PT1299791E - Método e sistema para processamento de correio eléctronico - Google Patents

Método e sistema para processamento de correio eléctronico Download PDF

Info

Publication number
PT1299791E
PT1299791E PT01949640T PT01949640T PT1299791E PT 1299791 E PT1299791 E PT 1299791E PT 01949640 T PT01949640 T PT 01949640T PT 01949640 T PT01949640 T PT 01949640T PT 1299791 E PT1299791 E PT 1299791E
Authority
PT
Portugal
Prior art keywords
mail
message
criteria
mail message
virus
Prior art date
Application number
PT01949640T
Other languages
English (en)
Inventor
Alexander Shipp
Original Assignee
Messagelabs Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Messagelabs Ltd filed Critical Messagelabs Ltd
Publication of PT1299791E publication Critical patent/PT1299791E/pt

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/107Computer-aided management of electronic mailing [e-mailing]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/234Monitoring or handling of messages for tracking messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Human Resources & Organizations (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Virology (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • General Health & Medical Sciences (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Preparation Of Compounds By Using Micro-Organisms (AREA)
  • Peptides Or Proteins (AREA)
  • Hardware Redundancy (AREA)

Description

ΕΡ 1 299 791 /PT
DESCRIÇÃO "Método e sistema para processamento de correio electrónico"
INTRODUÇÃO O presente invento refere-se a um método e sistema para, processar correio electrónico em particular para detectar ataques de virus. 0 invento é particularmente, mas não em exclusivo, aplicável ao processamento de correio electrónico por ISP (fornecedores de serviço de Internet)
ANTECEDENTES DO INVENTO
Deverá ser salientado que algumas explicações de suporte lógico maléfico utilizam o termo "vírus" num estrito senso como relativo a suporte lógico com características particulares em termos de propagação, possivelmente também multiplicação, e efeito que são distintas das outras formas tais como "trojan horses" (cavalos de Tróia), "worms" (vermes), etc. No entanto, neste fascículo, incluindo as reivindicações em anexo, o termo vírus é utilizado no sentido geral de qualquer suporte lógico que por intenção criminosa (ou acidente) provoque efeitos indesejados.
Verificadores de vírus convencionais encontram vírus por pesquisa de padrões conhecidos em ficheiros, por verificação de ficheiros novos ou alterados num sistema de ficheiros ou por execução de programas suspeitos num ambiente emulador de área de teste para detectar actividade do tipo vírus. A utilização crescente de correio electrónico, tanto através da Internet como em redes privadas, aumenta a exposição de utilizadores finais individuais e operações para disrupção maléfica. Recentemente têm ocorrido ataques de vírus com origem em correio electrónico que se disseminam pelo mundo numa questão de horas. Algum grau de protecção pode ser conseguido por análise das mensagens de correio electrónico e dos seus anexos para vírus e obviamente isto é melhor realizado numa base centralizada, por exemplo, por ISP e outros que operem portas de interligação de correio electrónico, em vez de deixá-lo para os utilizadores finais 2
ΕΡ 1 299 791 /PT que podem ter ou não os recursos, o conhecimento ou a inclinação para tomarem as suas próprias medidas anti-virus.
No entanto, mesmo com análise centralizada subsiste ainda um problema com vírus novos. Deixando de parte a questão de como um vírus novo é detectado primeiro, se por medidas tomadas por um ISP ou semelhante, ou numa máquina do utilizador final, os passos necessários para mitigar o efeito de um ataque do mesmo levam tempo para colocar em efeito, e na altura em que os mesmos ocorrerem, os piores efeitos do ataque podem já ter ocorrido, por todo o mundo. Estes passos tipicamente incluem a identificação de uma cadeia característica de bytes ou outra "assinatura" que identifique o vírus, a disseminação desta informação para os sítios de análise de vírus e a programação dos dispositivos de análise com esta informação, leva tempo, e entretanto o ataque está livre de se disseminar. Isto tornou-se particularmente problemático recentemente com o tipo de vírus que pode efectivamente auto multiplicar-se por criação e envio de cópias da mensagem de correio electrónico que contenham o mesmo, por exemplo, por acesso a um livro de endereços de correio electrónico (por exemplo o disponível a um cliente de correio electrónico do utilizador final) e então utilizar serviços disponíveis na máquina para enviar uma cópia da mensagem de correio electrónico para o próprio ou qualquer dos endereços encontrados. Esta táctica pode propagar-se entre continentes numa questão de minutos e resultar numa "explosão" geométrica do número de instâncias do mesmo.
TÉCNICA ANTERIOR US-A-5832208 (Chem): é um exemplo de um sistema cliente/servidor anterior com uma facilidade no servidor que analisa vírus em anexos de mensagens de correio electrónico antes de fazer a entrega. WO 93/2272 (Mulilnform): refere-se a um monitor de rede que remonta pacotes de rede em ficheiros que são então analisados para vírus com a utilização de uma técnica baseada em assinatura. 3
ΕΡ 1 299 791 /PT WO 00/05650 & WO 00/05852 (Raytheon): refere-se a um "sistema de análise de segurança de informação" que inclui, entre outros, meios para registo de tráfego de correio electrónico e uma facilidade para examinar a funcionalidade de código suspeito para determinar se está presente um vírus de computador.
OBJECTO DO INVENTO O presente invento procura proporcionar um método e sistema para processamento de correio electrónico que possa detectar a disseminação de um vírus previamente desconhecido, criado por correio electrónico e deste modo mitigar os efeitos de um ataque de um vírus deste tipo.
SUMÁRIO DO INVENTO O invento proporciona um método automático de processamento de correio electrónico, caracterizado por compreender a monitorização do tráfego de correio electrónico que passa através de um ou mais nós de uma rede a fim de detectar a disseminação de vírus previamente desconhecidos, compreendendo esta monitorização: a) o registo de detalhes acerca das mensagens de correio electrónico numa base de dados; e b) a pesquisa na base de dados de padrões de tráfego de correio electrónico que sejam indicativos de, ou sugerem, a disseminação de um vírus com origem em correio electrónico, através da aplicação de um conjunto predeterminado de critérios de suspeição a atributos (por exemplo, comprimento de mensagem, número de anexos, endereço de IP do emissor, resumo de primeiro anexo) das mensagens de correio electrónico, incluindo o conjunto de critérios que se referem a uma pluralidade de partes constituintes (por exemplo, linha de assunto, receptores, texto da mensagem, anexo) das mensagens de correio electrónico, e uma vez detectado um padrão deste tipo, iniciar uma acção correctiva automática, alerta de um operador, ou ambas. 4
ΕΡ 1 299 791 /PT Ο invento também proporciona um sistema automático, numa ou para uma rede de computadores através do qual os utilizadores enviam mensagens de correio electrónico uns para os outros, para processamento de correio electrónico para detectar a disseminação de virus previamente desconhecidos, compreendendo o sistema: meios para monitorização do tráfego de correio electrónico que passa através de um ou mais nós da rede, cujos meios compreendem: a) meios para registo de detalhes acerca das mensagens de correio electrónico numa base de dados; e b) meios para pesquisa na base de dados de padrões de tráfego de correio electrónico que sejam indicativos de, ou sugiram, a disseminação de um virus com origem em correio electrónico, pela aplicação de um conjunto predeterminado de critérios de suspeição a atributos (por exemplo comprimento de mensagem, número de anexos, endereço de IP do emissor, resumo de primeiro anexo) das mensagens de correio electrónico, incluindo o conjunto critérios que se referem a uma pluralidade de partes constituintes (por exemplo, linha de assunto, receptores, texto da mensagem) das mensagens de correio electrónico; e meios operativos para, uma vez detectado um padrão deste tipo, iniciação da acção correctiva automática, alerta de um operador, ou ambas.
Deste modo, em vez da monitorização das mensagens de correio electrónico individuais, o invento trata as mensagens de correio electrónico processadas como um "conjunto" e procura padrões no tráfego de correio electrónico que sejam caracteristicos de virus que se propagam via correio electrónico. Foi determinado que padrões caracteristicos deste tipo são relativamente fáceis de definir e de identificar uma vez que ocorram.
Para auxiliar na identificação de padrões relevantes de tráfego de correio electrónico, cada mensagem de correio electrónico é analisada por referência a um certo número de 5
ΕΡ 1 299 791 /PT critérios, que indicam que a mensagem de correio electrónico pode conter um virus. Qualquer mensagem de correio electrónico que satisfaça qualquer destes critérios pode então ser registada numa base de dados. 0 exame de adições recentes a esta base de dados pode então ser utilizado para identificar padrões de tráfego indicativos ou que sugiram um ataque de virus. A decisão de registar ou não uma mensagem de correio electrónico particular pode ser tomada em função do mesmo satisfazer um ou mais critérios que indiquem que é possível que a mensagem de correio electrónico contenha um virus. Por outras palavras, os critérios escolhidos para decidir registar uma mensagem de correio electrónico podem ser aqueles que indiquem que é possível que a mensagem de correio electrónico contenha um virus, independentemente do mesmo o possuir na realidade, na base de que as mensagens de correio electrónico que não têm a possibilidade de conter um vírus não necessitam de ser registadas de forma individual. No entanto, o invento não exclui a possibilidade de que um ou mais critérios visem determinar se uma mensagem de correio electrónico na realidade contém um virus, através de qualquer análise adequada, ou outra técnica analitica.
Admita-se que um utilizador relata que uma mensagem de correio electrónico particular contém um virus como um anexo, e que o mesmo é um de um certo número de mensagens de correio electrónico que foi recentemente processado pelo sistema. A base de dados tem entradas que registam elementos tais como o emissor e o receptor, o assunto do correio electrónico, nomes e dimensões de anexos. Também é possível de modo automático (isto é, em suporte lógico) identificar os atributos relevantes armazenados destas mensagens e utilizar os mesmos como base para tomar acção correctiva em relação às mensagens de correio electrónico correspondentes, processadas subsequentemente. Também é possível notificar receptores de mensagens de correio electrónico correspondentes que tenham já sido processadas para tomarem acção correctiva por si próprios, por exemplo, para apagar o correio electrónico não lido e não aberto, assumindo que o sistema armazena o nome do receptor em texto simples. 6
ΕΡ 1 299 791 /PT
DESCRIÇÃO DOS DESENHOS O invento será também descrito por meio de exemplo não limitativo com referência aos desenhos anexos, em que: a FIG. 1 ilustra o processo de envio de uma mensagem de correio electrónico através da Internet; e a FIG. 2 é um diagrama de blocos de uma concretização do invento.
CONCRETIZAÇÃO ILUSTRADA
Antes de descrever a concretização ilustrada do invento, será descrito de forma resumida um processo tipico de enviar uma mensagem de correio electrónico através da Internet com referência à FIG. 1. Isto é simplesmente para ilustração; existem vários métodos para entrega e recepção de correio electrónico através da Internet, incluindo, mas não limitado a: SMTP ponto a ponto, IMAP4 e UCCP. Existem também outras formas de conseguir SMTP para correio electrónico POP3, incluindo, por exemplo, a utilização de uma ligação por ISDN ou linha alugada em vez de uma ligação de marcação por modem.
Admita-se que um utilizador IA com uma ID de correio electrónico "Asender" com a sua conta em "asource.com" deseja enviar uma mensagem de correio electrónico para alguém 1B com uma conta "arecipient" "adestination.com", e que estes domínios .com são mantidos por ISP (fornecedores de serviço de Internet) respectivos. Cada um dos domínios tem um servidor de correio 2A, 2B que inclui um ou mais servidores SMTP 3A, 3b para mensagens que saem e um ou mais servidores P0P3 4A, 4B para as que entram. Estes domínios fazem parte da Internet que para clareza é indicada separadamente em 5. 0 processo prossegue como se segue: 1. "Asender" prepara a mensagem de correio electrónico com a utilização de suporte lógico de cliente de correio electrónico IA tal como o Microsoft Outlook Express e endereça a mesma para "arecipient@adestination.com". 7
ΕΡ 1 299 791 /PT 2. Utilizando uma ligação de marcação por modem ou semelhante, o cliente de correio electrónico do "Asender" IA liga ao servidor de correio electrónico 2A em "mail.asource.com". 3. 0 cliente de correio electrónico do "Asender" IA conduz uma conversação com o servidor SMTP 3A, no decurso da qual o mesmo diz ao servidor SMTP 3A os endereços do emissor e do receptor e envia ao mesmo o corpo da mensagem (incluindo quaisquer anexos) transferindo deste modo a mensagem de correio electrónico 10 para o servidor 3A. 4. O servidor SMTP 3A analisa o campo TO do envelope de correio electrónico para a) o receptor e b) o nome de domínio do receptor. Assume-se que para as finalidades presentes que os ISP do emissor e do receptor são diferentes, caso contrário o servidor SMTP 3A poderia simplesmente redireccionar a mensagem de correio electrónico através do seu servidor(s) POP3 associado 4A para recolha subsequente. 5. O servidor SMTP 3A localiza um servidor de nome de domínio de Internet e obtém um endereço de IP para o servidor de correio do domínio de destino. 6. O servidor SMTP 3A liga ao servidor SMTP 3B em "adestination.com" via SMTP e envia ao mesmo os endereços do emissor e do receptor e o corpo da mensagem de forma semelhante ao Passo 3. 7. 0 servidor SMTP 3B reconhece que o nome de domínio se refere a si próprio e passa a mensagem para o servidor P0P3 "adestination" 4B, o qual coloca a mensagem na caixa de correio "arecipient" para recolha pelo cliente de correio electrónico receptor 1B.
Existem várias formas nas quais pode ser utilizada a mensagem de correio electrónico para efeito maléfico, sendo provavelmente a mais amplamente conhecida um vírus que se desloca com a mensagem de correio electrónico como um anexo. Tipicamente, o receptor "ao abrir" o anexo, por duplo clique sobre o mesmo, possibilita que o vírus que pode ser um executável binário ou código de instruções escrito para um 8
ΕΡ 1 299 791 /PT intérprete alojado pelo cliente de correio electrónico ou pelo sistema operativo, executar. Nem o problema da intenção maléfica, nem a solução do presente invento para o mesmo, se restringem a virus deste tipo. Por exemplo, outros ataques maléficos podem envolver a exploração de fraquezas do sistema de entrega (SMTP + P0P3) ou do cliente de correio electrónico, como por formatação deliberada de um campo de cabeçalho de mensagem de correio electrónico numa forma que é conhecida por provocar mau funcionamento do suporte lógico que processa o mesmo.
Referindo agora a FIG. 2, esta mostra em forma de blocos os subsistemas chave de uma concretização do presente invento. No exemplo em consideração, isto é, o processamento da mensagem de correio electrónico por um ISP, estes subsistemas são implementados por suporte lógico executado no computador(s) do ISP. Estes computadores operam uma ou mais portas de interligação de correio electrónico 20A ... 20N que passam mensagens de correio electrónico tais como 10.
Os vários subsistemas da concretização serão descritos em maior detalhe abaixo mas de forma resumida compreendem: - um decompositor/analisador de mensagem 21 que decompõe as mensagens de correio electrónico nas suas partes constituintes e analisa as mesmas para avaliar se as mesmas são candidatas a registo; - um registador 22 que prepara uma entrada de base de dados para cada mensagem seleccionada como uma candidata a registo pelo decompositor/analisador 21; uma base de dados 23 que armazena as entradas preparadas pelo registador 22; - um pesquisador 24 que analisa novas entradas na base de dados 23 para procurar sinais de tráfego que transporta virus; um dispositivo de bloqueio 25 que sinaliza os resultados do pesquisador 24 e opcionalmente bloqueia a passagem de mensagens de correio electrónico conforme com 9
ΕΡ 1 299 791 /PT critérios do decompositor/analisador 21 que indiquem uma ameaça de vírus. 0 dispositivo de bloqueio 25 pode ser implementado de uma forma tal que as mensagens de correio electrónico que são processadas pelo sistema e for considerado não infectado com um vírus pode ter uma notificação de texto inserida no mesmo, por exemplo, anexada ao texto da mensagem, dizendo que a mensagem de correio electrónico foi analisada pelo sistema, de modo que o receptor poderá ver o que a mesmo tem.
No global, o sistema da FIG. 2 funciona segundo os seguintes princípios.
Os vírus que se disseminam por correio electrónico podem ser detectados por exame dos padrões de tráfego do correio electrónico que os mesmos criam. A concretização ilustrada aplica um conjunto de heurísticas para identificar vírus de correio electrónico. 0 que se segue é uma lista não exaustiva de critérios pelos quais as mensagens de correio electrónico podem ser avaliadas para implementar estas heurísticas. Outros critérios podem ser utilizados do mesmo modo ou em alternativa: os mesmos contêm as mesmas linhas de assuntos ou semelhantes; os mesmos contêm os mesmos textos de corpo ou semelhantes; os mesmos contêm o mesmo anexo designado; os mesmos contêm um anexo com o mesmo resumo de mensagem; os mesmos são endereçados para muitos receptores; os mesmos são endereçados para receptores por ordem alfabética ou alfabética inversa; 10
ΕΡ 1 299 791 /PT os mesmos são enviados para um endereço de correio electrónico particular e depois multiplicam as saídas do mesmo endereço de correio electrónico, e/ou endereços de correio electrónico semelhantes; os mesmos contêm o mesmo formato estrutural; os mesmos contêm as mesmas subtilezas estruturais; os mesmos contêm os mesmos cabeçalhos de mensagem não habituais.
Os critérios acima deveriam ser auto explicativos, excepto possivelmente aqueles que se referem ao "resumo de mensagem" e a "subtilezas estruturais"; estas expressões são explicadas abaixo. A cada um dos critérios acima é atribuído um resultado numérico. Cada mensagem de correio electrónico que passa através do sistema é analisada pelo decompositor/analisador 21 e registada numa base de dados 23 pelo registador 22. Uma rotina de pesquisa executada pelo pesquisador 24 de forma contínua analisa a nova informação que é armazenada na base de dados para ver se mensagens semelhantes estão a ser enviadas. Se as mesmas o forem, então a 'suspeita' da mensagem de correio electrónico é calculada com a utilização de um algoritmo que leva em consideração quão semelhantes são as mensagens e também como muitas das mesmas foram recebidas recentemente. Uma vez passado um limiar, todas as novas mensagens que correspondam aos critérios são bloqueadas como vírus potenciais pelo dispositivo de bloqueio 25 e um alarme é emitido. O sistema pode gerar um resumo de mensagem, pelo menos para aquelas mensagens que estão registadas na base de dados. Os resumos de mensagem são um meio conveniente e eficiente de identificar mensagens com o mesmo texto de mensagem e como um "puxador" pelo qual se recupera uma recolha de entradas de registo que representam o mesmo texto de mensagem que é enviado em mensagens de correio electrónico múltiplas. O resumo pode ser armazenado na base de dados em adição, ou em alternativa, à lista de mensagens. 11
ΕΡ 1 299 791 /PT
Um resumo de mensagem é tipicamente criado pela aplicação de algoritmos de Hash de sentido único (tais como MD5 ou Message-Digest-5) a uma série de caracteres (no caso presente, por exemplo, os caracteres de uma mensagem). As vantagens de utilizar um resumo nesta aplicação são: - os mesmos são tipicamente menores do que a mensagem original e são de comprimento fixo, portanto os mesmos podem ser armazenados numa base de dados de forma mais fácil; - os mesmos são tipicamente funções de sentido único, portanto a mensagem original não pode ser reconstruída, preservando deste modo a confidencialidade do utilizador; - uma pequena alteração na mensagem resulta num resumo completamente diferente.
Por exemplo, o resumo MD5 de "The rain in spain falis mainly on the plain" é 6f7f4c35a219625efc5a9ebad8fa8527 e de "The rain in Spain falis mainly on the plain" é b417b67704f2dd2b5a812f99ade30e00. Estas duas mensagens diferem apenas por um bit (o ' s' é Spain, uma vez que um S maiúsculo é um bit diferente de um s minúsculo no conjunto de caracteres ASCII), mas os resumos são totalmente diferentes.
Serão agora proporcionados alguns exemplos dos critérios pelos quais as mensagens de correio electrónico podem ser avaliadas:
Subtilezas estruturais: A maior parte das mensagens de correio electrónico é gerada por aplicações de experimentação e teste. Estas aplicações geram sempre a mensagem de correio electrónico com uma forma particular. É muitas vezes possivel identificar que aplicação gerou uma mensagem de correio electrónico particular por averiguação dos cabeçalhos de correio electrónico e também por averiguação do formato das diferentes partes. É então possivel identificar mensagens de correio electrónico que contenham subtilezas que indicam que o correio electrónico está a tentar parecer como se o mesmo fosse gerado por um emissor de correio electrónico conhecido, sem o ter sido, ou que o mesmo foi gerado por um novo e 12
ΕΡ 1 299 791 /PT desconhecido emissor de correio, ou por uma aplicação (que poderia ser um virus ou verme). Todos são suspeitos.
Exemplos:
Escrita em maiúsculas inconsistente de: alex@star.co.uk Para: alex@star.co.uk 0 de e o para têm diferentes escritas em maiúsculas Ordem não padronizada dos elementos do cabeçalho
Assunto: tolerância a falhas da torre
TipO de COnteÚdO: multipartes/misto; fronteira="======_962609498==_"
Mime-Version: 1.0 0 cabeçalho Mime-Version normalmente vem antes do cabeçalho Content-Type.
Falta ou adição de elementos no cabeçalho X-Mailer: QUALCOMM Windows Eudora Pro Version 3.0.5 (32)
Data: Seg, 03 Jul 2000 12:24:17 +0100
Eudora normalmente também inclui um cabeçalho X-Sender Formato ID da mensagem
MenSâgem—ID : <00270ibfe4elSb37dbdcOS926 4010a@tomk.ins . int. st ar. co. uk> X-Mailer: QUALCOMM Windows Eudora Pro Version 3.0.5 (32) O cabeçalho X-mailer diz que o correio é gerado pelo Eudora, mas o formato id da mensagem é uma id de mensagem Outlook, não uma id de mensagem Eudora.
Formato da fronteira X-Mailer: Microsoft Outlook 8.5, Build 4.71.2173.0
Tipo de conteúdo: multipartes/misto; fronteira = “ ·_962609498 13
ΕΡ 1 299 791 /PT Ο cabeçalho X-mailer diz que o correio é gerado pelo Outlook, mas o formato da fronteira é uma fronteira Eudora, não uma fronteira Outlook.
Composição de quebra de linha e outro espaço em branco no cabeçalho da mensagem
Para: "Andrew Webley" <awebley@messagelabs.com>, "Matt Cave" <MCave0messagelabs.com>, "Alex at MessageLabs" ashipp@messagelabs.com X-Mailer: QUALCOMM Windows Eudora Pro Version 3.0.5 (32) 0 emissor de correio electrónico (Eudora) utiliza normalmente um espaço de um ponto e sem tabulação para linhas de continuação. 0 mesmo tem origem em endereços de IP particulares ou em intervalos de endereços de IP. 0 endereço de IP do emissor é, evidentemente, conhecido e deste modo pode ser utilizado para determinar se este critério é satisfeito. 0 mesmo contém estruturas especializadas
Algum correio electrónico utiliza instruções HTML para cifrar o conteúdo da mensagem. Isto é destinado a anular analisadores linguísticos. Quando o correio é visto num cliente de correio tal como Outlook, o texto é imediatamente decifrado e exibido. Não seria habitual para uma mensagem de correio electrónico normal fazer isto.
Envelopes vazios de emissor de mensagens
Uma mensagem de correio electrónico normalmente indica o emissor no campo de texto de emissor e emissores de correio electrónico não desejado muitas vezes colocam uma entrada fictícia naquele campo para disfarçar o facto da mensagem de correio electrónico estar infectada. No entanto, a identidade do emissor também é suposta estar especificada no protocolo sob o qual SMTP processa a conversa para outro na transferência da mensagem de correio electrónico e este 14
ΕΡ 1 299 791 /PT critério é relativo à ausência da identificação do emissor do intervalo do protocolo relevante, designadamente o intervalo do protocolo Mail From.
Endereços inválidos de correio electrónico de emissor de mensagem
Isto é complementar ao elemento 8 e envolve a consideração tanto do campo emissor da mensagem como do intervalo do protocolo emissor, como se o mesmo fosse inválido. A mensagem de correio electrónico pode ser proveniente de um domínio que não existe ou não segue as regras normais para o domínio. Por exemplo, um endereço de HotMail de "1230hotmail.com" é inválido devido aos endereços de HotMail não poderem ser todos números.
Um certo número de campos da mensagem de correio electrónico pode ser examinado para entradas inválidas, incluindo "Sender", "From", e "Errors-to".
Endereços de emissor de mensagem que não correspondem ao servidor de correio do qual é enviado o correio. 0 servidor de correio local conhece, ou pelo menos pode determinar a partir do protocolo, o endereço do emissor do correio e deste modo pode ser determinado se este coincide com o endereço do emissor no texto do correio.
Numa implementação real do sistema da FIG. 2 uma rede de portas de interligação de correio electrónico 20 é preferida, para que a mensagem de correio electrónico possa ser processada na escala necessária. Quanto maior a disseminação desta rede e mais correio electrónico for processado, então maiores são as oportunidades de se poder interceptar vírus novos, reconhecer os sintomas e bloquear mais ocorrências antes do vírus se tornar demasiado disseminado. No entanto, a utilização de um certo número de portas de interligação de correio electrónico não é um componente essencial do sistema; o sistema pode reconhecer e detectar vírus novos mesmo se apenas uma porta de interligação de correio electrónico for utilizada e se mesmo uma pequena quantidade de correio electrónico passar através da mesma. 15
ΕΡ 1 299 791 /PT
Todo o correio electrónico é feito passar através do analisador/decompositor 21, em que a mensagem de correio electrónico é separado nas suas partes constituintes. Para as finalidades de heurísticas de tráfego, cada parte é classificada como: o cabeçalho de correio electrónico/cabeçalhos mime; um componente normalmente considerado parte da mensagem; um componente normalmente considerado como um anexo.
Cada parte é então mais analisada para ver se a mesma tem a possibilidade de conter ameaças potenciais.
Cabeçalho de correio electrónico/cabeçalhos mime: Linhas demasiado longas ou linhas com sintaxe não habitual podem ser utilizadas para rebentar motores de busca particulares, o que provoca quer uma recusa de assistência ao ataque quer uma exploração que pode provocar uma brecha na segurança ou disseminar um vírus.
Um componente normalmente considerado parte da mensagem: Estes podem conter código executável integrado. Por exemplo, uma mensagem HTML pode conter código de instruções em várias linguagens de computador ou a mesma pode conter elementos (tais como etiquetas <frameset> ou <object>) que foram mostrados para serem exploráveis.
Um componente normalmente considerado como um anexo: Estes podem ser directamente executáveis, tais como um ficheiro EXE. Os mesmos podem conter código executável integrado, tais como um documento Microsoft Word que contém uma macro. Os mesmos podem conter ficheiro de arquivo ou outros ficheiros recipiente, os quais podem conter outros componentes perigosos. Por exemplo, um ficheiro ZIP pode conter um executável.
Normalmente, o anexo tem de conter algum elemento executável para ser visto como uma ameaça potencial. No entanto, o sistema pode ser comutado para um modo onde o 16
ΕΡ 1 299 791 /PT mesmo vê todos os anexos como uma ameaça potencial. Isto é para fornecer duas possibilidades tais como:
Um documento, tal como uma imagem . jpg, pode conter formatação ilegal que rebente a aplicação utilizada para visualizar o anexo, isto pode provocar quer uma recusa de assistência a ataque quer uma exploração que pode provocar uma brecha na segurança ou disseminar um vírus. 0 corpo da mensagem pode conter instruções que, se seguidas, tornam o anexo numa forma perigosa, por exemplo, 'alterar o nome picture.jpg para picture.exe'.
Depois de analisar cada componente, então se qualquer um dos componentes tiver a possibilidade de conter uma ameaça potencial, a mensagem é registada pelo registador 22 na base de dados 23. Caso contrário a mensagem não é registada. 0 registador 22 está programado para que o sistema registe componentes de cada mensagem para que mensagens semelhantes possam ser detectadas. Os seguintes são registados: linha de assunto e resumo de linha de assunto; poucos dos primeiros caracteres de parte de texto da mensagem de correio electrónico, resumo de primeira parte de texto e resumo de alguns primeiros caracteres; nome de primeiro anexo; resumo de primeiro anexo; número de receptores; se receptores estiverem por ordem alfabética ou ordem alfabética inversa; tempo de registo; 17
ΕΡ 1 299 791 /PT resumo de emissor; resumo de primeiro receptor; indicadores de formato estrutural; indicadores de subtileza estrutural; cabeçalhos de mensagem não habituais; tempo de chegada do correio electrónico. A lista acima não é exaustiva e o invento não se restringe a esta combinação particular de elementos de informação. A base de dados 23 regista detalhes sobre mensagens e possibilita consulta dos detalhes para encontrar padrões de mensagens de correio electrónico duplicadas ou semelhantes. A fim de proporcionar capacidade de resposta, o registo pode ser uma operação a uma camada ou várias camadas. Por exemplo, mensagens podem ser registadas localmente numa base de dados geograficamente próxima dos servidores de correio electrónico e analisadas localmente. Isto dá uma resposta rápida a padrões de tráfego locais. No entanto, os registos podem também ser copiados para uma base de dados central para realizar análise global. Este será mais lento a reagir, mas pode reagir ao global, em vez de a padrões locais.
As entradas de registo anteriores são apagadas de modo automático da base de dados 23 uma vez que as mesmas deixam de ser necessárias - o sistema está concebido para proporcionar um aviso à priori de virus novos. 0 pesquisador 24 interroga periodicamente a base de dados à procura de mensagens semelhantes recentes e gera um resultado pela análise dos componentes. Em função do resultado, o sistema pode identificar uma ameaça 'definitiva' ou uma ameaça 'potencial'. Uma ameaça definitiva provoca uma assinatura para ser devolvida ao dispositivo de bloqueio para que todas as mensagens futuras com aquela caracteristica 18
ΕΡ 1 299 791 /PT sejam bloqueadas. Uma ameaça potencial provoca um alerta para ser enviado a um operador que pode então decidir tratar como se a mesma fosse uma ameaça definitiva, assinalar como um alarme falso para que no futuro ocorrências sejam reportadas ou esperar e ver. 0 pesquisador pode ser configurado com diferentes parâmetros, para que o mesmo possa ser mais sensível se pesquisar registos a partir de uma única porta de interligação de correio electrónico e menos sensível se processar uma base de dados de informação de todo o mundo. A cada critério pode ser associado um resultado diferente. 0 tempo entre pesquisas pode ser ajustado. 0 intervalo de tempo que cada pesquisa cobre pode ser ajustado e múltiplos intervalos de tempos considerados.
Os limiares globais podem ser definidos. 0 dispositivo de bloqueio 25 toma assinaturas do pesquisador 24. A assinatura identifica características de correio electrónico que tem de ser bloqueado. Ao receber a assinatura, todas as mensagens de correio electrónico futuras correspondentes são tratadas como vírus e bloqueadas.
Obviamente, a acção de bloqueio pode assumir um certo número de formas, que incluem: - descarte das mensagens de correio electrónico infectadas sem enviar as mesmas para os seus receptores endereçados. - retenção das mesmas em arquivo temporário e notificar os endereços por correio electrónico que uma mensagem infectada foi interceptada e está a ser retida durante um período para extracção, se os mesmos desejarem, caso contrário a mesma será apagada. 19
ΕΡ 1 299 791 /PT - desinfestação do correio electrónico por remoção da ameaça de vírus por quaisquer meios adequados; por exemplo, se o vírus for um anexo executável, o mesmo pode ser desanexado ou desactivado antes de fazer seguir a mensagem de correio electrónico para os seus endereços. A mensagem de correio electrónico pode ser modificada pela inclusão de uma mensagem de texto a dizer que a mensagem de correio electrónico foi desinfectada.
Quando um vírus é detectado, um servidor de correio automático 30 pode notificar outros sítios das características relevantes das mensagens de correio electrónico infectadas, quer para alertar operadores humanos quer para alimentar concretizações do invento em sítios remotos com as características das mensagens de correio electrónico necessárias para os seus dispositivos de bloqueio 25 para bloquearem as mesmas.
Algoritmo típico O seguinte é um possível algoritmo que pode ser implementado pelo pesquisador 24 numa concretização ilustrada do invento.
Referindo o exemplo dos critérios de avaliação do correio electrónico expressos acima, será apreciado que uma mensagem de correio electrónico em consideração tem um certo número de atributos que podem ser representados como valores de dados num programa de computador, com o tipo de dados em função da natureza do atributo. Por exemplo, o comprimento da mensagem e o número de anexos são inteiros, enquanto que os vários cabeçalhos de texto (por exemplo, "To", "SendTo", "Subject") são cadeias de caracteres, como são resumos tais como o resumo de mensagem. No que se segue, as mensagens de correio electrónico são consideradas como sendo iguais de acordo com um dado critério, se os atributos correspondentes forem iguais nos casos de inteiros e cadeias de caracteres. No caso de cadeias de caracteres, quando adequado, a igualdade pode ser determinada pela comparação da escrita em maiúsculas; comparações da escrita em maiúsculas são adequadas para campos de texto de uma mensagem de correio 20
ΕΡ 1 299 791 /PI electrónico, mas não necessariamente para outras cadeias de caracteres. (No caso de um atributo representado por um valor em virgula flutuante, uma pessoa especializada poderá perceber que comparações deverão ser feitas em função do valor absoluto da diferença ser maior do que algum valor pequeno arbitrário, algumas vezes referido como "épsilon" na literatura técnica, o qual é, ele próprio, maior do que o erro de arredondamento).
Abaixo, os números entre parêntesis são números de passo para identificar os passos concretizados.
Em intervalos regulares (100) :
Para cada critério A mede-se (110)
Para cada intervalo de tempo de B minutos mede-se (200)
Tomar o conjunto de amostras S das mensagens de correio electrónico ao longo dos últimos minutos B, quando o seu valor de acordo com um critério seleccionado A for igual (210) . Efectuar a partição do conjunto de amostra se o mesmo contém valores que não podem ser o mesmo virus (por exemplo, se algumas mensagens de correio electrónico no conjunto contêm instruções HTML e algumas contêm um EXE, este não pode ser o mesmo virus e cada uma deverá ser tratada como um conjunto separado S pelo passo 210)
Para cada conjunto de amostra S (300)
Definir X = número de correios no conjunto de amostra (310)
Multiplicar X do passo 310 por um factor de importância C para o critério A (320) . Cada critério tem um factor de importância respectivo que depende da natureza do critério, uma vez que alguns critérios, por exemplo, o nome de um anexo de ficheiro podem ser mais 21
ΕΡ 1 299 791 /PT significativos do que outros tanto quanto a avaliação da probabilidade de uma ameaça de vírus é preocupante; comentários semelhantes aplicam-se aos outros factores referidos abaixo)
Adicionar a X do passo 320 um segundo factor de importância D para cada outro critério A2, onde A2 também é igual ao longo do conjunto de amostra S (330)
Adicionar a X do passo 330 um terceiro factor de importância E para cada outro critério A3, onde A3 tem um conjunto limitado de diferentes valores ao longo do conjunto de amostra S (340). Meios de "Intervalo limitado" > 1 e < R. Cada intervalo de tempo B tem um R respectivo.
Adicionar a X do passo 340 um factor de
disseminação (P vezes T) se o conjunto de amostras contém Q mensagens de correio electrónico que entram num domínio e então T cópias que deixam o domínio (onde T > Q) (350) . Cada intervalo de tempo B tem um P e Q diferentes.
Se X do passo 350 for maior do que o limiar V (cada intervalo de tempo B tem um limiar V respectivo) então assinalar como vírus (360).
Caso contrário
Se X do passo 350 for maior do que o limiar O (cada intervalo de tempo B tem um limiar O respectivo), onde O é inferior a V, então assinalar como necessária a assistência do operador (370). O operador pode então avaliar se uma ameaça de vírus está presente ou não e instruir o suporte lógico para proceder em conformidade.
Conjunto de amostra seguinte (380) 22
ΕΡ 1 299 791 /PT
Intervalo seguinte (210)
Critério seguinte (120)
Note que os três factores de "importância" C, D, E, o factor de disseminação e os limiares são valores numéricos que podem ser definidos empiricamente e podem ser ajustados de forma dinâmica. Também, o algoritmo pode ser concretizado utilizando um ou mais valores diferentes para o intervalo de tempo B, por exemplo, 5 minutos, 30 minutos e 180 minutos.
Em Inglês: procuram-se mensagens de correio electrónico com caracteristicas semelhantes que chegam num dado período de tempo. Quanto mais semelhantes forem as mensagens de correio electrónico encontradas, mais suspeitas se tornam. Se as mensagens de correio electrónico também tiverem outra característica em comum, isto torna as mesmas ainda mais suspeitas.
Algumas coisas podem ser mais suspeitas do que outras -por exemplo, pode-se escolher reservar um resultado mais elevado se forem vistas mensagens de correio electrónico com o mesmo nome de anexo, do que se forem vistas mensagens de correio electrónico com a mesma linha de assunto.
Se forem vistas mensagens de correio electrónico que são enviadas para um domínio e depois chegar uma inundação, isto é também suspeito.
Ainda que, acima, o invento tenha sido descrito com referência à sua aplicação a correio electrónico de internet, o mesmo não se restringe a este tipo de correio electrónico; o invento é igualmente aplicável a outras redes privadas ou públicas, locais ou de área alargada ou a combinações destes tipos de redes com outras e com a Internet, bem como a correio electrónico através de WAP (protocolo de acesso sem fios) e SMS (serviço de mensagens simples) para telefones móveis e dispositivos semelhantes.
Lisboa

Claims (52)

  1. ΕΡ 1 299 791 /PT 1/10 REIVINDICAÇÕES 1 - Método automático de processamento de correio electrónico, caracterizado por compreender a monitorização do tráfego de correio electrónico que passa através de um ou mais nós de uma rede a fim de detectar a disseminação de virus previamente desconhecidos, compreendendo esta monitorização: a) o registo (22) de detalhes acerca das mensagens de correio electrónico numa base de dados (23); e b) a pesquisa (24) na base de dados de padrões de tráfego de correio electrónico que são indicativos de, ou sugerem, a disseminação de um virus com origem em correio electrónico, pela aplicação a um conjunto predeterminado de critérios de suspeição a atributos, por exemplo, comprimento de mensagem, número de anexos, endereço de IP do emissor, resumo do primeiro anexo das mensagens de correio electrónico, incluindo o conjunto critérios que se referem a uma pluralidade de partes constituintes, por exemplo, linha de assunto, receptores, texto da mensagem, anexo das mensagens de correio electrónico, e uma vez detectado um padrão, iniciação (25) de acção correctiva automática, alerta de um operador, ou ambas.
  2. 2 - Método de acordo com a reivindicação 1, em que no passo b) diferentes factores numéricos de importância são aplicados a diferentes critérios de suspeição.
  3. 3 - Método de acordo com a reivindicação 1 ou 2, em que, durante a aplicação do conjunto predeterminado de critérios de suspeição, é atribuído a um conjunto de mensagens de correio electrónico um resultado numérico, calculado de acordo com uma combinação seleccionada dos ditos critérios e é assinalado como tendo vírus se o resultado exceder um limiar predeterminado.
  4. 4 - Método de acordo com a reivindicação 3, em que, se o resultado não exceder o dito limiar mas exceder um segundo ΕΡ 1 299 791 /PT 2/10 limiar, inferior, o conjunto de mensagens de correio electrónico é assinalado para a atenção de um operador.
  5. 5 - Método de acordo com qualquer uma das reivindicações 1 a 4, em que o registo da mensagem de correio electrónico inclui o registo de um resumo: do texto da mensagem; da linha de assunto; de poucos dos primeiros caracteres da parte de texto da mensagem de correio electrónico; da primeira parte de texto da mensagem de correio electrónico; do primeiro anexo; do emissor; ou do primeiro receptor.
  6. 6 - Método de acordo com qualquer uma das reivindicações 1 a 5, em que um dos ditos critérios é que uma mensagem de correio electrónico contenha escrita em maiúsculas inconsistente.
  7. 7 - Método de acordo com qualquer uma das reivindicações 1 a 6, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha uma composição de quebra de linha ou outro espaço em branco nos cabeçalhos de mensagem inconsistente com o emissor indicado da mensagem de correio electrónico.
  8. 8 - Método de acordo com qualquer uma das reivindicações 1 a 7, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha ordem não padronizada dos elementos do cabeçalho.
  9. 9 - Método de acordo com qualquer uma das reivindicações 1 a 8, em que um dos ditos critérios é que uma ΕΡ 1 299 791 /PT 3/10 mensagem de correio electrónico tenha elementos de cabeçalho em falta ou adicionais.
  10. 10 - Método de acordo com qualquer uma das reivindicações 1 a 9, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha informação de ID de mensagem inconsistente.
  11. 11 - Método de acordo com qualquer uma das reivindicações 1 a 10, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha um formato de fronteira inconsistente com o gerador indicado do mensagem de correio electrónico.
  12. 12 - Método de acordo com qualquer uma das reivindicações 1 a 11, em que um dos ditos critérios é que a parte da mensagem de uma mensagem de correio electrónico esteja cifrada para impedir análise linguística.
  13. 13 - Método de acordo com qualquer uma das reivindicações 1 a 12, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha um envelope de emissor de mensagem vazio.
  14. 14 - Método de acordo com qualquer uma das reivindicações 1 a 13, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha um endereço de emissor de mensagem inválido.
  15. 15 - Método de acordo com qualquer uma das reivindicações 1 a 14, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha um endereço de emissor de mensagem que não corresponde com o servidor de correio a partir do qual a mesma foi enviada.
  16. 16 - Método de acordo com qualquer uma das reivindicações 1 a 15, em que um dos ditos critérios é que as mensagens de correio electrónico estejam endereçadas para receptores por ordem alfabética ou ordem alfabética inversa.
  17. 17 - Método de acordo com qualquer uma das reivindicações 1 a 16, em que um dos ditos critérios é que as ΕΡ 1 299 791 /PT 4/10 mensagens de correio electrónico sejam enviadas para um endereço de correio electrónico particular e depois multipliquem as saídas do mesmo endereço de correio electrónico e/ou de endereços de correio electrónico semelhantes.
  18. 18 - Método de acordo com qualquer uma das reivindicações 6 a 17, em que um dos ditos critérios é que as mensagens de correio electrónico contenham o mesmo formato estrutural.
  19. 19 - Método de acordo com qualquer uma das reivindicações 1 a 18, em que um dos ditos critérios é que as mensagens de correio electrónico contenham os mesmos cabeçalhos não habituais.
  20. 20 - Método de acordo com qualquer uma das reivindicações 1 a 19, em que um dos ditos critérios é que as mensagens de correio electrónico contenham a mesma subtileza estrutural.
  21. 21 - Método de acordo com qualquer uma das reivindicações anteriores, em que um dos ditos critérios é que uma mensagem de correio electrónico seja originada num endereço de IP particular ou num endereço numa gama de endereços de IP.
  22. 22 - Método de acordo com qualquer uma das reivindicações anteriores, em que os detalhes de uma mensagem de correio electrónico não são registados se a análise da mensagem de correio electrónico determinar que não é possível que a mensagem de correio electrónico contenha um vírus.
  23. 23 - Método de acordo com qualquer uma das reivindicações anteriores, em que a pesquisa examina, principal ou exclusivamente, apenas as entradas da base de dados adicionadas recentemente, isto é, as entradas que tenham sido adicionadas há menos do que um período de tempo predeterminado.
  24. 24 - Método de acordo com qualquer uma das reivindicações anteriores, em que a acção correctiva inclui ΕΡ 1 299 791 /PT 5/10 qualquer ou todos dos seguintes, em relação a cada mensagem de correio electrónico de acordo com o padrão detectado: a) bloqueio, pelo menos, temporário da passagem da mensagem de correio electrónico b) notificação do emissor da mensagem de correio electrónico c) notificação do receptor(s) de destino da mensagem de correio electrónico d) desinfestação da mensagem de correio electrónico e) geração de um sinal para alertar um operador humano.
  25. 25 - Método de acordo com qualquer uma das reivindicações anteriores e que inclui o envio de uma mensagem de identificação de mensagens de correio electrónico suspeitas para um servidor de correio electrónico automático. 6 - Método de acordo com qualquer uma das reivindicações anteriores e que inclui o passo de processamento de mensagens de correio electrónico infectadas para desinfectar as mesmas ou desactivar um virus nas mesmas.
  26. 27 - Método de acordo com qualquer uma das reivindicações anteriores e que inclui o passo de inserção nas mensagens de correio electrónico tidas como não infectadas por virus, de uma mensagem que indica que a mensagem de correio electrónico foi processada.
  27. 28 - Sistema automático, numa ou para uma rede de computadores, através da qual os utilizadores enviam mensagens de correio electrónico uns para os outros, para processamento de correio electrónico para detectar a disseminação de virus previamente desconhecidos, compreendendo o sistema: meios para monitorização do tráfego de correio electrónico que passa através de um ou mais nós da rede, cujos meios compreendem: ΕΡ 1 299 791 /PT 6/10 a) meios para registo (22) de detalhes acerca das mensagens de correio electrónico numa base de dados (23), e b) meio para pesquisa (24) na base de dados de padrões de tráfego de correio electrónico que sejam indicativos de, ou sugiram, a disseminação de um vírus com origem em correio electrónico, pela aplicação de um conjunto predeterminado de critérios de suspeição a atributos, por exemplo, comprimento de mensagem, número de anexos, endereço de IP do emissor, resumo de primeiro anexo das mensagens de correio electrónico, incluindo o conjunto critérios que se referem a uma pluralidade de partes constituintes, por exemplo, linha de assunto, receptores, texto de mensagem das mensagens de correio electrónico; e meios operativos para, uma vez detectado um padrão, iniciação (25) de acção correctiva automática, alerta de um operador, ou ambas.
  28. 29 - Sistema de acordo com a reivindicação 28, em que na operação dos meios b) diferentes factores numéricos de importância são aplicados a diferentes critérios de suspeição.
  29. 30 - Sistema de acordo com a reivindicação 28 ou 29, em que, durante a aplicação do conjunto predeterminado de critérios de suspeição, é atribuído a um conjunto de mensagens de correio electrónico um resultado numérico, calculado de acordo com uma combinação seleccionada dos ditos critérios e é assinalado como tendo vírus se o resultado exceder um limiar predeterminado.
  30. 31 - Sistema de acordo com a reivindicação 30, em que, se o resultado não exceder o dito limiar mas exceder um segundo limiar, inferior, o conjunto de mensagens de correio electrónico é assinalado para a atenção de um operador.
  31. 32 - Sistema de acordo com qualquer uma das reivindicações 28 a 31, em que o registo da mensagem de correio electrónico inclui o registo de um resumo: do texto da mensagem; ΕΡ 1 299 791 /PT 7/10 da linha de assunto; de poucos dos primeiros caracteres da parte de texto da mensagem de correio electrónico; da primeira parte de texto da mensagem de correio electrónico; do primeiro anexo; do emissor; ou do primeiro receptor.
  32. 33 - Sistema de acordo com qualquer uma das reivindicações 28 a 32, em que um dos ditos critérios é que uma mensagem de correio electrónico contenha escrita em maiúsculas inconsistente 34 - Sistema de acordo com qualquer uma das reivindicações 28 a 33, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha uma composição de quebra de linha ou outro espaço em branco nos cabeçalhos de mensagem inconsistente com o emissor indicado da mensagem de correio electrónico.
  33. 35 - Sistema de acordo com qualquer uma das reivindicações 28 a 34, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha ordem não padronizada dos elementos do cabeçalho.
  34. 36 - Sistema de acordo com qualquer uma das reivindicações 28 a 35, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha elementos no cabeçalho em falta ou adicionais.
  35. 37 - Sistema de acordo com qualquer uma das reivindicações 28 a 36, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha informação de ID de mensagem inconsistente. ΕΡ 1 299 791 /PT 8/10
  36. 38 - Sistema de acordo com qualquer uma das reivindicações 28 a 37, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha um formato de fronteira inconsistente com o gerador indicado do correio electrónico.
  37. 39 - Sistema de acordo com qualquer uma das reivindicações 28 a 38, em que um dos ditos critérios é que a parte da mensagem de uma mensagem de correio electrónico esteja cifrada para impedir a análise linguística.
  38. 40 - Sistema de acordo com qualquer uma das reivindicações 28 a 39, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha um envelope de emissor de mensagem vazio.
  39. 41 - Sistema de acordo com qualquer uma das reivindicações 28 a 40, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha um endereço de emissor de mensagem inválido.
  40. 42 - Sistema de acordo com qualquer uma das reivindicações 28 a 41, em que um dos ditos critérios é que uma mensagem de correio electrónico tenha um endereço de emissor de mensagem que não corresponde com o servidor de correio a partir do qual a mesma foi enviada.
  41. 43 - Sistema de acordo com qualquer uma das reivindicações 28 a 42, em que um dos ditos critérios é que as mensagens de correio electrónico estejam endereçadas para receptores por ordem alfabética ou ordem alfabética inversa.
  42. 44 - Sistema de acordo com qualquer uma das reivindicações 28 a 43, em que um dos ditos critérios é que as mensagens de correio electrónico sejam enviadas para um endereço particular de correio electrónico e depois multipliquem as saídas do mesmo endereço de correio electrónico e/ou de endereços de correio electrónico semelhantes.
  43. 45 - Sistema de acordo com qualquer uma das reivindicações 33 a 44, em que um dos ditos critérios é que ΕΡ 1 299 791 /PT 9/10 as mensagens de correio electrónico contenham o mesmo formato estrutural.
  44. 46 - Sistema de acordo com qualquer uma das reivindicações 28 a 45, em que um dos ditos critérios é que as mensagens de correio electrónico contenham os mesmos cabeçalhos não habituais.
  45. 47 - Sistema de acordo com qualquer uma das reivindicações 28 a 46, em que um dos ditos critérios é que as mensagens de correio electrónico contenham a mesma subtileza estrutural.
  46. 48 - Sistema de acordo com qualquer uma das reivindicações 28 a 47, em que um dos ditos critérios é que uma mensagem de correio electrónico seja originado num endereço de IP particular ou num endereço numa gama de endereços de IP.
  47. 49 - Sistema de acordo com qualquer uma das reivindicações 28 a 48, em que, durante a operação dos ditos meios, os detalhes de uma mensagem de correio electrónico não são registados se a análise da mensagem de correio electrónico determinar que não é possível que a mensagem de correio electrónico contenha um vírus.
  48. 50 - Sistema de acordo com qualquer uma das reivindicações 28 a 49, em que, em operação, a pesquisa examina, principal ou exclusivamente, apenas as entradas da base de dados adicionadas recentemente, isto é, entradas que tenham sido adicionadas há menos do que um período de tempo predeterminado.
  49. 51 - Sistema de acordo com qualquer uma das reivindicações 28 a 50, em que os meios de iniciação funcionam de modo que a acção correctiva inclui qualquer ou todos dos seguintes, em relação a cada mensagem de correio electrónico de acordo com o padrão detectado: a) bloqueio, pelo menos, temporário da passagem da mensagem de correio electrónico ΕΡ 1 299 791 /PT 10/10 b) notificação do emissor da mensagem de correio electrónico c) notificação do receptor(s) de destino da mensagem de correio electrónico d) desinfestação da mensagem de correio electrónico e) geração de um sinal para alertar um operador humano.
  50. 52 - Sistema de acordo com qualquer uma das reivindicações 28 a 51 e que inclui meios para envio de uma mensagem de identificação de mensagens de correio electrónico suspeitas para um servidor de correio electrónico automático.
  51. 53 - Sistema de acordo com qualquer uma das reivindicações 28 a 52 e que inclui meios para processamento de mensagens de correio electrónico infectadas para desinfectar as mesmas ou desactivar um virus nas mesmas.
  52. 54 - Sistema de acordo com qualquer uma das reivindicações 28 a 53 e que inclui meios para inserção nas mensagem de correio electrónico tido como não infectado por virus, de uma mensagem que indica que a mensagem de correio electrónico foi processada. Lisboa,
PT01949640T 2000-07-07 2001-07-06 Método e sistema para processamento de correio eléctronico PT1299791E (pt)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GBGB0016835.1A GB0016835D0 (en) 2000-07-07 2000-07-07 Method of, and system for, processing email

Publications (1)

Publication Number Publication Date
PT1299791E true PT1299791E (pt) 2007-08-16

Family

ID=9895305

Family Applications (1)

Application Number Title Priority Date Filing Date
PT01949640T PT1299791E (pt) 2000-07-07 2001-07-06 Método e sistema para processamento de correio eléctronico

Country Status (11)

Country Link
US (1) US7877807B2 (pt)
EP (1) EP1299791B1 (pt)
AT (1) ATE361489T1 (pt)
AU (1) AU2001270763A1 (pt)
CY (1) CY1106782T1 (pt)
DE (1) DE60128227T2 (pt)
DK (1) DK1299791T3 (pt)
ES (1) ES2287140T3 (pt)
GB (2) GB0016835D0 (pt)
PT (1) PT1299791E (pt)
WO (1) WO2002005072A2 (pt)

Families Citing this family (127)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089591B1 (en) 1999-07-30 2006-08-08 Symantec Corporation Generic detection and elimination of marco viruses
US6886099B1 (en) * 2000-09-12 2005-04-26 Networks Associates Technology, Inc. Computer virus detection
KR20040007435A (ko) * 2001-02-12 2004-01-24 오티쥐 소프트웨어, 인코퍼레이션 고유한 전자 메일 메시지를 색인화하는 시스템 및 방법,그리고 이를 이용한 시스템 및 방법
CN101567889B (zh) 2001-04-13 2014-01-08 诺基亚公司 用于为网络提供漏洞利用保护的系统与方法
US7673342B2 (en) * 2001-07-26 2010-03-02 Mcafee, Inc. Detecting e-mail propagated malware
US20030097409A1 (en) * 2001-10-05 2003-05-22 Hungchou Tsai Systems and methods for securing computers
JP3693244B2 (ja) * 2001-10-31 2005-09-07 株式会社日立製作所 電子メールシステム、メールサーバ及びメール端末
AU2003209194A1 (en) * 2002-01-08 2003-07-24 Seven Networks, Inc. Secure transport for mobile communication network
GB2384659B (en) * 2002-01-25 2004-01-14 F Secure Oyj Anti-virus protection at a network gateway
US20030154394A1 (en) * 2002-02-13 2003-08-14 Levin Lawrence R. Computer virus control
US7237008B1 (en) * 2002-05-10 2007-06-26 Mcafee, Inc. Detecting malware carried by an e-mail message
US7155742B1 (en) 2002-05-16 2006-12-26 Symantec Corporation Countering infections to communications modules
US20030226014A1 (en) * 2002-05-31 2003-12-04 Schmidt Rodney W. Trusted client utilizing security kernel under secure execution mode
GB2401280B (en) * 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
GB2391419A (en) 2002-06-07 2004-02-04 Hewlett Packard Co Restricting the propagation of a virus within a network
GB2394382A (en) 2002-10-19 2004-04-21 Hewlett Packard Co Monitoring the propagation of viruses through an Information Technology network
US7418732B2 (en) * 2002-06-26 2008-08-26 Microsoft Corporation Network switches for detection and prevention of virus attacks
US7418729B2 (en) 2002-07-19 2008-08-26 Symantec Corporation Heuristic detection of malicious computer code by page tracking
US7380277B2 (en) * 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7478431B1 (en) 2002-08-02 2009-01-13 Symantec Corporation Heuristic detection of computer viruses
AU2003251371A1 (en) * 2002-08-07 2004-02-25 British Telecommunications Public Limited Company Server for sending electronics messages
DE10243243B4 (de) * 2002-09-17 2005-01-27 T-Mobile Deutschland Gmbh Verfahren zur empfängerseitigen automatischen Behandlung von unerwünschter elektronischer Post in Kommunikationsnetzen
US7159149B2 (en) 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
US7631353B2 (en) 2002-12-17 2009-12-08 Symantec Corporation Blocking replication of e-mail worms
US7296293B2 (en) 2002-12-31 2007-11-13 Symantec Corporation Using a benevolent worm to assess and correct computer security vulnerabilities
US8468126B2 (en) * 2005-08-01 2013-06-18 Seven Networks, Inc. Publishing data in an information community
US7917468B2 (en) * 2005-08-01 2011-03-29 Seven Networks, Inc. Linking of personal information management data
US8266215B2 (en) 2003-02-20 2012-09-11 Sonicwall, Inc. Using distinguishing properties to classify messages
US7299261B1 (en) 2003-02-20 2007-11-20 Mailfrontier, Inc. A Wholly Owned Subsidiary Of Sonicwall, Inc. Message classification using a summary
US7529754B2 (en) 2003-03-14 2009-05-05 Websense, Inc. System and method of monitoring and controlling application files
US7185015B2 (en) * 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
GB2400934B (en) 2003-04-25 2005-12-14 Messagelabs Ltd A method of,and system for detecting mass mailing viruses
US7796515B2 (en) 2003-04-29 2010-09-14 Hewlett-Packard Development Company, L.P. Propagation of viruses through an information technology network
GB2401281B (en) 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
US8271774B1 (en) 2003-08-11 2012-09-18 Symantec Corporation Circumstantial blocking of incoming network traffic containing code
WO2005047862A2 (en) 2003-11-12 2005-05-26 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for identifying files using n-gram distribution of data
US20050198168A1 (en) * 2003-12-04 2005-09-08 Justin Marston Messaging protocol discovery
US7971254B1 (en) * 2004-01-28 2011-06-28 Netgear, Inc. Method and system for low-latency detection of viruses transmitted over a network
US7721334B2 (en) * 2004-01-30 2010-05-18 Microsoft Corporation Detection of code-free files
US8220055B1 (en) * 2004-02-06 2012-07-10 Symantec Corporation Behavior blocking utilizing positive behavior system and method
US8214438B2 (en) * 2004-03-01 2012-07-03 Microsoft Corporation (More) advanced spam detection features
WO2005109794A1 (en) * 2004-05-12 2005-11-17 Bluespace Group Ltd Enforcing compliance policies in a messaging system
US7370233B1 (en) 2004-05-21 2008-05-06 Symantec Corporation Verification of desired end-state using a virtual machine environment
US7870200B2 (en) * 2004-05-29 2011-01-11 Ironport Systems, Inc. Monitoring the flow of messages received at a server
US7441042B1 (en) 2004-08-25 2008-10-21 Symanetc Corporation System and method for correlating network traffic and corresponding file input/output traffic
GB2418500A (en) * 2004-09-27 2006-03-29 Clearswift Ltd Detection, quarantine and modification of dangerous web pages
GB0422441D0 (en) * 2004-10-08 2004-11-10 I Cd Publishing Uk Ltd Processing electronic communications
US10043008B2 (en) * 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files
US8104086B1 (en) 2005-03-03 2012-01-24 Symantec Corporation Heuristically detecting spyware/adware registry activity
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
GB0512744D0 (en) * 2005-06-22 2005-07-27 Blackspider Technologies Method and system for filtering electronic messages
US8069166B2 (en) * 2005-08-01 2011-11-29 Seven Networks, Inc. Managing user-to-user contact with inferred presence information
US8407785B2 (en) 2005-08-18 2013-03-26 The Trustees Of Columbia University In The City Of New York Systems, methods, and media protecting a digital data processing device from attack
US8544097B2 (en) * 2005-10-14 2013-09-24 Sistema Universitario Ana G. Mendez, Inc. Attachment chain tracing scheme for email virus detection and control
CA2626993A1 (en) 2005-10-25 2007-05-03 The Trustees Of Columbia University In The City Of New York Methods, media and systems for detecting anomalous program executions
WO2007082308A2 (en) * 2006-01-13 2007-07-19 Bluespace Software Corp. Determining relevance of electronic content
US7769395B2 (en) * 2006-06-20 2010-08-03 Seven Networks, Inc. Location-based operations and messaging
US8239915B1 (en) 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
WO2008055156A2 (en) 2006-10-30 2008-05-08 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting an anomalous sequence of function calls
GB0621656D0 (en) 2006-10-31 2006-12-06 Hewlett Packard Development Co Data file transformation
KR100859664B1 (ko) * 2006-11-13 2008-09-23 삼성에스디에스 주식회사 전자메일의 바이러스 감염여부 판정방법
US9654495B2 (en) * 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
GB2444514A (en) * 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US9729513B2 (en) 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
CN101212470B (zh) * 2006-12-30 2011-05-04 中国科学院计算技术研究所 一种能够抵御垃圾邮件的分布式邮件系统
GB2458094A (en) * 2007-01-09 2009-09-09 Surfcontrol On Demand Ltd URL interception and categorization in firewalls
GB0709527D0 (en) * 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US8805425B2 (en) 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
US8364181B2 (en) 2007-12-10 2013-01-29 Seven Networks, Inc. Electronic-mail filtering for mobile devices
US9002828B2 (en) * 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) * 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
US8787947B2 (en) * 2008-06-18 2014-07-22 Seven Networks, Inc. Application discovery on mobile devices
US8078158B2 (en) 2008-06-26 2011-12-13 Seven Networks, Inc. Provisioning applications for a mobile device
US8909759B2 (en) 2008-10-10 2014-12-09 Seven Networks, Inc. Bandwidth measurement
US8863279B2 (en) 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
WO2012018430A1 (en) 2010-07-26 2012-02-09 Seven Networks, Inc. Mobile network traffic coordination across multiple applications
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
US20120066759A1 (en) * 2010-09-10 2012-03-15 Cisco Technology, Inc. System and method for providing endpoint management for security threats in a network environment
US8484314B2 (en) 2010-11-01 2013-07-09 Seven Networks, Inc. Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
GB2495463B (en) 2010-11-22 2013-10-09 Seven Networks Inc Aligning data transfer to optimize connections established for transmission over a wireless network
EP3422775A1 (en) 2010-11-22 2019-01-02 Seven Networks, LLC Optimization of resource polling intervals to satisfy mobile device requests
EP2661697B1 (en) 2011-01-07 2018-11-21 Seven Networks, LLC System and method for reduction of mobile network traffic used for domain name system (dns) queries
EP2700019B1 (en) 2011-04-19 2019-03-27 Seven Networks, LLC Social caching for device resource sharing and management
US8621075B2 (en) 2011-04-27 2013-12-31 Seven Metworks, Inc. Detecting and preserving state for satisfying application requests in a distributed proxy and cache system
WO2012149216A2 (en) 2011-04-27 2012-11-01 Seven Networks, Inc. Mobile device which offloads requests made by a mobile application to a remote entity for conservation of mobile device and network resources and methods therefor
US8584211B1 (en) 2011-05-18 2013-11-12 Bluespace Software Corporation Server-based architecture for securely providing multi-domain applications
US20120311710A1 (en) * 2011-06-03 2012-12-06 Voodoosoft Holdings, Llc Computer program, method, and system for preventing execution of viruses and malware
EP2737742A4 (en) * 2011-07-27 2015-01-28 Seven Networks Inc AUTOMATIC PRODUCTION AND DISTRIBUTION OF GUIDELINES INFORMATION ON MOBILE MOBILE TRANSPORT IN A WIRELESS NETWORK
US9495541B2 (en) 2011-09-15 2016-11-15 The Trustees Of Columbia University In The City Of New York Detecting return-oriented programming payloads by evaluating data for a gadget address space address and determining whether operations associated with instructions beginning at the address indicate a return-oriented programming payload
WO2013086225A1 (en) 2011-12-06 2013-06-13 Seven Networks, Inc. A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation
US8934414B2 (en) 2011-12-06 2015-01-13 Seven Networks, Inc. Cellular or WiFi mobile traffic optimization based on public or private network destination
GB2498064A (en) 2011-12-07 2013-07-03 Seven Networks Inc Distributed content caching mechanism using a network operator proxy
WO2013086447A1 (en) 2011-12-07 2013-06-13 Seven Networks, Inc. Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol
US20130159511A1 (en) 2011-12-14 2013-06-20 Seven Networks, Inc. System and method for generating a report to a network operator by distributing aggregation of data
WO2013103988A1 (en) 2012-01-05 2013-07-11 Seven Networks, Inc. Detection and management of user interactions with foreground applications on a mobile device in distributed caching
WO2013116856A1 (en) 2012-02-02 2013-08-08 Seven Networks, Inc. Dynamic categorization of applications for network access in a mobile network
US9326189B2 (en) 2012-02-03 2016-04-26 Seven Networks, Llc User as an end point for profiling and optimizing the delivery of content and data in a wireless network
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
US20130268656A1 (en) 2012-04-10 2013-10-10 Seven Networks, Inc. Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network
WO2014011216A1 (en) 2012-07-13 2014-01-16 Seven Networks, Inc. Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications
US9161258B2 (en) 2012-10-24 2015-10-13 Seven Networks, Llc Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion
US9241259B2 (en) 2012-11-30 2016-01-19 Websense, Inc. Method and apparatus for managing the transfer of sensitive information to mobile devices
US9307493B2 (en) 2012-12-20 2016-04-05 Seven Networks, Llc Systems and methods for application management of mobile device radio state promotion and demotion
US9241314B2 (en) 2013-01-23 2016-01-19 Seven Networks, Llc Mobile device with application or context aware fast dormancy
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US8750123B1 (en) 2013-03-11 2014-06-10 Seven Networks, Inc. Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
GB2518880A (en) 2013-10-04 2015-04-08 Glasswall Ip Ltd Anti-Malware mobile content data management apparatus and method
US9516049B2 (en) 2013-11-13 2016-12-06 ProtectWise, Inc. Packet capture and network traffic replay
US9654445B2 (en) 2013-11-13 2017-05-16 ProtectWise, Inc. Network traffic filtering and routing for threat analysis
US10735453B2 (en) 2013-11-13 2020-08-04 Verizon Patent And Licensing Inc. Network traffic filtering and routing for threat analysis
US9330264B1 (en) 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
US9712555B2 (en) 2014-12-03 2017-07-18 Phantom Cyber Corporation Automated responses to security threats
US10057237B2 (en) * 2015-02-17 2018-08-21 Ca, Inc. Provide insensitive summary for an encrypted document
US20160287829A1 (en) * 2015-03-31 2016-10-06 Tom Whitehead Cushioned Sleep Apnea Mask
US10887261B2 (en) 2015-07-30 2021-01-05 Microsoft Technology Licensing, Llc Dynamic attachment delivery in emails for advanced malicious content filtering
US10868782B2 (en) 2018-07-12 2020-12-15 Bank Of America Corporation System for flagging data transmissions for retention of metadata and triggering appropriate transmission placement
US11151248B1 (en) * 2018-09-11 2021-10-19 NuRD LLC Increasing zero-day malware detection throughput on files attached to emails
US12008317B2 (en) 2019-01-23 2024-06-11 International Business Machines Corporation Summarizing information from different sources based on personal learning styles
US11677783B2 (en) * 2019-10-25 2023-06-13 Target Brands, Inc. Analysis of potentially malicious emails
CN114761953A (zh) * 2019-11-03 2022-07-15 微软技术许可有限责任公司 用于对抗网络攻击的攻击活动智能和可视化
WO2021242687A1 (en) * 2020-05-28 2021-12-02 GreatHorn, Inc. Computer-implemented methods and systems for pre-analysis of emails for threat detection

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DK170490B1 (da) * 1992-04-28 1995-09-18 Multi Inform As Databehandlingsanlæg
US5414833A (en) 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5889943A (en) * 1995-09-26 1999-03-30 Trend Micro Incorporated Apparatus and method for electronic mail virus detection and elimination
US6453327B1 (en) * 1996-06-10 2002-09-17 Sun Microsystems, Inc. Method and apparatus for identifying and discarding junk electronic mail
US5832208A (en) * 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US5796942A (en) * 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US5935245A (en) * 1996-12-13 1999-08-10 3Com Corporation Method and apparatus for providing secure network communications
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
AU1907899A (en) * 1997-12-22 1999-07-12 Accepted Marketing, Inc. E-mail filter and method thereof
US6253337B1 (en) * 1998-07-21 2001-06-26 Raytheon Company Information security analysis system
MXPA01000775A (es) 1998-07-21 2002-04-24 Raytheon Co Sistema de analisis de seguridad de informacion.
US6701440B1 (en) * 2000-01-06 2004-03-02 Networks Associates Technology, Inc. Method and system for protecting a computer using a remote e-mail scanning device
US7072942B1 (en) * 2000-02-04 2006-07-04 Microsoft Corporation Email filtering methods and systems
US6519703B1 (en) * 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US6886099B1 (en) 2000-09-12 2005-04-26 Networks Associates Technology, Inc. Computer virus detection

Also Published As

Publication number Publication date
GB2367714A (en) 2002-04-10
CY1106782T1 (el) 2012-05-23
GB0116578D0 (en) 2001-08-29
AU2001270763A1 (en) 2002-01-21
EP1299791B1 (en) 2007-05-02
GB2367714B (en) 2004-03-17
GB0016835D0 (en) 2000-08-30
US20040054498A1 (en) 2004-03-18
DE60128227T2 (de) 2008-01-10
ATE361489T1 (de) 2007-05-15
WO2002005072A2 (en) 2002-01-17
DK1299791T3 (da) 2007-09-10
US7877807B2 (en) 2011-01-25
WO2002005072A3 (en) 2002-09-06
DE60128227D1 (de) 2007-06-14
ES2287140T3 (es) 2007-12-16
EP1299791A2 (en) 2003-04-09
GB2367714C (en) 2006-10-30

Similar Documents

Publication Publication Date Title
PT1299791E (pt) Método e sistema para processamento de correio eléctronico
US10084801B2 (en) Time zero classification of messages
US9774569B2 (en) Detection of undesired computer files using digital certificates
US10243989B1 (en) Systems and methods for inspecting emails for malicious content
US8122508B2 (en) Analyzing traffic patterns to detect infectious messages
JP5118020B2 (ja) 電子メッセージ中での脅威の識別
US8689330B2 (en) Instant messaging malware protection
US8015250B2 (en) Method and system for filtering electronic messages
US20020004908A1 (en) Electronic mail message anti-virus system and method
US20150067839A1 (en) Syntactical Fingerprinting
US20190007426A1 (en) Detection and mitigation of time-delay based network attacks
WO2007096659A1 (en) Phishing mitigation
US20200097655A1 (en) Time zero classification of messages
KR101934516B1 (ko) 메일열람시 보안을 위한 전자메일처리시스템
Wardman et al. Reeling in big phish with a deep md5 net
Gennai et al. Computer viruses and electronic mail