RU2787303C1 - System and method for restricting reception of electronic messages from a mass spam mail sender - Google Patents
System and method for restricting reception of electronic messages from a mass spam mail sender Download PDFInfo
- Publication number
- RU2787303C1 RU2787303C1 RU2021137562A RU2021137562A RU2787303C1 RU 2787303 C1 RU2787303 C1 RU 2787303C1 RU 2021137562 A RU2021137562 A RU 2021137562A RU 2021137562 A RU2021137562 A RU 2021137562A RU 2787303 C1 RU2787303 C1 RU 2787303C1
- Authority
- RU
- Russia
- Prior art keywords
- sender
- electronic messages
- collision
- generated
- spam
- Prior art date
Links
- 238000001514 detection method Methods 0.000 claims abstract description 41
- 230000015572 biosynthetic process Effects 0.000 claims description 7
- 238000005755 formation reaction Methods 0.000 claims description 7
- 230000000694 effects Effects 0.000 abstract description 2
- 239000000126 substance Substances 0.000 abstract 1
- 238000010801 machine learning Methods 0.000 description 6
- 230000003287 optical Effects 0.000 description 6
- 238000000034 method Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000006011 modification reaction Methods 0.000 description 2
- 230000002093 peripheral Effects 0.000 description 2
- 210000004720 Cerebrum Anatomy 0.000 description 1
- 235000010254 Jasminum officinale Nutrition 0.000 description 1
- 240000005385 Jasminum sambac Species 0.000 description 1
- 230000000875 corresponding Effects 0.000 description 1
Images
Abstract
Description
Область техникиTechnical field
Изобретение относится к области информационной безопасности, а более конкретно к системам и способам управления процессом получения электронных сообщений от различных отправителей.The invention relates to the field of information security, and more specifically to systems and methods for managing the process of receiving electronic messages from various senders.
Уровень техникиState of the art
Количество пользователей, количество компаний и разнообразие направлений их деятельности продолжает непрерывно расти. Одновременно увеличивается и количество передаваемых электронных сообщений. The number of users, the number of companies and the diversity of their activities continues to grow continuously. At the same time, the number of transmitted electronic messages is also increasing.
Реклама в Интернете является одним из самых дешевых способов рекламы. Спам-сообщения, как основной и наиболее массовый вид рекламы в современном мире, занимает от 70% общего объема почтового трафика.Online advertising is one of the cheapest ways to advertise. Spam messages, as the main and most massive type of advertising in the modern world, account for 70% of the total email traffic.
Спам – рассылка рекламы или иного вида информации лицам, не выражавшим желания их получать. К спаму относятся электронные сообщения, передаваемые по электронной почте, протоколам мгновенных сообщений, в социальных сетях, блогах, сайтах знакомств, форумах, а также посредством SMS-сообщений (англ. Short Message Service - служба коротких сообщений) и MMS-сообщений (англ. Multimedia Messaging Service - система передачи мультимедийных сообщений).Spam is the sending of advertisements or other types of information to persons who did not express a desire to receive them. Spam includes electronic messages transmitted via email, instant messaging protocols, social networks, blogs, dating sites, forums, as well as through SMS messages (English Short Message Service) and MMS messages (Eng. Multimedia Messaging Service - multimedia messaging system).
Ввиду постоянного роста объемов рассылки спама возникают проблемы технического, экономического и криминального характера. Нагрузка на аппаратуру и каналы передачи данных, затраты времени пользователей на обработку электронных сообщений, изменение направленности электронных сообщений в сторону мошенничества и воровства – эти и другие аспекты показывают острую необходимость непрерывной борьбы со спамом. Due to the constant increase in spam volumes, technical, economic and criminal problems arise. The load on equipment and data transmission channels, the time spent by users on processing electronic messages, the direction of electronic messages towards fraud and theft - these and other aspects show the urgent need for a continuous fight against spam.
Существует много способов противодействия массовым рассылкам спама. Одним из эффективных способов является использование обученных моделей машинного обучения для выявления электронных сообщений, содержащих спам.There are many ways to counter mass spam mailings. One effective way is to use trained machine learning models to detect spam emails.
В публикации US20050198159A1 представлена система, в которой используют черные и белые списки отправителей. В случае, если отправитель, который находится в белом списке, начинает пересылать электронные сообщения, содержащие спам, коэффициент его доверия снижается. Отдельно представлены методы категоризации электронных писем, в том числе на основе данных о сессии SMTP (англ. Simple Mail Transfer Protocol — простой протокол передачи почты), представлен полный перечень данных и репутации отправителя.Publication US20050198159A1 presents a system that uses sender blacklists and whitelists. In the event that a sender who is on the white list starts forwarding spam emails, his trust coefficient decreases. Separately, methods for categorizing emails are presented, including those based on SMTP session data (English Simple Mail Transfer Protocol - a simple mail transfer protocol), a complete list of data and reputation of the sender is presented.
Указанное решение частично осуществляет категоризацию электронных сообщений в зависимости от отправителя, но не позволяет эффективно решить задачу изменения ограничений на получение электронных сообщений от отправителя массовой рассылки спама в электронных сообщениях, отправленных по электронной почте.This solution partially categorizes electronic messages depending on the sender, but does not effectively solve the problem of changing restrictions on receiving electronic messages from the sender of bulk spam in electronic messages sent by e-mail.
Раскрытие изобретенияDisclosure of invention
Изобретение предназначено для управления ограничениями на получение электронных сообщений от отправителей. Технический результат настоящего изобретения заключается в обеспечении защиты от получения электронных сообщений, содержащих спам, путем формирования и изменения ограничений на получение электронных сообщений от отправителей, которые массово рассылают спам.The invention is intended to control restrictions on receiving electronic messages from senders. The technical result of the present invention is to provide protection against receiving electronic messages containing spam, by creating and changing restrictions on receiving electronic messages from senders who send spam in bulk.
В одном из вариантов реализации предоставляется система ограничения получения электронных сообщений от отправителя массовой рассылки спама, при этом упомянутая система содержит: средство выявления, предназначенное для: выявления неизвестного отправителя электронных сообщений, формирования набора электронных сообщений, полученных от выявленного отправителя, передачи сформированного набора электронных сообщений средству обнаружения; средство обнаружения, предназначенное для: определения типа спама массовой рассылки на основании сформированного набора электронных сообщений при помощи сигнатур для выявления спама, формирования ограничений на получение электронных сообщений от отправителя, который рассылает спам определенного типа, передачи данных об ограничениях средству отмены; средство отмены, предназначенное для: проверки сформированных ограничений на наличие коллизий при помощи правил выявления коллизий из базы данных правил, изменения сформированного ограничения при обнаружении коллизии; базу данных правил, предназначенную для хранения правил выявления коллизий.In one embodiment, a system is provided to restrict the receipt of electronic messages from a bulk spam sender, said system comprising: detection means for: identifying an unknown sender of electronic messages, generating a set of electronic messages received from a identified sender, transmitting the generated set of electronic messages a means of detection; detection means for: determining the type of bulk spam based on the generated set of electronic messages using signatures to detect spam, generating restrictions on receiving electronic messages from a sender that sends spam of a certain type, transmitting data about the restrictions to the canceling means; a canceler for: checking the generated constraints for collisions using collision detection rules from the rules database, changing the generated constraint when a collision is detected; a rule database for storing collision detection rules.
В другом варианте реализации системы средство выявления осуществляет выявление неизвестного отправителя электронных сообщений путем формирования профиля отправителя электронных сообщений и сравнения сформированного профиля отправителя с известными профилями отправителей из базы данных отправителей.In another implementation of the system, the detecting means detects an unknown sender of electronic messages by generating a profile of the sender of electronic messages and comparing the generated sender profile with known sender profiles from the sender database.
Еще в одном варианте реализации системы под профилем отправителя понимают совокупность следующих данных: хэш-код от тела электронного сообщения, хэш-код от заголовка электронного сообщения, доменное имя отправителя, IP-адрес отправителя, хэш-код от html-верстки электронного сообщения. In another embodiment of the system, the sender profile is understood as a set of the following data: hash code from the body of the electronic message, hash code from the header of the electronic message, domain name of the sender, IP address of the sender, hash code from the html layout of the electronic message.
Еще в другом варианте реализации системы которой известные профили отправителей хранят в базе данных отправителей.In yet another implementation of the system, known sender profiles are stored in a sender database.
В другом варианте реализации системы средство обнаружения осуществляет формирование ограничения путем временного включения профиля отправителя, от которых выявлена массовая рассылка спама, в группу запрещенных.In another embodiment of the system, the detection means performs the formation of a restriction by temporarily including the profile of the sender, from which mass spam was detected, into the blocked group.
Еще в одном варианте реализации системы под правилом выявления коллизий понимают набор условий, при выполнении которого выявляют необходимость изменения сформированного ограничения.In another embodiment of the system, a collision detection rule is understood as a set of conditions, under which the need to change the generated constraint is identified.
Еще в другом варианте реализации системы средство отмены при наличии коллизии изменяет сформированное ограничение путем исключения из списка запрещенных IP-адрес, который стал причиной коллизии.In yet another implementation of the system, the collision canceler modifies the generated constraint by delisting the IP address that caused the collision.
В другом варианте реализации системы средство отмены при наличии коллизии изменяет сформированное ограничение путем исключения из списка запрещенных доменное имя, которое стало причиной коллизии.In another implementation of the system, the collision canceler modifies the generated constraint by delisting the domain name that caused the collision.
Еще в одном варианте реализации системы средство отмены при наличии коллизии изменяет профиль отправителя, в котором возникла коллизия.In yet another implementation of the system, the collision canceler modifies the sender profile in which the collision occurred.
В одном из вариантов реализации предоставляется способ ограничения получения электронных сообщений от отправителя массовой рассылки спама, содержащий этапы, которые реализуются с помощью средств из упомянутой системы, и на которых: выявляют неизвестного отправителя электронных сообщений; формируют набор электронных сообщений, полученных от выявленного отправителя; определяют тип спама массовой рассылки на основании сформированного набора электронных сообщений при помощи сигнатур для выявления спама; формируют ограничение на получение электронных сообщений от отправителя, который рассылает спам определенного типа; проверяют сформированные ограничения на наличие коллизий при помощи правил выявления коллизий из базы данных правил; изменяют сформированное ограничение при обнаружении коллизии.In one embodiment, a method is provided to restrict the receipt of electronic messages from a bulk spam sender, comprising steps that are implemented using tools from said system, and in which: an unknown sender of electronic messages is identified; forming a set of electronic messages received from the identified sender; determining the type of bulk spam based on the generated set of electronic messages using signatures to detect spam; form a restriction on receiving electronic messages from a sender who sends spam of a certain type; checking the generated constraints for collisions using collision detection rules from the rules database; change the generated constraint when a collision is detected.
В другом варианте реализации способа осуществляют выявление неизвестного отправителя электронных сообщений путем формирования профиля отправителя электронных сообщений и сравнения сформированного профиля отправителя с известными профилями отправителей из базы данных отправителейIn another embodiment of the method, an unknown sender of electronic messages is identified by generating a profile of the sender of electronic messages and comparing the generated sender profile with known sender profiles from the sender database
Еще в одном варианте реализации способа под профилем отправителя понимают совокупность следующих данных: хэш-код от тела электронного сообщения, хэш-код от заголовка электронного сообщения, доменное имя отправителя, IP-адрес отправителя, хэш-код от html-верстки электронного сообщения.In another embodiment of the method, the sender profile is understood as a set of the following data: hash code from the body of the electronic message, hash code from the header of the electronic message, domain name of the sender, IP address of the sender, hash code from the html layout of the electronic message.
Еще в другом варианте реализации способа известные профили отправителей хранят в базе данных отправителей. In yet another embodiment of the method, known sender profiles are stored in a sender database.
В другом варианте реализации способа осуществляют формирование ограничения путем временного включения профилей отправителей, от которых выявлена массовая рассылка спама, в группу запрещенных.In another variant of the implementation of the method, a restriction is formed by temporarily including the profiles of senders, from which bulk spam was detected, into the group of prohibited ones.
Еще в одном варианте реализации способа под правилом выявления коллизий понимают набор условий, при выполнении которого выявляют необходимость изменения сформированного ограничения.In another embodiment of the method, a collision detection rule is understood as a set of conditions, under which the need to change the generated constraint is determined.
Еще в другом варианте реализации способа при наличии коллизии изменяют сформированное ограничение путем исключения из списка запрещенных IP-адрес, который стал причиной коллизии.In yet another embodiment of the method, in the presence of a collision, the generated restriction is changed by excluding the IP address that caused the collision from the list of prohibited ones.
В другом варианте реализации способа при наличии коллизии изменяют сформированное ограничение путем исключения из списка запрещенных доменное имя, которое стало причиной коллизии.In another embodiment of the method, in the presence of a collision, the generated restriction is changed by excluding the domain name that caused the collision from the list of prohibited ones.
Еще в одном варианте реализации способа при наличии коллизии изменяют профиль отправителя, в котором возникла коллизия.In another embodiment of the method, in the presence of a collision, the profile of the sender in which the collision occurred is changed.
Краткое описание чертежейBrief description of the drawings
Фиг. 1 отображает случай, когда один отправитель использует несколько узлов для передачи сообщений в виде массовой рассылки. Fig. 1 depicts the case where a single sender uses multiple nodes to send messages in bulk.
Фиг. 2 иллюстрирует структуру системы ограничения получения электронных сообщений от отправителя массовой рассылки спама. Fig. 2 illustrates the structure of a system for restricting the receipt of e-mails from a bulk spam sender.
Фиг. 3 иллюстрирует алгоритм функционирования системы ограничения получения электронных сообщений от отправителя массовой рассылки спама. Fig. 3 illustrates the operation of a system for restricting the receipt of electronic messages from a bulk spam sender.
Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер. Fig. 4 represents an example of a general purpose computer system, a personal computer or a server.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено в приложенной формуле.Although the invention may have various modifications and alternative forms, the characteristic features shown by way of example in the drawings will be described in detail. It should be understood, however, that the purpose of the description is not to limit the invention to a particular embodiment thereof. On the contrary, the purpose of the description is to cover all changes, modifications included in the scope of this invention, as defined in the attached claims.
Описание вариантов осуществления изобретенияDescription of embodiments of the invention
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The gist of the description is nothing but the specific details necessary to assist a person skilled in the art in a thorough understanding of the invention, and the present invention is defined within the scope of the appended claims.
Введем ряд определений и понятий, которые будут использованы при описании вариантов осуществления изобретения.We introduce a number of definitions and concepts that will be used in describing embodiments of the invention.
Электронная почта (electronic mail, e-mail) – набор услуг компьютерной сети по пересылке сообщений между ее пользователями. Является средством быстрой доставки писем, текстов программ, документов и другой подобной корреспонденции. При передаче сообщения по электронной почте передающий и принимающий компьютеры не обязательно взаимодействуют друг с другом непосредственно (Дорот В. Л., Новиков Ф. А., Толковый словарь современной компьютерной лексики. - 3-е из Д., перераб. и доп. - СПб.: БХВ-Петербург, 2004. - 608 с.: ил.).E-mail (electronic mail, e-mail) is a set of computer network services for sending messages between its users. It is a means of fast delivery of letters, program texts, documents and other similar correspondence. When sending a message by e-mail, the transmitting and receiving computers do not necessarily interact directly with each other (Dorot V. L., Novikov F. A., Explanatory Dictionary of Modern Computer Vocabulary. - 3rd of D., revised and added - St. Petersburg: BHV-Petersburg, 2004. - 608 p.: ill.).
Электронное письмо или сообщение – согласно RFC 5322 представляет собой последовательность символов. Сообщения, соответствующие данной спецификации, включают символы с десятичными кодами от 1 до 127, интерпретируемые в соответствии с кодировкой US-ASCII. Сообщение состоит из полей заголовков (совокупность этих полей называют разделом заголовков сообщения), за которыми может следовать основная часть сообщения. Раздел заголовков представляет собой последовательность символьных строк, синтаксис которых описан в данной спецификации. Тело сообщения представляет собой последовательность символов, которая следует после раздела заголовков и отделена от него пустой строкой (строкой, содержащей только CRLF). Далее и по тексту под электронным сообщением понимают электронное сообщение, переданное по электронной почте.E-mail or message - according to RFC 5322 is a sequence of characters. Messages conforming to this specification include characters with
Атрибут электронного сообщения – необходимое, существенное, неотъемлемое свойство электронного сообщения. Attribute of an electronic message is a necessary, essential, integral property of an electronic message.
Признак для обнаружения спама – признак, вычисляемый на основании значения атрибута электронного сообщения, характеризующий наличие спама и применяемый при использовании технологий машинного обучения. Spam detection feature – a feature calculated based on the value of an email message attribute that characterizes the presence of spam and is used when using machine learning technologies.
Поток электронных сообщений – совокупность электронных сообщений, передаваемых по электронной почте, которые получает один или несколько пользователей. Набор электронных сообщений – фиксированное количество сообщений, отобранных из потока электронных сообщений для выполнения проверки наличия спама. E-mail flow - a set of electronic messages transmitted by e-mail, which are received by one or more users. Email Set - A fixed number of emails selected from an email thread to perform a spam check.
Отправитель (адресант, коммуникатор) электронного сообщения — это участник коммуникативного акта, который формирует электронное сообщение с целью передать информацию другому участнику и (или) воздействовать на него. Далее и по тексту под отправителем понимают отправителя электронных сообщений.The sender (addresser, communicator) of an electronic message is a participant in a communicative act that forms an electronic message in order to transmit information to another participant and (or) influence him. Hereinafter and throughout the text, the sender is understood as the sender of electronic messages.
Профиль отправителя электронного сообщения – совокупность атрибутов электронного сообщения, характеризующих особенность отправителя. Далее и по тексту под профилем отправителя понимают профиль отправителя электронных сообщений.Profile of the sender of an electronic message is a set of attributes of an electronic message that characterizes the peculiarity of the sender. Hereinafter and throughout the text, the sender profile is understood as the profile of the sender of electronic messages.
Злоумышленники нередко используют метод массовой рассылки электронных сообщений, содержащих спам. Для реализации метода массовой рассылки используют шаблоны для генерации текста и содержимого упомянутых электронных сообщений. Для усложнения обнаружения спама шаблоны дополняют методами обфускации, анонимизации и т.д. Поимо этого существуют различные способы и службы запутывания процесса передачи электронных сообщений. Один отправитель для передачи нескольких электронных сообщений может использовать как одни узел, так и сеть узлов. Отправка может быть осуществлена с разной частотой и различным количеством электронных сообщений, отправляемых одновременно. Фиг. 1 отображает случай, когда один отправитель использует несколько узлов для передачи электронных сообщений в виде массовой рассылки. В этом случае отправитель 110 организует несколько вариантов передачи электронных сообщений, которые имеют свои особенные черты и являются профилями отправителя 120. Массовая рассылка электронных сообщений 130, пересылаемая с использованием одного профиля отправителя, осуществляется на почтовые ящики определенных пользователей 140. Для контроля процесса получения электронных сообщений от отправителей используют систему ограничения получения электронных сообщений от отправителя массовой рассылки спама.Attackers often use the method of mass sending e-mails containing spam. To implement the mass mailing method, templates are used to generate the text and content of said electronic messages. To complicate the detection of spam, templates are supplemented with methods of obfuscation, anonymization, etc. In addition, there are various ways and services to obfuscate the transmission of electronic messages. One sender can use both one node and a network of nodes to send several electronic messages. Sending can be done with different frequency and different number of emails sent at the same time. Fig. 1 depicts the case where a single sender uses multiple nodes to send bulk e-mail messages. In this case, the
Фиг 2. иллюстрирует структуру системы ограничения получения электронных сообщений от отправителя массовой рассылки спама, которая включает в себя средство выявления 220, средство обнаружения 230, средство отмены 240, базу данных отправителей 250, базу данных правил 260. FIG. 2 illustrates the structure of a system for restricting the receipt of e-mails from a bulk spam sender, which includes a
Представленная на Фиг. 2 система является компьютерной системой, например, компьютером общего назначения, представленным и обладает аппаратным процессором и памятью. Упомянутая система содержит функциональные и/или аппаратные модули и средства, которые в свою очередь содержат инструкции для исполнения на аппаратном процессоре. Ниже описаны варианты реализации упомянутых модулей и средств системы.Shown in FIG. 2 , the system is a computer system, such as a general purpose computer, provided and has a hardware processor and memory. Said system contains functional and/or hardware modules and means, which in turn contain instructions for execution on a hardware processor. The options for implementing the mentioned modules and system tools are described below.
Средство выявления 220 предназначено для выявления неизвестного отправителя электронных сообщений. Средство выявления 220 осуществляет выявление неизвестного отправителя электронных сообщений путем формирования профиля отправителя электронных сообщений и сравнения сформированного профиля отправителя с известными профилями отправителей из базы данных отправителей 250. Средство выявления 220 выполняет анализ каждого электронного сообщения из потока электронных сообщений 210. В результате анализа средство выявления 220 формирует профиль отправителя каждого электронного сообщения на основании его атрибутов. Атрибутами электронного сообщения являются: IP-адрес (англ. Internet Protocol (IP), досл. «межсетевой протокол») отправителя, размер электронного сообщения, язык текста электронного сообщения, количество символов в заголовке электронного сообщения, размер электронного сообщения и т.д. На основании атрибутов подсчитывают данные, которые впоследствии объединяют в профиль. Профилем отправителя является совокупность следующих данных: хэш-код от тела электронного сообщения, хэш-код от заголовка электронного сообщения, доменное имя отправителя, IP-адрес отправителя, хэш-код от HTML-верстки (англ. HyperText Markup Language — язык гипертекстовой разметки) электронного сообщения. После этого для каждого профиля определяют степень схожести с другими известными профилями отправителей на основании базы данных отправителей 250. The detection means 220 is designed to detect an unknown sender of electronic messages.
Например, пользователь 1 получил электронное сообщение 1, на основании атрибутов которого подсчитан профиль отправителя 1; пользователь 1 получил электронное сообщение 2, на основании атрибутов которого подсчитан профиль отправителя 2; пользователь 2 получил электронное сообщение 3, на основании атрибутов которого подсчитан профиль отправителя 3. И так далее. Допустим, получено 10 сообщений.For example,
Например, с помощью методов машинного обучения выполняют кластеризацию подсчитанных профилей, в результате которой профиль отправителя 1 и профиль отправителя 3 объединяют в один профиль отправителя 13, профили отправителя 8 и 9 – в профиль 89. Далее с помощью методов машинного обучения выполняют классификацию профилей отправителя 2, 4, 5, 6, 7, 10 и профилей отправителя 13, 89. В результате классификации все профили, кроме 13 и 89, имеют высокую степень схожести c известными профилями отправителей. Объединенные профили отправителя 13 и 89 имеют степень схожести с известными профилями отправителей из базы данных отправителей ниже предельного значения. Следовательно, профили отправителя 13 и 89 считаются неизвестными. В базе данных отправителей 250 создают отправителя, который по очереди получает имя U111, которому соответствует профиль отправителя 13, и отправителя, который по очереди получает имя U112, которому соответствует профиль отправителя 89. Объединенный профиль отправителя 13 имеет следующие параметры: хэш-код от тела 1 (идентичен 3), хэш-код от заголовка 1 (сильно схож с 3), доменное имя отправителя 1, доменное имя отправителя 3, IP-адрес отправителя 1, перечень IP-адресов отправителя 3, хэш-код от html-верстки 1.For example, using machine learning methods, clustering of calculated profiles is performed, as a result of which
Предельное значение степени схожести может быть определено статистически, эмпирически или задано экспертом. Могут быть случаи, когда несколько профилей соответствуют одному отправителю.The limit value for the degree of similarity can be determined statistically, empirically, or given by an expert. There may be cases where multiple profiles match the same sender.
Помимо этого, средство выявления 220 предназначено для формирования набора электронных сообщений, полученных от выявленного отправителя, и передачи сформированного набора электронных сообщений средству обнаружения 230. Формирование набора электронных сообщений, полученных от выявленного отправителя, выполняют путем отбора из потока электронных сообщений 210 всех электронных сообщений от выявленного отправителя. Продолжая пример из предыдущего абзаца, выявленным отправителем является неизвестный отправитель U111, которому соответствует профиль 13. Соответственно, из электронных сообщений с профилями отправителя 1 и 3 формируют упомянутый набор электронных сообщений.In addition, the
Средство обнаружения 230 предназначено для определения типа спама массовой рассылки на основании сформированного набора электронных сообщений при помощи сигнатур для выявления спама. Выявление массовой рассылки выполняют путем выявления схожих между собой групп электронных сообщений среди набора электронных сообщений, полученного от выявленного отправителя, с использованием методов машинного обучения. Выявленные группы электронных сообщений из сформированного набора электронных сообщений проверяют на наличие спама с использованием сигнатур выявления спама Каждому типу спама соответствует совокупность условий, при выполнении которых электронное сообщение однозначно причисляют к тому или иному типу. Например, для типа спама «фишинг» условиями являются наличие URL-ссылки (англ. Uniform Resource Locator — система унифицированных адресов электронных ресурсов, или единообразный указатель местонахождения ресурса (файла)) и текста электронного сообщения или хэш-кода, подсчитанного от текста электронного сообщения, содержащего характерные для фишинга словосочетания. Основные типы спама: The
реклама товаров и услуг, в том числе и незаконных;advertising of goods and services, including illegal ones;
фишинг, в том числе «нигерийские письма» и «письма счастья»;phishing, including “Nigerian emails” and “chain letters”;
пропаганда;propaganda;
распространение приложений, содержащих вредоносный код;distribution of applications containing malicious code;
ложная благотворительность и т.д.false charity, etc.
Продолжая пример из предыдущих абзацев, сформированный набор электронных сообщений, который состоит из электронных сообщений 1 и 3 от профиля отправителя 13, проверяют, выявляют наличие спама и его тип, например тип 4 – распространение приложений, содержащих вредоносный код. Набор электронных сообщений, который состоит из электронных сообщений 8 и 9 от профиля отправителя 89, не содержит спам.Continuing the example from the previous paragraphs, the generated set of emails, which consists of
Помимо этого, средство обнаружения 230 предназначено для формирования ограничений на получение электронных сообщений от отправителя, который рассылает спам определенного типа, и передачи данных о сформированных ограничениях средству отмены 240. Средство обнаружения 230 осуществляет формирование ограничения путем временного включения профилей отправителей, от которых выявлена массовая рассылка спама, в группу запрещенных.In addition, the
Продолжая пример из предыдущих абзацев, злоумышленник с помощью объединенного профиля отправителя 13 рассылает электронные сообщения, содержащие спам типа 4, поэтому на него накладывают ограничения, а именно доменное имя отправителя 3, IP-адрес отправителя 1, перечень IP-адресов отправителя 3 помещают в список запрещенных на 2 недели.Continuing the example from the previous paragraphs, the attacker, using the combined sender profile 13, sends emails containing type 4 spam, so it is subject to restrictions, namely, the domain name of the
Средство отмены 240 предназначено для проверки сформированных ограничений на наличие коллизий при помощи правил выявления коллизий из базы данных правил 260.The
Под коллизией ограничения на получение электронных сообщений от отправителя понимают такую ситуацию, когда запрет на получение электронных сообщений от отправителя по какой-либо причине не является оправданным и может быть рассмотрена его полная отмена или частичное изменение.The conflict of restrictions on receiving electronic messages from the sender is understood as such a situation when the ban on receiving electronic messages from the sender for any reason is not justified and its complete cancellation or partial change can be considered.
Под правилом выявления коллизий понимают набор условий, при выполнении которого, выявляют необходимость отмены или изменения сформированного ограничения.A collision detection rule is understood as a set of conditions, under which, the need to cancel or change the formed restriction is revealed.
Одним из примеров правила выявления коллизии может быть следующий набор условий: определен тип спама «реклама», период ограничения – 1 неделя, IP-адрес из выявленного профиля отправителя использует компания или пользователь с положительной репутацией, IP-адрес ранее никогда не находился под ограничениями. При выполнении вышеупомянутых условий выявленный профиль отправителя корректируют, а отмеченный IP-адрес исключают из списка запрещенных, назначают повторную проверку выявленного профиля отправителя через 7 дней.One example of a collision detection rule can be the following set of conditions: spam type "advertisement" is defined, the restriction period is 1 week, the IP address from the detected sender profile is used by a company or user with a positive reputation, the IP address has never been under restrictions before. If the above conditions are met, the identified sender profile is corrected, and the marked IP address is excluded from the list of prohibited ones, and the identified sender profile is re-checked after 7 days.
Другим примером правила выявления коллизий может быть следующий набор условий: определен тип спама «ложная благотворительность», период ограничения – 1 месяц, PTR-запись (англ. Domain Name Pointer - указатель, служащий как обратное отображения IP-адресов в именах хостов), соответствующая IP-адресу из выявленного профиля отправителя, имеет исключительно положительную репутацию, IP-адрес ранее никогда не находился под ограничениями. При выполнении вышеупомянутых условий выявленный профиль отправителя корректируют, а отмеченный IP-адрес исключают из списка запрещенных, назначают повторную проверку выявленного профиля отправителя через 1 день.Another example of a collision detection rule could be the following set of conditions: spam type "false charity" is defined, the restriction period is 1 month, a PTR record (Domain Name Pointer - a pointer that serves as a reverse mapping of IP addresses in host names) corresponding The IP address from the identified sender profile has an extremely positive reputation, the IP address has never been under restrictions before. If the above conditions are met, the identified sender profile is corrected, and the marked IP address is excluded from the list of prohibited ones, and the identified sender profile is re-checked after 1 day.
Еще одним примером правила выявления коллизий может быть следующий набор условий: определен тип спама «ложная благотворительность», период ограничения – 1 неделя, доменное имя из выявленного профиля отправителя существует 10 лет, владелец доменного имени реально существующий человек или компания с положительной репутацией, доменное имя ранее никогда не находилось под ограничениями. При выполнении вышеупомянутых условий выявленный профиль отправителя корректируют, а отмеченное доменное имя исключают из списка запрещенных, назначают повторную проверку выявленного профиля отправителя через 1 день.Another example of a collision detection rule could be the following set of conditions: spam type "false charity" is defined, the limitation period is 1 week, the domain name from the identified sender profile has existed for 10 years, the owner of the domain name is a real person or company with a positive reputation, the domain name has never been restricted before. If the above conditions are met, the identified sender profile is corrected, and the marked domain name is excluded from the list of prohibited ones, and the identified sender profile is re-checked after 1 day.
Помимо этого, средство отмены 240 предназначено для изменения сформированного ограничения при обнаружении коллизии.In addition, the
Продолжая пример из предыдущих абзацев, в ходе проверки наличия коллизии сработало два правила, которые предписывают исключение доменного имени 1 и одного из IP-адресов из перечня IP-адресов отправителя 3 из списка запрещенных. Таким образом корректируют профиль отправителя 13 и списки запрещенных доменных имен и IP-адресов.Continuing with the example from the previous paragraphs, during the collision check, two rules worked that require the exclusion of
База данных отправителей 250 предназначена для хранения данных об известных профилях отправителей. База данных правил 260 предназначена для хранения правил выявления коллизий. В качестве базы данных отправителей 250 и базы данных правил 260 могут быть использованы различные виды баз данных, а именно: иерархические (IMS, TDMS, System 2000), сетевые (Cerebrum, Сronospro, DBVist), реляционные (DB2, Informix, Microsoft SQL Server), объектно-ориентированные (Jasmine, Versant, POET), объектно-реляционные (Oracle Database, PostgreSQL, FirstSQL/J), функциональные и т.д. Правила могут быть созданы при помощи алгоритмов машинного обучения и автоматизированной обработки больших массивов данных.The
Ниже представлены подробности реализации, полученные от технических специалистов, в упрощенном виде.Below are the implementation details received from technical experts in a simplified form.
Реализация подсчета и объединения профилей отправителя:Implementation of counting and merging sender profiles:
Электронное сообщение 1:Email 1:
Sender-IP: 1.1.1.1Sender IP: 1.1.1.1
From: [email protected]From: [email protected]
To: test@localdomainTo: test@localdomain
Content-type: text/html;content-type: text/html;
Subject: Hi!Subject: Hi!
<html><html>
<body><body>
<link href=”http://request/redirect.php”, rel=”try link”><link href=”http://request/redirect.php”, rel=”try link”>
</body></body>
Электронное сообщение 3:Email 3:
Sender-IP: 1.1.1.2Sender IP: 1.1.1.2
From: [email protected]From: [email protected]
To: test@localdomainTo: test@localdomain
Content-type: text/html;content-type: text/html;
Subject: Hello!Subject: Hello!
<html><html>
<body><body>
<link href=”http://pull/random.php”, rel=”good link”><link href=”http://pull/random.php”, rel=”good link”>
</body></body>
Данные электронные сообщения являются схожими по хэш-коду заголовков письма (header_md5: af14) и хэш-коду html-верстки (html_md5: ba6). Таким образом, профиль отправителя соотносится один ко многим с перечнем IP-адресов [1.1.1.1, 1.1.1.2].These e-mails are similar in terms of the hash code of the message headers (header_md5: af14) and the hash code of the html layout (html_md5: ba6). Thus, the sender profile has a one-to-many relationship with the list of IP addresses [1.1.1.1, 1.1.1.2].
Реализация использования правил выявления коллизий.Implementation of the use of collision detection rules.
1. BLOCK_IP_LIST (список запрещенных) содержит записи: (1.1.1.2, 1.1.1.3, 1.1.1.4, 2.2.2.2)1. BLOCK_IP_LIST (banned list) contains entries: (1.1.1.2, 1.1.1.3, 1.1.1.4, 2.2.2.2)
ALLOW_IP_LIST_ORG (список доверенных) содержит записи:ALLOW_IP_LIST_ORG (list of trusted) contains entries:
1.1.1.2: Good_Organization1.1.1.2: Good_Organization
2.2.2.1: Good_Organization2.2.2.1: Good_Organization
При обнаружении в сформированных ограничениях информации об IP-адресе 1.1.1.2 ограничение будет изменено. Данный список доверенных отправителей получен в результате анализа множества потоков и ловушек для электронных сообщений, а также в результате выявления принадлежности к крупным организациям диапазонов IP-адресов и доменных имен.If information about the IP address 1.1.1.2 is found in the generated restrictions, the restriction will be changed. This list of trusted senders is derived from the analysis of multiple email flows and traps, and from the identification of large-scale IP address and domain name ranges.
2. BLOCK_IP_LIST содержит записи: (1.1.1.2, 1.1.1.3, 1.1.1.4, 2.2.2.3), 2. BLOCK_IP_LIST contains entries: (1.1.1.2, 1.1.1.3, 1.1.1.4, 2.2.2.3),
2021-10-08;1.1.1.2;none2021-10-08;1.1.1.2;none
2021-10-08;1.1.3;none2021-10-08;1.1.3;none
2021-10-08;2.2.2.3;mail.good.ptr2021-10-08;2.2.2.3;mail.good.ptr
IP-адрес 2.2.2.3 исключат из списка запрещенных, потому что он не пройдет проверку PTR-записи.IP address 2.2.2.3 will be removed from the banned list because it will not pass the PTR record check.
3. BLOCK_DOMAIN_LIST содержит записи: (baddomain1, baddomain2, gooddomain)3. BLOCK_DOMAIN_LIST contains entries: (baddomain1, baddomain2, gooddomain)
Baddomain1;created: 2021-10-11;owner: unknownBaddomain1;created: 2021-10-11;owner: unknown
Baddomain2;created: 2021-10-11;owner: unknownBaddomain2;created: 2021-10-11;owner: unknown
Gooddomain;created: 2003-08-08;owner: good_companygooddomain;created: 2003-08-08;owner: good_company
Из списка запрещенных будет исключено доменное имя gooddomain, потому что оно не пройдет проверку на дату создания и владельца данного доменного имени. The gooddomain domain name will be excluded from the banned list, because it will not pass the check on the date of creation and the owner of this domain name.
Фиг. 3 иллюстрирует алгоритм функционирования системы ограничения получения электронных сообщений от отправителя массовой рассылки спама. На этапе 311 средство выявления 220 осуществляет выявление неизвестного отправителя электронных сообщений. На этапе 312 средство выявления 220 осуществляет формирование набора электронных сообщений, полученных от выявленного отправителя, и передает сформированный набор электронных сообщений средству обнаружения 230. На этапе 313 средство обнаружения 230 осуществляет определение типа спама массовой рассылки на основании сформированного набора электронных сообщений при помощи сигнатур для выявления спама. На этапе 314 средство обнаружения 230 осуществляет формирование ограничений на получение электронных сообщений от отправителя, который рассылает спам определенного типа, и передачу данных о сформированных ограничениях средству отмены 240. На этапе 315 средство отмены 240 осуществляет проверку сформированных ограничений на наличие коллизий при помощи правил выявления коллизий из базы данных правил 260. При наличии коллизий на этапе 317 средство отмены 240 осуществляет изменение сформированного ограничения. При отсутствии коллизий на этапе 316 система завершает работу. Fig. 3 illustrates the operation of a system for restricting the receipt of electronic messages from a bulk spam sender. At
Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24. Fig. 4 shows an example of a general purpose computer system, a personal computer or server 20 ', comprising a central processing unit 21 ', system memory 22 ', and a system bus 23 ', which contains various system components including memory associated with the central processing unit 21 '. The system bus 23 is implemented as any bus structure known in the art, in turn comprising a bus memory or bus memory controller, a peripheral bus, and a local bus capable of interfacing with any other bus architecture. The system memory contains read-only memory (ROM) 24 , random access memory (RAM) 25 . The main input/output system (BIOS) 26 contains the basic procedures that ensure the transfer of information between the elements of a
Персональный компьютер 20 в свою очередь содержит жёсткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жёсткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жёсткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20. The
Настоящее описание раскрывает реализацию системы, которая использует жёсткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединён к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединён к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащён другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.The
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удалёнными компьютерами 49. Удалённый компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы. The
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключён к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключён к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.The network connections may form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the
В заключение следует отметить, что приведённые в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определённого формулой.In conclusion, it should be noted that the information given in the description are examples that do not limit the scope of the present invention defined by the formula.
Claims (36)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/949,308 US20230198926A1 (en) | 2021-12-17 | 2022-09-21 | System and method for restricting the reception of e-mails from a sender of bulk spam mail |
EP22202858.1A EP4199471A1 (en) | 2021-12-17 | 2022-10-20 | System and method for restricting the reception of e-mails from a sender of bulk spam mail |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2787303C1 true RU2787303C1 (en) | 2023-01-09 |
Family
ID=
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100656354B1 (en) * | 2005-08-19 | 2006-12-11 | 한국전자통신연구원 | Method and apparatus for storing of pattern matching data, therefore method for pattern matching |
WO2007002218A1 (en) * | 2005-06-20 | 2007-01-04 | Symantec Corporation | Method and apparatus for maintaining reputation lists of ip addresses to detect email spam |
US20140129655A1 (en) * | 2003-02-20 | 2014-05-08 | Sonicwall, Inc. | Signature generation using message summaries |
RU2541123C1 (en) * | 2013-06-06 | 2015-02-10 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of rating electronic messages to control spam |
US20150120583A1 (en) * | 2013-10-25 | 2015-04-30 | The Mitre Corporation | Process and mechanism for identifying large scale misuse of social media networks |
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140129655A1 (en) * | 2003-02-20 | 2014-05-08 | Sonicwall, Inc. | Signature generation using message summaries |
WO2007002218A1 (en) * | 2005-06-20 | 2007-01-04 | Symantec Corporation | Method and apparatus for maintaining reputation lists of ip addresses to detect email spam |
KR100656354B1 (en) * | 2005-08-19 | 2006-12-11 | 한국전자통신연구원 | Method and apparatus for storing of pattern matching data, therefore method for pattern matching |
RU2541123C1 (en) * | 2013-06-06 | 2015-02-10 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of rating electronic messages to control spam |
US20150120583A1 (en) * | 2013-10-25 | 2015-04-30 | The Mitre Corporation | Process and mechanism for identifying large scale misuse of social media networks |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11997115B1 (en) | Message platform for automated threat simulation, reporting, detection, and remediation | |
US20220336290A1 (en) | User Model-Based Data Loss Prevention | |
US10181957B2 (en) | Systems and methods for detecting and/or handling targeted attacks in the email channel | |
US11095586B2 (en) | Detection of spam messages | |
US7406502B1 (en) | Method and system for classifying a message based on canonical equivalent of acceptable items included in the message | |
US10204157B2 (en) | Image based spam blocking | |
US20090077617A1 (en) | Automated generation of spam-detection rules using optical character recognition and identifications of common features | |
US20060168006A1 (en) | System and method for the classification of electronic communication | |
RU2710739C1 (en) | System and method of generating heuristic rules for detecting messages containing spam | |
US11677783B2 (en) | Analysis of potentially malicious emails | |
JP2009516269A (en) | Content-based policy compliance system and method | |
US20130086632A1 (en) | System, method, and computer program product for applying a rule to associated events | |
US20230325414A1 (en) | Method and system for processing data packages | |
RU2787303C1 (en) | System and method for restricting reception of electronic messages from a mass spam mail sender | |
US20230198926A1 (en) | System and method for restricting the reception of e-mails from a sender of bulk spam mail | |
EP4199471A1 (en) | System and method for restricting the reception of e-mails from a sender of bulk spam mail | |
Jamnekar et al. | Review on Effective Email Classification for Spam and Non Spam Detection on Various Machine Learning Techniques | |
CN117254971A (en) | Mail transmission method, device, equipment and storage medium based on blockchain network | |
Negi | A Novel Technique for Spam Mail Detection using Dendric Cell Algorithm | |
Al Abid | Designing Spam Filtering by Analyzing User and Email Behaviour | |
GARG | Integrated Approach for Email Spam Filter | |
Islam | Designing Spam Mail Filtering Using Data Mining by Analyzing User and Email Behavior |