본 발명은 메일 분류 기술에 관한 것으로, 더욱 상세하게는 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일을 판별함은 물론이고 악성메일의 종류까지 판별하여 분류하는 악성메일 분류방법 및 시스템에 관한 것이다.The present invention relates to a mail classification technology, and more specifically, to a malicious mail classification method and system for collecting mail data for determining whether or not data included in received mail is malicious mail, and classifying malicious mail by determining not only the type of malicious mail but also the type of malicious mail based on the collected mail data.
불특정 다수의 통신 사용자에게 일방적으로 전달하는 광고성 메일인 스팸 메일의 문제는 인터넷의 보급과 기술의 발전으로 인해 많은 문제를 일으키고 있다. 상기의 스팸 메일을 차단하기 위해 종래에는 메일 보안 시스템이 개발되어 운영되고 있지만, 여전히 기술적인 한계가 있었다.The problem of spam mail, which is advertising mail that is unilaterally delivered to an unspecified number of communication users, is causing many problems due to the spread of the Internet and the advancement of technology. In order to block the above spam mail, mail security systems have been developed and operated in the past, but there are still technical limitations.
종래의 메인 보안 시스템은 공격에 대한 기술적인 방법 등을 분석하고 비교하여 차단하는 방식의 블랙리스트 기술과 키워드와 악성코드를 탐지하는 기술 등을 사용하였다.Conventional main security systems have used blacklist technology to analyze and compare technical methods of attacks and block them, as well as technology to detect keywords and malware.
상기 블랙 리스트 기술은 비교적 짧은 개발 기간과 즉각적인 효과를 얻을 수 있기에 대부분의 메일 보안 기술은 블랙리스트 기반으로 개발되고 있다. 그러나 상기의 블랙 리스트 기술은 새로운 방식과 패턴에 대해서는 탐지와 차단을 하지 못하는 큰 단점이 있었다.The above blacklist technology has a relatively short development period and can achieve immediate effects, so most mail security technologies are developed based on blacklists. However, the above blacklist technology has a major drawback in that it cannot detect and block new methods and patterns.
그리고 키워드와 악성코드를 탐지하여 차단하는 기술 역시 새로운 형태의 공격은 탐지되지 않기에 차단이 어려운 문제가 있었다.And the technology to detect and block keywords and malware also had the problem of making it difficult to block new types of attacks because they were not detected.
최근 악성메일은 단순히 광고성 정보를 제공하는 스팸 메일에 그치지 않고 메일발신자를 사칭하거나 위/변조하는 메일이나, 특정한 개인들이나 회사를 대상으로 공격자가 사전에 공격 성공률을 높이기 위해 공격 대상에 대한 정보를 수집하고 이를 분석하여 피싱 공격을 수행하는 스피어 피싱메일 등 다양한 형태로 진화하고 있다.Recently, malicious emails are evolving into various forms, such as spam emails that simply provide advertising information, emails that impersonate or falsify the sender, and spear phishing emails in which attackers collect information about the target of the attack in advance to increase the success rate of the attack and analyze this information to carry out phishing attacks targeting specific individuals or companies.
이러한 이유로 사칭 메일과 위변조 메일로부터 선의의 메일 사용자를 보호할 수 있는 메일 보안 기술의 개발에 대한 요구가 증가하고 있다.For this reason, there is an increasing demand for the development of mail security technologies that can protect honest mail users from phishing and forged mail.
이러한 요구에 부응하는 기술로는 대한민국 특허청에 사칭 또는 위변조 메일 관리 방법 및 시스템을 명칭으로 하여 특허등록된 제10-2176564호가 있으며, 이는 사칭된 발신자와 위변조된 발신자의 심리 특징을 분석하여 스스로를 위장하거나 숨기기 위해 자신들을 찾지 못하게 하는 심리를 역이용한 것으로, 메일 시스템의 발신 메일이 전달되지 않고 메일의 유실을 막기 위해 개발된 에러코드를 이용하여 사칭된 발신자와 위변조된 발신자를 검출하여 차단하여 악의를 가진 발신자로부터 선의의 메일 사용자를 보호하는 기술을 개시하고 있다.A technology that meets these needs is Patent No. 10-2176564 registered with the Korean Intellectual Property Office entitled Method and System for Managing Fraudulent or Forged Mail, which analyzes the psychological characteristics of fraudulent and forged senders and takes advantage of their psychology to disguise or hide themselves and prevent them from being found. It discloses a technology to protect innocent mail users from malicious senders by detecting and blocking fraudulent and forged senders using error codes developed to prevent mail from being delivered or lost in mail systems.
그리고 대한민국 특허청에 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템을 명칭으로 하여 특허공개된 제10-2013-0131133호가 있으며, 이는 내부 네트워크에서 송수신되는 트래픽을 모니터링하여 메일과 관련된 데이터 패킷을 추출하여 저장하고, 각 데이터 패킷을 분석하여 각 메일 데이터를 메일에 포함된 URL을 포함하는 구성 항목별로 처리하여 구조화된 메일 데이터를 생성하는 메일 구조화 단계: 상기 메일 구조화 단계에서 구조화된 메일 데이터로부터 메일에 포함된 URL을 추출하여 이를 기초로 메일 데이터의 위협의 존재 여부를 검사하는 위협 검출 단계; 상기 위협 검출 단계의 검사 결과에 따라 메일에 포함된 URL에 해당하는 사이트의 위협 여부를 분류하여 위험 관리 목록을 생성하는 위험 관리 목록 생성 단계; 상기 위험 관리 목록에 기초하여 차단 목록을 작성하는 차단 목록(Blocking List)작성 단계를 포함하여, 위험 관리 목록 생성 단계(S30)는 외부 웹메일 서비스(external web mail service)측과 조직의 내부 메일 서비스(organization's mail service) 측으로 분리되어 수행되어, 외부 웹메일 서비스에 대한 위험관리 목록과 조직 메일 서비스에 대한 위험관리 목록을 별도로 생성하고, 차단 목록(Blocking List)작성 단계(S40)는 이들을 상호참조하여 차단 목록(Blocking List)을 작성하는 기술을 개시하고 있습니다.And there is a patent published by the Korean Intellectual Property Office No. 10-2013-0131133 entitled "Method for blocking intelligent phishing mails through internal/external traffic monitoring" and "Intelligent phishing mail blocking system", which includes: a mail structuring step of monitoring traffic sent and received in an internal network to extract and store data packets related to mails, analyzing each data packet to process each mail data by component including URLs included in the mail, and generating structured mail data; a threat detection step of extracting URLs included in the mail from the structured mail data in the mail structuring step and checking whether there is a threat to the mail data based on the extracted URLs; a risk management list generation step of generating a risk management list by classifying whether a site corresponding to a URL included in the mail is a threat based on the test results of the threat detection step; The risk management list creation step (S30), including the blocking list creation step of creating a blocking list based on the above risk management list, is performed separately on the external web mail service side and the organization's mail service side, so that the risk management list for the external web mail service and the risk management list for the organization's mail service are created separately, and the blocking list creation step (S40) discloses a technology of creating a blocking list by cross-referencing them.
상기한 바와 같이 종래에는 다양한 방식으로 악성메일로부터 선의의 메일사용자를 보호하기 위한 노력이 계속되고 있었다.As mentioned above, efforts have been made to protect good-intentioned email users from malicious emails in various ways.
이에 종래에는 악성메일을 더욱 더 효과적으로 판별해내기 위한 기술의 개발이 요구되었다. 또한 악성메일을 판별하여 차단하는 것뿐만 아니라, 악성메일의 종류를 효과적으로 분류하여 악성메일의 통계나 공격의 양상변화 등을 손쉽게 파악할 수 있게 하기에는 어려움이 있었다.Accordingly, the development of technology to more effectively identify malicious emails has been required. In addition, it has been difficult to not only identify and block malicious emails, but also effectively classify the types of malicious emails to easily identify statistics on malicious emails and changes in attack patterns.
본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별할 수 있는 악성메일 분류방법 및 시스템을 제공하는 것을 그 목적으로 한다.The purpose of the present invention is to provide a method and system for classifying malicious mails, which collects mail data for determining whether data included in received mails are malicious mails, and effectively determines whether mails are malicious based on the collected mail data.
또한 본 발명의 다른 목적은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별함은 물론이고 악성메일의 종류까지 판별하여 분류하는 악성메일 분류방법 및 시스템을 제공하는 것이다.In addition, another purpose of the present invention is to provide a method and system for classifying malicious mails, which collects mail data for determining whether data included in received mails are malicious mails, and effectively determines whether mails are malicious mails based on the collected mail data, and classifies the types of malicious mails by determining them.
상기한 목적을 달성하기 위한 본 발명에 따르는 악성메일 분류 시스템은, 수신메일이 제공되면, 상기 수신메일의 발신 도메인과 수신 도메인이 일치하는지 여부를 판별하고, 상기 발신 도메인과 수신 도메인이 일치함을 나타내는 제1정보를 생성하고, 상기 수신메일에 포함된 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제2정보를 생성하고, 상기 수신메일에 포함된 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제3정보를 생성하고, 상기 수신메일에 포함된 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제4정보를 생성하며, 상기 제1 내지 제4정보를 포함하는 메일데이터를 구성하는 메일데이터 수집부; 및 상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치하지 않음을 나타내고, 상기 제2정보가 상기 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 상기 제3정보가 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 상기 제4정보가 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내면, 상기 수신메일을 악성메일로 판별하고 발신 도메인 주소로 접속을 시도하고 상기 발신 도메인 주소로 접속되지 않으면 사설메일로 분류하고, 상기 발신 도메인 주소로 접속되면 도메인메일로 분류하는 메일분류부;를 포함하는 것을 특징으로 한다.In order to achieve the above-described purpose, a malicious mail classification system according to the present invention comprises: a mail data collection unit which, when a received mail is provided, determines whether a sending domain of the received mail and a receiving domain match, generates first information indicating that the sending domain and the receiving domain match, determines whether an A record of a session domain included in the received mail exists in public DNS information, generates second information indicating whether the A record of the session domain exists in public DNS information, determines whether an A record of a HELO domain included in the received mail exists in public DNS information, generates third information indicating whether the A record of the HELO domain exists in public DNS information, determines whether an A record of a PTR domain included in the received mail exists in public DNS information, and generates fourth information indicating whether the A record of the PTR domain exists in public DNS information, and configures mail data including the first to fourth information; And it is characterized by including a mail classification unit which, when the first information indicates that the sending domain and the receiving domain do not match, the second information indicates that the A record of the domain does not exist in public DNS information, the third information indicates that the A record of the HELO domain does not exist in public DNS information, and the fourth information indicates that the A record of the PTR domain does not exist in public DNS information, determines the receiving mail as a malicious mail and attempts to connect to the sending domain address, and if the connection to the sending domain address is not made, classifies it as a private mail, and if the connection to the sending domain address is made, classifies it as a domain mail.
본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별할 수 있게 하여 다양한 방식의 악성메일로부터 선의의 메일사용자를 보호할 수 있는 효과를 제공한다.The present invention collects mail data for determining whether data included in received mail is malicious mail, and effectively determines whether mail is malicious based on the collected mail data, thereby providing the effect of protecting innocent mail users from various types of malicious mail.
또한 본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별함은 물론이고 악성메일의 종류까지 판별하여 분류하여, 악성메일의 통계나 공격의 양상변화 등을 손쉽게 파악할 수 있게 하여 악성메일의 양상변화에 적응적으로 대응할 수 있게 하는 효과를 제공한다.In addition, the present invention collects mail data for determining whether or not data included in received mail is malicious mail, and based on the collected mail data, effectively determines whether or not the mail is malicious, and classifies the type of malicious mail, thereby enabling easy grasp of statistics on malicious mail and changes in attack patterns, thereby providing the effect of enabling adaptive response to changes in the patterns of malicious mail.
도 1은 본 발명의 바람직한 실시예에 따르는 메일 분류 시스템의 구성도.
도 2 내지 도 5는 본 발명의 바람직한 실시예에 따르는 메일 데이터 수집과정의 절차도.
도 6 및 도 7은 본 발명의 바람직한 실시예에 따르는 메일 분류 과정의 절차도.Figure 1 is a configuration diagram of a mail classification system according to a preferred embodiment of the present invention.
Figures 2 to 5 are procedure diagrams of a mail data collection process according to a preferred embodiment of the present invention.
Figures 6 and 7 are flow charts of a mail classification process according to a preferred embodiment of the present invention.
본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별할 수 있게 하여 다양한 방식의 악성메일로부터 선의의 메일사용자를 보호할 수 있다.The present invention collects mail data for determining whether data included in received mail is malicious mail, and effectively determines whether mail is malicious based on the collected mail data, thereby protecting innocent mail users from various types of malicious mail.
또한 본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별함은 물론이고 악성메일의 종류까지 판별하여 분류하여, 악성메일의 통계나 공격의 양상변화 등을 손쉽게 파악할 수 있게 하여 악성메일의 양상변화에 적응적으로 대응할 수 있게 한다.In addition, the present invention collects mail data for determining whether or not data included in received mail is malicious mail, and based on the collected mail data, effectively determines whether or not the mail is malicious, and classifies the type of malicious mail, thereby making it possible to easily grasp statistics on malicious mail and changes in attack patterns, and thereby adaptively respond to changes in the patterns of malicious mail.
이러한 본 발명의 바람직한 실시예에 따르는 악성메일 분류 방법 및 시스템을 도면을 참조하여 상세히 설명한다.A method and system for classifying malicious mail according to a preferred embodiment of the present invention will be described in detail with reference to the drawings.
<악성메일 분류 시스템의 구성><Composition of the malicious email classification system>
도 1은 본 발명의 바람직한 실시예에 따르는 악성메일 분류 시스템의 구성도이다. 상기 도 1을 참조하면, 상기 악성메일 분류 시스템은 메일데이터 수집부(100)와 메일 분류부(200)로 구성된다.Figure 1 is a configuration diagram of a malicious mail classification system according to a preferred embodiment of the present invention. Referring to Figure 1, the malicious mail classification system is composed of a mail data collection unit (100) and a mail classification unit (200).
상기 메일데이터 수집부(100)는 수신메일을 제공받아 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터를 수집하고, 그 수집된 메일데이터를 상기 메일 분류부(200)로 제공한다.The above mail data collection unit (100) receives received mail, collects mail data to determine whether the data included in the received mail is malicious mail, and provides the collected mail data to the above mail classification unit (200).
상기 메일데이터 수집부(100)는 HELO 및 세션 도메인 데이터 수집부(102)와 PTR 레코드 데이터 수집부(104)와 SPF 레코드 데이터 수집부(106)와 발신 및 수신 도메인 데이터 수집부(108)로 구성된다. 상기 HELO 및 세션 도메인 데이터 수집부(102)는 수신메일에 대해 HELO 도메인의 A 레코드가 퍼블릭 DNS에 등록되어 있지 않거나 클라이언트가 고의적으로 도메인을 위, 변조하였는지를 판별하고 그 판별결과를 나타내는 정보와, 세션도메인의 A 레코드가 퍼블릭 DNS에 등록되지 않거나 고의적으로 도메인을 위, 변조하였는지를 판별하고 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.The above mail data collection unit (100) is composed of a HELO and session domain data collection unit (102), a PTR record data collection unit (104), an SPF record data collection unit (106), and a sending and receiving domain data collection unit (108). The HELO and session domain data collection unit (102) determines whether the A record of the HELO domain for the received mail is not registered in the public DNS or whether the client has intentionally falsified or altered the domain, and generates information indicating the determination result, and determines whether the A record of the session domain is not registered in the public DNS or whether the domain has been intentionally falsified or altered, and generates information indicating the determination result, and adds the information to the mail data corresponding to the received mail.
그리고 PTR 레코드 데이터 수집부(104)는 PTR의 A 레코드가 퍼블릭 DNS에서 발신 IP에 대한 도메인으로 조회되지 않는지를 판별하고 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.And the PTR record data collection unit (104) determines whether the A record of the PTR is not searched for as a domain for the sending IP in the public DNS, and creates information indicating the determination result and adds it to the mail data corresponding to the received mail.
상기 SPF 레코드 데이터 수집부(106)는 SMTP 프로토콜 세션이 연결된 상태에서 보낸이 메일주소를 지정 당시에 작성된 도메인에 대한 TXT 레코드를 지칭하는 상기 세션 도메인의 SPF TXT 레코드가 퍼블릭 DNS에 해당 도메인의 TXT 레코드가 등록되지 않았거나, 메일 발신지의 IP 주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하거, 메일 발신지의 IP주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하지 않는지를 판별하고, 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.The above SPF record data collection unit (106) determines whether the SPF TXT record of the session domain, which refers to the TXT record for the domain created when the sender's email address was specified while the SMTP protocol session was connected, is not registered in the public DNS for the TXT record of the corresponding domain, or the IP address of the mail sender exists within the range of the TXT record registered in the public DNS, or the IP address of the mail sender does not exist within the range of the TXT record registered in the public DNS, and creates information indicating the determination result and adds it to the mail data corresponding to the received mail.
또한 상기 상기 SPF 레코드 데이터 수집부(106)는 SMTP 프로토콜 세션이 연결된 상태에서 받는 이의 메일 주소(Rctp to)를 지정 후 메시지 본문 내용에서 작성되는 발신자의 계정(from)에 포함되는 도메인에 대한 TXT 레코드를 지칭하는 헤더 발신 도메인의 SPF TXT 레코드가, 퍼블릭 DNS에 해당 도메인의 TXT 레코드가 등록되지 않았거나, 메일 발신지의 IP 주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하거나, 메일 발신지의 IP주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하지 않는 지를 판별하고, 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.In addition, the SPF record data collection unit (106) determines whether the SPF TXT record of the header sending domain, which refers to the TXT record for the domain included in the sender's account (from) written in the message body after specifying the recipient's mail address (Rctp to) while the SMTP protocol session is connected, has not registered the TXT record of the corresponding domain in the public DNS, or the IP address of the mail sender exists in the range of the TXT record registered in the public DNS, or the IP address of the mail sender does not exist in the range of the TXT record registered in the public DNS, and creates information indicating the determination result and adds it to the mail data corresponding to the received mail.
상기 발신 및 수신 도메인 데이터 수집부(108)는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 일치하거나, SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 서로 불일치하거나, SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이(To)의 메일주소를 지정 당시 도메인이 일치하거나, SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소가 지정 당시 도메인이 서로 불일치한지를 판별하고, 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.The above-mentioned sending and receiving domain data collection unit (108) determines whether the domains match when the sender and recipient email addresses are specified while the SMTP protocol session is connected, or whether the domains do not match when the sender and recipient email addresses are specified while the SMTP protocol session is connected, or whether the domains match when the sender and recipient (To) email addresses are specified in the message body during the SMTP protocol session, or whether the domains do not match when the sender and recipient email addresses are specified in the message body during the SMTP protocol session, and generates information indicating the determination result and adds it to the mail data corresponding to the received mail.
그리고 상기 발신 및 수신 도메인 데이터 수집부(108)는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 계정('@'를 구분자로 한 앞부분)이 일치하거나, SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 계정이 서로 불일치하거나, SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소를 지정 당시 계정이 일치하거나, SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소를 지정 당시 계정이 서로 불일치한지를 판별하고 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.And the above-mentioned sending and receiving domain data collection unit (108) determines whether the accounts (the first part with '@' as a delimiter) at the time of specifying the email addresses of the sender and the recipient match while the SMTP protocol session is connected, or the accounts do not match when the email addresses of the sender and the recipient are specified while the SMTP protocol session is connected, or the accounts match when the email addresses of the sender and the recipient are specified in the message body during the SMTP protocol session, or the accounts do not match when the email addresses of the sender and the recipient are specified in the message body during the SMTP protocol session, and creates information indicating the result of the determination and adds it to the mail data corresponding to the received mail.
상기 메일 분류부(200)는 상기 메일데이터 수집부(100)가 수집한 메일데이터들을 제공받아 수신메일이 악성메일인지 판별함과 아울러 악성메일을 종류별로 분류하고 그 결과를 출력한다. 상기 메일 분류부(200)는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 일치하는 경우에서의 수신메일이 악성메일인지 악성메일이라면 어떤 종류의 악성메일인지를 분류하여 출력하는 제1분류부(202)와 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 불일치하는 경우에서의 수신메일이 악성메일인지 악성메일라면 어떤 종류의 악성메일인지를 분류하여 출력하는 제2분류부(204)로 구성된다.The above mail classification unit (200) receives the mail data collected by the above mail data collection unit (100), determines whether the received mail is malicious mail, classifies the malicious mail by type, and outputs the result. The above mail classification unit (200) is composed of a first classification unit (202) that classifies and outputs whether the received mail is malicious mail and, if so, what type of malicious mail it is when the domains of the sender and the recipient's mail addresses match when the SMTP protocol session is connected, and a second classification unit (204) that classifies and outputs whether the received mail is malicious mail and, if so, what type of malicious mail it is when the domains of the sender and the recipient's mail addresses do not match when the SMTP protocol session is connected.
상기의 악성메일 분류 시스템에 적용가능한 악성메일 분류과정을 크게 메일데이터 수집과정과 메일분류과정으로 나누어 설명한다.The malicious mail classification process applicable to the above malicious mail classification system is broadly divided into the mail data collection process and the mail classification process.
<메일데이터 수집과정><Mail data collection process>
먼저 악성메일 분류를 위해 메일데이터를 수집하는 과정을 도 2 내지 도 5를 참조하여 설명한다.First, the process of collecting mail data for malicious mail classification is explained with reference to Figures 2 to 5.
<HELO 및 세션 도메인 데이터 수집과정><HELO and Session Domain Data Collection Process>
도 2는 본 발명의 바람직한 실시예에 따라 수신메일로부터 HELO 및 세션 도메인 데이터를 수집하는 과정의 절차도를 도시한 것으로, 상기 HELO 및 세션 도메인 데이터 수집부(102)에 의해 수행된다.FIG. 2 is a flow chart illustrating a process of collecting HELO and session domain data from a received mail according to a preferred embodiment of the present invention, which is performed by the HELO and session domain data collection unit (102).
상기 HELO 및 세션 도메인 데이터 수집부(102)는 수신메일을 제공받아(300단계), 수신메일의 HELO 및 세션 도메인의 A 레코드를 검출하고(302단계), Nslookup을 통해 퍼블릭 DNS 정보제공자가 제공하는 퍼블릭 DNS 정보에 수신메일의 HELO 및 세션 도메인의 A 레코드가 있는지를 조회한다(304단계).The above HELO and session domain data collection unit (102) receives a received mail (step 300), detects the A record of the HELO and session domain of the received mail (step 302), and checks whether the public DNS information provided by the public DNS information provider contains the A record of the HELO and session domain of the received mail through Nslookup (step 304).
상기 HELO 및 세션 도메인 데이터 수집부(102)는 상기 조회결과가 제공되면(305단계), 상기 퍼블릭 DNS 정보에 HELO 도메인의 A 레코드가 있는지를 판별하고(306단계), 상기 퍼블릭 DNS 정보에 HELO 도메인의 A 레코드가 있으면 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 기록되어 있음을 나타내는 정보(HELO 있음)를 나타내는 메일데이터를 생성하여 기록하고(308단계), 상기 퍼블릭 DNS 정보에 HELO 도메인의 A 레코드가 없으면 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 기록되어 있지 않음을 나타내는 정보(HELO 없음)를 나타내는 메일데이터를 생성하여 기록한다(310단계).The HELO and session domain data collection unit (102) determines whether the public DNS information contains an A record of the HELO domain (step 306), if the public DNS information contains an A record of the HELO domain, generates and records mail data indicating information (HELO exists) indicating that the A record of the HELO domain is recorded in the public DNS information (step 308), and if the public DNS information does not contain an A record of the HELO domain, generates and records mail data indicating information (HELO not present) indicating that the A record of the HELO domain is not recorded in the public DNS information (step 310).
그리고 상기 HELO 및 세션 도메인 데이터 수집부(102)는 상기 조회결과가 제공되면, 상기 퍼블릭 DNS 정보에 세션 도메인의 A 레코드가 있는지를 판별하고(312단계), 상기 퍼블릭 DNS 정보에 세션 도메인 레코드가 있으면 세션 도메인 레코드가 퍼블릭 DNS 정보에 기록되어 있음을 나타내는 정보(세션 있음)를 생성하여 상기 메일데이터에 부가하여 기록하고(314단계), 상기 퍼블릭 DNS 정보에 세션 도메인 레코드가 없으면 세션 도메인 레코드가 퍼블릭 DNS 정보에 기록되어 있지 않음을 나타내는 정보(세션 없음)를 생성하여 상기 메일데이터에 부가하여 기록한다(316단계).And when the above HELO and session domain data collection unit (102) provides the above query result, it determines whether there is an A record of a session domain in the public DNS information (step 312), and if there is a session domain record in the public DNS information, it generates information indicating that the session domain record is recorded in the public DNS information (session exists) and records it by adding it to the mail data (step 314), and if there is no session domain record in the public DNS information, it generates information indicating that the session domain record is not recorded in the public DNS information (session not exists) and records it by adding it to the mail data (step 316).
여기서, 상기 HELO 있음은 도메인 A 레코드가 퍼블릭 DNS에 등록되어 있음을 의미하며, 클라이언트가 서버에 명령을 전송함으로서 SMTP를 식별하고 대화의 시작을 알린다. 그리고 상기 HELO 없음은 도메인 A 레코드가 퍼블릭 DNS에 등록되어 있지 않거나 클라이언트가 고의적으로 도메인을 위, 변조했음을 의미할 수 있다.Here, the presence of the HELO indicates that the domain A record is registered in the public DNS, and the client identifies SMTP by sending a command to the server and notifies the start of the conversation. The absence of the HELO indicates that the domain A record is not registered in the public DNS or that the client has intentionally falsified or altered the domain.
그리고 세션 도메인은 SMTP 커맨드 진행 중 보낸이 메일 주소(Mail from)를 지정하는 부분으로 새 메일 트랜잭션이 시작되는 것을 알린다. 이에 상기 세션 있음은 입력된 보낸이 메일주소에 해당하는 도메인의 A 레코드가 퍼블릭 DNS에 등록되었음을 의미하고, 상기 세션 없음은 입력된 보낸이 메일 주소에 해당하는 도메인의 A 레코드가 퍼블릭 DNS에 등록되지 않거나 고의적으로 도메인을 위, 변조했음을 의미할 수 있다.And the session domain is a part that specifies the sender's email address (Mail from) during the SMTP command process, and notifies that a new mail transaction has begun. Accordingly, the presence of the above session means that the A record of the domain corresponding to the input sender's email address has been registered in the public DNS, and the absence of the above session may mean that the A record of the domain corresponding to the input sender's email address has not been registered in the public DNS, or that the domain has been intentionally falsified or altered.
상기한 바와 같이 본 발명의 HELO 및 세션 도메인 데이터 수집부(102)는 수신메일에 포함된 HELO 및 세션 도메인의 A 레코드를 검출하고, 검출된 HELO 및 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 존재하는지를 판별하고 그에 따른 판별결과, 즉 HELO 및 세션 도메인의 A 레코드 각각에 대해 있음/없음을 나타내는 정보를 포함하는 해당 수신메일에 대응되는 메일데이터에 부가하여 기록한다.As described above, the HELO and session domain data collection unit (102) of the present invention detects A records of HELO and session domains included in received mail, determines whether the detected A records of HELO and session domains exist in public DNS information, and records the determination result, i.e., information indicating the presence/absence of each of the A records of HELO and session domains, in addition to mail data corresponding to the received mail.
<PTR 레코드 데이터 수집과정><PTR record data collection process>
그리고 도 3은 본 발명의 바람직한 실시예에 따라 수신메일로부터 PTR 레코드 데이터를 수집하는 과정의 절차도를 도시한 것으로, 상기 PTR 레코드 데이터 수집부(104)에 의해 수행된다.And FIG. 3 is a flow chart illustrating a process of collecting PTR record data from a received mail according to a preferred embodiment of the present invention, which is performed by the PTR record data collection unit (104).
상기 PTR 레코드 데이터 수집부(104)는 수신메일을 제공받아(400단계), 수신 메일의 PTR의 A 레코드를 검출하고(402단계), Nslookup을 통해 퍼블릭 DNS 정보제공자가 제공하는 퍼블릭 DNS 정보에 수신메일의 PTR의 A 레코드가 있는지를 조회한다(404단계).The above PTR record data collection unit (104) receives a received email (step 400), detects the A record of the PTR of the received email (step 402), and checks whether the A record of the PTR of the received email exists in the public DNS information provided by the public DNS information provider through Nslookup (step 404).
상기 PTR 레코드 데이터 수집부(104)는 상기 조회결과가 제공되면(406단계), 상기 퍼블릭 DNS 정보에 PTR의 A 레코드가 있는지를 판별하고(408단계), 상기 퍼블릭 DNS 정보에 PTR의 A 레코드가 있으면 PTR 레코드가 퍼블릭 DNS 정보에 기록되어 있음을 나타내는 정보(PTR 있음)를 생성하여 상기 메일데이터에 부가하여 기록하고(410단계), 상기 퍼블릭 DNS 정보에 PTR 레코드가 없으면 PTR 레코드가 퍼블릭 DNS 정보에 기록되어 있지 않음을 나타내는 정보(PTR 없음)를 생성하여 상기 메일데이터에 부가하여 기록한다(412단계).The above PTR record data collection unit (104) determines whether there is an A record of PTR in the public DNS information when the above search result is provided (step 406), and if there is an A record of PTR in the public DNS information, information indicating that a PTR record is recorded in the public DNS information (PTR exists) is generated and added to the mail data and recorded (step 410), and if there is no PTR record in the public DNS information, information indicating that a PTR record is not recorded in the public DNS information (PTR does not exist) is generated and added to the mail data and recorded (step 412).
여기서, 상기 PTR는 도메인이 아닌 발신 IP에 질의를 하여 도메인을 확인하는 과정으로, 상기 PTR 있음은 ISP 업체를 통한 퍼블릭 DNS에서 발신 IP에 대한 도메인이 존재함을 의미하고, 상기 PTR 없음은 퍼블릭 DNS에서 발신 IP에 대한 도메인인지 조회가 되지 않음을 의미한다.Here, the PTR is a process of verifying a domain by querying the sending IP, not the domain. The presence of the PTR means that a domain exists for the sending IP in the public DNS through the ISP, and the absence of the PTR means that the public DNS cannot be used to query whether the domain is for the sending IP.
상기한 바와 같이 본 발명의 PTR 레코드 데이터 수집부(102)는 수신메일에 포함된 PTR 레코드를 검출하고, 검출된 PTR 레코드가 퍼블릭 DNS 정보에 존재하는지를 판별하고 그에 따른 판별결과, 즉 PTR 레코드에 대해 있음/없음을 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가하여 기록한다.As described above, the PTR record data collection unit (102) of the present invention detects a PTR record included in a received mail, determines whether the detected PTR record exists in public DNS information, and generates information indicating the presence/absence of the PTR record based on the determination result, and records it by adding it to mail data corresponding to the received mail.
<SPF 레코드 데이터 수집과정><SPF record data collection process>
그리고 도 4는 본 발명의 바람직한 실시예에 따라 수신메일로부터 SPF 레코드 데이터를 수집하는 과정의 절차도를 도시한 것으로, 상기 SPF 레코드 데이터 수집부(106)에 의해 수행된다.And Fig. 4 is a procedure diagram illustrating a process of collecting SPF record data from received mail according to a preferred embodiment of the present invention, which is performed by the SPF record data collection unit (106).
상기 SPF 레코드 데이터 수집부(106)는 수신메일을 제공받아(500단계), 수신메일의 세션 도메인의 A 레코드 및 헤더 발신 도메인의 A 레코드를 검출하고(502단계), 상기 세션 도메인의 A 레코드가 없으면(504단계), 세션 도메인의 SPF TXT 레코드가 없음을 나타내는 정보(S_SPF 없음)를 생성하여 상기 메일데이터에 부가하여 기록하고(518단계), 상기 세션 도메인의 A 레코드가 있으면(504단계), 수신메일의 세션 도메인의 A 레코드의 SPF TXT 레코드를 검출하고(506단계), Nslookup을 통해 퍼블릭 DNS 정보제공자가 제공하는 퍼블릭 DNS 정보에 수신메일의 세션 도메인의 A 레코드의 SPF TXT 레코드가 있는지를 조회한다(508단계).The SPF record data collection unit (106) receives the received mail (step 500), detects the A record of the session domain of the received mail and the A record of the header sending domain (step 502), and if there is no A record of the session domain (step 504), it creates information indicating that there is no SPF TXT record of the session domain (S_SPF None) and records it by adding it to the mail data (step 518), and if there is an A record of the session domain (step 504), it detects the SPF TXT record of the A record of the session domain of the received mail (step 506), and checks whether there is an SPF TXT record of the A record of the session domain of the received mail in the public DNS information provided by the public DNS information provider through Nslookup (step 508).
상기 SPF 레코드 데이터 수집부(106)는 상기 조회결과가 제공되면(510단계), 상기 퍼블릭 DNS 정보에 세션 도메인의 A 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 있는지를 체크하고(512단계), 상기 퍼블릭 DNS 정보에 세션 도메인의 A 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 있으면 세션 도메인의 SPF TXT 레코드가 포함됨을 나타내는 정보(S_SPF_포함)를 생성하여 상기 메일데이터에 부가하여 기록하고(514단계), 상기 퍼블릭 DNS 정보에 세션 도메인의 A 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 없으면 세션 도메인의 SPF TXT 레코드가 미포함됨을 나타내는 정보(S_SPF_미포함)를 생성하여 상기 메일데이터에 부가하여 기록한다(516단계).When the query result is provided (step 510), the SPF record data collection unit (106) checks whether the SPF TXT record of the A record of the session domain is in the public DNS information (step 512), and if the SPF TXT record of the A record of the session domain is in the public DNS information, information indicating that the SPF TXT record of the session domain is included (S_SPF_INCLUDED) is generated and added to the mail data and recorded (step 514), and if the SPF TXT record of the A record of the session domain is not in the public DNS information, information indicating that the SPF TXT record of the session domain is not included (S_SPF_INCLUDED) is generated and added to the mail data and recorded (step 516).
그리고 상기 SPF 레코드 데이터 수집부(106)는 수신메일의 헤더 발신 도메인의 A 레코드가 없으면(520단계), 헤더 발신 도메인의 SPF TXT 레코드가 없음을 나타내는 정보(H_SPF 없음)를 생성하여 상기 메일데이터에 부가하여 기록하고(534단계), 상기 헤더 발신 도메인의 A 레코드가 있으면(520단계), 수신메일의 헤더 발신 도메인의 A 레코드의 SPF TXT 레코드를 검출하고(522단계), Nslookup을 통해 퍼블릭 DNS 정보제공자가 제공하는 퍼블릭 DNS 정보에 수신메일의 헤더 발신 도메인의 A 레코드의 SPF TXT 레코드가 있는지를 조회한다(524단계).And, if there is no A record of the header sending domain of the received mail (step 520), the SPF record data collection unit (106) creates information indicating that there is no SPF TXT record of the header sending domain (H_SPF None) and records it by adding it to the mail data (step 534). If there is an A record of the header sending domain (step 520), the SPF TXT record of the A record of the header sending domain of the received mail is detected (step 522), and through Nslookup, it checks whether there is an SPF TXT record of the A record of the header sending domain of the received mail in the public DNS information provided by the public DNS information provider (step 524).
상기 SPF 레코드 데이터 수집부(106)는 상기 조회결과가 제공되면(526단계), 상기 퍼블릭 DNS 정보에 헤더 발신 도메인의 A 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 있으면(528단계), 헤더 발신 도메인의 SPF TXT 레코드가 포함됨을 나타내는 정보(H_SPF_포함)를 생성하여 상기 메일데이터에 부가하여 기록하고(530단계), 상기 퍼블릭 DNS 정보에 헤더 발신 도메인의 A 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 없으면(528단계), 헤더 발신 도메인의 SPF TXT 레코드가 미포함됨을 나타내는 정보(H_SPF_미포함)를 생성하여 상기 메일데이터에 부가하여 기록한다(532단계).The SPF record data collection unit (106) above, when the query result is provided (step 526), if the SPF TXT record of the A record of the header sending domain is included in the public DNS information (step 528), generates information (H_SPF_INCLUDED) indicating that the SPF TXT record of the header sending domain is included and records it by adding it to the mail data (step 530), and if the SPF TXT record of the A record of the header sending domain is not included in the public DNS information (step 528), generates information (H_SPF_EXCLUDED) indicating that the SPF TXT record of the header sending domain is not included and records it by adding it to the mail data (step 532).
여기서, 상기 세션 도메인의 SPF TXT 레코드는 SMTP 프로토콜 세션이 연결된 상태에서 보낸이 메일주소를 지정 당시에 작성된 도메인에 대한 TXT 레코드를 말한다. 상기 S_SPF 없음은 퍼블릭 DNS에 해당 도메인의 TXT 레코드가 등록되지 않았음을 의미하고, 상기 S_SPF 포함은 메일 발신지의 IP 주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재함을 의미하고, 상기 S_SPF 미포함은 메일 발신지의 IP주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하지 않음을 의미한다.Here, the SPF TXT record of the above session domain refers to a TXT record for the domain created when the sender's email address was specified while the SMTP protocol session was connected. The absence of the S_SPF means that the TXT record of the corresponding domain is not registered in the public DNS, the inclusion of the S_SPF means that the IP address of the mail sender exists in the range of the TXT record registered in the public DNS, and the exclusion of the S_SPF means that the IP address of the mail sender does not exist in the range of the TXT record registered in the public DNS.
그리고 상기 헤더 발신 도메인의 SPF TXT 레코드는 SMTP 프로토콜 세션이 연결된 상태에서 받는 이의 메일 주소(Rctp to)를 지정 후 메시지 본문 내용에서 작성되는 발신자의 계정(from)에 포함되는 도메인에 대한 TXT 레코드를 말하며, 상기 H_SPF 없음은 퍼블릭 DNS에 해당 도메인의 TXT 레코드가 등록되지 않았음을 의미하고, 상기 H_SPF 포함은 메일 발신지의 IP 주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재함을 의미하고, 상기 H_SPF 미포함은 메일 발신지의 IP주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하지 않음을 의미한다.And the SPF TXT record of the above header sending domain refers to a TXT record for the domain included in the sender's account (from) written in the message body content after specifying the recipient's email address (Rctp to) while the SMTP protocol session is connected, and the absence of the H_SPF means that the TXT record of the corresponding domain is not registered in the public DNS, the inclusion of the H_SPF means that the IP address of the mail sender exists in the range of the TXT record registered in the public DNS, and the exclusion of the H_SPF means that the IP address of the mail sender does not exist in the range of the TXT record registered in the public DNS.
상기한 바와 같이 본 발명의 SPF 레코드 데이터 수집부(106)는 수신메일에 포함된 세션 및 헤더 발신 도메인의 SPF 레코드에 SPF TXT 레코드를 검출하고, 검출된 세션 및 헤더 발신 도메인의 SPF 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 존재하는지를 판별하고 그에 따른 판별결과, 즉 세션 및 헤더 발신 도메인의 SPF 레코드의 SPF TXT 레코드에 대해 없음/포함/미포함을 나타내는 정보를 생성하여 메일데이터에 부가하여 기록한다.As described above, the SPF record data collection unit (106) of the present invention detects an SPF TXT record in the SPF record of the session and header sending domain included in the received mail, determines whether the SPF TXT record of the SPF record of the detected session and header sending domain exists in the public DNS information, and generates information indicating the determination result, that is, whether the SPF TXT record of the SPF record of the session and header sending domain does not exist/includes/does not include, and records it by adding it to the mail data.
<발신 및 수신 도메인 데이터 수집과정><Sender and recipient domain data collection process>
도 5는 본 발명의 바람직한 실시예에 따라 수신메일로부터 발신 및 수신 도메인 데이터를 수집하는 과정의 절차도를 도시한 것으로, 이는 상기 발신 및 수신 도메인 데이터 수집부(108)에 의해 수행된다.FIG. 5 is a flow chart illustrating a process of collecting sending and receiving domain data from received mail according to a preferred embodiment of the present invention, which is performed by the sending and receiving domain data collection unit (108).
상기 발신 및 수신 도메인 데이터 수집부(108)는 수신메일을 제공받아(600단계), 수신메일의 발신도메인 및 수신도메인의 주소를 검출하고(602단계). 수신메일의 발신도메인과 수신도메인의 주소를 비교하고(604단계), 상기 수신메일의 발신도메인과 수신도메인의 주소가 동일하면(606단계), 발신도메인과 수신도메인이 매치됨과 아울러 동일함을 나타내는 정보(DOMAIN MATCH [Rcpt To==Mail from or From(Header)}, Sender_Receiver_DOMAIN_일치)를 생성하여 메일데이터에 부가하여 기록한다(610단계). 상기 수신메일의 발신도메인과 수신도메인의 주소이 동일하지 않으면, 발신 및 수신 도메인 데이터 수집부(108)는 발신도메인과 수신도메인이 상이함을 나타내는 정보(DOMAIN NOT MATCH)를 생성하여 상기 메일데이터에 부가하여 기록한다(608단계).The above-mentioned sending and receiving domain data collection unit (108) receives the receiving mail (step 600), detects the addresses of the sending domain and receiving domain of the receiving mail (step 602), compares the addresses of the sending domain and receiving domain of the receiving mail (step 604), and if the addresses of the sending domain and receiving domain of the receiving mail are the same (step 606), the sending domain and receiving domain match and generates information indicating that they are the same (DOMAIN MATCH [Rcpt To==Mail from or From(Header)}, Sender_Receiver_DOMAIN_match) and records it by adding it to the mail data (step 610). If the addresses of the sending domain and receiving domain of the receiving mail are not the same, the sending and receiving domain data collection unit (108) generates information indicating that the sending domain and receiving domain are different (DOMAIN NOT MATCH) and records it by adding it to the mail data (step 608).
그리고 상기 발신 및 수신 도메인 데이터 수집부(108)는 수신메일의 발신 어카운트와 수신 어카운트를 검출하고(612단계), 수신메일의 발신 및 수신 어카운트를 비교한다(614단계).And the above-mentioned sending and receiving domain data collection unit (108) detects the sending account and receiving account of the received mail (step 612) and compares the sending and receiving accounts of the received mail (step 614).
상기 발신 및 수신 도메인 데이터 수집부(108)는 수신메일의 발신 및 수신 어카운트가 동일하면(616단계), 수신메일의 발신 및 수신 어카운트가 동일함을 나타내는 정보(ACCOUNT MATCH[Rcpt To==Mail From or From(header)],Sender_Receiver_ACCOUNT_일치)를 생성하여 상기 수신메일에 대응되는 메일 데이터에 부가하여 기록한다(614단계).The above-mentioned sending and receiving domain data collection unit (108) generates information indicating that the sending and receiving accounts of the receiving mail are the same (ACCOUNT MATCH [Rcpt To==Mail From or From(header)], Sender_Receiver_ACCOUNT_match) if the sending and receiving accounts of the receiving mail are the same (step 616), and records it by adding it to the mail data corresponding to the receiving mail (step 614).
상기 발신 및 수신 도메인 데이터 수집부(108)는 수신메일의 발신 및 수신 어카운트가 상이하면(612단계), 발신 및 수신 어카운트가 상이함을 나타내는 정보(ACCOUNT NOT MATCH)를 생성하여 메일 데이터에 부가하여 기록한다(616단계).If the sending and receiving domain data collection unit (108) above has different sending and receiving accounts for the received mail (step 612), it creates information indicating that the sending and receiving accounts are different (ACCOUNT NOT MATCH) and records it by adding it to the mail data (step 616).
여기서, 세션 발신 도메인과 수신도메인의 일치, 불일치 및 헤더 발신도메인과 수신도메인의 일치, 불일치 여부는 다음을 의미한다. 상기 세션 발신 도메인과 수신 도메인의 일치는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 일치함을 의미한다. 그리고 세션 발신도메인과 수신도메인의 불일치는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 서로 불일치함을 의미한다. 상기 헤더 발신도메인과 수신도메인의 일치는 SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이(To)의 메일주소가 지정 당시 도메인과 일치함을 의미하고, 헤더 발신도메인과 수신도메인의 불일치는 SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소가 지정 당시 도메인과 서로 불일치함을 의미한다.Here, the match or mismatch between the session sending domain and receiving domain and the match or mismatch between the header sending domain and receiving domain mean the following. The match between the session sending domain and receiving domain means that the domains match when the sender and recipient email addresses are specified while the SMTP protocol session is connected. And the mismatch between the session sending domain and receiving domain means that the domains do not match when the sender and recipient email addresses are specified while the SMTP protocol session is connected. The match between the header sending domain and receiving domain means that the sender and recipient (To) email addresses in the message body during the SMTP protocol session match the domains at the time of designation, and the mismatch between the header sending domain and receiving domain means that the sender and recipient email addresses in the message body during the SMTP protocol session do not match the domains at the time of designation.
그리고 세션 발신 계정과 수신계정의 일치, 불일치 및 헤더 발신계정과 수신계정의 일치, 불일치 여부는 다음을 의미한다. 상기 세션 발신계정과 수신계정의 일치는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소가 지정 당시 계정('@'를 구분자로 한 앞부분)과 일치함을 의미하고 세션 발신계정과 수신계정의 불일치는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소가 지정 당시 계정과 서로 불일치함을 의미한다. 그리고 헤더 발신도메인과 수신도메인의 일치는 SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소가 지정 당시 계정과 일치함을 의미하고, 헤더 발신도메인과 수신도메인의 불일치는 SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소가 지정 당시 계정과 서로 불일치함을 의미한다.And the match or mismatch of the session sending account and receiving account and the match or mismatch of the header sending account and receiving account mean the following. The match of the above session sending account and receiving account means that the sender and recipient email addresses match the account at the time of designation (the first part with '@' as a delimiter) while the SMTP protocol session is connected, and the mismatch of the session sending account and receiving account means that the sender and recipient email addresses do not match the account at the time of designation while the SMTP protocol session is connected. And the match of the header sending domain and receiving domain means that the sender and recipient email addresses in the message body during the SMTP protocol session match the account at the time of designation, and the mismatch of the header sending domain and receiving domain means that the sender and recipient email addresses in the message body during the SMTP protocol session do not match the account at the time of designation.
상기한 바와 같이 발신 및 수신 도메인 데이터 수집부(108)는 수신메일의 발신 및 수신 도메인의 주소, 그리고 수신메일의 발신 어카운트와 수신 어카운트를 비교하여 동일한지 여부를 판별하여 그에 따른 판별결과를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.As described above, the sending and receiving domain data collection unit (108) compares the addresses of the sending and receiving domains of the received mail and the sending and receiving accounts of the received mail to determine whether they are the same, generates a determination result accordingly, and adds it to the mail data corresponding to the received mail.
상기한 바와 같이 본 발명의 데이터 수집부(100)는 수신메일에 포함된 데이터들을 가공하여 해당 수신메일이 악성메일인지를 판별하고 악성메일의 종류까지 판별할 수 있는 메일데이터를 생성하며, 그 생성된 메일데이터를 메일분류부(200)로 제공한다.As described above, the data collection unit (100) of the present invention processes data included in received mail to determine whether the received mail is malicious mail and generates mail data that can determine the type of malicious mail, and provides the generated mail data to the mail classification unit (200).
상기한 과정을 거쳐 생성된 메일데이터를 토대로 악성메일을 분류하는 과정을 설명한다.The process of classifying malicious emails based on email data generated through the above process is explained.
<메일분류과정><Mail classification process>
본 발명의 바람직한 실시예에 따르는 메일분류과정을 도 6 내지 도 7을 참조하여 설명한다.A mail classification process according to a preferred embodiment of the present invention is described with reference to FIGS. 6 and 7.
도 6은 수신메일이 악성메일인지 판별함과 아울러 그 악성메일이 도메인 메일인지 사설 메일인지 판별하는 수신메일 분류과정의 절차도를 도시한 것으로, 제1분류부(202)에 의해 수행된다.Figure 6 is a flow chart illustrating a process of classifying received mails to determine whether the received mail is malicious mail and whether the malicious mail is domain mail or private mail, and is performed by the first classification unit (202).
상기 제1분류부(202)는 메일데이터가 수신되면(700단계), 발신 도메인과 수신 도메인이 일치하는지를 체크하고(702단계), 상기 발신 도메인과 수신 도메인이 일치하면 상기 메일 데이터에 S_SPF 포함 또는 H_SPF 포함에 대한 정보가 있는지를 체크한다(704단계). 상기 메일 데이터에 S_SPF 포함 또는 H_SPF 포함에 대한 정보가 없으면, 상기 제1분류부(202)는 메일 분류를 종료하며, 이 경우에 대한 메일 분류는 제2분류부(204)에 의해 처리된다.When mail data is received (step 700), the first classification unit (202) checks whether the sending domain and the receiving domain match (step 702), and if the sending domain and the receiving domain match, it checks whether the mail data contains information about including S_SPF or H_SPF (step 704). If the mail data does not contain information about including S_SPF or H_SPF, the first classification unit (202) terminates mail classification, and mail classification in this case is processed by the second classification unit (204).
그리고 상기 메일데이터가 발신 도메인과 수신 도메인이 일치하지 않거나(702단계), S_SPF 포함 또는 H_SPF 포함에 대한 정보가 있으면(704단계), 상기 제1분류부(202)는 메일데이터에 세션 도메인 없음이 포함되고(706단계), HELO 및 PTR 도메인 레코드 없음이 포함되었는지 체크하고(708단계), 상기 메일데이터에 세션 도메인 없음이 포함되고 HELO 및 PTR 도메인 레코드 없음이 포함되었으면, 상기 수신메일을 악성메일로 판단함과 아울러 발신 도메인 주소로 접속을 시도하고 발신 도메인 주소로의 접속이 가능하면 도메인 메일로 분류하고(714단계), 발신 도메인 주소로의 접속이 불가능하면 사설 메일로 분류한다(716단계).And if the above mail data does not match the sending domain and the receiving domain (step 702) or has information about including S_SPF or H_SPF (step 704), the first classification unit (202) checks whether the mail data includes no session domain (step 706) and no HELO and PTR domain records (step 708), and if the mail data includes no session domain and no HELO and PTR domain records, the receiving mail is judged to be a malicious mail and, at the same time, attempts to access the sending domain address. If access to the sending domain address is possible, the mail is classified as domain mail (step 714), and if access to the sending domain address is impossible, the mail is classified as private mail (step 716).
즉 메일 데이터가 발신 도메인과 수신 도메인이 일치하지 않거나 발신 도메인과 수신 도메인이 일치하지 않으면서 S_SPF 포함 또는 H_SPF 포함을 나타내고, 상기 세션 도메인 없음과 HELO 및 PTR 도메인 레코드 없음임을 지시하면, 발신 도메인 주소로의 접속을 시도하고 접속이 가능하면 도메인 메일로 분류하고, 상기 메일 데이터가 발신 도메인과 수신 도메인이 일치하하지 않거나 발신 도메인과 수신도메인이 일치하지 않으면서 S_SPF 포함 또는 H_SPF 포함을 나타내고, 상기 세션 도메인 없음과 HELO 및 PTR 도메인 레코드 없음임을 지시하면 발신 도메인 주소로의 접속을 시도하고 접속이 불가능하면 수신메일을 악성 메일로 판별함과 아울러 사설 메일로 분류한다.That is, if the mail data indicates that the sending domain and the receiving domain do not match, or that the sending domain and the receiving domain do not match and include S_SPF or include H_SPF, and indicates that there is no session domain and no HELO and PTR domain records, a connection to the sending domain address is attempted, and if connection is possible, it is classified as domain mail. If the mail data indicates that the sending domain and the receiving domain do not match, or that the sending domain and the receiving domain do not match and include S_SPF or include H_SPF, and indicates that there is no session domain and no HELO and PTR domain records, a connection to the sending domain address is attempted, and if connection is impossible, the received mail is determined to be malicious mail and classified as private mail.
이와 달리 상기 메일 데이터에 세션 도메인 없음이 포함되지 않거나 세션 도메인 없음이 포함되었으면서 HELO 및 PTR 도메인 레코드 없음이 포함되지 않았다면, 상기 제1분류부(202)는 메일 분류를 종료한다.In contrast, if the above mail data does not include no session domain or includes no session domain but does not include no HELO and PTR domain records, the first classification unit (202) terminates mail classification.
여기서, 상기 도메인 메일은 도메인(DOMAIN) 정책으로 분류되는 메일이다. 이러한 도메인 메일로 판단되는 조건은 HELO 도메인과 세션도메인의 A 레코드가 퍼블릭 DNS에 등록되어 있지 않고, 발신 IP에 대한 PTR 레코드가 퍼블릭 DNS에 등록되어 있지 않은 상태에서 발신 IP로 SMTP 연결시도하여 세션 연결이 되는 것이다. 이러한 조건에 부합되는 경우에 도메인(DOMAIN) 정책으로 분류(퍼블릭 DNS에 등록되지 않은 도메인)하며, 상기 도메인 메일은 보내는 이와 받는 이의 도메인 일치여부와는 관계가 없다.Here, the domain mail is classified as a mail by the domain (DOMAIN) policy. The conditions for determining such domain mail are that the A record of the HELO domain and the session domain are not registered in the public DNS, and the PTR record for the sending IP is not registered in the public DNS, and the SMTP connection is attempted with the sending IP and the session connection is established. If these conditions are met, it is classified as a domain (DOMAIN) policy (domain not registered in the public DNS), and the domain mail is not related to whether the sender and recipient domains match.
그리고 사설메일(PRIVATE) 정책으로 분류되는 메일의 조건은, HELO 도메인과 세션도메인의 A 레코드가 퍼블릭 DNS에 등록되어 있지 않고, 발신 IP에 대한 PTR 레코드가 퍼블릭 DNS에 등록되어 있지 않은 상태에서, 발신 IP로 SMTP 연결시도 하였을 때에 세션 연결이 거부되거나 시간초과 발생되는 것이다. 이 조건에 부합되는 경우에 사설(PRIVATE) 정책으로 분류(퍼블릭 DNS에 등록되지 않은 도메인)하며, 상기 사설 메일은 보내는 이와 받는 이의 도메인 일치여부와는 관계가 없다.And the condition for mail classified as PRIVATE policy is that when the A record of the HELO domain and the session domain are not registered in the public DNS and the PTR record for the sending IP is not registered in the public DNS, and an SMTP connection is attempted with the sending IP, the session connection is rejected or a timeout occurs. If this condition is met, it is classified as PRIVATE policy (domain not registered in the public DNS), and the above private mail is not related to whether the domains of the sender and recipient match.
도 7은 수신메일이 악성메일인지 판별함과 아울러 그 악성메일이 사칭 메일인지 스피어 피싱 메일인지를 판별하는 수신메일 분류과정의 절차도를 도시한 것으로, 제2분류부(204)에 의해 수행된다.Figure 7 is a flow chart illustrating a process of classifying received emails to determine whether the received email is malicious email and whether the malicious email is a phishing email or a spear phishing email, and is performed by the second classification unit (204).
상기 제2분류부(204)는 메일 데이터가 수신되면(800단계), 발신 도메인과 수신 도메인이 일치하는지를 체크하고, 상기 발신 도메인과 수신 도메인이 일치하지 않으면 메일 분류를 종료한다(802단계).When mail data is received (step 800), the second classification unit (204) checks whether the sending domain and the receiving domain match, and if the sending domain and the receiving domain do not match, mail classification is terminated (step 802).
상기 발신 도메인과 수신 도메인이 일치하면, 상기 제2분류부(204)는 메일 데이터에 S_SPF 포함 또는 H_SPF 포함을 지시하는 정보가 포함되었으면 메일 분류를 종료하고, 그렇지 않다면 로컬 유저 정책이 허여된 상태인지를 체크한다(808단계). 여기서 상기 로컬 유저 정책은 메일의 받는 계정이 수신메일서버에 등록여부를 지시하며, 상기 로컬 유저 정책이 허여되지 않은 경우로는 퇴사자의 계정 또는 휴면계정 등이 될 수 있다. 이러한 로컬 유저 정책은 로컬 유저 정책의 활성/비활성 상태로 확인할 수 있으며, 상기 활성은 로컬유저 정책을 사용하는 의미로 수신메일서버에 계정의 존재여부를 나타내고, 비활성은 로컬유저 정책을 사용하지 않는 것으로 이는 수신메일서버에 계정의 존재와 관계없이 메일이 릴레이된다.If the above-mentioned sending domain and receiving domain match, the second classification unit (204) terminates mail classification if the mail data includes information indicating the inclusion of S_SPF or H_SPF, and if not, checks whether the local user policy is permitted (step 808). Here, the local user policy indicates whether the recipient account of the mail is registered in the receiving mail server, and if the local user policy is not permitted, it may be an account of a former employee or a dormant account. This local user policy can be checked by the active/inactive status of the local user policy, and the active status indicates whether the account exists in the receiving mail server, meaning that the local user policy is used, and the inactive status indicates that the local user policy is not used, meaning that the mail is relayed regardless of the existence of the account in the receiving mail server.
상기 로컬 유저 정책이 활성 상태인 경우, 발신계정의 사칭 여부를 명확히 판단할 수 있어 사칭과 스피어 피싱 메일을 분류할 수 있으나 로컬유저 정책이 비활성 상태의 경우 발신과 수신의 도메인은 무조건 일치하는 것으로 판단하여 사칭으로 분류할 수 있다.If the above local user policy is active, it is possible to clearly determine whether the sender account is impersonated, and thus classify impersonation and spear phishing emails. However, if the local user policy is inactive, the domains of the sender and recipient are unconditionally determined to match, and thus classified as impersonation.
상기 로컬 유저 정책이 허여되지 않았다면, 상기 제2분류부(204)는 해당 메일을 사칭 메일로 분류한다(810단계).If the above local user policy is not permitted, the second classification unit (204) classifies the email as a fraudulent email (step 810).
상기 로컬 유저 정책이 허여되었다면, 상기 제2분류부(204)는 수신 메일의 서버 IP로 접속을 시도한다(812단계). 상기 수신 메일 서버 IP로의 접속 시도에 따른 수신 메일 서버로부터의 응답이 요청이 성공적으로 이루어진 것을 지시하는 250 또는 250'이면, 상기 제2분류부(204)는 수신메일을 악성메일로 판별함과 아울러 사칭 메일로 분류한다(814,810단계).If the above local user policy is permitted, the second classification unit (204) attempts to connect to the server IP of the received mail (step 812). If the response from the receiving mail server according to the connection attempt to the receiving mail server IP is 250 or 250' indicating that the request was successfully completed, the second classification unit (204) determines the received mail as a malicious mail and classifies it as a fraudulent mail (steps 814 and 810).
이와 달리 수신 메일 서버 IP 접속 시도에 따른 수신 메일 서버로부터의 응답이 메일 사용불가를 지시하는 550이면, 상기 제2분류부(204)는 수신메일을 악성메일로 판별함과 아울러 스피어 피싱 메일로 분류한다(816,824단계).In contrast, if the response from the receiving mail server to the attempt to access the receiving mail server IP is 550 indicating that mail is unavailable, the second classification unit (204) determines that the receiving mail is a malicious mail and classifies it as a spear phishing mail (steps 816 and 824).
이와 달리 수신 메일 서버 IP 접속 시도에 따른 수신 메일 서버로부터의 응답이 250,250',550이 아니면(818단계), 상기 제2분류부(204)는 발신 및 수신 어카운트가 일치하는지를 체크하고(822단계), 상기 발신 및 수신 어카운트가 일치하지 않으면 수신메일을 사칭메일로 분류하고(810단계), 상기 발신 및 수신 어카운트가 일치하면 상기 수신메일을 악성메일로 판별함과 아울러 스피어 피싱 메일로 분류한다(824단계).In contrast, if the response from the receiving mail server to the attempt to access the receiving mail server IP is not 250,250',550 (step 818), the second classification unit (204) checks whether the sending and receiving accounts match (step 822), and if the sending and receiving accounts do not match, the receiving mail is classified as a phishing mail (step 810), and if the sending and receiving accounts match, the receiving mail is determined to be a malicious mail and classified as a spear phishing mail (step 824).
이와 달리 수신 메일 서버 IP 접속 시도에 따른 접속이 실패하면(820단계), 제2분류부(204)는 상기 수신메일을 악성메일로 판별함과 아울러 사칭메일로 분류한다(810단계).In contrast, if the connection attempt to access the receiving mail server IP fails (step 820), the second classification unit (204) determines that the received mail is a malicious mail and classifies it as a phishing mail (step 810).
좀더 설명하면, 사칭 메일로 분류되는 경우는 발신과 수신 도메인이 일치하고, S_SPF 또는 H_SPF 모두 미포함이고 로컬유저 정책이 활성화되어 있다면 수신 메일서버에 접속하여 SMTP 세션 연결 상태에서 발신 계정을 받는 이의 메일주소로 지정하여 SMTP 응답코드 확인하였을 때에 사칭메일로 분류하는 응답코드(250, ONLY 250)를 반환받거나, 다른 코드(Other Code)를 반환받았을 때에는 발신 계정과 수신 계정 일치하거나, 수신메일 서버로의 접속이 안되거나 로컬유저 정책이 비활성화인 경우이다.To explain in more detail, if the sender and recipient domains match, neither S_SPF nor H_SPF are included, and the local user policy is enabled, when connecting to the receiving mail server and checking the SMTP response code by specifying the sender account as the recipient's email address during the SMTP session connection, the response code (250, ONLY 250) classified as a phishing mail is returned, or if another code (Other Code) is returned, the sender and recipient accounts match, connection to the receiving mail server is not possible, or the local user policy is disabled.
그리고 스피어 피싱 메일로 분류되는 경우는 발신과 수신의 도메인이 일치하고, S_SPF 또는 H_SPF 모두 미포함이고, 로컬유저 정책이 활성화된 상태에서 수신 메일서버 접속하여 SMTP 세션 연결 상태에서 발신 계정을 받는 이의 메일주소로 지정하여 SMTP 응답코드 확인하였을 때에 스피어 피싱 메일로 분류하는 응답코드(550)를 반환받거나 또는 다른 코드(Other code)를 반환받았을 때에 발신 계정과 수신 계정이 일치하지 않는 경우이다.And in the case where it is classified as a spear phishing email, the domains of the sender and recipient match, neither S_SPF nor H_SPF are included, the local user policy is activated, the receiving email server is accessed, the SMTP session is connected, the sender account is specified as the recipient's email address, the SMTP response code is checked, a response code (550) that classifies it as a spear phishing email is returned, or another code is returned, and the sender account and recipient account do not match.
상술한 바와 같이 본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별할 수 있게 하여 다양한 방식의 악성메일로부터 선의의 메일 사용자를 보호할 수 있다.As described above, the present invention collects mail data for determining whether data included in received mail is malicious mail, and effectively determines whether mail is malicious based on the collected mail data, thereby protecting innocent mail users from various types of malicious mail.
또한 본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별함은 물론이고 악성메일의 종류까지 판별하여 분류하여, 악성메일의 통계나 공격의 양상변화 등을 손쉽게 파악할 수 있게 하여 악성메일의 양상변화에 적응적으로 대응할 수 있게 한다.In addition, the present invention collects mail data for determining whether or not data included in received mail is malicious mail, and based on the collected mail data, effectively determines whether or not the mail is malicious, and classifies the type of malicious mail, thereby making it possible to easily grasp statistics on malicious mail and changes in attack patterns, and thereby adaptively respond to changes in the patterns of malicious mail.
이상의 설명에서 본 발명은 특정의 실시예와 관련하여 도시 및 설명하였지만, 특허청구범위에 의해 나타난 발명의 사상 및 영역으로부터 벗어나지 않는 한도 내에서 다양한 개조 및 변화가 가능하다는 것을 당 업계에서 통상의 지식을 가진 자라면 누구나 쉽게 알 수 있을 것이다.Although the present invention has been illustrated and described with respect to specific embodiments thereof in the foregoing description, it will be readily apparent to those skilled in the art that various modifications and changes may be made therein without departing from the spirit and scope of the invention as indicated by the claims.
100 : 데이터 수집부
200 : 메일 분류부100 : Data Collection Department
200 : Mail Classification Department
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220042230AKR102733107B1 (en) | 2022-04-05 | 2022-04-05 | Malicious email classification system and method |
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220042230AKR102733107B1 (en) | 2022-04-05 | 2022-04-05 | Malicious email classification system and method |
| Publication Number | Publication Date |
|---|---|
| KR20230143401A KR20230143401A (en) | 2023-10-12 |
| KR102733107B1true KR102733107B1 (en) | 2024-11-20 |
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220042230AActiveKR102733107B1 (en) | 2022-04-05 | 2022-04-05 | Malicious email classification system and method |
| Country | Link |
|---|---|
| KR (1) | KR102733107B1 (en) |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013229656A (en) | 2012-04-24 | 2013-11-07 | Nippon Telegr & Teleph Corp <Ntt> | Mail processing method and system |
| KR101535503B1 (en) | 2014-02-25 | 2015-07-09 | 한국인터넷진흥원 | Method for detecting malware infected terminal based on commercial e-mail |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101450961B1 (en) | 2012-05-23 | 2014-10-14 | 경기대학교 산학협력단 | Method and system for blocking sophisticated phishing mail by monitoring inner and outer traffic |
| KR102176564B1 (en) | 2020-04-22 | 2020-11-09 | (주)리얼시큐 | Managing method for impersonation, forgery and alteration mail and system |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013229656A (en) | 2012-04-24 | 2013-11-07 | Nippon Telegr & Teleph Corp <Ntt> | Mail processing method and system |
| KR101535503B1 (en) | 2014-02-25 | 2015-07-09 | 한국인터넷진흥원 | Method for detecting malware infected terminal based on commercial e-mail |
| Publication number | Publication date |
|---|---|
| KR20230143401A (en) | 2023-10-12 |
| Publication | Publication Date | Title |
|---|---|---|
| US8578480B2 (en) | Systems and methods for identifying potentially malicious messages | |
| AU2004202268B2 (en) | Origination/destination features and lists for spam prevention | |
| EP1877904B1 (en) | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources | |
| AU2008207926B2 (en) | Correlation and analysis of entity attributes | |
| US20090300768A1 (en) | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions | |
| US20060224677A1 (en) | Method and apparatus for detecting email fraud | |
| US7647376B1 (en) | SPAM report generation system and method | |
| US20060168017A1 (en) | Dynamic spam trap accounts | |
| JP2009512082A (en) | Electronic message authentication | |
| WO2008091986A1 (en) | Multi-dimensional reputation scoring | |
| KR101535503B1 (en) | Method for detecting malware infected terminal based on commercial e-mail | |
| KR102733107B1 (en) | Malicious email classification system and method | |
| Jayan et al. | Detection of spoofed mails | |
| Cook et al. | Phishwish: a simple and stateless phishing filter | |
| Chiou et al. | Blocking spam sessions with greylisting and block listing based on client behavior | |
| Dantu et al. | Classification of phishers. | |
| Choi | Transactional behaviour based spam detection | |
| HK1069268B (en) | Origination / destination features and lists for spam prevention | |
| HK1069268A (en) | Origination / destination features and lists for spam prevention |
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application | Patent event code:PA01091R01D Comment text:Patent Application Patent event date:20220405 | |
| PA0201 | Request for examination | ||
| PG1501 | Laying open of application | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection | Comment text:Notification of reason for refusal Patent event date:20240311 Patent event code:PE09021S01D | |
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration | Patent event code:PE07011S01D Comment text:Decision to Grant Registration Patent event date:20240821 | |
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment | Comment text:Registration of Establishment Patent event date:20241118 Patent event code:PR07011E01D | |
| PR1002 | Payment of registration fee | Payment date:20241118 End annual number:3 Start annual number:1 | |
| PG1601 | Publication of registration |