Resistencia a la propagación de código y datos no deseados.

Un método implementado por ordenador de resistencia a la propagación de código y datos no deseados en unarchivo electrónico,

comprendiendo el método:

recibir un archivo electrónico entrante donde el archivo electrónico entrante es un correo electrónico que tieneuna pluralidad de partes desde un remitente, conteniendo cada parte de dicho archivo datos de contenido enun tipo de archivo de datos predeterminado, teniendo cada tipo de archivo de datos un conjunto de reglasasociado; incluyendo dichas reglas las reglas que componen la especificación del tipo de archivo y las reglasadicionales que limitan los valores y/o los intervalos que contienen y los parámetros que pueden asumirdeterminar un tipo de archivo de datos predeterminado supuesto de cada parte

tratar los datos de contenido de cada parte de acuerdo con las reglas asociadas con el tipo de archivo de datospredeterminado supuesto;

determinar si los datos de contenido de cada parte se ajustan a las reglas asociadas con el tipo de archivo dedatos predeterminado supuesto;

regenerar las partes que se ajustan de los datos de contenido tratados, tras una determinación positiva a partirde los medios de determinación, para crear un archivo electrónico regenerado de sustitución en el tipo dearchivo de datos predeterminado supuesto, conteniendo dicho archivo electrónico regenerado de sustitución losdatos de contenido regenerados;

bloquear las partes de los datos contenidos tratados que no se ajustan a las reglas asociadas con el tipo dearchivo de datos predeterminado supuesto con el fin de bloquear su inclusión en el archivo electrónicoregenerado de sustitución;

almacenar una lista de tipos de archivo y las fuentes asociadas con dichos tipos de archivo que no seconsideran una amenaza; reenviar las partes que no se ajustan a un filtro de amenaza;

determinar mediante el filtro de amenaza para cada parte que no se ajusta si se debe permitir que esa parteque no se ajusta pase sobre la base de la lista almacenada y el remitente del archivo y el tipo de archivo dedatos; y

permitir que una parte que no se ajusta evite el bloqueo e incluir la parte que no se ajusta que lo ha evitado enel archivo electrónico regenerado de sustitución que determinó que es admisible.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/GB2006/002107.

Solicitante: Glasswall Limited.

Nacionalidad solicitante: Reino Unido.

Dirección: Kensal House, 77 Springfield Road Chelmsford, Essex CM2 6JG REINO UNIDO.

Inventor/es: SCALES,NICHOLAS JOHN.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • G06F21/56 FISICA.G06 CALCULO; CONTEO.G06F PROCESAMIENTO ELECTRICO DE DATOS DIGITALES (sistemas de computadores basados en modelos de cálculo específicos G06N). › G06F 21/00 Disposiciones de seguridad para la protección de computadores, sus componentes, programas o datos contra actividades no autorizadas. › Detección de malware en ordenadores o manipulación, p. ej.: disposiciones para antivirus.

PDF original: ES-2428040_T3.pdf

 

Fragmento de la descripción:

Resistencia a la propagación de código y datos no deseados Esta invención se refiere a sistemas informáticos y métodos de funcionamiento de tales sistemas para resistir la propagación de código y datos no deseados.

En la década pasada, los sistemas informáticos han sido cada vez más objeto de ataques mediante código no deseado. Los ejemplos más extremos (hasta ahora) de código no deseado son los virus informáticos. Un virus informático, al igual que su homónimo biológico, es capaz de infectar una máquina y a continuación, a partir de ahí, infectar a otros, apropiándose de los recursos del sistema de correo electrónico para enviar mensajes de correo electrónico que contienen el virus desde un ordenador a muchos otros, usando la libreta de direcciones de cada ordenador al que llega.

El ancho de banda desaprovechado resultante es una molestia para los usuarios. Además, muchos virus realizan alguna acción no deseada en cada ordenador al que llegan, lo que puede incluir, por ejemplo, la eliminación de archivos.

Los virus suelen llegar como código ejecutable, en un archivo adjunto por separado, pero también pueden ocultarse en partes de un correo electrónico, de modo que pueden activarse sin necesidad de que un usuario separe y ejecute el código explícitamente. Muchas aplicaciones, tales como procesadores de texto, hojas de cálculo y bases de datos, incluyen potentes lenguajes de secuencias de instrucciones, que permiten a un archivo que parece ser un documento incluir una secuencia de instrucciones capaz de realizar ciertas operaciones. Los creadores de virus han hecho uso de tales lenguajes de secuencias de instrucciones para escribir los virus de secuencia de instruciones, de manera que los adjuntos de un correo electrónico que incluyen archivos que parecen ser documentos pueden albergar un virus oculto.

Los virus no son la única forma de código no deseado. Es común que los programas "gratis" se distribuyan con "programas espías" ocultos, que pueden, por ejemplo, instalarse de manera encubierta en el ordenador de un usuario y, posteriormente, pueden informar de los sitios web visitados u otras transacciones a un ordenador remoto. Algunos programas espías, provocan la visualización de publicidad no deseada. Algunos programas espías tratarán de provocar que un módem marque repetidamente un número de tasa alta, en el que el creador del programa espía recibe ingresos de un operador de telecomunicaciones. Otros tipos de código perjudicial incluyen programas informáticos dañinos, gusanos y puertas de atrás.

Mientras que los virus se propagan por sí mismos de un ordenador a otro, otras formas de código no deseado se distribuyen por correo electrónico basura, por distribución oculta en el disco, o, cada vez más, por la descarga de un sitio web visitado sin darse cuenta. Todos estos tipos de código no deseado tienen en común el hecho de que su existencia o su propósito real es ocultarse de los propietarios y usuarios de los ordenadores a los que van dirigidos. Mientras que algunos tipos son relativamente inofensivos, otros tienen la capacidad de destruir datos empresariales valiosos y, por lo tanto, se ha desarrollado una industria para el suministro de software antivirus.

El software antivirus, como se conoce en la actualidad, consiste en un programa que se ejecuta en el ordenador que debe protegerse. Tales programas funcionan normalmente en modo monitor, en el que los archivos que deben 45 accederse se comprueban en busca de virus cada vez que se accede al archivo, y en un modo de exploración en el que se exploran todos los archivos en una localización determinada (por ejemplo, una unidad de disco) . Los proveedores de programas antivirus monitorizan los brotes de virus y, cuando se detecta un nuevo virus, las compañías de los programas de antivirus analizan el virus y extraen los datos que se pueden usar para detectar el virus. A continuación, estos datos se pondrán a disposición de los ordenadores que ejecutan el programa antivirus específico interesado; normalmente, proporcionándole en el sitio web de la compañía del programa de antivirus para su descarga.

Los virus se detectan de diversas maneras diferentes. Puede almacenarse una cadena de código característico que forma parte del virus y explorarse los archivos entrantes en busca de la presencia de esa cadena, que por lo tanto 55 actúa como una "firma" o "huella digital" para el virus. Como alternativa, los virus pueden detectarse por su comportamiento previsto; el código fuente o los archivos de secuencia de instrucciones pueden tratarse para detectar operaciones predeterminadas que son características de un virus.

Desafortunadamente, los virus, al igual que sus homólogos biológicos, pueden "mutarse" fácilmente, pequeños cambios en el código, equivalentes a la sustitución de letras mayúsculas y minúsculas, pueden cambiar la firma del virus. Por lo tanto, los archivos de datos para detectar virus, mediante cualquier método, están llegando a ser extremadamente grandes, y el tiempo empleado por los programas antivirus está aumentando proporcionalmente a medida que está creciendo el número de firmas o reglas que deben comprobarse. Mientras que esto puede ser aceptable en el modo de exploración de virus, en el modo monitor está añadiendo una latencia cada vez mayor al 65 tiempo necesario para acceder a los archivos. Además, como las descargas se hacen más grandes y se requieren con más frecuencia, el riesgo de que un usuario fracase al descargar las actualizaciones necesarias, y por lo tanto,

se quede sin protección contra el virus más reciente (y por lo tanto el más peligroso) , es alta.

Por lo tanto, la presente invención tiene un enfoque totalmente diferente a la protección frente a código no deseado.

El documento US2005/081057 desvela un método para prevenir la explotación de un mensaje de correo electrónico y el sistema del mismo.

Sumario Se proporciona un método implementado por ordenador de resistencia a la propagación de código y datos no deseados en una electrónica como se establece en la reivindicación 1.

De acuerdo con un aspecto de la presente invención, se proporciona un método de recepción de un archivo electrónico que contiene datos de contenido en un formato de datos predeterminado, comprendiendo el método las etapas de: recibir el archivo electrónico, determinar el formato de datos, tratar los datos de contenido, a fin de determinar si se ajustan al formato de datos predeterminado, y si los datos de contenido se ajustan al formato de datos predeterminado, regenerar los datos tratados para crear un archivo electrónico regenerado en el formato de datos.

También se proporcionan los sistemas informáticos correspondientes, los programas y los medios para realizar tales programas.

Una realización de la invención funciona para analizar cada archivo recibido y, a continuación, reconstituir a partir de él un archivo de sustitución. Debido a que el archivo original no se almacena el mismo directamente, o se accede, en el ordenador que debe protegerse, no es, el mismo, capaz de hacer daño a ese ordenador. Puede, por ejemplo, almacenarse en una forma de bit invertida u otra forma en la que no se puede ejecutar. Por otro lado, se genera el archivo de sustitución usando un generador de rutina que puede generar solo código "limpio" y los datos. Por tanto, es incapaz de generar código no deseado coincidente con cualquier código en un archivo recibido.

Parte de la presente invención puede basarse en una nueva aplicación de algunas verdades conocidas desde hace tiempo acerca de los archivos de ordenador. La gran mayoría de los archivos que se importan en un ordenador hoy en día están en formatos de archivo normalizados. Los programas propietarios crean sus propios formatos de archivo (y los datos destinados a usarse por los programas deben ajustarse a esos formatos) pero hay suficiente demanda para el intercambio de datos entre los distintos programas propietarios que, en primer lugar, un programa propietario se suministra a menudo con filtros de importación para leer los datos escritos por otros, y, en segundo lugar, existen varios formatos que no están asociados con ningún programa propietario. Ejemplos de tales formatos genéricos son el texto ASCII, el formato de texto enriquecido (RTF) , el lenguaje de marcado de hipertexto (HTML) y el lenguaje de marcado extensible (XML) .

Por lo tanto, los datos en los archivos deben ajustarse con precisión a las normas rígidas si deben leerse por cualquier programa de aplicación, y los formatos usados por los diferentes archivos son ampliamente conocidos. Los presentes inventores se han dado cuenta de que, aunque los formatos usados por los archivos permiten... [Seguir leyendo]

 

Reivindicaciones:

1. Un método implementado por ordenador de resistencia a la propagación de código y datos no deseados en un archivo electrónico, comprendiendo el método:

recibir un archivo electrónico entrante donde el archivo electrónico entrante es un correo electrónico que tiene una pluralidad de partes desde un remitente, conteniendo cada parte de dicho archivo datos de contenido en un tipo de archivo de datos predeterminado, teniendo cada tipo de archivo de datos un conjunto de reglas asociado; incluyendo dichas reglas las reglas que componen la especificación del tipo de archivo y las reglas adicionales que limitan los valores y/o los intervalos que contienen y los parámetros que pueden asumir determinar un tipo de archivo de datos predeterminado supuesto de cada parte tratar los datos de contenido de cada parte de acuerdo con las reglas asociadas con el tipo de archivo de datos predeterminado supuesto; determinar si los datos de contenido de cada parte se ajustan a las reglas asociadas con el tipo de archivo de datos predeterminado supuesto; regenerar las partes que se ajustan de los datos de contenido tratados, tras una determinación positiva a partir de los medios de determinación, para crear un archivo electrónico regenerado de sustitución en el tipo de archivo de datos predeterminado supuesto, conteniendo dicho archivo electrónico regenerado de sustitución los datos de contenido regenerados;

bloquear las partes de los datos contenidos tratados que no se ajustan a las reglas asociadas con el tipo de archivo de datos predeterminado supuesto con el fin de bloquear su inclusión en el archivo electrónico regenerado de sustitución; almacenar una lista de tipos de archivo y las fuentes asociadas con dichos tipos de archivo que no se consideran una amenaza; reenviar las partes que no se ajustan a un filtro de amenaza;

determinar mediante el filtro de amenaza para cada parte que no se ajusta si se debe permitir que esa parte que no se ajusta pase sobre la base de la lista almacenada y el remitente del archivo y el tipo de archivo de datos; y permitir que una parte que no se ajusta evite el bloqueo e incluir la parte que no se ajusta que lo ha evitado en el archivo electrónico regenerado de sustitución que determinó que es admisible.

2. Un método de acuerdo con la reivindicación 1, que comprende además almacenar el archivo electrónico entrante en un formato codificado en la memoria.

3. Un método de acuerdo con la reivindicación 2, donde cada byte de datos se almacena en un orden invertido de 35 bit.

4. Un método de acuerdo con la reivindicación 2, donde los datos se almacenan de manera que cada par de bytes de datos recibidos se coloca en un orden de memoria invertido.

5. Un medio legible por ordenador que comprende un programa de ordenador adaptado para realizar el método de una cualquiera de las reivindicaciones 1 a 4.

6. Un dispositivo semiconductor que comprende un medio de memoria que incluye instrucciones para realizar el

método de una cualquiera de las reivindicaciones 1 a 4. 45

7. Un dispositivo semiconductor de acuerdo con la reivindicación 6, donde el dispositivo semiconductor es un dispositivo de memoria semipermanente o permanente.


 

Patentes similares o relacionadas:

Gestión de software intrusivo, del 17 de Junio de 2020, de Google LLC: Un método, que comprende: dividir páginas de destino asociadas a anuncios en páginas de destino de entrenamiento y probar las páginas de […]

Imagen de 'Sistemas y métodos para rastrear comportamiento malicioso a través…'Sistemas y métodos para rastrear comportamiento malicioso a través de múltiples entidades de software, del 25 de Marzo de 2020, de Bitdefender IPR Management Ltd: Un sistema de servidor que comprende al menos un procesador de hardware y una unidad de memoria, configurado el al menos un procesador de hardware para ejecutar un gestor […]

Sistema y método para proporcionar un nodo de almacenamiento seguro conectado a la red aérea, del 18 de Marzo de 2020, de THE BOEING COMPANY: Un sistema de almacenamiento conectado a la red, que comprende: al menos un medio de almacenamiento extraíble, el al menos un medio de […]

Método, aparato y sistema para detectar condiciones de seguridad de un terminal, del 5 de Febrero de 2020, de HUAWEI TECHNOLOGIES CO., LTD.: Un aparato para detectar un estado de seguridad del terminal, en donde el aparato está ubicado en una unión entre una red privada y una red pública, […]

Evaluación de procesos para la detección de programas malignos en máquinas virtuales, del 22 de Enero de 2020, de Bitdefender IPR Management Ltd: Un sistema [10] central que comprende al menos un procesador [12] hardware configurado para ejecutar: un hipervisor [30] configurado para […]

Defensa cibernética, del 15 de Enero de 2020, de Cybergym Control Ltd: Una instalación de simulación que comprende: una instalación modelo operativa de una instalación de infraestructura real que imita […]

Imagen de 'Método y aparato de detección de amenazas y sistema de red'Método y aparato de detección de amenazas y sistema de red, del 30 de Octubre de 2019, de HUAWEI TECHNOLOGIES CO., LTD.: Un método de detección de amenazas que se aplica a un escenario de carga de retardo, el método comprende: al cargar un localizador uniforme […]

Autoanálisis de memoria dual para asegurar múltiples puntos finales de red, del 2 de Octubre de 2019, de Bitdefender IPR Management Ltd: Un sistema informático que comprende un procesador de hardware y una memoria, configurado el procesador de hardware para ejecutar un hipervisor […]

Utilizamos cookies para mejorar nuestros servicios y mostrarle publicidad relevante. Si continua navegando, consideramos que acepta su uso. Puede obtener más información aquí. .