KR101535503B1 - Method for detecting malware infected terminal based on commercial e-mail - Google Patents

Method for detecting malware infected terminal based on commercial e-mail Download PDF

Info

Publication number
KR101535503B1
KR101535503B1 KR1020140021899A KR20140021899A KR101535503B1 KR 101535503 B1 KR101535503 B1 KR 101535503B1 KR 1020140021899 A KR1020140021899 A KR 1020140021899A KR 20140021899 A KR20140021899 A KR 20140021899A KR 101535503 B1 KR101535503 B1 KR 101535503B1
Authority
KR
South Korea
Prior art keywords
mail
received field
false
received
mta
Prior art date
Application number
KR1020140021899A
Other languages
Korean (ko)
Inventor
조혜선
이창용
이태진
김병익
유대훈
한영일
강홍구
김지상
손경호
박해룡
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020140021899A priority Critical patent/KR101535503B1/en
Application granted granted Critical
Publication of KR101535503B1 publication Critical patent/KR101535503B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Provided is a method for detecting a malicious code infected terminal based on a commercial e-mail, which comprises the steps of: detecting reception information from a received e-mail; identifying a unique reception end area by comparing a domain and removing relays on a receiving side; checking whether a false received field is appeared or not by using a from-by tracking method; checking domains corresponded to ′from′ and ′by′, respectively, in every received filed in order to recognize the number of sending domains except a final reception domain; detecting a sending Internet protocol (IP) according to the number of recognized domains; determining whether the detected sending IP violates a mail transmission agent (MTA) or not; and classifying a type of the mail received through attacking methods used according to whether the false received field is appeared or not, the number of the recognized domains, and whether the MTA is violated or not. According to the present invention, an e-mail address of a sender/receiver, the sender IP, and a mail reception time in a commercial e-mail file are directly extracted and analyzed. The detection performance of the malicious code infected terminal can be increased by classifying the type of the mail received through the attacking methods used according to whether the false received field is appeared or not, the number of the recognized domains, and whether the MTA is violated or not.

Description

상용 이메일 기반 악성코드 감염단말 탐지 방법{METHOD FOR DETECTING MALWARE INFECTED TERMINAL BASED ON COMMERCIAL E-MAIL}[0001] METHOD FOR DETECTING MALWARE INFECTED TERMINAL BASED ON COMMERCIAL E-MAIL [0002]

본 발명은 상용 이메일 파일에서 발신/수신자 이메일 주소, 발신자 IP 및 메일 수신 시간을 직접 추출하여 분석하므로 악성코드 감염단말을 탐지하는 상용 이메일 기반 악성코드 감염단말 탐지 방법에 관한 것이다.The present invention relates to a commercial e-mail based malicious code infected terminal detection method for detecting a malicious code infected terminal by directly extracting and analyzing a source / destination e-mail address, a sender IP and a mail reception time in a commercial e-mail file.

봇넷(Botnet)은 이미 해킹당한 좀비 PC들로 구성된 거대한 네트워크이다. 봇넷은 일반적으로 C&C (Command & Control) 서버를 통해 수백 대에서 수십만 대에 이르는 좀비 PC들을 원격에서 제어함으로써 공격자가 원하는 행위를 하게끔 한다. 1대의 봇(Bot)이 지하 경제 세계에서 0.03달러가량에 거래되고 있는데, 수만 대의 봇으로 구성된 봇넷은 수백 달러에 팔리고 있다. 지하 경제에서 거래된 봇넷은 DDoS 공격, 개인/금융정보 유출, 불법 스팸메일 발송, 온라인 사기 등 불법적인 방법으로 금전적 이득을 취하는데 악용되고 있다.Botnet is a huge network of zombie PCs already hacked. Botnets typically allow hundreds to hundreds of thousands of zombie PCs to be remotely controlled via a C & C (Command & Control) server, allowing an attacker to do what they want. One bot is trading in the underground economy for around $ 0.03, with hundreds of thousands of bots being sold for hundreds of dollars. Botnets traded in the underground economy are being exploited to take monetary gain by illegal methods such as DDoS attacks, personal and financial information leakage, illegal spamming, and online fraud.

봇넷이 공격자에 의해 범죄에 악용되고 그들에게 부를 축적할 수 있는 수단이 되어줌에 따라 봇넷은 지속적으로 진화하고 있고 봇에 감염되어 좀비 PC로 전락하는 PC의 수 또한 증가하고 있다.Botnets are constantly evolving as botnets become a means of being exploited by criminals to attack and accumulate wealth, and the number of PCs infected with bots and falling into zombie PCs is also increasing.

봇넷은 금품 갈취를 위한 협박성 DDoS 공격, 개인/금융정보 유출, 불법 스팸메일 발송, 온라인 사기 등 다양한 목적으로 사용되고 있다. 대부분의 DDoS 공격에는 악성봇에 감염된 좀비 PC들이 악용되고 있으며, 봇넷을 이용한 범죄행위 중 우리가 가장 쉽게 탐지할 수 있는 공격 또한 DDoS 공격이다. 하지만 DDoS 공격에 이용되는 좀비 PC들은 ISP 사업자들에 의해 쉽게 발각되고 차단될 수 있으며, DDoS 공격을 하는 봇 마스터는 자신의 봇넷을 잃어버릴 수 있는 위험을 감수해야만 한다. 이러한 이유에서 최근 DDoS 공격보다 훨씬 많은 돈을 벌 수 있고, 발견될 위험성도 적은 스팸 발송에 봇넷을 이용하는 경우가 증가하고 있다. 봇의 가장 중요한 사용처 중의 하나가 스팸발송이다. 스팸발송 메일서버는 RBL(Real-time Black List) 등 스팸차단 정책에 의해 차단되고 있어 스팸 발송을 위해서는 많은 수의 새로운 메일서버들을 필요로 하는데, 봇에 감염된 호스트들은 스팸발송을 위한 훌륭한 수단을 제공해 주고 있다.Botnets are used for a variety of purposes such as intimidating DDoS attacks, personal and financial information leakage, illegal spamming, and online fraud for money extortion. In most DDoS attacks, zombie PCs infected by malicious bots are being exploited, and attacks that can be detected most easily by botnets are also DDoS attacks. However, zombie PCs used for DDoS attacks can be easily detected and blocked by ISPs, and a botmaster who attacks DDOS must take the risk of losing his botnet. For this reason, botnets are increasingly being used for spamming, which can make a lot more money than DDoS attacks in recent years, and for which there is little risk to be discovered. One of the most important uses of bots is spamming. Spam Mail Servers are blocked by spam blocking policies such as Real-time Black List (RBL), which requires a large number of new mail servers to send spam. Hosts infected with bots provide a good way to send spam Giving.

종래의 이메일 기반 좀비 IP 및 봇넷그룹탐지 기술은 다음과 같이 진행되었다. 초기에는 각 발신 IP별 좀비 IP로 판단할 수 있는 근거들을 중심으로 연구하여, MTA 위배여부, Received Field 수, RBL 위배건수, 발송메일 수 등을 중심으로 판단했다. 좀비 IP가 봇넷그룹을 형성하는데 착안하여, 이메일 본문에 포함된 URL 중심으로 그룹핑하여 봇넷 그룹 탐지 방안 연구 및 동일 봇넷 그룹 내 좀비 IP들의 분포패턴에 대한 분석 및 검증이 진행되었다.Conventional email-based zombie IP and botnet group detection technologies proceed as follows. Initially, we focused on the grounds that can be judged as zombie IP by each originating IP, and judged based on MTA violation, number of received field, number of RBL violation, number of outgoing mail. As Zombie IP was formed to form a botnet group, grouping of URLs contained in the body of the email was conducted to investigate botnet group detection schemes and analysis and verification of zombie IP distribution patterns in the same botnet group.

종래의 이메일 기반 좀비 PC 탐지 시스템은 스팸트랩에서 전처리된 스팸메일(EML 파일)을 대상으로 좀비 PC를 탐지하였다. 스팸트랩은 시스템이 보유하고 있는 가상계정으로 들어오는 스팸메일들의 헤더정보를 분석하여, 추가적으로 헤더를 생성한다. 이렇게 스팸트랩에서 추출한 EML파일의 특수성은 좀비PC를 탐지하는데 근거가 되는 데이터를 추출하기에 편리하나, 이에 맞춰 설계된 종래의 좀비PC 및 봇넷그룹 탐지 시스템에서는 상용 메일서버에서 추출한 스팸메일을 처리하기에는 한계가 있다. Conventional e-mail-based zombie PC detection systems detected zombie PCs targeted at spam mails (EML files) that were preprocessed in spam traps. Spam traps analyze the header information of spam mails that come into the virtual accounts that the system has, and generate additional headers. The specificity of the EML file extracted from the spam traps is convenient for extracting data based on the detection of the zombie PC. However, in the conventional zombie PC and botnet group detection system designed according to the above, the limit to process the spam mail extracted from the commercial mail server .

본 발명은 상기한 종래기술의 문제점을 해결하기 위하여 안출된 것으로, 상용 이메일 파일에서 발신/수신자 이메일 주소, 발신자 IP 및 메일 수신 시간을 직접 추출하여 분석하므로 악성코드 감염단말을 탐지하는 상용 이메일 기반 악성코드 감염단말 탐지 방법을 제공하는데 그 목적이 있다.Disclosure of Invention Technical Problem [8] Accordingly, the present invention has been made keeping in mind the above problems occurring in the prior art, and it is an object of the present invention to provide an e-mail system capable of detecting malicious- And to provide a method of detecting a code-infected terminal.

상기한 과제를 해결하기 위하여 안출된 것으로, 본 발명의 일 실시예에 따른 상용 이메일 기반 악성코드 감염단말 탐지 방법은 상용 이메일을 수신하여 수신 정보를 추출하는 단계와, 상기 상용 이메일의 수신 정보로부터 발신 IP(Internet Protocol) 주소를 추출하는 단계와, 상기 발신 IP 주소의 도메인 주소와 발신자 도메인 주소의 일치여부를 확인하는 단계와, 상기 발신 IP 주소의 도메인 주소와 상기 상용 이메일의 발신자 도메인 주소가 불일치하면 상기 발신 IP의 단말을 감염 단말로 탐지하는 단계를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a method for detecting a malicious infected terminal based on a commercial e-mail, comprising the steps of: receiving commercial e-mail and extracting reception information; The method comprises the steps of extracting an IP (Internet Protocol) address, confirming whether the domain address of the source IP address matches the sender domain address, and if the domain address of the source IP address and the source domain address of the commercial e- And detecting the terminal of the source IP as an infected terminal.

본 발명의 다른 실시예에 따른 상용 이메일 기반 악성코드 감염단말 탐지 방법은, 수신된 이메일로부터 수신정보를 검출하는 단계와, 도메인을 비교하여 수신 측 relay를 제거하는 것으로서 유닉(Unique)한 수신단 영역을 식별하는 단계와, from-by tracking 기법을 이용하여 허위 received 필드의 존재유무를 확인하는 단계와, 모든 received 필드의 from에 해당하는 도메인과 by에 해당하는 도메인을 확인하여, 최종 수신 도메인을 제외한 발신 도메인의 개수를 파악하는 단계와, 상기 파악된 도메인의 개수에 따른 발신 IP(internet protocol)를 검출하는 단계와, 상기 검출된 발신 IP가 메일 전송 에이전트(MTA)위배인지 여부를 판정하는 단계와, 상기 허위 received 필드의 존재유무, 파악된 도메인의 개수, 그리고 상기 MTA위배 여부에 따라 어떤 공격기법에 따라 메일이 유입되었는지 그 유형을 분류하는 단계를 포함하여 이루어진다.A method for detecting a malicious e-mail infected terminal based on commercial e-mail according to another embodiment of the present invention includes detecting received information from a received e-mail, removing a relay on the receiving side by comparing domains, Checking whether there is a false received field by using the from-by tracking technique, identifying a domain corresponding to from and a domain corresponding to by from all received fields, Determining a number of domains, detecting an internet protocol according to the number of identified domains, determining whether the detected source IP is a violation of a mail transfer agent (MTA) Mail is received according to an attack technique according to the presence or absence of the false received field, the number of identified domains, and the violation of the MTA And sorting that type.

본 발명은 상용 이메일 파일에서 발신/수신자 이메일 주소, 발신자 IP 및 메일 수신 시간을 직접 추출하여 분석하고, 허위 received 필드의 존재유무, 파악된 도메인의 개수, 그리고 상기 MTA위배 여부에 따라 어떤 공격기법에 따라 메일이 유입되었는지 그 유형을 분류함으로써, 악성코드 감염단말 탐지 성능을 향상시킬 수 있다.The present invention extracts and analyzes the sender / receiver e-mail address, the sender IP, and the mail reception time directly from the commercial e-mail file, and analyzes the attack information according to the existence of the false received field, the number of identified domains, Thus, by classifying the type of incoming mail, malicious code infected terminal detection performance can be improved.

본 발명은 상용환경의 이메일을 대상으로 좀비단말을 탐지하고, 좀비단말을 이용한 추가 사이버 공격을 예방하기 위해 종래의 발신 IP 추출 알고리즘을 보완하고, 이에 대한 좀비단말 탐지결과를 분석한다. 이를 통해, 본 발명은 주요 포탈 및 기업의 메일서버에서 수신하는 이메일을 기반으로 좀비IP 탐지하여 스팸메일 유입을 차단할 수 있다.In order to detect a zombie terminal in a commercial e-mail, and to prevent an additional cyber attack using a zombie terminal, the present invention supplements a conventional outbound IP extraction algorithm and analyzes zombie terminal detection results thereof. Accordingly, the present invention can detect the zombie IP based on the e-mail received from the mail server of the main portal and the enterprise to block the inflow of the spam mail.

도1은 본 발명에 따른 악성코드 감염단말 탐지 시스템의 블록 구성도.
도2는 본 발명의 제1실시예에 따른 악성코드 감염단말 탐지방법에 관한 흐름도.
도3은 도 2에 도시된 발신 IP 추출 과정에 관한 흐름도.
도4는 본 발명의 제2실시예에 따른 악성코드 감염단말 탐지방법에 관한 흐름도.
도5a는 정상메일의 헤더를 예시한 도면.
도5b는 오픈 릴레이 서버를 경유한 메일 헤더를 예시한 도면.
도6은 본 발명에 따른 이메일 기반 악성코드의 공격유형과 유형별 발생율에 관한 테이블.
도7은 유형1의 유입경로 예시와 특징을 나타낸 도면.
도8은 유형2의 유입경로 예시와 특징을 나타낸 도면.
도9는 유형3의 유입경로 예시와 특징을 나타낸 도면.
도10은 유형4의 유입경로 예시와 특징을 나타낸 도면.
도11은 유형5의 유입경로 예시와 특징을 나타낸 도면.
도12는 유형6의 유입경로 예시와 특징을 나타낸 도면.
도13은 유형7의 유입경로 예시와 특징을 나타낸 도면.
도14는 유형8의 유입경로 예시와 특징을 나타낸 도면.1 is a block diagram of a malicious-code-infected terminal detection system according to the present invention;
FIG. 2 is a flowchart illustrating a malicious-code-infected terminal detection method according to a first embodiment of the present invention; FIG.
FIG. 3 is a flowchart of a source IP extraction process shown in FIG. 2; FIG.
4 is a flowchart illustrating a malicious-code-infected terminal detection method according to a second embodiment of the present invention.
FIG. 5A illustrates a header of a normal mail; FIG.
FIG. 5B is a diagram illustrating a mail header via an open relay server; FIG.
FIG. 6 is a table on the attack type and type-specific incidence of e-mail based malware according to the present invention.
7 shows an example and characteristic of a type 1 inflow path.
8 shows an example and characteristic of a type 2 funnel.
9 shows an example and characteristic of a type 3 funnel.
10 shows an example and characteristic of a type 4 inflow path.
11 shows an example and characteristic of a type 5 inflow path.
12 shows an example and characteristic of a type 6 inflow path.
13 shows an example and characteristic of a type 7 funnel.
14 shows an example and characteristic of a type 8 funnel.

이하, 첨부된 도면들을 참조하여 본 발명의 실시예를 상세하게 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도1은 본 발명에 따른 악성코드 감염단말 탐지 시스템의 블록 구성도이다.1 is a block diagram of a malicious code infected terminal detection system according to the present invention.

도1에 도시된 바와 같이, 본 발명에 따른 악성코드 감염단말 탐지 시스템(1)은 이메일 수신부(10), 발신 IP(Internet Protocol) 추출부(20), 탐지부(30), 데이터베이스(40)를 포함할 수 있다.1, a malicious code-infected terminal detection system 1 according to the present invention includes an email receiving unit 10, an originating IP (Internet Protocol) extracting unit 20, a detecting unit 30, a database 40, . ≪ / RTI >

이메일 수신부(10)는 상용 이메일 서버로부터 이메일을 수신하고, 그 이메일의 헤더를 파싱하여 수신 정보를 추출한다. 여기서, 이메일은 RFC-822 표준 메일 파일 포맷(format)인 EML(Electronic Mail Log) 파일일 수 있고, 수신 정보는 이메일의 헤더 정보에 포함된 수신(Received) 필드를 의미한다. The e-mail receiving unit 10 receives the e-mail from the commercial e-mail server, and parses the header of the e-mail to extract the received information. Here, the e-mail may be an EML (Electronic Mail Log) file, which is an RFC-822 standard mail file format, and the received information means a Received field included in header information of the e-mail.

발신 IP 추출부(20)는 이메일 수신부(10)로부터 전송되는 수신 정보를 이용하여 발신 IP를 추출하는 역할을 한다. 이러한 발신 IP 추출부(20)는 수신 정보가 설정된 조건을 만족하는지를 확인한다. 예를 들어, 발신 IP 추출부(20)는 수신 정보에 발신자 및 수신자 정보 및 초기 주소 사양 정보가 존재하는지를 확인한다. 여기서, 발신자 정보 및 수신자 정보는 수신 필드의 from 및 to 항목에서 각각 추출한 발신자 도메인 주소 및 수신자 도메인 주소이다. 그리고, 초기 주소 사양 정보는 수신 필드의 for 항목에서 추출된 초기 폼(form)이다.The originating IP extracting unit 20 extracts the originating IP using the reception information transmitted from the e-mail receiving unit 10. The source IP extracting unit 20 confirms whether the received information satisfies a set condition. For example, the source IP extracting unit 20 checks whether the sender and receiver information and the initial address specification information exist in the received information. Here, the sender information and the receiver information are the sender domain address and the receiver domain address respectively extracted from the "from" and "to" items of the reception field. The initial address specification information is an initial form extracted from the for field of the reception field.

발신 IP 추출부(20)는 수신 정보가 설정된 조건을 만족하면 수신 정보에 포함된 발신자 정보를 확인하여 발신자 정보가 IP 주소이면 발신자 정보를 발신 IP 주소로 추출한다.The source IP extracting unit 20 checks the sender information included in the received information if the received information satisfies the set condition, and extracts the sender information as the source IP address if the sender information is an IP address.

한편, 발신 IP 추출부(20)는 수신 정보가 설정된 조건을 만족하지 않으면, 발신자 정보를 가지고 있는 최상위 수신 정보를 검색한다. 그리고, 발신 IP 추출부(20)는 검색한 수신 정보의 발신자 정보를 확인한다. 발신 IP 추출부(20)는 발신자 정보가 IP 주소이면 발신자 정보를 발신 IP 주소로 추출한다.On the other hand, if the received information does not satisfy the set condition, the source IP extracting unit 20 searches for the highest received information having the sender information. Then, the source IP extracting unit 20 confirms the sender information of the searched reception information. The source IP extracting unit 20 extracts the sender information as the source IP address if the source information is an IP address.

발신 IP 추출부(20)는 발신자 정보가 IP 주소가 아니면 발신자 정보에 대응되는 IP 주소를 조회하여 발신 IP 주소로 추출한다.If the calling party information is not an IP address, the calling IP extracting unit 20 inquires the IP address corresponding to the calling party information and extracts the calling IP address.

탐지부(30)는 발신 IP 추출부(20)에 의해 추출된 발신 IP 주소의 도메인 주소와 발신자 도메인 주소를 비교한다. 여기서, 탐지부(30)는 추출된 발신 IP 주소의 PTR(Pointer DNS Record) 조회를 통해 추출된 발신 IP 주소에 대응되는 도메인 주소로 해석한다.The detecting unit 30 compares the domain address of the source IP address extracted by the source IP extracting unit 20 with the sender domain address. Here, the detection unit 30 interprets the extracted source IP address as a domain address corresponding to the extracted source IP address through the PTR (Pointer DNS Record) inquiry.

탐지부(30)는 추출된 발신 IP 주소의 PTR 조회 결과와 발신자 도메인 주소와 일치하지 않으면 메일 전송 에이전트(Mail Transfer Agents: MTA) 위배로 판정하여 추출된 발신 IP 주소의 단말을 악성코드 감염단말로 탐지한다.If the PTR inquiry result of the extracted originating IP address does not match the sender domain address, the detection unit 30 determines that the mail transfer agent (MTA) violation is violated and sends the terminal of the extracted originating IP address to the malicious code infected terminal Detect.

한편, 탐지부(30)는 추출된 발신 IP 주소의 PTR 조회 결과가 존재하지 않는 경우에도 추출된 발신 IP 주소의 단말을 악성코드 감염단말로 탐지한다.On the other hand, the detection unit 30 detects the terminal having the extracted source IP address as a malicious code-infected terminal even when the PTR inquiry result of the extracted source IP address does not exist.

데이터베이스(40)에는 IP 주소와 도메인 주소의 맵핑 정보가 포함된 룩업테이블 및 감염단말의 IP 주소가 포함된 블랙리스트 등이 저장될 수 있다.
The database 40 may store a lookup table including mapping information of an IP address and a domain address and a black list including an IP address of the infected terminal.

도2는 본 발명의 제1실시예에 따른 악성코드 감영단말 탐지 방법에 관한 흐름도이고, 도3은 도 2에 도시된 발신 IP 추출 과정에 관한 흐름도이다.FIG. 2 is a flowchart of a malicious code scanning terminal detection method according to the first embodiment of the present invention, and FIG. 3 is a flowchart of a source IP extraction process shown in FIG.

본 실시예에 따른 이메일 수신부(10)는 먼저, 상용 이메일 서버로부터 상용 이메일을 수신한다(S11). 이메일 수신부(10)는 수신한 상용 이메일의 헤더 정보에 포함된 수신 정보를 추출한다.The e-mail receiving unit 10 according to the present embodiment first receives commercial e-mail from a commercial e-mail server (S11). The e-mail receiving unit 10 extracts the received information contained in the header information of the received commercial e-mail.

발신 IP 추출부(20)는 이메일 수신부(10)로부터 출력되는 수신 정보를 이용하여 상용 이메일로부터 발신 IP 주소를 추출한다(S12).The source IP extracting unit 20 extracts the source IP address from the commercial e-mail using the reception information output from the e-mail receiving unit 10 (S12).

발신 IP 추출부(20)는 발신 IP를 추출하기 위하여 도 3에 도시된 바와 같이 상용 이메일의 수신 정보를 분석하여 수신 정보가 설정된 조건을 만족하는지를 확인한다(S121, 122). 여기서, 설정된 조건은 수신 정보에 발신자 도메인 주소(from 항목) 및 수신자 도메인 주소(to 항목), 초기 주소 사양 정보(for 항목)가 존재하는지를 의미한다.In order to extract the source IP, the source IP extracting unit 20 analyzes the received information of the commercial e-mail as shown in FIG. 3 and confirms whether the received information satisfies the set conditions (S121, 122). Here, the set condition means whether the sender domain address (from item), the receiver domain address (to item), and the initial address specification information (for item) exist in the reception information.

발신 IP 추출부(20)는 수신 정보가 설정된 조건을 만족하면 수신 정보에 포함된 발신자 정보(from 항목의 내용)가 IP 주소인지를 확인한다(S123, S126). When the reception information satisfies the set condition, the source IP extracting unit 20 confirms whether the sender information included in the received information (the content of the from item) is an IP address (S123, S126).

한편, 발신 IP 추출부(20)는 수신 정보가 설정된 조건을 만족하지 않으면 발신자 정보를 가지고 있는 최상위 수신 정보를 검색한다(S124). 그리고, 발신 IP 추출부(20)는 검색한 최상위 수신 정보에 포함된 발신자 정보가 IP 주소인지를 확인한다(S125, S126).On the other hand, if the received information does not satisfy the set condition, the source IP extracting unit 20 searches the highest received information having the sender information (S124). Then, the source IP extracting unit 20 confirms whether the sender information included in the searched highest received information is an IP address (S125, S126).

상기 단계(S126)에서, 발신 IP 추출부(20)는 수신 정보 또는 최상위 수신 정보의 발신자 정보가 IP 주소이면 해당 발신자 정보를 발신 IP로 추출한다(S127).In step S126, if the sender information of the received information or the highest received information is an IP address, the source IP extracting unit 20 extracts the sender information as a source IP (S127).

한편, 상기 단계(S126)에서, 발신 IP 추출부(20)는 수신 정보 또는 최상위 수신 정보의 발신자 정보가 IP 주소가 아니면 해당 발신자 정보에 대응되는 IP 주소를 룩업테이블를 통해 조회하여 발신 IP로 추출한다(S128). 예를 들어, 발신 IP 추출부(20)는 수신 정보 또는 최상위 수신 정보의 발신자 정보가 도메인 주소이면 해당 발신자 정보에 맵핑되는 IP 주소를 조회한다.In step S126, if the sender information of the reception information or the highest order reception information is not an IP address, the source IP extracting unit 20 retrieves the IP address corresponding to the sender information through the lookup table and extracts it as a source IP (S128). For example, if the sender information of the received information or the highest received information is a domain address, the source IP extracting unit 20 queries the IP address mapped to the sender information.

탐지부(30)는 발신 IP 추출부(20)에 의해 추출된 발신 IP의 PTR 조회결과(도메인 주소)와 상용 이메일의 발신자 도메인 주소가 일치하는지를 확인한다(S13). 이때, 탐지부(30)는 추출된 발신 IP에 대한 PTR 조회를 수행한다. 그리고, 탐지부(30)는 PTR 조회결과가 존재하지 않으면 발신 IP 주소의 단말을 감염단말로 탐지한다.The detection unit 30 checks whether the PTR inquiry result (domain address) of the source IP extracted by the source IP extracting unit 20 matches the sender domain address of the commercial e-mail (S13). At this time, the detection unit 30 performs a PTR inquiry about the extracted originating IP. If the PTR inquiry result does not exist, the detecting unit 30 detects the terminal of the source IP address as the infected terminal.

탐지부(30)는 PTR 조회결과와 발신자 도메인 주소가 불일치하면 발신 IP의 단말을 감염 단말로 탐지(판정)한다(S14).If the PTR inquiry result and the sender domain address do not match, the detection unit 30 detects (judges) the terminal of the source IP as an infected terminal (S14).

한편, 탐지부(30)는 PTR 조회결과와 발신자 도메인 주소가 일치하면 발신 IP의 단말을 정상단말로 판정한다(S15).On the other hand, if the PTR inquiry result matches the sender domain address, the detection unit 30 determines the terminal of the source IP as a normal terminal (S15).

이상과 같이, 본 발명은 발신자 주소의 도메인과 발신 IP의 PTR 조회 결과를 비교하여 PTR이 조회가 되지 않거나 일치하지 않으면, MTA 위배로 판단하여 좀비 단말로 탐지할 수 있다. 본 발명은 발신 IP를 메일 헤더의 최상단에 존재하는 수신 필드의 from 항목에서 추출할 때, 오탐이 발생하는 것을 개선하기 위해, from 및 by, for 항목을 포함하는 Received 필드의 from 항목으로부터 발신 IP를 추출하여 발신 IP로 지정한다. 따라서, 본 발명은 정상적인 메일을 MTA 위배로 잘못 판단하는 경우를 방지할 수 있다.As described above, the present invention compares the domain of the sender's address with the PTR inquiry result of the originating IP, and if the PTR is not inquired or inconsistent, it can be determined as a violation of the MTA and detected as a zombie terminal. In order to improve the occurrence of false positives when the originating IP is extracted from the "from" field of the reception field existing at the top of the mail header, the originating IP from the "from" entry of the Received field including the "from" Extract it and designate it as originating IP. Therefore, the present invention can prevent a case where a normal mail is erroneously judged as an MTA violation.

[표 1]은 총 87개(정상 이메일 8개, 스팸메일 79개)의 메일샘플을 분석해본 결과 1개의 예외메일을 제외한 나머지 정상메일은 모두 Received 필드의 from/by/for 항목을 포함하고 있었다.(예외 메일의 경우, 웹메일을 통해 발신자가 자신에게 메일을 보낸 경우로 예외처리가 가능하도록 한다.)
[Table 1] shows a total of 87 mail samples (8 normal emails and 79 spam mail). As a result, all the normal mail except one exception mail included from / by / for items of Received field In exceptional cases, exception handling is possible if the sender sends a message to itself via webmail.

구분division 메일수Number of messages 비고Remarks from/by/for 가 포함된
Received 필드가 있는 경우from / by / for
If the Received field is present 1616 정상: 7
스팸: 9Normal: 7
Spam: 9 from/by/for 가 포함된
Received 필드가 없는 경우from / by / for
If there is no Received field 7070 스팸만: 70Spam only: 70 [예외]from 이 포함된
Received 필드 자체가 없는 경우[Exceptions]
If the Received field itself is missing 1One 정상 1개Top 1

상기 [표 1]과 같이 Received 필드에 from/by/for 항목이 전부 존재하는 경우에는 해당 필드의 from 항목에서 IP를 추출하여 발신IP로 지정할 때 정상적인 메일을 MTA위배라고 잘못 판단하는 경우를 방지할 수 있다.If all the from / by / for items are present in the Received field as in the above Table 1, it is possible to prevent a case in which the IP address is extracted from the from field of the corresponding field, .

최근 발견되고 있는 이메일 스팸 발송기법은 크게, Direct-To-MX 및 발신도메인 위조방법, 허위Received 필드추가 방법, 그리고 Open Relay 취약점 활용방법의 3가지로 요약할 수 있다.Recently, the e-mail spamming technique that can be found is summarized as three methods: Direct-To-MX and outgoing domain forgery method, fake received field addition method, and open relay vulnerability utilization method.

상기 Direct-To-MX 및 발신도메인 위조방법은 중간에 릴레이 해 주는 메일서버를 거치지 않고, 수신메일 서버로 바로 전송하는 방식으로, 자체 메일서버를 이용하거나, SMTP엔진과 DNS 룩업(Lookup)할 수 있는 좀비 호스트를 이용한다. 공격자들이 이 방법을 선호하는 이유는 메일을 발송하는데 쓰이는 ISP(인터넷 서비스 공급자)에서 트래픽을 숨기기 위해 사용할 수 있고, 메일의 출처를 탐지하기 어렵게 하거나, 다른 곳을 발송지로 하여 특정 도메인을 겨냥하기 위해 발신 도메인을 위조할 수 있기 때문이다.The direct-to-MX and outbound domain falsification method is a method of directly transmitting to a receiving mail server without passing through a mail server which relay in the middle, and can use its own mail server or can perform a DNS lookup You use a zombie host. Attackers prefer this method because they can be used to hide traffic from ISPs (Internet Service Providers) used to send mail, to make it harder to detect the origin of mail, or to target specific domains This is because the originating domain can be falsified.

Direct-To-MX 및 발신도메인 위조방법은 현재, 이메일 스팸 발송기법 중 가장 많이 쓰이는 공격기법이지만, 수신측에서 탐지되기가 쉽고, 메일의 출처를 숨길 수 없다는 단점이 있고(Received 필드 상에 발신IP 존재), 발신 도메인이 쉽게 위조된다는 사실을 아는 수신자가 많이 없기 때문에 이 공격방식이 많이 쓰인다.Direct-To-MX and outbound domain falsification methods are currently the most used attack techniques among e-mail spam sending methods, but they are easily detected at the receiving end and can not hide the origin of the mail. ), There are not many recipients who know that the sending domain is easily forged.

상기 허위Received 필드추가 방법은 이메일 헤더에 허위 Received 필드를 삽입하는 방식이다. 공격자들이 이 방법을 선호하는 이유는 메일의 출처를 숨기고자 하거나, 다른 곳을 발송지로 하여 특정 도메인을 겨냥하기 위함이다.The method of adding a false Received field is a method of inserting a false Received field into an email header. Attackers prefer this method because they want to hide the origin of the mail, or to target a specific domain as a destination.

허위Received 필드추가 방법은 공격기법으로 비교적 많이 사용되고 있기는 하지만, 위조된 헤더는 탐지 및 처리가 쉽고, 현재, 메일 헤더 분석도구(예: SpamCop, 등) 중 위조된 헤더 탐지 가능한 것도 있다.Although the method of adding a false Received field is relatively common as an attack technique, fake headers are easy to detect and process, and some of the mail header analysis tools (eg SpamCop, etc.) can detect forged headers.

상기 Open Relay 취약점 활용방법은 관리자의 잘못으로 릴레이 기능이 활성화되어 있는 서버 즉, 보안이 취약한 메일서버를 중간서버로 악용하는 방식이다. 공격자들이 이 방법을 선호하는 이유는 정상서버를 경유함으로써, 비정상적으로 스팸을 전송하는 행위를 숨길 수 있으며, 스팸 전송 시 발생되는 비용을 줄일 수 있기 때문이다.The method of exploiting the above-mentioned Open Relay vulnerability is a method of exploiting a server in which a relay function is activated due to an administrator's fault, that is, a mail server having a weak security as an intermediate server. Attackers prefer this method because they can hide abnormal transmission of spam by way of a normal server and reduce the cost of sending spam.

Open Relay 취약점 활용방법은 종종 사용되긴 하나, 오픈 릴레이 서버 탐지가 쉽기 때문에 최근 스팸공격에 거의 사용되지 않는다. 다른 공격방법(예: 오픈 프락시, 봇넷 등) 등장, 오픈 릴레이 방지 프로그램 등장, 오픈 릴레이 블랙리스트 관리 등으로 인해, 2001년부터 그 사용이 감소한 이래, 최근 다시 증가하고 있는 추세지만, 예전만큼 활발하게 쓰이지는 않는다.
The use of Open Relay vulnerabilities is often used, but is rarely used in recent spam attacks because it is easy to detect open relay servers. Since 2001, its use has decreased, due to other attack methods (eg, open proxy, botnet, etc.), open relay prevention programs, and open relay blacklist management. Recently, however, It is not used.

도4는 본 발명의 제2실시예에 따른 악성코드 감염단말 탐지방법에 관한 흐름도이다.4 is a flowchart illustrating a malicious-code-infected terminal detection method according to a second embodiment of the present invention.

정상메일의 경우 종래 방식처럼 상위 received필드에서 발신IP 추출하면 오탐의 문제가 발생할 수 있다. 수신서버 릴레이(relay)로 인해 정확한 발신IP 추출이 어려운 문제점을 해결해야 한다. 그 해결방법으로서 도메인을 비교하여 수신 측 relay를 제거하는 것이다. 수신 측 relay를 제거 함으로써, 유닉(Unique)한 수신단 영역을 식별할 수 있다.In the case of a normal mail, if the originating IP is extracted from the upper received field as in the conventional method, a problem of false positives may occur. It is necessary to solve the problem that it is difficult to extract the accurate originating IP due to the receiving server relay. The solution is to compare the domains and remove the relay on the receiving side. By removing the receiver side relay, a unique receiving end area can be identified.

도4에 도시된 바와 같이, 본 실시예에 따른 탐지부(30)는, 이메일 수신부(10)가 메일을 수신하면, 먼저, 도메인을 비교하여 수신 측 relay를 제거하는 것으로서 유닉(Unique)한 수신단 영역을 식별한다. (S210)As shown in FIG. 4, when the email receiving unit 10 receives the mail, the detecting unit 30 according to the present embodiment first compares the domains and removes the relay on the receiving side, Identify regions. (S210)

탐지부(30)는 메일의 상위 received필드의 by에 해당하는 도메인끼리 비교한다. 그리고, 상기 상위 received필드의 by에 해당하는 도메인과 하위 received필드의 by에 해당하는 도메인이 불일치하면, 발신 IP 추출부(20)를 통해 상위 received필드의 from에서 수신서버로 들어온 발신IP를 추출할 수 있다.The detection unit 30 compares domains corresponding to by of the upper received field of the mail. If the domain corresponding to by the upper received field and the domain corresponding to by of the lower received field are inconsistent, the source IP extracting unit 20 extracts the source IP that has arrived at the receiving server from from the upper received field .

도5a는 정상메일의 헤더를 예시한 것이다.5A illustrates a header of a normal mail.

도5a의 헤더에 예시된 바와 같이, 상위 received필드의 by에 해당하는 도메인(예: naver.com)과 하위 received필드의 by에 해당하는 도메인(예: kisa.or.kr(211.252.150.22))이 불일치하면, 발신 IP 추출부(20)는 상위 received필드의 from에서 수신서버로 들어온 발신IP(예: 211.252.150.22)를 추출할 수 있다. (E.g., naver.com) corresponding to by of the upper received field and a domain corresponding to by of the lower received field (e.g., kisa.or.kr (211.252.150.22)), as illustrated in the header of Fig. 5A, The source IP extracting unit 20 can extract the source IP (e.g., 211.252.150.22) that has arrived at the receiving server from from the upper received field.

이렇게 추출된 발신IP에 대해, 탐지부(30)는 from-by tracking기법을 이용하여 허위 received 필드의 존재를 확인하고, 확인된 허위 received 필드를 제거한다. (S220)For the extracted source IP, the detection unit 30 confirms the existence of the false received field using the from-by tracking technique, and removes the confirmed false received field. (S220)

공격자가 하단에 입력한 허위 received필드의 추가로 인해 정확한 발신IP 추출이 어려워지게 되므로, 탐지부(30)는 from-by tracking기법을 이용하여 허위 received 필드를 제거한다.Since the attacker adds the false received field inputted at the lower end, it is difficult to extract the accurate originating IP, so the detecting unit 30 removes the false received field using the from-by tracking technique.

from-by tracking기법은 상위 received필드의 from에 해당하는 도메인(or IP)와 하위 received필드의 by에 해당하는 도메인(or IP)를 비교하는 것으로, 허위 received필드의 존재여부를 식별한다.The by-by tracking scheme identifies the presence or absence of a false received field by comparing the domain (or IP) corresponding to from of the upper received field with the domain (or IP) corresponding to the by of the lower received field.

탐지부(30)는 from-by tracking기법에 따라 상위 received필드의 from에 해당하는 도메인(or IP)와 하위 received필드의 by에 해당하는 도메인(or IP)를 비교하여, 이들 도메인(or IP)이 동일하면 정상 메일인 것(Tracking = '0')으로 판정하고(S240), 서로 다르면 허위 received필드가 추가된 메일인 것(Tracking = '1')으로 판정한다. 상기 from-by tracking기법에 따라 비교된 도메인(or IP)들이 서로 다르면 해당 메일은 from-by tracking에 위배된 것이며, 탐지부(30)는 하단의 허위 received 필드를 삭제한다. (S230)The detection unit 30 compares the domain (or IP) corresponding to from of the upper received field with the domain (or IP) corresponding to the by of the lower received field according to the from-by tracking scheme, (Tracking = '0') (S240). If they are different from each other, it is determined that the mail is a mail added with a false received field (Tracking = '1'). If the compared domains (or IPs) are different from each other according to the from-by tracking technique, the corresponding mail is in violation of from-by tracking, and the detection unit 30 deletes the false received field at the bottom. (S230)

탐지부(30)는 이러한 from-by tracking기법을 적용하여 모든 received 필드의 from에 해당하는 도메인과 by에 해당하는 도메인을 비교해 유닉(Unique)한 도메인을 식별하여, 최종 수신 도메인을 제외한 발신 도메인의 개수를 파악한다. (S250)The detection unit 30 identifies a unique domain by comparing the domain corresponding to from and the domain corresponding to by of all received fields by applying the from-by tracking scheme, Know the number. (S250)

이때, 만일, 최종 수신 도메인을 제외한 발신 도메인 수가 2개인 경우, 탐지부(30)는 발신 IP 추출부(20)를 통해 수신 서버 앞단의 발신 IP를 추출(S290) 하여 MTA위배인지 여부를 판단한다. (S300)At this time, if the number of source domains excluding the final reception domain is two, the detection unit 30 extracts the source IP of the destination side of the destination server through the source IP extracting unit 20 (S290), and determines whether the MTA is in violation . (S300)

만일, 수신 서버 앞단의 발신 IP가 MTA위배인 것으로 판정되면, 해당 메일이 Direct-To-MX 방법과 Open Relay 취약점 활용방법에 의한 공격방식으로 유입되었음을 뜻하는 것으로, 탐지부(30)는 해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출하고, 해당 메일을 도6의 유형4(case4) 또는 유형8(case8)로 분류한다. (S310 ~ S320) 도6은 본 발명에 따른 이메일 기반 악성코드의 공격유형과 유형별 발생율에 관한 테이블이다.If it is determined that the source IP address of the receiving server is in violation of the MTA, it means that the mail has been transmitted as an attack method based on the Direct-To-MX method and the Open Relay vulnerability exploiting method. Extracts a source host IP existing in the lowest received field of the received message and classifies the corresponding mail as type 4 (case 4) or type 8 (case 8) in FIG. (S310 to S320) FIG. 6 is a table about the attack type and type-specific incidence of the e-mail based malicious code according to the present invention.

메일 헤더에 허위 received 필드가 존재하지 않는 경우(Tracking = '0') 해당 메일은 유형4로 분류되며, 허위 received 필드가 존재하는 경우(Tracking = '1') 유형8로 분류된다. 도10은 유형4의 유입경로 예시와 특징을 나타낸 도면이고, 도14는 유형8의 유입경로 예시와 특징을 나타낸 도면이다.If there is no false received field in the mail header (Tracking = '0'), the mail is classified as type 4, and if there is a false received field (Tracking = '1'), it is classified as type 8. Fig. 10 is a view showing an example and characteristic of a type 4 inflow path, and Fig. 14 is a view showing a type 8 inflow path example and characteristics.

상기 판단 과정(S300)에서, 상기 수신 서버 앞단의 발신 IP가 MTA위배가 아닌 것으로 판정되면, 탐지부(30)는 해당 메일을 유형1(case1) 또는 유형5 (case5)로 분류한다. (S330) 그리고, 해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출한다. (S340) 도7은 유형1의 유입경로 예시와 특징을 나타낸 도면이고, 도11은 유형5의 유입경로 예시와 특징을 나타낸 도면이다.If it is determined in step S300 that the originating IP address of the receiving server is not an MTA violation, the detecting unit 30 classifies the mail into a type 1 (case 1) or a type 5 (case 5). (S330). Then, the source host IP in the lowest received field of the corresponding mail is extracted. (S340) FIG. 7 is a view showing an example and characteristic of a type 1 inflow path, and FIG. 11 is a view showing a type 5 inflow path example and characteristics.

상기 과정(S330)에서, 허위 received 필드가 존재하지 않는 경우(Tracking = '0') 해당 메일은 유형1로 분류되며, 허위 received 필드가 존재하는 경우(Tracking = '1') 유형5로 분류된다. If the false received field does not exist (Tracking = '0'), the corresponding mail is classified into type 1 in step S330, and if the false received field exists (Tracking = '1' .

도5b는 오픈 릴레이 서버를 경유한 메일 헤더를 예시한 것이다.FIG. 5B illustrates a mail header via the open relay server.

도5b에 도시된 메일 헤더의 경우, 최종 수신 도메인(예: "kisa.or.kr(211. 252.150.22)")을 제외한 발신 도메인의 수는 2개(예: "incheon.ac.kr", "176.61. 136.155")이므로 해당 메일은 from-by tracking에 위배되지 않았고(Tracking = '0'), 유형4로 분류된다.In the case of the mail header shown in FIG. 5B, the number of sending domains except for the final receiving domain (e.g., " kisa.or.kr (211.252.150.22) ") is 2 (e.g.," incheon.ac.kr " , "176.61.136.155"), the corresponding mail is not in violation of from-by tracking (Tracking = '0') and classified as type 4.

상기 과정(S250)에서 만일, 최종 수신 도메인을 제외한 발신 도메인 수가 1개인 경우, 탐지부(30)는 발신 IP 추출부(20)를 통해 수신 서버 앞단의 발신 IP를 추출한다. (S260) 그리고 MTA위배인 것임을 확인한다. (S270)If the number of source domains excluding the final reception domain is one in step S250, the detection unit 30 extracts the source IP in the front end of the reception server through the source IP extracting unit 20. [ (S260) and confirms that it is an MTA violation. (S270)

상기 최종 수신 도메인을 제외한 발신 도메인 수가 1개인 것은, 해당 메일이 Direct-To-MX 방법에 의한 공격방식으로 유입되었음을 뜻하는 것으로, 탐지부(30)는 해당 메일을 유형2 또는 유형6으로 분류한다. (S280) 이때, 메일 헤더에 허위 received 필드가 존재하지 않는 경우(Tracking = '0') 해당 메일은 유형2로 분류되며, 허위 received 필드가 존재하는 경우(Tracking = '1') 유형6으로 분류된다. 도8은 유형2의 유입경로 예시와 특징을 나타낸 도면이고, 도12는 유형6의 유입경로 예시와 특징을 나타낸 도면이다.If the number of sending domains except for the final receiving domain is one, it means that the mail is imported as an attack method by the Direct-To-MX method, and the detecting unit 30 classifies the mail as type 2 or type 6 . (Tracking = '0'), the corresponding mail is classified as type 2, and when there is a false received field (Tracking = '1'), the mail is classified as type 6 do. Fig. 8 is a view showing an example and characteristic of the inflow path of type 2, and Fig. 12 is a diagram showing the inflow path example and characteristics of type 6.

상기 과정(S250)에서 만일, 최종 수신 도메인을 제외한 발신 도메인 수가 3개 혹은 그 이상인 경우, 탐지부(30)는 발신 IP 추출부(20)를 통해 끝에서 2번째 발신 IP를 추출한다. (S350) 그리고 MTA위배가 아닌 것임을 확인한다. (S360) 상기 끝에서 2번째 발신IP는 received필드 상의 하위에서 2번째 IP를 뜻하는 것으로, 도9의 open relay 취약점을 가진 서버로 보내지기 전 발신서버의 IP(본래의 발신서버IP)를 추출하게 된다.If the number of sending domains except for the final receiving domain is three or more in step S250, the detecting unit 30 extracts the second calling IP from the end through the calling IP extracting unit 20. [ (S350) and confirms that it is not an MTA violation. (S360). The second originating IP from the end means the second IP in the lower part of the received field, and extracts the IP (original originating server IP) of the originating server before being sent to the server having the open relay vulnerability shown in FIG. .

상기 최종 수신 도메인을 제외한 발신 도메인 수가 3개 혹은 그 이상인 것은, 해당 메일이 Open Relay 취약점 활용방법으로 유입되었음을 뜻하는 것으로, 탐지부(30)는 해당 메일을 유형3 또는 유형7로 분류한다. (S370) 그리고, 해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출한다. (S380)If the number of sending domains except for the final receiving domain is three or more, it means that the corresponding mail has flowed into the method of utilizing the open relay vulnerability, and the detecting unit 30 classifies the corresponding mail as type 3 or type 7. (S370). Then, the source host IP in the lowest received field of the corresponding mail is extracted. (S380)

상기 과정(S370)에서, 메일 헤더에 허위 received 필드가 존재하지 않는 경우(Tracking = '0') 해당 메일은 유형3으로 분류되며, 허위 received 필드가 존재하는 경우(Tracking = '1') 유형7으로 분류된다. 도9는 유형3의 유입경로 예시와 특징을 나타낸 도면이고, 도13은 유형7의 유입경로 예시와 특징을 나타낸 도면이다.If a false received field does not exist in the mail header (Tracking = '0'), the corresponding mail is classified into type 3 in step S370. If there is a false received field (Tracking = '1' . Fig. 9 is a view showing an example and characteristic of a type 3 inflow path, and Fig. 13 is a view showing a type 7 inflow path example and characteristics.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 따라서, 이상에서 기술한 실시예는 예시적인 것이며 한정적이 아니 것으로 이해해야만 한다.It will be understood by those skilled in the art that the foregoing description of the present invention is for illustrative purposes only and that those of ordinary skill in the art can readily understand that various changes and modifications may be made without departing from the spirit or essential characteristics of the present invention. will be. It is therefore to be understood that the above-described embodiments are illustrative and not restrictive.

본 발명의 범위는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is defined by the appended claims, and all changes or modifications derived from the meaning and scope of the claims and their equivalents should be construed as being included within the scope of the present invention.

이상, 기술된 바와 같이, 본 발명은 상용 이메일 파일에서 발신/수신자 이메일 주소, 발신자 IP 및 메일 수신 시간을 직접 추출하여 분석하고, 허위 received 필드의 존재유무, 파악된 도메인의 개수, 그리고 상기 MTA위배 여부에 따라 어떤 공격기법에 따라 메일이 유입되었는지 그 유형을 분류함으로써, 악성코드 감염단말 탐지 성능을 향상시킬 수 있다.As described above, the present invention extracts and analyzes the origination / destination e-mail address, the sender IP, and the mail reception time directly from the commercial e-mail file, and analyzes the existence of the false received field, the number of identified domains, It is possible to improve the detection performance of the malicious code infected terminal by classifying the type of the incoming mail according to the attack technique.

본 발명은 상용환경의 이메일을 대상으로 좀비단말을 탐지하고, 좀비단말을 이용한 추가 사이버 공격을 예방하기 위해 종래의 발신 IP 추출 알고리즘을 보완하고, 이에 대한 좀비단말 탐지결과를 분석한다. 이를 통해, 본 발명은 주요 포탈 및 기업의 메일서버에서 수신하는 이메일을 기반으로 좀비IP 탐지하여 스팸메일 유입을 차단할 수 있다.
In order to detect a zombie terminal in a commercial e-mail, and to prevent an additional cyber attack using a zombie terminal, the present invention supplements a conventional outbound IP extraction algorithm and analyzes zombie terminal detection results thereof. Accordingly, the present invention can detect the zombie IP based on the e-mail received from the mail server of the main portal and the enterprise to block the inflow of the spam mail.

10: 이메일 수신부
20: 발신 IP 추출부
30: 탐지부10: Email Receiver
20: Originating IP extracting unit
30:

Claims (16)

삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 수신된 이메일로부터 수신정보를 검출하는 단계와,
상기 이메일의 상위 received필드의 by에 해당하는 도메인 끼리 비교하여 수신 측 relay를 제거하는 것으로서 유닉(Unique)한 수신단 영역을 식별하는 단계와,
from-by tracking 기법을 이용하여 허위 received 필드의 존재유무를 확인하는 단계와,
모든 received 필드의 from에 해당하는 도메인과 by에 해당하는 도메인을 확인하여, 최종 수신 도메인을 제외한 발신 도메인의 개수를 파악하는 단계와,
상기 파악된 도메인의 개수에 따른 발신 IP(internet protocol)를 검출하는 단계와,
상기 검출된 발신 IP가 메일 전송 에이전트(MTA)위배인지 여부를 판정하는 단계와,
상기 허위 received 필드의 존재유무, 파악된 도메인의 개수, 그리고 상기 MTA위배 여부에 따라 어떤 공격기법에 따라 메일이 유입되었는지 그 유형을 분류하는 단계를 포함하여 이루어지는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
Detecting received information from the received e-mail;
Identifying a unique receiving end area by removing the receiving end relay by comparing domains corresponding to by of the upper received field of the email,
confirming the presence or absence of a false received field using the from-by tracking technique,
Identifying the domain corresponding to from and the domain corresponding to of all received fields and identifying the number of originating domains excluding the final receiving domain;
Detecting an internet protocol (IP) according to the number of the identified domains;
Determining whether the detected originating IP is a mail transfer agent (MTA) violation;
And classifying the type of the incoming mail according to an attack technique according to the presence or absence of the false received field, the number of identified domains, and the violation of the MTA. Terminal detection method.
제9항에 있어서, 상기 허위 received 필드의 존재유무를 확인하는 단계는
상위 received필드의 from에 해당하는 도메인과 하위 received필드의 by에 해당하는 도메인을 비교하여, 상기 비교되는 두 도메인이 서로 다르면 허위 received필드가 추가된 메일인 것(Tracking = '1')으로 판정하는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9, wherein the step of verifying the presence or absence of the false received field
The domain corresponding to from of the upper received field is compared with the domain corresponding to by of the lower received field, and if the compared two domains are different from each other, it is determined that the mail is a mail added with a false received field (Tracking = '1') Wherein the malicious code is a malicious code.
제9항에 있어서,
상기 파악된 도메인의 개수가 2개인 경우, 수신 서버 앞단의 발신IP를 검출하는 단계와,
상기 검출된 발신 IP가 MTA위배이고 상기 허위 received 필드가 존재하는 경우, 해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출하고, 해당 메일을 Direct-To-MX 방법과 Open Relay 취약점 활용방법, 그리고 허위 received 필드의 추가방법에 의한 공격방식으로 유입된 것으로 분류하는 단계와,
만일, 상기 검출된 발신 IP가 MTA위배이고 상기 허위 received 필드가 존재하지 않는 경우, 해당 메일을 Direct-To-MX 방법과 Open Relay 취약점 활용방법에 의한 공격방식으로 유입된 것으로 분류하는 단계를 포함하여 이루어지는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9,
Detecting the originating IP address of the receiving server if the number of the identified domains is two;
Extracting a source host IP existing in a lowest received field of a corresponding mail if the detected source IP is an MTA violation and the false received field exists, and extracting the target mail by a Direct-To-MX method, an open relay vulnerability utilization method, And classifying it as an inflow by an attack method by a method of adding a false received field,
If the detected source IP is an MTA violation and the false received field is not present, the step of classifying the detected mail as an attack based on an attack method using a Direct-To-MX method and an Open Relay vulnerability utilizing method Based malicious code infected terminal detection method.
제11항에 있어서,
상기 검출된 발신 IP가 MTA위배가 아니고 상기 허위 received 필드가 존재하지 않는 경우, 해당 메일을 정상 메일로 분류하는 단계와,
만일, 상기 검출된 발신 IP가 MTA위배가 아니고 상기 허위 received 필드가 존재하는 경우, 해당 메일을 허위 received 필드의 추가방법에 의한 공격방식으로 유입된 것으로 분류하는 단계와,
해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출하는 단계를 포함하여 이루어지는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
12. The method of claim 11,
Classifying the detected mail as a normal mail if the detected outgoing IP is not an MTA violation and the false received field is not present;
If the detected source IP is not an MTA violation and the false received field exists, classifying the received mail as an attack by an attack method by a method of adding a false received field,
And extracting an originating host IP existing in a lowest received field of the corresponding e-mail.
제9항에 있어서,
상기 파악된 도메인의 개수가 1개인 경우, 수신 서버 앞단의 발신IP를 검출하는 단계와,
상기 검출된 발신 IP가 MTA위배인 것을 확인하는 단계와,
상기 허위 received 필드가 존재하지 않는 경우, 해당 메일을 Direct-To-MX 방법에 의한 공격방식으로 유입된 것으로 분류하는 단계와,
만일, 상기 허위 received 필드가 존재하는 경우, 해당 메일을 Direct-To-MX 방법과 허위 received 필드의 추가방법에 의한 공격방식으로 유입된 것으로 분류하는 단계를 포함하여 이루어지는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9,
Detecting the originating IP address of the receiving server when the number of the identified domains is one,
Confirming that the detected originating IP is an MTA violation;
If the false received field does not exist, categorizing the mail as an entry into the attack method by the Direct-To-MX method,
If the false received field exists, the step of classifying the received mail as an attack by an attack method by a Direct-To-MX method and a method of adding a false received field comprises: Code infected terminal detection method.
제9항에 있어서,
상기 파악된 도메인의 개수가 3개 혹은 그 이상인 경우, 끝에서 2번째 발신 IP를 검출하는 단계와,
상기 검출된 발신 IP가 MTA위배가 아닌 것임을 확인하는 단계와,
상기 허위 received 필드가 존재하지 않는 경우, 해당 메일을 Open Relay 취약점 활용방법에 의한 공격방식으로 유입된 것으로 분류하는 단계와,
만일, 상기 허위 received 필드가 존재하는 경우, 해당 메일을 Open Relay 취약점 활용방법과 허위 received 필드의 추가방법에 의한 공격방식으로 유입된 것으로 분류하는 단계와,
해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출하는 단계를 포함하여 이루어지는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9,
Detecting a second outgoing IP from the end if the number of identified domains is three or more,
Confirming that the detected originating IP is not an MTA violation;
If the false received field does not exist, categorizing the mail as an attack based on an attack method using an Open Relay vulnerability method;
If the false received field is present, classifying the mail as an inflow into an attack method based on an open relay vulnerability utilization method and a false reception field addition method;
And extracting an originating host IP existing in a lowest received field of the corresponding e-mail.
제9항에 있어서, 상기 발신 도메인의 개수를 파악하는 단계는,
모든 received 필드의 from에 해당하는 도메인과 by에 해당하는 도메인을 비교해 유닉(Unique)한 도메인을 식별하여, 최종 수신 도메인을 제외한 발신 도메인의 개수를 파악하는 것임을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9, wherein determining the number of source domains comprises:
The method comprising: comparing a domain corresponding to from of all received fields with a domain corresponding to by identifying a unique domain and identifying the number of originating domains excluding the final receiving domain; Detection method.
제9항에 있어서, 상기 MTA위배인지 여부를 판정하는 단계는,
상기 검출된 발신IP 주소의 PTR(Pointer DNS Record) 조회결과와 발신자 도메인 주소를 비교하여, 일치하지 않는 경우 MTA위배로 판정하는 것임을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9, wherein determining whether the MTA violation is performed comprises:
Comparing the PTR (Pointer DNS Record) inquiry result of the detected source IP address with the sender domain address, and if not, determining that the MTA violation is detected.
KR1020140021899A 2014-02-25 2014-02-25 Method for detecting malware infected terminal based on commercial e-mail KR101535503B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140021899A KR101535503B1 (en) 2014-02-25 2014-02-25 Method for detecting malware infected terminal based on commercial e-mail

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140021899A KR101535503B1 (en) 2014-02-25 2014-02-25 Method for detecting malware infected terminal based on commercial e-mail

Publications (1)

Publication Number Publication Date
KR101535503B1 true KR101535503B1 (en) 2015-07-09

Family

ID=53792436

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140021899A KR101535503B1 (en) 2014-02-25 2014-02-25 Method for detecting malware infected terminal based on commercial e-mail

Country Status (1)

Country Link
KR (1) KR101535503B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230094303A (en) * 2021-12-21 2023-06-28 주식회사 윈스 Automatic DDoS detection method and apparatus through DNS traffic analysis
CN116663001A (en) * 2023-06-02 2023-08-29 北京永信至诚科技股份有限公司 Security analysis method and device for mail, electronic equipment and medium
CN117150486A (en) * 2023-07-27 2023-12-01 安徽启慧信息科技有限公司 Information safety protection system based on internet

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100098241A (en) * 2009-02-27 2010-09-06 (주)다우기술 System and method for spamming botnet by analyzing botnet's behavior pattern

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100098241A (en) * 2009-02-27 2010-09-06 (주)다우기술 System and method for spamming botnet by analyzing botnet's behavior pattern

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230094303A (en) * 2021-12-21 2023-06-28 주식회사 윈스 Automatic DDoS detection method and apparatus through DNS traffic analysis
KR102638308B1 (en) * 2021-12-21 2024-02-20 주식회사 윈스 Automatic DDoS detection method and apparatus through DNS traffic analysis
CN116663001A (en) * 2023-06-02 2023-08-29 北京永信至诚科技股份有限公司 Security analysis method and device for mail, electronic equipment and medium
CN117150486A (en) * 2023-07-27 2023-12-01 安徽启慧信息科技有限公司 Information safety protection system based on internet
CN117150486B (en) * 2023-07-27 2024-04-26 河南中信科大数据科技有限公司 Information safety protection system based on internet

Similar Documents

Publication Publication Date Title
US11552981B2 (en) Message authenticity and risk assessment
US11936604B2 (en) Multi-level security analysis and intermediate delivery of an electronic message
US10326779B2 (en) Reputation-based threat protection
US9123027B2 (en) Social engineering protection appliance
EP2036246B1 (en) Systems and methods for identifying potentially malicious messages
US8677479B2 (en) Detection of adversaries through collection and correlation of assessments
Banu et al. A comprehensive study of phishing attacks
US20130031630A1 (en) Method and Apparatus for Identifying Phishing Websites in Network Traffic Using Generated Regular Expressions
EP2115688A1 (en) Correlation and analysis of entity attributes
KR102119718B1 (en) Technique for Detecting Suspicious Electronic Messages
US20110191423A1 (en) Reputation management for network content classification
Maroofi et al. Adoption of email anti-spoofing schemes: a large scale analysis
Maroofi et al. From Defensive Registration to Subdomain Protection: Evaluation of Email Anti-Spoofing Schemes for High-Profile Domains.
KR101535503B1 (en) Method for detecting malware infected terminal based on commercial e-mail
WO2018081016A1 (en) Multi-level security analysis and intermediate delivery of an electronic message
Singh et al. A survey on phishing and anti-phishing techniques
Zhang et al. A behavior-based detection approach to mass-mailing host
Chaudhary Development review on phishing: a computer security threat
Konno et al. Legitimate e-mail forwarding server detection method by X-means clustering utilizing DMARC reports
Ismail et al. Image spam detection: problem and existing solution
VS et al. A Comprehensive Examination of Email Spoofing: Issues and Prospects for Email Security
Rawat et al. An Integrated Review Study on Efficient Methods for Protecting Users from Phishing Attacks
KR20230143401A (en) Malicious email classification system and method
Cranston et al. Anti-phishing as a web-based user service
Enoch et al. Addressing Advanced Persistent Threats using Domainkeys Identified Mail (DKIM) and Sender Policy Framework (SPF)

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180704

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190628

Year of fee payment: 5