KR101086547B1 - System and method for processing spam by analysis of accompanying url in mail - Google Patents

System and method for processing spam by analysis of accompanying url in mail Download PDF

Info

Publication number
KR101086547B1
KR101086547B1 KR1020090104135A KR20090104135A KR101086547B1 KR 101086547 B1 KR101086547 B1 KR 101086547B1 KR 1020090104135 A KR1020090104135 A KR 1020090104135A KR 20090104135 A KR20090104135 A KR 20090104135A KR 101086547 B1 KR101086547 B1 KR 101086547B1
Authority
KR
South Korea
Prior art keywords
url
spam
server
received
mail
Prior art date
Application number
KR1020090104135A
Other languages
Korean (ko)
Other versions
KR20110047489A (en
Inventor
이우주
김경희
최재홍
Original Assignee
엔에이치엔(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엔에이치엔(주) filed Critical 엔에이치엔(주)
Priority to KR1020090104135A priority Critical patent/KR101086547B1/en
Publication of KR20110047489A publication Critical patent/KR20110047489A/en
Application granted granted Critical
Publication of KR101086547B1 publication Critical patent/KR101086547B1/en

Links

Images

Classifications

    • G06Q50/60
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking

Abstract

메일에 첨부된 URL을 분석하여 스팸을 처리하는 시스템과 방법을 개시한다. 스팸 처리 시스템은 스팸 신고된 메일 내에 첨부된 URL(uniform resource locator)인 신고 URL의 도메인 및, 상기 신고 URL을 통해 연결되도록 설정된 서버 IP를 수집하는 수집부; 상기 수집된 신고 URL의 도메인과 서버 IP를 이용하여 실시간으로 수신되는 수신 메일 내에 첨부된 URL인 수신 URL의 도메인과 상기 수신 URL을 통해 연결되도록 설정된 서버를 분석하는 URL 분석부; 및, 상기 분석된 수신 URL의 도메인과 서버에 따라 상기 수신 메일을 스팸 처리하는 스팸 처리부를 포함한다.Disclosed are a system and method for processing spam by analyzing URLs attached to mail. The spam processing system includes: a collecting unit for collecting a domain of a reporting URL, which is a URL (uniform resource locator) attached to a spam reported mail, and a server IP set to be connected through the reporting URL; A URL analyzer configured to analyze a server configured to be connected through a domain of a received URL, which is a URL attached to a received mail received in real time, using the domain of the collected report URL and a server IP; And a spam processing unit for spamming the received mail according to the domain and server of the analyzed received URL.

메일, 스팸, URL, 해킹 사이트, 도메인, IP Mail, spam, URL, hacked site, domain, IP

Description

메일에 첨부된 URL을 분석하여 스팸을 처리하는 시스템 및 방법{SYSTEM AND METHOD FOR PROCESSING SPAM BY ANALYSIS OF ACCOMPANYING URL IN MAIL}SYSTEM AND METHOD FOR PROCESSING SPAM BY ANALYZING A BRL attached to E-mail {SYSTEM AND METHOD FOR PROCESSING SPAM BY ANALYSIS OF ACCOMPANYING URL IN MAIL}

본 발명에 따른 실시예들은 전자 메일의 내용에 첨부된 URL을 분석하여 스팸을 처리하는 시스템 및 방법에 관한 것이다.Embodiments according to the present invention relate to a system and method for processing spam by analyzing URLs attached to the contents of an electronic mail.

초고속 인터넷 망의 발달로 인하여 사용자들은 언제 어디서든지 인터넷을 이용할 수 있게 되었다. 특히, 전자 메일 서비스는 사용자들이 가장 많이 이용하는 인터넷 서비스 중 하나로서, 전달하고자 하는 텍스트 및 파일을 신속하게 다른 사용자에게 전달할 수 있는 서비스 중 하나이다.With the development of high speed internet network, users can use the internet anytime and anywhere. In particular, the e-mail service is one of the Internet services that users use most, and is one of the services that can quickly transfer text and files to other users.

최근에는 전자 웹 메일 서비스의 용량이 점차 대용량화되며, 서비스의 형태도 점차 다양화되고 있는 추세이다. 초기에는 전자 메일 서비스가 주로 개인 용도로 활용되었으나, 전자 메일의 편의성 및 장점이 알려짐에 따라 근래에 들어 전자 메일은 업무에 있어서도 필수적인 통신 수단이 되었다.In recent years, the capacity of electronic web mail services has gradually increased, and the types of services have been gradually diversified. In the early days, e-mail services were mainly used for personal use. However, as convenience and advantages of e-mail are known, in recent years, e-mail has become an essential means of communication in business.

누구와도 자유롭게 텍스트 및 파일을 교환할 수 있는 개방성은 전자 메일의 장점이기도 하나, 이러한 장점을 악용하여 다수의 사람들에게 무작위로 이메일을 전송하거나 광고성 정보를 게시하는 등의 스팸(spam) 메일은 전자 메일 사용자에게 큰 불편을 주고 있다.Openness to free text and file exchange with anyone is an advantage of e-mail, but it can also be used to e-mail spam, such as sending random e-mails or posting advertising information to a large number of people. It is a big inconvenience for mail users.

전자 메일 사용자들은 이러한 스팸 메일들을 일일이 지정하여 삭제하여야 하는 바 스팸 메일 삭제에 많은 시간이 소요되고 있으며, 스팸 메일 및 사용자에게 필요하지 않은 메일을 보다 빠른 시간에 효율적으로 처리할 수 있는 방법이 요구되고 있다.E-mail users have to designate and delete such spam mails, and it takes a lot of time to delete spam mails, and there is a need for a faster and more efficient way of dealing with spam and mails that users do not need. have.

사용자가 일일이 스팸 메일을 지정하지 않더라도 스팸 메일을 자동으로 검출할 수 있는 스팸 처리 시스템 및 방법이 제공된다.A spam processing system and method are provided that can automatically detect spam mail even if the user does not specify the spam mail.

메일 내용 내에 첨부된 URL을 분석하여 스팸을 보다 정확하고 효율적으로 처리할 수 있는 스팸 처리 시스템 및 방법이 제공된다.There is provided a spam processing system and method for analyzing spam URLs attached to mail contents more accurately and efficiently.

본 발명의 일실시예에 따른 스팸 처리 시스템은 스팸 신고된 메일 내에 첨부된 URL(uniform resource locator)인 신고 URL의 도메인 및, 상기 신고 URL을 통해 연결되도록 설정된 서버 IP를 수집하는 수집부; 상기 수집된 신고 URL의 도메인과 서버 IP를 이용하여 실시간으로 수신되는 수신 메일 내에 첨부된 URL인 수신 URL의 도메인과 상기 수신 URL을 통해 연결되도록 설정된 서버를 분석하는 URL 분석부; 및, 상기 분석된 수신 URL의 도메인과 서버에 따라 상기 수신 메일을 스팸 처리하는 스팸 처리부를 포함한다.Spam processing system according to an embodiment of the present invention, the domain of the report URL that is a URL (uniform resource locator) attached in the spam-reported mail, and the collecting unit for collecting the server IP set to be connected through the report URL; A URL analyzer configured to analyze a server configured to be connected through a domain of a received URL, which is a URL attached to a received mail received in real time, using the domain of the collected report URL and a server IP; And a spam processing unit for spamming the received mail according to the domain and server of the analyzed received URL.

본 발명의 일측면에 따르면, 상기 신고 URL은 스패머에 의해 해킹된 정상 사이트의 도메인과 상기 정상 사이트 내에 존재하지 않는 서비스 페이지 주소로 이루어져 상기 스패머에 의해 제공되는 스팸 광고 사이트로 연결되도록 설정된 URL을 의미할 수 있다.According to an aspect of the present invention, the report URL means a URL configured to link to a spam advertisement site provided by the spammer, which is composed of a domain of a normal site hacked by a spammer and a service page address that does not exist in the normal site. can do.

본 발명의 일측면에 따르면, 상기 수집부는 상기 신고 URL에 설정된 서비스 페이지의 IP를 클러스터링(clustering) 하여 상기 서비스 페이지를 제공하는 스팸 광고 사이트의 서버 IP를 수집할 수 있다.According to an aspect of the present invention, the collection unit may collect the server IP of the spam advertising site that provides the service page by clustering (clustering) the IP of the service page set in the report URL.

본 발명의 일측면에 따르면, 상기 URL 분석부는 상기 수신 URL이 상기 수집된 도메인 중 하나를 포함하고 있는지 여부를 분석하는 도메인 분석부와, 상기 수집된 서버 IP를 통해 상기 수신 URL이 스팸 광고 사이트를 제공하는 스팸 서버의 IP로 연결되도록 설정되어 있는지 여부를 분석하는 서버 분석부를 포함할 수 있다.According to an aspect of the present invention, the URL analyzer may include a domain analyzer configured to analyze whether the received URL includes one of the collected domains, and the received URL may be a spam advertisement site through the collected server IP. It may include a server analysis unit for analyzing whether or not the connection is provided to the IP of the spam server.

본 발명의 일실시예에 따른 스팸 처리 방법은 스팸 처리 시스템에서 스팸을 처리하는 방법에 있어서, 상기 스팸 처리 시스템의 수집부에서 스팸 신고된 메일 내에 첨부된 URL인 신고 URL의 도메인 및, 상기 신고 URL을 통해 연결되도록 설정된 서버 IP를 수집하는 단계; 상기 스팸 처리 시스템의 URL 분석부에서 상기 수집된 신고 URL의 도메인과 서버 IP를 이용하여 실시간으로 수신되는 수신 메일 내에 첨부된 URL인 수신 URL의 도메인과 상기 수신 URL을 통해 연결되도록 설정된 서버를 분석하는 단계; 및, 상기 스팸 처리 시스템의 스팸 처리부에서 상기 분석된 수신 URL의 도메인과 서버에 따라 상기 수신 메일을 스팸 처리하는 단계를 포함한다.In a method for processing spam in a spam processing system, a spam processing method according to an embodiment of the present invention includes a domain of a report URL, which is a URL attached to an e-mail reported by a spam collector, and the report URL. Collecting a server IP set to be connected through; The URL analyzer of the spam processing system analyzes a server configured to be connected through a domain of a received URL, which is a URL attached to a received mail received in real time, using the domain of the collected report URL and a server IP, and the received URL. step; And spam processing the received mail according to a domain and a server of the analyzed received URL in a spam processing unit of the spam processing system.

본 발명의 일실시예에 따른 스팸 처리 방법은 스팸 처리 시스템에서 스팸을 처리하는 방법에 있어서, 상기 스팸 처리 시스템의 수집부에서 스팸 신고된 메일 내에 첨부된 URL인 신고 URL의 도메인 및, 상기 신고 URL을 통해 연결되도록 설정된 서버 IP를 수집하는 단계; 상기 스팸 처리 시스템의 도메인 분석부에서 실시간으로 수신되는 수신 메일 내에 첨부된 URL인 수신 URL이 상기 수집된 도메인 중 하나를 포함하고 있는지 여부를 분석하는 단계; 상기 스팸 처리 시스템의 서버 분석부에서 상기 수신 URL이 상기 수집된 도메인 중 하나를 포함하고 있을 경우 상기 수집된 서버 IP를 통해 상기 수신 URL이 스팸 광고 사이트를 제공하는 스팸 서버의 IP로 연결되도록 설정되어 있는지 여부를 분석하는 단계; 및, 상기 스팸 처리 시스템의 스팸 처리부에서 상기 수신 URL이 상기 스팸 서버의 IP로 연결되도록 설정되어 있을 경우 상기 수신 메일을 스팸으로 처리하는 단계를 포함한다.In a method for processing spam in a spam processing system, a spam processing method according to an embodiment of the present invention includes a domain of a report URL, which is a URL attached to an e-mail reported by a spam collector, and the report URL. Collecting a server IP set to be connected through; Analyzing whether a received URL, which is a URL attached to a received mail received in real time by a domain analyzer of the spam processing system, includes one of the collected domains; In the server analyzing unit of the spam processing system, if the received URL includes one of the collected domains, the received URL is set to connect to the IP of a spam server providing a spam advertisement site through the collected server IP. Analyzing whether there is; And processing the received mail as spam when the receiving URL is set to be connected to an IP of the spam server in the spam processing unit of the spam processing system.

본 발명의 일실시예에 따르면, 메일에 첨부된 URL을 분석하여 스팸 광고 사이트로 연결되도록 설정된 스팸을 자동 검출함으로써 스팸 처리 및 관리가 더욱 용이할 수 있다.According to an embodiment of the present invention, by analyzing the URL attached to the mail automatically detects the spam set to be connected to the spam advertising site it can be easier to process and manage spam.

본 발명의 일실시예에 따르면, 정상 사이트에 존재하지 않는 서비스 페이지의 URL을 이용한 스팸 메일을 검출함으로써 메일 내용에 스팸 광고 사이트를 직접 노출하지 않는 형태의 변형 스팸을 검출할 수 있어 보다 많은 스팸을 필터링 할 수 있다.According to an embodiment of the present invention, by detecting spam mail using a URL of a service page that does not exist in a normal site, it is possible to detect a modified spam in the form of not directly exposing a spam advertisement site to the contents of mail. You can filter it.

이하 첨부된 도면을 참조하여 본 발명에 따른 다양한 실시예를 상세히 설명하기로 한다.Hereinafter, various embodiments of the present disclosure will be described in detail with reference to the accompanying drawings.

본 발명의 일실시예에 따른 스팸 처리 시스템 및 방법은 웹 상에서 전자 메일 서비스를 제공하는 시스템에 적용될 수 있는 것으로, 전자 메일 중 스팸을 필터링 할 수 있도록 스팸을 검출하는 기능을 제공한다.The spam processing system and method according to an embodiment of the present invention can be applied to a system for providing an e-mail service on the web, and provides a function of detecting spam to filter spam in an e-mail.

스팸 메일의 경우 스패머가 광고하고자 하는 내용이 직접 노출되도록 이미지 URL을 삽입하거나, 혹은 서비스 페이지로의 이동을 통해 광고 내용이 보여지도록 서비스 페이지를 제공하는 사이트 URL을 삽입할 수 있다. 스팸 메일 내 URL이 스팸 광고 사이트를 직접적으로 드러내지 않는 것이 최근 스팸 메일의 추세라고 할 수 있다. 즉, 스패머는 정상 사이트를 해킹하고 정상 사이트 내 존재하지 않는 페이지를 이용하여 자신이 제공하고자 하는 스팸 광고 사이트로 이동하도록 설정한 후, 발송하려는 스팸 메일에는 해킹한 사이트 내 존재하지 않는 페이지 URL을 삽입하는 것이다.In the case of spam mails, spammers may insert an image URL to directly expose the content they want to advertise, or insert a site URL that provides a service page so that the advertisement contents are displayed by moving to a service page. The recent trend in spam is that URLs in spam mails do not directly reveal spam advertising sites. In other words, the spammer hacks a normal site and sets up a page that does not exist in the normal site to go to the spam advertisement site that the spammer wants to provide. Then, the spammer inserts a page URL that does not exist in the hacked site. It is.

상기한 형태의 스팸 메일에 따르면 스패머에게 해킹된 사이트는 상당히 많으며 스팸 광고 사이트의 도메인은 한정적인데 스팸 광고 사이트가 서비스 되는 서버 IP는 더 제한적인 것으로 조사되고 있다. 더욱이, 해킹된 사이트의 도메인은 스패머에 의해 지속적으로 재사용 되고 있다.According to the spam mail described above, spammers have a lot of hacked sites, and the domain of spam advertisement sites is limited, but the server IP serviced by spam advertisement sites is more limited. Moreover, domains of hacked sites are constantly being reused by spammers.

따라서, 본 발명의 일실시예에 따른 스팸 처리 시스템 및 방법은 정상 사이트 내 존재하지 않는 서비스 페이지를 이용하는 스팸 메일을 검출하는 기능을 제공할 수 있다.Therefore, the spam processing system and method according to an embodiment of the present invention may provide a function for detecting spam mail using a service page that does not exist in the normal site.

도 1은 본 발명의 일실시예에 있어서, 스팸 처리 시스템의 내부 구성을 설명하기 위한 블록도이다.1 is a block diagram illustrating an internal configuration of a spam processing system according to an embodiment of the present invention.

본 발명의 일실시예에 따른 스팸 처리 시스템은 수집부(110), URL 분석부, 스팸 처리부(140)를 포함할 수 있다. 이때, 스팸 처리 시스템은 메일 박스(미도시)와 연동할 수 있도록 구성될 수 있다.Spam processing system according to an embodiment of the present invention may include a collecting unit 110, URL analysis unit, spam processing unit 140. At this time, the spam processing system may be configured to work with a mailbox (not shown).

메일 박스는 전자 메일을 저장하는 데이터베이스를 의미하는 것으로, 사용자 별로 연관하여 저장 및 관리한다. 메일 박스는 일반적으로 MIME(Multipurpose Internet Mail Extension) 타입의 메일 데이터를 저장한다. 통상적으로, 메일 박스는 메일 데이터를 하나의 파일로 관리할 수도 있으며, 각각의 메일 데이터의 저장 위치를 파일 포인터를 통해 관리할 수도 있다.A mail box refers to a database that stores e-mail. The mail box is stored and managed in association with each user. Mailboxes generally store mail data of the Multipurpose Internet Mail Extension (MIME) type. Typically, a mailbox may manage mail data as one file, and may manage the storage location of each mail data through a file pointer.

수집부(110)는 스팸 신고된 메일 내에 첨부된 URL(이하, '신고 URL'이라 약칭함)의 도메인, 그리고 신고 URL을 통해 연결되도록 설정된 서버 IP를 수집하는 역할을 수행한다. 도 2는 본 발명의 일실시예에 따른 스팸 처리 시스템에서 활용하기 위한 스팸 신고 데이터의 일례를 설명하기 위한 도면이다. 사용자는 전자 메일 서비스를 제공하는 웹 페이지에서 받은 메일함을 열게 되면 메일 제목 또는 보낸 사람 이름 또는 메일 내용을 통해 쉽게 스팸 여부를 확인할 수 있다. 도 2를 참조하면, 사용자는 수신 메일이 스팸인 것으로 확인되면 스팸 신고 버튼(201)을 통해 수신 메일에 대한 스팸 신고를 할 수 있다. 이때, 메일 박스는 사용자로부터 스팸 신고된 메일을 스팸 메일함(203)으로 이동시켜 저장할 수 있으며 수집부(110)는 스팸 메일함(203)에 저장된 수신 메일 즉, 사용자로부터 스팸 신고된 메일을 활용하여 신고 URL의 도메인과 서버 IP를 수집할 수 있다. 여기서, 스팸 신고된 메일은 스패머가 정상 사이트를 해킹하여 정상 사이트 내 존재하지 않는 서비스 페이지의 URL이 삽입된 형태의 메일을 의미할 수 있다. 즉, 신고 URL은 스패머에 의해 해킹된 정상 사이트의 도메인과 정상 사이트 내에 존재하지 않는 서비스 페이지 주소로 이루어진 형태로 스패머에 의해 제공되는 스팸 광고 사이트로 연결되도록 설정된 URL이다. 수집부(110)는 신고 URL에 설정된 서비스 페이지가 어디이며 해당 서비스 서버 IP가 어디인지 클러스터링(clustering) 하여 서비스 페이지를 제공하 는 최종 스팸 광고 사이트의 서버 IP를 수집할 수 있다. 또한, 수집부(110)는 신고 URL에서 도메인을 추출하여 수집할 수 있다. 예를 들어, 신고 URL이 'fff.co.kr/nopage'일 경우 'fff.co.kr'를 스패머에 의해 해킹된 사이트로 인식하여 URL에서 도메인 'fff.co.kr'을 수집한다.The collecting unit 110 collects a server IP set to be connected through a domain of a URL (hereinafter, referred to as a “reporting URL”) and a report URL attached to the spam-reported mail. 2 is a view for explaining an example of spam report data for use in a spam processing system according to an embodiment of the present invention. When a user opens an inbox from a web page that provides an e-mail service, the user can easily check whether the spam is based on the mail subject or the sender's name or the contents of the mail. Referring to FIG. 2, when the received mail is determined to be spam, the user may report spam for the received mail through the spam report button 201. In this case, the mailbox may move the spam reported mail from the user to the spam mailbox 203 and store the mail. The collecting unit 110 utilizes the received mail stored in the spam mailbox 203, that is, the spam reported mail from the user. Can collect the domain and server IP of the report URL. Here, the spam-reported mail may refer to a mail in which a spammer hacks a normal site and inserts a URL of a service page that does not exist in the normal site. That is, the report URL is a URL configured to link to a spam advertisement site provided by a spammer in the form of a domain of a normal site hacked by a spammer and a service page address that does not exist in the normal site. The collector 110 may collect the server IP of the final spam advertisement site that provides the service page by clustering where the service page is set in the report URL and the corresponding service server IP. In addition, the collector 110 may extract and collect a domain from the report URL. For example, if the report URL is 'fff.co.kr/nopage', 'fff.co.kr' is recognized as a hacked site by spammers and the domain 'fff.co.kr' is collected from the URL.

URL 분석부는 수집된 신고 URL의 도메인과 서버 IP를 이용하여 실시간으로 수신되는 수신 메일 내에 첨부된 URL(이하, '수신 URL'이라 약칭함)의 도메인과 수신 URL을 통해 연결되도록 설정된 서버를 분석하는 역할을 수행한다. URL 분석부는 수신 URL의 도메인을 분석하는 도메인 분석부(120)와, 수신 URL에 설정된 서버를 분석하는 서버 분석부(130)로 구성될 수 있다. 도메인 분석부(120)는 수신 URL이 수집부(110)를 통해 수집된 도메인 중 하나를 포함하고 있는지 즉, 수신 URL이 해킹된 사이트의 도메인을 이용하고 있는지 여부를 분석할 수 있다. 서버 분석부(130)는 수집부(110)를 통해 수집된 서버 IP를 통해 수신 URL이 스팸 광고 사이트를 제공하는 스팸 서버의 IP로 연결되도록 설정되어 있는지 여부를 분석할 수 있다. 서버 분석부(130)는 수신 메일 내에 상기 수집된 신고 URL의 도메인 중 하나를 포함하고 있는 수신 URL이 있다면 해당 수신 URL를 통해 설정된 서버를 분석할 수 있다. 이때, 서버 분석부(130)는 수신 URL에 통신 요청 신호(http request)를 송신하여 리다이렉션 응답 신호(http 302 redirection response)가 수신되는지 여부를 확인하고 리다이렉션 응답 신호에 해당하는 위치 URL(redirection location URL) 및 도메인 분석(DNS resolving)을 통한 위치 URL의 IP를 확인함으로써 수신 URL를 통해 설정된 서버 IP를 분석할 수 있다.The URL analysis unit analyzes a server configured to connect through a domain and a receiving URL of a URL (hereinafter, referred to as a 'receiving URL') attached to an incoming message received in real time using the domain of the collected report URL and a server IP. Play a role. The URL analyzer may be configured of a domain analyzer 120 that analyzes a domain of a received URL, and a server analyzer 130 that analyzes a server set in the received URL. The domain analyzer 120 may analyze whether the received URL includes one of the domains collected through the collector 110, that is, whether the received URL uses the domain of the hacked site. The server analyzer 130 may analyze whether the received URL is set to be connected to an IP of a spam server providing a spam advertisement site through the server IP collected through the collector 110. If there is a receiving URL including one of the domains of the collected report URL in the received mail, the server analyzing unit 130 may analyze the server set through the corresponding receiving URL. At this time, the server analysis unit 130 transmits a communication request signal (http request) to the receiving URL to check whether a redirection response signal (http 302 redirection response) is received, the location URL corresponding to the redirection response signal (redirection location URL) ) By checking the IP of the location URL through DNS resolving and the server IP set through the receiving URL.

스팸 처리부(140)는 수신 URL의 도메인과 서버를 분석한 결과에 따라 수신 메일을 스팸 처리하는 역할을 수행한다. 스팸 처리부(140)는 수신 URL이 상기 수집된 신고 URL의 도메인 중 하나를 포함하고 동시에 수신 URL이 스팸 서버의 IP로 연결되도록 설정되어 있을 경우 수신 메일을 스팸으로 인식하여 스팸 처리할 수 있다.The spam processing unit 140 performs a role of spam processing the received mail according to a result of analyzing the domain and the server of the received URL. When the receiving URL includes one of the domains of the collected report URL and the receiving URL is set to be connected to the spam server's IP, the spam processing unit 140 may recognize the received mail as spam and process the spam.

이와 같은 구성의 스팸 처리 시스템은 스팸 광고 사이트를 직접 노출하지 않고 해킹된 사이트를 이용하는 형태의 스팸을 자동 처리할 수 있다.Such a spam processing system can automatically handle spam in the form of hacked sites without directly exposing spam advertising sites.

도 3은 본 발명의 일실시예에 있어서, 스팸 처리 방법의 전 과정을 도시한 흐름도이다. 본 발명의 일실시예에 따른 스팸 처리 방법은 도 1을 통해 설명한 스팸 처리 시스템을 통해 수행될 수 있다. 도 3에서는 스팸 처리 시스템을 통해 각각의 단계가 수행되는 과정을 설명함으로써 스팸 처리 방법을 설명한다.3 is a flowchart illustrating the entire process of a spam processing method according to an embodiment of the present invention. The spam processing method according to an embodiment of the present invention may be performed through the spam processing system described with reference to FIG. 1. In FIG. 3, a spam processing method will be described by describing a process in which each step is performed through a spam processing system.

단계(S310)에서 스팸 처리 시스템은 스팸 신고된 메일 내에 첨부된 URL인 신고 URL의 도메인, 그리고 신고 URL을 통해 연결되도록 설정된 서버 IP를 수집 및 유지할 수 있다. 이때, 신고 URL은 스패머에 의해 해킹된 정상 사이트의 도메인과 정상 사이트 내에 존재하지 않는 서비스 페이지 주소로 이루어진 형태로 스패머에 의해 제공되는 스팸 광고 사이트로 연결되도록 설정된 URL이다. 스팸 처리 시스템은 신고 URL에 설정된 서비스 페이지가 어디이며 해당 서비스 서버 IP가 어디인지 클러스터링 하여 서비스 페이지를 제공하는 최종 스팸 광고 사이트의 서버 IP를 수집할 수 있다. 또한, 스팸 처리 시스템은 신고 URL에서 도메인을 추출하여 수집할 수 있다.In operation S310, the spam processing system may collect and maintain a domain of a report URL, which is a URL attached to a spam report mail, and a server IP set to be connected through the report URL. In this case, the report URL is a URL configured to link to a spam advertisement site provided by a spammer in the form of a domain of a normal site hacked by a spammer and a service page address that does not exist in the normal site. The spam processing system may collect the server IP of the final spam advertisement site that provides the service page by clustering where the service page is set in the report URL and the corresponding service server IP. In addition, the spam processing system may extract and collect a domain from the report URL.

단계(S320)에서 스팸 처리 시스템은 실시간으로 수신되는 수신 메일 내에 첨부된 URL인 수신 URL이 단계(S310)에서 수집된 도메인 중 하나를 포함하고 있는지 여부를 분석할 수 있다. 즉, 스팸 처리 시스템은 수신 메일 내에 해킹된 사이트의 도메인을 포함하고 있는 수신 URL이 있는지 여부를 분석할 수 있다.In operation S320, the spam processing system may analyze whether the reception URL, which is a URL attached to the received mail received in real time, includes one of the domains collected in operation S310. That is, the spam processing system may analyze whether there is a receiving URL including the domain of the hacked site in the received mail.

단계(S330)와 단계(S340)에서 스팸 처리 시스템은 수신 메일 내에 수집된 신고 URL의 도메인 중 하나를 포함하고 있는 수신 URL이 있다면 단계(S310)에서 수집된 서버 IP를 기준으로 수신 URL을 통해 연결되도록 설정된 서버를 분석할 수 있다. 스팸 처리 시스템은 단계(S310)에서 수집된 서버 IP를 통해 수신 URL이 스팸 광고 사이트를 제공하는 스팸 서버의 IP로 연결되도록 설정되어 있는지 여부를 분석할 수 있다. 이때, 스팸 처리 시스템은 수신 URL에 통신 요청 신호를 송신하여 리다이렉션 응답 신호가 수신되는지 여부를 확인하고 리다이렉션 응답 신호에 해당하는 위치 URL 및 위치 URL의 IP를 확인함으로써 수신 URL를 통해 설정된 서버 IP를 분석할 수 있다.In step S330 and step S340, the spam processing system connects through the receiving URL based on the server IP collected in step S310 if there is a receiving URL that includes one of the domains of the report URL collected in the received mail. You can analyze the servers that are set up. The spam processing system may analyze whether the received URL is set to be connected to the IP of the spam server providing the spam advertisement site through the server IP collected in step S310. At this time, the spam processing system transmits a communication request signal to the reception URL to check whether the redirection response signal is received, and analyzes the server IP set through the reception URL by checking the location URL corresponding to the redirection response signal and the IP of the location URL. can do.

단계(S350)와 단계(S360)에서 스팸 처리 시스템은 수신 URL이 스팸 서버의 IP로 연결되도록 설정되어 있을 경우 수신 메일을 스팸으로 인식하여 스팸 처리할 수 있다. 스팸 처리 시스템은 수신 메일 내에 스팸 서버의 IP로 연결되도록 설정된 수신 URL이 있다면 해당 메일을 스팸 처리할 수 있다. 이때, 스팸 처리 시스템은 스팸으로 인식된 수신 메일을 스팸 메일함으로 이동시키거나 삭제 후 휴지통으로 이동시킬 수 있다.In step S350 and step S360, the spam processing system may recognize the received mail as spam and process spam when the received URL is set to be connected to the IP of the spam server. The spam processing system may spam the mail if there is a receiving URL set to be connected to the spam server's IP in the received mail. In this case, the spam processing system may move the received mail recognized as spam to a spam mailbox or move it to a trash after deleting.

이와 같이, 본 발명의 일실시예에 따른 스팸 처리 시스템 또는 스팸 처리 방 법을 이용하면, 스팸 신고된 메일을 활용하여 스패머에 의해 해킹된 사이트와 스팸 광고 사이트의 서버 IP를 수집한 후 이를 바탕으로 한 수신 메일 내 URL 분석을 통해 스팸 광고 사이트를 직접 노출시키지 않고 해킹 사이트를 이용하는 형태의 스팸을 검출 및 처리할 수 있다.As such, when using a spam processing system or a spam processing method according to an embodiment of the present invention, the server IP of the site hacked by spammers and spam advertisement sites by using spam reported mail is collected and then based on this. URL analysis in one incoming mail can detect and handle spam in the form of hacking sites without directly exposing spam advertising sites.

본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 파일 데이터, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(Floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Embodiments according to the present invention can be implemented in the form of program instructions that can be executed by various computer means can be recorded on a computer readable medium. The computer readable medium may include program instructions, file data, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.In the present invention as described above has been described by the specific embodiments, such as specific components and limited embodiments and drawings, but this is provided to help a more general understanding of the present invention, the present invention is not limited to the above embodiments. For those skilled in the art, various modifications and variations are possible from these descriptions.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be limited to the described embodiments, and all of the equivalents or equivalents of the claims as well as the claims to be described later will belong to the scope of the present invention. .

도 1은 본 발명의 일실시예에 있어서, 스팸 처리 시스템의 내부 구성을 설명하기 위한 블록도이다.1 is a block diagram illustrating an internal configuration of a spam processing system according to an embodiment of the present invention.

도 2는 본 발명의 일실시예에 따른 스팸 처리 시스템에서 활용하기 위한 스팸 신고 데이터의 일례를 설명하기 위한 도면이다.2 is a view for explaining an example of spam report data for use in a spam processing system according to an embodiment of the present invention.

도 3은 본 발명의 일실시예에 있어서, 스팸 처리 방법의 전 과정을 도시한 흐름도이다.3 is a flowchart illustrating the entire process of a spam processing method according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

110: 수집부110: collector

120: 도메인 분석부120: domain analyzer

130: 서버 분석부130: server analysis unit

140: 스팸 처리부140: spam processing unit

Claims (15)

스팸 신고된 메일 내에 첨부된 URL(uniform resource locator)인 신고 URL의 도메인 및, 상기 신고 URL을 통해 연결되도록 설정된 서버 IP를 수집하는 수집부;A collecting unit for collecting a domain of a reporting URL which is a URL (uniform resource locator) attached to a spam-reported mail, and a server IP set to be connected through the reporting URL; 상기 수집된 신고 URL의 도메인과 서버 IP를 이용하여 실시간으로 수신되는 수신 메일 내에 첨부된 URL인 수신 URL의 도메인과 상기 수신 URL을 통해 연결되도록 설정된 서버를 분석하는 URL 분석부; 및,A URL analyzer configured to analyze a server configured to be connected through a domain of a received URL, which is a URL attached to a received mail received in real time, using the domain of the collected report URL and a server IP; And, 상기 분석된 수신 URL의 도메인과 서버에 따라 상기 수신 메일을 스팸 처리하는 스팸 처리부Spam processing unit for spam processing the received mail according to the domain and server of the analyzed receiving URL 를 포함하고,Including, 상기 URL 분석부는The URL analysis unit 상기 수신 URL이 상기 수집된 도메인 중 하나를 포함하고 있는지 여부를 분석하는 도메인 분석부와,A domain analyzer for analyzing whether the received URL includes one of the collected domains; 상기 수신 URL이 상기 수집된 도메인 중 하나를 포함하고 있을 경우 상기 수집된 서버 IP를 통해 상기 수신 URL이 스팸 광고 사이트를 제공하는 스팸 서버의 IP로 연결되도록 설정되어 있는지 여부를 분석하는 서버 분석부A server analyzer which analyzes whether the received URL is set to be connected to an IP of a spam server providing a spam advertisement site through the collected server IP when the received URL includes one of the collected domains; 를 포함하고,Including, 상기 스팸 처리부는,The spam processing unit, 상기 수신 URL이 상기 스팸 서버의 IP로 연결되도록 설정되어 있을 경우 상기 수신 메일을 스팸으로 처리하는, 스팸 처리 시스템.And processing the received mail as spam when the received URL is set to connect to the IP of the spam server. 제1항에 있어서,The method of claim 1, 상기 신고 URL은 스패머에 의해 해킹된 정상 사이트의 도메인과 상기 정상 사이트 내에 존재하지 않는 서비스 페이지 주소로 이루어져 상기 스패머에 의해 제공되는 스팸 광고 사이트로 연결되도록 설정된 URL인, 스팸 처리 시스템.And the report URL is a URL configured to link to a spam advertisement site provided by the spammer, which is composed of a domain of a normal site hacked by a spammer and a service page address that does not exist in the normal site. 제1항에 있어서,The method of claim 1, 상기 수집부는 상기 신고 URL에 설정된 서비스 페이지의 IP를 클러스터링(clustering) 하여 상기 서비스 페이지를 제공하는 스팸 광고 사이트의 서버 IP를 수집하는, 스팸 처리 시스템.And the collecting unit collects a server IP of a spam advertisement site that provides the service page by clustering the IP of the service page set in the report URL. 제1항에 있어서,The method of claim 1, 상기 서버 분석부는 상기 수신 URL에 통신 요청 신호를 송신하여 상기 통신 요청 신호에 대한 리다이렉션 응답 신호를 수신한 후 상기 리다이렉션 응답 신호에 해당하는 위치 URL의 IP를 분석하는, 스팸 처리 시스템.And the server analyzer transmits a communication request signal to the received URL to receive a redirect response signal for the communication request signal and then analyzes the IP of the location URL corresponding to the redirect response signal. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 스팸 처리 시스템에서 스팸을 처리하는 방법에 있어서,In a method for processing spam in a spam processing system, 상기 스팸 처리 시스템의 수집부에서 스팸 신고된 메일 내에 첨부된 URL인 신고 URL의 도메인 및, 상기 신고 URL을 통해 연결되도록 설정된 서버 IP를 수집하는 단계;Collecting, by a collecting unit of the spam processing system, a domain of a report URL, which is a URL attached to a spam report mail, and a server IP set to be connected through the report URL; 상기 스팸 처리 시스템의 도메인 분석부에서 실시간으로 수신되는 수신 메일 내에 첨부된 URL인 수신 URL이 상기 수집된 도메인 중 하나를 포함하고 있는지 여부를 분석하는 단계;Analyzing whether a received URL, which is a URL attached to a received mail received in real time by a domain analyzer of the spam processing system, includes one of the collected domains; 상기 스팸 처리 시스템의 서버 분석부에서 상기 수신 URL이 상기 수집된 도메인 중 하나를 포함하고 있을 경우 상기 수집된 서버 IP를 통해 상기 수신 URL이 스팸 광고 사이트를 제공하는 스팸 서버의 IP로 연결되도록 설정되어 있는지 여부를 분석하는 단계; 및,In the server analyzing unit of the spam processing system, if the received URL includes one of the collected domains, the received URL is set to connect to the IP of a spam server providing a spam advertisement site through the collected server IP. Analyzing whether there is; And, 상기 스팸 처리 시스템의 스팸 처리부에서 상기 수신 URL이 상기 스팸 서버의 IP로 연결되도록 설정되어 있을 경우 상기 수신 메일을 스팸으로 처리하는 단계Processing the received mail as spam when the received URL is set to be connected to the IP of the spam server by a spam processing unit of the spam processing system; 를 포함하는 스팸 처리 방법.Spam processing method comprising a. 제11항에 있어서,The method of claim 11, 상기 신고 URL은 스패머에 의해 해킹된 정상 사이트의 도메인과 상기 정상 사이트 내에 존재하지 않는 서비스 페이지 주소로 이루어져 상기 스패머에 의해 제 공되는 스팸 광고 사이트로 연결되도록 설정된 URL인, 스팸 처리 방법.And the reporting URL is a URL configured to link to a spam advertisement site provided by the spammer, which is composed of a domain of a normal site hacked by a spammer and a service page address that does not exist in the normal site. 제11항에 있어서,The method of claim 11, 상기 신고 URL의 서버 IP를 수집하는 단계는,Collecting the server IP of the report URL, 상기 신고 URL에 설정된 서비스 페이지의 IP를 클러스터링 하여 상기 서비스 페이지를 제공하는 스팸 광고 사이트의 서버 IP를 수집하는, 스팸 처리 방법.And collecting server IPs of spam advertisement sites that provide the service pages by clustering IPs of the service pages set in the report URL. 제11항에 있어서,The method of claim 11, 상기 스팸 서버의 IP로 연결되도록 설정되어 있는지 여부를 분석하는 단계는,Analyzing whether or not the spam server is set to connect to the IP, 상기 수신 URL에 통신 요청 신호를 송신하여 상기 통신 요청 신호에 대한 리다이렉션(redirection) 응답 신호를 수신한 후 상기 리다이렉션 응답 신호에 해당하는 위치 URL의 IP를 분석하는, 스팸 처리 방법.Transmitting a communication request signal to the received URL to receive a redirection response signal for the communication request signal, and analyzing the IP of the location URL corresponding to the redirection response signal. 제11항 내지 제14항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.A computer-readable recording medium having recorded thereon a program for performing the method of claim 11.
KR1020090104135A 2009-10-30 2009-10-30 System and method for processing spam by analysis of accompanying url in mail KR101086547B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090104135A KR101086547B1 (en) 2009-10-30 2009-10-30 System and method for processing spam by analysis of accompanying url in mail

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090104135A KR101086547B1 (en) 2009-10-30 2009-10-30 System and method for processing spam by analysis of accompanying url in mail

Publications (2)

Publication Number Publication Date
KR20110047489A KR20110047489A (en) 2011-05-09
KR101086547B1 true KR101086547B1 (en) 2011-11-23

Family

ID=44238788

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090104135A KR101086547B1 (en) 2009-10-30 2009-10-30 System and method for processing spam by analysis of accompanying url in mail

Country Status (1)

Country Link
KR (1) KR101086547B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220036270A (en) 2020-09-15 2022-03-22 주식회사 카카오 URL Method and System for determining a Spam URL

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220036270A (en) 2020-09-15 2022-03-22 주식회사 카카오 URL Method and System for determining a Spam URL

Also Published As

Publication number Publication date
KR20110047489A (en) 2011-05-09

Similar Documents

Publication Publication Date Title
US7596607B2 (en) Apparatus for managing email messages
CN100527117C (en) Method and system for determining information in system containing multiple modules against offal mail
JP4880675B2 (en) Detection of unwanted email messages based on probabilistic analysis of reference resources
US7103599B2 (en) Parsing of nested internet electronic mail documents
US7802304B2 (en) Method and system of providing an integrated reputation service
JP2005208780A (en) Mail filtering system and url black list dynamic construction method to be used for the same
US8122025B2 (en) Method of managing locations of information and information location management device
US20080148397A1 (en) Method and apparatus for lawful interception of web based messaging communication
Stringhini et al. The harvester, the botmaster, and the spammer: On the relations between the different actors in the spam landscape
Banday Techniques and Tools for Forensic Investigation of E-mail
CN101087259A (en) A system for filtering spam in Internet and its implementation method
JP3929464B2 (en) E-mail server, e-mail delivery relay method, and computer program
CN108683589B (en) Junk mail detection method and device and electronic equipment
US20130145289A1 (en) Real-time duplication of a chat transcript between a person of interest and a correspondent of the person of interest for use by a law enforcement agent
CN104811418B (en) The method and device of viral diagnosis
KR101086547B1 (en) System and method for processing spam by analysis of accompanying url in mail
JP4679461B2 (en) Site service device, site service system, site management method, and program
CN115225358A (en) Method, device and equipment for collecting junk mails and readable storage medium
US20090300206A1 (en) Methods and systems for protecting e-mail addresses in publicly available network content
JP5324824B2 (en) Information processing apparatus, information processing system, information processing method, and program for classifying network nodes
CN111130993B (en) Information extraction method and device and readable storage medium
KR101081721B1 (en) System and method for detecting spam using user log
JP2018180871A (en) Electronic mail processing device and electronic mail processing program
CN113938311A (en) Mail attack tracing method and system
TWI552545B (en) Electronic mail delivery method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140925

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151102

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161024

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171011

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181105

Year of fee payment: 8