 2014-01-14 | 2016-03-15 | Pfu Limited | Information processing apparatus, method for determining unauthorized activity and computer-readable medium |
| US9507935B2 (en) | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
| US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
| US9264418B1 (en) * | 2014-02-20 | 2016-02-16 | Amazon Technologies, Inc. | Client-side spam detection and prevention |
| EP3108399A4 (en) * | 2014-02-21 | 2017-07-19 | Hewlett-Packard Enterprise Development LP | Scoring for threat observables |
| CN103823761B (zh) * | 2014-03-09 | 2017-01-25 | 林虎 | 一种提升终端黑名单容量和检索速度的方法 |
| US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
| US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
| US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
| US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
| US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
| US10581927B2 (en) | 2014-04-17 | 2020-03-03 | Avaya Inc. | Providing web real-time communications (WebRTC) media services via WebRTC-enabled media servers, and related methods, systems, and computer-readable media |
| US9749363B2 (en) | 2014-04-17 | 2017-08-29 | Avaya Inc. | Application of enterprise policies to web real-time communications (WebRTC) interactive sessions using an enterprise session initiation protocol (SIP) engine, and related methods, systems, and computer-readable media |
| US9245123B1 (en) * | 2014-05-07 | 2016-01-26 | Symantec Corporation | Systems and methods for identifying malicious files |
| US9906422B2 (en) | 2014-05-16 | 2018-02-27 | A10 Networks, Inc. | Distributed system to determine a server's health |
| US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
| US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
| US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
| WO2015195093A1 (en) | 2014-06-17 | 2015-12-23 | Hewlett-Packard Development Company, L. P. | Dns based infection scores |
| US9912705B2 (en) | 2014-06-24 | 2018-03-06 | Avaya Inc. | Enhancing media characteristics during web real-time communications (WebRTC) interactive sessions by using session initiation protocol (SIP) endpoints, and related methods, systems, and computer-readable media |
| US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
| US9652615B1 (en) | 2014-06-25 | 2017-05-16 | Symantec Corporation | Systems and methods for analyzing suspected malware |
| US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
| US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
| US20150381533A1 (en) * | 2014-06-29 | 2015-12-31 | Avaya Inc. | System and Method for Email Management Through Detection and Analysis of Dynamically Variable Behavior and Activity Patterns |
| US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
| CN105338126B (zh) * | 2014-07-17 | 2018-10-23 | 阿里巴巴集团控股有限公司 | 远程查询信息的方法及服务器 |
| US9654484B2 (en) * | 2014-07-31 | 2017-05-16 | Cisco Technology, Inc. | Detecting DGA-based malicious software using network flow information |
| US10666676B1 (en) * | 2014-08-18 | 2020-05-26 | Trend Micro Incorporated | Detection of targeted email attacks |
| US9548988B1 (en) | 2014-08-18 | 2017-01-17 | Symantec Corporation | Systems and methods for attributing potentially malicious email campaigns to known threat groups |
| US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
| US9729565B2 (en) * | 2014-09-17 | 2017-08-08 | Cisco Technology, Inc. | Provisional bot activity recognition |
| US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
| US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
| US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
| US9754106B2 (en) * | 2014-10-14 | 2017-09-05 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
| US9571510B1 (en) | 2014-10-21 | 2017-02-14 | Symantec Corporation | Systems and methods for identifying security threat sources responsible for security events |
| KR102295664B1 (ko) * | 2014-10-21 | 2021-08-27 | 삼성에스디에스 주식회사 | 글로벌 서버 로드 밸런서 장치 및 상기 장치에서의 동적 캐쉬 유효 기간 제어 방법 |
| US9870534B1 (en) | 2014-11-06 | 2018-01-16 | Nominum, Inc. | Predicting network activities associated with a given site |
| WO2016073793A1 (en) * | 2014-11-07 | 2016-05-12 | Area 1 Security, Inc. | Remediating computer security threats using distributed sensor computers |
| US9374385B1 (en) | 2014-11-07 | 2016-06-21 | Area 1 Security, Inc. | Remediating computer security threats using distributed sensor computers |
| US9398047B2 (en) * | 2014-11-17 | 2016-07-19 | Vade Retro Technology, Inc. | Methods and systems for phishing detection |
| WO2016099458A1 (en) * | 2014-12-16 | 2016-06-23 | Hewlett Packard Enterprise Development Lp | Determining permissible activity based on permissible activity rules |
| US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
| US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
| US9378364B1 (en) * | 2014-12-27 | 2016-06-28 | Intel Corporation | Technologies for managing security threats to a computing system utilizing user interactions |
| US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
| US9621575B1 (en) | 2014-12-29 | 2017-04-11 | A10 Networks, Inc. | Context aware threat protection |
| US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
| US10164927B2 (en) | 2015-01-14 | 2018-12-25 | Vade Secure, Inc. | Safe unsubscribe |
| US9674053B2 (en) * | 2015-01-30 | 2017-06-06 | Gigamon Inc. | Automatic target selection |
| JP2016148967A (ja) * | 2015-02-12 | 2016-08-18 | 富士通株式会社 | 情報処理装置、情報処理方法及びプログラム |
| MA41502A (fr) * | 2015-02-14 | 2017-12-19 | Valimail Inc | Validation centralisée d'expéditeurs d'email par ciblage de noms ehlo et d'adresses ip |
| US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
| US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
| US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
| US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
| US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
| US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
| US9906539B2 (en) | 2015-04-10 | 2018-02-27 | PhishMe, Inc. | Suspicious message processing and incident response |
| US10298602B2 (en) | 2015-04-10 | 2019-05-21 | Cofense Inc. | Suspicious message processing and incident response |
| WO2016164844A1 (en) * | 2015-04-10 | 2016-10-13 | PhishMe, Inc. | Message report processing and threat prioritization |
| US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
| US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
| US20160337394A1 (en) * | 2015-05-11 | 2016-11-17 | The Boeing Company | Newborn domain screening of electronic mail messages |
| US11363035B2 (en) * | 2015-05-22 | 2022-06-14 | Fisher-Rosemount Systems, Inc. | Configurable robustness agent in a plant security system |
| US9961090B2 (en) * | 2015-06-18 | 2018-05-01 | Bank Of America Corporation | Message quarantine |
| US9521157B1 (en) * | 2015-06-24 | 2016-12-13 | Bank Of America Corporation | Identifying and assessing malicious resources |
| US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
| US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
| US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
| US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
| US9954804B2 (en) * | 2015-07-30 | 2018-04-24 | International Business Machines Coporation | Method and system for preemptive harvesting of spam messages |
| US9690938B1 (en) | 2015-08-05 | 2017-06-27 | Invincea, Inc. | Methods and apparatus for machine learning based malware detection |
| US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
| CN105743876B (zh) * | 2015-08-28 | 2019-09-13 | 哈尔滨安天科技股份有限公司 | 一种基于邮件源数据发现针对性攻击的方法及系统 |
| US9467435B1 (en) | 2015-09-15 | 2016-10-11 | Mimecast North America, Inc. | Electronic message threat protection system for authorized users |
| US11595417B2 (en) | 2015-09-15 | 2023-02-28 | Mimecast Services Ltd. | Systems and methods for mediating access to resources |
| US9654492B2 (en) * | 2015-09-15 | 2017-05-16 | Mimecast North America, Inc. | Malware detection system based on stored data |
| US10728239B2 (en) | 2015-09-15 | 2020-07-28 | Mimecast Services Ltd. | Mediated access to resources |
| US10536449B2 (en) | 2015-09-15 | 2020-01-14 | Mimecast Services Ltd. | User login credential warning system |
| US10536408B2 (en) * | 2015-09-16 | 2020-01-14 | Litéra Corporation | Systems and methods for detecting, reporting and cleaning metadata from inbound attachments |
| US10686817B2 (en) | 2015-09-21 | 2020-06-16 | Hewlett Packard Enterprise Development Lp | Identification of a DNS packet as malicious based on a value |
| US9787581B2 (en) | 2015-09-21 | 2017-10-10 | A10 Networks, Inc. | Secure data flow open information analytics |
| US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
| US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
| US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
| US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
| US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
| US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
| US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
| US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
| US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
| FR3043807B1 (fr) * | 2015-11-18 | 2017-12-08 | Bull Sas | Dispositif de validation de communication |
| EP3171567B1 (en) * | 2015-11-23 | 2018-10-24 | Alcatel Lucent | Advanced persistent threat detection |
| US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
| US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
| US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
| US9954877B2 (en) * | 2015-12-21 | 2018-04-24 | Ebay Inc. | Automatic detection of hidden link mismatches with spoofed metadata |
| US10706368B2 (en) * | 2015-12-30 | 2020-07-07 | Veritas Technologies Llc | Systems and methods for efficiently classifying data objects |
| US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
| US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
| US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
| US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
| US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
| US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
| US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
| US10049193B2 (en) * | 2016-01-04 | 2018-08-14 | Bank Of America Corporation | System for neutralizing misappropriated electronic files |
| US10154056B2 (en) * | 2016-02-10 | 2018-12-11 | Agari Data, Inc. | Message authenticity and risk assessment |
| US10218656B2 (en) | 2016-03-08 | 2019-02-26 | International Business Machines Corporation | Smart message delivery based on transaction processing status |
| US10142366B2 (en) | 2016-03-15 | 2018-11-27 | Vade Secure, Inc. | Methods, systems and devices to mitigate the effects of side effect URLs in legitimate and phishing electronic messages |
| US10432661B2 (en) * | 2016-03-24 | 2019-10-01 | Cisco Technology, Inc. | Score boosting strategies for capturing domain-specific biases in anomaly detection systems |
| US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
| US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
| US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
| US10616266B1 (en) | 2016-03-25 | 2020-04-07 | Fireeye, Inc. | Distributed malware detection system and submission workflow thereof |
| US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US9591012B1 (en) * | 2016-03-31 | 2017-03-07 | Viewpost Ip Holdings, Llc | Systems and methods for detecing fraudulent electronic communication |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US10938781B2 (en) | 2016-04-22 | 2021-03-02 | Sophos Limited | Secure labeling of network flows |
| US10986109B2 (en) | 2016-04-22 | 2021-04-20 | Sophos Limited | Local proxy detection |
| US11165797B2 (en) | 2016-04-22 | 2021-11-02 | Sophos Limited | Detecting endpoint compromise based on network usage history |
| US11102238B2 (en) | 2016-04-22 | 2021-08-24 | Sophos Limited | Detecting triggering events for distributed denial of service attacks |
| US11277416B2 (en) * | 2016-04-22 | 2022-03-15 | Sophos Limited | Labeling network flows according to source applications |
| US20170359306A1 (en) | 2016-06-10 | 2017-12-14 | Sophos Limited | Network security |
| US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
| EP3475822B1 (en) | 2016-06-22 | 2020-07-22 | Invincea, Inc. | Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning |
| US10073968B1 (en) * | 2016-06-24 | 2018-09-11 | Symantec Corporation | Systems and methods for classifying files |
| US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
| WO2018004600A1 (en) | 2016-06-30 | 2018-01-04 | Sophos Limited | Proactive network security using a health heartbeat |
| US10812348B2 (en) | 2016-07-15 | 2020-10-20 | A10 Networks, Inc. | Automatic capture of network data for a detected anomaly |
| US10938844B2 (en) | 2016-07-22 | 2021-03-02 | At&T Intellectual Property I, L.P. | Providing security through characterizing mobile traffic by domain names |
| US10341118B2 (en) | 2016-08-01 | 2019-07-02 | A10 Networks, Inc. | SSL gateway with integrated hardware security module |
| RU2649793C2 (ru) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
| US11349852B2 (en) | 2016-08-31 | 2022-05-31 | Wedge Networks Inc. | Apparatus and methods for network-based line-rate detection of unknown malware |
| US11182476B2 (en) * | 2016-09-07 | 2021-11-23 | Micro Focus Llc | Enhanced intelligence for a security information sharing platform |
| US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
| RU2634209C1 (ru) | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
| US10880322B1 (en) | 2016-09-26 | 2020-12-29 | Agari Data, Inc. | Automated tracking of interaction with a resource of a message |
| US11936604B2 (en) | 2016-09-26 | 2024-03-19 | Agari Data, Inc. | Multi-level security analysis and intermediate delivery of an electronic message |
| US9847973B1 (en) * | 2016-09-26 | 2017-12-19 | Agari Data, Inc. | Mitigating communication risk by detecting similarity to a trusted message contact |
| US10805314B2 (en) * | 2017-05-19 | 2020-10-13 | Agari Data, Inc. | Using message context to evaluate security of requested data |
| US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
| US10218716B2 (en) * | 2016-10-01 | 2019-02-26 | Intel Corporation | Technologies for analyzing uniform resource locators |
| US10382562B2 (en) | 2016-11-04 | 2019-08-13 | A10 Networks, Inc. | Verification of server certificates using hash codes |
| US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
| GB2555858B (en) * | 2016-11-15 | 2021-06-23 | F Secure Corp | Remote malware scanning method and apparatus |
| US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
| US11722513B2 (en) | 2016-11-30 | 2023-08-08 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
| US11044267B2 (en) | 2016-11-30 | 2021-06-22 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
| US10250475B2 (en) | 2016-12-08 | 2019-04-02 | A10 Networks, Inc. | Measurement of application response delay time |
| US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
| US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
| CN106713318B (zh) * | 2016-12-23 | 2020-04-07 | 新东网科技有限公司 | 一种web站点安全防护方法及系统 |
| US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
| RU2671991C2 (ru) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
| RU2637477C1 (ru) | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | Система и способ обнаружения фишинговых веб-страниц |
| US10397270B2 (en) | 2017-01-04 | 2019-08-27 | A10 Networks, Inc. | Dynamic session rate limiter |
| US10187377B2 (en) | 2017-02-08 | 2019-01-22 | A10 Networks, Inc. | Caching network generated security certificates |
| US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
| US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
| US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
| US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
| US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
| US11019076B1 (en) | 2017-04-26 | 2021-05-25 | Agari Data, Inc. | Message security assessment using sender identity profiles |
| US10170112B2 (en) * | 2017-05-11 | 2019-01-01 | Google Llc | Detecting and suppressing voice queries |
| US11102244B1 (en) * | 2017-06-07 | 2021-08-24 | Agari Data, Inc. | Automated intelligence gathering |
| US11757914B1 (en) | 2017-06-07 | 2023-09-12 | Agari Data, Inc. | Automated responsive message to determine a security risk of a message sender |
| JP6378808B2 (ja) * | 2017-06-28 | 2018-08-22 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 接続先情報判定装置、接続先情報判定方法、及びプログラム |
| US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
| US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
| US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
| US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
| US10742669B2 (en) * | 2017-08-09 | 2020-08-11 | NTT Security Corporation | Malware host netflow analysis system and method |
| RU2666644C1 (ru) | 2017-08-10 | 2018-09-11 | Акционерное общество "Лаборатория Касперского" | Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами |
| US10891373B2 (en) * | 2017-08-31 | 2021-01-12 | Micro Focus Llc | Quarantining electronic messages based on relationships among associated addresses |
| US10983602B2 (en) * | 2017-09-05 | 2021-04-20 | Microsoft Technology Licensing, Llc | Identifying an input device |
| US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
| US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
| US10708308B2 (en) * | 2017-10-02 | 2020-07-07 | Servicenow, Inc. | Automated mitigation of electronic message based security threats |
| US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
| US11470029B2 (en) * | 2017-10-31 | 2022-10-11 | Edgewave, Inc. | Analysis and reporting of suspicious email |
| RU2689816C2 (ru) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Способ для классифицирования последовательности действий пользователя (варианты) |
| US11349873B2 (en) | 2017-11-27 | 2022-05-31 | ArmorBlox, Inc. | User model-based data loss prevention |
| US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
| US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
| US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
| RU2676247C1 (ru) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
| RU2677368C1 (ru) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система для автоматического определения нечетких дубликатов видеоконтента |
| RU2680736C1 (ru) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
| RU2668710C1 (ru) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
| RU2677361C1 (ru) | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
| RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
| US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
| US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
| US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
| US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
| US10880319B2 (en) * | 2018-04-26 | 2020-12-29 | Micro Focus Llc | Determining potentially malware generated domain names |
| US11431745B2 (en) * | 2018-04-30 | 2022-08-30 | Microsoft Technology Licensing, Llc | Techniques for curating threat intelligence data |
| US10785188B2 (en) * | 2018-05-22 | 2020-09-22 | Proofpoint, Inc. | Domain name processing systems and methods |
| US10839353B2 (en) * | 2018-05-24 | 2020-11-17 | Mxtoolbox, Inc. | Systems and methods for improved email security by linking customer domains to outbound sources |
| US11372893B2 (en) | 2018-06-01 | 2022-06-28 | Ntt Security Holdings Corporation | Ensemble-based data curation pipeline for efficient label propagation |
| US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
| US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
| US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
| US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
| US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
| US11374977B2 (en) * | 2018-09-20 | 2022-06-28 | Forcepoint Llc | Endpoint risk-based network protection |
| US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
| US11025651B2 (en) | 2018-12-06 | 2021-06-01 | Saudi Arabian Oil Company | System and method for enhanced security analysis for quarantined email messages |
| RU2708508C1 (ru) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями |
| US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
| US11743290B2 (en) | 2018-12-21 | 2023-08-29 | Fireeye Security Holdings Us Llc | System and method for detecting cyberattacks impersonating legitimate sources |
| US11176251B1 (en) | 2018-12-21 | 2021-11-16 | Fireeye, Inc. | Determining malware via symbolic function hash analysis |
| RU2701040C1 (ru) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
| US11601444B1 (en) | 2018-12-31 | 2023-03-07 | Fireeye Security Holdings Us Llc | Automated system for triage of customer issues |
| US11411990B2 (en) * | 2019-02-15 | 2022-08-09 | Forcepoint Llc | Early detection of potentially-compromised email accounts |
| EP3842968B1 (en) | 2019-02-27 | 2024-04-24 | "Group IB" Ltd. | Method and system for identifying a user according to keystroke dynamics |
| US11063897B2 (en) * | 2019-03-01 | 2021-07-13 | Cdw Llc | Method and system for analyzing electronic communications and customer information to recognize and mitigate message-based attacks |
| US11310238B1 (en) | 2019-03-26 | 2022-04-19 | FireEye Security Holdings, Inc. | System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources |
| US10686826B1 (en) * | 2019-03-28 | 2020-06-16 | Vade Secure Inc. | Optical scanning parameters computation methods, devices and systems for malicious URL detection |
| US11677786B1 (en) | 2019-03-29 | 2023-06-13 | Fireeye Security Holdings Us Llc | System and method for detecting and protecting against cybersecurity attacks on servers |
| RU2710739C1 (ru) * | 2019-03-29 | 2020-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования эвристических правил для выявления писем, содержащих спам |
| US11636198B1 (en) | 2019-03-30 | 2023-04-25 | Fireeye Security Holdings Us Llc | System and method for cybersecurity analyzer update and concurrent management system |
| US11582120B2 (en) | 2019-05-30 | 2023-02-14 | Vmware, Inc. | Partitioning health monitoring in a global server load balancing system |
| US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
| US11405363B2 (en) | 2019-06-26 | 2022-08-02 | Microsoft Technology Licensing, Llc | File upload control for client-side applications in proxy solutions |
| US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
| US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
| US11178178B2 (en) * | 2019-07-29 | 2021-11-16 | Material Security Inc. | Secure communications service for intercepting suspicious messages and performing backchannel verification thereon |
| CN110443051B (zh) * | 2019-07-30 | 2022-12-27 | 空气动力学国家重点实验室 | 一种防止涉密文档在互联网传播的方法 |
| US11159464B2 (en) * | 2019-08-02 | 2021-10-26 | Dell Products L.P. | System and method for detecting and removing electronic mail storms |
| EP3808049B1 (en) * | 2019-09-03 | 2022-02-23 | Google LLC | Systems and methods for authenticated control of content delivery |
| US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
| US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
| RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
| RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
| RU2743974C1 (ru) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ сканирования защищенности элементов сетевой архитектуры |
| US11838300B1 (en) | 2019-12-24 | 2023-12-05 | Musarubra Us Llc | Run-time configurable cybersecurity system |
| US11522884B1 (en) | 2019-12-24 | 2022-12-06 | Fireeye Security Holdings Us Llc | Subscription and key management system |
| US11436327B1 (en) | 2019-12-24 | 2022-09-06 | Fireeye Security Holdings Us Llc | System and method for circumventing evasive code for cyberthreat detection |
| US11582190B2 (en) * | 2020-02-10 | 2023-02-14 | Proofpoint, Inc. | Electronic message processing systems and methods |
| SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
| EP4144063A1 (en) * | 2020-04-29 | 2023-03-08 | Knowbe4, Inc. | Systems and methods for reporting based simulated phishing campaign |
| EP4135281A4 (en) * | 2020-05-29 | 2024-01-31 | Siemens Ltd China | METHOD AND DEVICE FOR SAFETY ANALYSIS OF AN INDUSTRIAL CONTROL SYSTEM AND COMPUTER READABLE MEDIUM |
| US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
| US11483314B2 (en) * | 2020-08-04 | 2022-10-25 | Mastercard Technologies Canada ULC | Distributed evaluation list updating |
| RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
| US11973799B2 (en) | 2020-09-04 | 2024-04-30 | Proofpoint, Inc. | Domain name processing systems and methods |
| US11050698B1 (en) * | 2020-09-18 | 2021-06-29 | Area 1 Security, Inc. | Message processing system with business email compromise detection |
| US20220116406A1 (en) * | 2020-10-12 | 2022-04-14 | Microsoft Technology Licensing, Llc | Malware detection and mitigation via a forward proxy server |
| US11588848B2 (en) | 2021-01-05 | 2023-02-21 | Bank Of America Corporation | System and method for suspending a computing device suspected of being infected by a malicious code using a kill switch button |
| US11748680B2 (en) | 2021-02-22 | 2023-09-05 | Intone Networks India Pvt. Ltd | System for internal audit and internal control management and related methods |
| US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
| US11882112B2 (en) | 2021-05-26 | 2024-01-23 | Bank Of America Corporation | Information security system and method for phishing threat prevention using tokens |
| US11792155B2 (en) * | 2021-06-14 | 2023-10-17 | Vmware, Inc. | Method and apparatus for enhanced client persistence in multi-site GSLB deployments |
| US20230004638A1 (en) * | 2021-06-30 | 2023-01-05 | Citrix Systems, Inc. | Redirection of attachments based on risk and context |
| US11934402B2 (en) * | 2021-08-06 | 2024-03-19 | Bank Of America Corporation | System and method for generating optimized data queries to improve hardware efficiency and utilization |
| US20230041397A1 (en) * | 2021-08-06 | 2023-02-09 | Vmware, Inc. | System and method for checking reputations of executable files using file origin analysis |
| US11941121B2 (en) * | 2021-12-28 | 2024-03-26 | Uab 360 It | Systems and methods for detecting malware using static and dynamic malware models |
| CN115348234B (zh) * | 2022-08-10 | 2023-11-03 | 山石网科通信技术股份有限公司 | 服务器检测方法、装置及电子设备 |
| WO2024044037A1 (en) * | 2022-08-26 | 2024-02-29 | Stairwell, Inc. | Evaluating files using a rule- or feature-based system for detection of malicious and/or suspicious patterns |
| CN115632878B (zh) * | 2022-12-06 | 2023-03-31 | 中海油能源发展股份有限公司采油服务分公司 | 基于网络隔离的数据传输方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001222480A (ja) * | 2000-02-14 | 2001-08-17 | Fujitsu Ltd | 電子メール運用管理システム |
| JP2002123469A (ja) * | 2000-10-13 | 2002-04-26 | Nec System Technologies Ltd | 電子メール送受信装置、電子メールシステム、電子メール処理方法、記録媒体 |
| WO2003071753A1 (fr) * | 2002-02-22 | 2003-08-28 | Access Co., Ltd. | Procede et dispositif permettant le traitement de courrier electronique indesirable pour l'utilisateur |
| US20040117648A1 (en) * | 2002-12-16 | 2004-06-17 | Kissel Timo S. | Proactive protection against e-mail worms and spam |
| JP2005005918A (ja) * | 2003-06-11 | 2005-01-06 | Nec Corp | 電子メール中継装置及びそれに用いる電子メール中継方法 |
| JP2005011369A (ja) * | 1995-09-26 | 2005-01-13 | Trend Micro Inc | コンピュータ・ネットワーク用のウイルス検出・除去装置 |
Family Cites Families (132)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4956769A (en) * | 1988-05-16 | 1990-09-11 | Sysmith, Inc. | Occurence and value based security system for computer databases |
| US5715466A (en) | 1995-02-14 | 1998-02-03 | Compuserve Incorporated | System for parallel foreign language communication over a computer network |
| US5926462A (en) * | 1995-11-16 | 1999-07-20 | Loran Network Systems, Llc | Method of determining topology of a network of objects which compares the similarity of the traffic sequences/volumes of a pair of devices |
| US6453327B1 (en) | 1996-06-10 | 2002-09-17 | Sun Microsystems, Inc. | Method and apparatus for identifying and discarding junk electronic mail |
| US6072942A (en) | 1996-09-18 | 2000-06-06 | Secure Computing Corporation | System and method of electronic mail filtering using interconnected nodes |
| US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
| US5970149A (en) * | 1996-11-19 | 1999-10-19 | Johnson; R. Brent | Combined remote access and security system |
| US6334193B1 (en) * | 1997-05-29 | 2001-12-25 | Oracle Corporation | Method and apparatus for implementing user-definable error handling processes |
| US7778877B2 (en) | 2001-07-09 | 2010-08-17 | Linkshare Corporation | Enhanced network based promotional tracking system |
| US7117358B2 (en) | 1997-07-24 | 2006-10-03 | Tumbleweed Communications Corp. | Method and system for filtering communication |
| US6073165A (en) * | 1997-07-29 | 2000-06-06 | Jfax Communications, Inc. | Filtering computer network messages directed to a user's e-mail box based on user defined filters, and forwarding a filtered message to the user's receiver |
| US6006329A (en) | 1997-08-11 | 1999-12-21 | Symantec Corporation | Detection of computer viruses spanning multiple data streams |
| US6393465B2 (en) | 1997-11-25 | 2002-05-21 | Nixmail Corporation | Junk electronic mail detector and eliminator |
| US6052709A (en) | 1997-12-23 | 2000-04-18 | Bright Light Technologies, Inc. | Apparatus and method for controlling delivery of unsolicited electronic mail |
| US6161185A (en) * | 1998-03-06 | 2000-12-12 | Mci Communications Corporation | Personal authentication system and method for multiple computer platform |
| JP3225924B2 (ja) | 1998-07-09 | 2001-11-05 | 日本電気株式会社 | 通信品質制御装置 |
| US6067619A (en) | 1998-09-24 | 2000-05-23 | Hewlett-Packard Company | Apparatus and method for configuring a computer networking device |
| US6546416B1 (en) | 1998-12-09 | 2003-04-08 | Infoseek Corporation | Method and system for selectively blocking delivery of bulk electronic mail |
| US6615242B1 (en) * | 1998-12-28 | 2003-09-02 | At&T Corp. | Automatic uniform resource locator-based message filter |
| US6654787B1 (en) | 1998-12-31 | 2003-11-25 | Brightmail, Incorporated | Method and apparatus for filtering e-mail |
| US6507866B1 (en) * | 1999-07-19 | 2003-01-14 | At&T Wireless Services, Inc. | E-mail usage pattern detection |
| US7184971B1 (en) | 1999-11-20 | 2007-02-27 | Advertising.Com | Method and apparatus for an E-mail affiliate program |
| EP1234244A4 (en) * | 1999-11-23 | 2005-03-09 | Escom Corp | ELECTRONIC MESSAGE FILTER COMPRISING A WHITE LIST BASED DATABASE AND QUARANTINE MECHANISM |
| US6728690B1 (en) | 1999-11-23 | 2004-04-27 | Microsoft Corporation | Classification system trainer employing maximum margin back-propagation with probabilistic outputs |
| US6701440B1 (en) | 2000-01-06 | 2004-03-02 | Networks Associates Technology, Inc. | Method and system for protecting a computer using a remote e-mail scanning device |
| US7822977B2 (en) * | 2000-02-08 | 2010-10-26 | Katsikas Peter L | System for eliminating unauthorized electronic mail |
| US20040006747A1 (en) | 2000-03-13 | 2004-01-08 | Tyler Joseph C. | Electronic publishing system and method |
| US6931437B2 (en) * | 2000-04-27 | 2005-08-16 | Nippon Telegraph And Telephone Corporation | Concentrated system for controlling network interconnections |
| US7428576B2 (en) | 2000-05-16 | 2008-09-23 | Hoshiko Llc | Addressee-defined mail addressing system and method |
| US6732153B1 (en) * | 2000-05-23 | 2004-05-04 | Verizon Laboratories Inc. | Unified message parser apparatus and system for real-time event correlation |
| US8972717B2 (en) * | 2000-06-15 | 2015-03-03 | Zixcorp Systems, Inc. | Automatic delivery selection for electronic content |
| US7328349B2 (en) * | 2001-12-14 | 2008-02-05 | Bbn Technologies Corp. | Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses |
| GB2357939B (en) * | 2000-07-05 | 2002-05-15 | Gfi Fax & Voice Ltd | Electronic mail message anti-virus system and method |
| US20020059418A1 (en) | 2000-07-17 | 2002-05-16 | Alan Bird | Method of and system for recording and displaying electronic mail statistics |
| TW569106B (en) | 2000-07-29 | 2004-01-01 | Hai Lin | A method preventing spam |
| US7149778B1 (en) | 2000-08-24 | 2006-12-12 | Yahoo! Inc. | Unsolicited electronic mail reduction |
| GB2366706B (en) | 2000-08-31 | 2004-11-03 | Content Technologies Ltd | Monitoring electronic mail messages digests |
| US6886099B1 (en) | 2000-09-12 | 2005-04-26 | Networks Associates Technology, Inc. | Computer virus detection |
| US6785712B1 (en) | 2000-09-21 | 2004-08-31 | Rockwell Collins, Inc. | Airborne e-mail data transfer protocol |
| US6757830B1 (en) * | 2000-10-03 | 2004-06-29 | Networks Associates Technology, Inc. | Detecting unwanted properties in received email messages |
| US6748422B2 (en) | 2000-10-19 | 2004-06-08 | Ebay Inc. | System and method to control sending of unsolicited communications relating to a plurality of listings in a network-based commerce facility |
| GB2371711B (en) * | 2000-11-27 | 2004-07-07 | Nokia Mobile Phones Ltd | A Server |
| EP1360597A4 (en) | 2001-02-15 | 2005-09-28 | Suffix Mail Inc | E-MAIL MESSAGING SYSTEM |
| US8219620B2 (en) | 2001-02-20 | 2012-07-10 | Mcafee, Inc. | Unwanted e-mail filtering system including voting feedback |
| US6941466B2 (en) * | 2001-02-22 | 2005-09-06 | International Business Machines Corporation | Method and apparatus for providing automatic e-mail filtering based on message semantics, sender's e-mail ID, and user's identity |
| US20020120600A1 (en) * | 2001-02-26 | 2002-08-29 | Schiavone Vincent J. | System and method for rule-based processing of electronic mail messages |
| GB2373130B (en) * | 2001-03-05 | 2004-09-22 | Messagelabs Ltd | Method of,and system for,processing email in particular to detect unsolicited bulk email |
| US7249195B2 (en) | 2001-03-30 | 2007-07-24 | Minor Ventures, Llc | Apparatus and methods for correlating messages sent between services |
| US7340505B2 (en) * | 2001-04-02 | 2008-03-04 | Akamai Technologies, Inc. | Content storage and replication in a managed internet content storage environment |
| US20020184533A1 (en) | 2001-05-30 | 2002-12-05 | Fox Paul D. | System and method for providing network security policy enforcement |
| US7380126B2 (en) | 2001-06-01 | 2008-05-27 | Logan James D | Methods and apparatus for controlling the transmission and receipt of email messages |
| US7076527B2 (en) * | 2001-06-14 | 2006-07-11 | Apple Computer, Inc. | Method and apparatus for filtering email |
| US7673342B2 (en) | 2001-07-26 | 2010-03-02 | Mcafee, Inc. | Detecting e-mail propagated malware |
| JP2003046576A (ja) | 2001-07-27 | 2003-02-14 | Fujitsu Ltd | メッセージ配送システム並びにメッセージ配送管理サーバ,メッセージ配送管理プログラムおよび同プログラムを記録したコンピュータ読取可能な記録媒体 |
| US7657935B2 (en) | 2001-08-16 | 2010-02-02 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting malicious email transmission |
| US7146402B2 (en) * | 2001-08-31 | 2006-12-05 | Sendmail, Inc. | E-mail system providing filtering methodology on a per-domain basis |
| US7331061B1 (en) * | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
| WO2003044617A2 (en) * | 2001-10-03 | 2003-05-30 | Reginald Adkins | Authorized email control system |
| JP3717829B2 (ja) | 2001-10-05 | 2005-11-16 | 日本デジタル株式会社 | 迷惑メール撃退システム |
| US7319858B2 (en) * | 2001-11-16 | 2008-01-15 | Cingular Wireless Ii, Llc | System and method for querying message information |
| US20030096605A1 (en) * | 2001-11-16 | 2003-05-22 | Schlieben Karl J. | System for handling proprietary files |
| US20030095555A1 (en) * | 2001-11-16 | 2003-05-22 | Mcnamara Justin | System for the validation and routing of messages |
| US6944616B2 (en) | 2001-11-28 | 2005-09-13 | Pavilion Technologies, Inc. | System and method for historical database training of support vector machines |
| US20030149726A1 (en) | 2002-02-05 | 2003-08-07 | At&T Corp. | Automating the reduction of unsolicited email in real time |
| WO2003071390A2 (en) * | 2002-02-19 | 2003-08-28 | Postini Corporation | E-mail management services |
| US7400722B2 (en) * | 2002-03-28 | 2008-07-15 | Broadcom Corporation | Methods and apparatus for performing hash operations in a cryptography accelerator |
| AUPS193202A0 (en) | 2002-04-23 | 2002-05-30 | Pickup, Robert Barkley Mr | A method and system for authorising electronic mail |
| US7249262B2 (en) * | 2002-05-06 | 2007-07-24 | Browserkey, Inc. | Method for restricting access to a web site by remote users |
| JP2005528052A (ja) * | 2002-05-28 | 2005-09-15 | ティーギュ,アラン,エイチ. | アドレスパターンと自動管理に基づいたメッセージ処理、及びコンタクトエイリアスの制御 |
| US20040003255A1 (en) | 2002-06-28 | 2004-01-01 | Storage Technology Corporation | Secure email time stamping |
| US7539726B1 (en) * | 2002-07-16 | 2009-05-26 | Sonicwall, Inc. | Message testing |
| US20040019651A1 (en) | 2002-07-29 | 2004-01-29 | Andaker Kristian L. M. | Categorizing electronic messages based on collaborative feedback |
| US20040024632A1 (en) | 2002-08-05 | 2004-02-05 | Avenue A, Inc. | Method of determining the effect of internet advertisement on offline commercial activity |
| US7418733B2 (en) * | 2002-08-26 | 2008-08-26 | International Business Machines Corporation | Determining threat level associated with network activity |
| US7748039B2 (en) * | 2002-08-30 | 2010-06-29 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
| US7072944B2 (en) * | 2002-10-07 | 2006-07-04 | Ebay Inc. | Method and apparatus for authenticating electronic mail |
| US20040083270A1 (en) * | 2002-10-23 | 2004-04-29 | David Heckerman | Method and system for identifying junk e-mail |
| US7159149B2 (en) | 2002-10-24 | 2007-01-02 | Symantec Corporation | Heuristic detection and termination of fast spreading network worm attacks |
| US7664963B2 (en) * | 2002-11-04 | 2010-02-16 | Riverbed Technology, Inc. | Data collectors in connection-based intrusion detection |
| US8990723B1 (en) * | 2002-12-13 | 2015-03-24 | Mcafee, Inc. | System, method, and computer program product for managing a plurality of applications via a single interface |
| US7171450B2 (en) | 2003-01-09 | 2007-01-30 | Microsoft Corporation | Framework to enable integration of anti-spam technologies |
| US7533148B2 (en) | 2003-01-09 | 2009-05-12 | Microsoft Corporation | Framework to enable integration of anti-spam technologies |
| US8595495B2 (en) * | 2003-01-12 | 2013-11-26 | Yaron Mayer | System and method for secure communications |
| JP4344922B2 (ja) | 2003-01-27 | 2009-10-14 | 富士ゼロックス株式会社 | 評価装置およびその方法 |
| JP2004254034A (ja) * | 2003-02-19 | 2004-09-09 | Fujitsu Ltd | スパムメール抑制ポリシー制御システム及び方法 |
| US7249162B2 (en) | 2003-02-25 | 2007-07-24 | Microsoft Corporation | Adaptive junk message filtering system |
| US7219148B2 (en) * | 2003-03-03 | 2007-05-15 | Microsoft Corporation | Feedback loop for spam prevention |
| US7206814B2 (en) * | 2003-10-09 | 2007-04-17 | Propel Software Corporation | Method and system for categorizing and processing e-mails |
| US7366761B2 (en) * | 2003-10-09 | 2008-04-29 | Abaca Technology Corporation | Method for creating a whitelist for processing e-mails |
| US20050091320A1 (en) * | 2003-10-09 | 2005-04-28 | Kirsch Steven T. | Method and system for categorizing and processing e-mails |
| US20040177120A1 (en) * | 2003-03-07 | 2004-09-09 | Kirsch Steven T. | Method for filtering e-mail messages |
| US20050091319A1 (en) * | 2003-10-09 | 2005-04-28 | Kirsch Steven T. | Database for receiving, storing and compiling information about email messages |
| US20040181581A1 (en) | 2003-03-11 | 2004-09-16 | Michael Thomas Kosco | Authentication method for preventing delivery of junk electronic mail |
| US20060168006A1 (en) | 2003-03-24 | 2006-07-27 | Mr. Marvin Shannon | System and method for the classification of electronic communication |
| US7342906B1 (en) * | 2003-04-04 | 2008-03-11 | Airespace, Inc. | Distributed wireless network security system |
| US7346700B2 (en) | 2003-04-07 | 2008-03-18 | Time Warner Cable, A Division Of Time Warner Entertainment Company, L.P. | System and method for managing e-mail message traffic |
| US7320020B2 (en) * | 2003-04-17 | 2008-01-15 | The Go Daddy Group, Inc. | Mail server probability spam filter |
| US7366919B1 (en) * | 2003-04-25 | 2008-04-29 | Symantec Corporation | Use of geo-location data for spam detection |
| US7653698B2 (en) * | 2003-05-29 | 2010-01-26 | Sonicwall, Inc. | Identifying e-mail messages from allowed senders |
| US7272853B2 (en) | 2003-06-04 | 2007-09-18 | Microsoft Corporation | Origination/destination features and lists for spam prevention |
| US20040254990A1 (en) | 2003-06-13 | 2004-12-16 | Nokia, Inc. | System and method for knock notification to an unsolicited message |
| US8533270B2 (en) * | 2003-06-23 | 2013-09-10 | Microsoft Corporation | Advanced spam detection techniques |
| US7051077B2 (en) * | 2003-06-30 | 2006-05-23 | Mx Logic, Inc. | Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers |
| ATE441155T1 (de) * | 2003-07-11 | 2009-09-15 | Computer Ass Think Inc | Verfahren und system zum schutz vor computerviren |
| JP2005056048A (ja) * | 2003-08-01 | 2005-03-03 | Fact-Real:Kk | 電子メール監視システム、電子メール監視プログラム及び電子メール監視方法 |
| GB2405229B (en) | 2003-08-19 | 2006-01-11 | Sophos Plc | Method and apparatus for filtering electronic mail |
| US20050060643A1 (en) | 2003-08-25 | 2005-03-17 | Miavia, Inc. | Document similarity detection and classification system |
| US20050060295A1 (en) * | 2003-09-12 | 2005-03-17 | Sensory Networks, Inc. | Statistical classification of high-speed network data through content inspection |
| US20050071432A1 (en) * | 2003-09-29 | 2005-03-31 | Royston Clifton W. | Probabilistic email intrusion identification methods and systems |
| US7257564B2 (en) * | 2003-10-03 | 2007-08-14 | Tumbleweed Communications Corp. | Dynamic message filtering |
| US20050080858A1 (en) * | 2003-10-10 | 2005-04-14 | Microsoft Corporation | System and method for searching a peer-to-peer network |
| US7181498B2 (en) * | 2003-10-31 | 2007-02-20 | Yahoo! Inc. | Community-based green list for antispam |
| JP2005208780A (ja) * | 2004-01-21 | 2005-08-04 | Nec Corp | メールフィルタリングシステム及びそれに用いるurlブラックリスト動的構築方法 |
| US8918466B2 (en) * | 2004-03-09 | 2014-12-23 | Tonny Yu | System for email processing and analysis |
| US7631044B2 (en) * | 2004-03-09 | 2009-12-08 | Gozoom.Com, Inc. | Suppression of undesirable network messages |
| US7554974B2 (en) | 2004-03-09 | 2009-06-30 | Tekelec | Systems and methods of performing stateful signaling transactions in a distributed processing environment |
| US20050204005A1 (en) | 2004-03-12 | 2005-09-15 | Purcell Sean E. | Selective treatment of messages based on junk rating |
| EP1733532B1 (en) * | 2004-03-30 | 2008-06-25 | Imencro Software SA | A filter and a method of filtering electronic messages |
| JP4128975B2 (ja) * | 2004-04-02 | 2008-07-30 | 株式会社古河テクノマテリアル | 生体用超弾性チタン合金 |
| US7627670B2 (en) * | 2004-04-29 | 2009-12-01 | International Business Machines Corporation | Method and apparatus for scoring unsolicited e-mail |
| US7457823B2 (en) * | 2004-05-02 | 2008-11-25 | Markmonitor Inc. | Methods and systems for analyzing data related to possible online fraud |
| US7391725B2 (en) | 2004-05-18 | 2008-06-24 | Christian Huitema | System and method for defeating SYN attacks |
| US7748038B2 (en) | 2004-06-16 | 2010-06-29 | Ironport Systems, Inc. | Method and apparatus for managing computer virus outbreaks |
| US20060095410A1 (en) * | 2004-10-29 | 2006-05-04 | Ostrover Lewis S | Personal video recorder for home network providing filtering and format conversion of content |
| US7634810B2 (en) | 2004-12-02 | 2009-12-15 | Microsoft Corporation | Phishing detection, prevention, and notification |
| US20060123083A1 (en) * | 2004-12-03 | 2006-06-08 | Xerox Corporation | Adaptive spam message detector |
| US7610344B2 (en) * | 2004-12-13 | 2009-10-27 | Microsoft Corporation | Sender reputations for spam prevention |
| US20060167971A1 (en) * | 2004-12-30 | 2006-07-27 | Sheldon Breiner | System and method for collecting and disseminating human-observable data |
| US20060149820A1 (en) | 2005-01-04 | 2006-07-06 | International Business Machines Corporation | Detecting spam e-mail using similarity calculations |
| US7716743B2 (en) * | 2005-01-14 | 2010-05-11 | Microsoft Corporation | Privacy friendly malware quarantines |
| US20070028301A1 (en) * | 2005-07-01 | 2007-02-01 | Markmonitor Inc. | Enhanced fraud monitoring systems |
| US7475118B2 (en) * | 2006-02-03 | 2009-01-06 | International Business Machines Corporation | Method for recognizing spam email |
-
2006
- 2006-05-05 US US11/418,812 patent/US7854007B2/en active Active
- 2006-05-05 EP EP06770093.0A patent/EP1877905B1/en active Active
- 2006-05-05 WO PCT/US2006/017782 patent/WO2006119508A2/en active Application Filing
- 2006-05-05 CA CA2607005A patent/CA2607005C/en not_active Expired - Fee Related
- 2006-05-05 JP JP2008510321A patent/JP5118020B2/ja not_active Expired - Fee Related
- 2006-05-05 US US11/429,393 patent/US7877493B2/en not_active Expired - Fee Related
- 2006-05-05 CN CN2006800194833A patent/CN101558398B/zh not_active Expired - Fee Related
- 2006-05-05 EP EP06759351.7A patent/EP1877904B1/en active Active
- 2006-05-05 CA CA2606998A patent/CA2606998C/en not_active Expired - Fee Related
- 2006-05-05 JP JP2008510320A patent/JP4880675B2/ja not_active Expired - Fee Related
- 2006-05-05 CN CN200680019314XA patent/CN101495969B/zh active Active
- 2006-05-05 US US11/418,823 patent/US7836133B2/en active Active
- 2006-05-05 WO PCT/US2006/017773 patent/WO2006122055A2/en active Application Filing
- 2006-05-05 WO PCT/US2006/017783 patent/WO2006119509A2/en active Application Filing
- 2006-05-05 US US11/429,474 patent/US7548544B2/en active Active
- 2006-05-05 WO PCT/US2006/017780 patent/WO2006119506A2/en active Application Filing
- 2006-12-07 US US11/635,921 patent/US20070220607A1/en not_active Abandoned
- 2006-12-07 US US11/636,150 patent/US7712136B2/en not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005011369A (ja) * | 1995-09-26 | 2005-01-13 | Trend Micro Inc | コンピュータ・ネットワーク用のウイルス検出・除去装置 |
| JP2001222480A (ja) * | 2000-02-14 | 2001-08-17 | Fujitsu Ltd | 電子メール運用管理システム |
| JP2002123469A (ja) * | 2000-10-13 | 2002-04-26 | Nec System Technologies Ltd | 電子メール送受信装置、電子メールシステム、電子メール処理方法、記録媒体 |
| WO2003071753A1 (fr) * | 2002-02-22 | 2003-08-28 | Access Co., Ltd. | Procede et dispositif permettant le traitement de courrier electronique indesirable pour l'utilisateur |
| US20040117648A1 (en) * | 2002-12-16 | 2004-06-17 | Kissel Timo S. | Proactive protection against e-mail worms and spam |
| JP2005005918A (ja) * | 2003-06-11 | 2005-01-06 | Nec Corp | 電子メール中継装置及びそれに用いる電子メール中継方法 |
Non-Patent Citations (6)
| Title |
|---|
| CSND200201075016; 宮紀雄: 'ネットワークソリューション講座 メール・フィルタリング活用法 情報漏えいやスパムを遮断' 日経コミュニケーション 第321号, 20000703, p.148-153, 日経BP社 * |
| CSND200401725007; 松田陽一: 'Windowsメール環境からの脱出 [Part2]POP3サーバーからのメール取得とスパムフィルタの' UNIX USER 第13巻,第6号, 20040601, p.56-65, ソフトバンクパブリッシング株式会社 * |
| CSND200501196012; 西村卓也: '試してわかった!try&review 光ファイバで自宅にWebサイトを!プロジェクト[第46回]' Linux WORLD 第4巻 第5号 第4巻,第5号, 20050501, p.224-231, (株)IDGジャパン * |
| JPN6011021712; 西村卓也: '試してわかった!try&review 光ファイバで自宅にWebサイトを!プロジェクト[第46回]' Linux WORLD 第4巻 第5号 第4巻,第5号, 20050501, p.224-231, (株)IDGジャパン * |
| JPN6011056126; 松田陽一: 'Windowsメール環境からの脱出 [Part2]POP3サーバーからのメール取得とスパムフィルタの' UNIX USER 第13巻,第6号, 20040601, p.56-65, ソフトバンクパブリッシング株式会社 * |
| JPN6011056127; 宮紀雄: 'ネットワークソリューション講座 メール・フィルタリング活用法 情報漏えいやスパムを遮断' 日経コミュニケーション 第321号, 20000703, p.148-153, 日経BP社 * |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10419456B2 (en) | 2005-06-09 | 2019-09-17 | Glasswall (Ip) Limited | Resisting the spread of unwanted code and data |
| US10462164B2 (en) | 2005-06-09 | 2019-10-29 | Glasswall (Ip) Limited | Resisting the spread of unwanted code and data |
| US10462163B2 (en) | 2005-06-09 | 2019-10-29 | Glasswall (Ip) Limited | Resisting the spread of unwanted code and data |
| US10348748B2 (en) | 2006-12-04 | 2019-07-09 | Glasswall (Ip) Limited | Using multiple layers of policy management to manage risk |
| JP2009015427A (ja) * | 2007-07-02 | 2009-01-22 | Nippon Telegr & Teleph Corp <Ntt> | ワーム感染ホスト特定処理における最適値設定方法および最適値設定システム |
| JP2010146566A (ja) * | 2008-12-18 | 2010-07-01 | Symantec Corp | マルウェア検出方法およびシステム |
| JP2015181031A (ja) * | 2008-12-18 | 2015-10-15 | シマンテック コーポレーションSymantec Corporation | マルウェアを示すヘッダフィールド属性の識別をコンピュータで実現する方法およびシステム |
| JP2013507722A (ja) * | 2009-10-26 | 2013-03-04 | シマンテック コーポレーション | 挙動に基づいた発見的方法の攻撃性の通知へのファイルの普及度の使用 |
| JP2013518343A (ja) * | 2010-01-28 | 2013-05-20 | マイクロソフト コーポレーション | ユーザの閲覧履歴に基づくurlフィルタリング |
| JP2013538401A (ja) * | 2010-08-31 | 2013-10-10 | マイクロソフト コーポレーション | 電子メッセージのスキャニングルールの適合的な選択 |
| JP2013077154A (ja) * | 2011-09-30 | 2013-04-25 | Kddi Corp | マルウェア検知装置およびプログラム |
| JP2018508054A (ja) * | 2014-11-26 | 2018-03-22 | グラスウォール・(アイピー)・リミテッド | ファイルベースコンテンツが持つリスク判定のための統計分析手法 |
| US10360388B2 (en) | 2014-11-26 | 2019-07-23 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
| KR101666614B1 (ko) * | 2015-07-06 | 2016-10-14 | (주)다우기술 | 이력을 이용한 지능형 지속 위협 탐지 시스템 및 방법 |
| JP2018530046A (ja) * | 2015-08-17 | 2018-10-11 | エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドNsfocus Information Technology Co.,Ltd | サイバー攻撃の検出方法および検出装置 |
| US10645105B2 (en) | 2015-08-17 | 2020-05-05 | NSFOCUS Information Technology Co., Ltd. | Network attack detection method and device |
| JP5982597B1 (ja) * | 2016-03-10 | 2016-08-31 | 株式会社Ffri | 情報処理装置、情報処理方法、プログラム及びプログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2018190374A (ja) * | 2017-05-08 | 2018-11-29 | デジタルア−ツ株式会社 | 情報処理装置、情報処理システム、プログラム、記録媒体及び情報処理方法 |
| JP2019185249A (ja) * | 2018-04-05 | 2019-10-24 | デジタルア−ツ株式会社 | 情報処理装置、情報処理プログラム、記録媒体及び情報処理方法 |
| KR20210026935A (ko) * | 2019-09-02 | 2021-03-10 | 주식회사 엘지유플러스 | 착오 송금 방지 방법 및 장치 |
| KR102300193B1 (ko) * | 2019-09-02 | 2021-09-08 | 주식회사 엘지유플러스 | 착오 송금 방지 방법 및 장치 |
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5118020B2 (ja) | 電子メッセージ中での脅威の識別 | |
| US7748038B2 (en) | Method and apparatus for managing computer virus outbreaks | |
| US8631495B2 (en) | Systems and methods for message threat management | |
| US6851058B1 (en) | Priority-based virus scanning with priorities based at least in part on heuristic prediction of scanning risk | |
| US7921063B1 (en) | Evaluating electronic mail messages based on probabilistic analysis | |
| JP6013455B2 (ja) | マルウェア検出のための電子メッセージ分析 | |
| US6757830B1 (en) | Detecting unwanted properties in received email messages | |
| US8955106B2 (en) | Managing infectious forwarded messages | |
| US20160191548A1 (en) | Method and system for misuse detection | |
| US20060070130A1 (en) | System and method of identifying the source of an attack on a computer network | |
| GB2357939A (en) | E-mail virus detection and deletion | |
| US20200351302A1 (en) | Cybersecurity Email Classification and Mitigation Platform | |
| US20060075099A1 (en) | Automatic elimination of viruses and spam | |
| EP3195140B1 (en) | Malicious message detection and processing | |
| KR102648653B1 (ko) | 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법 | |
| JP2006517310A (ja) | 組織の電子メールメッセージにおいて悪質コードの存在を検知する方法およびシステム | |
| Kácha | Adapting the ticket request system to the needs of CSIRT teams | |
| Kácha | OTRS: streamlining CSIRT incident management workflow |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090428 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090428 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110421 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110506 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110808 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110815 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110906 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111101 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120201 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120221 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120301 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120308 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120402 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120925 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121018 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5118020 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151026 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |