JP2008250597A - Computer system - Google Patents
Computer system Download PDFInfo
- Publication number
- JP2008250597A JP2008250597A JP2007090184A JP2007090184A JP2008250597A JP 2008250597 A JP2008250597 A JP 2008250597A JP 2007090184 A JP2007090184 A JP 2007090184A JP 2007090184 A JP2007090184 A JP 2007090184A JP 2008250597 A JP2008250597 A JP 2008250597A
- Authority
- JP
- Japan
- Prior art keywords
- website
- harmful site
- uri
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
Description
本発明は、受信メールが迷惑メールであるか否かを判定するコンピュータシステムに関する。 The present invention relates to a computer system that determines whether a received mail is a junk mail.
不特定ユーザのコンピュータ端末に対して一方的に送信されるスパムメールと呼ばれる迷惑メールが問題となっている。特許文献1には、スパムメールに記載されていたURI(Uniform Resource Identifier)を保持しておき、保持したURIに基づいてフィルタリングを行う技術が記載されている。
特許文献1に記載された技術では、スパムメールの1度目の受信時にURIがシステムによって保持され、2度目の受信以降は、そのURIに基づいてスパムメールであるか否かの判定を行うことができるが、1度目の受信時にその判定を行うことができないため、スパムメールを確実にフィルタリングすることができない。また、この技術では、受信メールのみからURIを収集しているが、受信メールに記載されているURIが有害サイトのURIであるとは限らないため、誤判定が生じる可能性がある。さらに、この技術では、受信メールがスパムメールであるか否かを判定する際に、URIのみに基づいて判定を行っているため、誤判定が生じる可能性がある。 In the technique described in Patent Document 1, the URI is held by the system when the spam mail is received for the first time, and after the second reception, it is determined whether the mail is spam mail based on the URI. However, since the determination cannot be performed at the first reception, the spam mail cannot be reliably filtered. In this technique, URIs are collected only from received mail. However, since the URI described in the received mail is not necessarily the URI of the harmful site, there is a possibility that erroneous determination may occur. Further, in this technique, when determining whether or not the received mail is spam mail, since the determination is performed based only on the URI, an erroneous determination may occur.
本発明は、上述した課題に鑑みてなされたものであって、迷惑メールを確実にフィルタリングすることができるコンピュータシステムを提供することを目的とする。 The present invention has been made in view of the above-described problems, and an object of the present invention is to provide a computer system capable of reliably filtering junk mail.
本発明は、上記の課題を解決するためになされたもので、受信メール中に記載されているURI(Uniform Resource Identifier)の文字列を解析し、前記URIによって識別されるウェブサイトが有害サイトであるか否かを判定する第1の有害サイト判定手段と、前記第1の有害サイト判定手段によって有害サイトであると判定された前記URIを記憶する記憶手段と、前記記憶手段によって記憶されている前記URIに基づいて、受信メールが迷惑メールであるか否かを判定する迷惑メール判定手段とを備えたことを特徴とするコンピュータシステムである。 The present invention has been made to solve the above-described problems, and analyzes a character string of a URI (Uniform Resource Identifier) described in a received mail, and a website identified by the URI is a harmful site. First harmful site determination means for determining whether or not there is present, storage means for storing the URI determined as a harmful site by the first harmful site determination means, and stored by the storage means A computer system comprising: a junk mail judging means for judging whether or not a received mail is a junk mail based on the URI.
また、本発明のコンピュータシステムは、ユーザがアクセスを要求するURIの文字列を解析し、前記URIによって識別されるウェブサイトが有害サイトであるか否かを判定する第2の有害サイト判定手段をさらに備え、前記記憶手段はさらに、前記第2の有害サイト判定手段によって有害サイトであると判定された前記URIを記憶することを特徴とする。 The computer system according to the present invention further includes second harmful site determination means for analyzing a character string of a URI for which a user requests access and determining whether or not a website identified by the URI is a harmful site. The storage means further stores the URI determined to be a harmful site by the second harmful site determination means.
また、本発明のコンピュータシステムにおいて、前記第1の有害サイト判定手段はさらに、前記URIによって識別されるウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報の少なくともいずれかに基づいて、前記ウェブサイトが有害サイトであるか否かを判定し、前記記憶手段はさらに、前記第1の有害サイト判定手段によって有害サイトであると判定された前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報の少なくともいずれかを記憶し、前記迷惑メール判定手段はさらに、前記記憶手段によって記憶されている前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報の少なくともいずれかに基づいて、受信メールが迷惑メールであるか否かを判定することを特徴とする。 In the computer system of the present invention, the first harmful site determination means may further include at least one of an IP address of the website identified by the URI, information on the website domain, and information on the website page. Based on one of the above, it is determined whether or not the website is a harmful site, and the storage means further includes an IP address of the website determined to be a harmful site by the first harmful site determination means. , Storing at least one of the domain information of the website and the information of the page of the website, and the junk mail determination means further includes the IP address of the website stored in the storage means, the web Site domain information and the website page Based on at least one of di-information, received mail and judging whether or not spam.
また、本発明のコンピュータシステムにおいて、前記第2の有害サイト判定手段はさらに、前記URIによって識別されるウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、前記ウェブサイトのページの情報、および前記ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかに基づいて、前記ウェブサイトが有害サイトであるか否かを判定し、前記記憶手段はさらに、前記第1の有害サイト判定手段によって有害サイトであると判定された前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、前記ウェブサイトのページの情報、および前記ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかを記憶し、前記迷惑メール判定手段はさらに、前記記憶手段によって記憶されている前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報、および前記ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかに基づいて、受信メールが迷惑メールであるか否かを判定することを特徴とする。 In the computer system of the present invention, the second harmful site determination means may further include an IP address of a website identified by the URI, information on the domain of the website, information on a page of the website, and The storage means further determines whether the website is a harmful site based on at least one of the information indicating the result of the user determining whether the website is a harmful site, and the storage means further includes The IP address of the website determined to be a harmful site by one harmful site determination means, information on the domain of the website, information on the page of the website, and whether or not the website is a harmful site At least one of the information indicating the result of the determination by the user, and The website determination unit further includes an IP address of the website stored in the storage unit, information on the domain of the website, information on a page of the website, and whether the website is a harmful site. It is characterized in that it is determined whether or not the received mail is a junk mail based on at least one of the information indicating the result of the determination by the user.
本発明によれば、メール中に記載されているURIの文字列を解析し、有害サイトであるか否かを判定することによって、初めて判定を行うURIが記載されている迷惑メールが受信された場合でも迷惑メールを確実にフィルタリングすることができる。また、ユーザがアクセスを要求するURIの文字列を解析し、有害サイトであるか否かを判定することによって、有害サイトの判定精度を向上し、迷惑メールを確実にフィルタリングすることができる。また、ウェブサイトのIPアドレス、ウェブサイトのドメインの情報、ウェブサイトのページの情報、およびウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかに基づいて、受信メールが迷惑メールあるか否かを判定することによって、迷惑メールの判定精度を向上し、迷惑メールを確実にフィルタリングすることができる。 According to the present invention, an unsolicited mail containing a URI to be determined for the first time is received by analyzing a character string of the URI described in the mail and determining whether or not it is a harmful site. Even in this case, junk mail can be reliably filtered. Further, by analyzing a URI character string requesting access by a user and determining whether or not the site is a harmful site, it is possible to improve the accuracy of determining a harmful site and to filter spam mails with certainty. Also, based on at least one of the website IP address, website domain information, website page information, and information indicating the result of the user determining whether the website is a harmful site, By determining whether or not the received mail is junk mail, it is possible to improve the accuracy of junk mail determination and reliably filter junk mail.
以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態によるコンピュータシステムの構成を示している。本実施形態によるコンピュータシステムは、電子メールを配送するメールサーバ1と、ユーザからのアクセス要求を受けて外部のネットワークにアクセスするプロキシサーバ2と、有害サイトのURIを記憶するブラックリスト記憶部3とを有している。ブラックリスト記憶部3は、メールサーバ1やプロキシサーバ2とは別個のデータベースサーバ等に設置してもよいし、メールサーバ1あるいはプロキシサーバ2に設置してもよい。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of a computer system according to an embodiment of the present invention. The computer system according to the present embodiment includes a mail server 1 that delivers electronic mail, a
メールサーバ1において、メール受信部10は外部のネットワークからメールを受信する。メール記憶部11は、メール受信部10によって受信されたメールを記憶する。スパムメール判定部12は、受信メールがスパムメール(迷惑メール)であるか否かを判定する。有害サイト判定部13は、受信メールに記載されているURIによって識別されるウェブサイトが有害サイトであるか否かを判定する。
In the mail server 1, the
プロキシサーバ2において、ウェブアクセス監視部20は、ユーザによる外部のネットワーク上のウェブサイトへのアクセスを監視する。有害サイト判定部21は、ユーザがアクセスを要求するウェブサイトが有害サイトであるか否かを判定する。
In the
有害サイト判定部13,21は、ウェブサイトが有害サイトであるか否かを判定する際に、以下の3種類の情報をチェックする。
(1)URIの文字列の情報
(2)ドメインの情報
(3)ウェブサイトのページの情報
有害サイト判定部13,21はこれら3種類の情報それぞれについて、判定対象のウェブサイトが有害サイトである可能性を示す評価値を計算し、各情報について得られた評価値を合計した値と所定の閾値を比較して、評価値の合計値が閾値以上となった場合に、判定対象のウェブサイトが有害サイトであると判定する。
The harmful
(1) URI character string information (2) Domain information (3) Website page information For each of these three types of information, the harmful website is a harmful website. When the evaluation value indicating the possibility is calculated, the value obtained by summing the evaluation values obtained for each information is compared with a predetermined threshold, and the total value of the evaluation values exceeds the threshold, the website to be determined Is determined to be a harmful site.
まず、URIの文字列の情報に基づいたチェックの内容を説明する。メールサーバ1の有害サイト判定部13は、メール記憶部11が記憶している受信メールを読み出し、その受信メール中に記載されているURIの文字列を解析する。また、プロキシサーバ2のウェブアクセス監視部20は、ユーザから外部のウェブサイトへのアクセス要求があった場合に、アクセスを要求されたウェブサイトのURIを有害サイト判定部21に通知する。有害サイト判定部21は、通知されたURIの文字列を解析する。
First, the contents of a check based on URI character string information will be described. The harmful
URIからはフィッシング詐欺などの詐欺サイトの情報を読み取ることができる。詐欺サイトを作成する際に、ユーザやサーバ管理者に詐欺サイトであることを気づかれないように、URIに工夫を凝らしていることが多い。例えば、実際に存在するウェブサイトの名前に似た文字列をURI中に仕込み、ユーザをだますパターンが考え得る。本実施形態では、あらかじめ有名なウェブサイトの名前に似た文字列や名前そのものをリスト化し、その名前にマッチングしたものに高い評価値を与える。また、有名なウェブサイトに似た名前の文字列がURI中のどこに書かれているかのチェックも行う。詐欺サイトの場合はサブドメインやディレクトリ名の中にその文字列を書く場合が多いため、これらの場所に書かれていた場合に評価値を大きくする。 Information on fraud sites such as phishing scams can be read from the URI. When creating a fraud site, the URI is often devised so that the user or server administrator is not aware of the fraud site. For example, a character string similar to the name of a website that actually exists is stored in the URI, and a pattern that tricks the user can be considered. In this embodiment, character strings similar to names of famous websites and names themselves are listed in advance, and a high evaluation value is given to those matching the names. It also checks where in the URI a string with a name similar to a famous website is written. In the case of fraudulent sites, the character strings are often written in subdomains and directory names, so the evaluation value is increased when written in these places.
また、サーバ管理者をだますパターンには次のようなものが存在する。その1つが、空白のディレクトリを作成し、その中に有害サイトを作成する場合であり、もう1つが、「.」から始まるディレクトリを作成し、その中に有害サイトを作成する場合であり、どちらも管理者から有害サイトの場所を隠すことを意図している。これらの場合には、URIの文字列の「/」と「/」の間に空白(文字列としては「%20」)が入れられていたり、「/」の後に「.」が入れられていたりする。 In addition, the following patterns exist to trick server administrators. One is to create a blank directory and create a harmful site in it, and the other is to create a directory starting with "." And create a harmful site in it. It is also intended to hide the location of harmful sites from the administrator. In these cases, there is a space ("% 20" as the string) between the URI characters "/" and "/", or "." After "/". Or
また、上記以外に、IPアドレスを直接書いたURIや、そのIPアドレスを10進数や16進数に直したものを記述している例などが有害サイトのURIとして挙げられる。 In addition to the above, URIs in which IP addresses are directly written, and examples in which the IP address is converted to decimal or hexadecimal are listed as URIs for harmful sites.
次に、ドメインの情報に基づいたチェックの内容を説明する。有害サイトの管理者が有害サイトを作成し、宣伝する場合に、有害サイトを作成した直後にスパムメールを送ることが考えられる。したがって、ドメインの取得日を判断基準として利用することが可能である。また、早期に発見された場合などに対処するために、1年という短い有効期限でドメインを取得することが多く、ドメインの有効期限も判断基準として利用することができると考えられる。また、IPアドレスを判断基準として利用することも可能である。 Next, the contents of the check based on the domain information will be described. When an administrator of a harmful site creates and promotes a harmful site, it is possible to send a spam mail immediately after creating the harmful site. Therefore, the domain acquisition date can be used as a criterion. Further, in order to deal with cases such as being discovered early, a domain is often acquired with an expiration date as short as one year, and it is considered that the expiration date of the domain can also be used as a criterion. It is also possible to use an IP address as a criterion.
有害サイト判定部13,21はURIの文字列からドメイン名を抽出し、whoisコマンドを実行してドメインの情報を取得する。そして、有害サイト判定部13,21は、そのドメインの取得日を確認し、ドメインが最近取得された場合には評価値を大きくする。また、有害サイト判定部13,21は、そのドメインの有効期限を確認し、有効期限が短い場合には評価値を大きくする。
The harmful
次に、ウェブサイトのページの情報に基づいたチェックの内容を説明する。これは、実際にウェブサイトのページに書かれている情報を取得することによって分析を行う。ウェブページには、そのサイトの特徴とも言える単語が書かれていることが多い。そこで、あらかじめ特徴的な単語のデータベースを用意しておき、そのデータベースに含まれる単語をどれだけ使っているのかということや、各単語の出現頻度などを計算し、評価値に重みをつける。また、そのURIに書かれているウェブページだけでなく、そのページからアクセス可能なリンク先のウェブページでも同様のことを行う。リンク先まで含めると、複数ページについて評価値が得られるが、URIで示されるページに近いページほど評価値の重みを大きくする。 Next, the contents of the check based on the information on the website page will be described. This is done by getting the information that is actually written on the pages of the website. Web pages often have words that are characteristic of the site. Therefore, a database of characteristic words is prepared in advance, the number of words included in the database is used, the appearance frequency of each word is calculated, and the evaluation value is weighted. The same is done not only on the web page written in the URI but also on the linked web page accessible from the page. When the link destination is included, an evaluation value is obtained for a plurality of pages, but the weight of the evaluation value is increased as the page is closer to the page indicated by the URI.
上記以外では、固有単語の比較をすることで、判定を行うこともできる。URIで示されるページに書かれている固有名詞と、URIの文字列の後ろの方を削ったURIで示されるそのドメインのサイトのトップページといえるページに書かれている固有名詞とを比較し、それらに共通の単語がない場合、トップページとURIのページとの関連性が薄いと考えられる。通常の個人サイトなどでは多くあることであると考えられるが、企業などのサイトの場合ではそのようなことは少なく、共通の固有名詞がなかった場合、クラックされたサイトであると判断することができる。 Other than the above, the determination can also be made by comparing the unique words. Compare the proper noun written on the page indicated by the URI with the proper noun written on the page that can be said to be the top page of the domain site indicated by the URI that has been trimmed away from the URI string. If there is no common word between them, the relationship between the top page and the URI page is considered to be weak. It is considered that there are many in ordinary personal sites, but such cases are rare in the case of sites such as companies, and if there is no common proper name, it can be judged that it is a cracked site it can.
同様に、上記のページ間のタイトルを比較し、タイトルが異なっている場合に、有害サイトである可能性が高いと判断することも可能である。また、フィッシングサイトの場合、パスワードなどを送信するための送信フォームがウェブページにあるため、送信フォームの有無についても評価項目として挙げることができる。 Similarly, the titles between the pages described above are compared, and if the titles are different, it is possible to determine that there is a high possibility of being a harmful site. In the case of a phishing site, since there is a transmission form for transmitting a password or the like on the web page, the presence or absence of the transmission form can also be listed as an evaluation item.
有害サイト判定部13,21はURIでよって識別されるウェブサイトにアクセスしてウェブページの情報をダウンロードし、そのウェブページの情報に基づいて、上記のような基準で評価値を計算する。
The harmful
次に、図2を参照しながら、メールサーバ1の動作を説明する。メール受信部10はメールを受信し、メール記憶部11に受信メールを格納する(ステップS100)。有害サイト判定部13はメール記憶部11から受信メールを読み出し、受信メールのテキストからURIを抽出する(ステップS110)。
Next, the operation of the mail server 1 will be described with reference to FIG. The
続いて、有害サイト判定部13は、whoisコマンドを実行し、受信メールに記載されていたURIが示すウェブサイトが所属するドメインの情報を取得する。また、有害サイト判定部13は、受信メールに記載されていたURIが示すウェブページにアクセスし、そのページの情報を取得する(ステップS120)。
Subsequently, the harmful
続いて、有害サイト判定部13は、受信メールから抽出したURIの文字列を解析すると共に、ステップS120で取得したドメインの情報やウェブページの情報を解析し、各情報についての評価値およびその合計値を計算する(ステップS130)。有害サイト判定部13は、評価値の合計値と所定の閾値を比較し、比較結果に基づいて、受信メールに記載されたURIによって識別されるウェブサイトが有害サイトであるか否かを判定する(ステップS140)。
Subsequently, the harmful
ウェブサイトが有害サイトであると判定した場合(ステップS140でYESの場合)、有害サイト判定部13はURIおよびステップS120で取得した情報を関連付けてブラックリスト記憶部3に格納する(ステップS150)。ウェブサイトが有害サイトでないと判定した場合(ステップS140でNOの場合)には、処理が終了する。
If it is determined that the website is a harmful site (YES in step S140), the harmful
次に、図3を参照しながら、プロキシサーバ2の動作を説明する。ユーザがウェブサイトへのアクセス要求をプロキシサーバ2に行うと、ウェブアクセス監視部20はアクセスを要求されたURIを有害サイト判定部21に通知する(ステップS200)。有害サイト判定部21は、時間のかからないチェック(URI中の文字列のチェックやウェブサイトのトップページの情報のチェック)を実行し、各情報についての評価値およびその合計値を計算する(ステップS210)。
Next, the operation of the
続いて、有害サイト判定部21は、評価値の合計値と所定の閾値を比較し、比較結果に基づいて、ユーザがアクセスを要求したURIによって識別されるウェブサイトが有害サイトであるか否かを判定する(ステップS220)。ウェブサイトが有害サイトであると判定した場合(ステップS220でYESの場合)、有害サイト判定部13はユーザのアクセスを警告ページへ転送させる(ステップS230)。
Subsequently, the harmful
このとき、ユーザが操作する端末には、図4に示す警告ページが表示される。警告ページには、警告メッセージのほか、ユーザがアクセスを希望しているウェブサイトへ本当にアクセスするのか否かを確認するメッセージ400と共に、ユーザが判断結果を入力するボタン410,420が表示される。
At this time, a warning page shown in FIG. 4 is displayed on the terminal operated by the user. On the warning page, in addition to the warning message, a message 400 for confirming whether or not the user really wants to access the website is displayed, and
有害サイト判定部13は、ボタン410,420の操作結果に応じて、ユーザによるウェブサイトの判定結果を認識し、その判定結果に基づいて、ユーザがアクセスを要求したURIによって識別されるウェブサイトが有害サイトであるか否かを判定する(ステップS240)。ユーザがボタン410を選択した場合(ステップS240でYESの場合)には、ウェブサイトが有害サイトであるとユーザが判定したと認識し、有害サイト判定部13はURI、ステップS210で取得した情報、およびユーザの判定結果を関連付けてブラックリスト記憶部3に格納する(ステップS250)。
The harmful
また、ユーザがボタン420を選択した場合(ステップS240でNOの場合)には、ウェブサイトが有害サイトではないとユーザが判定したと認識し、有害サイト判定部13はそのウェブサイトへのユーザのアクセスを許可する(ステップS260)。そして、有害サイト判定部13は、判定対象のURIをブラックリスト記憶部3に格納せず、もし、既に同じURIがブラックリスト記憶部3に格納されていた場合には、そのURIおよびそれに関連付けられている情報を削除する(ステップS270)。
When the user selects the button 420 (NO in step S240), the user recognizes that the website is not a harmful site, and the harmful
一方、ステップS220の判定で、ウェブサイトが有害サイトでないと判定した場合、有害サイト判定部13はそのウェブサイトへのユーザのアクセスを許可する(ステップS280)。そして、有害サイト判定部13は、時間のかかるチェック(ドメインの情報のチェックや、ウェブサイトのトップページ以外の別ページのチェック)を実行し、各情報についての評価値およびその合計値を計算する(ステップS290)。
On the other hand, if it is determined in step S220 that the website is not a harmful site, the harmful
続いて、有害サイト判定部21は、評価値の合計値と所定の閾値を比較し、比較結果に基づいて、ユーザがアクセスを要求したURIによって識別されるウェブサイトが有害サイトであるか否かを判定する(ステップS300)。ウェブサイトが有害サイトであると判定した場合(ステップS300でYESの場合)、有害サイト判定部13は、ウェブ際とのトップページからリンクしている別ページへのアクセスの要求などがあったときに、ユーザのアクセスを警告ページへ転送させる(ステップS310)。これに続く、ステップS320〜S350はステップS240〜S270と同様であるので、説明を省略する。
Subsequently, the harmful
また、ステップS300の判定で、ウェブサイトが有害サイトでないと判定した場合、有害サイト判定部13はそのウェブサイトへのユーザのアクセスを許可する(ステップS360)。これ以後、ユーザはウェブサイトへ自由にアクセスできるようになる。
If it is determined in step S300 that the website is not a harmful site, the harmful
図2および図3に示した処理によってブラックリスト記憶部3に格納された情報に基づいて、メールサーバ1のスパムメール判定部12は、受信メールがスパムメールであるか否かを判定する。この判定は、ブラックリスト記憶部3に格納されたURIと一致するURIが受信メールに記載されているか否かによって行う。ブラックリスト記憶部3に格納されたURIと一致するURIが受信メールに記載されている場合には、スパムメール判定部12は、受信メールがスパムメールであると判定する。
Based on the information stored in the blacklist storage unit 3 by the processing shown in FIGS. 2 and 3, the spam
また、URIと共にブラックリスト記憶部3に格納されているウェブサイトのIPアドレスや、ドメインの情報、ウェブサイトのページの情報(ウェブページのタイトルや頻出単語に関する情報)、およびウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報を用いた公知の手法によりスパム判定を行うことも可能である。 In addition, the IP address of the website stored in the blacklist storage unit 3 along with the URI, domain information, website page information (information on the web page title and frequent words), and the website are harmful sites. It is also possible to perform spam determination by a known method using information indicating the result of the user determining whether or not there is.
上述したように、本実施形態によれば、メールサーバ1において、メール中に記載されているURIの文字列を解析し、有害サイトであるか否かを判定することによって、初めて判定を行うURIが記載されている迷惑メールが受信された場合でも迷惑メールを確実にフィルタリングすることができる。また、プロキシサーバ2において、ユーザがアクセスを要求するURIの文字列を解析し、有害サイトであるか否かを判定することによって、有害サイトの判定精度を向上し、迷惑メールを確実にフィルタリングすることができる。
As described above, according to the present embodiment, the mail server 1 analyzes the URI character string described in the mail and determines whether or not it is a harmful site. Even if a junk e-mail with “” is received, junk e-mail can be reliably filtered. Further, the
また、ウェブサイトのIPアドレス、ウェブサイトのドメインの情報、ウェブサイトのページの情報、およびウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかに基づいて、受信メールがスパムメールあるか否かを判定することによって、スパムメールの判定精度を向上し、迷惑メールを確実にフィルタリングすることができる。特に、ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報に基づいて、受信メールがスパムメールあるか否かを判定することによって、自動判定による誤判定を訂正することができる。 Also, based on at least one of the website IP address, website domain information, website page information, and information indicating the result of the user determining whether the website is a harmful site, By determining whether or not the received mail is spam mail, it is possible to improve the spam mail determination accuracy and reliably filter junk mail. In particular, it is possible to correct an erroneous determination by automatic determination by determining whether or not the received mail is spam mail based on information indicating a result of the user determining whether or not the website is a harmful site. it can.
以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。 As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. .
1・・・メールサーバ、2・・・プロキシサーバ、3・・・ブラックリスト記憶部(記憶手段)、10・・・メール受信部、11・・・メール記憶部、12・・・スパムメール判定部(迷惑メール判定手段)、13・・・有害サイト判定部(第1の有害サイト判定手段)、20・・・ウェブアクセス監視部、21・・・有害サイト判定部(第2の有害サイト判定手段) DESCRIPTION OF SYMBOLS 1 ... Mail server, 2 ... Proxy server, 3 ... Black list memory | storage part (memory | storage means), 10 ... Mail receiving part, 11 ... Mail memory | storage part, 12 ... Spam mail determination Part (spam e-mail judging means), 13 ... harmful site judging part (first harmful site judging means), 20 ... web access monitoring part, 21 ... harmful site judging part (second harmful site judging part) means)
Claims (4)
前記第1の有害サイト判定手段によって有害サイトであると判定された前記URIを記憶する記憶手段と、
前記記憶手段によって記憶されている前記URIに基づいて、受信メールが迷惑メールであるか否かを判定する迷惑メール判定手段と、
を備えたことを特徴とするコンピュータシステム。 Analyzing a URI (Uniform Resource Identifier) character string described in the received mail and determining whether or not the website identified by the URI is a harmful site;
Storage means for storing the URI determined to be a harmful site by the first harmful site determination means;
A junk e-mail determination unit that determines whether the received mail is a junk mail based on the URI stored by the storage unit;
A computer system comprising:
前記記憶手段はさらに、前記第2の有害サイト判定手段によって有害サイトであると判定された前記URIを記憶する
ことを特徴とする請求項1に記載のコンピュータシステム。 A second harmful site determination means for analyzing a character string of a URI for which a user requests access and determining whether or not the website identified by the URI is a harmful site;
The computer system according to claim 1, wherein the storage unit further stores the URI determined to be a harmful site by the second harmful site determination unit.
前記記憶手段はさらに、前記第1の有害サイト判定手段によって有害サイトであると判定された前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報の少なくともいずれかを記憶し、
前記迷惑メール判定手段はさらに、前記記憶手段によって記憶されている前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報の少なくともいずれかに基づいて、受信メールが迷惑メールであるか否かを判定する
ことを特徴とする請求項1または請求項2に記載のコンピュータシステム。 The first harmful site determination means is further configured based on at least one of an IP address of a website identified by the URI, information on a domain of the website, and information on a page of the website. To determine if is a harmful site,
The storage means further includes at least one of an IP address of the website determined as a harmful site by the first harmful site determination means, information on the domain of the website, and information on a page of the website Remember
The junk mail determination means may further receive the received mail based on at least one of the IP address of the website, the domain information of the website, and the information of the website page stored by the storage means. The computer system according to claim 1, wherein it is determined whether or not it is a spam mail.
前記記憶手段はさらに、前記第1の有害サイト判定手段によって有害サイトであると判定された前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、前記ウェブサイトのページの情報、および前記ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかを記憶し、
前記迷惑メール判定手段はさらに、前記記憶手段によって記憶されている前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報、および前記ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかに基づいて、受信メールが迷惑メールであるか否かを判定する
ことを特徴とする請求項2に記載のコンピュータシステム。 The second harmful site determination means further includes an IP address of a website identified by the URI, information on the website domain, information on the website page, and whether the website is a harmful site. Determining whether the website is a harmful site based on at least one of the information indicating the result of the user's determination,
The storage means further includes an IP address of the website determined as a harmful site by the first harmful site determination means, information on the website domain, information on the website page, and the website Memorize at least one of the information indicating the result of the user's determination whether or not is a harmful site,
The junk mail determination means further includes the IP address of the website stored in the storage means, the domain information of the website, the information of the page of the website, and whether the website is a harmful site. The computer system according to claim 2, wherein it is determined whether or not the received mail is a junk mail based on at least one of the information indicating the result of the user determining whether or not.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007090184A JP2008250597A (en) | 2007-03-30 | 2007-03-30 | Computer system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007090184A JP2008250597A (en) | 2007-03-30 | 2007-03-30 | Computer system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008250597A true JP2008250597A (en) | 2008-10-16 |
Family
ID=39975482
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007090184A Pending JP2008250597A (en) | 2007-03-30 | 2007-03-30 | Computer system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008250597A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011154557A (en) * | 2010-01-27 | 2011-08-11 | Yahoo Japan Corp | Harmful document decision method and device |
JP2011248500A (en) * | 2010-05-25 | 2011-12-08 | Kddi R & D Laboratories Inc | Web page collecting device, method and program thereof |
JP2017530481A (en) * | 2014-10-07 | 2017-10-12 | クラウドマーク インコーポレイテッド | System and method for identifying suspicious host names |
JP2019046084A (en) * | 2017-08-31 | 2019-03-22 | キヤノンマーケティングジャパン株式会社 | Information processing apparatus, information processing system, control method, and program |
WO2023248652A1 (en) * | 2022-06-22 | 2023-12-28 | 株式会社カウリス | Information processing device, domain confirming method, and domain confirming program |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0926975A (en) * | 1995-06-06 | 1997-01-28 | At & T Corp | System and method for database access control |
JP2001282797A (en) * | 2000-03-31 | 2001-10-12 | Digital Arts Inc | Method and device for controlling browsing of internet and medium with program for executing the same method recorded thereon |
JP2003249964A (en) * | 2002-02-22 | 2003-09-05 | Nec Commun Syst Ltd | Method and program for automatically processing annoying mail in mail server of mobile phone |
JP2003256469A (en) * | 2002-03-06 | 2003-09-12 | Fujitsu Social Science Laboratory Ltd | Method and program for controlling filtering, method of controlling filtering by filtering-device, filtering control program for filtering-device |
JP2004240945A (en) * | 2003-02-08 | 2004-08-26 | Deepsoft Co | Automatic shutoff method of spam mail through dynamic url connection |
JP2005056048A (en) * | 2003-08-01 | 2005-03-03 | Fact-Real:Kk | Electronic mail monitoring system, electronic mail monitoring program and electronic mail monitoring method |
JP2005071359A (en) * | 2003-08-25 | 2005-03-17 | Microsoft Corp | Url-based filtering for electronic communication and web page |
JP2005128922A (en) * | 2003-10-27 | 2005-05-19 | Nec Software Kyushu Ltd | Spam mail filtering system and method and its program |
JP2006146743A (en) * | 2004-11-24 | 2006-06-08 | Hitachi Ltd | Content filtering method |
-
2007
- 2007-03-30 JP JP2007090184A patent/JP2008250597A/en active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH0926975A (en) * | 1995-06-06 | 1997-01-28 | At & T Corp | System and method for database access control |
JP2001282797A (en) * | 2000-03-31 | 2001-10-12 | Digital Arts Inc | Method and device for controlling browsing of internet and medium with program for executing the same method recorded thereon |
JP2003249964A (en) * | 2002-02-22 | 2003-09-05 | Nec Commun Syst Ltd | Method and program for automatically processing annoying mail in mail server of mobile phone |
JP2003256469A (en) * | 2002-03-06 | 2003-09-12 | Fujitsu Social Science Laboratory Ltd | Method and program for controlling filtering, method of controlling filtering by filtering-device, filtering control program for filtering-device |
JP2004240945A (en) * | 2003-02-08 | 2004-08-26 | Deepsoft Co | Automatic shutoff method of spam mail through dynamic url connection |
JP2005056048A (en) * | 2003-08-01 | 2005-03-03 | Fact-Real:Kk | Electronic mail monitoring system, electronic mail monitoring program and electronic mail monitoring method |
JP2005071359A (en) * | 2003-08-25 | 2005-03-17 | Microsoft Corp | Url-based filtering for electronic communication and web page |
JP2005128922A (en) * | 2003-10-27 | 2005-05-19 | Nec Software Kyushu Ltd | Spam mail filtering system and method and its program |
JP2006146743A (en) * | 2004-11-24 | 2006-06-08 | Hitachi Ltd | Content filtering method |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011154557A (en) * | 2010-01-27 | 2011-08-11 | Yahoo Japan Corp | Harmful document decision method and device |
JP2011248500A (en) * | 2010-05-25 | 2011-12-08 | Kddi R & D Laboratories Inc | Web page collecting device, method and program thereof |
JP2017530481A (en) * | 2014-10-07 | 2017-10-12 | クラウドマーク インコーポレイテッド | System and method for identifying suspicious host names |
US10264017B2 (en) | 2014-10-07 | 2019-04-16 | Proofprint, Inc. | Systems and methods of identifying suspicious hostnames |
JP2019046084A (en) * | 2017-08-31 | 2019-03-22 | キヤノンマーケティングジャパン株式会社 | Information processing apparatus, information processing system, control method, and program |
WO2023248652A1 (en) * | 2022-06-22 | 2023-12-28 | 株式会社カウリス | Information processing device, domain confirming method, and domain confirming program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210058354A1 (en) | Determining Authenticity of Reported User Action in Cybersecurity Risk Assessment | |
JP5702470B2 (en) | Method and system for protecting against unknown malicious activity by determining link ratings | |
US20200137110A1 (en) | Systems and methods for threat detection and warning | |
KR101700176B1 (en) | Just-in-time, email embedded url reputation determination | |
US8347396B2 (en) | Protect sensitive content for human-only consumption | |
US8528084B1 (en) | Systems and methods for detecting potential communications fraud | |
JP4576265B2 (en) | URL risk determination device and URL risk determination system | |
JP6408395B2 (en) | Blacklist management method | |
CN110430188B (en) | Rapid URL filtering method and device | |
TW200803385A (en) | Method and system for protecting an internet user from fraudulent IP addresses on a DNS server | |
US20160241575A1 (en) | Information processing system and information processing method | |
JP2007122692A (en) | Security management device, communication system and access control method | |
KR20120099572A (en) | Real-time spam look-up system | |
GB2458094A (en) | URL interception and categorization in firewalls | |
JP5749053B2 (en) | File upload blocking system and file upload blocking method | |
CN108156270B (en) | Domain name request processing method and device | |
JP2010026662A (en) | Information leakage prevention system | |
JP2008250597A (en) | Computer system | |
JP5310539B2 (en) | Mail transmission / reception device, mail transmission / reception method, and mail transmission / reception program | |
JP4362487B2 (en) | DNS server client system, DNS server device, cache server device, DNS query request control method, and DNS query request control program | |
CN113810518A (en) | Effective sub-domain name recognition method and device and electronic equipment | |
JP4429971B2 (en) | Legitimate site verification method, apparatus, and program | |
JP5202370B2 (en) | Gateway apparatus and access control method | |
JP5322288B2 (en) | COMMUNICATION PROCESSING DEVICE, COMMUNICATION PROCESSING METHOD, AND PROGRAM | |
US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090710 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090710 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091201 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100129 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100201 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100608 |