KR100525758B1 - 패킷 모니터링을 통한 스팸 차단 방법 및 시스템 - Google Patents

패킷 모니터링을 통한 스팸 차단 방법 및 시스템 Download PDF

Info

Publication number
KR100525758B1
KR100525758B1 KR1020050007246A KR20050007246A KR100525758B1 KR 100525758 B1 KR100525758 B1 KR 100525758B1 KR 1020050007246 A KR1020050007246 A KR 1020050007246A KR 20050007246 A KR20050007246 A KR 20050007246A KR 100525758 B1 KR100525758 B1 KR 100525758B1
Authority
KR
South Korea
Prior art keywords
packet
mail
spam
blocking
network
Prior art date
Application number
KR1020050007246A
Other languages
English (en)
Inventor
신미연
Original Assignee
주식회사 모비젠
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 모비젠 filed Critical 주식회사 모비젠
Priority to KR1020050007246A priority Critical patent/KR100525758B1/ko
Application granted granted Critical
Publication of KR100525758B1 publication Critical patent/KR100525758B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 패킷 모니터링을 통하여 스팸의 송수신을 차단하는 방법 및 시스템에 관한 것으로, 구체적으로 네트워크를 통하여 전송되는 메일패킷을 캡쳐하여 상기 수신된 메일패킷으로부터 상기 메일패킷의 발신자 주소정보 및 수신자 주소정보를 포함하는 접속정보를 추출하는 단계; 상기 접속정보를 이용하여 상기 메일패킷이 스팸에 속하는 메일패킷인지 판단하는 단계; 및 상기 메일패킷이 스팸에 속하는 메일패킷으로 판단되는 경우 상기 메일패킷의 수신 메일서버 및 발신 메일서버에 상기 메일패킷이 속하는 메일의 수신 및 발신을 정지시키는 차단패킷을 생성하여 전송하는 단계;를 포함하는 것을 특징으로 하는 패킷 모니터링을 통한 스팸 차단 방법 및 그 방법을 실시하기 위한 시스템에 관한 것이다.
본 발명에 따르면 임의의 도메인으로 수신되는 모든 메일을 캡쳐하여 차단할 수 있으며, 스팸의 수신뿐만 아니라 발신 자체도 방지할 수 있어서 메일서버와 네트워크의 부하를 방지할 수 있고, 또한 스팸 차단 모듈이 정지되어도 메일 발신측과 수신측 또는 네트워크의 흐름에 전혀 영향을 주지 않는 장점이 있다.

Description

패킷 모니터링을 통한 스팸 차단 방법 및 시스템{Method for preventing spam mail through packet-monitoring and system therefor}
본 발명은 스팸을 차단하는 방법 및 시스템에 관한 것으로 구체적으로 패킷 모니터링을 통하여 스팸의 송수신을 차단하는 방법 및 시스템에 관한 것이다.
최근에 이메일의 사용이 일상화되어서 이메일계정을 가지지 않은 사람이 거의 없게 되었으며, 거의 모든 사람들은 적어도 자신이 주로 이용하는 이메일계정에 대해서는 매일 매일 메일확인을 하게 되었다. 이에 따라 이메일을 이용한 광고도 매우 활발히 이루어지고 있다.
스팸이란 이러한 광고메일을 포함한 메일의 총칭으로 내용이 상업적인가 비상업적인가에는 무관하게 사용자가 요청하지 않은 정보를 사용자의 의지와 무관하게 대량으로 전달하는 전자우편을 말한다. 물론, 광고성 정보가 많다. 스팸성 광고를 발신하는 발신자는 대량으로 메일을 발신해야 광고 효과를 볼 수 있기 때문에, 일반 메일 서버와 다르게 매우 많은 메일을 발신한다.
그러나, 스팸이 많이 증가하면서 이메일을 사용하는 사용자들은 자신에게 직접적으로 관련이 없는 무분별한 스팸로 인하여 자신의 이메일 사용에 불편을 느끼게 되었으며, 이메일 사용자 또는 이메일계정을 제공하는 서버를 운영하는 운영자는 이러한 스팸을 차단하기 위해 여러 가지 노력을 기울이고 있다.
현재 널리 사용되고 있는 스팸 차단 시스템은 게이트웨이(Gateway) 방식이며, 이 방식은 도 1에 도시된 것과 같이 스팸 차단 모듈이 메일 서버(160)의 앞에 설치되어 메일서버(160)로 수신되는 메일이 스팸인지 여부를 검사하고, 정상메일로 판정된 경우에는 이를 메일서버(160)로 전달하여 주고, 스팸로 판정된 경우에는 별도의 스팸 처리절차에 따라 그 메일을 처리하도록 되어 있다.
이와 같은 게이트웨이 방식은 스팸메일 차단 모듈(150)이 메일서버(160) 앞에 설치되기 때문에 SMTP 프로토콜에 의존적이며, 메일서버(160)로 수신되는 특정 도메인의 메일 트래픽만을 수신한다. 이러한 방식은 한 메일 전체를 완전하게 수신한 후에 스팸 여부를 판단하기 때문에 스팸의 송수신으로 인하여 걸리는 서버의 부하를 줄일 수 없으며, 스팸메일 차단 모듈(150)이 정지되면 메일이 메일서버(160)로 전달되지 않아 메일서버(160)의 메일 트래픽 수신 자체가 정지하게 되는 단점이 있다.
상기한 문제를 해결하기 위해서 본 발명에서는 스팸이 수신되는 것뿐만 아니라 스팸이 발신되는 것도 방지하여 네트워크 및 메일서버에 걸리는 부하를 방지할 수 있는 방법을 제공하는 것을 목적으로 한다.
또한, 상기한 문제를 해결하기 위해서 본 발명에서는 상기한 방법을 통하여 스팸을 차단하는 시스템을 제공하는 것을 목적으로 한다.
상기한 목적을 달성하기 위해서 본 발명은 네트워크를 통하여 전송되는 메일패킷을 캡쳐하여 상기 수신된 메일패킷으로부터 상기 메일패킷의 발신자 주소정보 및 수신자 주소정보를 포함하는 접속정보를 추출하는 단계; 상기 접속정보를 이용하여 상기 메일패킷이 스팸에 속하는 메일패킷인지 판단하는 단계; 및 상기 메일패킷이 스팸에 속하는 메일패킷으로 판단되는 경우 상기 메일패킷의 수신 메일서버 및 발신 메일서버에 상기 메일패킷이 속하는 메일의 수신 및 발신을 정지시키는 차단패킷을 생성하여 전송하는 단계;를 포함하는 것을 특징으로 하는 패킷 모니터링을 통한 스팸 차단 방법을 제공한다.
여기서, 상기 접속정보를 추출하는 단계는 네트워크를 통하여 전송되는 패킷을 캡쳐하는 단계; 상기 캡쳐된 패킷 중 메일패킷을 제외한 나머지 패킷을 필터링하여 상기 메일패킷을 추출하는 단계; 및 상기 추출된 메일패킷으로부터 상기 접속정보를 추출하는 단계;를 포함하는 것이 바람직하다.
또한, 상기 네트워크를 통하여 전송되는 패킷을 캡쳐하는 단계는 상기 수신 메일서버 및 상기 발신 메일서버의 중간에 위치한 네트워크를 통하여 전송되는 패킷을 캡쳐하는 것이 바람직하다.
또한, 상기 메일패킷이 스팸에 속하는 메일패킷인지 판단하는 단계는 상기 추출된 접속정보를 이용하여 상기 메일패킷이 미리 등록된 스팸 정보에 해당되는 메일에 속하는지 여부를 판단하는 방법에 의하여 상기 메일패킷이 스팸에 속하는 메일패킷인지 여부를 판단하는 것이 바람직하다.
한편, 상기한 목적을 달성하기 위해서 본 발명은 네트워크를 통하여 전송되는 메일패킷을 캡쳐하여 상기 수신된 메일패킷으로부터 상기 메일패킷의 발신자 주소정보 및 수신자 주소정보를 포함하는 접속정보를 추출하는 패킷수신및접속정보추출부; 상기 접속정보를 이용하여 상기 메일패킷이 스팸에 속하는 메일패킷인지 판단하는 스팸판단부; 및 상기 메일패킷이 스팸에 속하는 메일패킷으로 판단되는 경우 상기 메일패킷의 수신 메일서버 및 발신 메일서버에 상기 메일패킷이 속하는 메일의 수신 및 발신을 정지시키는 차단패킷을 생성하여 전송하는 차단패킷생성및발송부;를 포함하는 것을 특징으로 하는 포함하는 패킷 모니터링을 통한 스팸 차단 시스템을 제공한다.
여기서, 상기 패킷수신및접속정보추출부는 네트워크를 통하여 전송되는 패킷을 캡쳐하는 패킷수신부; 상기 캡쳐된 패킷 중 메일패킷을 제외한 나머지 패킷을 필터링하여 상기 메일패킷을 추출하는 패킷필터링부; 및 상기 추출된 메일패킷으로부터 상기 접속정보를 추출하는 접속정보추출부;를 포함하는 것이 바람직하다.
또한, 상기 패킷수신부는 상기 수신 메일서버 및 상기 발신 메일서버의 중간에 위치한 네트워크를 통하여 전송되는 패킷을 캡쳐하는 것이 바람직하다.
또한, 상기 스팸판단부는 스팸에 포함되는 것으로 설정된 정보를 저장하는 스팸데이터베이스를 포함하고, 상기 스팸판단부는 상기 추출된 접속정보를 이용하여 상기 메일패킷이 상기 스팸데이터베이스에 등록된 정보를 포함하는 메일에 속하는지 여부를 판단하는 방법에 의하여 상기 메일패킷이 스팸에 속하는 메일패킷인지 여부를 판단하는 것이 바람직하다.
한편, 상기한 목적을 달성하기 위해서 본 발명은 상기한 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
이하 본 발명의 바람직한 실시예를 도면을 참조하여 상세히 설명한다.
도 2는 본 발명의 스팸 차단시스템이 설치된 전체 네트워크의 개략도이다.
도 1에서와는 달리 본 발명의 스팸 차단시스템(200)은 메일서버(160)의 전단에 설치되어 있지 않고 도 2에서와 같이 네트워크 중간에 탭을 이용하여 네트워크와 연결되어 설치되어 있으므로, 종래의 스팸 차단시스템과는 달리 본 발명의 스팸 차단시스템(200)이 정지되더라도 네트워크를 통한 데이터의 송수신에는 전혀 영향을 미치지 않는 장점이 있다.
본 발명의 스팸 차단시스템(200)은 네트워크를 통하여 전송되는 데이터 패킷들을 수신하여 이 중 메일 패킷을 필터링하고 캡쳐하여, 추출된 메일 패킷이 스팸에 해당되는지를 판단하고 스팸인 경우 그 메일을 발신한 메일서버 및 수신하는 메일서버에 메일의 송수신을 차단하는 차단신호를 전송하여 스팸으로 판정된 메일의 나머지 패킷들이 더 이상 전송되는 것을 방지한다.
즉, 전송되는 메일 전체를 수신한 다음에 스팸인지 여부를 판단하는 것이 아니고, 전송되는 메일을 구성하는 패킷들 중 일부 패킷만을 이용하여 스팸인지 여부를 판단하고, 그 메일을 구성하는 패킷 전부가 네트워크를 통하여 수신 메일서버로 전송되기 전에 메일의 송수신을 차단하므로 스팸으로 인하여 네트워크, 발신 메일서버 및 수신 메일서버에 부하가 걸리는 것을 원천적으로 방지할 수 있다.
다시 말하면, 종래의 게이트웨이 방식의 스팸 차단 방식은 수신 메일 서버로 수신되는 스팸만을 차단하지만, 본 발명의 스팸 차단시스템(200)은 수신된 메일패킷이 스팸에 해당하는 메일패킷인 것으로 판단되면 메일 발신서버에는 더 이상의 스팸 패킷을 발신하지 못하도록 하고, 메일 수신서버에는 더 이상의 스팸 패킷을 수신하지 못하도록 하기 때문에 발신되는 스팸도 차단하는 특징을 갖는다.
도 2에서는 본 발명의 스팸 차단시스템(200)이 가입자망으로부터 외부로 나가는 라우터(120)와 게이트웨이(130) 사이에 연결되는 것으로 도시되어 있으나, 본 발명의 스팸 차단시스템(200)은 그 외의 다른 위치에 연결되어도 본 발명의 목적을 달성할 수 있다. 예를 들어, 발신 메일서버나 수신 메일서버 내에 연결되어 있는 경우도 스팸을 차단하는 본 발명의 목적을 달성할 수 있으며, 네트워크 중의 어느 지점에 연결되더라도 그 연결된 지점을 통과하는 스팸의 전송을 차단할 수 있다.
또한, 본 발명의 스팸 차단시스템(200)은 어느 하나의 메일서버(160)의 바로 앞에 설치되어서 그 메일서버(160)로 발신되는 메일들에 대해서만 스팸인지 여부를 판단하는 것이 아니고, 본 발명의 스팸 차단시스템(200)이 연결된 네트워크를 통하여 전송되는 모든 메일들을 모니터링하므로 어느 하나의 특정 도메인뿐만 아니라 본 발명의 스팸 차단시스템(200)이 연결된 네트워크를 경유하여 메일이 송수신되는 모든 메일서버로 스팸이 송수신되는 것을 차단할 수 있다.
도 3은 본 발명의 스팸 차단시스템(200)의 구성의 일 실시예를 도시한 블록선도이다.
본 발명의 스팸 차단시스템(200)은 패킷수신부(210), 패킷필터링부(220) 및 접속정보추출부(230)를 포함하는 패킷수신및접속정보추출부, 스팸판단부(240) 및 차단패킷생성및발송부(250)를 포함하여 구성된다.
패킷수신및접속정보추출부는 네트워크를 통하여 전송되는 메일패킷을 캡쳐하여 수신된 메일패킷으로부터 접속정보를 추출하는 구성요소로, 패킷수신부(210), 패킷필터링부(220) 및 접속정보추출부(230)을 포함하여 구성될 수 있다.
구체적으로, 패킷수신부(210)는 본 발명의 스팸 차단시스템(200)이 연결되어 있는 네트워크를 통하여 전송되는 모든 패킷을 수신한다.
이미 앞에서 살펴본 바와 같이 본 발명의 스팸 차단시스템(200)은 종래의 게이트웨이 방식의 스팸 차단 방식과는 달리 메일 발신서버와 메일 수신서버의 중간(또는 메일 수신서버 또는 메일 발신서버 내)의 네트워크에 연결되어 설치되어서, 연결된 네트워크의 모든 네트워크 트래픽을 검사하고 제어한다.
이렇게 본 발명의 스팸 차단시스템(200)은 네트워크를 통하여 전송되는 패킷을 전달하는 기능을 하는 것이 아니라, 단순히 전송되는 패킷을 캡쳐(복사)하기만 하므로 패킷의 전송에는 아무런 영향을 미치지 않는다.
사용자가 메일을 발신하면, 수신자의 도메인 주소로 수신 메일서버와 TCP통신을 하여 메일을 발신한다. 따라서, 패킷수신부(210)는 네트워크 수준의 TCP 프로토콜에 의존적이며, 임의의 도메인으로부터 수신되는 모든 메일 트래픽을 캡쳐한다.
패킷필터링부(220)는 패킷수신부(210)로 수신된 패킷 중 메일패킷만을 캡쳐하고, 나머지 메일패킷 이외의 패킷은 필터링한다. 메일패킷 이외의 패킷을 구분하여 필터링하는 기술은 본 발명에서 목적으로 하는 기술이 아니고, 또한 당업계에 널리 알려진 기술이므로 여기서는 이에 대한 구체적인 설명은 생략한다.
접속정보추출부(230)는 패킷필터링부(220)에 의해 추출된 메일패킷을 통하여 각 메일의 접속정보를 추출한다.
추출되는 접속정보로는 최초로 패킷을 수신한 시간, 발신 IP 주소 및 수신 IP 주소를 포함하는 연결정보, 발수신 메일 주소, 메일 제목, 추출된 메일패킷에 포함되어 있는 메일내용 일부, CRLF(Carriage Return Line Feed) 수신 여부 필드 등이 포함된다. 접속 정보는 메일 하나당 한 개만 저장된다.
발수신 메일주소, 제목 등 접속정보로 추출되는 정보는 통상적으로 하나의 메일당 3~5개의 패킷만을 이용하면 추출할 수 있으므로 접속정보추출부(230)는 하나의 메일당 3~5개의 패킷으로부터 접속정보를 추출한다.
또한, 수신된 패킷에서 "\r\n"(CRLF)의 개수를 세어서, "\r\n"(CRLF)의 개수가 미리 설정된 임계치 이상이면, 그 이후의 패킷은 더 이상 스팸 판단을 하지 않고 무시하도록 하는 것이 바람직하다. 메일 상단에서 부터 "\r\n"(CRLF)의 개수가 대략 5개 이내에 대부분의 스팸 키워드가 포함되어 있으므로, "\r\n"(CRLF)의 개수를 5개로 설정하고, 그 이후의 패킷은 무시하도록 하는 것이 바람직하다.
발신 IP 주소 및 수신 IP 주소를 포함하는 연결정보는 발신 IP 주소로부터 몇 건의 메일이 수신되었는지에 대한 통계와 과도한 스팸 발신 및 접속을 방지하기 위해서 사용되어진다.
스팸판단부(240)는 접속정보추출부(230)로부터 추출된 접속정보를 이용하여 현재 추출된 메일패킷이 스팸에 속하는 메일패킷인지를 판단한다.
추출된 메일패킷이 스팸에 속하는 메일패킷인지를 판단하는 방법은 종래에 사용되는 어떠한 방법도 가능하며 별도의 제한이 없다.
하나의 예로 발신 IP 주소로부터 몇 건의 메일이 전송되었는지에 대한 메일 세션별 통계를 산출하고, 이 통계를 이용하여, 미리 설정된 임계치 이상으로 과도하게 메일을 발신하는 IP 주소로부터 전송된 메일패킷을 스팸에 속하는 메일패킷으로 판단하도록 프로그램하여 둘 수 있다.
또 다른 예로, 스팸판단부(240) 내에 스팸데이터베이스(241)를 구비하여 두고, 블랙 IP 주소 리스트 등을 저장하여 두고 이러한 리스트에 등록되어 있는 IP 주소로부터 발신된 메일패킷을 스팸에 속하는 메일패킷으로 판단하도록 하거나, 스팸 키워드 리스트 등을 저장하여 두고, 여기에 등록된 키워드를 포함하는 메일패킷을 스팸에 속하는 메일패킷으로 판단하도록 하는 등의 방법을 사용할 수 있다.
또한, 화이트 IP 주소 리스트도 등록하여 두고, 스팸을 발송하지 않는 것으로 인정된 특정 도메인으로부터 송수신되는 메일은 비록 그 메일이 스팸 키워드를 포함하거나 과도한 접속을 수행하는 등 본 발명의 스팸판단부에 의해 스팸으로 분류될 가능성이 있더라도 메일의 전송이 차단되지 않도록 하는 것이 바람직하다.
차단패킷생성및발송부(250)는 스팸판단부(240)를 통하여 추출된 메일패킷이 스팸에 속하는 것으로 판단되는 경우, 세션 차단용 패킷을 생성하고, 생성된 차단패킷을 접속정보추출부(230)를 통하여 추출된 정보에 포함되어 있는 발신 IP 주소 및 수신 IP 주소를 이용하여 알 수 있는 수신 메일서버와 발신 메일서버에 전송하여, 수신 메일서버와 발신 메일서버간의 연결이 종료되도록 한다.
구체적으로 TCP프로토콜에서는 발수신 IP 주소와 포트 정보를 알 수 있으므로, 발신측으로는 스팸 패킷을 발신한 IP 주소와 포트로 차단패킷을 발송하고, 수신측으로는 수신 IP 주소와 포트로 차단패킷을 발송한다.
여기서, 세션 차단용 패킷 이란 메일 수발신측으로 현재 연결된 세션을 강제 종료시키는 패킷을 말하는 것으로, 일반적으로 발신측으로는 RST(TCP 연결 즉시 종료) 패킷이 사용되고, 수신측으로는 FIN(TCP 연결 정상적 종료) 패킷이 사용된다.
구체적으로 발신 메일서버로는 RST(연결을 즉시 종료) 패킷과 ACK 패킷을 성하여 전송하고, 수신 메일서버로는 FIN(연결 정상 종료) 패킷과 ACK 패킷을 생성하여 전송한다. 이 차단 패킷을 전송받은 수신 메일서버 및 발신 메일서버는 차단 패킷 수신으로 인하여 연결을 종료하게 된다.
만약 블랙 IP 주소 리스트에 등록되어 무조건 차단해야 하는 특정 IP 주소로부터 연결 요청 패킷(SYN)을 캡쳐하게 되면 차단 패킷을 생성하게 되는데, 메일 수신측으로 RST 패킷을 발송한다. 차단 패킷을 수신한 수신 메일서버측은 연결 요청을 무시하게 되어 연결이 종료되게 된다.
이렇게 본 발명에서는 네트워크를 통하여 전송되는 패킷을 모니터링하는 방법에 의하여 스팸이 발신되는 경우 차단패킷을 이용하여 발신 메일서버에서 스팸이 발신되는 것 자체를 방지할 수 있으므로 스팸으로 인하여 네트워크나 수신 메일서버, 발신 메일서버에 부하가 걸리는 것을 방지할 수 있는 효과가 있다.
즉, 메일 발신측에서 메일 수신측으로 접속요청을 하는 시점에서부터 스팸 전송의 차단이 가능해지므로 네트워크나 메일서버에 불필요한 부하가 걸리는 것을 방지할 수 있다.
모든 TCP 커넥션은 클라이언트와 서버간에 통신 선로를 만들기 위한 시퀀스(sequence)를 확인하기 위하여 최초에 한번 3번의 패킷 교환(three-way handshaking)이 일어나는데, 이때 메일 발신측의 IP 주소를 확인하여 차단 IP 주소이면, 메일 발신이 이루어지기 전에 차단하여 통신선로가 만들어지기도 전에 스팸의 발신을 방지할 수 있다.
도 4는 본 발명의 스팸 차단 방법의 일 실시예를 도시한 흐름도이다.
먼저, 패킷수신부(210)는 본 발명의 스팸 차단시스템(200)이 연결되어 있는 네트워크를 통하여 전송되는 모든 패킷을 수신한다(401).
패킷수신부(210)에서 패킷을 수신할 때에는 네트워크를 통하여 전송되는 패킷을 캡쳐(복사)하는 방식으로 수신하므로 네트워크를 통한 패킷의 전송에는 아무런 영향을 미치지 않는다는 점은 이미 살펴본 바와 같다.
패킷이 수신되면, 패킷필터링부(220)는 패킷수신부(210)로 수신된 패킷 중 메일패킷만을 캡쳐하고, 나머지 메일패킷 이외의 패킷을 필터링한다(402).
접속정보추출부(230)는 패킷필터링부(220)에 의해 추출된 메일패킷을 통하여 최초로 패킷을 수신한 시간, 발신 IP, 수신 IP, 발수신 메일 주소, 메일 제목, CRLF(Carriage Return Line Feed) 수신 여부 필드등을 포함하는 각 메일의 접속정보를 추출한다(403). 접속 정보는 메일 하나당 한 개만 저장된다는 것은 앞에서 살펴본 바와 같다.
스팸판단부(240)는 접속정보추출부(230)로부터 추출된 접속정보를 이용하여 현재 추출된 메일패킷이 스팸에 속하는 메일패킷인지를 판단한다(404).
추출된 메일패킷이 스팸에 속하는 메일패킷인지를 판단하는 방법은 메일 세션별 통계를 이용하여 임계치를 설정하여 두고, 임계치 이상으로 과도하게 메일을 발신하는 IP 주소로부터 전송된 메일패킷을 스팸에 속하는 메일패킷으로 판단하는 방법, 스팸판단부(240) 내에 화이트 IP 주소 리스트, 블랙 IP 주소 리스트, 스팸 키워드 리스트 등을 저장하여 둔 스팸데이터베이스(241)를 구비하여 두고, 스팸데이터베이스(241)에 등록된 사항에 해당하는 메일패킷을 스팸으로 판단하는 방법 등 다양한 방법이 존재하며, 종래에 사용되는 어떠한 방법도 가능하다는 점은 이미 앞에서 살펴본 바와 같다.
캡쳐된 메일패킷이 스팸에 속하는 패킷인 것으로 판단되면(405), 차단패킷생성및발송부(250)는 스팸판단부(240)를 통하여 추출된 메일패킷이 스팸에 속하는 것으로 판단되는 경우, 세션 차단용 패킷을 생성하고(406), 접속정보추출부(230)를 통하여 추출된 정보에 포함되어 있는 발신 IP 주소 및 수신 IP 주소로 생성된 차단패킷을 전송하여 수신 메일서버와 발신 메일서버간의 연결이 종료되도록 한다(407).
세션 차단용 패킷으로 발신측으로는 RST(TCP 연결 즉시 종료) 패킷이 사용되고, 수신측으로는 FIN(TCP 연결 정상적 종료) 패킷이 사용될 수 있으며, 만약 블랙 IP 주소 리스트에 등록되어 무조건 차단해야 하는 특정 IP 주소로부터 연결 요청 패킷(SYN)을 캡쳐하게 되는 경우에는 메일 수신측으로 RST 패킷을 발신하여 수신 메일서버이 그 연결 요청을 무시하여 연결이 종료되게 되도록 할 수 있음은 이미 살펴본 바와 같다.
이상에서 본 발명의 바람직한 실시예를 중심으로 본 발명을 설명하였다. 그러나, 본 발명에 의하여 보호되는 범위는 상기한 실시예에 의해 정해지는 사항으로 한정되지 않으며, 본 발명의 기술적 사상 내에서 자유로이 변형 확장이 가능하다.
일예로, 상기한 실시예에서는 메일만을 대상으로 하여 스팸성 데이터를 차단하는 것으로 본 발명을 설명하였으나, 메일 뿐만 아니라 네트워크를 통하여 전송되는 모든 데이터 패킷에도 적용이 가능하다.
예를 들어, HTTP 패킷을 추출하여 추출된 HTTP 패킷에 금지된 단어가 포함되어 있는지 여부, 추출된 HTTP이 등록된 URL(Uniform Resource Locator) 주소를 가지는 서버로부터 전송된 것인지 여부 등을 판단하여, 추출된 패킷이 스팸인 것으로 판단되면 추출된 HTTP 패킷을 송신하는 서버 및 수신하는 서버에 차단패킷을 전송하여 해당 웹사이트가 사용자의 웹브라우저에 출력되지 않도록 할 수 있다.
이렇게 하는 경우 본 발명의 시스템이 설치된 네트워크를 통하여 웹사이트에 접속하는 모든 사용자들이 유해사이트에 접속하는 것을 방지할 수 있다. 또한, 이 경우 사용자별(IP 주소별)로 차단 여부를 기록한 별도의 데이터베이스를 두어 등록된 사용자들만 유해사이트 접속이 차단되도록 할 수도 있다.
또한, 앞에서 예를 들은 메일 패킷이나 HTTP 패킷 이외에 FTP 패킷, UDP 패킷 등 모든 종류의 패킷을 대상으로 본 발명을 적용하는 것도 가능하다.
본 발명의 상기 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상 설명한 바와 같이, 본 발명에 따르면, 임의의 도메인으로 수신되는 모든 메일을 캡쳐하여 차단할 수 있으며, 스팸의 수신뿐만 아니라 발신 자체도 방지할 수 있어서 메일서버와 네트워크의 부하를 방지할 수 있고, 또한 스팸 차단 모듈이 정지되어도 메일 발신측과 수신측 또는 네트워크의 흐름에 전혀 영향을 주지 않는 장점이 있다.
또한, 특정 IP로부터 발신되는 모든 메일을 TCP 세션 초기부터 차단할 수 있고, 한 통의 메일 중 일부 패킷으로도 스팸을 판단할 수 있으므로 메일 서버의 부하를 줄일 수 있다.
도 1은 종래의 스팸 차단시스템이 설치된 네트워크를 도시한 개략도
도 2는 본 발명의 스팸 차단시스템이 설치된 네트워크를 도시한 개략도
도 3은 본 발명의 스팸 차단시스템의 구성을 도시한 블록선도
도 4는 본 발명의 스팸 차단방법을 도시한 흐름도
* 도면의 주요 부분에 대한 부호의 설명
101 스팸발신 소프트웨어가 설치되어 있는 유선 가입자망의 단말기
102 스팸발신 소프트웨어가 설치되어 있는 무선 가입자망의 단말기
110 가입자망 120 가입자망에서 외부로 나가는 라우터
130 가입자망에서 외부로 나가는 게이트웨이
140 외부인터넷망 150 스팸메일 차단 모듈
160 메일서버 200 스팸메일 차단시스템
210 패킷수신부 220 패킷필터링부
230 접속정보추출부 240 스팸판단부
241 스팸데이터베이스 250 차단패킷생성 및 발송부

Claims (9)

  1. 네트워크를 통하여 전송되는 메일패킷을 캡쳐하여 상기 수신된 메일패킷으로부터 상기 메일패킷의 발신자 주소정보 및 수신자 주소정보를 포함하는 접속정보를 추출하는 단계;
    상기 접속정보를 이용하여 상기 메일패킷이 스팸에 속하는 메일패킷인지 판단하는 단계; 및
    상기 메일패킷이 스팸에 속하는 메일패킷으로 판단되는 경우 상기 메일패킷의 수신 메일서버 및 발신 메일서버에 상기 메일패킷이 속하는 메일의 수신 및 발신을 정지시키는 차단패킷을 전송하는 단계;를 포함하는 것을 특징으로 하는 패킷 모니터링을 통한 스팸 차단 방법.
  2. 제1항에 있어서, 상기 접속정보를 추출하는 단계는
    네트워크를 통하여 전송되는 패킷을 캡쳐하는 단계;
    상기 캡쳐된 패킷 중 메일패킷을 제외한 나머지 패킷을 필터링하여 상기 메일패킷을 추출하는 단계; 및
    상기 추출된 메일패킷으로부터 상기 접속정보를 추출하는 단계;를 포함하는 것을 특징으로 하는 패킷 모니터링을 통한 스팸 차단 방법.
  3. 제2항에 있어서, 상기 네트워크를 통하여 전송되는 패킷을 캡쳐하는 단계는 상기 수신 메일서버 및 상기 발신 메일서버의 중간에 위치한 네트워크를 통하여 전송되는 패킷을 캡쳐하는 것을 특징으로 하는 패킷 모니터링을 통한 스팸 차단 방법.
  4. 제1항에 있어서, 상기 메일패킷이 스팸에 속하는 메일패킷인지 판단하는 단계는 상기 추출된 접속정보를 이용하여 상기 메일패킷이 미리 등록된 스팸 정보에 해당되는 메일에 속하는지 여부를 판단하는 방법에 의하여 상기 메일패킷이 스팸에 속하는 메일패킷인지 여부를 판단하는 것을 특징으로 하는 패킷 모니터링을 통한 스팸 차단 방법.
  5. 네트워크를 통하여 전송되는 메일패킷을 캡쳐하여 상기 수신된 메일패킷으로부터 상기 메일패킷의 발신자 주소정보 및 수신자 주소정보를 포함하는 접속정보를 추출하는 패킷수신및접속정보추출부;
    상기 접속정보를 이용하여 상기 메일패킷이 스팸에 속하는 메일패킷인지 판단하는 스팸판단부; 및
    상기 메일패킷이 스팸에 속하는 메일패킷으로 판단되는 경우 상기 메일패킷의 수신 메일서버 및 발신 메일서버에 상기 메일패킷이 속하는 메일의 수신 및 발신을 정지시키는 차단패킷을 전송하는 차단패킷생성및발송부;를 포함하는 것을 특징으로 하는 패킷 모니터링을 통한 스팸 차단 시스템.
  6. 제5항에 있어서, 상기 패킷수신및접속정보추출부는
    네트워크를 통하여 전송되는 패킷을 캡쳐하는 패킷수신부;
    상기 캡쳐된 패킷 중 메일패킷을 제외한 나머지 패킷을 필터링하여 상기 메일패킷을 추출하는 패킷필터링부; 및
    상기 추출된 메일패킷으로부터 상기 접속정보를 추출하는 접속정보추출부;를 포함하는 것을 특징으로 하는 패킷 모니터링을 통한 스팸 차단 시스템.
  7. 제6항에 있어서, 상기 패킷수신부는 상기 수신 메일서버 및 상기 발신 메일서버의 중간에 위치한 네트워크를 통하여 전송되는 패킷을 캡쳐하는 것을 특징으로 하는 패킷 모니터링을 통한 스팸 차단 시스템.
  8. 제5항에 있어서, 상기 스팸판단부는
    스팸에 포함되는 것으로 설정된 정보를 저장하는 스팸데이터베이스를 포함하고,
    상기 스팸판단부는 상기 추출된 접속정보를 이용하여 상기 메일패킷이 상기 스팸데이터베이스에 등록된 정보를 포함하는 메일에 속하는지 여부를 판단하는 방법에 의하여 상기 메일패킷이 스팸에 속하는 메일패킷인지 여부를 판단하는 것을 특징으로 하는 패킷 모니터링을 통한 스팸 차단 시스템.
  9. 제1항 내지 제4항 중 어느 한 항에 기재된 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020050007246A 2005-01-26 2005-01-26 패킷 모니터링을 통한 스팸 차단 방법 및 시스템 KR100525758B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050007246A KR100525758B1 (ko) 2005-01-26 2005-01-26 패킷 모니터링을 통한 스팸 차단 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050007246A KR100525758B1 (ko) 2005-01-26 2005-01-26 패킷 모니터링을 통한 스팸 차단 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR100525758B1 true KR100525758B1 (ko) 2005-11-04

Family

ID=37305875

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050007246A KR100525758B1 (ko) 2005-01-26 2005-01-26 패킷 모니터링을 통한 스팸 차단 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR100525758B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101450961B1 (ko) * 2012-05-23 2014-10-14 경기대학교 산학협력단 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101450961B1 (ko) * 2012-05-23 2014-10-14 경기대학교 산학협력단 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템

Similar Documents

Publication Publication Date Title
EP1628448B1 (en) Spam filtering for mobile communication devices
US8849921B2 (en) Method and apparatus for creating predictive filters for messages
US6321267B1 (en) Method and apparatus for filtering junk email
US7487368B2 (en) Illegal communication detector, illegal communication detector control method, and storage medium storing program for illegal communication detector control
US20060168031A1 (en) Detection of unwanted messages (spam)
US7672998B1 (en) Apparatus and methods for controlling the transmission of messages
US9077739B2 (en) Messaging security device
US10419378B2 (en) Net-based email filtering
US20040221016A1 (en) Method and apparatus for preventing transmission of unwanted email
CN101340387B (zh) 控制转发数据报文的方法和装置
US20060168017A1 (en) Dynamic spam trap accounts
US7478168B2 (en) Device, method and program for band control
US8407304B2 (en) Method and system for email notification
JP2012185858A (ja) 電子メッセージの意図された受信者を配送前に確認する方法、および確認時にメッセージ内容を動的に生成する方法
US8301712B1 (en) System and method for protecting mail servers from mail flood attacks
US20230007011A1 (en) Method and system for managing impersonated, forged/tampered email
CN1953425A (zh) 一种邮件筛选方法、装置及系统
US20060168042A1 (en) Mechanism for mitigating the problem of unsolicited email (also known as "spam"
CN100546287C (zh) 一种在即时通信过程中提供好友状态的方法、系统及设备
KR100525758B1 (ko) 패킷 모니터링을 통한 스팸 차단 방법 및 시스템
JP2005210455A (ja) 電子メール中継装置
KR101399037B1 (ko) 발송자의 아이피 주소를 이용한 스팸 메일 처리 방법 및 장치
KR20130109700A (ko) 모바일 스팸메일 차단방법
KR20040035329A (ko) 발송 이력 정보 추출을 통한 스팸메일 자동 차단 방법
JP2009284529A (ja) 帯域制御装置、帯域制御方法及び帯域制御プログラム

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121012

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20131014

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20141013

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20151012

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20161025

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20170925

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20181025

Year of fee payment: 14