KR100496770B1 - Virus email blocking algorithm and system - Google Patents

Virus email blocking algorithm and system Download PDF

Info

Publication number
KR100496770B1
KR100496770B1 KR10-2002-0045991A KR20020045991A KR100496770B1 KR 100496770 B1 KR100496770 B1 KR 100496770B1 KR 20020045991 A KR20020045991 A KR 20020045991A KR 100496770 B1 KR100496770 B1 KR 100496770B1
Authority
KR
South Korea
Prior art keywords
mail
virus
content
file
recipient
Prior art date
Application number
KR10-2002-0045991A
Other languages
Korean (ko)
Other versions
KR20040013178A (en
Inventor
황건순
Original Assignee
(주)이월리서치
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이월리서치 filed Critical (주)이월리서치
Priority to KR10-2002-0045991A priority Critical patent/KR100496770B1/en
Publication of KR20040013178A publication Critical patent/KR20040013178A/en
Application granted granted Critical
Publication of KR100496770B1 publication Critical patent/KR100496770B1/en

Links

Classifications

    • G06Q50/60
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking

Abstract

본 발명은 인터넷 및 무선망 등과 같은 통신망을 통하여 전달되는 전자 메일에 의하여 유포되는 바이러스를 차단하기 위한 시스템 및 방법에 관한 것으로서, 메일의 본문을 분석하여 내용 중에 바이러스가 포함되어 있는 메일을 감지하여 별도의 바이러스 치료 프로그램이 없이도 바이러스 메일을 원천적으로 차단한다.The present invention relates to a system and method for blocking a virus spread by an e-mail delivered through a communication network such as the Internet and a wireless network. It also blocks virus e-mail without requiring a virus repair program.

Description

바이러스 메일 차단 방법 및 시스템 {VIRUS EMAIL BLOCKING ALGORITHM AND SYSTEM}VIRUS EMAIL BLOCKING ALGORITHM AND SYSTEM}

본 발명은 바이러스 메일 차단 시스템 및 방법에 관한 것으로, 특히 유무선 통신망을 통해 발송되는 바이러스를 포함하고 있는 메일을 구별하여 사용자 컴퓨터의 바이러스 감염을 원천적으로 차단하기 위한 시스템 및 방법에 관한 것이다. The present invention relates to a virus mail blocking system and method, and more particularly, to a system and method for blocking virus infection of a user's computer by distinguishing a mail containing a virus sent through a wired or wireless communication network.

바이러스 메일이란, 이메일을 통하여 사용자의 컴퓨터를 감염시키는 바이러스 프로그램을 포함하고 있거나 이러한 전자 바이러스를 구동시키는 특정 코드를 포함하고 있는 메일을 의미한다. 예를 들어, 바이러스가 감염된 메일의 수신자가 메일을 열어 볼 경우 자동적으로 수신자 컴퓨터의 시스템이나 파일을 파괴하며 수신자의 주소록에 등록된 모든 이메일 계정으로 수신자 이름으로 감염된 메일을 자동으로 송신하는 형태의 바이러스가 이에 속하며, 최근 빠른 확산과 수신자의 컴퓨터 시스템이나 파일을 파괴하는 악성 바이러스가 속속 출현하고 있다. 따라서 이러한 바이러스로부터 수신자의 컴퓨터와 파일을 보호하기 위하여 다양한 메일 바이러스 검사 및 치료 프로그램이 출시되고 있다.Virus mail means a mail containing a virus program that infects a user's computer through an e-mail or containing a specific code for driving such an electronic virus. For example, a virus that automatically destroys a system or file on the recipient's computer when the recipient of the virus-infected mail opens the mail and automatically sends the infected mail to the recipient's name to all email accounts registered in the recipient's address book. This is the case with the recent rapid spread and malicious viruses appearing one after another to destroy the recipient's computer system or files. Therefore, various mail virus scan and repair programs have been released to protect recipients' computers and files from such viruses.

도1은 종래 바이러스 백신 프로그램을 적용하는 방식의 바이러스 메일 치료 프로그램의 적용 개념도이다. 먼저 수신측의 메일 서버에 메일이 도착하게 되면(101) 바이러스를 치료하는 백신프로그램(102)을 구동하게 되고, 바이러스 포함 유무를 판단(103) 하여 바이러스를 포함하지 않으면 정상적으로 수신(104)하게 되고, 바이러스가 포함되어 있다면 바이러스를 치료하거나 삭제하는 바이러스 처리(105) 과정을 거치게 된다.1 is a conceptual diagram of the application of the virus mail treatment program of the conventional antivirus program. First, when the mail arrives at the receiving mail server (101), the anti-virus program 102 for treating the virus is driven, and if the virus is included (103), the virus is normally received (104). If a virus is included, a virus treatment 105 is performed to cure or delete the virus.

종래 방법으로는 바이러스 메일을 원천적으로 차단 또는 구분해 내는 것이 불가능한데, 바이러스 검사용 소프트웨어인 바이러스백신프로그램은 자체 데이터베이스를 이용하여 이미 알려져 있는 바이러스 패턴만을 검사하기 때문에 항시 최신 데이터베이스를 사용하지 않으면 안되고, 최신 데이터베이스는 바이러스 감염이 보고되어 분석이 된 다음에 나오기 때문에 신종 바이러스를 포함하고 있는 메일의 경우에는 그 치료가 불가능하기 때문이다.In the conventional method, it is impossible to block or distinguish virus e-mail at the source. Since the virus vaccine program, which is a virus scanning software, checks only known virus patterns by using its own database, it is necessary to always use the latest database. This is because the latest database comes after a virus infection has been reported and analyzed, so it is impossible to cure a mail containing a new virus.

따라서, 상기 문제점을 해결하기 위하여 본 발명은 메일의 본문을 분석하여 바이러스를 포함하고 있는 이메일을 분석, 분리하고 차단하여 내어 수신자를 바이러스 감염으로부터 원천적으로 보호하는 방식과 시스템을 고안하고자 한다.Accordingly, in order to solve the above problems, the present invention intends to devise a method and a system for fundamentally protecting a recipient from virus infection by analyzing, separating, and blocking an email containing a virus by analyzing the body of the mail.

만일 바이러스를 포함하고 있는 메일에 반드시 포함되는 특정 패턴이 있고 이를 분석해 낼 수 있다면 바이러스 메일이 전송되어 올 때 해당 메일을 바이러스 메일로 분류하여 바이러스 치료 또는 삭제 또는 수신차단 함으로써 사용자의 컴퓨터와 파일을 바이러스로부터 보호할 수 있을 것이다.If there is a certain pattern that must be included in the e-mail containing the virus and can be analyzed, the e-mail can be classified as a virus e-mail when the e-mail is sent and the virus is cleaned, deleted or blocked. You will be protected from this.

도2는 본 발명의 원리를 이해하기 위하여 제시하는 일반적인 이메일의 구성을 보여준다. 수신된 이메일(s200)을 부분으로 분석하면 크게 Header(s210)와 Body(s220)로 분리될 수 있으며, Body(s220)는 다시 Message Part(s221)와 여러 개의 Content(s223)를 보유한 Contents Part(s222)로 나뉠 수 있으며, 메일에 따라서는 Contents Part(s222)가 존재하지 않을 경우도 있다. Fig. 2 shows the structure of a general e-mail presented to understand the principles of the present invention. If the received email (s200) is analyzed as a part, it can be largely divided into a header (s210) and a body (s220), and the body (s220) is again a contents part (s221) having a message part (s221) and a plurality of contents (s223). s222), and there may be a case where a Contents Part (s222) does not exist in some mails.

전송된 메일 중에 포함된 Content(s223) 부분은 IETE(Internet Engineering Task Force)에서 규약하고 있는 RFC2392: Content-ID and Message-ID Uniform Resource Locator 규약에 의거하여 Content-Type의 name 정의와 Content-ID에 대한 정의가 포함되어 있을 수 있는데, 모든 바이러스 메일에 포함된 Contents Part(s222) 중 바이러스 부분을 포함하고 있는 Content(s223)에는, Content-Type의 name 정의에 *.exe, *.bat, *.lnk, *.scr 등의 실행 가능한 확장자를 보유한 임의의 파일 이름이 포함되어 있으면서 동시에 Content-ID 값이 존재하는 조건을 만족시킨다. 따라서 이러한 조건은 어떤 종류의 바이러스 메일에 있어서도 동일하게 적용되는 것이므로 바로 이런 점이 바이러스 메일을 구분 지을 수 있는 특정 패턴이 된다. The Content (s223) part included in the transmitted mail is defined in the Content-Type name definition and Content-ID according to RFC2392: Content-ID and Message-ID Uniform Resource Locator protocol prescribed by IETE (Internet Engineering Task Force). Definitions may include definitions. Contents containing the virus portion of Contents Part (s222) included in all virus mails includes the * .exe, * .bat, *. It satisfies the condition that a Content-ID value exists while it contains an arbitrary file name with an executable extension such as lnk or * .scr. Therefore, this condition applies equally to any kind of virus mail, so this is the specific pattern that distinguishes virus mail.

바이러스 메일이 아니라 정상적으로 송신자가 발송한 메일이 상기한 조건을 적용하여 바이러스 메일로 분류될 수 있는 경우는 원천적으로 존재하지 않는다. 예를 들어, 송신자의 필요에 의하여 실행 가능한 파일이 첨부된 상태로 보낸 메일의 경우, 해당 메일에 포함된 첨부 파일 부분에 해당하는 Content(s223)부분에는 비록 Content-Type의 name 정의에 실행 가능한 확장자를 보유한 파일 이름이 포함되기는 하지만 Content-ID 값을 가지지 않는다. 또 다른 예로서 그림 파일 등을 첨부가 아닌 메일 내의 Content(s223)로 삽입하여 발송된 메일의 경우, 해당하는 Content(s223)부분에는 Content-ID 값이 존재하기는 하나 Content-Type의 name 정의가 존재하지 않거나 실행 가능한 확장자를 포함하고 있지 않다. 따라서 바로 상기한 두 개의 조건, 즉, Content-Type의 정의에 실행 가능한 확장자를 보유한 임의의 파일 이름이 포함되어 있는가 그리고 Content-ID 값이 존재하는가에 모두 적용되는 메일은 바로 바이러스 메일이라고 판단할 수 있다.There is no original case in which an e-mail normally sent by a sender and not a virus e-mail can be classified as a virus e-mail by applying the above conditions. For example, in case of an e-mail sent with an executable file attached by the sender's need, the Content (s223) part corresponding to the attachment part included in the mail includes an extension executable in the name definition of Content-Type. The file name that contains the file is included, but it does not have a Content-ID value. As another example, in case of a mail sent by inserting a picture file or the like as Content (s223) in a mail rather than an attachment, a Content-ID name is defined in the corresponding Content (s223) part, although a Content-ID value exists. It does not exist or does not contain an executable extension. Therefore, it can be judged that the mail applied to both of the above two conditions, that is, whether the definition of Content-Type includes an arbitrary file name with an executable extension and whether the Content-ID value exists is a virus mail. have.

본 발명은 상기한 점을 발견하고 이에 근거하여 착안한 것으로서, 본 발명에 따른 바이러스 메일 차단 시스템은 수신자 측의 메일 서버에 수신된 이메일로부터 Header와 Body를 분리해 내는 Header/Body분리기, 분리된 Body로부터 Message와 Contents를 분리해 내는 Message/Contents분리기, Contents부분 중에서 file name 또는 name 항목이 있는 Content를 분리해 내는 세부Content추출기, Content-Type의 name 정의에 실행 가능한 확장자 문자를 포함하고 있는지와 Content-ID 값이 존재하는지를 검색하고 검사하는 바이러스탐지기, 검사된 메일을 정상적인 메일로 분류하여 수신자의 메일 수신을 허용하거나 바이러스에 감염된 메일로 분류하여 차단 또는 삭제시키는 메일처리기, 그리고 경우에 따라 외부에서 제공되는 바이러스백신프로그램을 포함한다. 본 발명의 바이러스 메일 차단 시스템은 바이러스탐지기의 요구에 따라 메일처리기가 바이러스 메일을 처리함으로써 이를 통한 사용자 컴퓨터 시스템 또는 파일의 바이러스 감염을 차단한다.The present invention has been made based on the above findings and based on this, the virus mail blocking system according to the present invention is a header / body separator for separating a header and a body from an e-mail received at a mail server of a receiver side, a separated body. Message / Contents separator that separates Message and Contents from, Content detail extractor that separates content with file name or name item from Contents section, Content-Type name definition includes executable extension characters and Content- Virus detector that scans and scans for ID values, classifies the scanned message as a normal message, accepts the recipient's mail, or classifies it as a virus-infected message, and blocks or deletes the message. Includes a virus vaccine program. The virus mail blocking system of the present invention blocks virus infection of a user computer system or file through the mail processor by processing a virus mail in accordance with a request of a virus detector.

이하 본 발명의 원리와 실시 예를 첨부된 도면을 참조하여 더욱 상세히 설명한다.Hereinafter, with reference to the accompanying drawings the principles and embodiments of the present invention will be described in more detail.

도3은 본 발명의 바람직한 실시 예에 따른 바이러스 메일 차단기의 동작원리와 기능모듈의 구성을 보여준다. Figure 3 shows the operation principle of the virus mail blocker and the configuration of the functional module according to an embodiment of the present invention.

Header/Body분리기(310)는 수신측의 메일서버 또는 메일클라이언트(300)에 메일이 도착하게 되어 메일이 수신되었을 때 수신메일(301)의 Header와 Body를 분리(310)하는 기능을 함으로써 메일에 대한 분석을 시작한다. The header / body separator 310 receives mail at the receiving mail server or the mail client 300, and separates the header and body of the received mail 301 when the mail is received. Start the analysis.

Message/Contents분리기(320)는 분리되어 얻어진 Body 부분을 다시 Message Part와 Contents Part로 분리하는 기능(321)을 하고, 만일 Contents Part가 존재하게 되면 해당 Contents Part 부분을 세부Content추출기(330)로 전달해 주는 조건검사단계(322)를 포함하고 있다.The message / contents separator 320 functions to separate the separated body part into the message part and the content part again, and if the content part exists, delivers the corresponding content part part to the detail content extractor 330. The state includes a condition inspection step 322.

세부Content추출기(330)는 Contents Part안에 포함되어 있는 여러 개의 Content를 부분별로 분리하고 각 Content의 Content-Type 정의 부분과 Content-ID 정의 부분을 추출하여 낸다.The detailed content extractor 330 separates a plurality of contents included in the contents part by parts, and extracts a content-type definition part and a content-ID definition part of each content.

바이러스탐지기(340)는 추출된 각각의 세부 Content 정보에 포함되어 있는 Content-Type의 name 정의에 명기된 파일이름에 실행 가능한 확장자가 있는지를 분석(341)하고 Content-ID 값의 존재 유무를 검사(342)하게 된다. 이 때 Content-Type의 name 정의에 실행가능 확장자를 가진 구문이 존재함과 동시에 Content ID가 존재하게 되면 해당 메일을 바이러스 메일로 판단하고, 이러한 정보를 메일처리기(360)로 전달하여 해당 메일을 차단 또는 삭제하거나 포함되어 있는 바이러스를 치료하도록 한다. 바이러스탐지기(340)에서 감지하게 되는 실행 가능한 확장자는 윈도우 운영체제에서 실행파일의 확장자로 사용하는 .exe, .com, .bat, .lnk, .scr, .pif 등이 있으며 이 이외에도 각 운영체제마다 고유하게 사용하는 실행파일을 가리키는 특정 단어 또는 구문이다.The virus detector 340 analyzes (341) whether there is an executable extension in the file name specified in the Content-Type name definition included in each extracted detailed content information, and checks for the existence of a Content-ID value ( 342). At this time, if there is a syntax with executable extension in Content-Type name definition and Content ID exists, the mail is judged as a virus mail, and the information is forwarded to the mail processor 360 to block the mail. Or delete or contain any virus contained in it. The executable extensions detected by the virus detector 340 include .exe, .com, .bat, .lnk, .scr, and .pif, which are used as extensions of executable files in the Windows operating system. A specific word or phrase that points to the executable you are using.

바이러스백신프로그램(a350)은 바이러스탐지기(340)에 포함된 두 개의 조건검사단계(341, 342)를 거친 이메일에 바이러스가 포함되어 있는지를 검사하며, 바이러스를 검사(a351)하고 바이러스가 존재하는지를 판단하여(a352) 메일의 수신을 허용할 것인지 또는 바이러스 메일로 판단하게 할 것인지의 정보를 메일처리기(360)로 전달한다. 단, 바이러스백신프로그램(a350)은 이미 알려져 있는 바이러스 패턴과 치료방법을 담은 데이터베이스로서 반드시 본 발명의 바람직한 예에 포함되지 않을 수도 있다.The virus vaccine program a350 checks whether the virus has been included in the e-mail after the two condition checking steps 341 and 342 included in the virus detector 340, checks the virus (a351), and determines whether the virus exists. (A352), the information on whether to allow the reception of the mail or to judge the virus mail is transmitted to the mail processor 360. However, the virus vaccine program a350 is a database containing known virus patterns and treatment methods, and may not necessarily be included in a preferred example of the present invention.

메일처리기(360)는 바이러스탐지기(340) 또는 바이러스백신프로그램(a350)으로부터 전달받은 바이러스 존재 유무에 대한 정보에 따라 바이러스가 있는 경우에는 해당 메일을 수신자가 받아보지 못하도록 차단 또는 삭제(361)하고, 바이러스가 없는 경우에는 추가 조치 없이 수신측 메일서버 또는 메일클라이언트(300)에 수신을 허용하는 정보를 전달(362)하여 수신자가 정상적으로 메일을 확인할 수 있도록 허용하는 기능을 한다.The mail processor 360 blocks or deletes 361 the recipient from receiving the corresponding mail when there is a virus according to the information on the presence or absence of the virus transmitted from the virus detector 340 or the virus vaccine program a350. If there is no virus, it transmits the information to allow reception to the receiving mail server or the mail client 300 without additional measures (362) to allow the recipient to check the mail normally.

도4는 본 발명의 바람직한 실시 예에 따른 바이러스메일차단기를 수신측의 메일서버 또는 수신자의 메일클라이언트에 적용된 바람직한 적용예를 보여주는 블록도이다. Figure 4 is a block diagram showing a preferred application of the virus mail blocker according to a preferred embodiment of the present invention applied to the mail server of the receiving side or the mail client of the recipient.

메일이 수신측의 메일 서버에 수신(500)되면, 수신측메일서버(410)는 새로운 메일이 도착하였음을 바이러스메일차단기(420)에 알림과 동시에 분석을 의뢰(411)하게 된다. 바이러스메일차단기(420)는 해당 메일의 내용을 분석하여 바이러스메일인지를 분류해 내게 되고, 바이러스메일로 판단될 경우에는 해당 메일을 삭제 또는 차단하는 처리(430)를 하고, 바이러스 메일로 판단되지 않을 경우에는 해당 메일을 다시 정상적으로 수신측메일서버(410)가 처리할 수 있도록 되돌려 준다(421). 이후 수신자가 사용하는 메일클라이언트(440)가 해당 메일을 불러오도록 수신측 메일서버(410)에 요청하게 될 때 POP3/IMAP/CGI 등의 프로토콜에 따라 메일클라이언트(440)에 메일이 전송되게 된다. 또한 이러한 바이러스메일차단기를 수신자의 메일클라이언트(440)에도 설치할 수 있는데, 이렇게 설치된 바이러스메일차단기(U411)는 메일서버(410)에 설치된 바이러스메일차단기(420)와 마찬가지의 기능을 메일클라이언트(440)에 바이러스 메일 차단 기능을 수행하게 된다. 이렇게 수신측의 메일서버(410)에 설치된 바이러스메일차단기(420) 또는 수신자의 메일클라이언트(440)에 설치된 바이러스메일차단기(U420)에 의하여 바이러스 메일이 제거된 메일리스트를 최종적으로 수신자가 확인(450)하게 된다.전술한 내용은 후술할 발명의 특허 청구 범위를 보다 잘 이해할 수 있도록 본 발명의 특징과 기술적 장점을 다소 폭넓게 개설하였다. 본 발명의 특허 청구 범위를 구성하는 부가적인 특징과 장점들은 이하에서 상술될 것이다. 개시된 본 발명의 개념과 특정 실시예는 본 발명과 유사 목적을 수행하기 위한 다른 구조의 설계나 수정의 기본으로 즉시 사용될 수 있음이 당해 기술 분야의 숙련된 사람들에 의해 인식되어야 한다.또한, 본 발명에서 개시된 발명 개념과 실시예가 본 발명의 동일 목적을 수행하기 위하여 다른 구조로 수정하거나 설계하기 위한 기초로서 당해 기술 분야의 숙련된 사람들에 의해 사용되어질 수 있을 것이다. 또한, 당해 기술 분야의 숙련된 사람에 의한 그와 같은 수정 또는 변경된 등가 구조는 특허 청구 범위에서 기술한 발명의 사상이나 범위를 벗어나지 않는 한도 내에서 다양한 변화, 치환 및 변경이 가능하다.When the mail is received 500 at the receiving mail server, the receiving mail server 410 notifies the virus mail blocker 420 that the new mail has arrived and requests the analysis at the same time (411). The virus mail blocker 420 analyzes the contents of the mail and classifies whether it is a virus mail. If it is determined as a virus mail, the virus mail blocker 420 deletes or blocks the mail. In case the mail is returned to the receiving mail server 410 so that it can be processed normally (421). Then, when the mail client 440 used by the receiver requests the receiving mail server 410 to retrieve the mail, the mail is transmitted to the mail client 440 according to a protocol such as POP3 / IMAP / CGI. In addition, the virus mail blocker may be installed in the mail client 440 of the receiver. The virus mail blocker U411 thus installed has the same function as the virus mail blocker 420 installed in the mail server 410. The virus mail blocking function will be performed. The recipient finally checks the mail list from which the virus mail is removed by the virus mail blocker 420 installed in the mail server 410 of the receiving side or the virus mail blocker U420 installed in the mail client 440 of the recipient (450). The foregoing has outlined rather broadly the features and technical advantages of the present invention in order to better understand the claims of the invention that will be described later. Additional features and advantages that make up the claims of the present invention will be described below. It should be appreciated by those skilled in the art that the conception and specific embodiment of the invention disclosed can be readily used as a basis for designing or modifying other structures for carrying out similar purposes to the invention. The inventive concepts and embodiments disclosed herein can be used by those skilled in the art as a basis for modifying or designing other structures for carrying out the same purposes of the present invention. In addition, such modifications or altered equivalent structures by those skilled in the art may be variously changed, substituted, and changed without departing from the spirit or scope of the invention described in the claims.

삭제delete

본 발명에 따르면 수신자의 컴퓨터 시스템과 파일을 감염시키는 의도로 배포되는 바이러스 메일을 원천적으로 차단하기 때문에 수신자는 바이러스 메일로부터 전혀 피해를 입지 않게 된다. According to the present invention, since the virus mail distributed by the intention of infecting the recipient's computer system and files is inherently blocked, the recipient does not suffer any damage from the virus mail.

도1은 종래 바이러스 백신 프로그램 방식의 바이러스 메일 치료 프로세스 순서도.1 is a flowchart of a virus mail treatment process using a conventional antivirus program.

도2는 이메일을 구성하는 각 부분을 나타내는 구성도.Fig. 2 is a block diagram showing each part constituting an email.

도3은 본 발명에 따른 바이러스 메일 차단기의 동작 원리를 나타내는 순서도와 기능 구성도.Figure 3 is a flow chart and functional configuration showing the operation principle of the virus mail blocker according to the present invention.

도4는 바이러스 메일 차단기가 적용된 수신측의 메일 시스템 구성을 나타내는 블록도.Fig. 4 is a block diagram showing the mail system configuration of the receiving side to which the virus mail blocker is applied.

Claims (3)

네트워크를 통해 전송되는 이메일에 대해 여과하여 차단하는 방법에 있어서,A method of filtering and blocking email sent over a network, (a) 수신된 이메일에 대하여 파싱(parsing) 과정을 통해 헤더(S210)와 바디(S220)로 분리하여 식별하고, 상기 바디(S220)는 다시 메시지(S221)와 컨텐츠(S222)로 분리하여 추출하는 단계;(a) The received email is identified and separated into a header (S210) and a body (S220) through a parsing process, and the body (S220) is separated into a message (S221) and content (S222) and extracted again. Doing; (b) 상기 단계 (a)에서 컨텐츠(S222)가 존재하는 경우, 세부 컨텐츠에 포함된 파일이 exe, com, bat, lnk, scr, pif 등과 같은 확장자가 붙어 있거나 파일의 앞 부분에 특정 인식 코드가 존재해서 실행 가능한 형식으로 되어 있는지 여부 및 컨텐츠 아이디(ID)가 존재하는지 여부를 판단하는 단계; (b) If the content S222 is present in step (a), the file included in the detailed content has an extension such as exe, com, bat, lnk, scr, pif, or a specific recognition code at the beginning of the file. Determining whether a file exists in an executable format and whether a content ID exists; (c) 상기 단계 (b)의 상기 두가지 판별 조건이 성립하는 경우 해당 이메일을 분리하여 여과하는 단계(c) separating and filtering the e-mail when the two discrimination conditions of step (b) are satisfied; 를 포함하는 이메일 여과 방법.Email filtering method comprising a. 삭제delete 삭제delete
KR10-2002-0045991A 2002-08-03 2002-08-03 Virus email blocking algorithm and system KR100496770B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0045991A KR100496770B1 (en) 2002-08-03 2002-08-03 Virus email blocking algorithm and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0045991A KR100496770B1 (en) 2002-08-03 2002-08-03 Virus email blocking algorithm and system

Publications (2)

Publication Number Publication Date
KR20040013178A KR20040013178A (en) 2004-02-14
KR100496770B1 true KR100496770B1 (en) 2005-06-23

Family

ID=37320534

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0045991A KR100496770B1 (en) 2002-08-03 2002-08-03 Virus email blocking algorithm and system

Country Status (1)

Country Link
KR (1) KR100496770B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100896319B1 (en) 2006-11-23 2009-05-07 한국전자통신연구원 Apparatus and method for detecting packed file

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100743372B1 (en) * 2005-07-04 2007-07-30 주식회사 안철수연구소 Method and apparatus for detecting virus in attached file of e-mail

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100896319B1 (en) 2006-11-23 2009-05-07 한국전자통신연구원 Apparatus and method for detecting packed file

Also Published As

Publication number Publication date
KR20040013178A (en) 2004-02-14

Similar Documents

Publication Publication Date Title
US10084801B2 (en) Time zero classification of messages
US10069851B2 (en) Managing infectious forwarded messages
US20020004908A1 (en) Electronic mail message anti-virus system and method
EP1385303B1 (en) Method and device for preventing malicious computer code from propagating
EP1299791B1 (en) Method of and system for processing email
US7664754B2 (en) Method of, and system for, heuristically detecting viruses in executable code
US8353040B2 (en) Automatic extraction of signatures for malware
US20090307776A1 (en) Method and apparatus for providing network security by scanning for viruses
AU2004235515B2 (en) A method of, and system for, heuristically determining that an unknown file is harmless by using traffic heuristics
US9294487B2 (en) Method and apparatus for providing network security
WO2007104988A1 (en) A method and apparatus for providing network security
JPH11110211A (en) Computer system, computer virus opposition method and storage medium for recording computer virus opposition program
KR100496770B1 (en) Virus email blocking algorithm and system
US20200097655A1 (en) Time zero classification of messages

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130614

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140613

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160812

Year of fee payment: 12

LAPS Lapse due to unpaid annual fee