JP6039378B2 - 不正メール判定装置、不正メール判定方法、及びプログラム - Google Patents
不正メール判定装置、不正メール判定方法、及びプログラム Download PDFInfo
- Publication number
- JP6039378B2 JP6039378B2 JP2012254737A JP2012254737A JP6039378B2 JP 6039378 B2 JP6039378 B2 JP 6039378B2 JP 2012254737 A JP2012254737 A JP 2012254737A JP 2012254737 A JP2012254737 A JP 2012254737A JP 6039378 B2 JP6039378 B2 JP 6039378B2
- Authority
- JP
- Japan
- Prior art keywords
- distance
- new
- past
- header information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 30
- 238000007621 cluster analysis Methods 0.000 claims description 23
- 230000008859 change Effects 0.000 claims description 20
- 238000004364 calculation method Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 description 30
- 238000012545 processing Methods 0.000 description 30
- 238000007726 management method Methods 0.000 description 24
- 230000008569 process Effects 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000000605 extraction Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000007417 hierarchical cluster analysis Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
中継ネットワークを介してメールを受信する受信側メールサーバから新規メールを受信する新規メール受信手段と、
過去に受信した過去メールのヘッダ情報を格納する過去メール情報格納手段と、
前記新規メールからヘッダ情報を抽出し、前記過去メールのヘッダ情報との間の距離を算出し、当該距離と所定の閾値とに基づいて前記新規メールが不正メールか否かを判定する判定手段と、
前記判定手段により、前記新規メールが不正メールであると判定された場合に、受信者に通知を行い、前記新規メールが不正メールでないと判定された場合に、当該新規メールを前記過去メール情報格納手段に格納する手段と、
前記過去メール情報格納手段に格納されたメールのヘッダ情報間の距離に基づいて、前記閾値を算出する閾値算出手段とを備えることを特徴とする不正メール判定装置として構成される。
図1に、本発明の実施の形態に係るシステムの全体概要構成図を示す。図1に示すように、本実施の形態におけるシステムでは、送信側ネットワーク30と受信側ネットワーク40が、中継ネットワーク50を介して接続されている。送信側ネットワーク30には、送信者端末1と送信側メールサーバ3が備えられ、受信側ネットワーク40には、受信側メールサーバ4、受信者端末20、及び本発明に係る不正メール判定装置10が備えられる。なお、図1には、送信側ネットワークを1つのみ示しているが、本実施の形態では、送信側ネットワークは複数あり、その中に、不正メールの送信元となる送信側ネットワークが含まれることを想定している。
図3に、不正メール判定装置10の機能構成図を示す。図3に示すように、本実施の形態に係る不正メール判定装置10は、新規メール受信部11、ヘッダ情報抽出部12、不正メール判定部13、メール不正判定時処理部14、メール受信時処理部15、及び管理情報格納部16を備える。
以下、図6、及び図7のフローチャートを参照して、不正メール判定装置10の処理の全体の流れを説明する。以下の説明では、図3に示す各機能部の名称を適宜用いる。また、以下では、特定の送信元アドレスを有し、受信者端末20宛てに送られたメールを対象とするものとし、当該送信元アドレスも新規メールから抽出して、各テーブルに格納するが、以下では、説明を分かり易くするために、送信元アドレスについては述べていない。
本実施の形態では、新規メールと過去メールにおける各メール間において、ヘッダ情報(本実施の形態では、From部の情報)の文字列比較を行うことにより、類似性を判断し、不正判定を行うこととしている。
本実施の形態において、例えば過去メール数が少なく、過去メールのヘッダ情報がばらばらで、過去メール間の距離が非常に大きくなる場合が考えられる。この場合、閾値も非常に大きくなってしまい、新規メールを不正メールであると判定できない場合が生じ得る。
上記の式で、T は、不正メール判定で用いる閾値である。dfは、サンプル(正常メールのみ)のクラスタ間の最大距離、すなわち、暫定閾値である。E(dm)は、ホスト名、ホストアドレスの総文字数*2 の平均、すなわち、前述した距離1の平均である。E(dn)は、ホスト名に含まれる数字部分の文字数*2 の平均、すなわち、前述した距離2の平均である。
これまでに説明した例では、ReceivedヘッダのFrom部を用いて判定を行っているが、with部又はby部、もしくはwith部とby部の両方を加えて判定を行うこととしてもよい。with部やby部を加えた場合は、判定に用いる文字列が増加するが、編集距離に基づきクラスタ分析を行って、クラスタ間の距離に基づき閾値を算出し、当該閾値を用いて新規メールの不正判定を行うという基本的な処理はFrom部のみの場合と同様である。また、必要に応じて、From部のみの場合と同様に、あり得る文字列変化を考慮して閾値を補正することも可能である。
2 送信側中継メールサーバ
3 送信側メールサーバ
4 受信側メールサーバ
5 攻撃者利用メールサーバ
6 攻撃者メール送信端末
10 不正メール判定装置
11 新規メール受信部
12 ヘッダ情報抽出部
13 不正メール判定部
14 メール不正判定時処理部
15 メール受信時処理部
16 管理情報格納部
20 受信者端末
30 送信側ネットワーク
40 受信側ネットワーク
50 中継ネットワーク
Claims (7)
- 受信したメールが不正メールであるかどうかを判定する不正メール判定装置であって、
中継ネットワークを介してメールを受信する受信側メールサーバから新規メールを受信する新規メール受信手段と、
過去に受信した過去メールのヘッダ情報を格納する過去メール情報格納手段と、
前記新規メールからヘッダ情報を抽出し、前記過去メールのヘッダ情報との間の距離を算出し、当該距離と所定の閾値とに基づいて前記新規メールが不正メールか否かを判定する判定手段と、
前記判定手段により、前記新規メールが不正メールであると判定された場合に、受信者に通知を行い、前記新規メールが不正メールでないと判定された場合に、当該新規メールを前記過去メール情報格納手段に格納する手段と、
前記過去メール情報格納手段に格納されたメールのヘッダ情報間の距離に基づいて、前記閾値を算出する閾値算出手段と
を備えることを特徴とする不正メール判定装置。 - 前記ヘッダ情報は、Receivedヘッダの情報、User-Agentヘッダの情報、又はX-Mailerヘッダの情報であり、前記距離は編集距離である
ことを特徴とする請求項1に記載の不正メール判定装置。 - 前記閾値算出手段は、前記過去メール情報格納手段に格納されたメールのヘッダ情報間の距離に基づきクラスタ分析を行い、最大のクラスタ間の距離に基づいて前記閾値を算出する
ことを特徴とする請求項1又は2に記載の不正メール判定装置。 - 前記閾値算出手段は、前記最大のクラスタ間の距離を暫定閾値とし、前記ヘッダ情報の中で、受信メール間で変化し得ると推定される文字が全て変化した場合における変化後のヘッダ情報と、変化前のヘッダ情報との間の距離を用いて前記暫定閾値を補正することにより前記閾値を算出する
ことを特徴とする請求項3に記載の不正メール判定装置。 - 前記判定手段は、前記新規メールと前記過去メールとを含むメールのヘッダ情報間の距離に基づくクラスタ分析を行い、前記新規メールのクラスタへの結合時における当該新規メールと当該クラスタ間のヘッダ情報の距離が、前記閾値を超えた場合に、当該新規メールは不正メールであると判定する
ことを特徴とする請求項1ないし4のうちいずれか1項に記載の不正メール判定装置。 - 受信したメールが不正メールであるかどうかを判定する不正メール判定装置が実行する不正メール判定方法であって、
前記不正メール判定装置は、過去に受信した過去メールのヘッダ情報を格納する過去メール情報格納手段を備えており、
中継ネットワークを介してメールを受信する受信側メールサーバから新規メールを受信する新規メール受信ステップと、
前記新規メールからヘッダ情報を抽出し、前記過去メールのヘッダ情報との間の距離を算出し、当該距離と所定の閾値とに基づいて前記新規メールが不正メールか否かを判定する判定ステップと、
前記判定ステップにより、前記新規メールが不正メールであると判定された場合に、受信者に通知を行い、前記新規メールが不正メールでないと判定された場合に、当該新規メールを前記過去メール情報格納手段に格納するステップと、
前記過去メール情報格納手段に格納されたメールのヘッダ情報間の距離に基づいて、前記閾値を算出する閾値算出ステップと
を備えることを特徴とする不正メール判定方法。 - コンピュータを、請求項1ないし5のうちのいずれか1項に記載された不正メール判定装置における各手段として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012254737A JP6039378B2 (ja) | 2012-11-20 | 2012-11-20 | 不正メール判定装置、不正メール判定方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012254737A JP6039378B2 (ja) | 2012-11-20 | 2012-11-20 | 不正メール判定装置、不正メール判定方法、及びプログラム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016216424A Division JP6316380B2 (ja) | 2016-11-04 | 2016-11-04 | 不正メール判定装置、不正メール判定方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014102708A JP2014102708A (ja) | 2014-06-05 |
JP6039378B2 true JP6039378B2 (ja) | 2016-12-07 |
Family
ID=51025157
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012254737A Active JP6039378B2 (ja) | 2012-11-20 | 2012-11-20 | 不正メール判定装置、不正メール判定方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6039378B2 (ja) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6266487B2 (ja) * | 2014-09-30 | 2018-01-24 | Kddi株式会社 | メール情報抽出装置、メール判定リスト作成装置、メール情報抽出方法、メール判定リスト作成方法およびコンピュータプログラム |
JP6631198B2 (ja) * | 2015-11-25 | 2020-01-15 | 日本電気株式会社 | 通信装置、中継装置、中継装置の制御方法、中継装置のプログラム及び通信システム |
JP6533823B2 (ja) * | 2017-05-08 | 2019-06-19 | デジタルア−ツ株式会社 | 情報処理装置、情報処理システム、プログラム、記録媒体及び情報処理方法 |
US10447635B2 (en) * | 2017-05-17 | 2019-10-15 | Slice Technologies, Inc. | Filtering electronic messages |
EP3675433A4 (en) | 2017-09-14 | 2020-09-30 | Mitsubishi Electric Corporation | ELECTRONIC MAIL INSPECTION DEVICE, METHOD AND PROGRAM |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003348161A (ja) * | 2002-05-23 | 2003-12-05 | Nec Corp | メールサーバ,メールシステムおよび迷惑メール削除方法ならびにプログラム |
US7627670B2 (en) * | 2004-04-29 | 2009-12-01 | International Business Machines Corporation | Method and apparatus for scoring unsolicited e-mail |
JP4817952B2 (ja) * | 2006-04-25 | 2011-11-16 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | メール誤送信防止システム、メール誤送信防止方法、およびメール誤送信防止プログラム |
JP4963099B2 (ja) * | 2007-10-23 | 2012-06-27 | Kddi株式会社 | 電子メールフィルタリング装置、電子メールのフィルタリング方法およびプログラム |
JP5366204B2 (ja) * | 2009-07-17 | 2013-12-11 | 国立大学法人 和歌山大学 | メールフィルタリングシステム、そのコンピュータプログラム、情報生成方法 |
JP6094056B2 (ja) * | 2012-05-10 | 2017-03-15 | 富士通株式会社 | メールチェック方法、メールチェック装置、及び、メールチェックプログラム |
-
2012
- 2012-11-20 JP JP2012254737A patent/JP6039378B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014102708A (ja) | 2014-06-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11516248B2 (en) | Security system for detection and mitigation of malicious communications | |
US11019079B2 (en) | Detection of email spoofing and spear phishing attacks | |
US7836133B2 (en) | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources | |
US9154514B1 (en) | Systems and methods for electronic message analysis | |
US9143476B2 (en) | Real-time classification of email message traffic | |
US7950047B2 (en) | Reporting on spoofed e-mail | |
US7849146B2 (en) | Identifying IP addresses for spammers | |
US20140325007A1 (en) | System for reclassification of electronic messages in a spam filtering system | |
CN113812130A (zh) | 网络钓鱼活动的检测 | |
US20100161734A1 (en) | Determining spam based on primary and secondary email addresses of a user | |
JP6039378B2 (ja) | 不正メール判定装置、不正メール判定方法、及びプログラム | |
CN102567873A (zh) | 使用关系和名誉数据的电子邮件过滤 | |
US7890588B2 (en) | Unwanted mail discriminating apparatus and unwanted mail discriminating method | |
US8381262B2 (en) | Blocking of spoofed E-mail | |
CN111752973A (zh) | 生成用于识别垃圾电子邮件的启发式规则的系统和方法 | |
US8473556B2 (en) | Apparatus, a method, a program and a system for processing an e-mail | |
US10069775B2 (en) | Systems and methods for detecting spam in outbound transactional emails | |
JP4670049B2 (ja) | 電子メールフィルタリングプログラム、電子メールフィルタリング方法、電子メールフィルタリングシステム | |
US20060031325A1 (en) | Method for managing email with analyzing mail behavior | |
JP6316380B2 (ja) | 不正メール判定装置、不正メール判定方法、及びプログラム | |
JP6247490B2 (ja) | 不正メール判定装置、及びプログラム | |
JP6480541B2 (ja) | 不正メール判定装置、及びプログラム | |
Morovati et al. | Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques. | |
WO2011153582A1 (en) | Electronic messaging recovery engine | |
JP2008252252A (ja) | 異経路警告装置、異経路警告プログラム及び異経路警告方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151113 |
|
TRDD | Decision of grant or rejection written | ||
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160930 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161004 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161104 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6039378 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |