JP4720251B2 - Email attachment virus detection method and email server - Google Patents

Email attachment virus detection method and email server Download PDF

Info

Publication number
JP4720251B2
JP4720251B2 JP2005101837A JP2005101837A JP4720251B2 JP 4720251 B2 JP4720251 B2 JP 4720251B2 JP 2005101837 A JP2005101837 A JP 2005101837A JP 2005101837 A JP2005101837 A JP 2005101837A JP 4720251 B2 JP4720251 B2 JP 4720251B2
Authority
JP
Japan
Prior art keywords
mail
virus
mails
attached
ranking
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005101837A
Other languages
Japanese (ja)
Other versions
JP2006287380A (en
Inventor
正壽 吉村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2005101837A priority Critical patent/JP4720251B2/en
Publication of JP2006287380A publication Critical patent/JP2006287380A/en
Application granted granted Critical
Publication of JP4720251B2 publication Critical patent/JP4720251B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明はコンピュータウイルス検知方法に関し、特に電子メール(以下、単にメールという)に添付されているウイルスを早期に検出して処置するメール添付型ウイルス検知方法およびメールサーバに関する。   The present invention relates to a computer virus detection method, and more particularly to a mail attachment type virus detection method and a mail server for detecting and treating a virus attached to an electronic mail (hereinafter simply referred to as an email) at an early stage.

コンピュータウイルスは、他人のソフトウェアやデータベースに対して、意図的に何らかの被害を及ぼす目的で作られたプログラムである。ネットワークやフロッピディスク(FD)を介して「感染」を繰り返し、一定条件が整うまで「潜伏」し、或るとき突然「発病」する。斯かるコンピュータウイルスは、メールに添付されている場合が多い。そこで、コンピュータが斯かるウイルスに「感染」することなく、常に正常に動作させるには、受信するメールがウイルスに「感染」していないか検知・確認して、ウイルスに「感染」しているメール等を削除する必要がある。   A computer virus is a program created for the purpose of intentionally causing some damage to another person's software or database. It repeats “infection” via the network or floppy disk (FD), “latents” until certain conditions are met, and suddenly “attempts” at some point. Such computer viruses are often attached to e-mails. Therefore, in order for a computer to always operate normally without being "infected" with such a virus, the received mail is "infected" by detecting and checking whether the received mail is "infected" or not. It is necessary to delete emails.

斯かるウイルスの検出は、アンチウイルスソフトウェア(以下、アンチウイルスソフトという)を使用して行う。新種のメール添付型ウイルスにはクライアントPC(パーソナルコンピュータ)内にあるアンチウイルスソフトの定義データファイルを常に更新する必要がある。最新ウイルスには、発生や最新DATファイルがないか気を付けていなければならない。   Such a virus is detected using anti-virus software (hereinafter referred to as anti-virus software). For a new type of mail-attached virus, it is necessary to constantly update the definition data file of the anti-virus software in the client PC (personal computer). Care must be taken to ensure that the latest virus has no outbreak or latest DAT file.

ファイアウォール等の主要ネットワーク機器には、自動でアンチウイルスソフトの定義DATファイルの更新をする機能がある。しかし、ウイルス発生後の解析と最新定義ファイル作成に時間がかかり、社内にウイルスが「蔓延」した後になってしまう場合があり、社内のITインフラを圧迫してしまう。そこで、対応の定義DATファイルなしにウイルスを早期発見することが望まれる。   Major network devices such as firewalls have a function of automatically updating the definition DAT file of anti-virus software. However, analysis after virus outbreaks and creation of the latest definition file take time, sometimes after the virus “spreads” in the company, and pressures the in-house IT infrastructure. Thus, it is desirable to detect viruses early without a corresponding definition DAT file.

コンピュータウイルスの検知に関する又は関連する従来技術は、幾つかの技術文献に開示されている。受信メールを保存後に、不正なコマンドの使用がないかを監視することにより、ウイルス検知を行う通信システム用のウイルス除去方法等が開示されている(例えば、特許文献1参照。)。メールサーバが送信以来もとの端末に送信依頼されたメールを送信依頼元へ返信し、ユーザの許可を得た後にメール送信処理を行うことにより、ウイルス付きメールの蔓延を防止する電子メール送信方法が開示されている(例えば、特許文献2参照。)。また、メールサーバとクライアントの送信履歴情報の差分情報に基づきウイルス感染を発見する異常検出方法、異常検出プログラム、サーバおよびコンピュータが開示されている(例えば、特許文献3参照)。   Prior art relating to or relating to the detection of computer viruses is disclosed in several technical literatures. A virus removal method for a communication system that detects viruses by monitoring whether or not an illegal command is used after storing a received mail is disclosed (for example, see Patent Document 1). E-mail transmission method that prevents the spread of e-mails with viruses by sending back e-mails sent to the original terminal since the e-mail server sent, and performing e-mail transmission processing after obtaining user permission Is disclosed (for example, see Patent Document 2). Also disclosed are an abnormality detection method, an abnormality detection program, a server, and a computer that detect virus infection based on difference information between transmission history information of a mail server and a client (see, for example, Patent Document 3).

特開2003−162423号公報(第4頁、第2図)Japanese Unexamined Patent Publication No. 2003-162423 (page 4, FIG. 2) 特開2003−178007号公報(第3頁、第1図)JP 2003-178007 A (page 3, FIG. 1) 特開2004−260575号公報(第6頁、第1図)Japanese Unexamined Patent Publication No. 2004-260575 (page 6, FIG. 1)

上述の如き従来技術は、電子メールに添付され外部から転送される又は社内で蔓延し始めたメール添付型ウイルスには、メールサーバ内部検知機能や、クライアント側のウイルス検知ソフトウェアを利用して、メール文や添付文の内部情報を自動検索検知し、報告、駆除等を実施している。しかし、「ウイルスに対応する定義DATファイルのシグニチャー」を元にするため、新種のウイルスの場合には、対応する定義DATファイルがないために、検出することは不可能である。   The above-described prior art uses a mail server internal detection function or client-side virus detection software for mail-attached viruses that have been attached to e-mails and transferred from the outside or have begun to spread. It automatically searches and detects internal information in sentences and attachments, and reports and disinfects them. However, since it is based on “signature of definition DAT file corresponding to virus”, in the case of a new type of virus, since there is no corresponding definition DAT file, it is impossible to detect it.

従来技術では、「新種ウイルスに対応する定義DATファイルのシグニチャー」ができた時点で確実にウイルス対策ができる。しかし、上述した定義DATファイルが作成され、配布されるまでに時間が掛かりウイルスの被害に遭遇する。また、管理者が新種ウイルスの情報の収集を怠り、最新定義DATファイルの更新を怠ると、急速に社内LANにウイルスが蔓延するという課題がある。更に、メール添付型ウイルスは、社内において最初の感染PCが発生しても判らず、ウイルスが社内に蔓延して初めて新種ウイルスに気が付くことになることもあった。   In the prior art, anti-virus measures can be surely taken when a “definition DAT file signature corresponding to a new virus” is created. However, it takes time until the above-described definition DAT file is created and distributed, and a virus damage is encountered. In addition, if the administrator neglects to collect new virus information and neglects to update the latest definition DAT file, there is a problem that the virus rapidly spreads in the in-house LAN. Furthermore, the virus attached to an e-mail is not known even if the first infected PC occurs in the company, and a new virus may be noticed only when the virus spreads in the company.

本発明は、従来技術の上述した課題に鑑みなされたものであり、斯かる課題を克服又は軽減するファイル添付型ウイルス検知方法およびメールサーバを提供することを主たる目的とする。   The present invention has been made in view of the above-described problems of the prior art, and a main object of the present invention is to provide a file attachment type virus detection method and a mail server that can overcome or reduce such problems.

前述の課題を解決するため、本発明によるファイル添付型ウイルス検知方法およびメールサーバは、次のような特徴的な構成を採用している。   In order to solve the above-described problems, the file attachment type virus detection method and the mail server according to the present invention adopt the following characteristic configuration.

(1)メールを中継するメールサーバで自己増殖するウイルスを検知するメール添付型ウイルス検知方法であって、
前記メールサーバがクライアントからの複数の送信メールを中継した際の履歴情報、および前記メールサーバがクライアント宛ての複数の受信メールを中継した際の履歴情報の一方を用いて、同一の表題又は送信元アドレスを有するメールを、一定時間毎に計数すると共にその計数値の降順にランク付けする第1のランク付けステップと、時間軸上で連続して、最上位から所定の順位までにランク付けされるメールを、ウイルスが添付されたメールとして検知する検知ステップとを備えるメール添付型ウイルス検知方法。
(2)他方の履歴情報を用いて、同一の表題又は送信元アドレスを有するメールを、一定時間毎に計数すると共にその計数値の降順にランク付けする第ランク付けステップを更に備え、前記検知ステップは、前記第1及び第ランク付けステップの両者において時間軸上で連続して、最上位から所定の順位までにランク付けされるメールを、前記ウイルスが添付されたメールとして検知する上記(1)のメール添付型ウイルス検知方法。
(3)前記第1のランク付けステップは、同一の表題又は送信元アドレスを有し且つ添付ファイルのサイズ間の差所定範囲内にあるメールを、一定時間毎に計数すると共にその計数値の降順にランク付けする上記(1)のメール添付型ウイルス検知方法。
(4)前記第1及び第ランク付けステップの各々は、同一の表題又は送信元アドレスを有し且つ添付ファイルのサイズ間の差所定範囲内にあるメールを、一定時間毎に計数すると共にその計数値の降順にランク付けする上記(2)のメール添付型ウイルス検知方法。
(5)クライアントからの複数の送信メールを処理するメール送信ボックスと、クライアント宛ての複数の受信メールを処理するメール受信ボックスと、前記メール送信ボックスおよび前記メール受信ボックスの一方のボックスに対応して設けられた第1のチェックモジュールとを備え、前記第1のチェックモジュールは、前記一方のボックスで処理され且つ同一の表題又は送信元アドレスを有するメールを、一定時間毎に計数すると共にその計数値の降順にランク付けし、時間軸上で連続して、最上位から所定の順位までにランク付けされるメールを、ウイルス又はワームが添付されたメールとして検知するメールサーバ。
(6)他方のボックスに対応して設けられた第2のチェックモジュールを更に備え、前記第2のチェックモジュールは、前記他方のボックスで処理され且つ同一の表題又は送信元アドレスを有するメールを、一定時間毎に計数すると共にその計数値の降順にランク付けし、前記第1及び第2のチェックモジュールの一方は、前記第1及び第2のチェックモジュールの両者により時間軸上で連続して、最上位から所定の順位までにランク付けされるメールを、前記ウイルス又はワームが添付されたメールとして検知する上記(5)のメールサーバ。
(7)前記第1のチェックモジュールは、同一の表題又は送信元アドレスを有し且つ添付ファイルのサイズ間の差所定範囲内にあるメールを、一定時間毎に計数すると共にその計数値の降順にランク付けする上記(5)のメールサーバ。
(8)前記第1及び第2のチェックモジュールの各々は、同一の表題又は送信元アドレスを有し且つ添付ファイルのサイズ間の差所定範囲内にあるメールを、一定時間毎に計数すると共にその計数値の降順にランク付けする上記(6)のメールサーバ。
(9)前記ウイルス又はワームが添付されたメールを一旦保存し、管理者に警告メールを出すウエーティング/消去メールボックスを更に備える上記(5)乃至(8)の何れかのメールサーバ。

(1) A mail attachment type virus detection method for detecting a virus that propagates on a mail server that relays mail,
Using one of history information when the mail server relays a plurality of outgoing mails from the client and history information when the mail server relays a plurality of received mails addressed to the client, the same title or sender A first ranking step that counts mails with addresses at regular intervals and ranks them in descending order, and is ranked from the top to a predetermined rank in succession on the time axis. An email attachment type virus detection method comprising: a detection step of detecting an email as an email with a virus attached.
(2) further comprising a second ranking step of counting mails having the same title or transmission source address every other fixed time using the other history information and ranking in descending order of the counted values, In the detection step, mails ranked from the highest level to a predetermined rank in succession on the time axis in both the first and second ranking steps are detected as mails with the virus attached. The method for detecting a virus attached to an email according to (1) above.
(3) The first ranking step counts emails having the same title or source address and having a difference between the sizes of attached files within a predetermined range at regular intervals and (1) Email attachment type virus detection method of the above (1) which ranks in descending order.
(4) Each of the first and second ranking steps counts emails having the same title or source address and having a difference between attachment sizes within a predetermined range at regular intervals. And the virus attached virus detection method according to the above (2), which ranks the counted values in descending order.
(5) Corresponding to a mail sending box for processing a plurality of outgoing mails from the client, a mail receiving box for processing a plurality of received mails addressed to the client, and one of the mail sending box and the mail receiving box A first check module provided, and the first check module counts mails processed in the one box and having the same title or source address at regular intervals and the count value. A mail server that ranks in descending order and detects e-mails ranked from the top to a predetermined rank on the time axis as e-mails with viruses or worms attached.
(6) A second check module provided corresponding to the other box is further provided, and the second check module receives a mail processed in the other box and having the same title or source address. Counting every fixed time and ranking in descending order of the count value, one of the first and second check modules is continuously on the time axis by both the first and second check modules , The mail server according to (5), wherein mail ranked from the top to a predetermined rank is detected as a mail with the virus or worm attached.
(7) The first check module counts mails having the same title or source address and having a difference between the sizes of the attached files within a predetermined range at regular intervals, and in descending order of the counted values. (5) The mail server ranked above
(8) Each of the first and second check modules counts emails having the same title or source address and having a difference between the sizes of attached files within a predetermined range at regular intervals. The mail server according to the above (6) that ranks in descending order of the counted values.
(9) The mail server according to any one of (5) to (8), further comprising a weighting / deleting mailbox that temporarily stores the mail with the virus or worm attached and issues a warning mail to an administrator.

本発明のメール添付型ウイルス検知方法によると、次の如き実用上の顕著な効果が得られる。即ち、新種のメール添付型ウイルスを、対応するウイルス定義ファイルなしに高精度の初期対策を自動的に実施可能である。そして、本発明により、新種ウイルス型メールの社内からの発信、社外からの受信および社内への蔓延を防止でき、ネットワークが不通になるという最悪状態の回避が可能である。

According to the mail-attached virus detection method of the present invention, the following significant effects can be obtained. In other words, a new kind of e-mail attachments type virus, it is possible to automatically carry out high-precision initial measures without a corresponding virus definition file. In addition, according to the present invention, it is possible to prevent a new virus-type mail from being sent from inside the company, received from outside the company, and spread to the inside of the company, and it is possible to avoid the worst situation in which the network is disconnected.

以下、本発明によるメール添付型ウイルス検知方法の好適実施例の構成および動作を、添付図面を参照して詳細に説明する。   Hereinafter, the configuration and operation of a preferred embodiment of a mail attachment type virus detection method according to the present invention will be described in detail with reference to the accompanying drawings.

先ず、図1は、本発明によるメール添付型ウイルス検知方法の第1実施例の説明図である。このメール添付型ウイルス検知方法は、メール送信ボックス11、このメール送信ボックス11の入口に設けられたチェックモジュール(又はウイルス検知モジュール)14、メール受信ボックス16およびこのメール受信ボックス16の入口に設けられたチェックモジュール19を備えているメールサーバ10Aにより実施される。そして、これらチェックモジュール14および19は、SMTP(Simple Mail Transfer Protocol)による電子メールを受け取るように構成されている。   First, FIG. 1 is an explanatory diagram of a first embodiment of a mail attachment type virus detection method according to the present invention. This mail attachment type virus detection method is provided at the mail transmission box 11, the check module (or virus detection module) 14 provided at the entrance of the mail transmission box 11, the mail reception box 16 and the entrance of the mail reception box 16. This is implemented by the mail server 10A provided with the check module 19. The check modules 14 and 19 are configured to receive electronic mail by SMTP (Simple Mail Transfer Protocol).

図1に示すメール添付型ウイルス検知方法は、メールサーバのシステム構成を使用する場合の例である。メール送信ボックス11は、社内からの送信されるメールを処理する。チェックモジュール14は、社内からの送信メールに含まれるメール添付型ウイルス又はワームを検知する。メール受信ボックス16は、外部(社外)から受信するメールを処理する。チェックモジュール19は、外部からの受信メールに含まれるメール添付型ウイルス又はワームを検知する。   The mail attachment type virus detection method shown in FIG. 1 is an example in the case of using a mail server system configuration. The mail transmission box 11 processes mail transmitted from the company. The check module 14 detects a mail-attached virus or worm included in an outgoing mail from the company. The mail receiving box 16 processes mail received from outside (external). The check module 19 detects a mail-attached virus or worm included in an incoming mail from the outside.

図1に示すメール添付型ウイルス検知方法では、説明の便宜上、チェックモジュール14および19をそれぞれ対応するメール送信ボックス11およびメール受信ボックス16の前に配置する構成である。しかし、これらチェックモジュール14、19は、対応するメールボックス11、16の前後いずれでもよい。   In the mail attachment type virus detection method shown in FIG. 1, for convenience of explanation, the check modules 14 and 19 are arranged in front of the corresponding mail transmission box 11 and mail reception box 16, respectively. However, these check modules 14 and 19 may be either before or after the corresponding mailbox 11 or 16.

次に、図1に示すメール添付型ウイルス検知方法の全体動作の概略を説明する。先ず、メール送信の場合について説明する。送信メールは、チェックモジュール14を通り、既に設定されている定義DATファイルを使用してメールを「検疫」し、既存のウイルス又はワームを「除去」する。その後、一定時間間隔の送信メールランキングリスト13を作成しながらメール送信ボックス11に保持される。この送信メールランキングリスト13は、一定時間間隔(但し、設定で間隔変更可能である)で作成され、時間推移のメール送信状況を示すことになる。   Next, an outline of the overall operation of the mail attached virus detection method shown in FIG. 1 will be described. First, the case of mail transmission will be described. The outgoing mail passes through the check module 14 and “quarantines” the mail using the already defined definition DAT file, and “removes” the existing virus or worm. Thereafter, the transmission mail ranking list 13 is created at regular intervals and held in the mail transmission box 11. This transmission mail ranking list 13 is created at a constant time interval (however, the interval can be changed by setting), and indicates the mail transmission status of time transition.

次に、メール受信の場合について説明する。メール受信の場合も、上述したメール送信の場合と同様に、受信メールはチェックモジュール19を通り、既に設定されている定義DATファイルを使用してメールを「検疫」し、既存のウイルス又はワームを「除去」する。その後、一定時間間隔の受信メールランキングリスト17を作成しながらメール信ボック16に保持される。この受信メールランキングリスト17は、一定時間間隔(但し、設定で間隔変更可能である)で作成され、時間推移のメール受信状況を示すことになる。

Next, the case of mail reception will be described. In the case of mail reception, as in the case of mail transmission described above, the received mail passes through the check module 19 and “quarantines” the mail using the definition DAT file that has already been set, and an existing virus or worm is removed. "Remove. Then held in the mail receiving box 16 while creating a received mail ranking list 17 for a predetermined time interval. The received mail ranking list 17 is created at regular time intervals (however, the interval can be changed by setting), and indicates the time-shifted mail reception status.

図2は、本発明によるメール添付型ウイルス検知方法の第2実施例の説明図である。この実施例において、説明の便宜上、図1の実施例と対応する構成要素には同様の参照符号を使用する。このメールサーバ10Bは、メール送信ボックス11、チェックモジュール14、メール受信ボックス16およびチェックモジュール19を備えている。チェックモジュール14および19は、それぞれ送信メールランキングリスト13および受信メールランキングリスト17を作成する。また、これらランキングリスト13および17の相関リスト15および18を作成する点で、第1実施例と同様である。   FIG. 2 is an explanatory diagram of a second embodiment of the mail attachment type virus detection method according to the present invention. In this embodiment, for convenience of explanation, the same reference numerals are used for components corresponding to those in the embodiment of FIG. The mail server 10B includes a mail transmission box 11, a check module 14, a mail reception box 16, and a check module 19. The check modules 14 and 19 create a transmission mail ranking list 13 and a reception mail ranking list 17, respectively. The correlation lists 15 and 18 of the ranking lists 13 and 17 are created in the same manner as in the first embodiment.

しかし、この第2実施例では、上述した相関リスト15および18の両相関性結果の再相関20が追加されている。更に、メール添付型ウイルスと判定されたメールを一旦保存するウエーティング/消去メールボックス21を備えている。この追加されたメールボックス21は、送信側22および受信側23に分離されている。   However, in the second embodiment, the recorrelation 20 of both correlation results of the correlation lists 15 and 18 described above is added. Furthermore, a weighting / deletion mail box 21 for temporarily storing a mail determined to be a mail-attached virus is provided. The added mailbox 21 is separated into a transmission side 22 and a reception side 23.

以下、図1に示す本発明によるメール添付型ウイルス検出方法の第1実施例の動作を詳細に説明する。ある社員(が使用するPC)が、メール添付型ウイルスに「感染」したと仮定する。この「感染」が広がるにつれ、先ず送信メールに数種類の同一表題を持つ増殖メールが増加し始める。それが「2次感染」、「3次感染」を引起しながら次々と他の社員に「蔓延」する状態になる。自己増殖型のウイルスであるため、受信メール側でも、送信メール側でもウイルスに「感染」したメール数は図4に示す如く、指数関数的な(又はある時点で急激に増加する)増殖曲線を描く。   Hereinafter, the operation of the first embodiment of the mail attachment type virus detection method according to the present invention shown in FIG. 1 will be described in detail. Assume that an employee (a PC used by an employee) is "infected" with an email attachment virus. As this “infection” spreads, first, the number of emails with several identical titles in outgoing emails begins to increase. It becomes a state of “infestation” to other employees one after another while causing “secondary infection” and “tertiary infection”. Since it is a self-propagating virus, the number of mails “infected” with the virus on both the incoming mail side and the outgoing mail side is exponential (or increases rapidly at a certain point) as shown in FIG. Draw.

図4において、横軸は経過時間を示し、縦軸はウイルス増殖件数(又はウイルスに感染したメール:ウイルス付メールAの送受信件数)を示す。時間は、多数のウイルスが増殖している現在時点から一定時間である例えば10分毎に、10分前、20分前、30分前、・・・・の状態を示す。図4に示す如く、自己増殖のウイルスは、ある時点でバースト的に発生するという特徴と有する。そのために、自動で送付されるウイルス付きメールは、単位時間のランキングで上位に来る。また、ウイルスは、必ずしも単一表題であるとは限らず、発見される確率を低下する(発見を困難にする)ために複数表題(例えば、表題A、表題Bおよび表題C)で送信される場合もある。   In FIG. 4, the horizontal axis indicates the elapsed time, and the vertical axis indicates the number of virus propagation cases (or mail infected with a virus: the number of transmitted / received mail A with virus). The time indicates the state of 10 minutes, 20 minutes, 30 minutes,... Every 10 minutes, which is a fixed time from the current time point when a large number of viruses are growing. As shown in FIG. 4, the self-propagating virus has a feature that it occurs in a burst manner at a certain time. For this reason, virus-attached mail that is automatically sent comes to the top in the unit time ranking. Also, viruses are not necessarily single titles, and are sent with multiple titles (eg title A, title B and title C) to reduce the probability of being found (making discovery difficult) In some cases.

図4のBに示すように、ウイルスに感染していない”正式な一斉配信”のメールも単位時間のランキングのみでは上位に来る。そのため、このような正式メールを適切に転送中止、あるいは、消去対象から自動に排除する必要がある。このために1つの単位時間のランキング上位を他時間のランキング上位と連係判断を実施することで適切な判断をする。自動で送付されるウイルス付きメールは、時間経過と共に、その送信個数は必ず増加する。しかし、正式な一斉配信メールは、一時的にはバースト的に増加するが、それ以後増加することはありえない。つまり、他単位時間のランキングリストには、0になる。仮に、2つのランキングリストに2分割されても、3つめのランキングリスト上で0となり常に個数増加するウイルスに感染したメールとことなった動きになる。つまり、複数ランキングリストを現在ランキングリストに重みを置いた相関関係を用いることで、”ウイルス付メール”と”正式な一斉配信”を分離することが可能になる。   As shown in FIG. 4B, a “formal simultaneous delivery” mail that is not infected with a virus also comes to the top only in the unit time ranking. For this reason, it is necessary to appropriately cancel such formal mail from being canceled or automatically deleted. For this purpose, an appropriate judgment is made by performing a judgment of linking a ranking higher rank of one unit time with a ranking higher rank of another time. The number of mails with viruses sent automatically increases with time. However, although formal broadcast mail temporarily increases in a burst manner, it cannot increase thereafter. That is, it becomes 0 in the ranking list of other unit times. Even if it is divided into two ranking lists, it becomes a movement different from a virus-infected mail that always becomes 0 on the third ranking list and increases in number. In other words, by using a correlation in which a plurality of ranking lists are weighted to the current ranking list, it becomes possible to separate “mail with virus” and “formal simultaneous delivery”.

次に、図3は、受信メールランキングリスト17のうち特定時間における受信メールランキングリスト17の具体例を示す。図3に示す受信メールランキングリスト17の具体例には、ランキング(順位)、項目又はメール表題、件数、送信元アドレスおよび添付ファイル(ファイル名やサイズ)を含んでいる。この特定例では、一定時間間隔(例えば、10分間)で同一表題、例えば「Hello」を有する35件のメールが上位(第1位)にランクされている。このように、送受信メールランキングリスト13、17は、上述の如き項目により分類され、ランキングリスト化される。送信元アドレスは同一である場合もあるし、バラバラの場合もある。   Next, FIG. 3 shows a specific example of the received mail ranking list 17 at a specific time in the received mail ranking list 17. The specific example of the received mail ranking list 17 shown in FIG. 3 includes a ranking (ranking), items or titles of mails, the number of cases, a transmission source address, and an attached file (file name and size). In this specific example, 35 mails having the same title, for example, “Hello”, are ranked at the top (first place) at regular time intervals (for example, 10 minutes). As described above, the transmitted / received mail ranking lists 13 and 17 are classified according to the items as described above and are made into a ranking list. The source address may be the same or may be different.

自己増殖するメール添付型ウイルスは、発見率を下げるため、同一表題のメールの発信ではなく、複数の表題をとるのが一般的である。そのため、複数の表題にてランキングをとることにより、このような場合にも対処する。更に、メールの送信先、送信元のメールアドレスは、ユーザの登録メールアドレス帳よりランダムされる場合が多いが、多数に配信される一斉メールを識別できるように「送信元メールアドレス」を入れる。   In order to reduce the discovery rate, a self-propagating virus attached to a mail generally takes a plurality of titles instead of sending the same title. Therefore, such a case is dealt with by ranking with a plurality of titles. Further, the mail destination and the mail address of the mail sender are often random from the registered mail address book of the user, but “sender mail address” is inserted so as to identify a mass mail distributed to a large number.

また、ウイルス本体は、電子メールへの添付ファイルの形で配布されることが多い。そのため、その添付という特徴にて分類することにより、ウイルス特定精度を上げることが可能である。そこで、この特定実施例では、「添付ファイルサイズ」を付加している。   Moreover, the virus body is often distributed in the form of an attachment to an e-mail. For this reason, it is possible to increase the accuracy of virus identification by classifying according to the feature of attachment. Therefore, in this specific embodiment, “attached file size” is added.

本発明では、バースト的に送付される正式一斉配信メールを正しく分離することも考慮してある。一時期的に、正式一斉配信もランキング上位になるが、20分前、10分前、現在および未来の10分後、20分後の各ランキングリストで、常に上位ランクに保持されることは、殆ど皆無に近い。このため、受信メールおよび送信メール別に各時間間隔のランクを用い、時間軸で相関を取る方式を採用している。また、一斉配信等は、同一送信元から出ることが多いために、「送信元アドレス」を項目として持っており、これを条件に簡易判定をしても良い。   In the present invention, it is also considered to properly separate formal broadcast mails sent in bursts. For the time being, official simultaneous distribution will also be ranked high, but it is almost always kept in the high rank in each ranking list 20 minutes ago, 10 minutes ago, 10 minutes after the present and the future, and 20 minutes later. Nearly nothing. For this reason, a method is used in which the rank of each time interval is used for each incoming mail and outgoing mail, and the correlation is taken on the time axis. In addition, since simultaneous delivery or the like often comes from the same transmission source, it has “transmission source address” as an item, and simple determination may be made on this condition.

その結果、受信側および送信側でその相関結果のウイルス又はワーム検知用のランキングリスト15、18が作成できる。この相関結果ランキングリスト15、18は、時間間隔リスト間の重み付け係数、ランキング順位の重み付け値とするシステムとしている。設定値、メール環境に合わせデフォルト設定値から変更可能である。   As a result, it is possible to create ranking lists 15 and 18 for detecting the virus or worm as a correlation result on the reception side and the transmission side. The correlation result ranking lists 15 and 18 are a system that uses a weighting coefficient between the time interval lists and a weight value of the ranking order. It can be changed from the default setting value according to the setting value and mail environment.

ウイルスが「蔓延」したときには、送信メール相関結果リスト15、受信メール相関結果リスト18の上位になり、両結果相関リスト15、18の再相関リストを作成し判別することで判別精度を上昇できることも可能である。ただ、一方向だけで結果相関リストからウイルス検知を各ウイルス検知用のチェックモジュール14、19に導入して検知する検知方法は、検出が早いために、設定は係数等で状況に合わせる方法を採用する。   When a virus “spreads”, it becomes higher in the sent mail correlation result list 15 and the received mail correlation result list 18, and the discrimination accuracy can be improved by creating and discriminating the recorrelation list of both the result correlation lists 15 and 18. Is possible. However, the detection method that detects viruses by introducing them into the check modules 14 and 19 for detecting viruses from the result correlation list in only one direction is fast. To do.

更に、送受信ランキングリストの測定時間間隔が小さいとき、再相関の結果で追加の時間相関をとってもよい。各ウイルス検出モジュール14、19の相関型検出データは、新相関結果が出たときに、置換えられる。その結果、メール添付型ウイルスと判定されたメールは、一旦ウエーティング/消去メールボックス21の、受信側23、送信側22に保存される。これにより、管理者に警告メールが出る。そして、管理者がメールヘッダや添付ファイルに、セキュリティ各社が提供する最新情報に基づき消去ボックス内のメールを判断して対処する。   Further, when the measurement time interval of the transmission / reception ranking list is small, an additional time correlation may be taken as a result of the recorrelation. The correlation type detection data of each virus detection module 14 and 19 is replaced when a new correlation result is obtained. As a result, the mail determined as the mail-attached virus is temporarily stored in the receiving side 23 and the transmitting side 22 of the weighting / deleting mailbox 21. As a result, a warning mail is issued to the administrator. Then, the administrator determines the mail in the deletion box based on the latest information provided by each security company in the mail header or the attached file, and takes action.

以上、本発明によるメール添付型ウイルス検知方法およびメールサーバの好適実施例について詳述した。しかし、斯かる実施例は本発明を例示するに過ぎず、何ら本発明を限定するものではないことに留意されたい。本発明の要旨および精神を逸脱することなく特定用途に応じて種々の変形変更が可能であること、当業者には容易に理解できよう。   The preferred embodiments of the mail-attached virus detection method and mail server according to the present invention have been described in detail above. However, it should be noted that such examples are merely illustrative of the invention and do not limit the invention in any way. Those skilled in the art will readily understand that various modifications and changes can be made in accordance with a specific application without departing from the gist and spirit of the present invention.

例えば、上述した実施例では、送信メールボックスの各時間間隔における送信メールリストの相関から導出された結果と、受信メールボックスの各時間間隔における受信メールリストの相関から導出される結果との、再相関を取る方法を用いたが、受信、送信メールボックスの時間相関を独立判断でウイルス対策することも可能である。この方が、両メールボックスの時間相関リストの再相関よりも、ウイルスの社内蔓延対応が早く実施できる。   For example, in the above-described embodiment, the result derived from the correlation of the transmission mail list at each time interval of the transmission mailbox and the result derived from the correlation of the reception mail list at each time interval of the reception mailbox are reproduced. Although the correlation method is used, it is also possible to take anti-virus measures by independent determination of the time correlation of the reception and transmission mailboxes. This is a faster way to deal with the spread of viruses in the company than the recorrelation of the time correlation lists of both mailboxes.

また、受信および送信用メールボックスを持つメールサーバの説明のため、受信の時間相関リスト、送信の時間相関リストの概念を持っていたが、基本概念をIDS(侵入検知システム)に適用する場合には、時間相関リスト項目に送信者IPアドレスを加え、ウイルス感性者のクライアントPCを特定することもできる。   Also, for the description of the mail server having the reception and transmission mailboxes, the concept of the reception time correlation list and the transmission time correlation list was used. However, when the basic concept is applied to IDS (intrusion detection system). Can add the sender IP address to the time correlation list item to specify the client PC of the virus sensitive person.

本発明によるメール添付型ウイルス検知方法の第1実施例の説明図である。It is explanatory drawing of 1st Example of the mail attachment type | mold virus detection method by this invention. 本発明によるメール添付型ウイルス検知方法の第2実施例の説明図である。It is explanatory drawing of 2nd Example of the mail attachment type | mold virus detection method by this invention. 本発明における送信メールランキングリストの1例を示す図である。It is a figure which shows an example of the transmission mail ranking list | wrist in this invention. 自己増殖型ウイルスの特性を示す図である。It is a figure which shows the characteristic of a self-propagating virus.

符号の説明Explanation of symbols

10A、10B メールサーバ
11 メール送信ボックス
13 送信メールランキングリスト
14、19 チェックモジュール
15、18 相関リスト
16 メール受信ボックス
17 受信メールランキングリスト
20 再相関リスト
21 ウエーティング/消去メールボックス
10A, 10B Mail server 11 Mail transmission box 13 Transmission mail ranking list 14, 19 Check module 15, 18 Correlation list 16 Mail reception box 17 Reception mail ranking list 20 Recorrelation list 21 Waiting / deletion mailbox

Claims (9)

メールを中継するメールサーバにおいて、自己増殖するウイルスを検知するメール添付型ウイルス検知方法であって、
前記メールサーバがクライアントからの複数の送信メールを中継した際の履歴情報、および前記メールサーバがクライアント宛ての複数の受信メールを中継した際の履歴情報の一方を用いて、同一の表題又は送信元アドレスを有するメールを、一定時間毎に計数すると共にその計数値の降順にランク付けする第1のランク付けステップと、
時間軸上で連続して、最上位から所定の順位までにランク付けされるメールを、ウイルスが添付されたメールとして検知する検知ステップと、
を備えることを特徴とするメール添付型ウイルス検知方法。 An email attachment type virus detection method for detecting a self-propagating virus in a mail server that relays email,
Using one of history information when the mail server relays a plurality of outgoing mails from the client and history information when the mail server relays a plurality of received mails addressed to the client, the same title or sender A first ranking step that counts emails with addresses at regular intervals and ranks them in descending order;
A detection step of detecting e-mails ranked from the highest level to a predetermined order on the time axis as e-mails with viruses attached;
An email attachment type virus detection method comprising: 他方の履歴情報を用いて、同一の表題又は送信元アドレスを有するメールを、一定時間毎に計数すると共にその計数値の降順にランク付けする第ランク付けステップ、を更に備え、
前記検知ステップは、前記第1及び第ランク付けステップの両者において時間軸上で連続して、最上位から所定の順位までにランク付けされるメールを、前記ウイルスが添付されたメールとして検知することを特徴とする請求項1に記載のメール添付型ウイルス検知方法。 A second ranking step of counting mails having the same title or source address using the other history information at regular intervals and in descending order of the counted values;
In the detection step, mails ranked from the top to a predetermined rank in succession on the time axis in both the first and second ranking steps are detected as mails to which the virus is attached. The mail attachment type virus detection method according to claim 1, wherein: 前記第1のランク付けステップは、同一の表題又は送信元アドレスを有し且つ添付ファイルのサイズ間の差所定範囲内にあるメールを、一定時間毎に計数すると共にその計数値の降順にランク付けすることを特徴とする請求項1に記載のメール添付型ウイルス検知方法。 The first ranking step counts emails having the same title or source address and having a difference between the sizes of attached files within a predetermined range at regular intervals, and ranks them in descending order of the count values. The method for detecting a virus attached to a mail according to claim 1, wherein: 前記第1及び第ランク付けステップの各々は、同一の表題又は送信元アドレスを有し且つ添付ファイルのサイズ間の差所定範囲内にあるメールを、一定時間毎に計数すると共にその計数値の降順にランク付けすることを特徴とする請求項2に記載のメール添付型ウイルス検知方法。 Each of the first and second ranking steps counts and counts emails having the same title or source address and having a difference between attachment sizes within a predetermined range at regular intervals. The virus attachment method according to claim 2, wherein ranking is performed in descending order of numerical values. クライアントからの複数の送信メールを処理するメール送信ボックスと、
クライアント宛ての複数の受信メールを処理するメール受信ボックスと、
前記メール送信ボックスおよび前記メール受信ボックスの一方のボックスに対応して設けられた第1のチェックモジュールと、を備え、
前記第1のチェックモジュールは、
前記一方のボックスで処理され且つ同一の表題又は送信元アドレスを有するメールを、一定時間毎に計数すると共にその計数値の降順にランク付けし、
時間軸上で連続して、最上位から所定の順位までにランク付けされるメールを、ウイルス又はワームが添付されたメールとして検知することを特徴とするメールサーバ。 An email outbox that handles multiple outgoing emails from clients,
An email inbox that handles multiple incoming emails addressed to clients;
A first check module provided corresponding to one of the mail sending box and the mail receiving box,
The first check module includes:
Mails processed in the one box and having the same title or source address are counted at regular intervals and ranked in descending order of the counted values,
A mail server characterized in that it continuously detects mail ranked from the top to a predetermined rank on the time axis as mail with a virus or worm attached. 他方のボックスに対応して設けられた第2のチェックモジュールを更に備え、
前記第2のチェックモジュールは、
前記他方のボックスで処理され且つ同一の表題又は送信元アドレスを有するメールを、一定時間毎に計数すると共にその計数値の降順にランク付けし、
前記第1及び第2のチェックモジュールの一方は、
前記第1及び第2のチェックモジュールの両者により時間軸上で連続して、最上位から所定の順位までにランク付けされるメールを、前記ウイルス又はワームが添付されたメールとして検知することを特徴とする請求項5に記載のメールサーバ。 A second check module provided corresponding to the other box;
The second check module includes
Mails processed in the other box and having the same title or source address are counted at regular intervals and ranked in descending order of the counted values,
One of the first and second check modules is
E-mails ranked from the highest level to a predetermined rank in succession on the time axis by both the first and second check modules are detected as e-mails with the virus or worm attached thereto. The mail server according to claim 5. 前記第1のチェックモジュールは、同一の表題又は送信元アドレスを有し且つ添付ファイルのサイズ間の差所定範囲内にあるメールを、一定時間毎に計数すると共にその計数値の降順にランク付けすることを特徴とする請求項5に記載のメールサーバ。 The first check module counts emails having the same title or source address and having a difference between the sizes of attached files within a predetermined range at a predetermined time and ranks them in descending order. The mail server according to claim 5, wherein: 前記第1及び第2のチェックモジュールの各々は、同一の表題又は送信元アドレスを有し且つ添付ファイルのサイズ間の差所定範囲内にあるメールを、一定時間毎に計数すると共にその計数値の降順にランク付けすることを特徴とする請求項6に記載のメールサーバ。 Each of the first and second check modules counts mails having the same title or source address and having a difference between the sizes of attached files within a predetermined range at regular intervals and the count value. The mail server according to claim 6, wherein the mail server is ranked in descending order. 前記ウイルス又はワームが添付されたメールを一旦保存し、管理者に警告メールを出すウエーティング/消去メールボックスを更に備えることを特徴とする請求項5乃至8の何れか一項に記載のメールサーバ。   The mail server according to any one of claims 5 to 8, further comprising a weighting / deleting mailbox for temporarily storing the mail with the virus or worm attached thereto and issuing a warning mail to an administrator. .
JP2005101837A 2005-03-31 2005-03-31 Email attachment virus detection method and email server Expired - Fee Related JP4720251B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005101837A JP4720251B2 (en) 2005-03-31 2005-03-31 Email attachment virus detection method and email server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005101837A JP4720251B2 (en) 2005-03-31 2005-03-31 Email attachment virus detection method and email server

Publications (2)

Publication Number Publication Date
JP2006287380A JP2006287380A (en) 2006-10-19
JP4720251B2 true JP4720251B2 (en) 2011-07-13

Family

ID=37408842

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005101837A Expired - Fee Related JP4720251B2 (en) 2005-03-31 2005-03-31 Email attachment virus detection method and email server

Country Status (1)

Country Link
JP (1) JP4720251B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6480541B2 (en) * 2017-10-23 2019-03-13 Nttテクノクロス株式会社 Fraud mail determination device and program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003242176A (en) * 2001-12-13 2003-08-29 Sony Corp Information processing device and method, recording medium and program
JP2004046672A (en) * 2002-07-15 2004-02-12 Nec Corp Virus check system, mail client, and method and program for checking virus
JP2004260575A (en) * 2003-02-26 2004-09-16 Fujitsu Ltd Abnormality detection method, abnormality detection program, server, computer

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003242176A (en) * 2001-12-13 2003-08-29 Sony Corp Information processing device and method, recording medium and program
JP2004046672A (en) * 2002-07-15 2004-02-12 Nec Corp Virus check system, mail client, and method and program for checking virus
JP2004260575A (en) * 2003-02-26 2004-09-16 Fujitsu Ltd Abnormality detection method, abnormality detection program, server, computer

Also Published As

Publication number Publication date
JP2006287380A (en) 2006-10-19

Similar Documents

Publication Publication Date Title
US10084801B2 (en) Time zero classification of messages
JP4708466B2 (en) Method for interfering with sending or receiving unwanted electronic messages
JP5118020B2 (en) Identifying threats in electronic messages
US9237163B2 (en) Managing infectious forwarded messages
KR100871581B1 (en) E-mail management services
US9648038B2 (en) Propagation of viruses through an information technology network
US8046624B2 (en) Propagation of viruses through an information technology network
US7958557B2 (en) Determining a source of malicious computer element in a computer network
US20060047769A1 (en) System, method and program to limit rate of transferring messages from suspected spammers
US20100161734A1 (en) Determining spam based on primary and secondary email addresses of a user
CN112511517B (en) Mail detection method, device, equipment and medium
WO2008154835A1 (en) Electronic mail filtering method, device, and electronic mail server
KR20170083494A (en) Technique for Detecting Malicious Electronic Messages
US7373665B2 (en) Propagation of viruses through an information technology network
JP4720251B2 (en) Email attachment virus detection method and email server
JP2011130358A (en) Electronic mail system and unsolicited mail discriminating method in the electronic mail system
JP2009037346A (en) Unwanted e-mail exclusion system
JP6247490B2 (en) Fraud mail determination device and program
JP4322495B2 (en) Spam mail suppression device, spam mail suppression method, and spam mail suppression program
JP6316380B2 (en) Unauthorized mail determination device, unauthorized mail determination method, and program
EP1369766B1 (en) Propogation of viruses through an information technology network
Marsono Packet‐level open‐digest fingerprinting for spam detection on middleboxes
JP2020154363A (en) Information processing device, method, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080213

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20080222

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20091211

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20091214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091215

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100720

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110308

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110321

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140415

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4720251

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees