DE60128227T2 - Verfahren und system zur e-mailverarbeitung - Google Patents

Verfahren und system zur e-mailverarbeitung Download PDF

Info

Publication number
DE60128227T2
DE60128227T2 DE60128227T DE60128227T DE60128227T2 DE 60128227 T2 DE60128227 T2 DE 60128227T2 DE 60128227 T DE60128227 T DE 60128227T DE 60128227 T DE60128227 T DE 60128227T DE 60128227 T2 DE60128227 T2 DE 60128227T2
Authority
DE
Germany
Prior art keywords
mail
criteria
emails
message
email
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60128227T
Other languages
English (en)
Other versions
DE60128227D1 (de
Inventor
Alexander MessageLabs Cirencester SHIPP
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MessageLabs Ltd
Original Assignee
MessageLabs Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MessageLabs Ltd filed Critical MessageLabs Ltd
Publication of DE60128227D1 publication Critical patent/DE60128227D1/de
Application granted granted Critical
Publication of DE60128227T2 publication Critical patent/DE60128227T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/234Monitoring or handling of messages for tracking messages
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/107Computer-aided management of electronic mailing [e-mailing]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Description

  • Die Erfindung betrifft ein Verfahren und ein System zum Verarbeiten von E-Mails, insbesondere zum Detektieren eines Virusausbruchs. Die Erfindung ist insbesondere, aber nicht ausschließlich, auf die Verarbeitung von E-Mails durch einen Internet-Dienstanbieter (Internet Service Provider-ISP) anwendbar.
  • Hintergrund der Erfindung
  • Es sollte bemerkt werden, dass einige Abhandlungen über bösartige Software den Begriff „Virus" in einem engen Sinn bezüglich Software verwenden, die bestimmte Eigenschaften hinsichtlich der Ausbreitung, möglicherweise auch der Vervielfältigung und der Auswirkung besitzt, die verschieden von anderen Formen wie „trojanischen Pferden", „Würmern", usw. sind. In dieser Beschreibung, einschließlich der angefügten Ansprüche wird der Begriff Virus jedoch in einem allgemeinen Sinn für irgendeine Software verwendet, die aufgrund böser Absicht (oder durch Zufall) unerwunschte Auswirkungen verursacht.
  • Herkömmliche Virenprüfer finden Viren, indem sie nach bekannten Muster in Dateien suchen, indem sie ein Dateisystem auf neue oder veränderte Dateien überprüfen oder indem verdächtige Programme in einer Sandkastenemulatorumgebung ausgeführt werden, um eine virenartige Aktivität zu detektieren.
  • Die zunehmende Verwendung von E-Mail sowohl im Internet als auch in privaten Netzwerken steigert die Exposition von einzelnen Endnutzern und Arbeitsprozessen gegenüber bösartigen Störungen. Kürzlich hat es E-Mail übertragene Virusausbrüche gegeben, die sich im Bereich von Stunden quer über die Welt ausgebreitet haben. Ein gewisser Grad an Schutz kann erreicht werden, indem die E-Mails und ihre Anhänge nach Viren abgesucht werden und dies wird offensichtlich am Besten in einer zentralisierten Weise, z. B. durch Internet-Dienstanbieter oder andere getan, die ein E-Mail-Gateway betreiben, eher als es Endnutzern zu überlassen, die die Ressourcen, die Kenntnis oder die Neigung, ihre eigenen Antivirus-Maßnahmen zu ergreifen, besitzen können oder nicht.
  • Doch gibt es sogar bei einem zentralisierten Absuchen noch ein Problem mit neuen Viren. Auch wenn man die Frage beiseite lässt, wie ein neuer Virus zuerst entdeckt wird, ob durch Maßnahmen, die ein Internet-Dienstanbieter oder ähnlicher ausführt, oder bei der Maschine eines Endnutzers, beanspruchen die notwendigen Schritte, um die Auswirkung des Ausbrechens zu lindem, Zeit, um durchgeführt zu werden, und zu der Zeit, zu der sie umgesetzt sind, können die schlimmsten Auswirkungen des Ausbruchs bereits überall auf der Welt eingetreten sein. Diese Schritte, welche alle Zeit beanspruchen und währenddessen der Ausbruch sich frei ausbreiten kann, umfassen typischerweise ein Identifizieren einer charakteristischen Zeichenfolge von Bits oder einer „Signatur", die den Virus identifiziert, verbreiten diese Information an Virus suchende Stellen und Programmieren der Absucher mit dieser Information.
  • Dies ist kürzlich besonders problematisch mit dem Typ von Virus geworden, der sich gewissermaßen selbst vervielfältigen kann, indem er Kopien der Mail erzeugt und versendet, die ihn enthält, indem er beispielsweise auf ein E-Mailadressbuch, (z. B. das, was für einen Endnutzer E-Mail-Client verfügbar ist) zugreift und dann auf der Maschine verfügbare Dienste verwendet, um eine Kopie der E-Mail und von sich selbst an irgendeine oder alle gefundenen Adressen zu senden. Diese Taktik kann sich zwischen Kontinenten innerhalb von Minuten ausbreiten und führt zu einer geometrischen „Explosion" der Anzahl von Instanzen von ihm (dem Virus).
  • Stand der Technik
  • US-A-5832208 (Chem): ist ein Beispiel für ein bekanntes Client-Server-System mit einer Vorrichtung auf dem Server, die E-Mailanhänge nach Viren vor einer Übermittlung durchsucht.
  • WO 93/2272 (MuliInform): betrifft einen Netzwerkwächter, der Netzwerkpakete wieder in Dateien zusammensetzt, die dann nach Viren abgesucht werden, indem eine Signatur basierte Technik verwendet wird.
  • WO 00/05650 und WO 00/05852 (Raytheon): betrifft ein „Informationssicherheitsanalysesystem" das unter anderem Mittel zum Protokollieren des E-Mailverkehrs und einer Einrichtung zum Überprüfen der Funktionalität von verdächtigem Code umfasst, um zu bestimmen, ob ein Computervirus vorhanden ist.
  • Aufgabe der Erfindung
  • Die Erfindung liegt die Aufgabe zugrunde, ein Verfahren und ein System zum Verarbeiten von E-Mail zu schaffen, die in der Lage sind, die Ausbreitung eines zuvor unbekannten Virus zu detektieren, der durch E-Mails übertragen wird, und somit die Auswirkung eines Ausbruchs solch eines Virus abzuschwächen.
  • Kurzfassung der Erfindung
  • Die Erfindung schafft ein automatisches Verfahren zum Verarbeiten von E-Mails, dadurch gekennzeichnet, dass, um die Ausbreitung von zuvor unbekannten Viren zu detektieren, das Verfahren eine Überwachung von E-Mailverkehr aufweist, der durch einen oder mehrere Knoten eines Netzes passiert, wobei diese Überwachung aufweist:
    • a) Protokollieren von Details über E-Mails in einen Datenbestand und
    • b) Suchen in dem Datenbestand nach Muster von E-Mailverkehr, die auf die Ausbreitung eines durch E-Mail übertragenen Virus hinweisen oder die Verbreitung andeuten, durch Anwenden eines vorgegebenen Satzes von Verdächtigkeits-Kriterien auf Attribute (z. B. eine Länge einer Nachricht, eine Anzahl von Anhängen, eine Absender-IP-Adresse, eine Verarbeitung von einem ersten Anhang) der E-Mails, wobei der Satz Kriterien einschließt, die sich auf eine Mehrzahl von einzelnen Teilen (z. B. eine Betreffzeile, Empfänger, einen Nachrichttext, einen Anhang) der E-Mails bezieht, und sobald ein solches Muster detektiert ist, Einleiten einer automatischen Abhilfemaßnahme, Warnen eines Betreibers oder beides.
  • Die Erfindung schafft ferner ein automatisches System, in einem oder für ein Computernetz, über das Benutzer einander E-Mails senden, zum Verarbeiten von E-Mails, um die Ausbreitung von zuvor unbekannten Viren zu detektieren, wobei das System aufweist:
    Mittel zum Überwachen von E-Mailverkehr, der durch einen oder mehrere Knoten des Netzes passiert, wobei die Mittel aufweisen:
    • a) Mittel zum Protokollieren von Details über E-Mails in einen Datenbestand, und
    • b) Mittel zum Durchsuchen des Datenbestandes nach Muster von E-Mailverkehr, die auf die Verbreitung von einem durch E-Mail übertragenen Virus hinweisen oder die Verbreitung andeuten, durch Anwendung eines vorgegebenen Satzes von Verdächtigkeits-Kriterien auf Attribute (z. B. eine Länge einer Nachricht, eine Anzahl von Anhängen, eine Absender-IP-Adresse, eine Verarbeitung von erstem Anhang) der E-Mails, wobei der Satz Kriterien einschließt, die sich auf eine Mehrzahl von einzelnen Teilen (z. B. eine Betreffzeile, Empfänger, einen Nachrichttext) der E-Mails bezieht, und Mittel, die ausgestaltet sind, sobald solch ein Muster detektiert ist, eine automatische Abhilfemaßnahme einzuleiten, einen Betreiber zu warnen oder beides.
  • Eher als einzelne E-Mails zu überwachen, behandelt die Erfindung die verarbeiteten E-Mails als ein „Ensemble" und sucht nach Mustern in dem E-Mailverkehr, die charakteristisch für Viren sind, die über E-Mail verbreitet werden. Es wurde herausgefunden, dass solche charakteristischen Muster relativ einfach zu definieren und leicht zu identifizieren sind, sobald sie auftreten.
  • Um die Identifizierung der relevanten Muster des E-Mailverkehrs zu unterstützen, wird jede E-Mail bezüglich einer Anzahl von Kriterien analysiert die darauf hinweisen, dass die E-Mail einen Virus enthalten könnte. Jede E-Mail, die irgendeins dieser Kriterien erfüllt, wird dann in einem Datenbestand protokolliert. Die Untersuchung der kürzlichen Hinzufügungen zu diesem Datenbestand kann dann verwendet werden, um Verkehrsmuster zu identifizieren, die hinweisend oder andeutend für einen Virusausbruch sind.
  • Die Entscheidung, ob eine bestimmte E-Mail protokolliert wird oder nicht, kann auf der Basis gefällt werden, ob sie eines oder mehrere hinweisende Kriterien erfüllt, dass es für die E-Mail möglich ist, einen Virus zu enthalten. Mit anderen Worten können die gewählten Kriterien, um zu entscheiden, ob eine E-Mail protokolliert wird, solche sein, die hinweisend dafür sind, dass es für die E-Mail möglich ist, einen Virus zu enthalten, unabhängig davon, ob sie es tatsächlich tut, auf der Basis, dass E-Mails, die unmöglich einen Virus enthalten können, nicht individuell protokolliert werden müssen. Die Erfindung schließt jedoch die Möglichkeit nicht aus, dass ein oder mehrere Kriterien zu bestimmen versuchen, ob die E-Mail tatsächlich einen Virus enthält, mittels irgendeines geeigneten Absuchens oder einer anderen analytischen Technik.
  • Es wird angenommen, ein Nutzer meldet, dass eine bestimmte E-Mail einen Virus als Anhang enthält, und diese ist eine von einer Anzahl von E-Mails, die kürzlich durch das System verarbeitet wurden. Der Datenbestand wird dann in sich Einträge besitzen, die Dinge wie den Absender und die Empfänger, den E-Mailbetreff, die Namen und Größen der Anhänge speichern. Es ist automatisch möglich (d.h. mit Software) die relevanten gespeicherten Attribute dieser Nachrichten zu identifizieren und sie als Basis zum Vornehmen korrigierender Handlungen bezüglich der nachfolgend verarbeiteten übereinstimmenden E-Mails zu verwenden. Es ist ferner möglich, die Empfänger der übereinstimmenden E-Mails zu benachrichtigen, die bereits verarbeitet worden sind, um eigene Abhilfe leistende Maßnahmen vorzunehmen, z.B. die E-Mail ungelesen und ungeöffnet zu löschen, wenn man annimmt, dass das System die Empfängernamen als Klartext abspeichert.
  • Beschreibung der Zeichnungen
  • Die Erfindung wird nachfolgend anhand eines nicht beschränkenden Beispiels mit Bezug auf beigefügte Zeichnungen näher erläutert. Hierbei zeigen:
  • 1 den Vorgang des Sendens einer E-Mail über das Internet; und
  • 2 ein Blockdiagramm einer Ausführungsform der Erfindung.
  • Dargestellte Ausführungsform
  • Bevor die dargestellte Ausführungsform der Erfindung beschrieben wird, wird ein typischer Vorgang des Sendens einer E-Mail über das Internet kurz mit Bezug auf 1 beschrieben. Dies dient nur einer Veranschaulichung; es gibt verschiedene Verfahren zum Übermitteln und Empfangen von E-Mail im Internet, einschließlich, jedoch nicht beschränkend auf, Endpunkt zu Endpunkt SMTP, IMAP4 und UCCP. Es gibt andere Möglichkeiten, um SMTP bis POP3 E-Mail auszuführen, einschließlich beispielsweise der Verwendung einer ISDN- oder Standleitungsverbindung anstelle einer Einwahlmodemverbindung.
  • Es wird angenommen, ein Nutzer 1A mit der E-Mailidentifikation „AAbsender" hat sein Konto bei „aQuelle.com" und möchte eine E-Mail an irgendeinen 1B mit einem Konto „aEmpfanger" bei „aZiel.com" senden und dass diese com-Domains von entsprechenden Internet-Dienstanbietern (ISPs-Intemet-Service-Providers) unterhalten werden. Jede der Domains besitzt einen Mailserver 2A, 26, die einen oder mehrere SMTP Server 3A, 3B für ausgehende Nachrichten und einen oder mehrere POP3 Server 4A, 4B für eingehende Nachrichten umfassen. Diese Domains bilden einen Teil des Internets, das zur Klarheit getrennt als 5 bezeichnet ist. Das Verfahren läuft wie folgt ab:
    • 1. AAbsender bereitet die E-Mailnachricht vor, indem er eine E-Mailsoftware 1A, beispielsweise Microsoft Outlook Express, verwendet und sie an "aEmpfänger@aZiel.com" adressiert.
    • 2. Indem eine Einwahl-Modem-Verbindung oder ähnliches verwendet wird, verbindet sich AAbsender's E-Mailclient 1A mit dem E-Mailserver 2A bei "mail.aQuelle.com".
    • 3. AAbsender's E-Mailclient 1A führt eine Konversation mit dem SMTP-Server 3A durch, in dessen Verlauf er dem SMPT-Server 3A die Adressen des Absenders und des Empfängers mitteilt und ihm den Hauptteil (body) der Nachricht einschließlich irgendwelcher Anhänge schickt und somit die E-Mail 10 zu dem Server 3A überträgt.
    • 4. Der SMPT-Server 3A parst das TO(AN)-Feld des E-Mailumschlags in a) den Empfänger und b) den Domainnamen des Empfängers. Für die hier vorliegenden Zwecke wird angenommen, dass die Internetdienstanbieter des Absenders und Empfängers verschieden sind, andernfalls könnte der SMTP-Server 3A einfach die E-Mail durch seine(n) zugehörige(n) POP3-Server 4A für eine nachfolgende Zustellung durchleiten.
    • 5. Der SMPT-Server 3A lokalisiert den Internet-Domain-Name-Server und erhält die IP-Adresse des Mailservers der Zieldomain.
    • 6. Der SMPT-Server 3A verbindet sich mit dem SMPT-Server 3B bei "aZiel.com" über SMPT und sendet die Absender- und Empfängeradressen und den Nachrichtenhauptteil (body) ähnlich zu Schritt 3.
    • 7. Der SMPT-Server 3B erkennt, dass der Domainname ihn selbst bezeichnet und leitet die Nachricht an den POP3-Server 46 von "aZiel" weiter, der die Nachricht in "aEmpfängers" Briefkasten für die Abholung durch den E-Mailclient 1B des Empfängers legt.
  • Es gibt verschiedene Wege, in denen die E-Mails in bösartiger Auswirkung verwendet werden können, wobei die am weitesten bekannte ein Virus ist, das mit der E-Mail als Anhang reist. Typischerweise erlaubt der Empfänger, indem er den Anhang "öffnet", beispielsweise indem er ihn doppelt anklickt, dem Virus, der ein binärer ausführbarer Code oder Skriptcode sein kann, der für einen Interpreter geschrieben ist, der von dem E-Mailclient oder dem Betriebssystem beherbergt wird, ausgeführt zu werden. Weder das Problem der bösartigen Absicht noch die Lösung der vorliegenden Erfindung hierzu sind auf Viren dieses Typs beschränkt. Andere bösartige Attacken können beispielsweise ein Ausnutzen einer Schwäche des Übermittlungssystems (SMTP + POP3) oder des E-Mailclients umfassen, beispielsweise indem absichtlich ein E-Mailkopffeld in einer Weise formatiert wird, die bekannt ist, eine Fehlfunktion der Software zu versuchen, die diese verarbeitet.
  • 2 zeigt in Blockform die Hauptuntersysteme einer Ausführungsform der vorliegenden Erfindung. Bei dem betrachteten Beispiel, d.h. der Verarbeitung einer E-Mail durch einen Internet-Dienstanbieter, sind die Untersysteme mittels Software implementiert, die auf dem(n) Computer(n) des Internet-Dienstanbieters ausgeführt wird. Diese Computer betreiben ein oder mehrere E-Mailgateways 20A...20N, die E-Mailnachrichten, wie beispielsweise 10, weiterreichen.
  • Die verschiedenen Untersysteme der Ausführungsform werden unten in größerem Detail beschrieben, umfassen jedoch kurz gefasst
    • – einen Nachrichtenzerleger/-analysierer 21, der E-Mails in ihre Bestandteile zerlegt und diese analysiert, um zu bewerten, ob sie Kandidaten für das Protokollieren sind;
    • – einen Protokollierer 22, der einen Datenbestandeintrag für jede Nachricht vorbereitet, die als ein Protokollierungskandidat von dem Zerleger/Analysierer 21 ausgewählt ist;
    • – einen Datenbestand 23, der die von dem Protokollierer 22 vorbereiteten Einträge speichert,
    • – einen Sucher 24, der neue Einträge in dem Datenbestand 23 absucht, indem er nach Zeichen für einen einen Virus übertragenden Verkehr sucht;
    • – einen Stopper 25, der die Signale des Suchers 24 signalisiert und optional ein Weiterreichen von E-Mails stoppt, die Kriterien des Zerlegers/Analysators 21 für ein Hinweisen auf eine Virusgefahr entsprechen.
  • Der Stopper 25 kann auf solche eine Weise implementiert sein, dass E-Mails, die von dem System verarbeitet werden und nicht als mit einem Virus infiziert betrachtet werden, einen benachrichtigenden Text eingefügt bekommen, z.B. an den Nachrichtentext angehängt erhalten, der sagt, dass die E-Mail von dem System abgesucht worden ist, so dass der Empfänger in der Lage sein wird zu sehen, dass dies stattgefunden hat.
  • Insgesamt arbeitet das System nach 2 nach folgenden Prinzipien:
    Viren, die sich über E-Mails ausbreiten, können detektiert werden, indem Verkehrsmuster der E-Mails untersucht werden, die sie erzeugen.
  • Die dargestellte Ausführungsform wendet einen heuristischen Satz an, um E-Mailviren zu identifizieren. Das Folgende ist eine nicht erschöpfende Liste von Kriterien, mittels derer E-Mails bewertet werden können, um diese Heuristik umzusetzen. Andere Kriterien können zusätzlich oder stattdessen verwendet werden:
    sie enthalten die gleichen oder ähnliche Betreffzeilen;
    sie enthalten die gleichen oder ähnliche Hauptteiltexte;
    sie enthalten den gleich benannten Anhang;
    sie enthalten einen Anhang mit der gleichen Nachrichtenverarbeitung;
    sie sind an viele Empfänger adressiert;
    sie sind an Empfänger in alphabetischer oder umgekehrt alphabetischer Reihenfolge adressiert;
    sie sind an eine bestimmte E-Mailadresse versandt worden und gehen dann vielfach von der gleichen E-Mailadresse und/oder ähnlichen E-Mailadressen aus;
    sie enthalten dasselbe strukturelle Format;
    sie enthalten dieselben strukturellen Eigenarten;
    sie enthalten dieselben ungewöhnlichen Nachrichtenköpfe.
  • Die obigen Kriterien sollten selbsterklärend sein, außer vielleicht jene, die sich auf die "Nachrichtenverarbeitung" und "strukturellen Eigenarten" beziehen. Diese Ausdrücke werden unten erläutert.
  • Jedem der obigen Kriterien ist eine numerische Bewertung zugewiesen. Jede E-Mail, die durch das System passiert, wird durch den Zerleger/Analysator 21 analysiert und in einem Datenbestand 23 durch einen Protokollierer 22 protokolliert. Eine Suchroutine, die von dem Sucher 24 ausgeführt wird, analysiert kontinuierlich die neue Information, die in den Datenbestand gespeichert wird, um zu sehen, ob ähnliche Nachrichten gesendet werden. Falls es sie gibt, wird dann die "Verdächtigkeit" der E-Mail berechnet, indem ein Algorithmus verwendet wird, der berücksichtigt, wie ähnlich die Nachrichten sind und wie viele von ihnen kürzlich empfangen wurden. Sobald ein Grenzwert überschritten ist, werden alle Nachrichten, die mit diesen Kriterien übereinstimmen, als potentielle Viren von dem Stopper 25 gestoppt und ein Alarm ausgelöst.
  • Das System kann eine Nachrichtenverarbeitung erzeugen, zumindest für solche Nachrichten, die in dem Datenbestand protokolliert werden. Die Nachrichtenverarbeitungen stellen bequeme und effiziente Mittel zum Identifizieren von Nachrichten mit demselben Nachrichtentext und ein "Handle" zum Wiederfinden einer Sammlung von Protokolleinträgen dar, die denselben Nachrichtentext repräsentieren, der in einer Vielzahl von E-Mails versandt ist. Die Verarbeitung kann in dem Datenbestand zusätzlich zu oder anstelle der Nachrichtenliste gespeichert werden.
  • Eine Nachrichtenverarbeitung wird typischerweise erzeugt, indem ein Einrichtungshashalgorithmus (z.B. MD5 oder Message-Digest-5) auf eine Reihe von Zeichen (in dem vorliegenden Fall z.B. die Zeichen der Nachricht) angewandt wird. Die Vorteile des Verwendens einer Verarbeitung in dieser Anwendung sind:
    • – Sie sind typischerweise kleiner als die Originalnachricht und besitzen eine festgelegte Länge, so dass sie in einem Datenbestand einfach gespeichert werden können.
    • – Sie sind typischerweise Einrichtungsfunktionen, so dass die Originalnachricht nicht wieder hergestellt werden kann und somit eine Kundenvertraulichkeit erhalten wird.
    • – Eine kleine Änderung in der Nachricht führt zu einer komplett verschiedenen Verarbeitung.
  • Beispielsweise ist die MD5-Verarbeitung von "The rain in spain falls mainly on the plain" 6f7f4c35a219625efc5a9ebad8fa8527 und von "The rain in Spain falls mainly on the plain" b417b67704f2dd2b5a812f99ade30e00. Diese zwei Nachrichten unterscheiden sich nur in einem Bit (dem "s" in spain, da ein Großbuchstabe S sich in einem Bit von einem Kleinbuchstabe s in dem ASCII-Zeichensatz unterscheidet), die Verarbeitungen sind jedoch vollständig verschieden.
  • Einige Beispiele für Kriterien, mit denen die E-Mails bewertet werden können, werden nun angegeben:
    Strukturelle Eigenarten: Die meisten E-Mails werden mit Hilfe von erprobten und getesteten Anwendungen erzeugt. Diese Anwendungen erzeugen eine E-Mail immer auf eine bestimmte Weise. Es ist häufig möglich zu identifizieren, welche Anwendung eine bestimmte E-Mail erzeugt hat, indem die E-Mailköpfe untersucht werden und auch das Format der unterschiedlichen Teile untersucht wird. Es ist dann möglich, E-Mails zu identifizieren, die Eigenarten enthalten, die entweder andeuten, dass die E-Mail versucht auszusehen, als ob sie von einem bekannten E-Mailprogramm erzeugt wurde, was sie jedoch nicht ist, oder dass sie von einem neuen und unbekannten Mailprogramm oder von einer Anwendung (die ein Virus oder Wurm sein könnte) erzeugt wurde. Alle sind verdächtig.
  • Beispiele:
  • Inkonsistente Großschreibung
    • from: alex@star.co.uk
    • To: alex@star.co.uk
  • Das from und To weisen eine unterschiedliche Großschreibung auf.
  • Nicht-Standard-Anordnung von Kopfelementen
    • Subject: Tower fault tolerance
    • Content-type: multipart/mixed; boundary="======_962609498==_"
    • Mime-Version: 1.0
  • Die Mime-Version Kopfzeile kommt normalerweise vor der Content-Type Kopfzeile.
  • Fehlende oder zusätzliche Kopfelemente
    • X-Mailer: QUALCOMM Windows Eudora Pro Version 3.0.5 (32)
    • Date: Mon, 03 Jul 2000 12:24:17 +0100
  • Eudora fügt normalerweise auch eine X-Sender-Kopfzeile ein.
  • Nachrichten-ID-Format
    • Massage-ID: <00270ibfe4elSb37dbdcOS9264010a@tomkins.int.star.co.uk>
    • X-Mailer: QUALCOMM Windows Eudora Pro Version 3.0.5 (32)
  • Die X-Mailer-Kopfzeile sagt aus, dass die Mail durch Eudora erzeugt ist, jedoch ist das Format der Message-ID eine Outlook-Message-ID, nicht eine Eudora-Message-ID.
  • Boundary-(Begrenzungs-)-Format
    • X-Mailer: Microsoft Outlook 8.5, Build 4.71.2173.0
    • Content-Type: multipart/mixes; boundary="======_962609498==_"
  • Die X-Mailer Kopfzeile sagt aus, dass die Mail durch Outlook erzeugt ist, jedoch ist das boundary-(Begrenzungs)-Format eine Eudora-boundary-(Begrenzung), nicht eine Outlook-boundary-(Begrenzung).
  • Zeilenumbrüche und andere Zwischenraumzusammenstellungen im Nachrichtenkopf
    • To: "Andrew Webley" <awebley@messagelabs.com>,
    • "Matt Cave" <MCave@messagelabs.com>,
    • "Alex at MessageLabs" ashipp@messagelabs.com
    • X-Mailer: QUALCOMM Windows Eudora Pro Version 3.0.5 (32)
  • Das E-Mailprogramm (Eudora) verwendet gewöhnlich einen einzelnen Zwischenraum und keine Tabulatoren für Fortsetzungszeilen.
  • Sie entstammt einer bestimmten IP-Adresse oder einem IP-Adressbereich
  • Die IP-Adresse des Urhebers ist selbstverständlich bekannt und kann daher verwendet werden, um zu bestimmen, ob sie dieses Kriterium erfüllt.
  • Sie enthält spezielle Konstrukte
  • Einige E-Mails verwenden HTML-Skript, um den Nachrichteninhalt zu verschlüsseln. Dies beabsichtigt, linguistische Analysatoren zu umgehen. Wenn die Mail in einem Mailclient, beispielsweise Outlook, betrachtet wird, wird der Text sofort entschlüsselt und angezeigt. Es wäre ungewöhnlich, für eine normale E-Mail dies zu tun.
  • Leerer Nachrichten-Sender-Umschlag
  • Eine E-Mail zeigt normalerweise den Urheber in dem Absendertextfeld an und Spam-Absender werden oft einen gefälschten Eintrag in das Feld fügen, um die Tatsache zu verschleiern, dass die E-Mail infiziert ist. Die Absendeidentität soll jedoch auch in dem Protokoll spezifiziert sein, indem sich SMTP-Prozesse untereinander bei dem Übertragen von E-Mails unterhalten, und dieses Kriterium betrifft die Abwesenheit der Absenderidentifikation in dem relevanten Protokollschlitz, nämlich dem Mail-From-Protokollschlitz.
  • Ungültige Nachrichten-Absender-E-Mail-Adresse
  • Dieser ist komplementär zu Eintrag 8 und umfasst eine Betrachtung sowohl des Absenderfelds der Nachricht als auch des Absender-Protokollschlitzes, ob sie ungültig sind. Die E-Mail kann von einer Domain kommen, die nicht existiert oder die nicht die normalen Regeln für Domains befolgt. Beispielsweise ist eine HotMail-Adresse "123@hotmail.com" ungültig, weil HotMail-Adressen nicht nur aus Zahlen bestehen dürfen.
  • Eine Anzahl von Feldern der E-Mail können auf ungültige Einträge hin untersucht werden, einschließlich "Sender", "From" und "Errors-to".
  • Nachrichten-Absender-Adresse, die nicht zu dem Mailserver passt, von dem die Mail gesendet ist.
  • Der lokale Mailserver weiß oder kann zumindest aus dem Protokoll die Adresse des Mail-Absenders entnehmen. So kann eine Bestimmung ausgeführt werden, ob diese mit der Absenderadresse in dem Mailtext übereinstimmt.
  • Bei einer tatsächlichen Implementierung des Systems nach 2 wird ein Netzwerk von E-Mail-Gateways 20 bevorzugt, so dass die E-Mail in einem benötigten Umfang verarbeitet werden kann. Je ausgedehnter dieses Netzwerk ist und je mehr E-Mails verarbeitet werden, desto größer sind die Chancen, in der Lage zu sein, neue Viren abzufangen, Symptome zu erkennen und weitere Vorkommen zu stoppen, bevor der Virus zu weit verbreitet ist. Die Verwendung einer Anzahl von E-Mail-Gateways ist jedoch kein unverzichtbarer Bestandteil des Systems; das System ist in der Lage, neu Viren zu erkennen und zu detektieren, sogar wenn nur ein E-Mail-Gateway verwendet wird und sogar wenn nur eine klein Anzahl von E-Mails durch ihn hindurch passiert.
  • Alle E-Mails werden durch den Analysierer/Zerleger 21 gereicht, in dem die E-Mail in ihre Bestandteile zerlegt wird. Aus Gründen der Verkehrsheuristik wird jeder Teil klassifiziert als:
    E-Mailkopf/Mimeköpfe;
    ein Bestandteil, der normalerweise als Teil der Nachricht betrachtet wird;
    ein Bestandteil, der normalerweise als Anhang betrachtet wird.
  • Jeder Teil wird dann weiter analysiert, ob er möglicherweise potentielle Gefahren enthält.
  • E-Mailkopf/Mimeköpfe: Überlange Zeilen oder Zeilen mit einer ungewöhnlichen Syntax können verwendet werden, um bestimmte Browser zum Absturz zu bringen, indem entweder ein denial of service attack (Dienstverweigerungsangriff) oder ein Exploit verursacht wird, der eine Sicherheitslücke verursachen kann oder einen Virus verbreitet.
  • Ein Bestandteil, der normalerweise als Teil der Nachricht betrachtet wird: Dieser kann einen eingebetteten ausführbaren Code umfassen. Eine HTML-Nachricht kann beispielsweise Skriptcodes in verschiedenen Computersprachen enthalten oder sie kann Elemente enthalten (z.B. <frameset>- oder <object>-Marken), für die gezeigt worden ist, dass sie ausbeutbar sind.
  • Ein Bestandteil, der normalerweise als Anhang betrachtet wird: Diese können direkt ausführbar sein, wie z.B. eine EXE-Datei. Sie können einen eingebetteten ausführbaren Code enthalten, wie z.B. ein Microsoft Word Dokument, das ein Makro enthält. Sie können Archivdateien oder andere Behälterdateien umfassen, die ihrerseits andere gefährliche Bestandteile enthalten können. Beispielsweise kann eine ZIP-Datei eine ausführbare Datei enthalten.
  • Normalerweise müssen Anhänge, die irgendwelche ausführbaren Elemente enthalten, als potentielle Bedrohung angesehen werden. Das System ist jedoch in der Lage, in einen Modus umgeschaltet zu werden, in dem es alle Anhänge als potentielle Bedrohung ansieht. Dies ist zum Vorsorgen für zwei Möglichkeiten vorgesehen, wie:
    Ein Dokument, beispielsweise ein .jpg-Bild, kann eine illegale Formatierung enthalten, die die Anwendung zum Absturz bringt, die verwendet wird, um den Anhang zu betrachten. Dies kann entweder einen denial of service attack (einen Dienstverweigerungsangriff) oder einen Exploit verursachen, der eine Sicherheitslücke verursachen oder einen Virus verbreiten kann.
  • Der Hauptteil der Nachricht (body) kann Anweisungen enthalten, die, falls befolgt, den Anhang in eine gefährliche Form umwandeln, z. B. „benenne Bild.jpg in Bild.exe um".
  • Nach dem Analysieren jeder Komponente wird, falls irgendeine Komponente die Möglichkeit besitzt, eine potentielle Bedrohung zu enthalten, die Nachricht von dem Protokollierer 22 in den Datenbestand 23 protokolliert. Anderenfalls wird die Nachricht nicht protokolliert.
  • Der Protokollierer 22 ist so programmiert, dass das System Bestandteile von jeder Nachricht protokolliert, so dass ähnliche Nachrichten detektiert werden können. Das Folgende wird protokolliert:
    Betreffzeile und Verarbeitung der Betreffzeile;
    die ersten wenigen Zeichen des Textteils der E-Mail, eine Verarbeitung des ersten Textteils und eine Verarbeitung der ersten wenigen Zeichen;
    Name des ersten Anhangs;
    Verarbeitung des ersten Anhangs;
    Anzahl der Empfänger;
    ob die Empfänger sich in alphabetischer Reihenfolge oder in umgekehrter alphabetischer Reihenfolge befinden;
    Zeit der Protokollierung;
    Verarbeitung des Absenders;
    Verarbeitung des ersten Empfängers;
    strukturelle Formatindikatoren;
    strukturelle Eigenartindikatoren;
    ungewöhnliche Nachrichtenköpfe;
    Zeit, zu der die E-Mail eintraf.
  • Die obige Liste ist nicht erschöpfend und die Erfindung ist nicht auf diese bestimmte Kombination von Informationseinheiten beschränkt.
  • Der Datenbestand 23 protokolliert Details über Nachrichten und gestattet die Abfrage von Details, um Muster von Duplikaten oder ähnlichen E-Mails zu finden.
  • Um eine Reaktionsschnelligkeit zu bieten, kann das Protokollieren ein einstufiger oder mehrstufiger Vorgang sein. Beispielsweise kann die Nachricht lokal in einem Datenbestand geografisch nahe zu dem E-Mailserver protokolliert und lokal analysiert werden. Dies ergibt eine schnelle Antwort auf lokale Verkehrsmuster. Die Protokolle können jedoch auch zu einem zentralen Datenbestand zurückkopiert werden, um eine globale Analyse auszuführen. Diese wird langsamer reagieren, jedoch wird sie in der Lage sein, eher auf globale als auf lokale Muster zu reagieren.
  • Alte Protokolleinträge werden automatisch aus dem Datenbestand 23 gelöscht, da sie nicht länger benötigt werden – das System ist ausgelegt, eine Frühwarnung für neue Viren zu tiefem.
  • Der Sucher 24 fragt die Datenbank periodisch ab und sucht nach ähnlichen neuen Nachrichten und erzeugt eine Bewertung, indem die Bestandteile analysiert werden. Abhängig von der Bewertung kann das System eine „eindeutige" Bedrohung oder eine „potentielle" Bedrohung identifizieren. Eine eindeutige Bedrohung bewirkt, dass eine Signatur zu dem Stopper zurückgesendet wird, so dass alle zukünftigen Nachrichten mit dieser Charakteristik gestoppt werden. Eine potentielle Bedrohung verursacht, dass ein Alarm an einen Betreiber gesandt wird, der dann entscheiden kann, die Bedrohung wie eine eindeutige Bedrohung zu behandeln, sie als falschen Alarm zu kennzeichnen, so dass keine zukünftigen Vorkommen berichtet werden, oder abzuwarten.
  • Der Sucher kann mit verschiedenen Parametern konfiguriert werden, so dass er empfindlicher ist, falls er Protokolle eines einzelnen E-Mail-Gateways durchsucht, und weniger empfindlich ist, falls ein Datenbestand einer weltweiten Information verarbeitet wird.
  • Jedem Kriterium kann eine unterschiedliche Bewertung zugeordnet werden.
  • Die Zeit zwischen den Suchen kann angepasst werden.
  • Die Zeitspanne, die jede Suche abdeckt, kann angepasst sein und mehrere Zeitspannen umfassen.
  • Ein Gesamtgrenzwert kann festgesetzt werden.
  • Der Stopper 25 nimmt Signaturen des Suchers 24. Die Signaturen identifizieren Charakteristika von E-Mails, die gestoppt werden müssen. Nach Empfang der Signatur werden alle zukünftigen übereinstimmenden E-Mails als Viren behandelt und gestoppt.
  • Offensichtlich kann die Stopphandlung eine Anzahl von Formen annehmen, einschließlich
    • – Entfernen der infizierten E-Mails, ohne sie an ihre adressierten Empfänger zu senden.
    • – Sie in einem temporären Speicher zu behalten und die Adressaten mittels einer E-Mail zu benachrichtigen, dass eine infizierte Nachricht abgefangen worden ist und für einen Zeitraum für ihre Rückgewinnung behalten wird, sollten sie dies wünschen, und anderenfalls gelöscht werden wird.
    • – Desinfizieren der E-Mail, indem die Virusbedrohung durch irgendwelche geeigneten Mittel entfernt wird; beispielsweise kann, falls der Virus ein ausführbarer Anhang ist, abgelöst oder entschärft werden, bevor die E-Mail an ihre Adressaten weitergeleitet wird. Die E-Mail kann durch die Aufnahme einer Textnachricht modifiziert werden, die erklärt, dass die E-Mail desinfiziert worden ist.
  • Wo ein Virus detektiert ist, kann ein automatisierter Mailserver 30 andere Stellen über die relevanten Charakteristika der infizierten E-Mails informieren, um entweder menschliche Betreiber zu alarmieren oder um Ausführungsformen der Erfindung an den entfernten Stellen mit den Charakteristika der E-Mail zu versorgen, die notwendig für ihre Stopper 25 sind, um sie zu stoppen.
  • Typischer Algorithmus
  • Es folgt ein möglicher Algorithmus, der von dem Sucher 24 in einer beschriebenen Ausführungsform der Erfindung implementiert werden kann.
  • Bezüglich der oben angegebenen E-Mail-Bewertungs-Kriterien des Beispiels wird es geschätzt werden, dass eine E-Mail unter Betrachtung eine Anzahl von Attributen besitzt, die als Datenwerte repräsentiert werden können, wobei die Datentypen von der Art des Attributs abhängen. Die Länge der Nachricht und die Anzahl der Anhänge sind beispielsweise ganze Zahlen (Integers), wohingegen die verschiedenen Text-Kopfzeilen (z. B. To (an), SendTo (gesendet an), Subject (Betreff)) Zeichenketten (character strings) sind, wie es auch die Verarbeitungen, beispielsweise die Nachrichtverarbeitung, sind. Im Folgenden werden E-Mails als gleich bezüglich eines gegebenen Kriteriums angesehen, falls die entsprechenden Attribute im Falle von ganzen Zahlen und Zeichenketten gleich sind. Im Falle von Zeichenketten kann, wo angemessen, Gleichheit durch einen Vergleich ohne Berücksichtigung von Groß- und Kleinschreibung bestimmt werden; ein Vergleich ohne Groß-/Kleinschreibungsberücksichtigung ist für Textfelder von E-Mails angemessen, jedoch nicht notwendigerweise für andere Zeichenketten. (Für den Fall, dass ein Attribut durch einen Fließkommawert repräsentiert ist, ist dem Fachmann bewusst, dass ein Vergleich auf der Basis durchgeführt werden sollte, ob der absolute Wert der Differenz größer als irgendein beliebiger Wert ist, der manchmal in technischer Literatur als „epsilon" bezeichnet ist, der größer als der Rundungsfehler ist).
  • Unten sind die Zahlen in Klammem Schrittnummern, um die ausgeführten Schritte zu identifizieren.
    In regelmäßigen Intervallen (100):
    Für jedes Kriterium A messen wir (110)
    Für jedes Zeitintervall B Minuten messen wir (200)
    Erhalte einen Auswahlsatz S von E-Mails über die letzten B Minuten, deren Wert gemäß eines ausgewählten Kriteriums A gleich ist (210). Teile den Auswahlsatz, falls er Werte enthält, die nicht derselbe Virus sein können (z. B., falls einige E-Mails in dem Satz HTML Skript umfassen und einige eine EXE (Datei), können diese nicht derselbe Virus sein und sollten als getrennte Sätze S pro Schritt 210 behandelt werden)
    Für jeden Auswahlsatz S (300)
    Setze für X = Zählung von Mails in dem Auswahlset (310)
    Multipliziere X aus Schritt 310 mit einem Wichtigkeitsfaktor C für Kriterium A (320). Jedes Kriterium besitzt einen entsprechenden Wichtigkeitsfaktor, der von der Art des Kriteriums abhängt, da einige Kriterien, z. B. der Name eines Dateianhangs, signifikanter als andere hinsichtlich einer Bewertung der Wahrscheinlichkeit sein können, dass eine Virusbedrohung vorliegt; ähnliche Kommentare treffen auf andere unten erwähnte Faktoren zu)
    Addiere zu X aus Schritt 320 einen zweiten Wichtigkeitsfaktor D für jedes andere Kriterium A2, bei dem A2 ebenfalls über den Auswahlsatz S gleich ist (330)
    Addiere zu X aus Schritt 330 einen dritten Wichtigkeitsfaktor E für jedes andere Kriterium A3, bei dem A3 einen begrenzten Satz von verschiedenen Werten über den Auswahlsatz S aufweist (340). „Begrenzter Bereich" bedeutet > 1 und < R. Jedes Zeitintervall B besitzt ein entsprechendes R
    Addiere zu X aus Schritt 340 einen Verbreitungsfaktor (P mal T), falls der Auswahlsatz Q E-Mails enthält, die in eine Domain eintreten und dann T Kopien die Domain verlassen (wobei T > Q) (350). Jedes Zeitintervall B besitzt ein unterschiedliches P und Q
    Falls X aus Schritt 350 größer als ein Grenzwert V ist (jedes Zeitintervall B besitzt einen entsprechenden Grenzwert V), dann kennzeichne als Virus. (360)
    sonst
    Falls X aus Schritt 350 größer als ein Grenzwert O ist (jedes Zeitintervall B besitzt einen entsprechenden Grenzwert O), wobei O kleiner als V ist, dann kennzeichne als Betreiberunterstützung benötigend (370). Der Betreiber kann dann beurteilen, ob eine Virusbedrohung vorliegt oder nicht, und die Software anweisen, entsprechend vorzugehen.
    Nächster Auswahlsatz (380)
    Nächstes Intervall (210)
    Nächstes Kriterium (120)
  • Man bemerke, dass drei „Wichtigkeits"-Faktoren C, D, E, der Verbreitungsfaktor und die Grenzwerte numerische Werte sind, die empirisch festgelegt werden können und die dynamisch angepasst werden können. Der Algorithmus kann ferner ausgeführt werden, indem einer oder mehrere verschiedene Werte für das Zeitintervall B verwendet werden, z. B. 5 Minuten, 30 Minuten und 180 Minuten.
  • Auf Deutsch: Wir suchen nach E-Mails mit ähnlichen Charakteristika, die in einem gegebenen Zeitraum eintreffen. Je mehr ähnliche E-Mails wir finden, desto argwöhnischer werden wir. Falls die E-Mails auch andere Charakteristika gemeinsam haben, macht uns dies sogar noch argwöhnischer.
  • Einige Dinge sind verdächtiger als andere – wir können z. B. wählen, eine höhere Bewertung zuzuordnen, falls wir E-Mails mit dem gleich benannten Anhang sehen, als wenn wir E-Mails mit der gleichen Betreffzeile sehen.
  • Falls wir E-Mails sehen, die an eine Domain gesandt werden und dann überschwemmend herauskommen, ist dies ebenso verdächtig.
  • Obwohl die Erfindung oben mit Bezug auf eine Anwendung auf Internet-E-Mail beschrieben worden ist, ist sie nicht auf solche E-Mail beschränkt; die Erfindung ist genauso auf andere private oder öffentliche, lokale (LAN) oder weitreichende (WAN) Netzwerke oder Kombinationen solcher Netzwerke miteinander und mit dem Internet als auch auf E-Mails über WAP (Wireless Access Protocol) und SMS (Simple Messaging Service) für Mobiltelefone und ähnliche Vorrichtungen anwendbar.

Claims (54)

  1. Automatisches Verfahren zum Verarbeiten von E-Mails, dadurch gekennzeichnet, dass, um die Ausbreitung von zuvor unbekannten Viren zu detektieren, das Verfahren eine Überwachung von E-Mailverkehr aufweist, der durch einen oder mehrere Knoten eines Netzes passiert, wobei diese Überwachung aufweist: c) Protokollieren (22) von Details über E-Mails in einen Datenbestand (23) und d) Suchen (24) in dem Datenbestand nach Muster von E-Mailverkehr, die auf die Ausbreitung eines durch E-Mail übertragenen Virus hinweisten oder die Verbreitung andeuten, durch Anwenden eines vorgegebenen Satzes von Verdächtigkeits-Kriterien auf Attribute, z. B. Länge einer Nachricht, Anzahl von Anhängen, Absender-IP-Adresse, Verarbeitung von erstem Anhang, der E-Mails, wobei der Satz Kriterien einschließt, die sich auf eine Mehrzahl von einzelnen Teilen, z. B. Betreffzeile, Empfänger, Nachrichttext, Anhang, der E-Mails bezieht, und sobald ein solches Muster detektiert ist, Einleiten (25) einer automatischen Abhilfemaßnahme, Warnen eines Betreibers oder beides.
  2. Verfahren nach Anspruch 1, wobei in Schritt (b) verschiedene numerische Wichtigkeitsfaktoren auf verschiedene Verdächtigkeits-Kriterien angewendet werden.
  3. Verfahren nach Anspruch 1 oder 2, wobei, beim Anwenden des vorgegebenen Satzes von Verdächtigkeits-Kriterien, ein Satz von E-Mails einer numerischen Bewertung zugeordnet wird, die entsprechend einer ausgewählten Kombination der Kriterien berechnet wird, und als viral gekennzeichnet wird, wenn die Bewertung einen vorgegebenen Grenzwert überschreitet.
  4. Verfahren nach Anspruch 3, wobei, wenn die Bewertung den Grenzwert nicht überschreitet, aber einen zweiten, niedrigeren Grenzwert überschreitet, der Satz von E-Mails für die Beachtung eines Betreibers gekennzeichnet wird.
  5. Verfahren nach einem der Ansprüche 1 bis 4, wobei das Protokollieren einer E-Mail ein Protokollieren einer Verarbeitung von dem Folgenden einschließt: des Nachrichtentextes; der Betreffzeile; der ersten wenigen Zeichen des Textteils der E-Mail; des ersten Textteils der E-Mail; des ersten Anhangs; des Absenders; oder des ersten Empfängers.
  6. Verfahren nach einem der Ansprüche 1 bis 5, wobei eines der Kriterien ist, dass eine E-Mail inkonsistente Großschreibung aufweist.
  7. Verfahren nach einem der Ansprüche 1 bis 6, wobei eines der Kriterien ist, dass eine E-Mail einen Zeilenumbruch hat oder andere Leerzeichen-Anordnung in Nachrichten-Köpfen hat, die mit dem angezeigten Erzeuger der E-Mail inkonsistent ist.
  8. Verfahren nach einem der Ansprüche 1 bis 7, wobei eines der Kriterien ist, dass eine E-Mail eine Nicht-Standard-Anordnung von Kopfelementen hat.
  9. Verfahren nach einem der Ansprüche 1 bis 8, wobei eines der Kriterien ist, dass eine E-Mail fehlende oder zusätzliche Kopfelemente hat.
  10. Verfahren nach einem der Ansprüche 1 bis 9, wobei eines der Kriterien ist, dass eine E-Mail eine inkonsistente Nachrichten-ID-Information hat.
  11. Verfahren nach einem der Ansprüche 1 bis 10, wobei eines der Kriterien ist, dass eine E-Mail ein Begrenzungsformat hat, das inkonsistent mit dem angezeigten Erzeuger der E-Mail ist.
  12. Verfahren nach einem der Ansprüche 1 bis 11, wobei eines der Kriterien ist, dass der Nachrichtenteil einer E-Mail verschlüsselt ist, um eine linguistische Analyse zu vereiteln.
  13. Verfahren nach einem der Ansprüche 1 bis 12, wobei eines der Kriterien ist, dass eine E-Mail einen leeren Nachrichten-Absender-Umschlag hat.
  14. Verfahren nach einem der Ansprüche 1 bis 13, wobei eines der Kriterien ist, dass die E-Mail eine ungültige Nachrichten-Absender-Adresse hat.
  15. Verfahren nach einem der Ansprüche 1 bis 14, wobei eines der Kriterien ist, dass eine E-Mail eine Nachrichten-Absender-Adresse hat, die nicht zu dem Nachrichten-Server passt, von dem sie gesendet wurde.
  16. Verfahren nach einem der Ansprüche 1 bis 15, wobei eines der Kriterien ist, dass E-Mails an Empfänger in alphabetischer oder umgekehrter alphabetischer Reihenfolge adressiert sind.
  17. Verfahren nach einem der Ansprüche 1 bis 16, wobei eines der Kriterien ist, dass E-Mails zu einer bestimmten E-Mailadresse gesendet werden und dann mehrfach von derselben E-Mailadresse und/oder ähnlichen E-Mailadressen austreten.
  18. Verfahren nach einem der Ansprüche 6 bis 17, wobei eines der Kriterien ist, dass E-Mails dasselbe strukturelle Format enthalten.
  19. Verfahren nach einem der Ansprüche 1 bis 18, wobei eines der Kriterien ist, dass E-Mails denselben unüblichen Kopf enthalten.
  20. Verfahren nach einem der Ansprüche 1 bis 19, wobei eines der Kriterien ist, dass E-Mails dieselbe strukturelle Eigenart enthalten.
  21. Verfahren nach einem der vorhergehenden Ansprüche, wobei eines der Kriterien ist, dass eine E-Mail von einer bestimmten IP-Adresse oder einer Adresse in einem Bereich von IP-Adressen stammen.
  22. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Details einer E-Mail nicht protokolliert werden, wenn eine Analyse der E-Mail bestimmt, dass es für die E-Mail nicht möglich ist, einen Virus zu enthalten.
  23. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Durchsuchen, prinzipiell oder ausschließlich, nur kürzlich hinzugefügte Datenbestand-Einträge untersucht, d. h. Einträge, die weniger als eine vorgegebene Zeit zuvor hinzugefügt worden sind.
  24. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Abhilfemaßnahme eines oder alles des Folgenden einschließt, in Bezug zu jeder E-Mail, die dem detektierten Muster entspricht: a) zumindest zeitweise Stoppen des Passierens der E-Mails b) Benachrichtigen des Absenders der E-Mail c) Benachrichtigen des beabsichtigten Empfängers/der beabsichtigten Empfänger der E-Mail d) Desinfizieren der E-Mail e) Erzeugen eines Signals, um einen menschlichen Betreiber zu warnen.
  25. Verfahren nach einem vorhergehenden Ansprüche, das außerdem einschließt: Senden einer Nachricht, die verdächtige E-Mails identifiziert, an einen automatisierten E-Mail-Server.
  26. Verfahren nach einem der vorhergehenden Ansprüche, das den Schritt eines Verarbeitens von infizierten E-Mails einschließt, um diese zu desinfizieren oder einen Virus darin zu entschärfen.
  27. Verfahren nach einem der vorhergehenden Ansprüche, das den Schritt eines Einsetzens einer Nachricht, die anzeigt, dass die E-Mail verarbeitet worden ist, in E-Mails einschließt, die nicht als virusinfiziert betrachtet werden.
  28. Automatisches System in oder für ein Computernetz, über das Benutzer einander E-Mails senden, zum Verarbeiten von E-Mails, um die Ausbreitung von zuvor unbekannten Viren zu detektieren, wobei das System aufweist: Mittel zum Überwachen von E-Mailverkehr, der durch einen oder mehrere Knoten des Netzes passiert, wobei die Mittel aufweisen: a) Mittel zum Protokollieren (22) von Details über E-Mails in einen Datenbestand (23), und b) Mittel zum Durchsuchen (24) des Datenbestandes nach Mustern von E-Mailverkehr, die auf die Verbreitung von einem durch E-Mail übertragenen Virus hinweisen oder die Verbreitung andeuten, durch Anwendung eines vorgegebenen Satzes von Verdächtigkeits-Kriterien auf Attribute z. B. Länge einer Nachricht, Anzahl von Anhängen, Absender-IP-Adresse, Verarbeitung von erstem Anhang, der E-Mails, wobei der Satz Kriterien einschließt, die sich auf eine Mehrzahl von einzelnen Teilen, z. B. Betreffzeile, Empfänger, Nachrichttext, der E-Mails bezieht, und Mittel, die ausgestaltet sind, sobald solch ein Muster detektiert ist, eine automatische Abhilfemaßnahme einzuleiten (25), einen Betreiber zu warnen oder beides.
  29. System nach Anspruch 28, wobei beim Betreiben der Mittel (b) verschiedene numerische Wichtigkeitsfaktoren auf verschiedene Verdächtigkeits-Kriterien angewendet werden.
  30. System nach Anspruch 28 oder 29, wobei beim Anwenden des vorgegebenen Satzes von Verdächtigkeits-Kriterien, ein Satz von E-Mails einer numerischen Bewertung zugeordnet wird, die entsprechend einer ausgewählten Kombination der Kriterien berechnet wird, und als viral gekennzeichnet wird, wenn die Bewertung einen vorgegebenen Grenzwert überschreitet.
  31. System nach Anspruch 30, wobei, wenn die Bewertung den Grenzwert nicht überschreitet, aber einen zweiten, niedrigeren Grenzwert überschreitet, der Satz von E-Mails für die Beachtung eines Betreibers gekennzeichnet wird.
  32. System nach einem der Ansprüche 28 bis 31, wobei das Protokollieren einer E-Mail ein Protokollieren einer Verarbeitung von dem Folgenden einschließt: des Nachrichtentextes; der Betreffzeile; der ersten wenigen Zeichen des Textteils der E-Mail; des ersten Textteils der E-Mail; des ersten Anhangs; des Absenders; oder des ersten Empfängers.
  33. System nach einem der Ansprüche 28 bis 32, wobei eines der Kriterien ist, dass eine E-Mail inkonsistente Großschreibung aufweist.
  34. System nach einem der Ansprüche 28 bis 33, wobei eines der Kriterien ist, dass eine E-Mail einen Zeilenumbruch hat oder andere Leerzeichen-Anordnung in Nachrichten-Köpfen hat, die mit dem angezeigten Erzeuger der E-Mail inkonsistent ist.
  35. System nach einem der Ansprüche 28 bis 34, wobei eines der Kriterien ist, dass eine E-Mail eine Nicht-Standard-Anordnung von Kopfelementen hat.
  36. System nach einem der Ansprüche 28 bis 35, wobei eines der Kriterien ist, dass eine E-Mail fehlende oder zusätzliche Kopfelemente hat.
  37. System nach einem der Ansprüche 28 bis 36, wobei eines der Kriterien ist, dass eine E-Mail eine inkonsistente Nachrichten-ID-Information hat.
  38. System nach einem der Ansprüche 28 bis 37, wobei eines der Kriterien ist, dass eine E-Mail ein Begrenzungsformat hat, das inkonsistent mit dem angezeigten Erzeuger der E-Mail ist.
  39. System nach einem der Ansprüche 28 bis 38, wobei eines der Kriterien ist, dass der Nachrichtenteil einer E-Mail verschlüsselt ist, um eine linguistische Analyse zu vereiteln.
  40. System nach einem der Ansprüche 28 bis 39, wobei eines der Kriterien ist, dass eine E-Mail einen leeren Nachrichten-Absender-Umschlag hat.
  41. System nach einem der Ansprüche 28 bis 40, wobei eines der Kriterien ist, dass die E-Mail eine ungültige Nachrichten-Absender-Adresse hat.
  42. System nach einem der Ansprüche 28 bis 41, wobei eines der Kriterien ist, dass eine E-Mail eine Nachrichten-Absender-Adresse hat, die nicht zu dem Nachrichten-Server passt, von dem sie gesendet wurde.
  43. System nach einem der Ansprüche 28 bis 42, wobei eines der Kriterien ist, dass E-Mails an Empfänger in alphabetischer oder umgekehrter alphabetischer Reihenfolge adressiert sind.
  44. System nach einem der Ansprüche 28 bis 43, wobei eines der Kriterien ist, dass E-Mails zu einer bestimmten E-Mailadresse gesendet werden und dann mehrfach von derselben E-Mailadresse und/oder ähnlichen E-Mailadressen austreten.
  45. System nach einem der Ansprüche 33 bis 44, wobei eines der Kriterien ist, dass E-Mails dasselbe strukturelle Format enthalten.
  46. System nach einem der Ansprüche 28 bis 45, wobei eines der Kriterien ist, dass E-Mails denselben unüblichen Kopf enthalten.
  47. System nach einem der Ansprüche 28 bis 46, wobei eines der Kriterien ist, dass E-Mails dieselbe strukturelle Eigenart enthalten.
  48. System nach einem der Ansprüche 28 bis 47, wobei eines der Kriterien ist, dass eine E-Mail von einer bestimmten IP-Adresse oder einer Adresse in einem Bereich von IP-Adressen stammen.
  49. System nach einem der Ansprüche 28 bis 48, wobei im Betrieb der Mittel die Details einer E-Mail nicht protokolliert werden, wenn eine Analyse der E-Mail bestimmt, dass es für die E-Mail nicht möglich ist, einen Virus zu enthalten.
  50. System nach einem der Ansprüche 28 bis 49, wobei im Betrieb das Durchsuchen, prinzipiell oder ausschließlich, nur kürzlich hinzugefügte Datenbestand-Einträge untersucht, d. h. Einträge, die weniger als eine vorgegebene Zeit zuvor hinzugefügt worden sind.
  51. System nach einem der Ansprüche 28 bis 50, wobei die Einleitungsmittel ausgestaltet sind, so dass die Abhilfemaßnahme eines oder alles des Folgenden einschließt, in Bezug zu jeder E-Mail, die dem detektierten Muster entspricht: a) zumindest zeitweises Stoppen des Passierens der E-Mails b) Benachrichtigen des Absenders der E-Mail c) Benachrichtigen des beabsichtigten Empfängers/der beabsichtigten Empfänger der E-Mail d) Desinfizieren der E-Mail e) Erzeugen eines Signals, um einen menschlichen Betreiber zu warnen.
  52. System nach einem der Ansprüche 28 bis 51, das Mittel einschließt zum Senden einer Nachricht, die verdächtige E-Mails identifiziert, an einen automatisierten E-Mail-Server.
  53. System nach einem der Ansprüche 28 bis 52, das Mittel einschließt zum Verarbeiten infizierter E-Mails, um diese zu desinfizieren oder einen Virus darin zu entschärfen.
  54. System nach einem der Ansprüche 28 bis 53, das Mittel zum Einsetzen einer Nachricht, die anzeigt, dass die E-Mail verarbeitet worden ist, in E-Mails einschließt, die nicht als virusinfiziert betrachtet werden.
DE60128227T 2000-07-07 2001-07-06 Verfahren und system zur e-mailverarbeitung Expired - Lifetime DE60128227T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB0016835 2000-07-07
GBGB0016835.1A GB0016835D0 (en) 2000-07-07 2000-07-07 Method of, and system for, processing email
PCT/GB2001/003036 WO2002005072A2 (en) 2000-07-07 2001-07-06 Method of and system for, processing email

Publications (2)

Publication Number Publication Date
DE60128227D1 DE60128227D1 (de) 2007-06-14
DE60128227T2 true DE60128227T2 (de) 2008-01-10

Family

ID=9895305

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60128227T Expired - Lifetime DE60128227T2 (de) 2000-07-07 2001-07-06 Verfahren und system zur e-mailverarbeitung

Country Status (11)

Country Link
US (1) US7877807B2 (de)
EP (1) EP1299791B1 (de)
AT (1) ATE361489T1 (de)
AU (1) AU2001270763A1 (de)
CY (1) CY1106782T1 (de)
DE (1) DE60128227T2 (de)
DK (1) DK1299791T3 (de)
ES (1) ES2287140T3 (de)
GB (2) GB0016835D0 (de)
PT (1) PT1299791E (de)
WO (1) WO2002005072A2 (de)

Families Citing this family (126)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089591B1 (en) 1999-07-30 2006-08-08 Symantec Corporation Generic detection and elimination of marco viruses
US6886099B1 (en) * 2000-09-12 2005-04-26 Networks Associates Technology, Inc. Computer virus detection
CN1316397C (zh) * 2001-02-12 2007-05-16 Emc公司 索引惟一电子邮件消息及其使用的系统和方法
CN1509438A (zh) * 2001-04-13 2004-06-30 ��˹��ŵ�� 用于为网络提供利用保护的系统与方法
US7673342B2 (en) * 2001-07-26 2010-03-02 Mcafee, Inc. Detecting e-mail propagated malware
US20030097409A1 (en) * 2001-10-05 2003-05-22 Hungchou Tsai Systems and methods for securing computers
JP3693244B2 (ja) * 2001-10-31 2005-09-07 株式会社日立製作所 電子メールシステム、メールサーバ及びメール端末
AU2003209194A1 (en) * 2002-01-08 2003-07-24 Seven Networks, Inc. Secure transport for mobile communication network
GB2384659B (en) * 2002-01-25 2004-01-14 F Secure Oyj Anti-virus protection at a network gateway
US20030154394A1 (en) * 2002-02-13 2003-08-14 Levin Lawrence R. Computer virus control
US7237008B1 (en) * 2002-05-10 2007-06-26 Mcafee, Inc. Detecting malware carried by an e-mail message
US7155742B1 (en) 2002-05-16 2006-12-26 Symantec Corporation Countering infections to communications modules
US20030226014A1 (en) * 2002-05-31 2003-12-04 Schmidt Rodney W. Trusted client utilizing security kernel under secure execution mode
GB2394382A (en) 2002-10-19 2004-04-21 Hewlett Packard Co Monitoring the propagation of viruses through an Information Technology network
GB2401280B (en) * 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
GB2391419A (en) * 2002-06-07 2004-02-04 Hewlett Packard Co Restricting the propagation of a virus within a network
US7418732B2 (en) * 2002-06-26 2008-08-26 Microsoft Corporation Network switches for detection and prevention of virus attacks
US7418729B2 (en) 2002-07-19 2008-08-26 Symantec Corporation Heuristic detection of malicious computer code by page tracking
US7380277B2 (en) 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7478431B1 (en) 2002-08-02 2009-01-13 Symantec Corporation Heuristic detection of computer viruses
WO2004015954A1 (en) * 2002-08-07 2004-02-19 British Telecommunications Public Limited Company Server for sending electronics messages
DE10243243B4 (de) * 2002-09-17 2005-01-27 T-Mobile Deutschland Gmbh Verfahren zur empfängerseitigen automatischen Behandlung von unerwünschter elektronischer Post in Kommunikationsnetzen
US7159149B2 (en) 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
US7631353B2 (en) 2002-12-17 2009-12-08 Symantec Corporation Blocking replication of e-mail worms
US7296293B2 (en) 2002-12-31 2007-11-13 Symantec Corporation Using a benevolent worm to assess and correct computer security vulnerabilities
US7917468B2 (en) * 2005-08-01 2011-03-29 Seven Networks, Inc. Linking of personal information management data
US8468126B2 (en) * 2005-08-01 2013-06-18 Seven Networks, Inc. Publishing data in an information community
US7299261B1 (en) 2003-02-20 2007-11-20 Mailfrontier, Inc. A Wholly Owned Subsidiary Of Sonicwall, Inc. Message classification using a summary
US8266215B2 (en) 2003-02-20 2012-09-11 Sonicwall, Inc. Using distinguishing properties to classify messages
US7185015B2 (en) * 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
US7529754B2 (en) 2003-03-14 2009-05-05 Websense, Inc. System and method of monitoring and controlling application files
GB2400934B (en) * 2003-04-25 2005-12-14 Messagelabs Ltd A method of,and system for detecting mass mailing viruses
US7796515B2 (en) 2003-04-29 2010-09-14 Hewlett-Packard Development Company, L.P. Propagation of viruses through an information technology network
GB2401281B (en) 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
US8271774B1 (en) 2003-08-11 2012-09-18 Symantec Corporation Circumstantial blocking of incoming network traffic containing code
WO2005050369A2 (en) 2003-11-12 2005-06-02 The Trustees Of Columbia University In The City Ofnew York Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US20050198168A1 (en) * 2003-12-04 2005-09-08 Justin Marston Messaging protocol discovery
US7971254B1 (en) * 2004-01-28 2011-06-28 Netgear, Inc. Method and system for low-latency detection of viruses transmitted over a network
US7721334B2 (en) * 2004-01-30 2010-05-18 Microsoft Corporation Detection of code-free files
US8220055B1 (en) * 2004-02-06 2012-07-10 Symantec Corporation Behavior blocking utilizing positive behavior system and method
US8214438B2 (en) * 2004-03-01 2012-07-03 Microsoft Corporation (More) advanced spam detection features
US8073911B2 (en) * 2004-05-12 2011-12-06 Bluespace Software Corporation Enforcing compliance policies in a messaging system
US7370233B1 (en) 2004-05-21 2008-05-06 Symantec Corporation Verification of desired end-state using a virtual machine environment
US7870200B2 (en) * 2004-05-29 2011-01-11 Ironport Systems, Inc. Monitoring the flow of messages received at a server
US7441042B1 (en) 2004-08-25 2008-10-21 Symanetc Corporation System and method for correlating network traffic and corresponding file input/output traffic
GB2418500A (en) * 2004-09-27 2006-03-29 Clearswift Ltd Detection, quarantine and modification of dangerous web pages
GB0422441D0 (en) * 2004-10-08 2004-11-10 I Cd Publishing Uk Ltd Processing electronic communications
US10043008B2 (en) 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files
US8104086B1 (en) 2005-03-03 2012-01-24 Symantec Corporation Heuristically detecting spyware/adware registry activity
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
GB0512744D0 (en) * 2005-06-22 2005-07-27 Blackspider Technologies Method and system for filtering electronic messages
US8069166B2 (en) * 2005-08-01 2011-11-29 Seven Networks, Inc. Managing user-to-user contact with inferred presence information
WO2007022454A2 (en) 2005-08-18 2007-02-22 The Trustees Of Columbia University In The City Of New York Systems, methods, and media protecting a digital data processing device from attack
US8544097B2 (en) * 2005-10-14 2013-09-24 Sistema Universitario Ana G. Mendez, Inc. Attachment chain tracing scheme for email virus detection and control
CA2626993A1 (en) 2005-10-25 2007-05-03 The Trustees Of Columbia University In The City Of New York Methods, media and systems for detecting anomalous program executions
WO2007082308A2 (en) * 2006-01-13 2007-07-19 Bluespace Software Corp. Determining relevance of electronic content
US7769395B2 (en) * 2006-06-20 2010-08-03 Seven Networks, Inc. Location-based operations and messaging
US8239915B1 (en) 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
WO2008055156A2 (en) 2006-10-30 2008-05-08 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting an anomalous sequence of function calls
GB0621656D0 (en) 2006-10-31 2006-12-06 Hewlett Packard Development Co Data file transformation
KR100859664B1 (ko) * 2006-11-13 2008-09-23 삼성에스디에스 주식회사 전자메일의 바이러스 감염여부 판정방법
US9654495B2 (en) * 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
GB2444514A (en) * 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US9729513B2 (en) 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
CN101212470B (zh) * 2006-12-30 2011-05-04 中国科学院计算技术研究所 一种能够抵御垃圾邮件的分布式邮件系统
GB2458094A (en) * 2007-01-09 2009-09-09 Surfcontrol On Demand Ltd URL interception and categorization in firewalls
GB0709527D0 (en) * 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US8805425B2 (en) 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
US8364181B2 (en) 2007-12-10 2013-01-29 Seven Networks, Inc. Electronic-mail filtering for mobile devices
US9002828B2 (en) * 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
US8787947B2 (en) * 2008-06-18 2014-07-22 Seven Networks, Inc. Application discovery on mobile devices
US8078158B2 (en) 2008-06-26 2011-12-13 Seven Networks, Inc. Provisioning applications for a mobile device
US8909759B2 (en) 2008-10-10 2014-12-09 Seven Networks, Inc. Bandwidth measurement
US8863279B2 (en) 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
EP3651028A1 (de) 2010-07-26 2020-05-13 Seven Networks, LLC Koordinierung eines mobilnetzwerkverkehrs zwischen mehreren anwendungen
US20120066759A1 (en) * 2010-09-10 2012-03-15 Cisco Technology, Inc. System and method for providing endpoint management for security threats in a network environment
US8484314B2 (en) 2010-11-01 2013-07-09 Seven Networks, Inc. Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
US8903954B2 (en) 2010-11-22 2014-12-02 Seven Networks, Inc. Optimization of resource polling intervals to satisfy mobile device requests
CA2798523C (en) 2010-11-22 2015-02-24 Seven Networks, Inc. Aligning data transfer to optimize connections established for transmission over a wireless network
GB2501416B (en) 2011-01-07 2018-03-21 Seven Networks Llc System and method for reduction of mobile network traffic used for domain name system (DNS) queries
US8316098B2 (en) 2011-04-19 2012-11-20 Seven Networks Inc. Social caching for device resource sharing and management
EP2702500B1 (de) 2011-04-27 2017-07-19 Seven Networks, LLC Erkennung und bewahrung eines systemzustands zur erfüllung von anwendungsanfragen in einem verteilten proxy- und cachesystem
EP2621144B1 (de) 2011-04-27 2014-06-25 Seven Networks, Inc. System und Verfahren zur Erstellung von Abfragen über eine mobile Vorrichtung auf Basis atomisierter Verfahren zur Verkehrsentlastung für mobile Netzwerke
US8584211B1 (en) 2011-05-18 2013-11-12 Bluespace Software Corporation Server-based architecture for securely providing multi-domain applications
US20120311710A1 (en) * 2011-06-03 2012-12-06 Voodoosoft Holdings, Llc Computer program, method, and system for preventing execution of viruses and malware
WO2013015995A1 (en) * 2011-07-27 2013-01-31 Seven Networks, Inc. Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network
EP2756366B1 (de) 2011-09-15 2020-01-15 The Trustees of Columbia University in the City of New York Systeme, verfahren und medien zur erkennung von rop-nutzdaten
US8934414B2 (en) 2011-12-06 2015-01-13 Seven Networks, Inc. Cellular or WiFi mobile traffic optimization based on public or private network destination
US8868753B2 (en) 2011-12-06 2014-10-21 Seven Networks, Inc. System of redundantly clustered machines to provide failover mechanisms for mobile traffic management and network resource conservation
WO2013086455A1 (en) 2011-12-07 2013-06-13 Seven Networks, Inc. Flexible and dynamic integration schemas of a traffic management system with various network operators for network traffic alleviation
US9277443B2 (en) 2011-12-07 2016-03-01 Seven Networks, Llc Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol
EP2792188B1 (de) 2011-12-14 2019-03-20 Seven Networks, LLC Mobilfunknetzbenachrichtigung und nutzungsanalysesystem sowie verfahren mittels aggregation von daten in einem verteilten verkehrsoptimierungssystem
WO2013103988A1 (en) 2012-01-05 2013-07-11 Seven Networks, Inc. Detection and management of user interactions with foreground applications on a mobile device in distributed caching
WO2013116856A1 (en) 2012-02-02 2013-08-08 Seven Networks, Inc. Dynamic categorization of applications for network access in a mobile network
WO2013116852A1 (en) 2012-02-03 2013-08-08 Seven Networks, Inc. User as an end point for profiling and optimizing the delivery of content and data in a wireless network
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
WO2013155208A1 (en) 2012-04-10 2013-10-17 Seven Networks, Inc. Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network
WO2014011216A1 (en) 2012-07-13 2014-01-16 Seven Networks, Inc. Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications
US9161258B2 (en) 2012-10-24 2015-10-13 Seven Networks, Llc Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion
US9241259B2 (en) 2012-11-30 2016-01-19 Websense, Inc. Method and apparatus for managing the transfer of sensitive information to mobile devices
US9307493B2 (en) 2012-12-20 2016-04-05 Seven Networks, Llc Systems and methods for application management of mobile device radio state promotion and demotion
US9241314B2 (en) 2013-01-23 2016-01-19 Seven Networks, Llc Mobile device with application or context aware fast dormancy
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US9326185B2 (en) 2013-03-11 2016-04-26 Seven Networks, Llc Mobile network congestion recognition for optimization of mobile traffic
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
GB2518880A (en) 2013-10-04 2015-04-08 Glasswall Ip Ltd Anti-Malware mobile content data management apparatus and method
US9516049B2 (en) * 2013-11-13 2016-12-06 ProtectWise, Inc. Packet capture and network traffic replay
US10735453B2 (en) 2013-11-13 2020-08-04 Verizon Patent And Licensing Inc. Network traffic filtering and routing for threat analysis
US9654445B2 (en) 2013-11-13 2017-05-16 ProtectWise, Inc. Network traffic filtering and routing for threat analysis
US9330264B1 (en) 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
US9712555B2 (en) 2014-12-03 2017-07-18 Phantom Cyber Corporation Automated responses to security threats
US10057237B2 (en) * 2015-02-17 2018-08-21 Ca, Inc. Provide insensitive summary for an encrypted document
US20160287829A1 (en) * 2015-03-31 2016-10-06 Tom Whitehead Cushioned Sleep Apnea Mask
US10887261B2 (en) 2015-07-30 2021-01-05 Microsoft Technology Licensing, Llc Dynamic attachment delivery in emails for advanced malicious content filtering
US10868782B2 (en) 2018-07-12 2020-12-15 Bank Of America Corporation System for flagging data transmissions for retention of metadata and triggering appropriate transmission placement
US11151248B1 (en) * 2018-09-11 2021-10-19 NuRD LLC Increasing zero-day malware detection throughput on files attached to emails
US11677783B2 (en) * 2019-10-25 2023-06-13 Target Brands, Inc. Analysis of potentially malicious emails
US11902299B2 (en) 2019-11-03 2024-02-13 Microsoft Technology Licensing, Llc Campaign intelligence and visualization for combating cyberattacks
WO2021242687A1 (en) * 2020-05-28 2021-12-02 GreatHorn, Inc. Computer-implemented methods and systems for pre-analysis of emails for threat detection

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DK170490B1 (da) * 1992-04-28 1995-09-18 Multi Inform As Databehandlingsanlæg
US5414833A (en) 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5889943A (en) * 1995-09-26 1999-03-30 Trend Micro Incorporated Apparatus and method for electronic mail virus detection and elimination
US6453327B1 (en) * 1996-06-10 2002-09-17 Sun Microsystems, Inc. Method and apparatus for identifying and discarding junk electronic mail
US5832208A (en) * 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US5796942A (en) * 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US5935245A (en) * 1996-12-13 1999-08-10 3Com Corporation Method and apparatus for providing secure network communications
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
WO1999032985A1 (en) * 1997-12-22 1999-07-01 Accepted Marketing, Inc. E-mail filter and method thereof
US6253337B1 (en) 1998-07-21 2001-06-26 Raytheon Company Information security analysis system
JP2002521919A (ja) 1998-07-21 2002-07-16 レイセオン カンパニー 情報セキュリティ解析システム
US6701440B1 (en) * 2000-01-06 2004-03-02 Networks Associates Technology, Inc. Method and system for protecting a computer using a remote e-mail scanning device
US7072942B1 (en) * 2000-02-04 2006-07-04 Microsoft Corporation Email filtering methods and systems
US6519703B1 (en) * 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US6886099B1 (en) * 2000-09-12 2005-04-26 Networks Associates Technology, Inc. Computer virus detection

Also Published As

Publication number Publication date
WO2002005072A3 (en) 2002-09-06
EP1299791A2 (de) 2003-04-09
GB2367714A (en) 2002-04-10
GB0116578D0 (en) 2001-08-29
PT1299791E (pt) 2007-08-16
GB2367714B (en) 2004-03-17
DE60128227D1 (de) 2007-06-14
AU2001270763A1 (en) 2002-01-21
US7877807B2 (en) 2011-01-25
US20040054498A1 (en) 2004-03-18
EP1299791B1 (de) 2007-05-02
GB2367714C (en) 2006-10-30
GB0016835D0 (en) 2000-08-30
DK1299791T3 (da) 2007-09-10
ATE361489T1 (de) 2007-05-15
WO2002005072A2 (en) 2002-01-17
ES2287140T3 (es) 2007-12-16
CY1106782T1 (el) 2012-05-23

Similar Documents

Publication Publication Date Title
DE60128227T2 (de) Verfahren und system zur e-mailverarbeitung
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE60316809T2 (de) Verfahren und vorrichtung zur verarbeitung von nachrichten in einem kommunikationsnetzwerk
AU2002237408B2 (en) A method of, and system for, processing email in particular to detect unsolicited bulk email
US6453327B1 (en) Method and apparatus for identifying and discarding junk electronic mail
DE60124295T2 (de) Flussbasierte erfassung eines eindringens in ein netzwerk
DE69722266T2 (de) Anit-virus-agent zur verwendung mit datenbanken und postserver
US7801960B2 (en) Monitoring electronic mail message digests
DE69836545T2 (de) Firewall für elektronische post mit verschlüsselung/entschlüsselung mittels gespeicherter schlüssel
DE69910952T2 (de) Priorität- und Sicherheit-Kodierungssystem für elektronische Post nachrichten
CA2654796A1 (en) Systems and methods for identifying potentially malicious messages
DE102011056502A1 (de) Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen
AU2002237408A1 (en) A method of, and system for, processing email in particular to detect unsolicited bulk email
EP1153498A1 (de) Verfahren und vorrichtung zur proxyfunkion-erzeugung und filterung von elektronischen post
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
CN106656728A (zh) 一种邮件检测与监控系统
EP1246100A2 (de) Verfahren, Vorrichtung und E-Mailserver zum Erkennen einer unerwünschten E-Mail
US8056131B2 (en) Apparatus, methods and articles of manufacture for intercepting, examining and controlling code, data and files and their transfer
WO2005096572A1 (de) Verfahren zur überwachung der übertragung von elektronischen nachrichten
WO2004028103A1 (de) Verfahren zur empfängerseitigen automatischen behandlung von unerwünschter elektronischer post in kommunikationsnetzen
DE60318353T2 (de) Ausbreitung von Viren durch ein Computer Netzwerk
DE102019129253B4 (de) Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten
DE202019106018U1 (de) Computer-System zur Abwehr eines Angriffs von Schadsoftware durch elektronische Nachrichten
EP3531326A1 (de) Verfahren zum betreiben eines netzwerks mit mehreren servern
DE10102979C2 (de) Verfahren zur Absicherung von Rechnern mit Anschluss an ein Netzwerk zum Zweck der Kontrolle von Netzwerkverbindungen

Legal Events

Date Code Title Description
8364 No opposition during term of opposition