ES2701874T3 - Método basado en reputación y sistema para determinar una probabilidad de que un mensaje sea no deseado - Google Patents
Método basado en reputación y sistema para determinar una probabilidad de que un mensaje sea no deseado Download PDFInfo
- Publication number
- ES2701874T3 ES2701874T3 ES07816059T ES07816059T ES2701874T3 ES 2701874 T3 ES2701874 T3 ES 2701874T3 ES 07816059 T ES07816059 T ES 07816059T ES 07816059 T ES07816059 T ES 07816059T ES 2701874 T3 ES2701874 T3 ES 2701874T3
- Authority
- ES
- Spain
- Prior art keywords
- message
- reputation
- received
- address
- originated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Quality & Reliability (AREA)
- Marketing (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Operations Research (AREA)
- Data Mining & Analysis (AREA)
- Economics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Un método de determinación de una probabilidad de que un mensaje recibido sea un mensaje no deseado, que comprende los pasos de: (i) recibir un mensaje en un sistema de mensajería; (ii) reenviar a un motor de reputación un conjunto de identificadores preseleccionados con relación al origen del mensaje, el conjunto de identificadores preseleccionados que incluye una dirección IP desde la cual se originó el mensaje recibido, una tupla de un dominio en el que se originó supuestamente recibido y la dirección IP desde la cual se originó el mensaje recibido, y una tupla de un usuario que supuestamente originó el mensaje y la dirección IP desde la cual se originó el mensaje recibido; (iii) comprobar las bases de datos en el motor de reputación para determinar métricas de reputación determinadas previamente para los identificadores reenviados y devolver cualquier métrica de reputación determinada previamente al sistema de mensajería, cada métrica de reputación que es indicativa de una cantidad de mensajes no deseados recibidos previamente a través del identificador respectivo; (iv) hacer una primera determinación en el sistema de mensajería de una probabilidad en cuanto a si el mensaje recibido es no deseado usando un primer conjunto de criterios, incluyendo las métricas de reputación devueltas; y (v) marcar el mensaje como que es o bien deseado o bien no deseado según la primera determinación.
Description
DESCRIPCIÓN
Método basado en reputación y sistema para determinar una probabilidad de que un mensaje sea no deseado Campo de la invención
La presente invención se refiere a un sistema y a un método para usar una reputación, derivada para un creador de mensajes, para determinar una probabilidad de que un mensaje sea no deseado. Más específicamente, la presente invención se refiere a un método y a un sistema de producción de una métrica de reputación para creadores de mensajes, usando al menos una tupla de características del mensaje para identificar al creador del mensaje, cuya métrica se puede usar para determinar la probabilidad de que un mensaje sea no deseado.
Antecedentes de la invención
El correo electrónico no deseado, comúnmente conocido como SPAM, se define generalmente como correo electrónico no solicitado en masa, típicamente con propósitos comerciales. El SPAM es un problema significativo para los administradores y usuarios de correo electrónico. En el mejor de los casos, el SPAM utiliza recursos en los sistemas de correo electrónico, requiere tiempo del titular de la cuenta de correo electrónico para revisar y borrar y generalmente es frustrante y molesto. En el peor de los casos, el SPAM puede incluir software malicioso y puede dañar el software, los sistemas y/o los datos almacenados.
Las comunicaciones de voz basadas en el Protocolo de Inicio de Sesión (SIP) también están sometidas a mensajes no deseados y tales mensajes no deseados también se conocen en la presente memoria como SPAM. Aunque aún no es común, se espera que el SPAM relacionado con la voz llegue a ser un problema común a medida que más usuarios migren del servicio telefónico ordinario (POTS) a comunicaciones de voz basadas en SIP. Por ejemplo, es posible enviar mensajes comerciales no solicitados a cada buzón de correo de voz en una organización, utilizando los recursos del sistema y desperdiciando el tiempo de los usuarios para revisar y/o borrar los mensajes de SPAM. Se ha acometido mucho trabajo en los últimos años para combatir el problema creciente del SPAM. Uno de los métodos usados hasta la fecha para reducir el SPAM de correo electrónico no deseado es el uso del filtrado bayesiano en donde se examina el contenido de los correos electrónicos recibidos en busca de contenido específico para tomar una decisión estadística en cuanto a si el correo electrónico constituye SPAM. Un mensaje que se considera que es SPAM se puede marcar como tal y/o dirigir a una carpeta de almacenamiento seleccionada o borrar del sistema. Aunque tales filtros reconocen muchos mensajes de SPAM, los creadores de los mensajes de SPAM están constantemente cambiando sus mensajes, a menudo con éxito, en intentos de engañar a los filtros. La solicitud de patente publicada de EE.UU. pendiente de tramitación 2007/0209067 de Fogel, presentada el 21 de febrero de 2006 y titulada “System and Method For Providing Security For SIP-Based Communications” describe un aparato de seguridad y algunos métodos que pueden ser útiles para reducir la aparición de SPAM de voz y los contenidos de esta solicitud se incorporan en la presente memoria por referencia.
Otro método comúnmente empleado hasta la fecha es el uso de listas negras que identifican las direcciones IP desde las cuales se han recibido previamente mensajes considerados que son no deseados y las cuales consideran todos los mensajes posteriores desde esas direcciones IP como que son mensajes no deseados. Aunque las listas negras pueden ser eficaces, sufren de ser de granularidad muy gruesa ya que no distinguen entre mensajes enviados por un usuario de buena fe en una dirección IP y SPAM enviados por creadores de SPAM desde la misma dirección IP.
En su lugar, una vez que la dirección IP se ha identificado e incluido en una lista negra como que es una dirección IP usada para crear SPAM, los mensajes de los usuarios de buena fe ya no se aceptarán más en los sistemas que han incluido en una lista negra la dirección IP. Como muchos Proveedores de Servicios de Internet (ISP) alojan múltiples correos electrónicos y/o dominios SIP en una única dirección IP, esta lista negra de dominios puede afectar a un gran número de usuarios de buena fe.
Más recientemente, se han empleado técnicas basadas en la reputación para ayudar a identificar mensajes no deseados. Tales técnicas basadas en la reputación comprenden sistemas de bases de datos que mantienen estadísticas de una dirección IP y estas estadísticas se compilan a partir de la salida de otros sistemas anti-SPAM, tales como el filtro bayesiano o los sistemas SIP mencionados anteriormente. Las estadísticas indican la frecuencia con la que se transmite SPAM desde la dirección IP y pueden incluir otra información tal como si la dirección IP de envío es una dirección estática o dinámica.
Las técnicas basadas en la reputación se basan en un análisis de la actividad pasada de una dirección IP para proporcionar una indicación de una probabilidad de que un nuevo mensaje enviado desde esa dirección IP sea SPAM.
Cuando se recibe un mensaje en un servidor de correo electrónico o intermediario SIP, la reputación de la dirección IP de origen se comprueba en la base de datos y la “reputación” (es decir, las estadísticas compiladas) para esa dirección IP se puede usar como una de las entradas a un proceso anti-SPAM.
Otra técnica basada en la reputación para correos electrónicos se describe en el documento, “Sender Reputation in a Large Webmail Service”, de Bradley Taylor, presentado en CEAS 2006 - Tercera conferencia sobre correo electrónico y antispam, 27-28 de julio de 2006, Mountain View, CA. Esta técnica crea una reputación para cada dominio (que se autentica a través de otros medios) desde el cual se recibe un mensaje de correo electrónico y usa la reputación creada como entrada a un proceso de detección de SPAM.
Aunque las técnicas basadas en la reputación pueden ser una mejora sobre las listas negras, sufren de algunos de los mismos problemas y, en particular, sufren de una falta de granularidad lo que puede dar como resultado que todos los mensajes de una dirección IP o todos los mensajes de un dominio sean identificados como SPAM porque se ha enviado SPAM previamente desde esa dirección IP o dominio. Como se ha mencionado anteriormente, esto puede dar como resultado que un gran número de usuarios de buena fe se vean afectados negativamente como resultado de las actividades de unos pocos creadores de SPAM.
Se desea tener un sistema y un método basados en la reputación para determinar una probabilidad de que un mensaje sea no deseado, lo que permite una granularidad más fina en el seguimiento de las reputaciones.
El documento US 2005/0204012 describe un sistema y un método para utilizar características tolerantes a fallos de un protocolo de entrega de mensajes para evitar la aceptación de un mensaje de un remitente desconocido por un servidor de mensajes de un destinatario, a menos que o bien el destinatario o bien el administrador del servidor den un permiso explícito. Cuando un remitente se pone en contacto con un servidor de mensajes de recepción controlado por el sistema descrito y solicita la entrega de un mensaje, el servidor de recepción solicita que el sistema determine si el mensaje se debería aceptar para su entrega. El sistema crea una o más tuplas de identidad usando la información del sobre del mensaje proporcionada por el servidor de mensajes, y usa éstas para consultar las bases de datos para determinar si se debería rechazar o aceptar el mensaje del remitente.
El documento US 2006/0168024A1 describe el uso de las reputaciones del remitente para la prevención de SPAM. Las estadísticas y las heurísticas en tiempo real se construyen, almacenan, analizan y usan para formular un nivel de reputación del remitente para su uso en la evaluación y control de una conexión de un remitente dado con un agente de transferencia de mensajes o un destinatario de correo electrónico.
Es el objeto de la presente invención permitir una determinación mejorada de una probabilidad en cuanto a si un mensaje recibido es un mensaje no deseado.
El objeto se resuelve por la materia objeto de las reivindicaciones independientes.
Las realizaciones preferidas de la presente invención se definen por las reivindicaciones dependientes.
Compendio de la invención
Es un objeto de la presente invención proporcionar un método y un sistema novedosos basados en la reputación para determinar la probabilidad de que un mensaje sea no deseado, el cual obvia o mitiga al menos una desventaja de la técnica anterior.
Según un primer aspecto de la presente invención, se proporciona un método de determinación de una probabilidad de que un mensaje recibido sea un mensaje no deseado, que comprende los pasos de: (i) recibir un mensaje en un sistema de mensajería; (ii) reenviar a un motor de reputación un conjunto de identificadores preseleccionados con relación al origen del mensaje, al menos uno de los identificadores que es en forma de una tupla, una mitad de la cual representa datos que no se pueden falsificar por el creador del mensaje recibido; (iii) comprobar las bases de datos en el motor de reputación para determinar las métricas de reputación determinadas previamente para los identificadores reenviados y devolver cualquier métrica de reputación determinada previamente al sistema de mensajería; (iv) hacer una primera determinación en el sistema de mensajería de una probabilidad en cuanto a si el mensaje recibido es no deseado usando un primer conjunto de criterios, incluyendo las métricas de reputación devueltas; y (v) marcar el mensaje como que es o bien deseado o bien no deseado según la primera determinación. Preferiblemente, la mitad de la tupla que no se puede falsificar es la dirección IP del creador del mensaje. También preferiblemente, el método comprende además los pasos de: (vi) hacer una segunda determinación en el sistema de mensajería en cuanto a si el mensaje recibido es no deseado sin usar ninguna métrica de reputación devuelta; y (vii) reenviar la segunda determinación al motor de reputación para actualizar las bases de datos y las métricas de reputación respectivas para incluir la segunda determinación.
Según otro aspecto de la presente invención, se proporciona un entorno de mensajería que emplea un servicio de reputación al determinar una probabilidad en cuanto a si los mensajes recibidos son no deseados, que comprende: una pluralidad de servidores de mensajes interconectados por una red de comunicaciones, al menos uno de la pluralidad de servidores de mensajes que incluye una función anti-SPAM para determinar una probabilidad en cuanto a si los mensajes recibidos son no deseados; una pluralidad de clientes de mensajes conectados a los respectivos de la pluralidad de servidores de mensajes y operables para recibir mensajes desde los mismos; y un motor de reputación operable para comunicarse con el al menos un servidor de mensajes, el motor de reputación que mantiene un conjunto de bases de datos asociando una métrica de reputación con cada uno de un conjunto de
identificadores preseleccionados con relación a los orígenes de los mensajes, al menos uno de los identificadores que es en forma de una tupla, una mitad de la cual no se puede falsificar por el creador del mensaje recibido, la función anti-SPAM que opera para reenviar el conjunto de identificadores preseleccionados al motor de reputación que devuelve las métricas de reputación almacenadas en sus bases de datos para cualquiera de los identificadores y la función anti-SPAM que usa las métricas de reputación devueltas para hacer una primera determinación de la probabilidad en cuanto a si un mensaje recibido es no deseado.
La presente invención proporciona un sistema y un método para proporcionar un servicio de reputación para su uso en entornos de mensajería que emplea estadísticas compiladas, que representan si los mensajes de SPAM se han recibido previamente desde el creador del mensaje, o desde creadores relacionados, en un proceso de toma de decisiones para mensajes recién recibidos. Los sistemas de mensajes que reciben un mensaje reenvían un conjunto de identificadores con relación a los orígenes del mensaje, tales como la dirección IP de origen del mensaje, una tupla identificadora del dominio y la dirección IP desde la cual se recibió supuestamente el mensaje y una tupla de identificadora del usuario y la dirección IP desde la cual el mensaje fue supuestamente recibido a un motor de reputación. El motor de reputación mantiene las bases de datos para cada identificador y cada una de estas bases de datos incluye al menos una métrica de reputación asociada derivada de mensajes recibidos considerados previamente y las determinaciones hechas por los sistemas de correo electrónico en cuanto a una probabilidad de que sean SPAM. El motor de reputación devuelve las métricas de reputación asociadas, en su caso, para los identificadores al sistema de mensajes, que entonces puede hacer una determinación, con las métricas devueltas, de una probabilidad en cuanto a si el mensaje es SPAM.
Breve descripción de los dibujos
Las realizaciones preferidas de la presente invención se describirán ahora, a modo de ejemplo solamente, con referencia a las Figuras adjuntas, en donde:
la Figura 1 muestra una representación esquemática de un entorno de mensajería de correo electrónico que emplea un servicio de reputación según la presente invención;
la Figura 2 es un diagrama de flujo de una parte del método del servicio de reputación de la Figura 1; y
la Figura 3 es un diagrama de flujo de otra parte del método del servicio de reputación de la Figura 1.
Descripción detallada de la invención
Un entorno de mensajería de correo electrónico que incorpora un servicio de reputación según la presente invención, se indica de manera general en 20 en la Figura 1. Aunque la realización ilustrada es una realización de mensajería de correo electrónico, la presente invención también es aplicable a otros entornos de mensajería, tales como voz sobre IP (VolP) basada en SIP, etc.
Por ejemplo, como es sabido por los expertos en la técnica, además de la dirección IP de origen, los mensajes SIP (es decir, INVITE, etc.) usados para configurar una comunicación de voz incluyen campos para un identificador de usuario (un nombre o número de teléfono, etc.) y un dominio. De este modo, aunque la siguiente discusión se relaciona con un entorno de correo electrónico según la presente invención, será evidente para los expertos en la técnica que el mismo método y sistema generales se pueden emplear también para comunicación de voz basada en SIP.
El entorno de mensajería 20 incluye al menos un cliente de correo electrónico 24 que se conecta a un sistema de correo electrónico 28. El sistema de correo electrónico 28 incluye al menos un servidor de correo electrónico 32, que proporciona servicios de correo electrónico entrante y saliente, y un aparato de seguridad de correo electrónico 36, como el cortafuegos de correo electrónico MXtreme™ vendido por el cesionario de la presente invención. El aparato de seguridad de correo electrónico 36 proporciona servicios anti-SPAM, como se describe además a continuación, y puede proporcionar otros servicios de seguridad. El entorno 20 también incluye una pluralidad de clientes de correo electrónico 40 que están conectados a servidores de correo electrónico 44 que proporcionan servicios de correo electrónico entrante y saliente.
En el caso de un entorno de mensajería basado en SIP, el aparato de seguridad 36 puede ser un producto de seguridad SIP, tal como el cortafuegos SIP SIPassure™ vendido por el cesionario de la presente invención.
Cada uno del sistema de correo electrónico 28 y los servidores de correo electrónico 44 están interconectados por una red 48, tal como Internet, y cada dispositivo conectado a la red 48 se identifica en la misma mediante una dirección única. En el caso ilustrado de Internet, a cada dispositivo se le asigna una dirección IP única (Protocolo de Internet) que comprende un conjunto de cuatro valores que oscilan entre 0 y 255 (por ejemplo, 75.127.34.65).
Como es sabido por los expertos en la técnica, cada servidor de correo electrónico 44 y cada sistema de correo electrónico 28 pueden alojar uno o más dominios (es decir, mail.com, example.co.uk, house.org, etc.) para los clientes de correo electrónico 44 que sirve. De este modo, dos o más dominios pueden enviar o recibir mensajes en la misma dirección única para el sistema de correo electrónico 28 o el servidor de correo electrónico 44 que los aloja.
Como se emplea en la presente memoria, el término “dominio” se pretende que comprenda cualquier indicador adecuado para la dirección no-IP y la parte no específica del usuario del creador de un mensaje bajo consideración. Como se ha indicado anteriormente, los dominios comprenderán típicamente la parte de una dirección de correo electrónico o un número de teléfono SIP, etc., a la derecha del símbolo “@” (por ejemplo, “example.com”, no obstante, en algunos países, también se añade un código de país al dominio (es decir, guys.co.uk), donde co.uk es el ccTLD (código de país Dominio de Nivel Superior) y en algunos casos también se puede incluir un indicador de dominio adicional (es decir, el “mail” en mail.zap.co.uk). Con propósitos de coherencia, se prefiere que los identificadores de los dominios usados en la presente invención comprendan el TLD o ccTLD, y el primer identificador a la izquierda del TLD o ccTLD (es decir, guys.co.uk o zap.co.uk).
Además, un dominio se puede alojar en dos o más servidores de correo electrónico 44 o sistemas de correo electrónico 28 a los que se asignan diferentes direcciones únicas. De hecho, esto es bastante común, especialmente si un dominio es particularmente grande (es decir, mail.google.com o mail.yahoo.com). De este modo, un correo electrónico enviado desde tal dominio puede originarse desde una cualquiera de dos o más direcciones únicas. Un motor de reputación 52, según la presente invención, también está conectado a la red 48, y se le asigna una dirección única dentro de la misma. El motor de reputación 52 se puede comunicar con sistemas de correo electrónico 28 autorizados, a través de la red 48, como se describe a continuación.
La Figura 2 muestra un diagrama de flujo de un método según una realización de entorno de correo electrónico de la presente invención. El método comienza en el paso 100 en donde un sistema de correo electrónico recibe un mensaje. Como se emplea en esta memoria, el término mensaje se pretende que comprenda el mensaje completo, incluyendo las cabeceras, la información del sobre (estructura MIME, etc.), los campos de datos SIP, la marca de tiempo del recibo, el texto del mensaje (en su caso), etc.
En el paso 104, se crea un conjunto de identificadores para el mensaje y estos identificadores se relacionan generalmente con aspectos del origen del mensaje. En esta realización de la invención, se crean tres identificadores únicos para el mensaje. Específicamente, se crea un identificador para la dirección IP de origen desde la cual se recibió el mensaje, se crea un identificador para la tupla del dominio y de la dirección IP desde la cual se envío el mensaje (por ejemplo, example.com) y se crea un identificador para la tupla del usuario y de la dirección IP desde la que se envió el mensaje (por ejemplo, johnsmith@example.com).
Como es difícil para un creador de mensajes no deseados enmascarar o falsificar la dirección IP de origen, se prefiere incluir la dirección IP de origen como una mitad de las tuplas de usuario y de dominio. Incluyendo el usuario o doma como la otra mitad de las tuplas identificadoras, las métricas de reputación se pueden aplicar con una granularidad más fina que en la técnica anterior.
No obstante, se contempla que otros identificadores, o bien además de o bien en lugar de, estos tres identificadores se pueden emplear si se desea, pero se recomienda que se emplee al menos un identificador, en forma de una tupla donde al menos una mitad de la tupla no pueda ser falsificada o enmascarada fácilmente. Por ejemplo, se puede emplear una tupla identificadora basada en la dirección IP de origen y otros datos en el mensaje (estructura MIME, etc.). Como otro ejemplo que puede ser más aplicable en, pero no limitado a, comunicaciones de voz basadas en SIP, se puede emplear un identificador que comprenda una tupla del usuario o dominio y la hora en que se recibió el mensaje (incremento de hora o media hora), en la medida que la hora en que el mensaje fue recibido no se puede falsificar ni imitar por el creador. Esto puede ser útil, en la medida que un creador de mensajes no deseados puede crear o iniciar tales mensajes fuera de las horas laborales normales o a otras horas particulares.
Es preferible que, por razones de privacidad, los identificadores que puedan tener implicaciones de privacidad, tales como el identificador para la tupla del dominio y de la dirección IP y el identificador para la tupla del usuario y de la dirección IP, se creen a través de una función unidireccional que evita que una tercera parte sea capaz de analizar el identificador para recuperar la información específica del usuario (es decir, nombre de usuario y/o dominio).
Por consiguiente, en una presente realización de la invención, se usa una función de comprobación aleatoria SHA1 para crear identificadores de valor de comprobación aleatoria para los identificadores de cada una de las tuplas para el dominio de origen y para el usuario. Además, esto puede proporcionar una ventaja en que la longitud de los identificadores llega a ser coherente. No obstante, la presente invención no se limita al uso de funciones de comprobación aleatoria, SHA 1 o de otro modo, y se puede emplear cualquier función unidireccional adecuada, como se les ocurrirá a los expertos en la técnica.
De este modo, preferiblemente: el identificador de la dirección IP es la dirección IP, o una representación adecuada (texto ASCII, hexadecimal, etc.) de la dirección IP; el identificador de la tupla del dominio y de la dirección IP es una representación de comprobación aleatoria del dominio y de la dirección IP; y el identificador de la tupla del usuario y de la dirección IP es una representación de comprobación aleatoria del usuario y de la dirección IP.
También se contempla que, en muchos casos, se preferirá que el identificador de la dirección IP solamente identifique una parte de la dirección IP, tal como los tres primeros octetos de la dirección IP, en la medida que muchos ordenadores centrales grandes tendrán servidores de correo electrónico a los que se les asignan direcciones IP consecutivas (es decir, 75.127.34.64, 75.127.34.65, 75.127.34.66, etc.). En tal caso, una parte de la
dirección IP, tal como los tres primeros octetos (es decir, 75.127.34) puede constituir una identificación suficiente del origen de los mensajes de estos ordenadores centrales. En tal caso, los identificadores adecuados tratados anteriormente solamente incluirán la parte seleccionada de la dirección IP.
Aunque el uso de una reputación asociada con una dirección IP se conoce a partir de la técnica anterior, la presente invención (a diferencia de la técnica anterior) emplea uno o más identificadores de grano más fino con relación al creador/origen de los mensajes en combinación con la dirección IP u otro atributo que no es fácil de falsificar. En particular, en una realización preferida actualmente de la invención, el conjunto de identificadores incluye una tupla del dominio y de la dirección IP (es decir, example.com y 75.127.34.65) y una tupla del usuario y de la dirección IP (es decir, jsmith@example.com y 75.127.34.65).
Preferiblemente, se almacenará una métrica de reputación adecuada para la tupla de grano más fino, en este ejemplo que comprende el usuario y la dirección IP, como se describe a continuación. Si no se almacena tal métrica de reputación para una tupla particular del usuario y de la dirección IP, se considerará la siguiente tupla de grano más fino, que en este ejemplo es la tupla para el dominio y la dirección IP. La reputación del identificador de la dirección IP solamente necesita ser considerada si no está disponible otra métrica de reputación, de grano más fino. Volviendo ahora a la Figura 2, en el paso 108, los identificadores creados se envían al motor de reputación 52 a través de la red 48.
Con referencia ahora a la Figura 3, en el paso 112, el motor de reputación 52 recibe los identificadores creados para el mensaje recibido desde el aparato de seguridad de correo electrónico 36. El motor de reputación 52 contiene una base de datos para cada una de las categorías de identificadores (dirección IP, tupla del dominio y de la dirección IP, tupla del usuario y de la dirección IP, etc.) enviados desde el dispositivo de seguridad de correo electrónico 36. El motor de reputación 52 busca cada base de datos con el identificador recibido respectivo. Si ya existe una entrada en la base de datos respectiva, entonces el motor de reputación 52 recupera la métrica de reputación almacenada en la base de datos respectiva para ese identificador.
En una presente realización, la métrica de reputación incluye preferiblemente al menos un par de recuentos, un recuento que representa el número total de mensajes recibidos en cualquier sistema de correo electrónico 28 en el entorno 20 que coopera con el motor de reputación 52 y el segundo recuento que representa el número de mensajes recibidos en cualquier sistema de correo electrónico 28 en el entorno 20 que coopera con el motor de reputación 52 que se han identificado como que son mensajes de SPAM. No obstante, como será evidente para los expertos en técnica, la métrica de reputación puede ser cualquier métrica adecuada o un conjunto de métricas tales como un porcentaje o una puntuación numérica producida según una fórmula ponderada adecuadamente, etc. y también puede incluir recuentos de mensajes previos encontrados que contienen virus, recuentos de mensajes mal formados recibidos previamente, recuentos de ataques de recolección de directorios reconocidos, etc.
En el paso 116, las métricas de reputación recuperadas de la base de datos para cada identificador se devuelven al sistema de correo electrónico 28. Las métricas reales devueltas pueden ser una métrica combinada derivada de los datos almacenados en las bases de datos o pueden ser los datos reales almacenados, etc. En el mejor de los casos, el motor de reputación 52 tendrá una métrica de reputación almacenada para cada identificador (es decir, dirección IP; tupla del dominio y de la dirección IP; y tupla del usuario y de la dirección IP) asociado con el mensaje recibido y estas métricas de reputación se pueden usar por sistema de correo electrónico 28 como se describe a continuación. No obstante, se contempla que, en muchos casos, el motor de reputación 52, por ejemplo, no tendrá una métrica de reputación almacenada para el identificador que representa a una tupla particular del usuario y de la dirección IP. En tal caso, el motor de reputación 52 empleará las métricas que tiene, esto es, las métricas para la dirección IP y la tupla del dominio y de la dirección IP.
De manera similar, se contempla que, en algunos casos, el motor de reputación 52 no tendrá una métrica de reputación para cualquiera de los identificadores que representan una tupla particular del usuario y de la dirección IP o una tupla del dominio y de la dirección IP. En tal caso, el motor de reputación 52 devolverá la métrica de reputación para la dirección IP. También es posible que el motor de reputación 52 no tenga una métrica de reputación almacenada para cualquiera de los tres identificadores, en cuyo caso se devuelve una métrica de reputación NULA al sistema de correo electrónico 28. No obstante, en el mejor de los casos, el sistema de correo electrónico 28 se dota con métricas de reputación para el mensaje recibido para cada una de la dirección IP, la tupla del dominio y de la dirección IP y la tupla del usuario y de la dirección IP.
En el paso 120, el sistema de correo electrónico 28 recibe las métricas de reputación del motor de reputación 52 y el aparato de seguridad 36 hace una determinación en cuanto a si el mensaje recibido es SPAM. Esta determinación se puede hacer de cualquier manera adecuada, como se les ocurrirá a los expertos en la técnica, y en una presente realización de la invención se logra con un proceso de Análisis de Testigo Estadístico Bayesiano que se ejecuta en el aparato de seguridad de correo electrónico 36.
El método real de uso de las métricas de reputación cuando se determina una probabilidad de que el mensaje recibido sea SPAM no está particularmente limitado y una variedad de alternativas será evidente para los expertos
en la técnica, algunas de las cuales son triviales. Por ejemplo, si se devuelven métricas de reputación para cada una de la dirección IP, la tupla del dominio y de la dirección IP y la tupla del usuario y de la dirección IP, y si esas métricas reflejan todas una alta probabilidad de que el mensaje recibido no sea SPAM, entonces hay una alta probabilidad de que el mensaje recibido no sea SPAm y la probabilidad determinada de que el mensaje recibido sea SPAM reflejará esto (es decir, es poco probable que el mensaje sea SPAM).
En un caso más interesante, si se recibe un mensaje y si la métrica de reputación para la dirección IP indica una reputación relativamente escasa (es decir, se han recibido previamente grandes cantidades de SPAM desde esta dirección IP) pero la métrica de reputación para la tupla del dominio y de la dirección IP indica una reputación relativamente buena (es decir, se ha recibido previamente muy poco SPAM desde este dominio en esta dirección IP), la probabilidad determinada de que el mensaje sea SPAM indicará que es probable que el mensaje no sea SPAM. Este tipo de análisis se puede usar para diferenciar entre múltiples dominios alojados en la misma dirección IP donde se usan uno o más dominios para originar SPAM mientras que los otros dominios en la misma dirección IP se usan por usuarios legítimos.
De manera similar, si la métrica de reputación para la tupla del usuario y de la dirección IP es muy favorable (es decir, se ha recibido previamente muy poco, en su caso, SPAM desde este usuario en esta dirección IP) mientras las métricas de reputación para la dirección IP y la tupla para el dominio y la dirección IP son relativamente malas (es decir, se han recibido previamente cantidades altas de mensajes de SPAM) la probabilidad determinada de que el mensaje sea SPAM puede indicar que es probable que el mensaje no sea SPAM. Este tipo de análisis se puede usar para diferenciar entre usuarios buenos y malos alojados en el mismo dominio.
El proceso de determinación de una probabilidad de que un mensaje recibido sea no deseado puede emplear las métricas de reputación devueltas desde el motor de reputación 52 en una amplia variedad de maneras, como se les ocurrirá a los expertos en la técnica. Como será evidente, una variedad de interpretaciones adecuadas se pueden realizar a partir de las métricas de reputación. Específicamente, saber que no se ha observado que una tupla de usuario particular o tupla de dominio envíe mensajes no deseados antes, pero ha estado enviando mensajes deseados puede proporcionar un nivel de confianza razonablemente alto de que se desea un mensaje recién recibido.
En el paso 124, el mensaje recibido se procesa por el sistema de correo electrónico 28, según la determinación en cuanto a si el mensaje recibido es SPAM hecho en el paso 120, según las políticas establecidas para funciones anti-SPAM en el sistema de correo electrónico 28.
En el paso 128, la determinación en cuanto a si el mensaje recibido es SPAM se vuelve a calcular sin usar las métricas de reputación devueltas desde el motor de reputación 52. En el paso 132, esta determinación “libre de reputación” se envía entonces, a través de la red 48, al motor de reputación 52. En una presente realización de la invención, esta determinación de probabilidad de que el mensaje es SPAM es una determinación binaria (por ejemplo, SPAM o NO SPAM), pero también se contempla que otras determinaciones, tales como los valores que representan una probabilidad de que el mensaje sea SPAm , se pueden emplear si se desea.
Se contempla además que las métricas de reputación del motor de reputación 52 se puedan modificar por una variedad de otros procesos, incluyendo realimentación proactiva del destinatario del mensaje. Las técnicas de realimentación del destinatario, tales como proporcionar un control de interfaz de usuario en los clientes de correo electrónico 24 con el que el usuario puede indicar que un mensaje recibido particular se ha identificado incorrectamente como no deseado, o viceversa, son bien conocidas y se contempla que tales técnicas de realimentación también se puedan incluir dentro de la presente invención, como será evidente para los expertos en la técnica.
En el paso 136, el motor de reputación 52 recibe los identificadores de mensaje y la determinación libre de reputación en cuanto a si el mensaje es SPAM y en el paso 140, el método se completa a medida que el motor de reputación 52 actualiza sus métricas de reputación almacenadas para reflejar la determinación de probabilidad de SPAM recibida desde el sistema de correo electrónico 28 en el paso 136.
Si en el paso 116 el motor de reputación 52 no tenía una métrica almacenada para uno o más de los identificadores recibidos, se crean registros adecuados en las bases de datos en el motor de reputación 52 para esos identificadores y esos registros se actualizan para reflejar la determinación de probabilidad de SPAM libre de reputación recibida desde el sistema de correo electrónico 28 en el paso 136.
Este método de dos iteraciones de determinación de una probabilidad de que el mensaje recibido sea SPAM (con métricas de reputación y sin métricas de reputación) se prefiere actualmente para reducir la posibilidad de que se induzca un comportamiento inestable en el motor de reputación 52, o bien intencionalmente por los creadores de SPAM o bien involuntariamente. No obstante, se contempla que se pueden emplear otros mecanismos, tales como realimentación o mecanismos de retardo, o bien además de o bien en lugar de, el método de dos iteraciones, como se les ocurrirá a los expertos en la técnica.
Además de las métricas de reputación de la dirección IP, la tupla del dominio y de la dirección IP y la tupla del usuario y de la dirección IP tratadas anteriormente, se contempla además que la presente invención también puede
devolver una indicación de una probabilidad de que un mensaje recibido sea de un dominio falsificado. Como es bien conocido por los expertos en la técnica, es un asunto relativamente fácil para el creador de un mensaje de SPAM representar el mensaje como proveniente de un dominio distinto del dominio desde el cual se envía realmente y esto se conoce comúnmente como “suplantación de identidad”. Aunque los sistemas tales como “Claves de Dominio” y “SPF” se han desarrollado para más difícil la suplantación de identidad, tales sistemas requieren que la participación activa/los pasos se acometan por el titular del dominio y que muchos titulares de dominios no tomen tales pasos, reduciendo por ello la efectividad de estos sistemas.
Para detectar la suplantación de identidad de dominios, o bien en lugar de usar “Claves de Dominio” o SPF o bien además de, el motor de reputación 52 también puede mantener una base de datos anti-suplantación de identidad de registros que relacionan cada dominio con cada dirección IP desde la cual se han recibido previamente mensajes desde ese dominio. En tal caso, el aparato de seguridad 36 también enviará un identificador de dominio al motor de reputación 52. El motor de reputación 52 usará este identificador de dominio para situar el registro adecuado en la base de datos anti-suplantación de identidad y comparará el identificador de dirección IP enviado, como se ha tratado anteriormente, con los identificadores de dirección IP almacenados en el registro para el dominio identificado. En el paso 116, el motor de reputación 52 también puede devolver entonces una métrica falsa que comprende una indicación en cuanto a si se han recibido previamente mensajes no de SPAM desde el dominio de la dirección IP identificada. Esta métrica falsa se puede establecer cuando el dominio no se ha asociado previamente con la dirección IP identificada y se ha borrado cuando se han asociado previamente el dominio y la dirección IP.
En el paso 120, el sistema de correo electrónico 28 puede usar la métrica falsa, además de las métricas de reputación devueltas, al recalcular una probabilidad de que el mensaje recibido sea SPAM y en el paso 132 el motor de reputación 52 también puede actualizar la base de datos anti-suplantación de identidad, si se requiere.
Como será evidente ahora, la presente invención se refiere a un método y a un sistema para proporcionar un servicio de reputación para su uso en entornos de mensajería de correo electrónico. Las estadísticas, que representan si los mensajes de SPAM se han recibido previamente de direcciones IP, dominios y/o usuarios respectivos, se incorporan en un proceso de toma de decisiones para los mensajes recibidos.
Los sistemas de mensajes que reciben un mensaje reenvían un identificador de la dirección IP de origen del mensaje, un identificador del dominio desde el cual se recibió supuestamente el mensaje y un identificador del usuario desde el cual se recibió supuestamente el mensaje a un motor de reputación.
El motor de reputación mantiene las bases de datos para cada uno de: el identificador de la dirección IP de origen; el identificador la tupla del dominio y de la dirección IP; y el identificador de la tupla del usuario y de la dirección IP. Cada una de estas bases de datos incluye una métrica de reputación asociada derivada de los mensajes recibidos considerados previamente y las determinaciones hechas por los sistemas de mensajes en cuanto a una probabilidad de que sean SPAM.
El motor de reputación devuelve las métricas de reputación asociadas, en su caso, para el identificador de la dirección IP, el identificador de la tupla del dominio y de la dirección IP y el identificador de la tupla del usuario y de la dirección IP al sistema de correo electrónico, que puede calcular entonces una determinación con las métricas devueltas en cuanto a si el mensaje es SPAM. El mensaje se maneja, según la determinación calculada y el mensaje se maneja entonces según una política definida.
Una vez que el mensaje ha sido manejado según la política, el cálculo en cuanto a si el mensaje es SPAM se vuelve a realizar, sin la consideración de las métricas de reputación devueltas desde el motor de reputación para obtener una determinación “libre de reputación”, y esta determinación libre de reputación se reenvía al motor de reputación para usar para actualizar, posiblemente con otra información suministrada desde el destinatario del mensaje u otros métodos, sus bases de datos adecuadamente.
El motor de reputación también puede devolver una métrica falsa al sistema de mensajes si el mensaje se ha originado en una dirección IP desde la cual el motor de reputación no ha visto previamente mensajes originados por el dominio identificado.
Las realizaciones de la invención descritas anteriormente se pretende que sean ejemplos de la presente invención y se pueden efectuar alteraciones y modificaciones a las mismas por los expertos en la técnica, sin apartarse del alcance de la invención que se define únicamente por las reivindicaciones adjuntas a la misma.
Claims (10)
1. Un método de determinación de una probabilidad de que un mensaje recibido sea un mensaje no deseado, que comprende los pasos de:
(i) recibir un mensaje en un sistema de mensajería;
(ii) reenviar a un motor de reputación un conjunto de identificadores preseleccionados con relación al origen del mensaje, el conjunto de identificadores preseleccionados que incluye una dirección IP desde la cual se originó el mensaje recibido, una tupla de un dominio en el que se originó supuestamente recibido y la dirección IP desde la cual se originó el mensaje recibido, y una tupla de un usuario que supuestamente originó el mensaje y la dirección IP desde la cual se originó el mensaje recibido;
(iii) comprobar las bases de datos en el motor de reputación para determinar métricas de reputación determinadas previamente para los identificadores reenviados y devolver cualquier métrica de reputación determinada previamente al sistema de mensajería, cada métrica de reputación que es indicativa de una cantidad de mensajes no deseados recibidos previamente a través del identificador respectivo;
(iv) hacer una primera determinación en el sistema de mensajería de una probabilidad en cuanto a si el mensaje recibido es no deseado usando un primer conjunto de criterios, incluyendo las métricas de reputación devueltas; y (v) marcar el mensaje como que es o bien deseado o bien no deseado según la primera determinación.
2. El método según la reivindicación 1 que comprende además los pasos de:
(vi) hacer una segunda determinación en el sistema de mensajería de una probabilidad en cuanto a si el mensaje recibido es no deseado sin usar ninguna métrica de reputación devuelta; y
(vii) reenviar la segunda determinación al motor de reputación para actualizar las bases de datos y las métricas de reputación respectivas para incluir la segunda determinación.
3. El método de la reivindicación 1 donde el paso (iii) también comprende reenviar al sistema de mensajería una métrica falsa que representa si el motor de reputación ha recibido previamente identificadores que indican que uno o más mensajes recibidos previamente del dominio en el que se ha recibido el mensaje recibido supuestamente originado desde la dirección IP en la que se originó el mensaje recibido y donde la primera determinación también emplea la métrica falsa.
4. El método de la reivindicación 1 en donde el sistema de mensajería es un sistema de mensajería de correo electrónico.
5. El método de la reivindicación 1 en donde el sistema de mensajería es un sistema de comunicación de voz basado en SIP.
6. El método de la reivindicación 1 en donde los identificadores para el dominio en el que se originó supuestamente el mensaje recibido y el usuario que supuestamente originó el mensaje se crean a partir de la información del dominio y del usuario mediante una función unidireccional.
7. Un entorno de mensajería que emplea un servicio de reputación al determinar una probabilidad en cuanto a si los mensajes recibidos son no deseados, que comprende:
una pluralidad de servidores de mensajes interconectados por una red de comunicaciones, al menos uno de la pluralidad de servidores de mensajes que incluye una función anti-SPAM para determinar una probabilidad en cuanto a si los mensajes recibidos son no deseados;
una pluralidad de clientes de mensajes conectados a los respectivos de la pluralidad de servidores de mensajes y operables para recibir mensajes desde los mismos;
y un motor de reputación operable para comunicarse con al menos un servidor de mensajes, el motor de reputación que mantiene un conjunto de bases de datos asociando una métrica de reputación con cada uno de un conjunto de identificadores preseleccionados con relación a los orígenes de los mensajes, el conjunto de identificadores preseleccionados que incluye una dirección IP desde la cual se originó el mensaje recibido, una tupla de un dominio en el cual se originó supuestamente el mensaje recibido y la dirección IP desde la cual se originó el mensaje recibido, y una tupla de un usuario que originó supuestamente el mensaje y la dirección IP a partir del cual se originó el mensaje recibido, cada métrica de reputación que es indicativa de una cantidad de mensajes no deseados recibidos previamente a través del identificador respectivo, la función anti-SPAM que opera para reenviar el conjunto de identificadores preseleccionados al motor de reputación que devuelve las métricas de reputación almacenadas en sus bases de datos para cualquiera de los identificadores y la función anti-SPAM que usa las métricas de reputación devueltas para hacer una primera determinación de una probabilidad en cuanto a si un mensaje recibido es no deseado.
8. Un entorno de mensajería según la reivindicación 7 en donde la función anti-SPAM también hace una segunda determinación de una probabilidad en cuanto a si un mensaje recibido es no deseado, la segunda determinación que se hace independiente de las métricas de reputación devueltas, y reenviar esa segunda determinación al motor de reputación para actualizar adecuadamente las métricas de reputación almacenadas en el motor de reputación para reflejar la segunda determinación.
9. Un entorno de mensajería según la reivindicación 7 en donde al menos algunos de los identificadores se crean a partir de la información del mensaje mediante una función unidireccional.
10. Un entorno de mensajería según la reivindicación 7 en donde el sistema de mensajería es un sistema de correo electrónico.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/554,746 US8527592B2 (en) | 2006-10-31 | 2006-10-31 | Reputation-based method and system for determining a likelihood that a message is undesired |
| PCT/CA2007/001909 WO2008052317A1 (en) | 2006-10-31 | 2007-10-25 | Reputation-based method and system for determining a likelihood that a message is undesired |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2701874T3 true ES2701874T3 (es) | 2019-02-26 |
Family
ID=39331663
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES07816059T Active ES2701874T3 (es) | 2006-10-31 | 2007-10-25 | Método basado en reputación y sistema para determinar una probabilidad de que un mensaje sea no deseado |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8527592B2 (es) |
| EP (1) | EP2080324B1 (es) |
| CA (1) | CA2667688C (es) |
| ES (1) | ES2701874T3 (es) |
| WO (1) | WO2008052317A1 (es) |
Families Citing this family (69)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8578480B2 (en) | 2002-03-08 | 2013-11-05 | Mcafee, Inc. | Systems and methods for identifying potentially malicious messages |
| US20060015942A1 (en) | 2002-03-08 | 2006-01-19 | Ciphertrust, Inc. | Systems and methods for classification of messaging entities |
| US8561167B2 (en) | 2002-03-08 | 2013-10-15 | Mcafee, Inc. | Web reputation scoring |
| US8635690B2 (en) | 2004-11-05 | 2014-01-21 | Mcafee, Inc. | Reputation based message processing |
| US8566928B2 (en) | 2005-10-27 | 2013-10-22 | Georgia Tech Research Corporation | Method and system for detecting and responding to attacking networks |
| US8527592B2 (en) | 2006-10-31 | 2013-09-03 | Watchguard Technologies, Inc. | Reputation-based method and system for determining a likelihood that a message is undesired |
| US8250657B1 (en) | 2006-12-29 | 2012-08-21 | Symantec Corporation | Web site hygiene-based computer security |
| US8312536B2 (en) * | 2006-12-29 | 2012-11-13 | Symantec Corporation | Hygiene-based computer security |
| US7779156B2 (en) | 2007-01-24 | 2010-08-17 | Mcafee, Inc. | Reputation based load balancing |
| US8214497B2 (en) * | 2007-01-24 | 2012-07-03 | Mcafee, Inc. | Multi-dimensional reputation scoring |
| US8763114B2 (en) | 2007-01-24 | 2014-06-24 | Mcafee, Inc. | Detecting image spam |
| US20080320093A1 (en) * | 2007-06-20 | 2008-12-25 | Goolara, Llc | Controlling the sending of electronic mail |
| KR100910581B1 (ko) * | 2007-09-05 | 2009-08-03 | 한국전자통신연구원 | 에스아이피 기반의 스팸 필터링 시스템 및 방법 |
| US20090083413A1 (en) * | 2007-09-24 | 2009-03-26 | Levow Zachary S | Distributed frequency data collection via DNS |
| US8019689B1 (en) | 2007-09-27 | 2011-09-13 | Symantec Corporation | Deriving reputation scores for web sites that accept personally identifiable information |
| US8185930B2 (en) | 2007-11-06 | 2012-05-22 | Mcafee, Inc. | Adjusting filter or classification control settings |
| US8312537B1 (en) * | 2008-03-28 | 2012-11-13 | Symantec Corporation | Reputation based identification of false positive malware detections |
| US8499063B1 (en) | 2008-03-31 | 2013-07-30 | Symantec Corporation | Uninstall and system performance based software application reputation |
| US8589503B2 (en) | 2008-04-04 | 2013-11-19 | Mcafee, Inc. | Prioritizing network traffic |
| US8595282B2 (en) * | 2008-06-30 | 2013-11-26 | Symantec Corporation | Simplified communication of a reputation score for an entity |
| US8312539B1 (en) | 2008-07-11 | 2012-11-13 | Symantec Corporation | User-assisted security system |
| US10027688B2 (en) | 2008-08-11 | 2018-07-17 | Damballa, Inc. | Method and system for detecting malicious and/or botnet-related domain names |
| US8413251B1 (en) | 2008-09-30 | 2013-04-02 | Symantec Corporation | Using disposable data misuse to determine reputation |
| US8321516B2 (en) * | 2008-09-30 | 2012-11-27 | Aol Inc. | Systems and methods for creating and updating reputation records |
| US9697535B2 (en) * | 2008-12-23 | 2017-07-04 | International Business Machines Corporation | System and method in a virtual universe for identifying spam avatars based upon avatar multimedia characteristics |
| US9704177B2 (en) * | 2008-12-23 | 2017-07-11 | International Business Machines Corporation | Identifying spam avatars in a virtual universe (VU) based upon turing tests |
| US8904520B1 (en) | 2009-03-19 | 2014-12-02 | Symantec Corporation | Communication-based reputation system |
| US8381289B1 (en) | 2009-03-31 | 2013-02-19 | Symantec Corporation | Communication-based host reputation system |
| US8656476B2 (en) | 2009-05-28 | 2014-02-18 | International Business Machines Corporation | Providing notification of spam avatars |
| US8578497B2 (en) | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
| US8826438B2 (en) | 2010-01-19 | 2014-09-02 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
| US8341745B1 (en) | 2010-02-22 | 2012-12-25 | Symantec Corporation | Inferring file and website reputations by belief propagation leveraging machine reputation |
| US8621638B2 (en) | 2010-05-14 | 2013-12-31 | Mcafee, Inc. | Systems and methods for classification of messaging entities |
| US8510836B1 (en) | 2010-07-06 | 2013-08-13 | Symantec Corporation | Lineage-based reputation system |
| US9516058B2 (en) | 2010-08-10 | 2016-12-06 | Damballa, Inc. | Method and system for determining whether domain names are legitimate or malicious |
| US8631489B2 (en) * | 2011-02-01 | 2014-01-14 | Damballa, Inc. | Method and system for detecting malicious domain names at an upper DNS hierarchy |
| US9122877B2 (en) | 2011-03-21 | 2015-09-01 | Mcafee, Inc. | System and method for malware and network reputation correlation |
| US8862492B1 (en) * | 2011-04-29 | 2014-10-14 | Google Inc. | Identifying unreliable contributors of user-generated content |
| US8700580B1 (en) | 2011-04-29 | 2014-04-15 | Google Inc. | Moderation of user-generated content |
| US8533146B1 (en) | 2011-04-29 | 2013-09-10 | Google Inc. | Identification of over-clustered map features |
| US8832116B1 (en) | 2012-01-11 | 2014-09-09 | Google Inc. | Using mobile application logs to measure and maintain accuracy of business information |
| US9922190B2 (en) | 2012-01-25 | 2018-03-20 | Damballa, Inc. | Method and system for detecting DGA-based malware |
| US8931043B2 (en) | 2012-04-10 | 2015-01-06 | Mcafee Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
| US9124472B1 (en) | 2012-07-25 | 2015-09-01 | Symantec Corporation | Providing file information to a client responsive to a file download stability prediction |
| US10547674B2 (en) | 2012-08-27 | 2020-01-28 | Help/Systems, Llc | Methods and systems for network flow analysis |
| US10084806B2 (en) | 2012-08-31 | 2018-09-25 | Damballa, Inc. | Traffic simulation to identify malicious activity |
| US9680861B2 (en) | 2012-08-31 | 2017-06-13 | Damballa, Inc. | Historical analysis to identify malicious activity |
| US9166994B2 (en) | 2012-08-31 | 2015-10-20 | Damballa, Inc. | Automation discovery to identify malicious activity |
| US9894088B2 (en) | 2012-08-31 | 2018-02-13 | Damballa, Inc. | Data mining to identify malicious activity |
| US9077744B2 (en) | 2013-03-06 | 2015-07-07 | Facebook, Inc. | Detection of lockstep behavior |
| US9571511B2 (en) | 2013-06-14 | 2017-02-14 | Damballa, Inc. | Systems and methods for traffic classification |
| ITTO20130513A1 (it) | 2013-06-21 | 2014-12-22 | Sisvel Technology Srl | Sistema e metodo per il filtraggio di messaggi elettronici |
| US9258260B2 (en) | 2013-08-19 | 2016-02-09 | Microsoft Technology Licensing, Llc | Filtering electronic messages based on domain attributes without reputation |
| US10694029B1 (en) | 2013-11-07 | 2020-06-23 | Rightquestion, Llc | Validating automatic number identification data |
| US9432506B2 (en) * | 2014-12-23 | 2016-08-30 | Intel Corporation | Collaborative phone reputation system |
| US9621575B1 (en) * | 2014-12-29 | 2017-04-11 | A10 Networks, Inc. | Context aware threat protection |
| US9930065B2 (en) | 2015-03-25 | 2018-03-27 | University Of Georgia Research Foundation, Inc. | Measuring, categorizing, and/or mitigating malware distribution paths |
| US11936604B2 (en) | 2016-09-26 | 2024-03-19 | Agari Data, Inc. | Multi-level security analysis and intermediate delivery of an electronic message |
| US10805270B2 (en) * | 2016-09-26 | 2020-10-13 | Agari Data, Inc. | Mitigating communication risk by verifying a sender of a message |
| US11044267B2 (en) | 2016-11-30 | 2021-06-22 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
| US11722513B2 (en) | 2016-11-30 | 2023-08-08 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
| US11019076B1 (en) * | 2017-04-26 | 2021-05-25 | Agari Data, Inc. | Message security assessment using sender identity profiles |
| US11757914B1 (en) | 2017-06-07 | 2023-09-12 | Agari Data, Inc. | Automated responsive message to determine a security risk of a message sender |
| US11102244B1 (en) | 2017-06-07 | 2021-08-24 | Agari Data, Inc. | Automated intelligence gathering |
| US12506747B1 (en) | 2019-03-29 | 2025-12-23 | Agari Data, Inc. | Message campaign and malicious threat detection |
| US11233900B1 (en) | 2020-08-11 | 2022-01-25 | Capital One Services, Llc | Systems and methods for telephone call regulation based on spam factor and user input |
| US11050698B1 (en) * | 2020-09-18 | 2021-06-29 | Area 1 Security, Inc. | Message processing system with business email compromise detection |
| US11882112B2 (en) | 2021-05-26 | 2024-01-23 | Bank Of America Corporation | Information security system and method for phishing threat prevention using tokens |
| US12160447B2 (en) | 2022-01-31 | 2024-12-03 | Saudi Arabian Oil Company | Method to safeguard against email phishing attacks |
Family Cites Families (77)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4837798A (en) * | 1986-06-02 | 1989-06-06 | American Telephone And Telegraph Company | Communication system having unified messaging |
| US5627764A (en) * | 1991-10-04 | 1997-05-06 | Banyan Systems, Inc. | Automatic electronic messaging system with feedback and work flow administration |
| US5634005A (en) * | 1992-11-09 | 1997-05-27 | Kabushiki Kaisha Toshiba | System for automatically sending mail message by storing rule according to the language specification of the message including processing condition and processing content |
| US5742905A (en) * | 1994-09-19 | 1998-04-21 | Bell Communications Research, Inc. | Personal communications internetworking |
| US5619648A (en) * | 1994-11-30 | 1997-04-08 | Lucent Technologies Inc. | Message filtering techniques |
| US5937162A (en) * | 1995-04-06 | 1999-08-10 | Exactis.Com, Inc. | Method and apparatus for high volume e-mail delivery |
| US5889943A (en) * | 1995-09-26 | 1999-03-30 | Trend Micro Incorporated | Apparatus and method for electronic mail virus detection and elimination |
| US5771355A (en) * | 1995-12-21 | 1998-06-23 | Intel Corporation | Transmitting electronic mail by either reference or value at file-replication points to minimize costs |
| US6075863A (en) * | 1996-02-28 | 2000-06-13 | Encanto Networks | Intelligent communication device |
| US5937161A (en) * | 1996-04-12 | 1999-08-10 | Usa.Net, Inc. | Electronic message forwarding system |
| US6453327B1 (en) * | 1996-06-10 | 2002-09-17 | Sun Microsystems, Inc. | Method and apparatus for identifying and discarding junk electronic mail |
| US6014429A (en) * | 1996-08-12 | 2000-01-11 | Lucent Technologies, Inc. | Two-way wireless messaging system with transaction server |
| US5832208A (en) * | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
| US6167520A (en) * | 1996-11-08 | 2000-12-26 | Finjan Software, Inc. | System and method for protecting a client during runtime from hostile downloadables |
| US5796948A (en) * | 1996-11-12 | 1998-08-18 | Cohen; Elliot D. | Offensive message interceptor for computers |
| US6146026A (en) * | 1996-12-27 | 2000-11-14 | Canon Kabushiki Kaisha | System and apparatus for selectively publishing electronic-mail |
| US5844969A (en) * | 1997-01-23 | 1998-12-01 | At&T Corp. | Communication system, method and device for remotely re-transmitting received electronic mail directed to a destination terminal to a new destination terminal |
| US6289451B1 (en) * | 1997-04-18 | 2001-09-11 | Sun Microsystems, Inc. | System and method for efficiently implementing an authenticated communications channel that facilitates tamper detection |
| NZ330703A (en) * | 1997-06-17 | 2000-03-27 | Telecom Wireless Solutions Inc | Electronic mail system for interconnecting computer networks with digital mobile phone network |
| US6061718A (en) * | 1997-07-23 | 2000-05-09 | Ericsson Inc. | Electronic mail delivery system in wired or wireless communications system |
| US6073165A (en) * | 1997-07-29 | 2000-06-06 | Jfax Communications, Inc. | Filtering computer network messages directed to a user's e-mail box based on user defined filters, and forwarding a filtered message to the user's receiver |
| US6249805B1 (en) * | 1997-08-12 | 2001-06-19 | Micron Electronics, Inc. | Method and system for filtering unauthorized electronic mail messages |
| JP3439330B2 (ja) * | 1997-09-25 | 2003-08-25 | 日本電気株式会社 | 電子メールサーバ |
| US6023723A (en) * | 1997-12-22 | 2000-02-08 | Accepted Marketing, Inc. | Method and system for filtering unwanted junk e-mail utilizing a plurality of filtering mechanisms |
| US6052709A (en) * | 1997-12-23 | 2000-04-18 | Bright Light Technologies, Inc. | Apparatus and method for controlling delivery of unsolicited electronic mail |
| US5999932A (en) * | 1998-01-13 | 1999-12-07 | Bright Light Technologies, Inc. | System and method for filtering unsolicited electronic mail messages using data matching and heuristic processing |
| US5968117A (en) * | 1998-01-20 | 1999-10-19 | Aurora Communications Exchange Ltd. | Device and system to facilitate accessing electronic mail from remote user-interface devices |
| JP3884851B2 (ja) * | 1998-01-28 | 2007-02-21 | ユニデン株式会社 | 通信システムおよびこれに用いられる無線通信端末装置 |
| US6510429B1 (en) * | 1998-04-29 | 2003-01-21 | International Business Machines Corporation | Message broker apparatus, method and computer program product |
| US6112227A (en) * | 1998-08-06 | 2000-08-29 | Heiner; Jeffrey Nelson | Filter-in method for reducing junk e-mail |
| US6324569B1 (en) * | 1998-09-23 | 2001-11-27 | John W. L. Ogilvie | Self-removing email verified or designated as such by a message distributor for the convenience of a recipient |
| US6249807B1 (en) * | 1998-11-17 | 2001-06-19 | Kana Communications, Inc. | Method and apparatus for performing enterprise email management |
| US6654787B1 (en) * | 1998-12-31 | 2003-11-25 | Brightmail, Incorporated | Method and apparatus for filtering e-mail |
| US6442589B1 (en) * | 1999-01-14 | 2002-08-27 | Fujitsu Limited | Method and system for sorting and forwarding electronic messages and other data |
| US6574658B1 (en) * | 1999-01-29 | 2003-06-03 | Lucent Technologies Inc. | System and method for secure classification of electronic mail |
| US6434601B1 (en) * | 1999-03-31 | 2002-08-13 | Micron Technology, Inc. | Pre test electronic mail process |
| US6868498B1 (en) * | 1999-09-01 | 2005-03-15 | Peter L. Katsikas | System for eliminating unauthorized electronic mail |
| US6321267B1 (en) * | 1999-11-23 | 2001-11-20 | Escom Corporation | Method and apparatus for filtering junk email |
| US6438215B1 (en) * | 2000-02-29 | 2002-08-20 | Ameritech Corporation | Method and system for filter based message processing in a unified messaging system |
| US6691156B1 (en) * | 2000-03-10 | 2004-02-10 | International Business Machines Corporation | Method for restricting delivery of unsolicited E-mail |
| US6779021B1 (en) * | 2000-07-28 | 2004-08-17 | International Business Machines Corporation | Method and system for predicting and managing undesirable electronic mail |
| US6650890B1 (en) * | 2000-09-29 | 2003-11-18 | Postini, Inc. | Value-added electronic messaging services and transparent implementation thereof using intermediate server |
| US7415504B2 (en) * | 2001-02-26 | 2008-08-19 | Symantec Corporation | System and method for controlling distribution of network communications |
| US7325249B2 (en) * | 2001-04-30 | 2008-01-29 | Aol Llc | Identifying unwanted electronic messages |
| US6907525B2 (en) * | 2001-08-14 | 2005-06-14 | Riverhead Networks Inc. | Protecting against spoofed DNS messages |
| US7134012B2 (en) * | 2001-08-15 | 2006-11-07 | International Business Machines Corporation | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
| US7313815B2 (en) * | 2001-08-30 | 2007-12-25 | Cisco Technology, Inc. | Protecting against spoofed DNS messages |
| US20040039839A1 (en) * | 2002-02-11 | 2004-02-26 | Shivkumar Kalyanaraman | Connectionless internet traffic engineering framework |
| US8578480B2 (en) * | 2002-03-08 | 2013-11-05 | Mcafee, Inc. | Systems and methods for identifying potentially malicious messages |
| US8645470B2 (en) * | 2002-12-06 | 2014-02-04 | Core Wireless Licensing S.A.R.L. | System, method and computer program product for the delivery of media content |
| US7206814B2 (en) * | 2003-10-09 | 2007-04-17 | Propel Software Corporation | Method and system for categorizing and processing e-mails |
| US7366761B2 (en) * | 2003-10-09 | 2008-04-29 | Abaca Technology Corporation | Method for creating a whitelist for processing e-mails |
| US20040249895A1 (en) * | 2003-03-21 | 2004-12-09 | Way Gregory G. | Method for rejecting SPAM email and for authenticating source addresses in email servers |
| US20050050150A1 (en) * | 2003-08-29 | 2005-03-03 | Sam Dinkin | Filter, system and method for filtering an electronic mail message |
| US20050060535A1 (en) * | 2003-09-17 | 2005-03-17 | Bartas John Alexander | Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments |
| US7257564B2 (en) * | 2003-10-03 | 2007-08-14 | Tumbleweed Communications Corp. | Dynamic message filtering |
| JP2005149072A (ja) * | 2003-11-14 | 2005-06-09 | Matsushita Electric Ind Co Ltd | 電子メール送受信プログラムおよび電子メール送受信装置並びにネットワーク中継装置 |
| US8856239B1 (en) * | 2004-02-10 | 2014-10-07 | Sonicwall, Inc. | Message classification based on likelihood of spoofing |
| US8918466B2 (en) * | 2004-03-09 | 2014-12-23 | Tonny Yu | System for email processing and analysis |
| US20050204012A1 (en) * | 2004-03-11 | 2005-09-15 | Campbell Douglas C. | Preventing acceptance of undesired electronic messages (spam) |
| CA2564533A1 (en) * | 2004-05-25 | 2005-12-08 | Postini, Inc. | Electronic message source information reputation system |
| US7756930B2 (en) * | 2004-05-28 | 2010-07-13 | Ironport Systems, Inc. | Techniques for determining the reputation of a message sender |
| US7680890B1 (en) * | 2004-06-22 | 2010-03-16 | Wei Lin | Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers |
| US8582567B2 (en) * | 2005-08-09 | 2013-11-12 | Avaya Inc. | System and method for providing network level and nodal level vulnerability protection in VoIP networks |
| US7610344B2 (en) * | 2004-12-13 | 2009-10-27 | Microsoft Corporation | Sender reputations for spam prevention |
| US7599993B1 (en) * | 2004-12-27 | 2009-10-06 | Microsoft Corporation | Secure safe sender list |
| US7899866B1 (en) * | 2004-12-31 | 2011-03-01 | Microsoft Corporation | Using message features and sender identity for email spam filtering |
| US20060149821A1 (en) * | 2005-01-04 | 2006-07-06 | International Business Machines Corporation | Detecting spam email using multiple spam classifiers |
| US7689652B2 (en) * | 2005-01-07 | 2010-03-30 | Microsoft Corporation | Using IP address and domain for email spam filtering |
| US7487217B2 (en) * | 2005-02-04 | 2009-02-03 | Microsoft Corporation | Network domain reputation-based spam filtering |
| US20070005702A1 (en) * | 2005-03-03 | 2007-01-04 | Tokuda Lance A | User interface for email inbox to call attention differently to different classes of email |
| US20070073717A1 (en) * | 2005-09-14 | 2007-03-29 | Jorey Ramer | Mobile comparison shopping |
| US7475118B2 (en) * | 2006-02-03 | 2009-01-06 | International Business Machines Corporation | Method for recognizing spam email |
| US7558266B2 (en) * | 2006-05-03 | 2009-07-07 | Trapeze Networks, Inc. | System and method for restricting network access using forwarding databases |
| US7945684B2 (en) * | 2006-06-21 | 2011-05-17 | International Business Machines Corporation | Spam risk assessment |
| US8397299B2 (en) * | 2006-09-14 | 2013-03-12 | Interdigital Technology Corporation | Method and system for enhancing flow of behavior metrics and evaluation of security of a node |
| US8527592B2 (en) | 2006-10-31 | 2013-09-03 | Watchguard Technologies, Inc. | Reputation-based method and system for determining a likelihood that a message is undesired |
-
2006
- 2006-10-31 US US11/554,746 patent/US8527592B2/en active Active
-
2007
- 2007-10-25 ES ES07816059T patent/ES2701874T3/es active Active
- 2007-10-25 EP EP07816059.5A patent/EP2080324B1/en active Active
- 2007-10-25 WO PCT/CA2007/001909 patent/WO2008052317A1/en not_active Ceased
- 2007-10-25 CA CA2667688A patent/CA2667688C/en active Active
-
2013
- 2013-08-30 US US14/015,925 patent/US10193898B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20130347108A1 (en) | 2013-12-26 |
| CA2667688C (en) | 2015-02-17 |
| US8527592B2 (en) | 2013-09-03 |
| CA2667688A1 (en) | 2008-05-08 |
| EP2080324A4 (en) | 2011-03-09 |
| WO2008052317A1 (en) | 2008-05-08 |
| US20080104180A1 (en) | 2008-05-01 |
| US10193898B2 (en) | 2019-01-29 |
| EP2080324B1 (en) | 2018-09-12 |
| EP2080324A1 (en) | 2009-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2701874T3 (es) | Método basado en reputación y sistema para determinar una probabilidad de que un mensaje sea no deseado | |
| US9083695B2 (en) | Control and management of electronic messaging | |
| US20050198173A1 (en) | System and method for controlling receipt of electronic messages | |
| US20040177120A1 (en) | Method for filtering e-mail messages | |
| US20080313704A1 (en) | Electronic Message Authentication | |
| US20060168017A1 (en) | Dynamic spam trap accounts | |
| US20060149823A1 (en) | Electronic mail system and method | |
| JP2009527058A (ja) | 電子メッセージの意図された受信者を配送前に確認する方法、および確認時にメッセージ内容を動的に生成する方法 | |
| US20050204012A1 (en) | Preventing acceptance of undesired electronic messages (spam) | |
| CA2420391A1 (en) | Email message filtering system and method | |
| US20080276318A1 (en) | Spam detection system based on the method of delayed-verification on the purported responsible address of a message | |
| Goodman | IP Addresses in Email Clients. | |
| US20050188077A1 (en) | Method of tracking and authenticating e-mails | |
| Kucherawy et al. | RFC 7489: Domain-based message authentication, reporting, and conformance (DMARC) | |
| Fleizach et al. | Slicing spam with occam's razor | |
| JP2009505485A (ja) | 勝手に送り付けてくる好ましくない電子メッセージの配信をキー生成および比較によって防止するシステムと方法 | |
| HK1138953B (en) | Reputation-based method and system for determining a likelihood that a message is undesired | |
| HK1138953A (en) | Reputation-based method and system for determining a likelihood that a message is undesired | |
| Kubisch et al. | Complementing e-mails with distinct, geographic location information in packet-switched ip networks | |
| Lieven | Pre-MX spam filtering with adaptive greylisting based on retry patterns | |
| Engelberth et al. | Mail-shake | |
| Fuhrman | Forensic value of backscatter from email spam | |
| JP2009505216A (ja) | 勝手に送り付けてくる好ましくない電子メッセージの検出およびフィルタリングを行うシステムと方法 | |
| Chrobok et al. | Advantages and vulnerabilities of pull-based email-delivery | |
| Palmieri et al. | Introducing public e-mail gateways: An effective hardening strategy against spam |