JP2008250597A - Computer system - Google Patents

Computer system Download PDF

Info

Publication number
JP2008250597A
JP2008250597A JP2007090184A JP2007090184A JP2008250597A JP 2008250597 A JP2008250597 A JP 2008250597A JP 2007090184 A JP2007090184 A JP 2007090184A JP 2007090184 A JP2007090184 A JP 2007090184A JP 2008250597 A JP2008250597 A JP 2008250597A
Authority
JP
Japan
Prior art keywords
website
harmful site
uri
mail
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007090184A
Other languages
Japanese (ja)
Inventor
Masanori Hara
正憲 原
Ayumi Kubota
歩 窪田
Masaru Miyake
優 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2007090184A priority Critical patent/JP2008250597A/en
Publication of JP2008250597A publication Critical patent/JP2008250597A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a computer system capable of certainly filtering a troublesome mail. <P>SOLUTION: A harmful site decision part 13 analyzes a character string of a URI (Uniform Resource Identifier) recorded inside a reception mail, and decides whether a Web site identified by the URI is a harmful site or not. A harmful site decision part 21 analyzes a character string of a URI required with access by a user, and decides whether the Web site identified by the URI is the harmful site or not. A blacklist storage part 3 stores the URI decided that it is the harmful site by the harmful site decision parts 13, 21. A spam mail decision part 12 decides whether the reception mail is the junk mail or not based on the URI stored by the blacklist storage part 3. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、受信メールが迷惑メールであるか否かを判定するコンピュータシステムに関する。   The present invention relates to a computer system that determines whether a received mail is a junk mail.

不特定ユーザのコンピュータ端末に対して一方的に送信されるスパムメールと呼ばれる迷惑メールが問題となっている。特許文献1には、スパムメールに記載されていたURI(Uniform Resource Identifier)を保持しておき、保持したURIに基づいてフィルタリングを行う技術が記載されている。
特開2005−128922号公報 Spam mail called spam mail that is unilaterally transmitted to a computer terminal of an unspecified user is a problem. Patent Document 1 describes a technique for holding a URI (Uniform Resource Identifier) described in spam mail and performing filtering based on the held URI.
JP 2005-128922 A

特許文献1に記載された技術では、スパムメールの1度目の受信時にURIがシステムによって保持され、2度目の受信以降は、そのURIに基づいてスパムメールであるか否かの判定を行うことができるが、1度目の受信時にその判定を行うことができないため、スパムメールを確実にフィルタリングすることができない。また、この技術では、受信メールのみからURIを収集しているが、受信メールに記載されているURIが有害サイトのURIであるとは限らないため、誤判定が生じる可能性がある。さらに、この技術では、受信メールがスパムメールであるか否かを判定する際に、URIのみに基づいて判定を行っているため、誤判定が生じる可能性がある。   In the technique described in Patent Document 1, the URI is held by the system when the spam mail is received for the first time, and after the second reception, it is determined whether the mail is spam mail based on the URI. However, since the determination cannot be performed at the first reception, the spam mail cannot be reliably filtered. In this technique, URIs are collected only from received mail. However, since the URI described in the received mail is not necessarily the URI of the harmful site, there is a possibility that erroneous determination may occur. Further, in this technique, when determining whether or not the received mail is spam mail, since the determination is performed based only on the URI, an erroneous determination may occur.

本発明は、上述した課題に鑑みてなされたものであって、迷惑メールを確実にフィルタリングすることができるコンピュータシステムを提供することを目的とする。   The present invention has been made in view of the above-described problems, and an object of the present invention is to provide a computer system capable of reliably filtering junk mail.

本発明は、上記の課題を解決するためになされたもので、受信メール中に記載されているURI(Uniform Resource Identifier)の文字列を解析し、前記URIによって識別されるウェブサイトが有害サイトであるか否かを判定する第1の有害サイト判定手段と、前記第1の有害サイト判定手段によって有害サイトであると判定された前記URIを記憶する記憶手段と、前記記憶手段によって記憶されている前記URIに基づいて、受信メールが迷惑メールであるか否かを判定する迷惑メール判定手段とを備えたことを特徴とするコンピュータシステムである。   The present invention has been made to solve the above-described problems, and analyzes a character string of a URI (Uniform Resource Identifier) described in a received mail, and a website identified by the URI is a harmful site. First harmful site determination means for determining whether or not there is present, storage means for storing the URI determined as a harmful site by the first harmful site determination means, and stored by the storage means A computer system comprising: a junk mail judging means for judging whether or not a received mail is a junk mail based on the URI.

また、本発明のコンピュータシステムは、ユーザがアクセスを要求するURIの文字列を解析し、前記URIによって識別されるウェブサイトが有害サイトであるか否かを判定する第2の有害サイト判定手段をさらに備え、前記記憶手段はさらに、前記第2の有害サイト判定手段によって有害サイトであると判定された前記URIを記憶することを特徴とする。   The computer system according to the present invention further includes second harmful site determination means for analyzing a character string of a URI for which a user requests access and determining whether or not a website identified by the URI is a harmful site. The storage means further stores the URI determined to be a harmful site by the second harmful site determination means.

また、本発明のコンピュータシステムにおいて、前記第1の有害サイト判定手段はさらに、前記URIによって識別されるウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報の少なくともいずれかに基づいて、前記ウェブサイトが有害サイトであるか否かを判定し、前記記憶手段はさらに、前記第1の有害サイト判定手段によって有害サイトであると判定された前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報の少なくともいずれかを記憶し、前記迷惑メール判定手段はさらに、前記記憶手段によって記憶されている前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報の少なくともいずれかに基づいて、受信メールが迷惑メールであるか否かを判定することを特徴とする。   In the computer system of the present invention, the first harmful site determination means may further include at least one of an IP address of the website identified by the URI, information on the website domain, and information on the website page. Based on one of the above, it is determined whether or not the website is a harmful site, and the storage means further includes an IP address of the website determined to be a harmful site by the first harmful site determination means. , Storing at least one of the domain information of the website and the information of the page of the website, and the junk mail determination means further includes the IP address of the website stored in the storage means, the web Site domain information and the website page Based on at least one of di-information, received mail and judging whether or not spam.

また、本発明のコンピュータシステムにおいて、前記第2の有害サイト判定手段はさらに、前記URIによって識別されるウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、前記ウェブサイトのページの情報、および前記ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかに基づいて、前記ウェブサイトが有害サイトであるか否かを判定し、前記記憶手段はさらに、前記第1の有害サイト判定手段によって有害サイトであると判定された前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、前記ウェブサイトのページの情報、および前記ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかを記憶し、前記迷惑メール判定手段はさらに、前記記憶手段によって記憶されている前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報、および前記ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかに基づいて、受信メールが迷惑メールであるか否かを判定することを特徴とする。   In the computer system of the present invention, the second harmful site determination means may further include an IP address of a website identified by the URI, information on the domain of the website, information on a page of the website, and The storage means further determines whether the website is a harmful site based on at least one of the information indicating the result of the user determining whether the website is a harmful site, and the storage means further includes The IP address of the website determined to be a harmful site by one harmful site determination means, information on the domain of the website, information on the page of the website, and whether or not the website is a harmful site At least one of the information indicating the result of the determination by the user, and The website determination unit further includes an IP address of the website stored in the storage unit, information on the domain of the website, information on a page of the website, and whether the website is a harmful site. It is characterized in that it is determined whether or not the received mail is a junk mail based on at least one of the information indicating the result of the determination by the user.

本発明によれば、メール中に記載されているURIの文字列を解析し、有害サイトであるか否かを判定することによって、初めて判定を行うURIが記載されている迷惑メールが受信された場合でも迷惑メールを確実にフィルタリングすることができる。また、ユーザがアクセスを要求するURIの文字列を解析し、有害サイトであるか否かを判定することによって、有害サイトの判定精度を向上し、迷惑メールを確実にフィルタリングすることができる。また、ウェブサイトのIPアドレス、ウェブサイトのドメインの情報、ウェブサイトのページの情報、およびウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかに基づいて、受信メールが迷惑メールあるか否かを判定することによって、迷惑メールの判定精度を向上し、迷惑メールを確実にフィルタリングすることができる。   According to the present invention, an unsolicited mail containing a URI to be determined for the first time is received by analyzing a character string of the URI described in the mail and determining whether or not it is a harmful site. Even in this case, junk mail can be reliably filtered. Further, by analyzing a URI character string requesting access by a user and determining whether or not the site is a harmful site, it is possible to improve the accuracy of determining a harmful site and to filter spam mails with certainty. Also, based on at least one of the website IP address, website domain information, website page information, and information indicating the result of the user determining whether the website is a harmful site, By determining whether or not the received mail is junk mail, it is possible to improve the accuracy of junk mail determination and reliably filter junk mail.

以下、図面を参照し、本発明の実施形態を説明する。図1は、本発明の一実施形態によるコンピュータシステムの構成を示している。本実施形態によるコンピュータシステムは、電子メールを配送するメールサーバ1と、ユーザからのアクセス要求を受けて外部のネットワークにアクセスするプロキシサーバ2と、有害サイトのURIを記憶するブラックリスト記憶部3とを有している。ブラックリスト記憶部3は、メールサーバ1やプロキシサーバ2とは別個のデータベースサーバ等に設置してもよいし、メールサーバ1あるいはプロキシサーバ2に設置してもよい。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 shows the configuration of a computer system according to an embodiment of the present invention. The computer system according to the present embodiment includes a mail server 1 that delivers electronic mail, a proxy server 2 that receives an access request from a user and accesses an external network, and a blacklist storage unit 3 that stores URIs of harmful sites. have. The black list storage unit 3 may be installed in a database server or the like separate from the mail server 1 or the proxy server 2, or may be installed in the mail server 1 or the proxy server 2.

メールサーバ1において、メール受信部10は外部のネットワークからメールを受信する。メール記憶部11は、メール受信部10によって受信されたメールを記憶する。スパムメール判定部12は、受信メールがスパムメール(迷惑メール)であるか否かを判定する。有害サイト判定部13は、受信メールに記載されているURIによって識別されるウェブサイトが有害サイトであるか否かを判定する。   In the mail server 1, the mail receiving unit 10 receives mail from an external network. The mail storage unit 11 stores the mail received by the mail receiving unit 10. The spam mail determination unit 12 determines whether or not the received mail is spam mail (spam mail). The harmful site determination unit 13 determines whether the website identified by the URI described in the received mail is a harmful site.

プロキシサーバ2において、ウェブアクセス監視部20は、ユーザによる外部のネットワーク上のウェブサイトへのアクセスを監視する。有害サイト判定部21は、ユーザがアクセスを要求するウェブサイトが有害サイトであるか否かを判定する。   In the proxy server 2, the web access monitoring unit 20 monitors user access to websites on an external network. The harmful site determination unit 21 determines whether or not the website for which the user requests access is a harmful site.

有害サイト判定部13,21は、ウェブサイトが有害サイトであるか否かを判定する際に、以下の3種類の情報をチェックする。
(1)URIの文字列の情報
(2)ドメインの情報
(3)ウェブサイトのページの情報
有害サイト判定部13,21はこれら3種類の情報それぞれについて、判定対象のウェブサイトが有害サイトである可能性を示す評価値を計算し、各情報について得られた評価値を合計した値と所定の閾値を比較して、評価値の合計値が閾値以上となった場合に、判定対象のウェブサイトが有害サイトであると判定する。 The harmful site determination units 13 and 21 check the following three types of information when determining whether the website is a harmful site.
(1) URI character string information (2) Domain information (3) Website page information For each of these three types of information, the harmful website is a harmful website. When the evaluation value indicating the possibility is calculated, the value obtained by summing the evaluation values obtained for each information is compared with a predetermined threshold, and the total value of the evaluation values exceeds the threshold, the website to be determined Is determined to be a harmful site.

まず、URIの文字列の情報に基づいたチェックの内容を説明する。メールサーバ1の有害サイト判定部13は、メール記憶部11が記憶している受信メールを読み出し、その受信メール中に記載されているURIの文字列を解析する。また、プロキシサーバ2のウェブアクセス監視部20は、ユーザから外部のウェブサイトへのアクセス要求があった場合に、アクセスを要求されたウェブサイトのURIを有害サイト判定部21に通知する。有害サイト判定部21は、通知されたURIの文字列を解析する。   First, the contents of a check based on URI character string information will be described. The harmful site determination unit 13 of the mail server 1 reads the received mail stored in the mail storage unit 11, and analyzes the URI character string described in the received mail. The web access monitoring unit 20 of the proxy server 2 notifies the harmful site determination unit 21 of the URI of the website requested to be accessed when a user requests access to an external website. The harmful site determination unit 21 analyzes the character string of the notified URI.

URIからはフィッシング詐欺などの詐欺サイトの情報を読み取ることができる。詐欺サイトを作成する際に、ユーザやサーバ管理者に詐欺サイトであることを気づかれないように、URIに工夫を凝らしていることが多い。例えば、実際に存在するウェブサイトの名前に似た文字列をURI中に仕込み、ユーザをだますパターンが考え得る。本実施形態では、あらかじめ有名なウェブサイトの名前に似た文字列や名前そのものをリスト化し、その名前にマッチングしたものに高い評価値を与える。また、有名なウェブサイトに似た名前の文字列がURI中のどこに書かれているかのチェックも行う。詐欺サイトの場合はサブドメインやディレクトリ名の中にその文字列を書く場合が多いため、これらの場所に書かれていた場合に評価値を大きくする。   Information on fraud sites such as phishing scams can be read from the URI. When creating a fraud site, the URI is often devised so that the user or server administrator is not aware of the fraud site. For example, a character string similar to the name of a website that actually exists is stored in the URI, and a pattern that tricks the user can be considered. In this embodiment, character strings similar to names of famous websites and names themselves are listed in advance, and a high evaluation value is given to those matching the names. It also checks where in the URI a string with a name similar to a famous website is written. In the case of fraudulent sites, the character strings are often written in subdomains and directory names, so the evaluation value is increased when written in these places.

また、サーバ管理者をだますパターンには次のようなものが存在する。その1つが、空白のディレクトリを作成し、その中に有害サイトを作成する場合であり、もう1つが、「.」から始まるディレクトリを作成し、その中に有害サイトを作成する場合であり、どちらも管理者から有害サイトの場所を隠すことを意図している。これらの場合には、URIの文字列の「/」と「/」の間に空白(文字列としては「%20」)が入れられていたり、「/」の後に「.」が入れられていたりする。   In addition, the following patterns exist to trick server administrators. One is to create a blank directory and create a harmful site in it, and the other is to create a directory starting with "." And create a harmful site in it. It is also intended to hide the location of harmful sites from the administrator. In these cases, there is a space ("% 20" as the string) between the URI characters "/" and "/", or "." After "/". Or

また、上記以外に、IPアドレスを直接書いたURIや、そのIPアドレスを10進数や16進数に直したものを記述している例などが有害サイトのURIとして挙げられる。   In addition to the above, URIs in which IP addresses are directly written, and examples in which the IP address is converted to decimal or hexadecimal are listed as URIs for harmful sites.

次に、ドメインの情報に基づいたチェックの内容を説明する。有害サイトの管理者が有害サイトを作成し、宣伝する場合に、有害サイトを作成した直後にスパムメールを送ることが考えられる。したがって、ドメインの取得日を判断基準として利用することが可能である。また、早期に発見された場合などに対処するために、1年という短い有効期限でドメインを取得することが多く、ドメインの有効期限も判断基準として利用することができると考えられる。また、IPアドレスを判断基準として利用することも可能である。   Next, the contents of the check based on the domain information will be described. When an administrator of a harmful site creates and promotes a harmful site, it is possible to send a spam mail immediately after creating the harmful site. Therefore, the domain acquisition date can be used as a criterion. Further, in order to deal with cases such as being discovered early, a domain is often acquired with an expiration date as short as one year, and it is considered that the expiration date of the domain can also be used as a criterion. It is also possible to use an IP address as a criterion.

有害サイト判定部13,21はURIの文字列からドメイン名を抽出し、whoisコマンドを実行してドメインの情報を取得する。そして、有害サイト判定部13,21は、そのドメインの取得日を確認し、ドメインが最近取得された場合には評価値を大きくする。また、有害サイト判定部13,21は、そのドメインの有効期限を確認し、有効期限が短い場合には評価値を大きくする。   The harmful site determination units 13 and 21 extract the domain name from the URI character string, and execute the whois command to acquire the domain information. Then, the harmful site determination units 13 and 21 confirm the acquisition date of the domain, and increase the evaluation value when the domain has been acquired recently. Moreover, the harmful site determination units 13 and 21 confirm the expiration date of the domain, and increase the evaluation value when the expiration date is short.

次に、ウェブサイトのページの情報に基づいたチェックの内容を説明する。これは、実際にウェブサイトのページに書かれている情報を取得することによって分析を行う。ウェブページには、そのサイトの特徴とも言える単語が書かれていることが多い。そこで、あらかじめ特徴的な単語のデータベースを用意しておき、そのデータベースに含まれる単語をどれだけ使っているのかということや、各単語の出現頻度などを計算し、評価値に重みをつける。また、そのURIに書かれているウェブページだけでなく、そのページからアクセス可能なリンク先のウェブページでも同様のことを行う。リンク先まで含めると、複数ページについて評価値が得られるが、URIで示されるページに近いページほど評価値の重みを大きくする。   Next, the contents of the check based on the information on the website page will be described. This is done by getting the information that is actually written on the pages of the website. Web pages often have words that are characteristic of the site. Therefore, a database of characteristic words is prepared in advance, the number of words included in the database is used, the appearance frequency of each word is calculated, and the evaluation value is weighted. The same is done not only on the web page written in the URI but also on the linked web page accessible from the page. When the link destination is included, an evaluation value is obtained for a plurality of pages, but the weight of the evaluation value is increased as the page is closer to the page indicated by the URI.

上記以外では、固有単語の比較をすることで、判定を行うこともできる。URIで示されるページに書かれている固有名詞と、URIの文字列の後ろの方を削ったURIで示されるそのドメインのサイトのトップページといえるページに書かれている固有名詞とを比較し、それらに共通の単語がない場合、トップページとURIのページとの関連性が薄いと考えられる。通常の個人サイトなどでは多くあることであると考えられるが、企業などのサイトの場合ではそのようなことは少なく、共通の固有名詞がなかった場合、クラックされたサイトであると判断することができる。   Other than the above, the determination can also be made by comparing the unique words. Compare the proper noun written on the page indicated by the URI with the proper noun written on the page that can be said to be the top page of the domain site indicated by the URI that has been trimmed away from the URI string. If there is no common word between them, the relationship between the top page and the URI page is considered to be weak. It is considered that there are many in ordinary personal sites, but such cases are rare in the case of sites such as companies, and if there is no common proper name, it can be judged that it is a cracked site it can.

同様に、上記のページ間のタイトルを比較し、タイトルが異なっている場合に、有害サイトである可能性が高いと判断することも可能である。また、フィッシングサイトの場合、パスワードなどを送信するための送信フォームがウェブページにあるため、送信フォームの有無についても評価項目として挙げることができる。  Similarly, the titles between the pages described above are compared, and if the titles are different, it is possible to determine that there is a high possibility of being a harmful site. In the case of a phishing site, since there is a transmission form for transmitting a password or the like on the web page, the presence or absence of the transmission form can also be listed as an evaluation item.

有害サイト判定部13,21はURIでよって識別されるウェブサイトにアクセスしてウェブページの情報をダウンロードし、そのウェブページの情報に基づいて、上記のような基準で評価値を計算する。  The harmful site determination units 13 and 21 access the website identified by the URI, download the information on the web page, and calculate the evaluation value based on the above-described criteria based on the information on the web page.

次に、図2を参照しながら、メールサーバ1の動作を説明する。メール受信部10はメールを受信し、メール記憶部11に受信メールを格納する(ステップS100)。有害サイト判定部13はメール記憶部11から受信メールを読み出し、受信メールのテキストからURIを抽出する(ステップS110)。   Next, the operation of the mail server 1 will be described with reference to FIG. The mail receiving unit 10 receives the mail and stores the received mail in the mail storage unit 11 (step S100). The harmful site determination unit 13 reads the received mail from the mail storage unit 11 and extracts the URI from the text of the received mail (step S110).

続いて、有害サイト判定部13は、whoisコマンドを実行し、受信メールに記載されていたURIが示すウェブサイトが所属するドメインの情報を取得する。また、有害サイト判定部13は、受信メールに記載されていたURIが示すウェブページにアクセスし、そのページの情報を取得する(ステップS120)。   Subsequently, the harmful site determination unit 13 executes a whois command and acquires information on the domain to which the website indicated by the URI described in the received mail belongs. Further, the harmful site determination unit 13 accesses the web page indicated by the URI described in the received mail and acquires information on the page (step S120).

続いて、有害サイト判定部13は、受信メールから抽出したURIの文字列を解析すると共に、ステップS120で取得したドメインの情報やウェブページの情報を解析し、各情報についての評価値およびその合計値を計算する(ステップS130)。有害サイト判定部13は、評価値の合計値と所定の閾値を比較し、比較結果に基づいて、受信メールに記載されたURIによって識別されるウェブサイトが有害サイトであるか否かを判定する(ステップS140)。   Subsequently, the harmful site determination unit 13 analyzes the URI character string extracted from the received mail, analyzes the domain information and the web page information acquired in step S120, and evaluates each information and the sum thereof. A value is calculated (step S130). The harmful site determination unit 13 compares the total value of the evaluation values with a predetermined threshold, and determines whether the website identified by the URI described in the received mail is a harmful site based on the comparison result. (Step S140).

ウェブサイトが有害サイトであると判定した場合(ステップS140でYESの場合)、有害サイト判定部13はURIおよびステップS120で取得した情報を関連付けてブラックリスト記憶部3に格納する(ステップS150)。ウェブサイトが有害サイトでないと判定した場合(ステップS140でNOの場合)には、処理が終了する。   If it is determined that the website is a harmful site (YES in step S140), the harmful site determination unit 13 associates the URI and the information acquired in step S120 and stores them in the blacklist storage unit 3 (step S150). If it is determined that the website is not a harmful site (NO in step S140), the process ends.

次に、図3を参照しながら、プロキシサーバ2の動作を説明する。ユーザがウェブサイトへのアクセス要求をプロキシサーバ2に行うと、ウェブアクセス監視部20はアクセスを要求されたURIを有害サイト判定部21に通知する(ステップS200)。有害サイト判定部21は、時間のかからないチェック(URI中の文字列のチェックやウェブサイトのトップページの情報のチェック)を実行し、各情報についての評価値およびその合計値を計算する(ステップS210)。   Next, the operation of the proxy server 2 will be described with reference to FIG. When the user makes a request for accessing the website to the proxy server 2, the web access monitoring unit 20 notifies the harmful site determination unit 21 of the URI requested to be accessed (step S200). The harmful site determination unit 21 performs a time-consuming check (checking the character string in the URI and checking the information on the top page of the website), and calculates an evaluation value and a total value thereof for each piece of information (step S210). ).

続いて、有害サイト判定部21は、評価値の合計値と所定の閾値を比較し、比較結果に基づいて、ユーザがアクセスを要求したURIによって識別されるウェブサイトが有害サイトであるか否かを判定する(ステップS220)。ウェブサイトが有害サイトであると判定した場合(ステップS220でYESの場合)、有害サイト判定部13はユーザのアクセスを警告ページへ転送させる(ステップS230)。   Subsequently, the harmful site determination unit 21 compares the total value of the evaluation values with a predetermined threshold, and based on the comparison result, whether or not the website identified by the URI that the user requested access to is a harmful site. Is determined (step S220). If it is determined that the website is a harmful site (YES in step S220), the harmful site determination unit 13 transfers the user's access to the warning page (step S230).

このとき、ユーザが操作する端末には、図4に示す警告ページが表示される。警告ページには、警告メッセージのほか、ユーザがアクセスを希望しているウェブサイトへ本当にアクセスするのか否かを確認するメッセージ400と共に、ユーザが判断結果を入力するボタン410,420が表示される。   At this time, a warning page shown in FIG. 4 is displayed on the terminal operated by the user. On the warning page, in addition to the warning message, a message 400 for confirming whether or not the user really wants to access the website is displayed, and buttons 410 and 420 for the user to input the determination result are displayed.

有害サイト判定部13は、ボタン410,420の操作結果に応じて、ユーザによるウェブサイトの判定結果を認識し、その判定結果に基づいて、ユーザがアクセスを要求したURIによって識別されるウェブサイトが有害サイトであるか否かを判定する(ステップS240)。ユーザがボタン410を選択した場合(ステップS240でYESの場合)には、ウェブサイトが有害サイトであるとユーザが判定したと認識し、有害サイト判定部13はURI、ステップS210で取得した情報、およびユーザの判定結果を関連付けてブラックリスト記憶部3に格納する(ステップS250)。   The harmful site determination unit 13 recognizes the determination result of the website by the user according to the operation result of the buttons 410 and 420, and based on the determination result, the website identified by the URI that the user requested access to is determined. It is determined whether or not the site is a harmful site (step S240). If the user selects button 410 (YES in step S240), the user recognizes that the website has been determined to be a harmful site, and harmful site determination unit 13 uses the URI, the information acquired in step S210, Then, the determination result of the user is associated and stored in the black list storage unit 3 (step S250).

また、ユーザがボタン420を選択した場合(ステップS240でNOの場合)には、ウェブサイトが有害サイトではないとユーザが判定したと認識し、有害サイト判定部13はそのウェブサイトへのユーザのアクセスを許可する(ステップS260)。そして、有害サイト判定部13は、判定対象のURIをブラックリスト記憶部3に格納せず、もし、既に同じURIがブラックリスト記憶部3に格納されていた場合には、そのURIおよびそれに関連付けられている情報を削除する(ステップS270)。   When the user selects the button 420 (NO in step S240), the user recognizes that the website is not a harmful site, and the harmful site determination unit 13 determines that the user has visited the website. Access is permitted (step S260). Then, the harmful site determination unit 13 does not store the URI to be determined in the blacklist storage unit 3, and if the same URI has already been stored in the blacklist storage unit 3, the URI and the associated URI are associated therewith. Is deleted (step S270).

一方、ステップS220の判定で、ウェブサイトが有害サイトでないと判定した場合、有害サイト判定部13はそのウェブサイトへのユーザのアクセスを許可する(ステップS280)。そして、有害サイト判定部13は、時間のかかるチェック(ドメインの情報のチェックや、ウェブサイトのトップページ以外の別ページのチェック)を実行し、各情報についての評価値およびその合計値を計算する(ステップS290)。   On the other hand, if it is determined in step S220 that the website is not a harmful site, the harmful site determination unit 13 permits the user to access the website (step S280). Then, the harmful site determination unit 13 performs time-consuming checks (domain information check and other page check other than the top page of the website), and calculates an evaluation value and a total value of each information. (Step S290).

続いて、有害サイト判定部21は、評価値の合計値と所定の閾値を比較し、比較結果に基づいて、ユーザがアクセスを要求したURIによって識別されるウェブサイトが有害サイトであるか否かを判定する(ステップS300)。ウェブサイトが有害サイトであると判定した場合(ステップS300でYESの場合)、有害サイト判定部13は、ウェブ際とのトップページからリンクしている別ページへのアクセスの要求などがあったときに、ユーザのアクセスを警告ページへ転送させる(ステップS310)。これに続く、ステップS320〜S350はステップS240〜S270と同様であるので、説明を省略する。   Subsequently, the harmful site determination unit 21 compares the total value of the evaluation values with a predetermined threshold, and based on the comparison result, whether or not the website identified by the URI that the user requested access to is a harmful site. Is determined (step S300). When it is determined that the website is a harmful site (in the case of YES in step S300), the harmful site determination unit 13 receives a request for access to another page linked from the top page of the web. Then, the user access is transferred to the warning page (step S310). Subsequent steps S320 to S350 are the same as steps S240 to S270, and a description thereof will be omitted.

また、ステップS300の判定で、ウェブサイトが有害サイトでないと判定した場合、有害サイト判定部13はそのウェブサイトへのユーザのアクセスを許可する(ステップS360)。これ以後、ユーザはウェブサイトへ自由にアクセスできるようになる。   If it is determined in step S300 that the website is not a harmful site, the harmful site determination unit 13 permits the user to access the website (step S360). Thereafter, the user can freely access the website.

図2および図3に示した処理によってブラックリスト記憶部3に格納された情報に基づいて、メールサーバ1のスパムメール判定部12は、受信メールがスパムメールであるか否かを判定する。この判定は、ブラックリスト記憶部3に格納されたURIと一致するURIが受信メールに記載されているか否かによって行う。ブラックリスト記憶部3に格納されたURIと一致するURIが受信メールに記載されている場合には、スパムメール判定部12は、受信メールがスパムメールであると判定する。   Based on the information stored in the blacklist storage unit 3 by the processing shown in FIGS. 2 and 3, the spam mail determination unit 12 of the mail server 1 determines whether or not the received mail is a spam mail. This determination is made based on whether or not a URI that matches the URI stored in the blacklist storage unit 3 is described in the received mail. When a URI that matches the URI stored in the blacklist storage unit 3 is described in the received mail, the spam mail determination unit 12 determines that the received mail is a spam mail.

また、URIと共にブラックリスト記憶部3に格納されているウェブサイトのIPアドレスや、ドメインの情報、ウェブサイトのページの情報(ウェブページのタイトルや頻出単語に関する情報)、およびウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報を用いた公知の手法によりスパム判定を行うことも可能である。   In addition, the IP address of the website stored in the blacklist storage unit 3 along with the URI, domain information, website page information (information on the web page title and frequent words), and the website are harmful sites. It is also possible to perform spam determination by a known method using information indicating the result of the user determining whether or not there is.

上述したように、本実施形態によれば、メールサーバ1において、メール中に記載されているURIの文字列を解析し、有害サイトであるか否かを判定することによって、初めて判定を行うURIが記載されている迷惑メールが受信された場合でも迷惑メールを確実にフィルタリングすることができる。また、プロキシサーバ2において、ユーザがアクセスを要求するURIの文字列を解析し、有害サイトであるか否かを判定することによって、有害サイトの判定精度を向上し、迷惑メールを確実にフィルタリングすることができる。   As described above, according to the present embodiment, the mail server 1 analyzes the URI character string described in the mail and determines whether or not it is a harmful site. Even if a junk e-mail with “” is received, junk e-mail can be reliably filtered. Further, the proxy server 2 analyzes the character string of the URI for which the user requests access, and determines whether or not the site is a harmful site, thereby improving the accuracy of determining the harmful site and reliably filtering junk mail. be able to.

また、ウェブサイトのIPアドレス、ウェブサイトのドメインの情報、ウェブサイトのページの情報、およびウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかに基づいて、受信メールがスパムメールあるか否かを判定することによって、スパムメールの判定精度を向上し、迷惑メールを確実にフィルタリングすることができる。特に、ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報に基づいて、受信メールがスパムメールあるか否かを判定することによって、自動判定による誤判定を訂正することができる。   Also, based on at least one of the website IP address, website domain information, website page information, and information indicating the result of the user determining whether the website is a harmful site, By determining whether or not the received mail is spam mail, it is possible to improve the spam mail determination accuracy and reliably filter junk mail. In particular, it is possible to correct an erroneous determination by automatic determination by determining whether or not the received mail is spam mail based on information indicating a result of the user determining whether or not the website is a harmful site. it can.

以上、図面を参照して本発明の実施形態について詳述してきたが、具体的な構成は上記の実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。   As described above, the embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the above-described embodiments, and includes design changes and the like without departing from the gist of the present invention. .

本発明の一実施形態によるコンピュータシステムの構成を示すブロック図である。It is a block diagram which shows the structure of the computer system by one Embodiment of this invention. 本発明の一実施形態によるコンピュータシステムが備えるメールサーバの動作の手順を示すフローチャートである。It is a flowchart which shows the procedure of operation | movement of the mail server with which the computer system by one Embodiment of this invention is provided. 本発明の一実施形態によるコンピュータシステムが備えるプロキシサーバの動作の手順を示すフローチャートである。It is a flowchart which shows the procedure of the operation | movement of the proxy server with which the computer system by one Embodiment of this invention is provided. 本発明の一実施形態において表示される警告ページを示す参考図である。It is a reference figure showing the warning page displayed in one embodiment of the present invention.

符号の説明Explanation of symbols

1・・・メールサーバ、2・・・プロキシサーバ、3・・・ブラックリスト記憶部(記憶手段)、10・・・メール受信部、11・・・メール記憶部、12・・・スパムメール判定部(迷惑メール判定手段)、13・・・有害サイト判定部(第1の有害サイト判定手段)、20・・・ウェブアクセス監視部、21・・・有害サイト判定部(第2の有害サイト判定手段)   DESCRIPTION OF SYMBOLS 1 ... Mail server, 2 ... Proxy server, 3 ... Black list memory | storage part (memory | storage means), 10 ... Mail receiving part, 11 ... Mail memory | storage part, 12 ... Spam mail determination Part (spam e-mail judging means), 13 ... harmful site judging part (first harmful site judging means), 20 ... web access monitoring part, 21 ... harmful site judging part (second harmful site judging part) means)

Claims (4)

受信メール中に記載されているURI(Uniform Resource Identifier)の文字列を解析し、前記URIによって識別されるウェブサイトが有害サイトであるか否かを判定する第1の有害サイト判定手段と、
前記第1の有害サイト判定手段によって有害サイトであると判定された前記URIを記憶する記憶手段と、
前記記憶手段によって記憶されている前記URIに基づいて、受信メールが迷惑メールであるか否かを判定する迷惑メール判定手段と、
を備えたことを特徴とするコンピュータシステム。 Analyzing a URI (Uniform Resource Identifier) character string described in the received mail and determining whether or not the website identified by the URI is a harmful site;
Storage means for storing the URI determined to be a harmful site by the first harmful site determination means;
A junk e-mail determination unit that determines whether the received mail is a junk mail based on the URI stored by the storage unit;
A computer system comprising: ユーザがアクセスを要求するURIの文字列を解析し、前記URIによって識別されるウェブサイトが有害サイトであるか否かを判定する第2の有害サイト判定手段をさらに備え、
前記記憶手段はさらに、前記第2の有害サイト判定手段によって有害サイトであると判定された前記URIを記憶する
ことを特徴とする請求項1に記載のコンピュータシステム。 A second harmful site determination means for analyzing a character string of a URI for which a user requests access and determining whether or not the website identified by the URI is a harmful site;
The computer system according to claim 1, wherein the storage unit further stores the URI determined to be a harmful site by the second harmful site determination unit. 前記第1の有害サイト判定手段はさらに、前記URIによって識別されるウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報の少なくともいずれかに基づいて、前記ウェブサイトが有害サイトであるか否かを判定し、
前記記憶手段はさらに、前記第1の有害サイト判定手段によって有害サイトであると判定された前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報の少なくともいずれかを記憶し、
前記迷惑メール判定手段はさらに、前記記憶手段によって記憶されている前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報の少なくともいずれかに基づいて、受信メールが迷惑メールであるか否かを判定する
ことを特徴とする請求項1または請求項2に記載のコンピュータシステム。 The first harmful site determination means is further configured based on at least one of an IP address of a website identified by the URI, information on a domain of the website, and information on a page of the website. To determine if is a harmful site,
The storage means further includes at least one of an IP address of the website determined as a harmful site by the first harmful site determination means, information on the domain of the website, and information on a page of the website Remember
The junk mail determination means may further receive the received mail based on at least one of the IP address of the website, the domain information of the website, and the information of the website page stored by the storage means. The computer system according to claim 1, wherein it is determined whether or not it is a spam mail. 前記第2の有害サイト判定手段はさらに、前記URIによって識別されるウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、前記ウェブサイトのページの情報、および前記ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかに基づいて、前記ウェブサイトが有害サイトであるか否かを判定し、
前記記憶手段はさらに、前記第1の有害サイト判定手段によって有害サイトであると判定された前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、前記ウェブサイトのページの情報、および前記ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかを記憶し、
前記迷惑メール判定手段はさらに、前記記憶手段によって記憶されている前記ウェブサイトのIPアドレス、前記ウェブサイトのドメインの情報、および前記ウェブサイトのページの情報、および前記ウェブサイトが有害サイトであるか否かをユーザが判定した結果を示す情報の少なくともいずれかに基づいて、受信メールが迷惑メールであるか否かを判定する
ことを特徴とする請求項2に記載のコンピュータシステム。 The second harmful site determination means further includes an IP address of a website identified by the URI, information on the website domain, information on the website page, and whether the website is a harmful site. Determining whether the website is a harmful site based on at least one of the information indicating the result of the user's determination,
The storage means further includes an IP address of the website determined as a harmful site by the first harmful site determination means, information on the website domain, information on the website page, and the website Memorize at least one of the information indicating the result of the user's determination whether or not is a harmful site,
The junk mail determination means further includes the IP address of the website stored in the storage means, the domain information of the website, the information of the page of the website, and whether the website is a harmful site. The computer system according to claim 2, wherein it is determined whether or not the received mail is a junk mail based on at least one of the information indicating the result of the user determining whether or not.
JP2007090184A 2007-03-30 2007-03-30 Computer system Pending JP2008250597A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007090184A JP2008250597A (en) 2007-03-30 2007-03-30 Computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007090184A JP2008250597A (en) 2007-03-30 2007-03-30 Computer system

Publications (1)

Publication Number Publication Date
JP2008250597A true JP2008250597A (en) 2008-10-16

Family

ID=39975482

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007090184A Pending JP2008250597A (en) 2007-03-30 2007-03-30 Computer system

Country Status (1)

Country Link
JP (1) JP2008250597A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011154557A (en) * 2010-01-27 2011-08-11 Yahoo Japan Corp Harmful document decision method and device
JP2011248500A (en) * 2010-05-25 2011-12-08 Kddi R & D Laboratories Inc Web page collecting device, method and program thereof
JP2017530481A (en) * 2014-10-07 2017-10-12 クラウドマーク インコーポレイテッド System and method for identifying suspicious host names
JP2019046084A (en) * 2017-08-31 2019-03-22 キヤノンマーケティングジャパン株式会社 Information processing apparatus, information processing system, control method, and program
WO2023248652A1 (en) * 2022-06-22 2023-12-28 株式会社カウリス Information processing device, domain confirming method, and domain confirming program

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0926975A (en) * 1995-06-06 1997-01-28 At & T Corp System and method for database access control
JP2001282797A (en) * 2000-03-31 2001-10-12 Digital Arts Inc Method and device for controlling browsing of internet and medium with program for executing the same method recorded thereon
JP2003249964A (en) * 2002-02-22 2003-09-05 Nec Commun Syst Ltd Method and program for automatically processing annoying mail in mail server of mobile phone
JP2003256469A (en) * 2002-03-06 2003-09-12 Fujitsu Social Science Laboratory Ltd Method and program for controlling filtering, method of controlling filtering by filtering-device, filtering control program for filtering-device
JP2004240945A (en) * 2003-02-08 2004-08-26 Deepsoft Co Automatic shutoff method of spam mail through dynamic url connection
JP2005056048A (en) * 2003-08-01 2005-03-03 Fact-Real:Kk Electronic mail monitoring system, electronic mail monitoring program and electronic mail monitoring method
JP2005071359A (en) * 2003-08-25 2005-03-17 Microsoft Corp Url-based filtering for electronic communication and web page
JP2005128922A (en) * 2003-10-27 2005-05-19 Nec Software Kyushu Ltd Spam mail filtering system and method and its program
JP2006146743A (en) * 2004-11-24 2006-06-08 Hitachi Ltd Content filtering method

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0926975A (en) * 1995-06-06 1997-01-28 At & T Corp System and method for database access control
JP2001282797A (en) * 2000-03-31 2001-10-12 Digital Arts Inc Method and device for controlling browsing of internet and medium with program for executing the same method recorded thereon
JP2003249964A (en) * 2002-02-22 2003-09-05 Nec Commun Syst Ltd Method and program for automatically processing annoying mail in mail server of mobile phone
JP2003256469A (en) * 2002-03-06 2003-09-12 Fujitsu Social Science Laboratory Ltd Method and program for controlling filtering, method of controlling filtering by filtering-device, filtering control program for filtering-device
JP2004240945A (en) * 2003-02-08 2004-08-26 Deepsoft Co Automatic shutoff method of spam mail through dynamic url connection
JP2005056048A (en) * 2003-08-01 2005-03-03 Fact-Real:Kk Electronic mail monitoring system, electronic mail monitoring program and electronic mail monitoring method
JP2005071359A (en) * 2003-08-25 2005-03-17 Microsoft Corp Url-based filtering for electronic communication and web page
JP2005128922A (en) * 2003-10-27 2005-05-19 Nec Software Kyushu Ltd Spam mail filtering system and method and its program
JP2006146743A (en) * 2004-11-24 2006-06-08 Hitachi Ltd Content filtering method

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011154557A (en) * 2010-01-27 2011-08-11 Yahoo Japan Corp Harmful document decision method and device
JP2011248500A (en) * 2010-05-25 2011-12-08 Kddi R & D Laboratories Inc Web page collecting device, method and program thereof
JP2017530481A (en) * 2014-10-07 2017-10-12 クラウドマーク インコーポレイテッド System and method for identifying suspicious host names
US10264017B2 (en) 2014-10-07 2019-04-16 Proofprint, Inc. Systems and methods of identifying suspicious hostnames
JP2019046084A (en) * 2017-08-31 2019-03-22 キヤノンマーケティングジャパン株式会社 Information processing apparatus, information processing system, control method, and program
WO2023248652A1 (en) * 2022-06-22 2023-12-28 株式会社カウリス Information processing device, domain confirming method, and domain confirming program

Similar Documents

Publication Publication Date Title
US20210058354A1 (en) Determining Authenticity of Reported User Action in Cybersecurity Risk Assessment
JP5702470B2 (en) Method and system for protecting against unknown malicious activity by determining link ratings
US20200137110A1 (en) Systems and methods for threat detection and warning
KR101700176B1 (en) Just-in-time, email embedded url reputation determination
US8347396B2 (en) Protect sensitive content for human-only consumption
US8528084B1 (en) Systems and methods for detecting potential communications fraud
JP4576265B2 (en) URL risk determination device and URL risk determination system
JP6408395B2 (en) Blacklist management method
CN110430188B (en) Rapid URL filtering method and device
TW200803385A (en) Method and system for protecting an internet user from fraudulent IP addresses on a DNS server
US20160241575A1 (en) Information processing system and information processing method
JP2007122692A (en) Security management device, communication system and access control method
KR20120099572A (en) Real-time spam look-up system
GB2458094A (en) URL interception and categorization in firewalls
JP5749053B2 (en) File upload blocking system and file upload blocking method
CN108156270B (en) Domain name request processing method and device
JP2010026662A (en) Information leakage prevention system
JP2008250597A (en) Computer system
JP5310539B2 (en) Mail transmission / reception device, mail transmission / reception method, and mail transmission / reception program
JP4362487B2 (en) DNS server client system, DNS server device, cache server device, DNS query request control method, and DNS query request control program
CN113810518A (en) Effective sub-domain name recognition method and device and electronic equipment
JP4429971B2 (en) Legitimate site verification method, apparatus, and program
JP5202370B2 (en) Gateway apparatus and access control method
JP5322288B2 (en) COMMUNICATION PROCESSING DEVICE, COMMUNICATION PROCESSING METHOD, AND PROGRAM
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090710

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091201

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100129

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100201

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100608