KR101535503B1 - Method for detecting malware infected terminal based on commercial e-mail - Google Patents
Method for detecting malware infected terminal based on commercial e-mail Download PDFInfo
- Publication number
- KR101535503B1 KR101535503B1 KR1020140021899A KR20140021899A KR101535503B1 KR 101535503 B1 KR101535503 B1 KR 101535503B1 KR 1020140021899 A KR1020140021899 A KR 1020140021899A KR 20140021899 A KR20140021899 A KR 20140021899A KR 101535503 B1 KR101535503 B1 KR 101535503B1
- Authority
- KR
- South Korea
- Prior art keywords
- received field
- false
- received
- mta
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
본 발명은 상용 이메일 파일에서 발신/수신자 이메일 주소, 발신자 IP 및 메일 수신 시간을 직접 추출하여 분석하므로 악성코드 감염단말을 탐지하는 상용 이메일 기반 악성코드 감염단말 탐지 방법에 관한 것이다.The present invention relates to a commercial e-mail based malicious code infected terminal detection method for detecting a malicious code infected terminal by directly extracting and analyzing a source / destination e-mail address, a sender IP and a mail reception time in a commercial e-mail file.
봇넷(Botnet)은 이미 해킹당한 좀비 PC들로 구성된 거대한 네트워크이다. 봇넷은 일반적으로 C&C (Command & Control) 서버를 통해 수백 대에서 수십만 대에 이르는 좀비 PC들을 원격에서 제어함으로써 공격자가 원하는 행위를 하게끔 한다. 1대의 봇(Bot)이 지하 경제 세계에서 0.03달러가량에 거래되고 있는데, 수만 대의 봇으로 구성된 봇넷은 수백 달러에 팔리고 있다. 지하 경제에서 거래된 봇넷은 DDoS 공격, 개인/금융정보 유출, 불법 스팸메일 발송, 온라인 사기 등 불법적인 방법으로 금전적 이득을 취하는데 악용되고 있다.Botnet is a huge network of zombie PCs already hacked. Botnets typically allow hundreds to hundreds of thousands of zombie PCs to be remotely controlled via a C & C (Command & Control) server, allowing an attacker to do what they want. One bot is trading in the underground economy for around $ 0.03, with hundreds of thousands of bots being sold for hundreds of dollars. Botnets traded in the underground economy are being exploited to take monetary gain by illegal methods such as DDoS attacks, personal and financial information leakage, illegal spamming, and online fraud.
봇넷이 공격자에 의해 범죄에 악용되고 그들에게 부를 축적할 수 있는 수단이 되어줌에 따라 봇넷은 지속적으로 진화하고 있고 봇에 감염되어 좀비 PC로 전락하는 PC의 수 또한 증가하고 있다.Botnets are constantly evolving as botnets become a means of being exploited by criminals to attack and accumulate wealth, and the number of PCs infected with bots and falling into zombie PCs is also increasing.
봇넷은 금품 갈취를 위한 협박성 DDoS 공격, 개인/금융정보 유출, 불법 스팸메일 발송, 온라인 사기 등 다양한 목적으로 사용되고 있다. 대부분의 DDoS 공격에는 악성봇에 감염된 좀비 PC들이 악용되고 있으며, 봇넷을 이용한 범죄행위 중 우리가 가장 쉽게 탐지할 수 있는 공격 또한 DDoS 공격이다. 하지만 DDoS 공격에 이용되는 좀비 PC들은 ISP 사업자들에 의해 쉽게 발각되고 차단될 수 있으며, DDoS 공격을 하는 봇 마스터는 자신의 봇넷을 잃어버릴 수 있는 위험을 감수해야만 한다. 이러한 이유에서 최근 DDoS 공격보다 훨씬 많은 돈을 벌 수 있고, 발견될 위험성도 적은 스팸 발송에 봇넷을 이용하는 경우가 증가하고 있다. 봇의 가장 중요한 사용처 중의 하나가 스팸발송이다. 스팸발송 메일서버는 RBL(Real-time Black List) 등 스팸차단 정책에 의해 차단되고 있어 스팸 발송을 위해서는 많은 수의 새로운 메일서버들을 필요로 하는데, 봇에 감염된 호스트들은 스팸발송을 위한 훌륭한 수단을 제공해 주고 있다.Botnets are used for a variety of purposes such as intimidating DDoS attacks, personal and financial information leakage, illegal spamming, and online fraud for money extortion. In most DDoS attacks, zombie PCs infected by malicious bots are being exploited, and attacks that can be detected most easily by botnets are also DDoS attacks. However, zombie PCs used for DDoS attacks can be easily detected and blocked by ISPs, and a botmaster who attacks DDOS must take the risk of losing his botnet. For this reason, botnets are increasingly being used for spamming, which can make a lot more money than DDoS attacks in recent years, and for which there is little risk to be discovered. One of the most important uses of bots is spamming. Spam Mail Servers are blocked by spam blocking policies such as Real-time Black List (RBL), which requires a large number of new mail servers to send spam. Hosts infected with bots provide a good way to send spam Giving.
종래의 이메일 기반 좀비 IP 및 봇넷그룹탐지 기술은 다음과 같이 진행되었다. 초기에는 각 발신 IP별 좀비 IP로 판단할 수 있는 근거들을 중심으로 연구하여, MTA 위배여부, Received Field 수, RBL 위배건수, 발송메일 수 등을 중심으로 판단했다. 좀비 IP가 봇넷그룹을 형성하는데 착안하여, 이메일 본문에 포함된 URL 중심으로 그룹핑하여 봇넷 그룹 탐지 방안 연구 및 동일 봇넷 그룹 내 좀비 IP들의 분포패턴에 대한 분석 및 검증이 진행되었다.Conventional email-based zombie IP and botnet group detection technologies proceed as follows. Initially, we focused on the grounds that can be judged as zombie IP by each originating IP, and judged based on MTA violation, number of received field, number of RBL violation, number of outgoing mail. As Zombie IP was formed to form a botnet group, grouping of URLs contained in the body of the email was conducted to investigate botnet group detection schemes and analysis and verification of zombie IP distribution patterns in the same botnet group.
종래의 이메일 기반 좀비 PC 탐지 시스템은 스팸트랩에서 전처리된 스팸메일(EML 파일)을 대상으로 좀비 PC를 탐지하였다. 스팸트랩은 시스템이 보유하고 있는 가상계정으로 들어오는 스팸메일들의 헤더정보를 분석하여, 추가적으로 헤더를 생성한다. 이렇게 스팸트랩에서 추출한 EML파일의 특수성은 좀비PC를 탐지하는데 근거가 되는 데이터를 추출하기에 편리하나, 이에 맞춰 설계된 종래의 좀비PC 및 봇넷그룹 탐지 시스템에서는 상용 메일서버에서 추출한 스팸메일을 처리하기에는 한계가 있다. Conventional e-mail-based zombie PC detection systems detected zombie PCs targeted at spam mails (EML files) that were preprocessed in spam traps. Spam traps analyze the header information of spam mails that come into the virtual accounts that the system has, and generate additional headers. The specificity of the EML file extracted from the spam traps is convenient for extracting data based on the detection of the zombie PC. However, in the conventional zombie PC and botnet group detection system designed according to the above, the limit to process the spam mail extracted from the commercial mail server .
본 발명은 상기한 종래기술의 문제점을 해결하기 위하여 안출된 것으로, 상용 이메일 파일에서 발신/수신자 이메일 주소, 발신자 IP 및 메일 수신 시간을 직접 추출하여 분석하므로 악성코드 감염단말을 탐지하는 상용 이메일 기반 악성코드 감염단말 탐지 방법을 제공하는데 그 목적이 있다.Disclosure of Invention Technical Problem [8] Accordingly, the present invention has been made keeping in mind the above problems occurring in the prior art, and it is an object of the present invention to provide an e-mail system capable of detecting malicious- And to provide a method of detecting a code-infected terminal.
상기한 과제를 해결하기 위하여 안출된 것으로, 본 발명의 일 실시예에 따른 상용 이메일 기반 악성코드 감염단말 탐지 방법은 상용 이메일을 수신하여 수신 정보를 추출하는 단계와, 상기 상용 이메일의 수신 정보로부터 발신 IP(Internet Protocol) 주소를 추출하는 단계와, 상기 발신 IP 주소의 도메인 주소와 발신자 도메인 주소의 일치여부를 확인하는 단계와, 상기 발신 IP 주소의 도메인 주소와 상기 상용 이메일의 발신자 도메인 주소가 불일치하면 상기 발신 IP의 단말을 감염 단말로 탐지하는 단계를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a method for detecting a malicious infected terminal based on a commercial e-mail, comprising the steps of: receiving commercial e-mail and extracting reception information; The method comprises the steps of extracting an IP (Internet Protocol) address, confirming whether the domain address of the source IP address matches the sender domain address, and if the domain address of the source IP address and the source domain address of the commercial e- And detecting the terminal of the source IP as an infected terminal.
본 발명의 다른 실시예에 따른 상용 이메일 기반 악성코드 감염단말 탐지 방법은, 수신된 이메일로부터 수신정보를 검출하는 단계와, 도메인을 비교하여 수신 측 relay를 제거하는 것으로서 유닉(Unique)한 수신단 영역을 식별하는 단계와, from-by tracking 기법을 이용하여 허위 received 필드의 존재유무를 확인하는 단계와, 모든 received 필드의 from에 해당하는 도메인과 by에 해당하는 도메인을 확인하여, 최종 수신 도메인을 제외한 발신 도메인의 개수를 파악하는 단계와, 상기 파악된 도메인의 개수에 따른 발신 IP(internet protocol)를 검출하는 단계와, 상기 검출된 발신 IP가 메일 전송 에이전트(MTA)위배인지 여부를 판정하는 단계와, 상기 허위 received 필드의 존재유무, 파악된 도메인의 개수, 그리고 상기 MTA위배 여부에 따라 어떤 공격기법에 따라 메일이 유입되었는지 그 유형을 분류하는 단계를 포함하여 이루어진다.A method for detecting a malicious e-mail infected terminal based on commercial e-mail according to another embodiment of the present invention includes detecting received information from a received e-mail, removing a relay on the receiving side by comparing domains, Checking whether there is a false received field by using the from-by tracking technique, identifying a domain corresponding to from and a domain corresponding to by from all received fields, Determining a number of domains, detecting an internet protocol according to the number of identified domains, determining whether the detected source IP is a violation of a mail transfer agent (MTA) Mail is received according to an attack technique according to the presence or absence of the false received field, the number of identified domains, and the violation of the MTA And sorting that type.
본 발명은 상용 이메일 파일에서 발신/수신자 이메일 주소, 발신자 IP 및 메일 수신 시간을 직접 추출하여 분석하고, 허위 received 필드의 존재유무, 파악된 도메인의 개수, 그리고 상기 MTA위배 여부에 따라 어떤 공격기법에 따라 메일이 유입되었는지 그 유형을 분류함으로써, 악성코드 감염단말 탐지 성능을 향상시킬 수 있다.The present invention extracts and analyzes the sender / receiver e-mail address, the sender IP, and the mail reception time directly from the commercial e-mail file, and analyzes the attack information according to the existence of the false received field, the number of identified domains, Thus, by classifying the type of incoming mail, malicious code infected terminal detection performance can be improved.
본 발명은 상용환경의 이메일을 대상으로 좀비단말을 탐지하고, 좀비단말을 이용한 추가 사이버 공격을 예방하기 위해 종래의 발신 IP 추출 알고리즘을 보완하고, 이에 대한 좀비단말 탐지결과를 분석한다. 이를 통해, 본 발명은 주요 포탈 및 기업의 메일서버에서 수신하는 이메일을 기반으로 좀비IP 탐지하여 스팸메일 유입을 차단할 수 있다.In order to detect a zombie terminal in a commercial e-mail, and to prevent an additional cyber attack using a zombie terminal, the present invention supplements a conventional outbound IP extraction algorithm and analyzes zombie terminal detection results thereof. Accordingly, the present invention can detect the zombie IP based on the e-mail received from the mail server of the main portal and the enterprise to block the inflow of the spam mail.
도1은 본 발명에 따른 악성코드 감염단말 탐지 시스템의 블록 구성도.
도2는 본 발명의 제1실시예에 따른 악성코드 감염단말 탐지방법에 관한 흐름도.
도3은 도 2에 도시된 발신 IP 추출 과정에 관한 흐름도.
도4는 본 발명의 제2실시예에 따른 악성코드 감염단말 탐지방법에 관한 흐름도.
도5a는 정상메일의 헤더를 예시한 도면.
도5b는 오픈 릴레이 서버를 경유한 메일 헤더를 예시한 도면.
도6은 본 발명에 따른 이메일 기반 악성코드의 공격유형과 유형별 발생율에 관한 테이블.
도7은 유형1의 유입경로 예시와 특징을 나타낸 도면.
도8은 유형2의 유입경로 예시와 특징을 나타낸 도면.
도9는 유형3의 유입경로 예시와 특징을 나타낸 도면.
도10은 유형4의 유입경로 예시와 특징을 나타낸 도면.
도11은 유형5의 유입경로 예시와 특징을 나타낸 도면.
도12는 유형6의 유입경로 예시와 특징을 나타낸 도면.
도13은 유형7의 유입경로 예시와 특징을 나타낸 도면.
도14는 유형8의 유입경로 예시와 특징을 나타낸 도면.1 is a block diagram of a malicious-code-infected terminal detection system according to the present invention;
FIG. 2 is a flowchart illustrating a malicious-code-infected terminal detection method according to a first embodiment of the present invention; FIG.
FIG. 3 is a flowchart of a source IP extraction process shown in FIG. 2; FIG.
4 is a flowchart illustrating a malicious-code-infected terminal detection method according to a second embodiment of the present invention.
FIG. 5A illustrates a header of a normal mail; FIG.
FIG. 5B is a diagram illustrating a mail header via an open relay server; FIG.
FIG. 6 is a table on the attack type and type-specific incidence of e-mail based malware according to the present invention.
7 shows an example and characteristic of a
8 shows an example and characteristic of a
9 shows an example and characteristic of a
10 shows an example and characteristic of a
11 shows an example and characteristic of a
12 shows an example and characteristic of a
13 shows an example and characteristic of a
14 shows an example and characteristic of a
이하, 첨부된 도면들을 참조하여 본 발명의 실시예를 상세하게 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도1은 본 발명에 따른 악성코드 감염단말 탐지 시스템의 블록 구성도이다.1 is a block diagram of a malicious code infected terminal detection system according to the present invention.
도1에 도시된 바와 같이, 본 발명에 따른 악성코드 감염단말 탐지 시스템(1)은 이메일 수신부(10), 발신 IP(Internet Protocol) 추출부(20), 탐지부(30), 데이터베이스(40)를 포함할 수 있다.1, a malicious code-infected
이메일 수신부(10)는 상용 이메일 서버로부터 이메일을 수신하고, 그 이메일의 헤더를 파싱하여 수신 정보를 추출한다. 여기서, 이메일은 RFC-822 표준 메일 파일 포맷(format)인 EML(Electronic Mail Log) 파일일 수 있고, 수신 정보는 이메일의 헤더 정보에 포함된 수신(Received) 필드를 의미한다. The e-mail receiving
발신 IP 추출부(20)는 이메일 수신부(10)로부터 전송되는 수신 정보를 이용하여 발신 IP를 추출하는 역할을 한다. 이러한 발신 IP 추출부(20)는 수신 정보가 설정된 조건을 만족하는지를 확인한다. 예를 들어, 발신 IP 추출부(20)는 수신 정보에 발신자 및 수신자 정보 및 초기 주소 사양 정보가 존재하는지를 확인한다. 여기서, 발신자 정보 및 수신자 정보는 수신 필드의 from 및 to 항목에서 각각 추출한 발신자 도메인 주소 및 수신자 도메인 주소이다. 그리고, 초기 주소 사양 정보는 수신 필드의 for 항목에서 추출된 초기 폼(form)이다.The originating
발신 IP 추출부(20)는 수신 정보가 설정된 조건을 만족하면 수신 정보에 포함된 발신자 정보를 확인하여 발신자 정보가 IP 주소이면 발신자 정보를 발신 IP 주소로 추출한다.The source
한편, 발신 IP 추출부(20)는 수신 정보가 설정된 조건을 만족하지 않으면, 발신자 정보를 가지고 있는 최상위 수신 정보를 검색한다. 그리고, 발신 IP 추출부(20)는 검색한 수신 정보의 발신자 정보를 확인한다. 발신 IP 추출부(20)는 발신자 정보가 IP 주소이면 발신자 정보를 발신 IP 주소로 추출한다.On the other hand, if the received information does not satisfy the set condition, the source
발신 IP 추출부(20)는 발신자 정보가 IP 주소가 아니면 발신자 정보에 대응되는 IP 주소를 조회하여 발신 IP 주소로 추출한다.If the calling party information is not an IP address, the calling
탐지부(30)는 발신 IP 추출부(20)에 의해 추출된 발신 IP 주소의 도메인 주소와 발신자 도메인 주소를 비교한다. 여기서, 탐지부(30)는 추출된 발신 IP 주소의 PTR(Pointer DNS Record) 조회를 통해 추출된 발신 IP 주소에 대응되는 도메인 주소로 해석한다.The detecting
탐지부(30)는 추출된 발신 IP 주소의 PTR 조회 결과와 발신자 도메인 주소와 일치하지 않으면 메일 전송 에이전트(Mail Transfer Agents: MTA) 위배로 판정하여 추출된 발신 IP 주소의 단말을 악성코드 감염단말로 탐지한다.If the PTR inquiry result of the extracted originating IP address does not match the sender domain address, the
한편, 탐지부(30)는 추출된 발신 IP 주소의 PTR 조회 결과가 존재하지 않는 경우에도 추출된 발신 IP 주소의 단말을 악성코드 감염단말로 탐지한다.On the other hand, the
데이터베이스(40)에는 IP 주소와 도메인 주소의 맵핑 정보가 포함된 룩업테이블 및 감염단말의 IP 주소가 포함된 블랙리스트 등이 저장될 수 있다.
The
도2는 본 발명의 제1실시예에 따른 악성코드 감영단말 탐지 방법에 관한 흐름도이고, 도3은 도 2에 도시된 발신 IP 추출 과정에 관한 흐름도이다.FIG. 2 is a flowchart of a malicious code scanning terminal detection method according to the first embodiment of the present invention, and FIG. 3 is a flowchart of a source IP extraction process shown in FIG.
본 실시예에 따른 이메일 수신부(10)는 먼저, 상용 이메일 서버로부터 상용 이메일을 수신한다(S11). 이메일 수신부(10)는 수신한 상용 이메일의 헤더 정보에 포함된 수신 정보를 추출한다.The
발신 IP 추출부(20)는 이메일 수신부(10)로부터 출력되는 수신 정보를 이용하여 상용 이메일로부터 발신 IP 주소를 추출한다(S12).The source
발신 IP 추출부(20)는 발신 IP를 추출하기 위하여 도 3에 도시된 바와 같이 상용 이메일의 수신 정보를 분석하여 수신 정보가 설정된 조건을 만족하는지를 확인한다(S121, 122). 여기서, 설정된 조건은 수신 정보에 발신자 도메인 주소(from 항목) 및 수신자 도메인 주소(to 항목), 초기 주소 사양 정보(for 항목)가 존재하는지를 의미한다.In order to extract the source IP, the source
발신 IP 추출부(20)는 수신 정보가 설정된 조건을 만족하면 수신 정보에 포함된 발신자 정보(from 항목의 내용)가 IP 주소인지를 확인한다(S123, S126). When the reception information satisfies the set condition, the source
한편, 발신 IP 추출부(20)는 수신 정보가 설정된 조건을 만족하지 않으면 발신자 정보를 가지고 있는 최상위 수신 정보를 검색한다(S124). 그리고, 발신 IP 추출부(20)는 검색한 최상위 수신 정보에 포함된 발신자 정보가 IP 주소인지를 확인한다(S125, S126).On the other hand, if the received information does not satisfy the set condition, the source
상기 단계(S126)에서, 발신 IP 추출부(20)는 수신 정보 또는 최상위 수신 정보의 발신자 정보가 IP 주소이면 해당 발신자 정보를 발신 IP로 추출한다(S127).In step S126, if the sender information of the received information or the highest received information is an IP address, the source
한편, 상기 단계(S126)에서, 발신 IP 추출부(20)는 수신 정보 또는 최상위 수신 정보의 발신자 정보가 IP 주소가 아니면 해당 발신자 정보에 대응되는 IP 주소를 룩업테이블를 통해 조회하여 발신 IP로 추출한다(S128). 예를 들어, 발신 IP 추출부(20)는 수신 정보 또는 최상위 수신 정보의 발신자 정보가 도메인 주소이면 해당 발신자 정보에 맵핑되는 IP 주소를 조회한다.In step S126, if the sender information of the reception information or the highest order reception information is not an IP address, the source
탐지부(30)는 발신 IP 추출부(20)에 의해 추출된 발신 IP의 PTR 조회결과(도메인 주소)와 상용 이메일의 발신자 도메인 주소가 일치하는지를 확인한다(S13). 이때, 탐지부(30)는 추출된 발신 IP에 대한 PTR 조회를 수행한다. 그리고, 탐지부(30)는 PTR 조회결과가 존재하지 않으면 발신 IP 주소의 단말을 감염단말로 탐지한다.The
탐지부(30)는 PTR 조회결과와 발신자 도메인 주소가 불일치하면 발신 IP의 단말을 감염 단말로 탐지(판정)한다(S14).If the PTR inquiry result and the sender domain address do not match, the
한편, 탐지부(30)는 PTR 조회결과와 발신자 도메인 주소가 일치하면 발신 IP의 단말을 정상단말로 판정한다(S15).On the other hand, if the PTR inquiry result matches the sender domain address, the
이상과 같이, 본 발명은 발신자 주소의 도메인과 발신 IP의 PTR 조회 결과를 비교하여 PTR이 조회가 되지 않거나 일치하지 않으면, MTA 위배로 판단하여 좀비 단말로 탐지할 수 있다. 본 발명은 발신 IP를 메일 헤더의 최상단에 존재하는 수신 필드의 from 항목에서 추출할 때, 오탐이 발생하는 것을 개선하기 위해, from 및 by, for 항목을 포함하는 Received 필드의 from 항목으로부터 발신 IP를 추출하여 발신 IP로 지정한다. 따라서, 본 발명은 정상적인 메일을 MTA 위배로 잘못 판단하는 경우를 방지할 수 있다.As described above, the present invention compares the domain of the sender's address with the PTR inquiry result of the originating IP, and if the PTR is not inquired or inconsistent, it can be determined as a violation of the MTA and detected as a zombie terminal. In order to improve the occurrence of false positives when the originating IP is extracted from the "from" field of the reception field existing at the top of the mail header, the originating IP from the "from" entry of the Received field including the "from" Extract it and designate it as originating IP. Therefore, the present invention can prevent a case where a normal mail is erroneously judged as an MTA violation.
[표 1]은 총 87개(정상 이메일 8개, 스팸메일 79개)의 메일샘플을 분석해본 결과 1개의 예외메일을 제외한 나머지 정상메일은 모두 Received 필드의 from/by/for 항목을 포함하고 있었다.(예외 메일의 경우, 웹메일을 통해 발신자가 자신에게 메일을 보낸 경우로 예외처리가 가능하도록 한다.)
[Table 1] shows a total of 87 mail samples (8 normal emails and 79 spam mail). As a result, all the normal mail except one exception mail included from / by / for items of Received field In exceptional cases, exception handling is possible if the sender sends a message to itself via webmail.
Received 필드가 있는 경우from / by / for
If the Received field is present
스팸: 9Normal: 7
Spam: 9
Received 필드가 없는 경우from / by / for
If there is no Received field
Received 필드 자체가 없는 경우[Exceptions]
If the Received field itself is missing
상기 [표 1]과 같이 Received 필드에 from/by/for 항목이 전부 존재하는 경우에는 해당 필드의 from 항목에서 IP를 추출하여 발신IP로 지정할 때 정상적인 메일을 MTA위배라고 잘못 판단하는 경우를 방지할 수 있다.If all the from / by / for items are present in the Received field as in the above Table 1, it is possible to prevent a case in which the IP address is extracted from the from field of the corresponding field, .
최근 발견되고 있는 이메일 스팸 발송기법은 크게, Direct-To-MX 및 발신도메인 위조방법, 허위Received 필드추가 방법, 그리고 Open Relay 취약점 활용방법의 3가지로 요약할 수 있다.Recently, the e-mail spamming technique that can be found is summarized as three methods: Direct-To-MX and outgoing domain forgery method, fake received field addition method, and open relay vulnerability utilization method.
상기 Direct-To-MX 및 발신도메인 위조방법은 중간에 릴레이 해 주는 메일서버를 거치지 않고, 수신메일 서버로 바로 전송하는 방식으로, 자체 메일서버를 이용하거나, SMTP엔진과 DNS 룩업(Lookup)할 수 있는 좀비 호스트를 이용한다. 공격자들이 이 방법을 선호하는 이유는 메일을 발송하는데 쓰이는 ISP(인터넷 서비스 공급자)에서 트래픽을 숨기기 위해 사용할 수 있고, 메일의 출처를 탐지하기 어렵게 하거나, 다른 곳을 발송지로 하여 특정 도메인을 겨냥하기 위해 발신 도메인을 위조할 수 있기 때문이다.The direct-to-MX and outbound domain falsification method is a method of directly transmitting to a receiving mail server without passing through a mail server which relay in the middle, and can use its own mail server or can perform a DNS lookup You use a zombie host. Attackers prefer this method because they can be used to hide traffic from ISPs (Internet Service Providers) used to send mail, to make it harder to detect the origin of mail, or to target specific domains This is because the originating domain can be falsified.
Direct-To-MX 및 발신도메인 위조방법은 현재, 이메일 스팸 발송기법 중 가장 많이 쓰이는 공격기법이지만, 수신측에서 탐지되기가 쉽고, 메일의 출처를 숨길 수 없다는 단점이 있고(Received 필드 상에 발신IP 존재), 발신 도메인이 쉽게 위조된다는 사실을 아는 수신자가 많이 없기 때문에 이 공격방식이 많이 쓰인다.Direct-To-MX and outbound domain falsification methods are currently the most used attack techniques among e-mail spam sending methods, but they are easily detected at the receiving end and can not hide the origin of the mail. ), There are not many recipients who know that the sending domain is easily forged.
상기 허위Received 필드추가 방법은 이메일 헤더에 허위 Received 필드를 삽입하는 방식이다. 공격자들이 이 방법을 선호하는 이유는 메일의 출처를 숨기고자 하거나, 다른 곳을 발송지로 하여 특정 도메인을 겨냥하기 위함이다.The method of adding a false Received field is a method of inserting a false Received field into an email header. Attackers prefer this method because they want to hide the origin of the mail, or to target a specific domain as a destination.
허위Received 필드추가 방법은 공격기법으로 비교적 많이 사용되고 있기는 하지만, 위조된 헤더는 탐지 및 처리가 쉽고, 현재, 메일 헤더 분석도구(예: SpamCop, 등) 중 위조된 헤더 탐지 가능한 것도 있다.Although the method of adding a false Received field is relatively common as an attack technique, fake headers are easy to detect and process, and some of the mail header analysis tools (eg SpamCop, etc.) can detect forged headers.
상기 Open Relay 취약점 활용방법은 관리자의 잘못으로 릴레이 기능이 활성화되어 있는 서버 즉, 보안이 취약한 메일서버를 중간서버로 악용하는 방식이다. 공격자들이 이 방법을 선호하는 이유는 정상서버를 경유함으로써, 비정상적으로 스팸을 전송하는 행위를 숨길 수 있으며, 스팸 전송 시 발생되는 비용을 줄일 수 있기 때문이다.The method of exploiting the above-mentioned Open Relay vulnerability is a method of exploiting a server in which a relay function is activated due to an administrator's fault, that is, a mail server having a weak security as an intermediate server. Attackers prefer this method because they can hide abnormal transmission of spam by way of a normal server and reduce the cost of sending spam.
Open Relay 취약점 활용방법은 종종 사용되긴 하나, 오픈 릴레이 서버 탐지가 쉽기 때문에 최근 스팸공격에 거의 사용되지 않는다. 다른 공격방법(예: 오픈 프락시, 봇넷 등) 등장, 오픈 릴레이 방지 프로그램 등장, 오픈 릴레이 블랙리스트 관리 등으로 인해, 2001년부터 그 사용이 감소한 이래, 최근 다시 증가하고 있는 추세지만, 예전만큼 활발하게 쓰이지는 않는다.
The use of Open Relay vulnerabilities is often used, but is rarely used in recent spam attacks because it is easy to detect open relay servers. Since 2001, its use has decreased, due to other attack methods (eg, open proxy, botnet, etc.), open relay prevention programs, and open relay blacklist management. Recently, however, It is not used.
도4는 본 발명의 제2실시예에 따른 악성코드 감염단말 탐지방법에 관한 흐름도이다.4 is a flowchart illustrating a malicious-code-infected terminal detection method according to a second embodiment of the present invention.
정상메일의 경우 종래 방식처럼 상위 received필드에서 발신IP 추출하면 오탐의 문제가 발생할 수 있다. 수신서버 릴레이(relay)로 인해 정확한 발신IP 추출이 어려운 문제점을 해결해야 한다. 그 해결방법으로서 도메인을 비교하여 수신 측 relay를 제거하는 것이다. 수신 측 relay를 제거 함으로써, 유닉(Unique)한 수신단 영역을 식별할 수 있다.In the case of a normal mail, if the originating IP is extracted from the upper received field as in the conventional method, a problem of false positives may occur. It is necessary to solve the problem that it is difficult to extract the accurate originating IP due to the receiving server relay. The solution is to compare the domains and remove the relay on the receiving side. By removing the receiver side relay, a unique receiving end area can be identified.
도4에 도시된 바와 같이, 본 실시예에 따른 탐지부(30)는, 이메일 수신부(10)가 메일을 수신하면, 먼저, 도메인을 비교하여 수신 측 relay를 제거하는 것으로서 유닉(Unique)한 수신단 영역을 식별한다. (S210)As shown in FIG. 4, when the
탐지부(30)는 메일의 상위 received필드의 by에 해당하는 도메인끼리 비교한다. 그리고, 상기 상위 received필드의 by에 해당하는 도메인과 하위 received필드의 by에 해당하는 도메인이 불일치하면, 발신 IP 추출부(20)를 통해 상위 received필드의 from에서 수신서버로 들어온 발신IP를 추출할 수 있다.The
도5a는 정상메일의 헤더를 예시한 것이다.5A illustrates a header of a normal mail.
도5a의 헤더에 예시된 바와 같이, 상위 received필드의 by에 해당하는 도메인(예: naver.com)과 하위 received필드의 by에 해당하는 도메인(예: kisa.or.kr(211.252.150.22))이 불일치하면, 발신 IP 추출부(20)는 상위 received필드의 from에서 수신서버로 들어온 발신IP(예: 211.252.150.22)를 추출할 수 있다. (E.g., naver.com) corresponding to by of the upper received field and a domain corresponding to by of the lower received field (e.g., kisa.or.kr (211.252.150.22)), as illustrated in the header of Fig. 5A, The source
이렇게 추출된 발신IP에 대해, 탐지부(30)는 from-by tracking기법을 이용하여 허위 received 필드의 존재를 확인하고, 확인된 허위 received 필드를 제거한다. (S220)For the extracted source IP, the
공격자가 하단에 입력한 허위 received필드의 추가로 인해 정확한 발신IP 추출이 어려워지게 되므로, 탐지부(30)는 from-by tracking기법을 이용하여 허위 received 필드를 제거한다.Since the attacker adds the false received field inputted at the lower end, it is difficult to extract the accurate originating IP, so the detecting
from-by tracking기법은 상위 received필드의 from에 해당하는 도메인(or IP)와 하위 received필드의 by에 해당하는 도메인(or IP)를 비교하는 것으로, 허위 received필드의 존재여부를 식별한다.The by-by tracking scheme identifies the presence or absence of a false received field by comparing the domain (or IP) corresponding to from of the upper received field with the domain (or IP) corresponding to the by of the lower received field.
탐지부(30)는 from-by tracking기법에 따라 상위 received필드의 from에 해당하는 도메인(or IP)와 하위 received필드의 by에 해당하는 도메인(or IP)를 비교하여, 이들 도메인(or IP)이 동일하면 정상 메일인 것(Tracking = '0')으로 판정하고(S240), 서로 다르면 허위 received필드가 추가된 메일인 것(Tracking = '1')으로 판정한다. 상기 from-by tracking기법에 따라 비교된 도메인(or IP)들이 서로 다르면 해당 메일은 from-by tracking에 위배된 것이며, 탐지부(30)는 하단의 허위 received 필드를 삭제한다. (S230)The
탐지부(30)는 이러한 from-by tracking기법을 적용하여 모든 received 필드의 from에 해당하는 도메인과 by에 해당하는 도메인을 비교해 유닉(Unique)한 도메인을 식별하여, 최종 수신 도메인을 제외한 발신 도메인의 개수를 파악한다. (S250)The
이때, 만일, 최종 수신 도메인을 제외한 발신 도메인 수가 2개인 경우, 탐지부(30)는 발신 IP 추출부(20)를 통해 수신 서버 앞단의 발신 IP를 추출(S290) 하여 MTA위배인지 여부를 판단한다. (S300)At this time, if the number of source domains excluding the final reception domain is two, the
만일, 수신 서버 앞단의 발신 IP가 MTA위배인 것으로 판정되면, 해당 메일이 Direct-To-MX 방법과 Open Relay 취약점 활용방법에 의한 공격방식으로 유입되었음을 뜻하는 것으로, 탐지부(30)는 해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출하고, 해당 메일을 도6의 유형4(case4) 또는 유형8(case8)로 분류한다. (S310 ~ S320) 도6은 본 발명에 따른 이메일 기반 악성코드의 공격유형과 유형별 발생율에 관한 테이블이다.If it is determined that the source IP address of the receiving server is in violation of the MTA, it means that the mail has been transmitted as an attack method based on the Direct-To-MX method and the Open Relay vulnerability exploiting method. Extracts a source host IP existing in the lowest received field of the received message and classifies the corresponding mail as type 4 (case 4) or type 8 (case 8) in FIG. (S310 to S320) FIG. 6 is a table about the attack type and type-specific incidence of the e-mail based malicious code according to the present invention.
메일 헤더에 허위 received 필드가 존재하지 않는 경우(Tracking = '0') 해당 메일은 유형4로 분류되며, 허위 received 필드가 존재하는 경우(Tracking = '1') 유형8로 분류된다. 도10은 유형4의 유입경로 예시와 특징을 나타낸 도면이고, 도14는 유형8의 유입경로 예시와 특징을 나타낸 도면이다.If there is no false received field in the mail header (Tracking = '0'), the mail is classified as
상기 판단 과정(S300)에서, 상기 수신 서버 앞단의 발신 IP가 MTA위배가 아닌 것으로 판정되면, 탐지부(30)는 해당 메일을 유형1(case1) 또는 유형5 (case5)로 분류한다. (S330) 그리고, 해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출한다. (S340) 도7은 유형1의 유입경로 예시와 특징을 나타낸 도면이고, 도11은 유형5의 유입경로 예시와 특징을 나타낸 도면이다.If it is determined in step S300 that the originating IP address of the receiving server is not an MTA violation, the detecting
상기 과정(S330)에서, 허위 received 필드가 존재하지 않는 경우(Tracking = '0') 해당 메일은 유형1로 분류되며, 허위 received 필드가 존재하는 경우(Tracking = '1') 유형5로 분류된다. If the false received field does not exist (Tracking = '0'), the corresponding mail is classified into
도5b는 오픈 릴레이 서버를 경유한 메일 헤더를 예시한 것이다.FIG. 5B illustrates a mail header via the open relay server.
도5b에 도시된 메일 헤더의 경우, 최종 수신 도메인(예: "kisa.or.kr(211. 252.150.22)")을 제외한 발신 도메인의 수는 2개(예: "incheon.ac.kr", "176.61. 136.155")이므로 해당 메일은 from-by tracking에 위배되지 않았고(Tracking = '0'), 유형4로 분류된다.In the case of the mail header shown in FIG. 5B, the number of sending domains except for the final receiving domain (e.g., " kisa.or.kr (211.252.150.22) ") is 2 (e.g.," incheon.ac.kr " , "176.61.136.155"), the corresponding mail is not in violation of from-by tracking (Tracking = '0') and classified as
상기 과정(S250)에서 만일, 최종 수신 도메인을 제외한 발신 도메인 수가 1개인 경우, 탐지부(30)는 발신 IP 추출부(20)를 통해 수신 서버 앞단의 발신 IP를 추출한다. (S260) 그리고 MTA위배인 것임을 확인한다. (S270)If the number of source domains excluding the final reception domain is one in step S250, the
상기 최종 수신 도메인을 제외한 발신 도메인 수가 1개인 것은, 해당 메일이 Direct-To-MX 방법에 의한 공격방식으로 유입되었음을 뜻하는 것으로, 탐지부(30)는 해당 메일을 유형2 또는 유형6으로 분류한다. (S280) 이때, 메일 헤더에 허위 received 필드가 존재하지 않는 경우(Tracking = '0') 해당 메일은 유형2로 분류되며, 허위 received 필드가 존재하는 경우(Tracking = '1') 유형6으로 분류된다. 도8은 유형2의 유입경로 예시와 특징을 나타낸 도면이고, 도12는 유형6의 유입경로 예시와 특징을 나타낸 도면이다.If the number of sending domains except for the final receiving domain is one, it means that the mail is imported as an attack method by the Direct-To-MX method, and the detecting
상기 과정(S250)에서 만일, 최종 수신 도메인을 제외한 발신 도메인 수가 3개 혹은 그 이상인 경우, 탐지부(30)는 발신 IP 추출부(20)를 통해 끝에서 2번째 발신 IP를 추출한다. (S350) 그리고 MTA위배가 아닌 것임을 확인한다. (S360) 상기 끝에서 2번째 발신IP는 received필드 상의 하위에서 2번째 IP를 뜻하는 것으로, 도9의 open relay 취약점을 가진 서버로 보내지기 전 발신서버의 IP(본래의 발신서버IP)를 추출하게 된다.If the number of sending domains except for the final receiving domain is three or more in step S250, the detecting
상기 최종 수신 도메인을 제외한 발신 도메인 수가 3개 혹은 그 이상인 것은, 해당 메일이 Open Relay 취약점 활용방법으로 유입되었음을 뜻하는 것으로, 탐지부(30)는 해당 메일을 유형3 또는 유형7로 분류한다. (S370) 그리고, 해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출한다. (S380)If the number of sending domains except for the final receiving domain is three or more, it means that the corresponding mail has flowed into the method of utilizing the open relay vulnerability, and the detecting
상기 과정(S370)에서, 메일 헤더에 허위 received 필드가 존재하지 않는 경우(Tracking = '0') 해당 메일은 유형3으로 분류되며, 허위 received 필드가 존재하는 경우(Tracking = '1') 유형7으로 분류된다. 도9는 유형3의 유입경로 예시와 특징을 나타낸 도면이고, 도13은 유형7의 유입경로 예시와 특징을 나타낸 도면이다.If a false received field does not exist in the mail header (Tracking = '0'), the corresponding mail is classified into
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 따라서, 이상에서 기술한 실시예는 예시적인 것이며 한정적이 아니 것으로 이해해야만 한다.It will be understood by those skilled in the art that the foregoing description of the present invention is for illustrative purposes only and that those of ordinary skill in the art can readily understand that various changes and modifications may be made without departing from the spirit or essential characteristics of the present invention. will be. It is therefore to be understood that the above-described embodiments are illustrative and not restrictive.
본 발명의 범위는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is defined by the appended claims, and all changes or modifications derived from the meaning and scope of the claims and their equivalents should be construed as being included within the scope of the present invention.
이상, 기술된 바와 같이, 본 발명은 상용 이메일 파일에서 발신/수신자 이메일 주소, 발신자 IP 및 메일 수신 시간을 직접 추출하여 분석하고, 허위 received 필드의 존재유무, 파악된 도메인의 개수, 그리고 상기 MTA위배 여부에 따라 어떤 공격기법에 따라 메일이 유입되었는지 그 유형을 분류함으로써, 악성코드 감염단말 탐지 성능을 향상시킬 수 있다.As described above, the present invention extracts and analyzes the origination / destination e-mail address, the sender IP, and the mail reception time directly from the commercial e-mail file, and analyzes the existence of the false received field, the number of identified domains, It is possible to improve the detection performance of the malicious code infected terminal by classifying the type of the incoming mail according to the attack technique.
본 발명은 상용환경의 이메일을 대상으로 좀비단말을 탐지하고, 좀비단말을 이용한 추가 사이버 공격을 예방하기 위해 종래의 발신 IP 추출 알고리즘을 보완하고, 이에 대한 좀비단말 탐지결과를 분석한다. 이를 통해, 본 발명은 주요 포탈 및 기업의 메일서버에서 수신하는 이메일을 기반으로 좀비IP 탐지하여 스팸메일 유입을 차단할 수 있다.
In order to detect a zombie terminal in a commercial e-mail, and to prevent an additional cyber attack using a zombie terminal, the present invention supplements a conventional outbound IP extraction algorithm and analyzes zombie terminal detection results thereof. Accordingly, the present invention can detect the zombie IP based on the e-mail received from the mail server of the main portal and the enterprise to block the inflow of the spam mail.
10: 이메일 수신부
20: 발신 IP 추출부
30: 탐지부10: Email Receiver
20: Originating IP extracting unit
30:
Claims (16)
상기 이메일의 상위 received필드의 by에 해당하는 도메인 끼리 비교하여 수신 측 relay를 제거하는 것으로서 유닉(Unique)한 수신단 영역을 식별하는 단계와,
from-by tracking 기법을 이용하여 허위 received 필드의 존재유무를 확인하는 단계와,
모든 received 필드의 from에 해당하는 도메인과 by에 해당하는 도메인을 확인하여, 최종 수신 도메인을 제외한 발신 도메인의 개수를 파악하는 단계와,
상기 파악된 도메인의 개수에 따른 발신 IP(internet protocol)를 검출하는 단계와,
상기 검출된 발신 IP가 메일 전송 에이전트(MTA)위배인지 여부를 판정하는 단계와,
상기 허위 received 필드의 존재유무, 파악된 도메인의 개수, 그리고 상기 MTA위배 여부에 따라 어떤 공격기법에 따라 메일이 유입되었는지 그 유형을 분류하는 단계를 포함하여 이루어지는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
Detecting received information from the received e-mail;
Identifying a unique receiving end area by removing the receiving end relay by comparing domains corresponding to by of the upper received field of the email,
confirming the presence or absence of a false received field using the from-by tracking technique,
Identifying the domain corresponding to from and the domain corresponding to of all received fields and identifying the number of originating domains excluding the final receiving domain;
Detecting an internet protocol (IP) according to the number of the identified domains;
Determining whether the detected originating IP is a mail transfer agent (MTA) violation;
And classifying the type of the incoming mail according to an attack technique according to the presence or absence of the false received field, the number of identified domains, and the violation of the MTA. Terminal detection method.
상위 received필드의 from에 해당하는 도메인과 하위 received필드의 by에 해당하는 도메인을 비교하여, 상기 비교되는 두 도메인이 서로 다르면 허위 received필드가 추가된 메일인 것(Tracking = '1')으로 판정하는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9, wherein the step of verifying the presence or absence of the false received field
The domain corresponding to from of the upper received field is compared with the domain corresponding to by of the lower received field, and if the compared two domains are different from each other, it is determined that the mail is a mail added with a false received field (Tracking = '1') Wherein the malicious code is a malicious code.
상기 파악된 도메인의 개수가 2개인 경우, 수신 서버 앞단의 발신IP를 검출하는 단계와,
상기 검출된 발신 IP가 MTA위배이고 상기 허위 received 필드가 존재하는 경우, 해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출하고, 해당 메일을 Direct-To-MX 방법과 Open Relay 취약점 활용방법, 그리고 허위 received 필드의 추가방법에 의한 공격방식으로 유입된 것으로 분류하는 단계와,
만일, 상기 검출된 발신 IP가 MTA위배이고 상기 허위 received 필드가 존재하지 않는 경우, 해당 메일을 Direct-To-MX 방법과 Open Relay 취약점 활용방법에 의한 공격방식으로 유입된 것으로 분류하는 단계를 포함하여 이루어지는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9,
Detecting the originating IP address of the receiving server if the number of the identified domains is two;
Extracting a source host IP existing in a lowest received field of a corresponding mail if the detected source IP is an MTA violation and the false received field exists, and extracting the target mail by a Direct-To-MX method, an open relay vulnerability utilization method, And classifying it as an inflow by an attack method by a method of adding a false received field,
If the detected source IP is an MTA violation and the false received field is not present, the step of classifying the detected mail as an attack based on an attack method using a Direct-To-MX method and an Open Relay vulnerability utilizing method Based malicious code infected terminal detection method.
상기 검출된 발신 IP가 MTA위배가 아니고 상기 허위 received 필드가 존재하지 않는 경우, 해당 메일을 정상 메일로 분류하는 단계와,
만일, 상기 검출된 발신 IP가 MTA위배가 아니고 상기 허위 received 필드가 존재하는 경우, 해당 메일을 허위 received 필드의 추가방법에 의한 공격방식으로 유입된 것으로 분류하는 단계와,
해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출하는 단계를 포함하여 이루어지는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
12. The method of claim 11,
Classifying the detected mail as a normal mail if the detected outgoing IP is not an MTA violation and the false received field is not present;
If the detected source IP is not an MTA violation and the false received field exists, classifying the received mail as an attack by an attack method by a method of adding a false received field,
And extracting an originating host IP existing in a lowest received field of the corresponding e-mail.
상기 파악된 도메인의 개수가 1개인 경우, 수신 서버 앞단의 발신IP를 검출하는 단계와,
상기 검출된 발신 IP가 MTA위배인 것을 확인하는 단계와,
상기 허위 received 필드가 존재하지 않는 경우, 해당 메일을 Direct-To-MX 방법에 의한 공격방식으로 유입된 것으로 분류하는 단계와,
만일, 상기 허위 received 필드가 존재하는 경우, 해당 메일을 Direct-To-MX 방법과 허위 received 필드의 추가방법에 의한 공격방식으로 유입된 것으로 분류하는 단계를 포함하여 이루어지는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9,
Detecting the originating IP address of the receiving server when the number of the identified domains is one,
Confirming that the detected originating IP is an MTA violation;
If the false received field does not exist, categorizing the mail as an entry into the attack method by the Direct-To-MX method,
If the false received field exists, the step of classifying the received mail as an attack by an attack method by a Direct-To-MX method and a method of adding a false received field comprises: Code infected terminal detection method.
상기 파악된 도메인의 개수가 3개 혹은 그 이상인 경우, 끝에서 2번째 발신 IP를 검출하는 단계와,
상기 검출된 발신 IP가 MTA위배가 아닌 것임을 확인하는 단계와,
상기 허위 received 필드가 존재하지 않는 경우, 해당 메일을 Open Relay 취약점 활용방법에 의한 공격방식으로 유입된 것으로 분류하는 단계와,
만일, 상기 허위 received 필드가 존재하는 경우, 해당 메일을 Open Relay 취약점 활용방법과 허위 received 필드의 추가방법에 의한 공격방식으로 유입된 것으로 분류하는 단계와,
해당 메일의 최하위 received 필드에 존재하는 발신 호스트 IP를 추출하는 단계를 포함하여 이루어지는 것을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9,
Detecting a second outgoing IP from the end if the number of identified domains is three or more,
Confirming that the detected originating IP is not an MTA violation;
If the false received field does not exist, categorizing the mail as an attack based on an attack method using an Open Relay vulnerability method;
If the false received field is present, classifying the mail as an inflow into an attack method based on an open relay vulnerability utilization method and a false reception field addition method;
And extracting an originating host IP existing in a lowest received field of the corresponding e-mail.
모든 received 필드의 from에 해당하는 도메인과 by에 해당하는 도메인을 비교해 유닉(Unique)한 도메인을 식별하여, 최종 수신 도메인을 제외한 발신 도메인의 개수를 파악하는 것임을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9, wherein determining the number of source domains comprises:
The method comprising: comparing a domain corresponding to from of all received fields with a domain corresponding to by identifying a unique domain and identifying the number of originating domains excluding the final receiving domain; Detection method.
상기 검출된 발신IP 주소의 PTR(Pointer DNS Record) 조회결과와 발신자 도메인 주소를 비교하여, 일치하지 않는 경우 MTA위배로 판정하는 것임을 특징으로 하는 상용 이메일 기반 악성코드 감염단말 탐지 방법.
10. The method of claim 9, wherein determining whether the MTA violation is performed comprises:
Comparing the PTR (Pointer DNS Record) inquiry result of the detected source IP address with the sender domain address, and if not, determining that the MTA violation is detected.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140021899A KR101535503B1 (en) | 2014-02-25 | 2014-02-25 | Method for detecting malware infected terminal based on commercial e-mail |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140021899A KR101535503B1 (en) | 2014-02-25 | 2014-02-25 | Method for detecting malware infected terminal based on commercial e-mail |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101535503B1 true KR101535503B1 (en) | 2015-07-09 |
Family
ID=53792436
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140021899A KR101535503B1 (en) | 2014-02-25 | 2014-02-25 | Method for detecting malware infected terminal based on commercial e-mail |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101535503B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20230094303A (en) * | 2021-12-21 | 2023-06-28 | 주식회사 윈스 | Automatic DDoS detection method and apparatus through DNS traffic analysis |
CN116663001A (en) * | 2023-06-02 | 2023-08-29 | 北京永信至诚科技股份有限公司 | Security analysis method and device for mail, electronic equipment and medium |
CN117150486A (en) * | 2023-07-27 | 2023-12-01 | 安徽启慧信息科技有限公司 | Information safety protection system based on internet |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100098241A (en) * | 2009-02-27 | 2010-09-06 | (주)다우기술 | System and method for spamming botnet by analyzing botnet's behavior pattern |
-
2014
- 2014-02-25 KR KR1020140021899A patent/KR101535503B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100098241A (en) * | 2009-02-27 | 2010-09-06 | (주)다우기술 | System and method for spamming botnet by analyzing botnet's behavior pattern |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20230094303A (en) * | 2021-12-21 | 2023-06-28 | 주식회사 윈스 | Automatic DDoS detection method and apparatus through DNS traffic analysis |
KR102638308B1 (en) * | 2021-12-21 | 2024-02-20 | 주식회사 윈스 | Automatic DDoS detection method and apparatus through DNS traffic analysis |
CN116663001A (en) * | 2023-06-02 | 2023-08-29 | 北京永信至诚科技股份有限公司 | Security analysis method and device for mail, electronic equipment and medium |
CN117150486A (en) * | 2023-07-27 | 2023-12-01 | 安徽启慧信息科技有限公司 | Information safety protection system based on internet |
CN117150486B (en) * | 2023-07-27 | 2024-04-26 | 河南中信科大数据科技有限公司 | Information safety protection system based on internet |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11552981B2 (en) | Message authenticity and risk assessment | |
US11936604B2 (en) | Multi-level security analysis and intermediate delivery of an electronic message | |
US10326779B2 (en) | Reputation-based threat protection | |
US9123027B2 (en) | Social engineering protection appliance | |
EP2036246B1 (en) | Systems and methods for identifying potentially malicious messages | |
US8677479B2 (en) | Detection of adversaries through collection and correlation of assessments | |
Banu et al. | A comprehensive study of phishing attacks | |
US20130031630A1 (en) | Method and Apparatus for Identifying Phishing Websites in Network Traffic Using Generated Regular Expressions | |
EP2115688A1 (en) | Correlation and analysis of entity attributes | |
KR102119718B1 (en) | Technique for Detecting Suspicious Electronic Messages | |
US20110191423A1 (en) | Reputation management for network content classification | |
Maroofi et al. | Adoption of email anti-spoofing schemes: a large scale analysis | |
Maroofi et al. | From Defensive Registration to Subdomain Protection: Evaluation of Email Anti-Spoofing Schemes for High-Profile Domains. | |
KR101535503B1 (en) | Method for detecting malware infected terminal based on commercial e-mail | |
WO2018081016A1 (en) | Multi-level security analysis and intermediate delivery of an electronic message | |
Singh et al. | A survey on phishing and anti-phishing techniques | |
Zhang et al. | A behavior-based detection approach to mass-mailing host | |
Chaudhary | Development review on phishing: a computer security threat | |
Konno et al. | Legitimate e-mail forwarding server detection method by X-means clustering utilizing DMARC reports | |
Ismail et al. | Image spam detection: problem and existing solution | |
VS et al. | A Comprehensive Examination of Email Spoofing: Issues and Prospects for Email Security | |
Rawat et al. | An Integrated Review Study on Efficient Methods for Protecting Users from Phishing Attacks | |
KR20230143401A (en) | Malicious email classification system and method | |
Cranston et al. | Anti-phishing as a web-based user service | |
Enoch et al. | Addressing Advanced Persistent Threats using Domainkeys Identified Mail (DKIM) and Sender Policy Framework (SPF) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20180704 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20190628 Year of fee payment: 5 |