TWI593266B - 惡意訊息之偵測及處理 - Google Patents

惡意訊息之偵測及處理 Download PDF

Info

Publication number
TWI593266B
TWI593266B TW102120185A TW102120185A TWI593266B TW I593266 B TWI593266 B TW I593266B TW 102120185 A TW102120185 A TW 102120185A TW 102120185 A TW102120185 A TW 102120185A TW I593266 B TWI593266 B TW I593266B
Authority
TW
Taiwan
Prior art keywords
email
link
malicious
intermediate node
client
Prior art date
Application number
TW102120185A
Other languages
English (en)
Other versions
TW201414260A (zh
Inventor
安傑羅 史塔印
大衛 奈特
Original Assignee
普波因特股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 普波因特股份有限公司 filed Critical 普波因特股份有限公司
Publication of TW201414260A publication Critical patent/TW201414260A/zh
Application granted granted Critical
Publication of TWI593266B publication Critical patent/TWI593266B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9558Details of hyperlinks; Management of linked annotations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Mining & Analysis (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

惡意訊息之偵測及處理
本發明概言之係關於偵測並處理惡意訊息,且更特定而言,而非以限制方式,係關於用於偵測並處理惡意及潛在惡意電子郵件訊息從而保護電子郵件接收方免於曝露於垃圾郵件、網路釣魚、大宗、色情或其他類似類型之有害及不受歡迎的電子郵件訊息以及曝露於包括於此等電子郵件中之惡意及潛在惡意資源之系統及方法。
惡意電子訊息可包括(舉例而言)旨在產生收效之垃圾郵件、網路釣魚郵件、大宗、色情及其他類似內容。該等訊息可呈電子郵件、即時訊息及諸如此類之形式。儘管本文中之說明包括在電子郵件背景下之訊息之實例及其他說明,但本發明並不限於電子郵件訊息。此外,某些類型之惡意電子郵件旨在竊取諸如銀行帳戶資訊、信用卡帳戶資訊、使用者名稱及密碼以及社會安全號(僅舉幾例)之敏感資訊。諸如網路釣魚電子郵件之某些惡意電子郵件將看似由諸如最終使用者與其開展業務之一商家之一合法源產生。此等電子郵件可包括標誌、商標及/或用於使電子郵件看似合法之其他源指示器。此等類型之電子郵件通常稱作騙取電子郵件或克隆電子郵件。某些類型之騙取/克隆電子郵件可具體針對某些個體且通常稱作魚叉式網路釣魚攻擊。
就騙取電子郵件而論,此等惡意電子郵件亦將包括看似與由該商家運營之一合法網站相關聯之一超連結。遺憾的是,此等超連結連 結至旨在自最終使用者竊取敏感資訊之惡意資源。舉例而言,該惡意資源可包括騙取一線上銀行介面之登陸頁之一假冒登錄頁面。當最終使用者輸入其登錄資訊時,該登錄資訊被曝露且被捕獲。
根據某些實施例,本發明可係關於用於使用一中間節點來處理訊息之方法。該等方法可包含:(a)經由該中間節點來分析包括於一訊息中之一連結以判定該連結是否與一潛在惡意資源相關聯;及(b)若該連結與一潛在惡意資源相關聯,則用通至一受信任資源之一替代連結來替換該連結。
根據其他實施例,本發明可係關於一種用於處理訊息之中間節點。該中間節點可包含:(a)一記憶體,其用於儲存可執行指令;及(a)一處理器,其用於執行該等可執行指令,該等可執行指令包含:(i)一分析模組,其分析包括於一電子郵件中之一連結以判定該連結是否與一潛在惡意資源相關聯;及(ii)一修改器模組,若該連結與一潛在惡意資源相關聯,則該修改模組用通至一受信任資源之一替代連結來替換該連結。
根據額外實施例,本發明可係關於用於使用一中間節點來處理訊息之方法。該方法可包含:(a)經由該中間節點來定位包括於一訊息中之至少一個統一資源定位器;(b)經由該中間節點來分析該至少一個統一資源定位器以判定該至少一個統一資源定位器是否與一潛在惡意資源相關聯;及(c)若該至少一個統一資源定位器與一潛在惡意資源相關聯,則用通至一受信任資源之一替代連結來替換該至少一個統一資源定位器。
100‧‧‧例示性架構/架構
105‧‧‧基於雲端的中間節點/中間節點
110‧‧‧電子郵件作者
115‧‧‧發送方簡單郵件傳送協定伺服器
120‧‧‧用戶端電子郵件伺服器
125‧‧‧郵件用戶端
130‧‧‧網路
200‧‧‧電子郵件處理應用程式
205‧‧‧通信模組
210‧‧‧分析模組
215‧‧‧修改器模組
220‧‧‧隔離模組
225‧‧‧封禁清單模組
230‧‧‧安全清單模組
300‧‧‧例示性惡意電子郵件
305‧‧‧連結
400‧‧‧圖表
500‧‧‧例示性表格
600‧‧‧網路釣魚攻擊
605‧‧‧潛在惡意電子郵件
610‧‧‧連結
615‧‧‧郵件伺服器
620‧‧‧郵件用戶端
625‧‧‧潛在惡意資源
700‧‧‧網路釣魚攻擊
705‧‧‧潛在惡意電子郵件
710‧‧‧中間節點
715‧‧‧郵件伺服器
720‧‧‧連結
725‧‧‧替代連結
730‧‧‧指示器
735‧‧‧電子郵件接收方
740‧‧‧登陸頁
840‧‧‧頁面
900‧‧‧網路釣魚攻擊
905‧‧‧中間節點
910‧‧‧連結
915‧‧‧指示器
1200‧‧‧例示性計算系統
1210‧‧‧處理器
1220‧‧‧主記憶體
1230‧‧‧大容量儲存裝置
1240‧‧‧可攜式儲存媒體磁碟機/可攜式儲存器
1250‧‧‧輸出裝置
1260‧‧‧使用者輸入裝置
1270‧‧‧圖形顯示器
1280‧‧‧周邊裝置
1290‧‧‧匯流排
本發明之某些實施例係藉由附圖來圖解說明。應瞭解,該等圖未必按比例且可省略對瞭解本發明不必要或使得其他細節難以察覺之 細節。應瞭解,本發明未必限於本文中所闡釋之特定實施例。
圖1圖解說明用於實踐本發明之態樣之一例示性架構。
圖2係供根據本發明使用之一例示性電子郵件處理應用程式之一方塊圖。
圖3係呈一騙取電子郵件之形式之一例示性惡意電子郵件。
圖4係針對複數個電子郵件訊息產生之垃圾郵件得分之一例示性分佈之一圖表。
圖5係用於歸類電子郵件之例示性垃圾郵件規則之一表格。
圖6係一典型網路釣魚攻擊之一例示性流程圖。
圖7係其中一惡意電子郵件由本發明偵測並處理之一網路釣魚攻擊之一圖解性表示。
圖8a係一登陸頁之佈建之一圖解性表示。
圖8b係重定向至被判定為一有效(亦即,非潛在惡意)連結之一原始連結之佈建之一圖解性表示。
圖9係其中一惡意電子郵件由本發明偵測並處理之一網路釣魚攻擊之另一圖解性表示。
圖10係根據本發明用於處理電子郵件之一例示性方法之一流程圖。
圖11係根據本發明用於處理電子郵件之另一例示性方法之一流程圖。
圖12係用於實施本發明之實施例之一例示性計算系統之一方塊圖。
雖然本發明可以允許呈諸多不同形式之實施例,但展示有且本文中將詳細闡述幾個具體實施例,條件係本揭示內容應視為對本發明之原理之例證而非意欲將本發明限定至所闡釋之實施例。
應瞭解,本文中所提及之相同或相似元件及/或組件可在所有各圖式中以相同參考符號標識。應進一步了理,該等圖中之幾個圖僅為本發明之示意性表示。就此方面,為圖示清楚起見,該等組件中之某些組件可能已與其實際尺度失真。
一般而言,本發明可係關於惡意訊息之偵測及處理。該等訊息可呈電子郵件、即時訊息及諸如此類之形式。儘管本文中之說明包括在電子郵件背景下之訊息之實例及其他說明,但本發明並不限於電子郵件訊息。更特定而言,而非以限制方式,本發明可採用經組態以偵測潛在惡意電子郵件並確認該電子郵件是否包含惡意內容之一基於雲端的中間節點。作為背景,一惡意電子郵件可包括垃圾郵件、色情、網路釣魚、大宗及/或其他類似類型之內容。此等電子郵件用來產生其各別作者之收益,但通常對於接收方來說係一令人煩惱的事情。如上所述,某些惡意電子郵件可包括旨在欺騙接收方透露諸如社會安全號、信用卡號等等之敏感資訊之連結。
本發明可偵測一電子郵件通信是否係可能惡意的。此外,若該電子郵件可能係惡意的,則本發明可解析該電子郵件以判定該電子郵件中是否包括與惡意資源相關聯之連結。一惡意資源可包括旨在誘導接收方透露其敏感資訊之一騙取網站,但將為熟習此項技術者所知之其他常見惡意資源同樣可由本發明偵測。
一旦本發明已判定一電子郵件包括通至一潛在惡意資源之一連結,本發明可用通至諸如一封禁網頁之一安全資源之一替代連結來交換該連結。本發明亦可修改該電子郵件以包括該潛在惡意資源之實際網域名稱之一視覺表示以使得接收方可看到該連結之真實身分。此特徵可在其中超連結之可見文字模棱兩可及/或令人誤解之例項中係有利的。在某些例項中,可藉由去啟動或斷開超連結以使得接收方無法藉由點擊超連結文字來請求或接收該資源來禁止對該潛在惡意資源之 存取。亦可以一類似方式來處理嵌入於影像或其他資源內之超連結。本發明亦可判定一電子郵件中之連結係安全的,亦即,當然非惡意的。舉例而言,一連結可已知為安全的,此乃因其在一安全清單上或以其他方式已知為安全的。
本發明亦可計算電子郵件訊息的得分以判定該電子郵件係惡意之一可能性,而且隔離惡意電子郵件並且產生惡意資源之封禁清單以及安全清單。下文將參閱集體圖式(例如,圖1至圖12)更詳細闡述本發明之此等及其他優點。
圖1圖解說明用於實踐本發明之態樣之一例示性架構100。根據某些實施例,例示性架構100(下稱「架構100」)通常可包括一基於雲端的中間節點(下稱「中間節點105」)。一般而言,中間節點105可經組態以藉由分析包括於一電子郵件中之一連結以判定該連結是否與一潛在惡意資源相關聯且若該連結與一潛在惡意資源相關聯,則用通至一受信任資源之一替代連結來替換該連結來處理電子郵件。在各種實施例中,若該連結被識別為當然惡意的,則過濾該電子郵件而不將其遞送至電子郵件伺服器。
在各種實施例中,中間節點105可經組態以定位包括於一電子郵件中之至少一個統一資源定位器,分析該至少一個統一資源定位器以判定該至少一個統一資源定位器是否與一潛在惡意資源相關聯,且若該至少一個統一資源定位器與一潛在惡意資源相關聯,則用通至一受信任資源之一替代連結來替換該至少一個統一資源定位器。
根據某些實施例,中間節點105可在一基於雲端的計算環境(亦即,基於雲端的中間節點105)內實施。通常,一基於雲端的計算環境係通常組合一大的處理器分組之計算能力及/或組合一大的電腦記憶體或儲存裝置分組之儲存容量之一資源。舉例而言,提供一雲端資源之系統可專門由其擁有者(諸如GoogleTM或Yahoo!TM)利用;或者此等 系統可由在計算基礎架構內部署應用程式以獲得大的計算或儲存資源之益處之外部使用者存取。
雲端可(舉例而言)由一web伺服器網路形成,其中每一web伺服器(或至少複數個web伺服器)提供處理器及/或儲存資源。此等伺服器可管理由多個使用者(例如,雲端資源消費者或其他使用者)提供之工作負荷。通常,每一使用者將工作負荷需求置於即時,有時動態變化之雲端上。此等變化之性質及範圍通常取決於與使用者相關聯之業務類型。
電子郵件作者110可撰寫由可包括實施簡單郵件傳送協定(「SMTP」)之一伺服器之一發送方SMTP伺服器115遞送至一接收方之電子郵件。電子郵件作者110可使用可包括(舉例而言)OutlookTM、EntourageTM等等之一電子郵件程式來撰寫合法電子郵件及/或惡意電子郵件兩者。電子郵件作者110亦可使用一基於web的電子郵件介面來撰寫並發送電子郵件。在一傳統組態中,發送方SMTP伺服器115可將電子郵件訊息直接遞送至將把該電子郵件遞送至諸如一電子郵件程式或基於web的電子郵件介面之一郵件用戶端125之一用戶端電子郵件伺服器120。用戶端電子郵件伺服器120可包含(舉例而言)諸如ExchangeTM、DominoTM等等之一企業電子郵件伺服器。
根據本發明,中間節點105可定位於發送方SMTP伺服器115與用戶端電子郵件伺服器120之間。因此,中間節點105可在該等電子郵件遞送至用戶端電子郵件伺服器120之前過濾及/或處理潛在/實際惡意電子郵件。
包括於架構100中之組件可經由一網路130以通信方式耦合。值得一提的是,網路130可包括諸如網際網路之專用或公用通信網路中之任何一者(或組合)。
現在參見圖2,基於雲端的中間節點105可包括儲存於記憶體中 之可執行指令。此等指令可由中間節點105之一處理器執行。參閱圖2更詳細闡述包括記憶體及一處理器之一例示性計算系統。圖2包括一電子郵件處理應用程式200之一方塊圖。根據某些實施例,當執行時,電子郵件處理應用程式200可致使中間節點105執行下文將更詳細闡述之用於處理電子郵件之各種方法。
根據某些實施例,電子郵件處理應用程式200可包含一通信模組205、一分析模組210、一修改器模組215、一隔離模組220及一封禁清單模組225以及安全清單模組230。值得注意的是,電子郵件處理應用程式200可包括額外模組、引擎或組件,且仍歸屬於本發明之範疇。 如中文中所使用,術語「模組」亦可指一專用積體電路(「ASIC」)、一電子電路、執行一或多個軟體或韌體程式之一處理器(共用、專用或群組)、一組合邏輯電路及/或提供所述功能性之其他適合組件中之任一者。在其他實施例中,電子郵件處理應用程式200之個別模組可包括單獨組態之web伺服器。
一般而論,通信模組205可自如圖1中所示之各個發送方SMTP伺服器系統接收電子郵件訊息(惡意的及非惡意的兩者)。圖3圖解說明騙取由諸如一銀行之一受信任組織發送之一例示性電子郵件之佈局及內容之一例示性惡意電子郵件300。此電子郵件300包括諸如一超連結之一例示性連結305。雖然該連結看似與該受信任組織之網域名稱相關聯,但對該電子郵件之源代碼之一檢查表明連結305實際上與一潛在惡意資源相關聯。舉例而言,連結305之源代碼可指定「<AHREF="http://www.spammer.domain">http://www.yourtrustedbank.com/general/custverifyinfo.asp</A>,」,其中http://www.spammer.domain包括一潛在惡意資源。
一旦接收到一電子郵件,可執行分析模組210以評估該電子郵件並判定包括於該電子郵件中之一連結是否與一潛在惡意資源相關聯。 應瞭解,可藉由一通用垃圾郵件過濾器來對該等電子郵件進行預處理以移除可容易藉由對包括於該電子郵件中之內容之一檢視識別為當然而僅僅潛在惡意之電子郵件。舉例而言,可自動地將包括涉及色情素材之文字內容之一電子郵件分類為垃圾郵件並將其刪除或隔離。
此外,對電子郵件之預處理可包括產生該電子郵件之一信任/信譽/垃圾郵件得分。
圖4圖解說明包含複數個電子郵件之垃圾郵件得分之一例示性分佈之一圖表400。如所示,絕大部分電子郵件事實上係惡意的。亦顯而易見的是,非所有電子郵件皆接收零(其指示該電子郵件係確定非惡意的)或一百(其指示該電子郵件幾乎肯定係惡意的)之一得分。本發明可幫助處理接收介於零與一百之間的一得分之電子郵件(亦即,潛在惡意電子郵件),但在某些例項中,使用本發明來處理所有電子郵件可能係有利的。舉例而言,電子郵件管理員可能期望識別並歸類儘可能多的惡意資源以創建一穩鍵封禁清單及一安全清單,如下文將更詳細闡述。在某些實施例中,對一電子郵件之遞送由中間節點105暫時延遲例如三十分鐘,以便基於可能已在該延遲週期期間接收到之新資訊來判定對一電子郵件訊息之處置。在該延遲週期之後,該訊息之得分可能不同且因此,針對該電子郵件所採取之相關聯行動亦可不同。
圖5圖解說明包含由上文所提及之預處理系統應用於電子郵件之垃圾郵件規則之各種屬性之一例示性表格500。如所示,電子郵件可分類為確定垃圾郵件(具有100之一垃圾郵件得分之電子郵件)、網路釣魚、色情、垃圾郵件、大宗、可疑及非垃圾郵件。此外,本發明可幫助進一步處理已歸類為「可疑」(亦即,潛在惡意)之電子郵件。
一旦電子郵件已由通信模組205接收,可執行分析模組210以評估與該等電子郵件相關聯之連結。此外,一連結可包含一統一資源定 位器(「URL」)、一統一資源指示器(「URT」)、一網際網路協定位址(「IP」)、一網域名稱或其組合中之任一者。該連結可包含與線上資源相關聯之任一超連結。此等資源可連結至文字、一影像、一視訊、一圖標或熟習此項技術者在閱讀本揭示內容之後將知道之可包括於一電子郵件訊息中之任何其他物件中之任一者。舉例而言,一超連結通常包括指示或誘惑接收方點擊該超連結之一文字串(例如,「點擊此處」)。
分析模組210可對與一電子郵件相關聯之連結中之任一者進行一初始評估。分析模組210可採用若干種技術中之任一種(或組合)來預先評估一連結。舉例而言,分析模組210可評估與一線上資源相關聯之一網域名稱之一使用年限。分析模組210可自動地將與在一特定時間週期內註冊之網域名稱相關聯之連結分類為潛在惡意的。以非限制性實例方式,可將通至在最後三天裏註冊之網域名稱之連結分類為潛在惡意的。
一旦已發現一連結與一潛在惡意資源相關聯,可執行修改器模組215以用一替代連結來替換與潛在惡意資源相關聯之連結。在某些例項中,可用與諸如一登陸頁之一受信任資源相關聯之一替代連結來替換該連結。在某些例項中,該登陸頁可包含一封禁網頁(參見圖7)。在各種實施例中,該替代連結可包括將接收方引導至一習知搜尋頁面或其他資源之一重定向描述性語言。
舉例而言,修改器模組215可修改該電子郵件之源代碼以替換與該潛在惡意資源相關聯之連結。在某些例項中,修改器模組215可在緊鄰該連結處顯示與該潛在惡意資源相關聯之一指示器。因此,與該潛在惡意資源相關聯之網域名稱可曝露給電子郵件接收方。在某些例項中,修改器模組215可去啟動該連結。即,修改器模組215可修改該電子郵件中之該連結以防止電子郵件接收方打開該潛在惡意資源。因 此,若電子郵件接收方點擊該連結,則不執行任何動作(亦即,不傳回該潛在惡意資源)。
在某些例項中,電子郵件可在該電子郵件已被歸類為潛在惡意時或者另一選擇為在與電子郵件相關聯之連結已被驗證為惡意之後由隔離模組220隔離。
根據某些實施例,已被歸類為潛在惡意且被隔離之電子郵件可在被隔離的同時由分析模組210重新評估。舉例而言,若一電子郵件包括與僅僅最近註冊之一域相關聯之一連結,則隨後在一既定時間週期之後對該連結之評估可表明該網域名稱與一合法資源相關聯。因此,雖然該連結最初被歸類為潛在惡意的,但該連結實際上為非惡意的。該電子郵件可重新遞送至用戶端電子郵件伺服器120並最終至郵件用戶端125。
在其他實施例中,可不隔離該電子郵件,但可臨時去啟動該連結。當隨後的分析表明該連結與一合法資源相關聯時,可再啟動該電子郵件中之該連結並將該連結推動/遞送至郵件用戶端125。分析模組210可包括比較關於該潛在惡意資源之資訊與可係私下或公開可用安全清單之安全清單。此等安全清單可包含IP位址、網域名稱、MAC位址或可用於識別一線上資源的其他計算系統。
分析模組210亦可驗證一潛在惡意資源事實上係惡意的。分析模組210可包括比較關於該惡意資源的資訊與可係私下或公開可用封禁清單之封禁清單。此等封禁清單可包含IP位址、網域名稱、MAC位址或可用於識別一線上資源之其他計算系統指示器。在各種實施例中,分析模組210亦可藉由在一沙箱(例如,測試)環境中將該潛在惡意資源載入至中間節點105上來對該潛在惡意資源進行一深內容檢驗。
同樣亦涵蓋用於驗證為熟習此項技術者所知之一線上資源之惡意性質之其他方法以供根據本發明使用。
根據某些實施例,一旦已確認一連結與一惡意資源相關聯,可執行封禁清單模組225以將彼資源之識別資訊儲存於一黑名單中供以後參考。相反,根據某些實施例,一旦已確認一連結與係當然非惡意之一安全資源相關聯,可執行安全清單模組230以將彼資源之識別資訊儲存於一安全清單中供以後參考。
圖6係其中不攔截或隔離一潛在惡意電子郵件之一網路釣魚攻擊600之一圖解性表示。通常,接收一潛在惡意電子郵件605。潛在惡意電子郵件605可包含通至一潛在惡意資源之一連結610。由於潛在惡意電子郵件605不由本發明之一中間節點處理,因而該電子郵件由郵件伺服器615接收且傳遞至一郵件用戶端620。當電子郵件接收方點擊連結610時,一潛在惡意資源625傳回至接收方。在此例項中,潛在惡意資源625可包括旨在自接收方竊取敏感資訊之一網頁。
圖7係其中一潛在惡意電子郵件不由本發明攔截之一網路釣魚攻擊700之一圖解性表示。通常,一潛在惡意電子郵件705在遞送至郵件伺服器715之前由一中間節點710接收。潛在惡意電子郵件705可包含通至一潛在惡意資源之一連結720。中間節點710可用一替代連結725來替換連結720。另一選擇係,中間節點710可修改該電子郵件以包括一指示器730,該指示器包括與該潛在惡意資源相關聯之網域之至少一部分(例如,url=www.spammer.domain)。在某些例項中,指示器730可以插入語形式或以使該潛在惡意資源之網域分開或與眾不同且因此對電子郵件接收方更具視覺差異之任何其他方式顯示。該指示器可依據各種應用及使用者需要針對其他指示來組態。
當電子郵件接收方735點擊替代連結725時,中間節點710為電子郵件接收方提供在此實施例中包含通知電子郵件接收方原始連結與一潛在惡意資源相關聯之一封禁頁面之一登陸頁740。圖8a圖解說明請求一潛在惡意資源並傳回一登陸頁740之中間節點710。圖8b圖解說明 其中中間節點710傳回一HTTP 302以重定向至由中間節點710判定為一有效(亦即,非潛在惡意)連結之原始連結(例如,與頁面840相關聯)之一例示性實施例。如此實例中所示,點擊該連結導致在打開該連結處之實際網頁之前接觸中間節點710對最終使用者完全透明。
圖9係其中一潛在惡意電子郵件由本發明攔截之一網路釣魚攻擊900之一圖解性表示。在此例項中,一中間節點905可重寫與一潛在惡意資源相關聯之一連結910以便展示透明度,例如,實際連結(「www.spammer.domain」);因而最終使用者可作出是否點擊此連結之一更好且更明智的決策。在某些實施例中,中間節點905亦可顯示連結910之一指示器915。
圖10係用於處理電子郵件之一例示性方法之一流程圖。方法1000可包含經由該中間節點來分析包括於一電子郵件中之一連結以判定該連結是否與一潛在惡意資源相關聯之一步驟1005。該方法亦可包含若該連結與一潛在惡意資源相關聯,則用通至一受信任資源之一替代連結來替換該連結之一步驟1010以及經由一中間節點來提供包含通至一電子郵件伺服器之該替代連結之該電子郵件之一步驟1015。
圖11係用於處理電子郵件之另一例示性方法之一流程圖。方法1100可包含經由該中間節點來定位包括於一電子郵件中之至少一個統一資源定位器之一步驟1105。該方法亦可包含經由該中間節點來分析該至少一個統一資源定位器以判定該至少一個統一資源定位器是否與一潛在惡意資源相關聯之一步驟1110以及若該至少一個統一資源定位器與一潛在惡意資源相關聯,則用通至一受信任資源之一替代連結來替換該至少一個統一資源定位器之一步驟1115。
圖12圖解說明可用於實施本發明之一實施例之一例示性計算系統1200。圖12之系統1200可在計算系統、網路、伺服器或其組合之類之背景下實施。圖12之計算系統1200包括一或多個處理器1210及主記 憶體1220。主記憶體1220部分地儲存指令及資料以供處理器1210執行。主記憶體1220可儲存可在操作時執行之代碼。圖12之系統1200進一步包括一大容量儲存裝置1230、可攜式儲存媒體磁碟機(亦稱作「可攜式儲存器」)1240、輸出裝置1250、使用者輸入裝置1260、一圖形顯示器1270及周邊裝置1280。
圖12中所示之組件繪示為經由一單個匯流排1290連接。該等組件可經由一或多個資料輸送構件連接。處理器1210及主記憶體1220可經由一區域微處理器匯流排連接,且大容量儲存裝置1230、周邊裝置1280、可攜式儲存器1240及圖形顯示器1270可經由一或多個輸入/輸出(I/O)匯流排連接。
可藉助一磁碟機或一光碟機來實施之大容量儲存裝置1230係用於儲存資料及指令以供處理器1210使用之一非揮發性儲存裝置。大容量儲存裝置1230可儲存用於實施本發明之實施例之系統軟體以便將彼軟體載入至主記憶體1220中。
可攜式儲存媒體磁碟機1240與諸如一軟磁碟、壓縮磁碟、數位視訊光碟或USB儲存裝置之一可攜式非揮發性儲存媒體一起操作,以將資料及代碼輸入至圖12之電腦系統1200並自圖12之電腦系統1200輸出資料及代碼。用於實施本發明之實施例之系統軟體可儲存於此一可攜式媒體上且經由可攜式儲存媒體磁碟機1240輸入至電腦系統1200。
輸入裝置1260提供一使用者介面之一部分。輸入裝置1260可包括用於輸入文數及其他資料之諸如一鍵盤之一文數小鍵盤或諸如一滑鼠、一軌跡球、指示筆或游標方向鍵之一指標裝置。此外,如圖12中所示之系統1200包括輸出裝置1250。適合輸出裝置包括揚聲器、印表機、網路介面及監視器。
圖形顯示器1270可包括一液晶顯示器(LCD)或其他適合顯示裝置。圖形顯示器1270接收文字及圖形資訊,並處理該資訊以供輸出至 該顯示裝置。
圖形裝置1280可包括任一類型之電腦支援裝置以向該電腦系統添加額外功能性。周邊裝置1280可包括一數據機或一路由器。
提供於圖12之電腦系統1200中之組件係通常存在於電腦系統中之彼等組件,其可適用於本發明之實施例且意欲代表一寬廣類別之此項技術中習知之此類電腦組件。因此,圖12之電腦系統1200可係一個人電腦、手持式計算系統、電話、行動計算系統、工作站、伺服器、小型電腦、大型電腦或任一其他計算系統。該電腦亦可包括不同匯流排組態、連網平臺、多處理器平臺、等等。可使用各種作業系統,包括Unix、Linux、Windows、Macintosh OS、Palm OS、Android,iPhone OS及其他適合作業系統。
值得注意的是,任何適合於執行本文中所述之處理之硬體平臺皆適用於本發明。電腦可讀儲存媒體係指參與向一中央處理單元(CPU)、一處理器、一微控制器或諸如此類提供指令之任一媒體或任何媒體。此等媒體可分別採取包括(但不限於)諸如光碟或磁碟及動態記憶體之非揮發性及揮發性媒體之形式。常見形式之電腦可讀儲存媒體包括一軟磁碟、一撓性磁碟、一硬磁碟、磁帶、任一其他磁性儲存媒體、一CD-ROM磁碟、數位視訊光碟(DVD)、任一其他光學儲存媒體、RAM、PROM、EPROM、一FLASHEPROM、任一其他記憶體晶片或記憶體匣。
儘管上文已闡述各種實施例,但應瞭解,該等實施例僅以實例方式而非限制方式提供。本說明並非意欲將本發明之範疇限定至本文中所述之特定形式。因此,一較佳實施例之廣度及範疇不應受上述例示性實施例中之任一者限制。應瞭解,以上說明為說明性的而非限制性的。相反地,本說明意欲涵蓋可包括於由隨附申請專利範圍界定之本發明之精神及範疇內且要不然由熟習此項技術者所瞭解之此等替代 形式、修改形式及等效形式。本發明之範疇因此不應根據以上說明來判定,而是應根據隨附申請專利範圍以及其全範圍之等效形式來判定。
100‧‧‧例示性架構/架構
105‧‧‧基於雲端的中間節點/中間節點
110‧‧‧電子郵件作者
115‧‧‧發送方簡單郵件傳送協定伺服器
120‧‧‧用戶端電子郵件伺服器
125‧‧‧郵件用戶端
130‧‧‧網路

Claims (19)

  1. 一種用於使用一中間節點來處理訊息之方法,該方法包含:在一基於雲端的中間節點從一發送方電子郵件伺服器接收一訊息;在該訊息遞送至一用戶端電子郵件伺服器之前經由該基於雲端的中間節點來分析包括於該訊息中之一連結以判定該連結是否與一潛在惡意資源相關聯,該訊息係接收自該發送方電子郵件伺服器;若該連結與該潛在惡意資源相關聯,則用通至一受信任資源之一替代連結來替換該連結;及經由該基於雲端的中間節點來提供包含通至該用戶端電子郵件伺服器之該替代連結之該訊息,該用戶端電子郵件伺服器用於將包含該替代連結之該訊息遞送至與該用戶端電子郵件伺服器相關聯之一電子郵件用戶端,該電子郵件用戶端用於提供一電子郵件接收方該訊息之存取。
  2. 如請求項1之方法,其中該訊息係一電子郵件。
  3. 如請求項2之方法,其進一步包含若該連結與一惡意或潛在惡意資源相關聯或該電子郵件之內容係惡意或潛在惡意的,則隔離該訊息。
  4. 如請求項1之方法,其進一步包含分析該訊息之內容以判定包括於該訊息中之該內容是否係潛在惡意的。
  5. 如請求項2之方法,其進一步包含自該電子郵件用戶端接收擷取該替代連結之一請求;及促成該請求至一登陸頁之一重定向。
  6. 如請求項2之方法,其進一步包含接收已自該電子郵件用戶端請求該替代連結之指示;及回應於該請求而提供一登陸頁。
  7. 如請求項1之方法,其進一步包含修改該訊息以向該電子郵件接收方明顯展示www.後續接著與關聯於該潛在惡意資源之該連結相關聯之網域名稱。
  8. 如請求項1之方法,其進一步包含若該連結被判定為與一惡意資源相關聯,則將該連結儲存於一封禁清單中。
  9. 如請求項1之方法,其中分析包含:計算該連結之一信譽得分;及比較該信譽得分與一臨限值,其中對該連結之替換係基於該信譽得分與該臨限值之該比較。
  10. 如請求項1之方法,其中分析包括檢查該訊息以找出一統一資源定位器、一統一資源指示器、一網際網路協定位址、一網域名稱或其組合中之任一者。
  11. 一種用於處理電子郵件之中間節點,其包含:一記憶體,其用於儲存可執行指令;及一處理器,其用於執行該等可執行指令,該等可執行指令包含:一分析模組,其在一基於雲端的中間節點從一發送方電子郵件伺服器接收一電子郵件,且經由該基於雲端的中間節點來分析包括於該電子郵件中之一連結以在將該電子郵件遞送至一用戶端電子郵件伺服器之前判定該連結是否與一潛在惡意資源相關聯,該電子郵件係接收自該發送方電子郵件伺服器;一修改器模組,若該連結與一潛在惡意資源相關聯,則該修改器模組用通至一受信任資源之一替代連結來替換該連結;及一通信模組,其提供包含通至該用戶端電子郵件伺服器之該替代連結之該電子郵件,該用戶端電子郵件伺服器用於將 包含該替代連結之該電子郵件遞送至與該用戶端電子郵件伺服器相關聯之一電子郵件用戶端,該電子郵件用戶端用於提供一電子郵件接收方該電子郵件之存取。
  12. 如請求項11之中間節點,其進一步包含一隔離模組,若該分析模組判定該連結與一惡意或潛在惡意資源相關聯或該電子郵件之內容係惡意或潛在惡意的,則該隔離模組隔離該電子郵件。
  13. 如請求項11之中間節點,其中該分析模組分析該電子郵件之內容以判定包括於該電子郵件中之該內容是否係潛在惡意的。
  14. 如請求項11之中間節點,其中該通信模組自該電子郵件用戶端接收擷取該連結之一請求;及促成該請求至一登陸頁之一重定向。
  15. 如請求項11之中間節點,其中該修改器模組進一步修改該電子郵件以向該電子郵件接收方明顯展示www.後續接著與關聯於該潛在惡意資源之該連結相關聯之網域名稱。
  16. 如請求項11之中間節點,其進一步包含一封禁清單模組,若該連結被判定為與一惡意資源相關聯,則該封禁清單模組將該連結儲存於一封禁清單中。
  17. 一種用於使用一中間節點來處理電子郵件之方法,該方法包含:經由該中間節點來定位包括於一電子郵件中之至少一個統一資源定位器,該中間節點係基於雲端的;在將該電子郵件遞送至一用戶端電子郵件伺服器之前經由該中間節點來分析該至少一個統一資源定位器,以判定該至少一個統一資源定位器是否與一潛在惡意資源相關聯,該電子郵件係接收自一發送方電子郵件伺服器;若該至少一個統一資源定位器與該潛在惡意資源相關聯,則 用通至一受信任資源之一替代連結來替換該至少一個統一資源定位器;及經由該中間節點來提供包含通至該用戶端電子郵件伺服器之該替代連結之該電子郵件,該用戶端電子郵件伺服器用於將包含該替代連結之該電子郵件遞送至與該用戶端電子郵件伺服器相關聯之一電子郵件用戶端,該電子郵件用戶端用於提供一電子郵件接收方該電子郵件之存取。
  18. 如請求項17之方法,其中分析包含以下各項中之任一者:比較該至少一個統一資源定位器與已知與惡意資源相關聯之統一資源定位器之一封禁清單;評估該至少一個統一資源定位器之一使用年限;或其任一組合。
  19. 如請求項18之方法,其中若該至少一個統一資源定位器之該使用年限小於一臨限使用年限,則該方法進一步包含評估該至少一個統一資源定位器之內容以確認該至少一個統一資源定位器與一潛在惡意資源相關聯。
TW102120185A 2012-06-07 2013-06-06 惡意訊息之偵測及處理 TWI593266B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US13/491,494 US8839401B2 (en) 2012-06-07 2012-06-07 Malicious message detection and processing

Publications (2)

Publication Number Publication Date
TW201414260A TW201414260A (zh) 2014-04-01
TWI593266B true TWI593266B (zh) 2017-07-21

Family

ID=49712811

Family Applications (1)

Application Number Title Priority Date Filing Date
TW102120185A TWI593266B (zh) 2012-06-07 2013-06-06 惡意訊息之偵測及處理

Country Status (4)

Country Link
US (1) US8839401B2 (zh)
EP (1) EP2859495B1 (zh)
TW (1) TWI593266B (zh)
WO (1) WO2013184529A2 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10326791B2 (en) 2012-06-07 2019-06-18 Proofpoint, Inc. Malicious message detection and processing
US10419464B2 (en) 2014-02-18 2019-09-17 Proofpoint, Inc. Systems and methods for targeted attack protection using predictive sandboxing

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8839401B2 (en) 2012-06-07 2014-09-16 Proofpoint, Inc. Malicious message detection and processing
US9053307B1 (en) 2012-07-23 2015-06-09 Amazon Technologies, Inc. Behavior based identity system
US9344449B2 (en) * 2013-03-11 2016-05-17 Bank Of America Corporation Risk ranking referential links in electronic messages
US8914883B2 (en) 2013-05-03 2014-12-16 Fortinet, Inc. Securing email communications
US10269029B1 (en) 2013-06-25 2019-04-23 Amazon Technologies, Inc. Application monetization based on application and lifestyle fingerprinting
US9921827B1 (en) 2013-06-25 2018-03-20 Amazon Technologies, Inc. Developing versions of applications based on application fingerprinting
US9262470B1 (en) 2013-06-25 2016-02-16 Amazon Technologies, Inc. Application recommendations based on application and lifestyle fingerprinting
US9652617B1 (en) * 2013-06-25 2017-05-16 Amazon Technologies, Inc. Analyzing security of applications
GB2520085B (en) * 2013-11-11 2016-04-13 Rosberg System As Telecommunications system
JP5973413B2 (ja) * 2013-11-26 2016-08-23 ビッグローブ株式会社 端末装置、webメールサーバ、安全確認方法、及び安全確認プログラム
US8904483B1 (en) * 2014-03-26 2014-12-02 Iboss, Inc. Serving approved resources
US9509715B2 (en) 2014-08-21 2016-11-29 Salesforce.Com, Inc. Phishing and threat detection and prevention
WO2016044065A1 (en) * 2014-09-15 2016-03-24 Proofpoint, Inc. Malicious message detection and processing
US20160142429A1 (en) * 2014-11-19 2016-05-19 Royce Renteria Preventing access to malicious content
US10187403B2 (en) 2015-12-02 2019-01-22 Salesforce.Com, Inc. False positive detection reduction system for network-based attacks
US10785282B2 (en) * 2015-12-17 2020-09-22 Dropbox, Inc. Link file sharing and synchronization
US10089475B2 (en) * 2016-11-25 2018-10-02 Sap Se Detection of security incidents through simulations
CN108920970B (zh) * 2018-07-02 2019-08-30 北京天华星航科技有限公司 数据管理方法、系统以及电子设备
US11677699B2 (en) * 2018-12-03 2023-06-13 International Business Machines Corporation Cognitive pre-loading of referenced content in electronic messages
TWI740086B (zh) * 2019-01-08 2021-09-21 安碁資訊股份有限公司 網域名稱辨識方法及網域名稱辨識裝置
US11063897B2 (en) 2019-03-01 2021-07-13 Cdw Llc Method and system for analyzing electronic communications and customer information to recognize and mitigate message-based attacks
US20210182381A1 (en) * 2019-12-12 2021-06-17 Proofpoint, Inc. Dynamic Message Analysis Platform for Enhanced Enterprise Security
US11257090B2 (en) 2020-02-20 2022-02-22 Bank Of America Corporation Message processing platform for automated phish detection
US11677758B2 (en) * 2020-03-04 2023-06-13 Cisco Technology, Inc. Minimizing data flow between computing infrastructures for email security
CN113726830B (zh) * 2020-05-25 2023-09-12 网联清算有限公司 一种报文标识生成方法及装置
US11943257B2 (en) * 2021-12-22 2024-03-26 Abnormal Security Corporation URL rewriting
US11652770B1 (en) 2021-12-31 2023-05-16 Mastercard International Incorporated Methods and systems for blocking exposure of internal architecture

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8578480B2 (en) * 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
WO2005116851A2 (en) 2004-05-25 2005-12-08 Postini, Inc. Electronic message source information reputation system
US7606821B2 (en) * 2004-06-30 2009-10-20 Ebay Inc. Method and system for preventing fraudulent activities
US7461339B2 (en) * 2004-10-21 2008-12-02 Trend Micro, Inc. Controlling hostile electronic mail content
US20060095955A1 (en) * 2004-11-01 2006-05-04 Vong Jeffrey C V Jurisdiction-wide anti-phishing network service
US8032594B2 (en) * 2004-11-10 2011-10-04 Digital Envoy, Inc. Email anti-phishing inspector
US7580982B2 (en) * 2004-12-14 2009-08-25 The Go Daddy Group, Inc. Email filtering system and method
US7516488B1 (en) * 2005-02-23 2009-04-07 Symantec Corporation Preventing data from being submitted to a remote system in response to a malicious e-mail
GB0512744D0 (en) * 2005-06-22 2005-07-27 Blackspider Technologies Method and system for filtering electronic messages
US8200971B2 (en) * 2005-09-23 2012-06-12 Cisco Technology, Inc. Method for the provision of a network service
US20070136806A1 (en) * 2005-12-14 2007-06-14 Aladdin Knowledge Systems Ltd. Method and system for blocking phishing scams
WO2007110093A1 (en) * 2006-03-27 2007-10-04 Telecom Italia S.P.A. A method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor
US7854001B1 (en) * 2007-06-29 2010-12-14 Trend Micro Incorporated Aggregation-based phishing site detection
US8181250B2 (en) * 2008-06-30 2012-05-15 Microsoft Corporation Personalized honeypot for detecting information leaks and security breaches
US8578491B2 (en) * 2008-12-11 2013-11-05 Alcatel Lucent Network based malware detection and reporting
CN102439583A (zh) * 2009-03-05 2012-05-02 e帕尔斯公司 管理和监控电子通信的系统及方法
EP2326057A1 (en) 2009-11-20 2011-05-25 British Telecommunications public limited company Detecting malicious behaviour on a network
EP2609537A1 (en) 2010-08-26 2013-07-03 Verisign, Inc. Method and system for automatic detection and analysis of malware
US9317680B2 (en) 2010-10-20 2016-04-19 Mcafee, Inc. Method and system for protecting against unknown malicious activities by determining a reputation of a link
US8839401B2 (en) 2012-06-07 2014-09-16 Proofpoint, Inc. Malicious message detection and processing

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10326791B2 (en) 2012-06-07 2019-06-18 Proofpoint, Inc. Malicious message detection and processing
US10530806B2 (en) 2012-06-07 2020-01-07 Proofpoint, Inc. Methods and systems for malicious message detection and processing
US11019094B2 (en) 2012-06-07 2021-05-25 Proofpoint, Inc. Methods and systems for malicious message detection and processing
US10419464B2 (en) 2014-02-18 2019-09-17 Proofpoint, Inc. Systems and methods for targeted attack protection using predictive sandboxing
US10911467B2 (en) 2014-02-18 2021-02-02 Proofpoint, Inc. Targeted attack protection from malicious links in messages using predictive sandboxing

Also Published As

Publication number Publication date
US20130333026A1 (en) 2013-12-12
EP2859495B1 (en) 2018-10-31
US8839401B2 (en) 2014-09-16
WO2013184529A2 (en) 2013-12-12
WO2013184529A3 (en) 2014-02-27
TW201414260A (zh) 2014-04-01
EP2859495A2 (en) 2015-04-15
EP2859495A4 (en) 2016-01-20

Similar Documents

Publication Publication Date Title
TWI593266B (zh) 惡意訊息之偵測及處理
US11019094B2 (en) Methods and systems for malicious message detection and processing
US10243991B2 (en) Methods and systems for generating dashboards for displaying threat insight information
US10616272B2 (en) Dynamically detecting abnormalities in otherwise legitimate emails containing uniform resource locators (URLs)
US11599244B2 (en) Systems and methods for proactive analysis of artifacts associated with information resources
US8347396B2 (en) Protect sensitive content for human-only consumption
US10243989B1 (en) Systems and methods for inspecting emails for malicious content
AU2012347793B2 (en) Detecting malware using stored patterns
ES2866723T3 (es) Métodos y sistemas de agregación de puntuaciones dinámicas de detección de fraude en línea
US9055097B1 (en) Social network scanning
US8141150B1 (en) Method and apparatus for automatic identification of phishing sites from low-level network traffic
JP6204981B2 (ja) 一貫したセキュリティー情報の提供
EP3195140B1 (en) Malicious message detection and processing
Morovati et al. Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques.
US20230359330A1 (en) Systems and methods for analysis of visually-selected information resources
Perryman A Design‐Science Approach to Nullifying Malicious Links and Attachments in Spam Email
Ronda Copyright (C) 2007 by Troy Ronda