DE60128227T2 - Verfahren und system zur e-mailverarbeitung - Google Patents
Verfahren und system zur e-mailverarbeitung Download PDFInfo
- Publication number
- DE60128227T2 DE60128227T2 DE60128227T DE60128227T DE60128227T2 DE 60128227 T2 DE60128227 T2 DE 60128227T2 DE 60128227 T DE60128227 T DE 60128227T DE 60128227 T DE60128227 T DE 60128227T DE 60128227 T2 DE60128227 T2 DE 60128227T2
- Authority
- DE
- Germany
- Prior art keywords
- criteria
- emails
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/234—Monitoring or handling of messages for tracking messages
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Description
- Die Erfindung betrifft ein Verfahren und ein System zum Verarbeiten von E-Mails, insbesondere zum Detektieren eines Virusausbruchs. Die Erfindung ist insbesondere, aber nicht ausschließlich, auf die Verarbeitung von E-Mails durch einen Internet-Dienstanbieter (Internet Service Provider-ISP) anwendbar.
- Hintergrund der Erfindung
- Es sollte bemerkt werden, dass einige Abhandlungen über bösartige Software den Begriff „Virus" in einem engen Sinn bezüglich Software verwenden, die bestimmte Eigenschaften hinsichtlich der Ausbreitung, möglicherweise auch der Vervielfältigung und der Auswirkung besitzt, die verschieden von anderen Formen wie „trojanischen Pferden", „Würmern", usw. sind. In dieser Beschreibung, einschließlich der angefügten Ansprüche wird der Begriff Virus jedoch in einem allgemeinen Sinn für irgendeine Software verwendet, die aufgrund böser Absicht (oder durch Zufall) unerwunschte Auswirkungen verursacht.
- Herkömmliche Virenprüfer finden Viren, indem sie nach bekannten Muster in Dateien suchen, indem sie ein Dateisystem auf neue oder veränderte Dateien überprüfen oder indem verdächtige Programme in einer Sandkastenemulatorumgebung ausgeführt werden, um eine virenartige Aktivität zu detektieren.
- Die zunehmende Verwendung von E-Mail sowohl im Internet als auch in privaten Netzwerken steigert die Exposition von einzelnen Endnutzern und Arbeitsprozessen gegenüber bösartigen Störungen. Kürzlich hat es E-Mail übertragene Virusausbrüche gegeben, die sich im Bereich von Stunden quer über die Welt ausgebreitet haben. Ein gewisser Grad an Schutz kann erreicht werden, indem die E-Mails und ihre Anhänge nach Viren abgesucht werden und dies wird offensichtlich am Besten in einer zentralisierten Weise, z. B. durch Internet-Dienstanbieter oder andere getan, die ein E-Mail-Gateway betreiben, eher als es Endnutzern zu überlassen, die die Ressourcen, die Kenntnis oder die Neigung, ihre eigenen Antivirus-Maßnahmen zu ergreifen, besitzen können oder nicht.
- Doch gibt es sogar bei einem zentralisierten Absuchen noch ein Problem mit neuen Viren. Auch wenn man die Frage beiseite lässt, wie ein neuer Virus zuerst entdeckt wird, ob durch Maßnahmen, die ein Internet-Dienstanbieter oder ähnlicher ausführt, oder bei der Maschine eines Endnutzers, beanspruchen die notwendigen Schritte, um die Auswirkung des Ausbrechens zu lindem, Zeit, um durchgeführt zu werden, und zu der Zeit, zu der sie umgesetzt sind, können die schlimmsten Auswirkungen des Ausbruchs bereits überall auf der Welt eingetreten sein. Diese Schritte, welche alle Zeit beanspruchen und währenddessen der Ausbruch sich frei ausbreiten kann, umfassen typischerweise ein Identifizieren einer charakteristischen Zeichenfolge von Bits oder einer „Signatur", die den Virus identifiziert, verbreiten diese Information an Virus suchende Stellen und Programmieren der Absucher mit dieser Information.
- Dies ist kürzlich besonders problematisch mit dem Typ von Virus geworden, der sich gewissermaßen selbst vervielfältigen kann, indem er Kopien der Mail erzeugt und versendet, die ihn enthält, indem er beispielsweise auf ein E-Mailadressbuch, (z. B. das, was für einen Endnutzer E-Mail-Client verfügbar ist) zugreift und dann auf der Maschine verfügbare Dienste verwendet, um eine Kopie der E-Mail und von sich selbst an irgendeine oder alle gefundenen Adressen zu senden. Diese Taktik kann sich zwischen Kontinenten innerhalb von Minuten ausbreiten und führt zu einer geometrischen „Explosion" der Anzahl von Instanzen von ihm (dem Virus).
- Stand der Technik
-
US-A-5832208 (Chem): ist ein Beispiel für ein bekanntes Client-Server-System mit einer Vorrichtung auf dem Server, die E-Mailanhänge nach Viren vor einer Übermittlung durchsucht. -
WO 93/2272 -
WO 00/05650 WO 00/05852 - Aufgabe der Erfindung
- Die Erfindung liegt die Aufgabe zugrunde, ein Verfahren und ein System zum Verarbeiten von E-Mail zu schaffen, die in der Lage sind, die Ausbreitung eines zuvor unbekannten Virus zu detektieren, der durch E-Mails übertragen wird, und somit die Auswirkung eines Ausbruchs solch eines Virus abzuschwächen.
- Kurzfassung der Erfindung
- Die Erfindung schafft ein automatisches Verfahren zum Verarbeiten von E-Mails, dadurch gekennzeichnet, dass, um die Ausbreitung von zuvor unbekannten Viren zu detektieren, das Verfahren eine Überwachung von E-Mailverkehr aufweist, der durch einen oder mehrere Knoten eines Netzes passiert, wobei diese Überwachung aufweist:
- a) Protokollieren von Details über E-Mails in einen Datenbestand und
- b) Suchen in dem Datenbestand nach Muster von E-Mailverkehr, die auf die Ausbreitung eines durch E-Mail übertragenen Virus hinweisen oder die Verbreitung andeuten, durch Anwenden eines vorgegebenen Satzes von Verdächtigkeits-Kriterien auf Attribute (z. B. eine Länge einer Nachricht, eine Anzahl von Anhängen, eine Absender-IP-Adresse, eine Verarbeitung von einem ersten Anhang) der E-Mails, wobei der Satz Kriterien einschließt, die sich auf eine Mehrzahl von einzelnen Teilen (z. B. eine Betreffzeile, Empfänger, einen Nachrichttext, einen Anhang) der E-Mails bezieht, und sobald ein solches Muster detektiert ist, Einleiten einer automatischen Abhilfemaßnahme, Warnen eines Betreibers oder beides.
- Die Erfindung schafft ferner ein automatisches System, in einem oder für ein Computernetz, über das Benutzer einander E-Mails senden, zum Verarbeiten von E-Mails, um die Ausbreitung von zuvor unbekannten Viren zu detektieren, wobei das System aufweist:
Mittel zum Überwachen von E-Mailverkehr, der durch einen oder mehrere Knoten des Netzes passiert, wobei die Mittel aufweisen: - a) Mittel zum Protokollieren von Details über E-Mails in einen Datenbestand, und
- b) Mittel zum Durchsuchen des Datenbestandes nach Muster von E-Mailverkehr, die auf die Verbreitung von einem durch E-Mail übertragenen Virus hinweisen oder die Verbreitung andeuten, durch Anwendung eines vorgegebenen Satzes von Verdächtigkeits-Kriterien auf Attribute (z. B. eine Länge einer Nachricht, eine Anzahl von Anhängen, eine Absender-IP-Adresse, eine Verarbeitung von erstem Anhang) der E-Mails, wobei der Satz Kriterien einschließt, die sich auf eine Mehrzahl von einzelnen Teilen (z. B. eine Betreffzeile, Empfänger, einen Nachrichttext) der E-Mails bezieht, und Mittel, die ausgestaltet sind, sobald solch ein Muster detektiert ist, eine automatische Abhilfemaßnahme einzuleiten, einen Betreiber zu warnen oder beides.
- Eher als einzelne E-Mails zu überwachen, behandelt die Erfindung die verarbeiteten E-Mails als ein „Ensemble" und sucht nach Mustern in dem E-Mailverkehr, die charakteristisch für Viren sind, die über E-Mail verbreitet werden. Es wurde herausgefunden, dass solche charakteristischen Muster relativ einfach zu definieren und leicht zu identifizieren sind, sobald sie auftreten.
- Um die Identifizierung der relevanten Muster des E-Mailverkehrs zu unterstützen, wird jede E-Mail bezüglich einer Anzahl von Kriterien analysiert die darauf hinweisen, dass die E-Mail einen Virus enthalten könnte. Jede E-Mail, die irgendeins dieser Kriterien erfüllt, wird dann in einem Datenbestand protokolliert. Die Untersuchung der kürzlichen Hinzufügungen zu diesem Datenbestand kann dann verwendet werden, um Verkehrsmuster zu identifizieren, die hinweisend oder andeutend für einen Virusausbruch sind.
- Die Entscheidung, ob eine bestimmte E-Mail protokolliert wird oder nicht, kann auf der Basis gefällt werden, ob sie eines oder mehrere hinweisende Kriterien erfüllt, dass es für die E-Mail möglich ist, einen Virus zu enthalten. Mit anderen Worten können die gewählten Kriterien, um zu entscheiden, ob eine E-Mail protokolliert wird, solche sein, die hinweisend dafür sind, dass es für die E-Mail möglich ist, einen Virus zu enthalten, unabhängig davon, ob sie es tatsächlich tut, auf der Basis, dass E-Mails, die unmöglich einen Virus enthalten können, nicht individuell protokolliert werden müssen. Die Erfindung schließt jedoch die Möglichkeit nicht aus, dass ein oder mehrere Kriterien zu bestimmen versuchen, ob die E-Mail tatsächlich einen Virus enthält, mittels irgendeines geeigneten Absuchens oder einer anderen analytischen Technik.
- Es wird angenommen, ein Nutzer meldet, dass eine bestimmte E-Mail einen Virus als Anhang enthält, und diese ist eine von einer Anzahl von E-Mails, die kürzlich durch das System verarbeitet wurden. Der Datenbestand wird dann in sich Einträge besitzen, die Dinge wie den Absender und die Empfänger, den E-Mailbetreff, die Namen und Größen der Anhänge speichern. Es ist automatisch möglich (d.h. mit Software) die relevanten gespeicherten Attribute dieser Nachrichten zu identifizieren und sie als Basis zum Vornehmen korrigierender Handlungen bezüglich der nachfolgend verarbeiteten übereinstimmenden E-Mails zu verwenden. Es ist ferner möglich, die Empfänger der übereinstimmenden E-Mails zu benachrichtigen, die bereits verarbeitet worden sind, um eigene Abhilfe leistende Maßnahmen vorzunehmen, z.B. die E-Mail ungelesen und ungeöffnet zu löschen, wenn man annimmt, dass das System die Empfängernamen als Klartext abspeichert.
- Beschreibung der Zeichnungen
- Die Erfindung wird nachfolgend anhand eines nicht beschränkenden Beispiels mit Bezug auf beigefügte Zeichnungen näher erläutert. Hierbei zeigen:
-
1 den Vorgang des Sendens einer E-Mail über das Internet; und -
2 ein Blockdiagramm einer Ausführungsform der Erfindung. - Dargestellte Ausführungsform
- Bevor die dargestellte Ausführungsform der Erfindung beschrieben wird, wird ein typischer Vorgang des Sendens einer E-Mail über das Internet kurz mit Bezug auf
1 beschrieben. Dies dient nur einer Veranschaulichung; es gibt verschiedene Verfahren zum Übermitteln und Empfangen von E-Mail im Internet, einschließlich, jedoch nicht beschränkend auf, Endpunkt zu Endpunkt SMTP, IMAP4 und UCCP. Es gibt andere Möglichkeiten, um SMTP bis POP3 E-Mail auszuführen, einschließlich beispielsweise der Verwendung einer ISDN- oder Standleitungsverbindung anstelle einer Einwahlmodemverbindung. - Es wird angenommen, ein Nutzer
1A mit der E-Mailidentifikation „AAbsender" hat sein Konto bei „aQuelle.com" und möchte eine E-Mail an irgendeinen1B mit einem Konto „aEmpfanger" bei „aZiel.com" senden und dass diese com-Domains von entsprechenden Internet-Dienstanbietern (ISPs-Intemet-Service-Providers) unterhalten werden. Jede der Domains besitzt einen Mailserver2A ,26 , die einen oder mehrere SMTP Server3A ,3B für ausgehende Nachrichten und einen oder mehrere POP3 Server4A ,4B für eingehende Nachrichten umfassen. Diese Domains bilden einen Teil des Internets, das zur Klarheit getrennt als5 bezeichnet ist. Das Verfahren läuft wie folgt ab: - 1. AAbsender bereitet die E-Mailnachricht
vor, indem er eine E-Mailsoftware
1A , beispielsweise Microsoft Outlook Express, verwendet und sie an "aEmpfänger@aZiel.com" adressiert. - 2. Indem eine Einwahl-Modem-Verbindung oder ähnliches verwendet wird, verbindet
sich AAbsender's
E-Mailclient
1A mit dem E-Mailserver2A bei "mail.aQuelle.com". - 3. AAbsender's
E-Mailclient
1A führt eine Konversation mit dem SMTP-Server3A durch, in dessen Verlauf er dem SMPT-Server3A die Adressen des Absenders und des Empfängers mitteilt und ihm den Hauptteil (body) der Nachricht einschließlich irgendwelcher Anhänge schickt und somit die E-Mail10 zu dem Server3A überträgt. - 4. Der SMPT-Server
3A parst das TO(AN)-Feld des E-Mailumschlags in a) den Empfänger und b) den Domainnamen des Empfängers. Für die hier vorliegenden Zwecke wird angenommen, dass die Internetdienstanbieter des Absenders und Empfängers verschieden sind, andernfalls könnte der SMTP-Server3A einfach die E-Mail durch seine(n) zugehörige(n) POP3-Server4A für eine nachfolgende Zustellung durchleiten. - 5. Der SMPT-Server
3A lokalisiert den Internet-Domain-Name-Server und erhält die IP-Adresse des Mailservers der Zieldomain. - 6. Der SMPT-Server
3A verbindet sich mit dem SMPT-Server3B bei "aZiel.com" über SMPT und sendet die Absender- und Empfängeradressen und den Nachrichtenhauptteil (body) ähnlich zu Schritt3 . - 7. Der SMPT-Server
3B erkennt, dass der Domainname ihn selbst bezeichnet und leitet die Nachricht an den POP3-Server46 von "aZiel" weiter, der die Nachricht in "aEmpfängers" Briefkasten für die Abholung durch den E-Mailclient1B des Empfängers legt. - Es gibt verschiedene Wege, in denen die E-Mails in bösartiger Auswirkung verwendet werden können, wobei die am weitesten bekannte ein Virus ist, das mit der E-Mail als Anhang reist. Typischerweise erlaubt der Empfänger, indem er den Anhang "öffnet", beispielsweise indem er ihn doppelt anklickt, dem Virus, der ein binärer ausführbarer Code oder Skriptcode sein kann, der für einen Interpreter geschrieben ist, der von dem E-Mailclient oder dem Betriebssystem beherbergt wird, ausgeführt zu werden. Weder das Problem der bösartigen Absicht noch die Lösung der vorliegenden Erfindung hierzu sind auf Viren dieses Typs beschränkt. Andere bösartige Attacken können beispielsweise ein Ausnutzen einer Schwäche des Übermittlungssystems (SMTP + POP3) oder des E-Mailclients umfassen, beispielsweise indem absichtlich ein E-Mailkopffeld in einer Weise formatiert wird, die bekannt ist, eine Fehlfunktion der Software zu versuchen, die diese verarbeitet.
-
2 zeigt in Blockform die Hauptuntersysteme einer Ausführungsform der vorliegenden Erfindung. Bei dem betrachteten Beispiel, d.h. der Verarbeitung einer E-Mail durch einen Internet-Dienstanbieter, sind die Untersysteme mittels Software implementiert, die auf dem(n) Computer(n) des Internet-Dienstanbieters ausgeführt wird. Diese Computer betreiben ein oder mehrere E-Mailgateways20A ...20N , die E-Mailnachrichten, wie beispielsweise10 , weiterreichen. - Die verschiedenen Untersysteme der Ausführungsform werden unten in größerem Detail beschrieben, umfassen jedoch kurz gefasst
- – einen
Nachrichtenzerleger/-analysierer
21 , der E-Mails in ihre Bestandteile zerlegt und diese analysiert, um zu bewerten, ob sie Kandidaten für das Protokollieren sind; - – einen
Protokollierer
22 , der einen Datenbestandeintrag für jede Nachricht vorbereitet, die als ein Protokollierungskandidat von dem Zerleger/Analysierer21 ausgewählt ist; - – einen
Datenbestand
23 , der die von dem Protokollierer22 vorbereiteten Einträge speichert, - – einen
Sucher
24 , der neue Einträge in dem Datenbestand23 absucht, indem er nach Zeichen für einen einen Virus übertragenden Verkehr sucht; - – einen
Stopper
25 , der die Signale des Suchers24 signalisiert und optional ein Weiterreichen von E-Mails stoppt, die Kriterien des Zerlegers/Analysators21 für ein Hinweisen auf eine Virusgefahr entsprechen. - Der Stopper
25 kann auf solche eine Weise implementiert sein, dass E-Mails, die von dem System verarbeitet werden und nicht als mit einem Virus infiziert betrachtet werden, einen benachrichtigenden Text eingefügt bekommen, z.B. an den Nachrichtentext angehängt erhalten, der sagt, dass die E-Mail von dem System abgesucht worden ist, so dass der Empfänger in der Lage sein wird zu sehen, dass dies stattgefunden hat. - Insgesamt arbeitet das System nach
2 nach folgenden Prinzipien:
Viren, die sich über E-Mails ausbreiten, können detektiert werden, indem Verkehrsmuster der E-Mails untersucht werden, die sie erzeugen. - Die dargestellte Ausführungsform wendet einen heuristischen Satz an, um E-Mailviren zu identifizieren. Das Folgende ist eine nicht erschöpfende Liste von Kriterien, mittels derer E-Mails bewertet werden können, um diese Heuristik umzusetzen. Andere Kriterien können zusätzlich oder stattdessen verwendet werden:
sie enthalten die gleichen oder ähnliche Betreffzeilen;
sie enthalten die gleichen oder ähnliche Hauptteiltexte;
sie enthalten den gleich benannten Anhang;
sie enthalten einen Anhang mit der gleichen Nachrichtenverarbeitung;
sie sind an viele Empfänger adressiert;
sie sind an Empfänger in alphabetischer oder umgekehrt alphabetischer Reihenfolge adressiert;
sie sind an eine bestimmte E-Mailadresse versandt worden und gehen dann vielfach von der gleichen E-Mailadresse und/oder ähnlichen E-Mailadressen aus;
sie enthalten dasselbe strukturelle Format;
sie enthalten dieselben strukturellen Eigenarten;
sie enthalten dieselben ungewöhnlichen Nachrichtenköpfe. - Die obigen Kriterien sollten selbsterklärend sein, außer vielleicht jene, die sich auf die "Nachrichtenverarbeitung" und "strukturellen Eigenarten" beziehen. Diese Ausdrücke werden unten erläutert.
- Jedem der obigen Kriterien ist eine numerische Bewertung zugewiesen. Jede E-Mail, die durch das System passiert, wird durch den Zerleger/Analysator
21 analysiert und in einem Datenbestand23 durch einen Protokollierer22 protokolliert. Eine Suchroutine, die von dem Sucher24 ausgeführt wird, analysiert kontinuierlich die neue Information, die in den Datenbestand gespeichert wird, um zu sehen, ob ähnliche Nachrichten gesendet werden. Falls es sie gibt, wird dann die "Verdächtigkeit" der E-Mail berechnet, indem ein Algorithmus verwendet wird, der berücksichtigt, wie ähnlich die Nachrichten sind und wie viele von ihnen kürzlich empfangen wurden. Sobald ein Grenzwert überschritten ist, werden alle Nachrichten, die mit diesen Kriterien übereinstimmen, als potentielle Viren von dem Stopper25 gestoppt und ein Alarm ausgelöst. - Das System kann eine Nachrichtenverarbeitung erzeugen, zumindest für solche Nachrichten, die in dem Datenbestand protokolliert werden. Die Nachrichtenverarbeitungen stellen bequeme und effiziente Mittel zum Identifizieren von Nachrichten mit demselben Nachrichtentext und ein "Handle" zum Wiederfinden einer Sammlung von Protokolleinträgen dar, die denselben Nachrichtentext repräsentieren, der in einer Vielzahl von E-Mails versandt ist. Die Verarbeitung kann in dem Datenbestand zusätzlich zu oder anstelle der Nachrichtenliste gespeichert werden.
- Eine Nachrichtenverarbeitung wird typischerweise erzeugt, indem ein Einrichtungshashalgorithmus (z.B. MD5 oder Message-Digest-5) auf eine Reihe von Zeichen (in dem vorliegenden Fall z.B. die Zeichen der Nachricht) angewandt wird. Die Vorteile des Verwendens einer Verarbeitung in dieser Anwendung sind:
- – Sie sind typischerweise kleiner als die Originalnachricht und besitzen eine festgelegte Länge, so dass sie in einem Datenbestand einfach gespeichert werden können.
- – Sie sind typischerweise Einrichtungsfunktionen, so dass die Originalnachricht nicht wieder hergestellt werden kann und somit eine Kundenvertraulichkeit erhalten wird.
- – Eine kleine Änderung in der Nachricht führt zu einer komplett verschiedenen Verarbeitung.
- Beispielsweise ist die MD5-Verarbeitung von "The rain in spain falls mainly on the plain" 6f7f4c35a219625efc5a9ebad8fa8527 und von "The rain in Spain falls mainly on the plain" b417b67704f2dd2b5a812f99ade30e00. Diese zwei Nachrichten unterscheiden sich nur in einem Bit (dem "s" in spain, da ein Großbuchstabe S sich in einem Bit von einem Kleinbuchstabe s in dem ASCII-Zeichensatz unterscheidet), die Verarbeitungen sind jedoch vollständig verschieden.
- Einige Beispiele für Kriterien, mit denen die E-Mails bewertet werden können, werden nun angegeben:
Strukturelle Eigenarten: Die meisten E-Mails werden mit Hilfe von erprobten und getesteten Anwendungen erzeugt. Diese Anwendungen erzeugen eine E-Mail immer auf eine bestimmte Weise. Es ist häufig möglich zu identifizieren, welche Anwendung eine bestimmte E-Mail erzeugt hat, indem die E-Mailköpfe untersucht werden und auch das Format der unterschiedlichen Teile untersucht wird. Es ist dann möglich, E-Mails zu identifizieren, die Eigenarten enthalten, die entweder andeuten, dass die E-Mail versucht auszusehen, als ob sie von einem bekannten E-Mailprogramm erzeugt wurde, was sie jedoch nicht ist, oder dass sie von einem neuen und unbekannten Mailprogramm oder von einer Anwendung (die ein Virus oder Wurm sein könnte) erzeugt wurde. Alle sind verdächtig. - Beispiele:
- Inkonsistente Großschreibung
-
- from: alex@star.co.uk
- To: alex@star.co.uk
- Das from und To weisen eine unterschiedliche Großschreibung auf.
- Nicht-Standard-Anordnung von Kopfelementen
-
- Subject: Tower fault tolerance
- Content-type: multipart/mixed; boundary="======_962609498==_"
- Mime-Version: 1.0
- Die Mime-Version Kopfzeile kommt normalerweise vor der Content-Type Kopfzeile.
- Fehlende oder zusätzliche Kopfelemente
-
- X-Mailer: QUALCOMM Windows Eudora Pro Version 3.0.5 (32)
- Date: Mon, 03 Jul 2000 12:24:17 +0100
- Eudora fügt normalerweise auch eine X-Sender-Kopfzeile ein.
- Nachrichten-ID-Format
-
- Massage-ID: <00270ibfe4elSb37dbdcOS9264010a@tomkins.int.star.co.uk>
- X-Mailer: QUALCOMM Windows Eudora Pro Version 3.0.5 (32)
- Die X-Mailer-Kopfzeile sagt aus, dass die Mail durch Eudora erzeugt ist, jedoch ist das Format der Message-ID eine Outlook-Message-ID, nicht eine Eudora-Message-ID.
- Boundary-(Begrenzungs-)-Format
-
- X-Mailer: Microsoft Outlook 8.5, Build 4.71.2173.0
- Content-Type: multipart/mixes; boundary="======_962609498==_"
- Die X-Mailer Kopfzeile sagt aus, dass die Mail durch Outlook erzeugt ist, jedoch ist das boundary-(Begrenzungs)-Format eine Eudora-boundary-(Begrenzung), nicht eine Outlook-boundary-(Begrenzung).
- Zeilenumbrüche und andere Zwischenraumzusammenstellungen im Nachrichtenkopf
-
- To: "Andrew Webley" <awebley@messagelabs.com>,
- "Matt Cave" <MCave@messagelabs.com>,
- "Alex at MessageLabs" ashipp@messagelabs.com
- X-Mailer: QUALCOMM Windows Eudora Pro Version 3.0.5 (32)
- Das E-Mailprogramm (Eudora) verwendet gewöhnlich einen einzelnen Zwischenraum und keine Tabulatoren für Fortsetzungszeilen.
- Sie entstammt einer bestimmten IP-Adresse oder einem IP-Adressbereich
- Die IP-Adresse des Urhebers ist selbstverständlich bekannt und kann daher verwendet werden, um zu bestimmen, ob sie dieses Kriterium erfüllt.
- Sie enthält spezielle Konstrukte
- Einige E-Mails verwenden HTML-Skript, um den Nachrichteninhalt zu verschlüsseln. Dies beabsichtigt, linguistische Analysatoren zu umgehen. Wenn die Mail in einem Mailclient, beispielsweise Outlook, betrachtet wird, wird der Text sofort entschlüsselt und angezeigt. Es wäre ungewöhnlich, für eine normale E-Mail dies zu tun.
- Leerer Nachrichten-Sender-Umschlag
- Eine E-Mail zeigt normalerweise den Urheber in dem Absendertextfeld an und Spam-Absender werden oft einen gefälschten Eintrag in das Feld fügen, um die Tatsache zu verschleiern, dass die E-Mail infiziert ist. Die Absendeidentität soll jedoch auch in dem Protokoll spezifiziert sein, indem sich SMTP-Prozesse untereinander bei dem Übertragen von E-Mails unterhalten, und dieses Kriterium betrifft die Abwesenheit der Absenderidentifikation in dem relevanten Protokollschlitz, nämlich dem Mail-From-Protokollschlitz.
- Ungültige Nachrichten-Absender-E-Mail-Adresse
- Dieser ist komplementär zu Eintrag 8 und umfasst eine Betrachtung sowohl des Absenderfelds der Nachricht als auch des Absender-Protokollschlitzes, ob sie ungültig sind. Die E-Mail kann von einer Domain kommen, die nicht existiert oder die nicht die normalen Regeln für Domains befolgt. Beispielsweise ist eine HotMail-Adresse "123@hotmail.com" ungültig, weil HotMail-Adressen nicht nur aus Zahlen bestehen dürfen.
- Eine Anzahl von Feldern der E-Mail können auf ungültige Einträge hin untersucht werden, einschließlich "Sender", "From" und "Errors-to".
- Nachrichten-Absender-Adresse, die nicht zu dem Mailserver passt, von dem die Mail gesendet ist.
- Der lokale Mailserver weiß oder kann zumindest aus dem Protokoll die Adresse des Mail-Absenders entnehmen. So kann eine Bestimmung ausgeführt werden, ob diese mit der Absenderadresse in dem Mailtext übereinstimmt.
- Bei einer tatsächlichen Implementierung des Systems nach
2 wird ein Netzwerk von E-Mail-Gateways20 bevorzugt, so dass die E-Mail in einem benötigten Umfang verarbeitet werden kann. Je ausgedehnter dieses Netzwerk ist und je mehr E-Mails verarbeitet werden, desto größer sind die Chancen, in der Lage zu sein, neue Viren abzufangen, Symptome zu erkennen und weitere Vorkommen zu stoppen, bevor der Virus zu weit verbreitet ist. Die Verwendung einer Anzahl von E-Mail-Gateways ist jedoch kein unverzichtbarer Bestandteil des Systems; das System ist in der Lage, neu Viren zu erkennen und zu detektieren, sogar wenn nur ein E-Mail-Gateway verwendet wird und sogar wenn nur eine klein Anzahl von E-Mails durch ihn hindurch passiert. - Alle E-Mails werden durch den Analysierer/Zerleger
21 gereicht, in dem die E-Mail in ihre Bestandteile zerlegt wird. Aus Gründen der Verkehrsheuristik wird jeder Teil klassifiziert als:
E-Mailkopf/Mimeköpfe;
ein Bestandteil, der normalerweise als Teil der Nachricht betrachtet wird;
ein Bestandteil, der normalerweise als Anhang betrachtet wird. - Jeder Teil wird dann weiter analysiert, ob er möglicherweise potentielle Gefahren enthält.
- E-Mailkopf/Mimeköpfe: Überlange Zeilen oder Zeilen mit einer ungewöhnlichen Syntax können verwendet werden, um bestimmte Browser zum Absturz zu bringen, indem entweder ein denial of service attack (Dienstverweigerungsangriff) oder ein Exploit verursacht wird, der eine Sicherheitslücke verursachen kann oder einen Virus verbreitet.
- Ein Bestandteil, der normalerweise als Teil der Nachricht betrachtet wird: Dieser kann einen eingebetteten ausführbaren Code umfassen. Eine HTML-Nachricht kann beispielsweise Skriptcodes in verschiedenen Computersprachen enthalten oder sie kann Elemente enthalten (z.B. <frameset>- oder <object>-Marken), für die gezeigt worden ist, dass sie ausbeutbar sind.
- Ein Bestandteil, der normalerweise als Anhang betrachtet wird: Diese können direkt ausführbar sein, wie z.B. eine EXE-Datei. Sie können einen eingebetteten ausführbaren Code enthalten, wie z.B. ein Microsoft Word Dokument, das ein Makro enthält. Sie können Archivdateien oder andere Behälterdateien umfassen, die ihrerseits andere gefährliche Bestandteile enthalten können. Beispielsweise kann eine ZIP-Datei eine ausführbare Datei enthalten.
- Normalerweise müssen Anhänge, die irgendwelche ausführbaren Elemente enthalten, als potentielle Bedrohung angesehen werden. Das System ist jedoch in der Lage, in einen Modus umgeschaltet zu werden, in dem es alle Anhänge als potentielle Bedrohung ansieht. Dies ist zum Vorsorgen für zwei Möglichkeiten vorgesehen, wie:
Ein Dokument, beispielsweise ein .jpg-Bild, kann eine illegale Formatierung enthalten, die die Anwendung zum Absturz bringt, die verwendet wird, um den Anhang zu betrachten. Dies kann entweder einen denial of service attack (einen Dienstverweigerungsangriff) oder einen Exploit verursachen, der eine Sicherheitslücke verursachen oder einen Virus verbreiten kann. - Der Hauptteil der Nachricht (body) kann Anweisungen enthalten, die, falls befolgt, den Anhang in eine gefährliche Form umwandeln, z. B. „benenne Bild.jpg in Bild.exe um".
- Nach dem Analysieren jeder Komponente wird, falls irgendeine Komponente die Möglichkeit besitzt, eine potentielle Bedrohung zu enthalten, die Nachricht von dem Protokollierer
22 in den Datenbestand23 protokolliert. Anderenfalls wird die Nachricht nicht protokolliert. - Der Protokollierer
22 ist so programmiert, dass das System Bestandteile von jeder Nachricht protokolliert, so dass ähnliche Nachrichten detektiert werden können. Das Folgende wird protokolliert:
Betreffzeile und Verarbeitung der Betreffzeile;
die ersten wenigen Zeichen des Textteils der E-Mail, eine Verarbeitung des ersten Textteils und eine Verarbeitung der ersten wenigen Zeichen;
Name des ersten Anhangs;
Verarbeitung des ersten Anhangs;
Anzahl der Empfänger;
ob die Empfänger sich in alphabetischer Reihenfolge oder in umgekehrter alphabetischer Reihenfolge befinden;
Zeit der Protokollierung;
Verarbeitung des Absenders;
Verarbeitung des ersten Empfängers;
strukturelle Formatindikatoren;
strukturelle Eigenartindikatoren;
ungewöhnliche Nachrichtenköpfe;
Zeit, zu der die E-Mail eintraf. - Die obige Liste ist nicht erschöpfend und die Erfindung ist nicht auf diese bestimmte Kombination von Informationseinheiten beschränkt.
- Der Datenbestand
23 protokolliert Details über Nachrichten und gestattet die Abfrage von Details, um Muster von Duplikaten oder ähnlichen E-Mails zu finden. - Um eine Reaktionsschnelligkeit zu bieten, kann das Protokollieren ein einstufiger oder mehrstufiger Vorgang sein. Beispielsweise kann die Nachricht lokal in einem Datenbestand geografisch nahe zu dem E-Mailserver protokolliert und lokal analysiert werden. Dies ergibt eine schnelle Antwort auf lokale Verkehrsmuster. Die Protokolle können jedoch auch zu einem zentralen Datenbestand zurückkopiert werden, um eine globale Analyse auszuführen. Diese wird langsamer reagieren, jedoch wird sie in der Lage sein, eher auf globale als auf lokale Muster zu reagieren.
- Alte Protokolleinträge werden automatisch aus dem Datenbestand
23 gelöscht, da sie nicht länger benötigt werden – das System ist ausgelegt, eine Frühwarnung für neue Viren zu tiefem. - Der Sucher
24 fragt die Datenbank periodisch ab und sucht nach ähnlichen neuen Nachrichten und erzeugt eine Bewertung, indem die Bestandteile analysiert werden. Abhängig von der Bewertung kann das System eine „eindeutige" Bedrohung oder eine „potentielle" Bedrohung identifizieren. Eine eindeutige Bedrohung bewirkt, dass eine Signatur zu dem Stopper zurückgesendet wird, so dass alle zukünftigen Nachrichten mit dieser Charakteristik gestoppt werden. Eine potentielle Bedrohung verursacht, dass ein Alarm an einen Betreiber gesandt wird, der dann entscheiden kann, die Bedrohung wie eine eindeutige Bedrohung zu behandeln, sie als falschen Alarm zu kennzeichnen, so dass keine zukünftigen Vorkommen berichtet werden, oder abzuwarten. - Der Sucher kann mit verschiedenen Parametern konfiguriert werden, so dass er empfindlicher ist, falls er Protokolle eines einzelnen E-Mail-Gateways durchsucht, und weniger empfindlich ist, falls ein Datenbestand einer weltweiten Information verarbeitet wird.
- Jedem Kriterium kann eine unterschiedliche Bewertung zugeordnet werden.
- Die Zeit zwischen den Suchen kann angepasst werden.
- Die Zeitspanne, die jede Suche abdeckt, kann angepasst sein und mehrere Zeitspannen umfassen.
- Ein Gesamtgrenzwert kann festgesetzt werden.
- Der Stopper
25 nimmt Signaturen des Suchers24 . Die Signaturen identifizieren Charakteristika von E-Mails, die gestoppt werden müssen. Nach Empfang der Signatur werden alle zukünftigen übereinstimmenden E-Mails als Viren behandelt und gestoppt. - Offensichtlich kann die Stopphandlung eine Anzahl von Formen annehmen, einschließlich
- – Entfernen der infizierten E-Mails, ohne sie an ihre adressierten Empfänger zu senden.
- – Sie in einem temporären Speicher zu behalten und die Adressaten mittels einer E-Mail zu benachrichtigen, dass eine infizierte Nachricht abgefangen worden ist und für einen Zeitraum für ihre Rückgewinnung behalten wird, sollten sie dies wünschen, und anderenfalls gelöscht werden wird.
- – Desinfizieren der E-Mail, indem die Virusbedrohung durch irgendwelche geeigneten Mittel entfernt wird; beispielsweise kann, falls der Virus ein ausführbarer Anhang ist, abgelöst oder entschärft werden, bevor die E-Mail an ihre Adressaten weitergeleitet wird. Die E-Mail kann durch die Aufnahme einer Textnachricht modifiziert werden, die erklärt, dass die E-Mail desinfiziert worden ist.
- Wo ein Virus detektiert ist, kann ein automatisierter Mailserver
30 andere Stellen über die relevanten Charakteristika der infizierten E-Mails informieren, um entweder menschliche Betreiber zu alarmieren oder um Ausführungsformen der Erfindung an den entfernten Stellen mit den Charakteristika der E-Mail zu versorgen, die notwendig für ihre Stopper25 sind, um sie zu stoppen. - Typischer Algorithmus
- Es folgt ein möglicher Algorithmus, der von dem Sucher
24 in einer beschriebenen Ausführungsform der Erfindung implementiert werden kann. - Bezüglich der oben angegebenen E-Mail-Bewertungs-Kriterien des Beispiels wird es geschätzt werden, dass eine E-Mail unter Betrachtung eine Anzahl von Attributen besitzt, die als Datenwerte repräsentiert werden können, wobei die Datentypen von der Art des Attributs abhängen. Die Länge der Nachricht und die Anzahl der Anhänge sind beispielsweise ganze Zahlen (Integers), wohingegen die verschiedenen Text-Kopfzeilen (z. B. To (an), SendTo (gesendet an), Subject (Betreff)) Zeichenketten (character strings) sind, wie es auch die Verarbeitungen, beispielsweise die Nachrichtverarbeitung, sind. Im Folgenden werden E-Mails als gleich bezüglich eines gegebenen Kriteriums angesehen, falls die entsprechenden Attribute im Falle von ganzen Zahlen und Zeichenketten gleich sind. Im Falle von Zeichenketten kann, wo angemessen, Gleichheit durch einen Vergleich ohne Berücksichtigung von Groß- und Kleinschreibung bestimmt werden; ein Vergleich ohne Groß-/Kleinschreibungsberücksichtigung ist für Textfelder von E-Mails angemessen, jedoch nicht notwendigerweise für andere Zeichenketten. (Für den Fall, dass ein Attribut durch einen Fließkommawert repräsentiert ist, ist dem Fachmann bewusst, dass ein Vergleich auf der Basis durchgeführt werden sollte, ob der absolute Wert der Differenz größer als irgendein beliebiger Wert ist, der manchmal in technischer Literatur als „epsilon" bezeichnet ist, der größer als der Rundungsfehler ist).
- Unten sind die Zahlen in Klammem Schrittnummern, um die ausgeführten Schritte zu identifizieren.
In regelmäßigen Intervallen (100 ):
Für jedes Kriterium A messen wir (110 )
Für jedes Zeitintervall B Minuten messen wir (200 )
Erhalte einen Auswahlsatz S von E-Mails über die letzten B Minuten, deren Wert gemäß eines ausgewählten Kriteriums A gleich ist (210 ). Teile den Auswahlsatz, falls er Werte enthält, die nicht derselbe Virus sein können (z. B., falls einige E-Mails in dem Satz HTML Skript umfassen und einige eine EXE (Datei), können diese nicht derselbe Virus sein und sollten als getrennte Sätze S pro Schritt210 behandelt werden)
Für jeden Auswahlsatz S (300 )
Setze für X = Zählung von Mails in dem Auswahlset (310 )
Multipliziere X aus Schritt310 mit einem Wichtigkeitsfaktor C für Kriterium A (320 ). Jedes Kriterium besitzt einen entsprechenden Wichtigkeitsfaktor, der von der Art des Kriteriums abhängt, da einige Kriterien, z. B. der Name eines Dateianhangs, signifikanter als andere hinsichtlich einer Bewertung der Wahrscheinlichkeit sein können, dass eine Virusbedrohung vorliegt; ähnliche Kommentare treffen auf andere unten erwähnte Faktoren zu)
Addiere zu X aus Schritt320 einen zweiten Wichtigkeitsfaktor D für jedes andere Kriterium A2, bei dem A2 ebenfalls über den Auswahlsatz S gleich ist (330 )
Addiere zu X aus Schritt330 einen dritten Wichtigkeitsfaktor E für jedes andere Kriterium A3, bei dem A3 einen begrenzten Satz von verschiedenen Werten über den Auswahlsatz S aufweist (340 ). „Begrenzter Bereich" bedeutet > 1 und < R. Jedes Zeitintervall B besitzt ein entsprechendes R
Addiere zu X aus Schritt340 einen Verbreitungsfaktor (P mal T), falls der Auswahlsatz Q E-Mails enthält, die in eine Domain eintreten und dann T Kopien die Domain verlassen (wobei T > Q) (350 ). Jedes Zeitintervall B besitzt ein unterschiedliches P und Q
Falls X aus Schritt350 größer als ein Grenzwert V ist (jedes Zeitintervall B besitzt einen entsprechenden Grenzwert V), dann kennzeichne als Virus. (360 )
sonst
Falls X aus Schritt350 größer als ein Grenzwert O ist (jedes Zeitintervall B besitzt einen entsprechenden Grenzwert O), wobei O kleiner als V ist, dann kennzeichne als Betreiberunterstützung benötigend (370 ). Der Betreiber kann dann beurteilen, ob eine Virusbedrohung vorliegt oder nicht, und die Software anweisen, entsprechend vorzugehen.
Nächster Auswahlsatz (380 )
Nächstes Intervall (210 )
Nächstes Kriterium (120 ) - Man bemerke, dass drei „Wichtigkeits"-Faktoren C, D, E, der Verbreitungsfaktor und die Grenzwerte numerische Werte sind, die empirisch festgelegt werden können und die dynamisch angepasst werden können. Der Algorithmus kann ferner ausgeführt werden, indem einer oder mehrere verschiedene Werte für das Zeitintervall B verwendet werden, z. B. 5 Minuten, 30 Minuten und 180 Minuten.
- Auf Deutsch: Wir suchen nach E-Mails mit ähnlichen Charakteristika, die in einem gegebenen Zeitraum eintreffen. Je mehr ähnliche E-Mails wir finden, desto argwöhnischer werden wir. Falls die E-Mails auch andere Charakteristika gemeinsam haben, macht uns dies sogar noch argwöhnischer.
- Einige Dinge sind verdächtiger als andere – wir können z. B. wählen, eine höhere Bewertung zuzuordnen, falls wir E-Mails mit dem gleich benannten Anhang sehen, als wenn wir E-Mails mit der gleichen Betreffzeile sehen.
- Falls wir E-Mails sehen, die an eine Domain gesandt werden und dann überschwemmend herauskommen, ist dies ebenso verdächtig.
- Obwohl die Erfindung oben mit Bezug auf eine Anwendung auf Internet-E-Mail beschrieben worden ist, ist sie nicht auf solche E-Mail beschränkt; die Erfindung ist genauso auf andere private oder öffentliche, lokale (LAN) oder weitreichende (WAN) Netzwerke oder Kombinationen solcher Netzwerke miteinander und mit dem Internet als auch auf E-Mails über WAP (Wireless Access Protocol) und SMS (Simple Messaging Service) für Mobiltelefone und ähnliche Vorrichtungen anwendbar.
Claims (54)
- Automatisches Verfahren zum Verarbeiten von E-Mails, dadurch gekennzeichnet, dass, um die Ausbreitung von zuvor unbekannten Viren zu detektieren, das Verfahren eine Überwachung von E-Mailverkehr aufweist, der durch einen oder mehrere Knoten eines Netzes passiert, wobei diese Überwachung aufweist: c) Protokollieren (
22 ) von Details über E-Mails in einen Datenbestand (23 ) und d) Suchen (24 ) in dem Datenbestand nach Muster von E-Mailverkehr, die auf die Ausbreitung eines durch E-Mail übertragenen Virus hinweisten oder die Verbreitung andeuten, durch Anwenden eines vorgegebenen Satzes von Verdächtigkeits-Kriterien auf Attribute, z. B. Länge einer Nachricht, Anzahl von Anhängen, Absender-IP-Adresse, Verarbeitung von erstem Anhang, der E-Mails, wobei der Satz Kriterien einschließt, die sich auf eine Mehrzahl von einzelnen Teilen, z. B. Betreffzeile, Empfänger, Nachrichttext, Anhang, der E-Mails bezieht, und sobald ein solches Muster detektiert ist, Einleiten (25 ) einer automatischen Abhilfemaßnahme, Warnen eines Betreibers oder beides. - Verfahren nach Anspruch 1, wobei in Schritt (b) verschiedene numerische Wichtigkeitsfaktoren auf verschiedene Verdächtigkeits-Kriterien angewendet werden.
- Verfahren nach Anspruch 1 oder 2, wobei, beim Anwenden des vorgegebenen Satzes von Verdächtigkeits-Kriterien, ein Satz von E-Mails einer numerischen Bewertung zugeordnet wird, die entsprechend einer ausgewählten Kombination der Kriterien berechnet wird, und als viral gekennzeichnet wird, wenn die Bewertung einen vorgegebenen Grenzwert überschreitet.
- Verfahren nach Anspruch 3, wobei, wenn die Bewertung den Grenzwert nicht überschreitet, aber einen zweiten, niedrigeren Grenzwert überschreitet, der Satz von E-Mails für die Beachtung eines Betreibers gekennzeichnet wird.
- Verfahren nach einem der Ansprüche 1 bis 4, wobei das Protokollieren einer E-Mail ein Protokollieren einer Verarbeitung von dem Folgenden einschließt: des Nachrichtentextes; der Betreffzeile; der ersten wenigen Zeichen des Textteils der E-Mail; des ersten Textteils der E-Mail; des ersten Anhangs; des Absenders; oder des ersten Empfängers.
- Verfahren nach einem der Ansprüche 1 bis 5, wobei eines der Kriterien ist, dass eine E-Mail inkonsistente Großschreibung aufweist.
- Verfahren nach einem der Ansprüche 1 bis 6, wobei eines der Kriterien ist, dass eine E-Mail einen Zeilenumbruch hat oder andere Leerzeichen-Anordnung in Nachrichten-Köpfen hat, die mit dem angezeigten Erzeuger der E-Mail inkonsistent ist.
- Verfahren nach einem der Ansprüche 1 bis 7, wobei eines der Kriterien ist, dass eine E-Mail eine Nicht-Standard-Anordnung von Kopfelementen hat.
- Verfahren nach einem der Ansprüche 1 bis 8, wobei eines der Kriterien ist, dass eine E-Mail fehlende oder zusätzliche Kopfelemente hat.
- Verfahren nach einem der Ansprüche 1 bis 9, wobei eines der Kriterien ist, dass eine E-Mail eine inkonsistente Nachrichten-ID-Information hat.
- Verfahren nach einem der Ansprüche 1 bis 10, wobei eines der Kriterien ist, dass eine E-Mail ein Begrenzungsformat hat, das inkonsistent mit dem angezeigten Erzeuger der E-Mail ist.
- Verfahren nach einem der Ansprüche 1 bis 11, wobei eines der Kriterien ist, dass der Nachrichtenteil einer E-Mail verschlüsselt ist, um eine linguistische Analyse zu vereiteln.
- Verfahren nach einem der Ansprüche 1 bis 12, wobei eines der Kriterien ist, dass eine E-Mail einen leeren Nachrichten-Absender-Umschlag hat.
- Verfahren nach einem der Ansprüche 1 bis 13, wobei eines der Kriterien ist, dass die E-Mail eine ungültige Nachrichten-Absender-Adresse hat.
- Verfahren nach einem der Ansprüche 1 bis 14, wobei eines der Kriterien ist, dass eine E-Mail eine Nachrichten-Absender-Adresse hat, die nicht zu dem Nachrichten-Server passt, von dem sie gesendet wurde.
- Verfahren nach einem der Ansprüche 1 bis 15, wobei eines der Kriterien ist, dass E-Mails an Empfänger in alphabetischer oder umgekehrter alphabetischer Reihenfolge adressiert sind.
- Verfahren nach einem der Ansprüche 1 bis 16, wobei eines der Kriterien ist, dass E-Mails zu einer bestimmten E-Mailadresse gesendet werden und dann mehrfach von derselben E-Mailadresse und/oder ähnlichen E-Mailadressen austreten.
- Verfahren nach einem der Ansprüche 6 bis 17, wobei eines der Kriterien ist, dass E-Mails dasselbe strukturelle Format enthalten.
- Verfahren nach einem der Ansprüche 1 bis 18, wobei eines der Kriterien ist, dass E-Mails denselben unüblichen Kopf enthalten.
- Verfahren nach einem der Ansprüche 1 bis 19, wobei eines der Kriterien ist, dass E-Mails dieselbe strukturelle Eigenart enthalten.
- Verfahren nach einem der vorhergehenden Ansprüche, wobei eines der Kriterien ist, dass eine E-Mail von einer bestimmten IP-Adresse oder einer Adresse in einem Bereich von IP-Adressen stammen.
- Verfahren nach einem der vorhergehenden Ansprüche, wobei die Details einer E-Mail nicht protokolliert werden, wenn eine Analyse der E-Mail bestimmt, dass es für die E-Mail nicht möglich ist, einen Virus zu enthalten.
- Verfahren nach einem der vorhergehenden Ansprüche, wobei das Durchsuchen, prinzipiell oder ausschließlich, nur kürzlich hinzugefügte Datenbestand-Einträge untersucht, d. h. Einträge, die weniger als eine vorgegebene Zeit zuvor hinzugefügt worden sind.
- Verfahren nach einem der vorhergehenden Ansprüche, wobei die Abhilfemaßnahme eines oder alles des Folgenden einschließt, in Bezug zu jeder E-Mail, die dem detektierten Muster entspricht: a) zumindest zeitweise Stoppen des Passierens der E-Mails b) Benachrichtigen des Absenders der E-Mail c) Benachrichtigen des beabsichtigten Empfängers/der beabsichtigten Empfänger der E-Mail d) Desinfizieren der E-Mail e) Erzeugen eines Signals, um einen menschlichen Betreiber zu warnen.
- Verfahren nach einem vorhergehenden Ansprüche, das außerdem einschließt: Senden einer Nachricht, die verdächtige E-Mails identifiziert, an einen automatisierten E-Mail-Server.
- Verfahren nach einem der vorhergehenden Ansprüche, das den Schritt eines Verarbeitens von infizierten E-Mails einschließt, um diese zu desinfizieren oder einen Virus darin zu entschärfen.
- Verfahren nach einem der vorhergehenden Ansprüche, das den Schritt eines Einsetzens einer Nachricht, die anzeigt, dass die E-Mail verarbeitet worden ist, in E-Mails einschließt, die nicht als virusinfiziert betrachtet werden.
- Automatisches System in oder für ein Computernetz, über das Benutzer einander E-Mails senden, zum Verarbeiten von E-Mails, um die Ausbreitung von zuvor unbekannten Viren zu detektieren, wobei das System aufweist: Mittel zum Überwachen von E-Mailverkehr, der durch einen oder mehrere Knoten des Netzes passiert, wobei die Mittel aufweisen: a) Mittel zum Protokollieren (
22 ) von Details über E-Mails in einen Datenbestand (23 ), und b) Mittel zum Durchsuchen (24 ) des Datenbestandes nach Mustern von E-Mailverkehr, die auf die Verbreitung von einem durch E-Mail übertragenen Virus hinweisen oder die Verbreitung andeuten, durch Anwendung eines vorgegebenen Satzes von Verdächtigkeits-Kriterien auf Attribute z. B. Länge einer Nachricht, Anzahl von Anhängen, Absender-IP-Adresse, Verarbeitung von erstem Anhang, der E-Mails, wobei der Satz Kriterien einschließt, die sich auf eine Mehrzahl von einzelnen Teilen, z. B. Betreffzeile, Empfänger, Nachrichttext, der E-Mails bezieht, und Mittel, die ausgestaltet sind, sobald solch ein Muster detektiert ist, eine automatische Abhilfemaßnahme einzuleiten (25 ), einen Betreiber zu warnen oder beides. - System nach Anspruch 28, wobei beim Betreiben der Mittel (b) verschiedene numerische Wichtigkeitsfaktoren auf verschiedene Verdächtigkeits-Kriterien angewendet werden.
- System nach Anspruch 28 oder 29, wobei beim Anwenden des vorgegebenen Satzes von Verdächtigkeits-Kriterien, ein Satz von E-Mails einer numerischen Bewertung zugeordnet wird, die entsprechend einer ausgewählten Kombination der Kriterien berechnet wird, und als viral gekennzeichnet wird, wenn die Bewertung einen vorgegebenen Grenzwert überschreitet.
- System nach Anspruch 30, wobei, wenn die Bewertung den Grenzwert nicht überschreitet, aber einen zweiten, niedrigeren Grenzwert überschreitet, der Satz von E-Mails für die Beachtung eines Betreibers gekennzeichnet wird.
- System nach einem der Ansprüche 28 bis 31, wobei das Protokollieren einer E-Mail ein Protokollieren einer Verarbeitung von dem Folgenden einschließt: des Nachrichtentextes; der Betreffzeile; der ersten wenigen Zeichen des Textteils der E-Mail; des ersten Textteils der E-Mail; des ersten Anhangs; des Absenders; oder des ersten Empfängers.
- System nach einem der Ansprüche 28 bis 32, wobei eines der Kriterien ist, dass eine E-Mail inkonsistente Großschreibung aufweist.
- System nach einem der Ansprüche 28 bis 33, wobei eines der Kriterien ist, dass eine E-Mail einen Zeilenumbruch hat oder andere Leerzeichen-Anordnung in Nachrichten-Köpfen hat, die mit dem angezeigten Erzeuger der E-Mail inkonsistent ist.
- System nach einem der Ansprüche 28 bis 34, wobei eines der Kriterien ist, dass eine E-Mail eine Nicht-Standard-Anordnung von Kopfelementen hat.
- System nach einem der Ansprüche 28 bis 35, wobei eines der Kriterien ist, dass eine E-Mail fehlende oder zusätzliche Kopfelemente hat.
- System nach einem der Ansprüche 28 bis 36, wobei eines der Kriterien ist, dass eine E-Mail eine inkonsistente Nachrichten-ID-Information hat.
- System nach einem der Ansprüche 28 bis 37, wobei eines der Kriterien ist, dass eine E-Mail ein Begrenzungsformat hat, das inkonsistent mit dem angezeigten Erzeuger der E-Mail ist.
- System nach einem der Ansprüche 28 bis 38, wobei eines der Kriterien ist, dass der Nachrichtenteil einer E-Mail verschlüsselt ist, um eine linguistische Analyse zu vereiteln.
- System nach einem der Ansprüche 28 bis 39, wobei eines der Kriterien ist, dass eine E-Mail einen leeren Nachrichten-Absender-Umschlag hat.
- System nach einem der Ansprüche 28 bis 40, wobei eines der Kriterien ist, dass die E-Mail eine ungültige Nachrichten-Absender-Adresse hat.
- System nach einem der Ansprüche 28 bis 41, wobei eines der Kriterien ist, dass eine E-Mail eine Nachrichten-Absender-Adresse hat, die nicht zu dem Nachrichten-Server passt, von dem sie gesendet wurde.
- System nach einem der Ansprüche 28 bis 42, wobei eines der Kriterien ist, dass E-Mails an Empfänger in alphabetischer oder umgekehrter alphabetischer Reihenfolge adressiert sind.
- System nach einem der Ansprüche 28 bis 43, wobei eines der Kriterien ist, dass E-Mails zu einer bestimmten E-Mailadresse gesendet werden und dann mehrfach von derselben E-Mailadresse und/oder ähnlichen E-Mailadressen austreten.
- System nach einem der Ansprüche 33 bis 44, wobei eines der Kriterien ist, dass E-Mails dasselbe strukturelle Format enthalten.
- System nach einem der Ansprüche 28 bis 45, wobei eines der Kriterien ist, dass E-Mails denselben unüblichen Kopf enthalten.
- System nach einem der Ansprüche 28 bis 46, wobei eines der Kriterien ist, dass E-Mails dieselbe strukturelle Eigenart enthalten.
- System nach einem der Ansprüche 28 bis 47, wobei eines der Kriterien ist, dass eine E-Mail von einer bestimmten IP-Adresse oder einer Adresse in einem Bereich von IP-Adressen stammen.
- System nach einem der Ansprüche 28 bis 48, wobei im Betrieb der Mittel die Details einer E-Mail nicht protokolliert werden, wenn eine Analyse der E-Mail bestimmt, dass es für die E-Mail nicht möglich ist, einen Virus zu enthalten.
- System nach einem der Ansprüche 28 bis 49, wobei im Betrieb das Durchsuchen, prinzipiell oder ausschließlich, nur kürzlich hinzugefügte Datenbestand-Einträge untersucht, d. h. Einträge, die weniger als eine vorgegebene Zeit zuvor hinzugefügt worden sind.
- System nach einem der Ansprüche 28 bis 50, wobei die Einleitungsmittel ausgestaltet sind, so dass die Abhilfemaßnahme eines oder alles des Folgenden einschließt, in Bezug zu jeder E-Mail, die dem detektierten Muster entspricht: a) zumindest zeitweises Stoppen des Passierens der E-Mails b) Benachrichtigen des Absenders der E-Mail c) Benachrichtigen des beabsichtigten Empfängers/der beabsichtigten Empfänger der E-Mail d) Desinfizieren der E-Mail e) Erzeugen eines Signals, um einen menschlichen Betreiber zu warnen.
- System nach einem der Ansprüche 28 bis 51, das Mittel einschließt zum Senden einer Nachricht, die verdächtige E-Mails identifiziert, an einen automatisierten E-Mail-Server.
- System nach einem der Ansprüche 28 bis 52, das Mittel einschließt zum Verarbeiten infizierter E-Mails, um diese zu desinfizieren oder einen Virus darin zu entschärfen.
- System nach einem der Ansprüche 28 bis 53, das Mittel zum Einsetzen einer Nachricht, die anzeigt, dass die E-Mail verarbeitet worden ist, in E-Mails einschließt, die nicht als virusinfiziert betrachtet werden.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB0016835 | 2000-07-07 | ||
GBGB0016835.1A GB0016835D0 (en) | 2000-07-07 | 2000-07-07 | Method of, and system for, processing email |
PCT/GB2001/003036 WO2002005072A2 (en) | 2000-07-07 | 2001-07-06 | Method of and system for, processing email |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60128227D1 DE60128227D1 (de) | 2007-06-14 |
DE60128227T2 true DE60128227T2 (de) | 2008-01-10 |
Family
ID=9895305
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60128227T Expired - Lifetime DE60128227T2 (de) | 2000-07-07 | 2001-07-06 | Verfahren und system zur e-mailverarbeitung |
Country Status (11)
Country | Link |
---|---|
US (1) | US7877807B2 (de) |
EP (1) | EP1299791B1 (de) |
AT (1) | ATE361489T1 (de) |
AU (1) | AU2001270763A1 (de) |
CY (1) | CY1106782T1 (de) |
DE (1) | DE60128227T2 (de) |
DK (1) | DK1299791T3 (de) |
ES (1) | ES2287140T3 (de) |
GB (2) | GB0016835D0 (de) |
PT (1) | PT1299791E (de) |
WO (1) | WO2002005072A2 (de) |
Families Citing this family (126)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7089591B1 (en) | 1999-07-30 | 2006-08-08 | Symantec Corporation | Generic detection and elimination of marco viruses |
US6886099B1 (en) * | 2000-09-12 | 2005-04-26 | Networks Associates Technology, Inc. | Computer virus detection |
CN1316397C (zh) * | 2001-02-12 | 2007-05-16 | Emc公司 | 索引惟一电子邮件消息及其使用的系统和方法 |
CN1509438A (zh) * | 2001-04-13 | 2004-06-30 | ��˹��ŵ�� | 用于为网络提供利用保护的系统与方法 |
US7673342B2 (en) * | 2001-07-26 | 2010-03-02 | Mcafee, Inc. | Detecting e-mail propagated malware |
US20030097409A1 (en) * | 2001-10-05 | 2003-05-22 | Hungchou Tsai | Systems and methods for securing computers |
JP3693244B2 (ja) * | 2001-10-31 | 2005-09-07 | 株式会社日立製作所 | 電子メールシステム、メールサーバ及びメール端末 |
AU2003209194A1 (en) * | 2002-01-08 | 2003-07-24 | Seven Networks, Inc. | Secure transport for mobile communication network |
GB2384659B (en) * | 2002-01-25 | 2004-01-14 | F Secure Oyj | Anti-virus protection at a network gateway |
US20030154394A1 (en) * | 2002-02-13 | 2003-08-14 | Levin Lawrence R. | Computer virus control |
US7237008B1 (en) * | 2002-05-10 | 2007-06-26 | Mcafee, Inc. | Detecting malware carried by an e-mail message |
US7155742B1 (en) | 2002-05-16 | 2006-12-26 | Symantec Corporation | Countering infections to communications modules |
US20030226014A1 (en) * | 2002-05-31 | 2003-12-04 | Schmidt Rodney W. | Trusted client utilizing security kernel under secure execution mode |
GB2394382A (en) | 2002-10-19 | 2004-04-21 | Hewlett Packard Co | Monitoring the propagation of viruses through an Information Technology network |
GB2401280B (en) * | 2003-04-29 | 2006-02-08 | Hewlett Packard Development Co | Propagation of viruses through an information technology network |
GB2391419A (en) * | 2002-06-07 | 2004-02-04 | Hewlett Packard Co | Restricting the propagation of a virus within a network |
US7418732B2 (en) * | 2002-06-26 | 2008-08-26 | Microsoft Corporation | Network switches for detection and prevention of virus attacks |
US7418729B2 (en) | 2002-07-19 | 2008-08-26 | Symantec Corporation | Heuristic detection of malicious computer code by page tracking |
US7380277B2 (en) | 2002-07-22 | 2008-05-27 | Symantec Corporation | Preventing e-mail propagation of malicious computer code |
US7478431B1 (en) | 2002-08-02 | 2009-01-13 | Symantec Corporation | Heuristic detection of computer viruses |
WO2004015954A1 (en) * | 2002-08-07 | 2004-02-19 | British Telecommunications Public Limited Company | Server for sending electronics messages |
DE10243243B4 (de) * | 2002-09-17 | 2005-01-27 | T-Mobile Deutschland Gmbh | Verfahren zur empfängerseitigen automatischen Behandlung von unerwünschter elektronischer Post in Kommunikationsnetzen |
US7159149B2 (en) | 2002-10-24 | 2007-01-02 | Symantec Corporation | Heuristic detection and termination of fast spreading network worm attacks |
US7631353B2 (en) | 2002-12-17 | 2009-12-08 | Symantec Corporation | Blocking replication of e-mail worms |
US7296293B2 (en) | 2002-12-31 | 2007-11-13 | Symantec Corporation | Using a benevolent worm to assess and correct computer security vulnerabilities |
US7917468B2 (en) * | 2005-08-01 | 2011-03-29 | Seven Networks, Inc. | Linking of personal information management data |
US8468126B2 (en) * | 2005-08-01 | 2013-06-18 | Seven Networks, Inc. | Publishing data in an information community |
US7299261B1 (en) | 2003-02-20 | 2007-11-20 | Mailfrontier, Inc. A Wholly Owned Subsidiary Of Sonicwall, Inc. | Message classification using a summary |
US8266215B2 (en) | 2003-02-20 | 2012-09-11 | Sonicwall, Inc. | Using distinguishing properties to classify messages |
US7185015B2 (en) * | 2003-03-14 | 2007-02-27 | Websense, Inc. | System and method of monitoring and controlling application files |
US7529754B2 (en) | 2003-03-14 | 2009-05-05 | Websense, Inc. | System and method of monitoring and controlling application files |
GB2400934B (en) * | 2003-04-25 | 2005-12-14 | Messagelabs Ltd | A method of,and system for detecting mass mailing viruses |
US7796515B2 (en) | 2003-04-29 | 2010-09-14 | Hewlett-Packard Development Company, L.P. | Propagation of viruses through an information technology network |
GB2401281B (en) | 2003-04-29 | 2006-02-08 | Hewlett Packard Development Co | Propagation of viruses through an information technology network |
US8271774B1 (en) | 2003-08-11 | 2012-09-18 | Symantec Corporation | Circumstantial blocking of incoming network traffic containing code |
WO2005050369A2 (en) | 2003-11-12 | 2005-06-02 | The Trustees Of Columbia University In The City Ofnew York | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data |
US20050198168A1 (en) * | 2003-12-04 | 2005-09-08 | Justin Marston | Messaging protocol discovery |
US7971254B1 (en) * | 2004-01-28 | 2011-06-28 | Netgear, Inc. | Method and system for low-latency detection of viruses transmitted over a network |
US7721334B2 (en) * | 2004-01-30 | 2010-05-18 | Microsoft Corporation | Detection of code-free files |
US8220055B1 (en) * | 2004-02-06 | 2012-07-10 | Symantec Corporation | Behavior blocking utilizing positive behavior system and method |
US8214438B2 (en) * | 2004-03-01 | 2012-07-03 | Microsoft Corporation | (More) advanced spam detection features |
US8073911B2 (en) * | 2004-05-12 | 2011-12-06 | Bluespace Software Corporation | Enforcing compliance policies in a messaging system |
US7370233B1 (en) | 2004-05-21 | 2008-05-06 | Symantec Corporation | Verification of desired end-state using a virtual machine environment |
US7870200B2 (en) * | 2004-05-29 | 2011-01-11 | Ironport Systems, Inc. | Monitoring the flow of messages received at a server |
US7441042B1 (en) | 2004-08-25 | 2008-10-21 | Symanetc Corporation | System and method for correlating network traffic and corresponding file input/output traffic |
GB2418500A (en) * | 2004-09-27 | 2006-03-29 | Clearswift Ltd | Detection, quarantine and modification of dangerous web pages |
GB0422441D0 (en) * | 2004-10-08 | 2004-11-10 | I Cd Publishing Uk Ltd | Processing electronic communications |
US10043008B2 (en) | 2004-10-29 | 2018-08-07 | Microsoft Technology Licensing, Llc | Efficient white listing of user-modifiable files |
US8104086B1 (en) | 2005-03-03 | 2012-01-24 | Symantec Corporation | Heuristically detecting spyware/adware registry activity |
US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
GB2427048A (en) | 2005-06-09 | 2006-12-13 | Avecho Group Ltd | Detection of unwanted code or data in electronic mail |
WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
GB0512744D0 (en) * | 2005-06-22 | 2005-07-27 | Blackspider Technologies | Method and system for filtering electronic messages |
US8069166B2 (en) * | 2005-08-01 | 2011-11-29 | Seven Networks, Inc. | Managing user-to-user contact with inferred presence information |
WO2007022454A2 (en) | 2005-08-18 | 2007-02-22 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media protecting a digital data processing device from attack |
US8544097B2 (en) * | 2005-10-14 | 2013-09-24 | Sistema Universitario Ana G. Mendez, Inc. | Attachment chain tracing scheme for email virus detection and control |
CA2626993A1 (en) | 2005-10-25 | 2007-05-03 | The Trustees Of Columbia University In The City Of New York | Methods, media and systems for detecting anomalous program executions |
WO2007082308A2 (en) * | 2006-01-13 | 2007-07-19 | Bluespace Software Corp. | Determining relevance of electronic content |
US7769395B2 (en) * | 2006-06-20 | 2010-08-03 | Seven Networks, Inc. | Location-based operations and messaging |
US8239915B1 (en) | 2006-06-30 | 2012-08-07 | Symantec Corporation | Endpoint management using trust rating data |
WO2008055156A2 (en) | 2006-10-30 | 2008-05-08 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting an anomalous sequence of function calls |
GB0621656D0 (en) | 2006-10-31 | 2006-12-06 | Hewlett Packard Development Co | Data file transformation |
KR100859664B1 (ko) * | 2006-11-13 | 2008-09-23 | 삼성에스디에스 주식회사 | 전자메일의 바이러스 감염여부 판정방법 |
US9654495B2 (en) * | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
GB2444514A (en) * | 2006-12-04 | 2008-06-11 | Glasswall | Electronic file re-generation |
US9729513B2 (en) | 2007-11-08 | 2017-08-08 | Glasswall (Ip) Limited | Using multiple layers of policy management to manage risk |
CN101212470B (zh) * | 2006-12-30 | 2011-05-04 | 中国科学院计算技术研究所 | 一种能够抵御垃圾邮件的分布式邮件系统 |
GB2458094A (en) * | 2007-01-09 | 2009-09-09 | Surfcontrol On Demand Ltd | URL interception and categorization in firewalls |
GB0709527D0 (en) * | 2007-05-18 | 2007-06-27 | Surfcontrol Plc | Electronic messaging system, message processing apparatus and message processing method |
US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
US8364181B2 (en) | 2007-12-10 | 2013-01-29 | Seven Networks, Inc. | Electronic-mail filtering for mobile devices |
US9002828B2 (en) * | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
US8787947B2 (en) * | 2008-06-18 | 2014-07-22 | Seven Networks, Inc. | Application discovery on mobile devices |
US8078158B2 (en) | 2008-06-26 | 2011-12-13 | Seven Networks, Inc. | Provisioning applications for a mobile device |
US8909759B2 (en) | 2008-10-10 | 2014-12-09 | Seven Networks, Inc. | Bandwidth measurement |
US8863279B2 (en) | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
EP3651028A1 (de) | 2010-07-26 | 2020-05-13 | Seven Networks, LLC | Koordinierung eines mobilnetzwerkverkehrs zwischen mehreren anwendungen |
US20120066759A1 (en) * | 2010-09-10 | 2012-03-15 | Cisco Technology, Inc. | System and method for providing endpoint management for security threats in a network environment |
US8484314B2 (en) | 2010-11-01 | 2013-07-09 | Seven Networks, Inc. | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
US8903954B2 (en) | 2010-11-22 | 2014-12-02 | Seven Networks, Inc. | Optimization of resource polling intervals to satisfy mobile device requests |
CA2798523C (en) | 2010-11-22 | 2015-02-24 | Seven Networks, Inc. | Aligning data transfer to optimize connections established for transmission over a wireless network |
GB2501416B (en) | 2011-01-07 | 2018-03-21 | Seven Networks Llc | System and method for reduction of mobile network traffic used for domain name system (DNS) queries |
US8316098B2 (en) | 2011-04-19 | 2012-11-20 | Seven Networks Inc. | Social caching for device resource sharing and management |
EP2702500B1 (de) | 2011-04-27 | 2017-07-19 | Seven Networks, LLC | Erkennung und bewahrung eines systemzustands zur erfüllung von anwendungsanfragen in einem verteilten proxy- und cachesystem |
EP2621144B1 (de) | 2011-04-27 | 2014-06-25 | Seven Networks, Inc. | System und Verfahren zur Erstellung von Abfragen über eine mobile Vorrichtung auf Basis atomisierter Verfahren zur Verkehrsentlastung für mobile Netzwerke |
US8584211B1 (en) | 2011-05-18 | 2013-11-12 | Bluespace Software Corporation | Server-based architecture for securely providing multi-domain applications |
US20120311710A1 (en) * | 2011-06-03 | 2012-12-06 | Voodoosoft Holdings, Llc | Computer program, method, and system for preventing execution of viruses and malware |
WO2013015995A1 (en) * | 2011-07-27 | 2013-01-31 | Seven Networks, Inc. | Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network |
EP2756366B1 (de) | 2011-09-15 | 2020-01-15 | The Trustees of Columbia University in the City of New York | Systeme, verfahren und medien zur erkennung von rop-nutzdaten |
US8934414B2 (en) | 2011-12-06 | 2015-01-13 | Seven Networks, Inc. | Cellular or WiFi mobile traffic optimization based on public or private network destination |
US8868753B2 (en) | 2011-12-06 | 2014-10-21 | Seven Networks, Inc. | System of redundantly clustered machines to provide failover mechanisms for mobile traffic management and network resource conservation |
WO2013086455A1 (en) | 2011-12-07 | 2013-06-13 | Seven Networks, Inc. | Flexible and dynamic integration schemas of a traffic management system with various network operators for network traffic alleviation |
US9277443B2 (en) | 2011-12-07 | 2016-03-01 | Seven Networks, Llc | Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol |
EP2792188B1 (de) | 2011-12-14 | 2019-03-20 | Seven Networks, LLC | Mobilfunknetzbenachrichtigung und nutzungsanalysesystem sowie verfahren mittels aggregation von daten in einem verteilten verkehrsoptimierungssystem |
WO2013103988A1 (en) | 2012-01-05 | 2013-07-11 | Seven Networks, Inc. | Detection and management of user interactions with foreground applications on a mobile device in distributed caching |
WO2013116856A1 (en) | 2012-02-02 | 2013-08-08 | Seven Networks, Inc. | Dynamic categorization of applications for network access in a mobile network |
WO2013116852A1 (en) | 2012-02-03 | 2013-08-08 | Seven Networks, Inc. | User as an end point for profiling and optimizing the delivery of content and data in a wireless network |
US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
WO2013155208A1 (en) | 2012-04-10 | 2013-10-17 | Seven Networks, Inc. | Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network |
WO2014011216A1 (en) | 2012-07-13 | 2014-01-16 | Seven Networks, Inc. | Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications |
US9161258B2 (en) | 2012-10-24 | 2015-10-13 | Seven Networks, Llc | Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion |
US9241259B2 (en) | 2012-11-30 | 2016-01-19 | Websense, Inc. | Method and apparatus for managing the transfer of sensitive information to mobile devices |
US9307493B2 (en) | 2012-12-20 | 2016-04-05 | Seven Networks, Llc | Systems and methods for application management of mobile device radio state promotion and demotion |
US9241314B2 (en) | 2013-01-23 | 2016-01-19 | Seven Networks, Llc | Mobile device with application or context aware fast dormancy |
US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
US9326185B2 (en) | 2013-03-11 | 2016-04-26 | Seven Networks, Llc | Mobile network congestion recognition for optimization of mobile traffic |
US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
GB2518880A (en) | 2013-10-04 | 2015-04-08 | Glasswall Ip Ltd | Anti-Malware mobile content data management apparatus and method |
US9516049B2 (en) * | 2013-11-13 | 2016-12-06 | ProtectWise, Inc. | Packet capture and network traffic replay |
US10735453B2 (en) | 2013-11-13 | 2020-08-04 | Verizon Patent And Licensing Inc. | Network traffic filtering and routing for threat analysis |
US9654445B2 (en) | 2013-11-13 | 2017-05-16 | ProtectWise, Inc. | Network traffic filtering and routing for threat analysis |
US9330264B1 (en) | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
US9712555B2 (en) | 2014-12-03 | 2017-07-18 | Phantom Cyber Corporation | Automated responses to security threats |
US10057237B2 (en) * | 2015-02-17 | 2018-08-21 | Ca, Inc. | Provide insensitive summary for an encrypted document |
US20160287829A1 (en) * | 2015-03-31 | 2016-10-06 | Tom Whitehead | Cushioned Sleep Apnea Mask |
US10887261B2 (en) | 2015-07-30 | 2021-01-05 | Microsoft Technology Licensing, Llc | Dynamic attachment delivery in emails for advanced malicious content filtering |
US10868782B2 (en) | 2018-07-12 | 2020-12-15 | Bank Of America Corporation | System for flagging data transmissions for retention of metadata and triggering appropriate transmission placement |
US11151248B1 (en) * | 2018-09-11 | 2021-10-19 | NuRD LLC | Increasing zero-day malware detection throughput on files attached to emails |
US11677783B2 (en) * | 2019-10-25 | 2023-06-13 | Target Brands, Inc. | Analysis of potentially malicious emails |
US11902299B2 (en) | 2019-11-03 | 2024-02-13 | Microsoft Technology Licensing, Llc | Campaign intelligence and visualization for combating cyberattacks |
WO2021242687A1 (en) * | 2020-05-28 | 2021-12-02 | GreatHorn, Inc. | Computer-implemented methods and systems for pre-analysis of emails for threat detection |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DK170490B1 (da) * | 1992-04-28 | 1995-09-18 | Multi Inform As | Databehandlingsanlæg |
US5414833A (en) | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
US5889943A (en) * | 1995-09-26 | 1999-03-30 | Trend Micro Incorporated | Apparatus and method for electronic mail virus detection and elimination |
US6453327B1 (en) * | 1996-06-10 | 2002-09-17 | Sun Microsystems, Inc. | Method and apparatus for identifying and discarding junk electronic mail |
US5832208A (en) * | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
US5796942A (en) * | 1996-11-21 | 1998-08-18 | Computer Associates International, Inc. | Method and apparatus for automated network-wide surveillance and security breach intervention |
US5935245A (en) * | 1996-12-13 | 1999-08-10 | 3Com Corporation | Method and apparatus for providing secure network communications |
US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
WO1999032985A1 (en) * | 1997-12-22 | 1999-07-01 | Accepted Marketing, Inc. | E-mail filter and method thereof |
US6253337B1 (en) | 1998-07-21 | 2001-06-26 | Raytheon Company | Information security analysis system |
JP2002521919A (ja) | 1998-07-21 | 2002-07-16 | レイセオン カンパニー | 情報セキュリティ解析システム |
US6701440B1 (en) * | 2000-01-06 | 2004-03-02 | Networks Associates Technology, Inc. | Method and system for protecting a computer using a remote e-mail scanning device |
US7072942B1 (en) * | 2000-02-04 | 2006-07-04 | Microsoft Corporation | Email filtering methods and systems |
US6519703B1 (en) * | 2000-04-14 | 2003-02-11 | James B. Joyce | Methods and apparatus for heuristic firewall |
US6886099B1 (en) * | 2000-09-12 | 2005-04-26 | Networks Associates Technology, Inc. | Computer virus detection |
-
2000
- 2000-07-07 GB GBGB0016835.1A patent/GB0016835D0/en not_active Ceased
-
2001
- 2001-07-06 AT AT01949640T patent/ATE361489T1/de not_active IP Right Cessation
- 2001-07-06 DE DE60128227T patent/DE60128227T2/de not_active Expired - Lifetime
- 2001-07-06 GB GB0116578A patent/GB2367714C/en not_active Expired - Fee Related
- 2001-07-06 AU AU2001270763A patent/AU2001270763A1/en not_active Abandoned
- 2001-07-06 DK DK01949640T patent/DK1299791T3/da active
- 2001-07-06 US US10/332,552 patent/US7877807B2/en not_active Expired - Fee Related
- 2001-07-06 WO PCT/GB2001/003036 patent/WO2002005072A2/en active IP Right Grant
- 2001-07-06 PT PT01949640T patent/PT1299791E/pt unknown
- 2001-07-06 ES ES01949640T patent/ES2287140T3/es not_active Expired - Lifetime
- 2001-07-06 EP EP01949640A patent/EP1299791B1/de not_active Expired - Lifetime
-
2007
- 2007-08-01 CY CY20071101022T patent/CY1106782T1/el unknown
Also Published As
Publication number | Publication date |
---|---|
WO2002005072A3 (en) | 2002-09-06 |
EP1299791A2 (de) | 2003-04-09 |
GB2367714A (en) | 2002-04-10 |
GB0116578D0 (en) | 2001-08-29 |
PT1299791E (pt) | 2007-08-16 |
GB2367714B (en) | 2004-03-17 |
DE60128227D1 (de) | 2007-06-14 |
AU2001270763A1 (en) | 2002-01-21 |
US7877807B2 (en) | 2011-01-25 |
US20040054498A1 (en) | 2004-03-18 |
EP1299791B1 (de) | 2007-05-02 |
GB2367714C (en) | 2006-10-30 |
GB0016835D0 (en) | 2000-08-30 |
DK1299791T3 (da) | 2007-09-10 |
ATE361489T1 (de) | 2007-05-15 |
WO2002005072A2 (en) | 2002-01-17 |
ES2287140T3 (es) | 2007-12-16 |
CY1106782T1 (el) | 2012-05-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60128227T2 (de) | Verfahren und system zur e-mailverarbeitung | |
DE60016613T2 (de) | Abschreckungssystem gegen aufschaltung und missbrauch | |
DE60316809T2 (de) | Verfahren und vorrichtung zur verarbeitung von nachrichten in einem kommunikationsnetzwerk | |
AU2002237408B2 (en) | A method of, and system for, processing email in particular to detect unsolicited bulk email | |
US6453327B1 (en) | Method and apparatus for identifying and discarding junk electronic mail | |
DE60124295T2 (de) | Flussbasierte erfassung eines eindringens in ein netzwerk | |
DE69722266T2 (de) | Anit-virus-agent zur verwendung mit datenbanken und postserver | |
US7801960B2 (en) | Monitoring electronic mail message digests | |
DE69836545T2 (de) | Firewall für elektronische post mit verschlüsselung/entschlüsselung mittels gespeicherter schlüssel | |
DE69910952T2 (de) | Priorität- und Sicherheit-Kodierungssystem für elektronische Post nachrichten | |
CA2654796A1 (en) | Systems and methods for identifying potentially malicious messages | |
DE102011056502A1 (de) | Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen | |
AU2002237408A1 (en) | A method of, and system for, processing email in particular to detect unsolicited bulk email | |
EP1153498A1 (de) | Verfahren und vorrichtung zur proxyfunkion-erzeugung und filterung von elektronischen post | |
DE10249427A1 (de) | System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems | |
CN106656728A (zh) | 一种邮件检测与监控系统 | |
EP1246100A2 (de) | Verfahren, Vorrichtung und E-Mailserver zum Erkennen einer unerwünschten E-Mail | |
US8056131B2 (en) | Apparatus, methods and articles of manufacture for intercepting, examining and controlling code, data and files and their transfer | |
WO2005096572A1 (de) | Verfahren zur überwachung der übertragung von elektronischen nachrichten | |
WO2004028103A1 (de) | Verfahren zur empfängerseitigen automatischen behandlung von unerwünschter elektronischer post in kommunikationsnetzen | |
DE60318353T2 (de) | Ausbreitung von Viren durch ein Computer Netzwerk | |
DE102019129253B4 (de) | Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten | |
DE202019106018U1 (de) | Computer-System zur Abwehr eines Angriffs von Schadsoftware durch elektronische Nachrichten | |
EP3531326A1 (de) | Verfahren zum betreiben eines netzwerks mit mehreren servern | |
DE10102979C2 (de) | Verfahren zur Absicherung von Rechnern mit Anschluss an ein Netzwerk zum Zweck der Kontrolle von Netzwerkverbindungen |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition |