KR101857969B1 - Method and Apparatus for Determining Risk of Fraudulent Mail - Google Patents
Method and Apparatus for Determining Risk of Fraudulent Mail Download PDFInfo
- Publication number
- KR101857969B1 KR101857969B1 KR1020170082082A KR20170082082A KR101857969B1 KR 101857969 B1 KR101857969 B1 KR 101857969B1 KR 1020170082082 A KR1020170082082 A KR 1020170082082A KR 20170082082 A KR20170082082 A KR 20170082082A KR 101857969 B1 KR101857969 B1 KR 101857969B1
- Authority
- KR
- South Korea
- Prior art keywords
- domain
- code
- calling
- risk
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 실시예는 사기성 메일의 위험도를 판단하는 방법 및 그를 위한 장치에 관한 것이다. This embodiment relates to a method for determining the risk of fraudulent mail and an apparatus therefor.
이 부분에 기술된 내용은 단순히 본 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.The contents described in this section merely provide background information on the present embodiment and do not constitute the prior art.
인터넷 인프라가 세계적으로 확대, 발전함에 따라 인터넷을 통한 사기 사건이 증가하고 있으며, 특히 이메일을 통한 보안 및 사기 사건이 급증하고 있다. 이에 따라 이메일의 안전한 수신 및 송신이 중요한 문제로 대두하고 있다.As the Internet infrastructure expands and develops globally, fraud incidents through the Internet are increasing, and security and fraud incidents by e-mail are increasing rapidly. Accordingly, secure reception and transmission of e-mail are becoming important problems.
일반적으로 스팸메일을 관리하는 시스템에서는 스팸 메일에 해당하는 발신자 주소를 스팸 리스트에 등록시켜 스팸 메일을 방지하고 있다. In general, in a system for managing spam mail, a sender address corresponding to spam is registered in a spam list to prevent spam mail.
하지만, 이러한 방법에서는 메일을 수신하는 사용자가 모든 메일에 대해서 수신/삭제의 결정을 처리해야 하는 불편함이 있다. 또한, 해커들이 유사한 도메인 주소를 이용하여 메일을 송신하는 경우에는, 사용자가 안전한 발신자로 오인할 가능성이 높으며, 유사한 도메인 주소를 스팸메일로 등록하지 못할 확률이 높다.However, in this method, there is an inconvenience that the user who receives the mail must process the decision of receiving / deleting all the mail. In addition, when hackers send mail using a similar domain address, there is a high possibility that the user is misidentified as a safe sender, and there is a high possibility that similar domain addresses can not be registered as spam mail.
따라서, 사용자가 기존에 송수신하던 메일 주소와 육안으로 식별하지 못할 정도의 유사 도메인으로 메일을 송신하는 해커들의 사기 수법에 대응하기 위한 보안기술이 필요하다. Therefore, there is a need for a security technology to cope with fraudulent methods of hackers who send mail to a similar domain that the user can not distinguish from an existing mail address and the naked eye.
본 실시예는 문자 코드값을 기반으로 수신 메일의 발신 도메인과 고객 도메인을 비교하여 발신 도메인 및 고객 도메인 간의 유사도를 결정하고, 결정된 유사도에 근거하여 수신 메일의 사기성 메일 위험도를 판단하는 사기성 메일의 위험도를 판단하는 방법 및 그를 위한 장치를 제공하는 데 주된 목적이 있다.The present embodiment compares the sending domain of the received mail with the customer domain based on the character code value to determine the similarity between the sending domain and the customer domain and determines the risk of fraudulent mail based on the determined degree of similarity And a device for the same.
본 실시예의 일 측면에 의하면, 사기성 메일의 위험도를 판단하는 장치에 있어서, 메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출부; 상기 발신 도메인과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교부; 및 상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석부를 포함하는 것을 특징으로 하는 메일 방화벽 장치를 제공한다.According to an aspect of the present invention, there is provided an apparatus for determining a risk of a fraudulent mail, the apparatus comprising: a domain extracting unit for obtaining a received mail delivered from a mail server to a recipient and extracting a sending domain of the received mail; A domain comparison unit comparing the origination domain and at least one pre-stored customer domain in a contact list to determine a degree of similarity between the origination domain and the customer domain; And a risk analysis unit for determining a risk of a fraudulent mail of the received mail based on the degree of similarity.
또한, 본 실시예의 다른 측면에 의하면, 메일 방화벽 장치가 사기성 메일의 위험도를 판단하는 방법에 있어서, 메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출과정; 상기 발신 도메인과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교과정; 및 상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석과정을 포함하는 것을 특징으로 하는 사기성 메일 위험도 분석방법을 제공한다.According to another aspect of the present invention, there is provided a method of determining a risk of a fraudulent mail by a mail firewall device, the method comprising: acquiring a received mail to be delivered from a mail server to a recipient and extracting a sending domain of the received mail; ; Comparing the originating domain with at least one pre-stored customer domain in a contact list to determine a similarity between the originating domain and the customer domain; And a risk analysis step of determining a risk of a fraudulent mail of the received mail based on the degree of similarity.
또한, 본 실시예의 다른 측면에 의하면, 데이터 처리 기기에, 메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출과정; 상기 발신 도메인과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교과정; 및 상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석과정을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체를 제공한다.According to another aspect of the present invention, there is provided a data processing apparatus including: a domain extracting step of obtaining a received mail to be delivered from a mail server to a recipient and extracting a sending domain of the received mail; Comparing the originating domain with at least one pre-stored customer domain in a contact list to determine a similarity between the originating domain and the customer domain; And a risk analysis process of determining a risk of a fraudulent mail of the received mail based on the degree of similarity.
이상에서 설명한 바와 같이 본 실시예에 의하면, 메일 방화벽 장치는 사기성 메일에 대한 위험도를 판단함으로써, 수신자가 사기성 메일로 인해 피해를 입기 전에 사전 대응을 할 수 있는 효과가 있다. As described above, according to the present embodiment, the mail firewall device judges the risk of fraudulent mail, so that the recipient can preliminarily respond before the fraudulent mail is damaged.
또한, 메일 방화벽 장치는 사기성 메일에 대한 위험도를 복수의 레벨(등급)으로 판단함으로써, 사용자가 사기성 메일의 위험 정도를 정확하게 인지할 수 있는 효과가 있다. Further, the mail firewall device judges the risk level of the fraudulent mail at a plurality of levels (grades), so that the user can accurately recognize the degree of danger of the fraudulent mail.
또한, 메일 방화벽 장치는 사용자가 육안으로 식별하기 어려운 유사 도메인을 정확하게 검출할 수 있는 효과가 있다. In addition, the mail firewall device has an effect that the user can accurately detect a similar domain that is difficult to be visually recognized.
도 1은 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위한 메일 방화벽 시스템을 나타낸 구성도이다.
도 2는 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위한 메일 방화벽 장치를 개략적으로 나타낸 블록 구성도이다.
도 3a 및 도 3b는 본 실시예에 따른 사기성 메일의 위험도를 판단하는 방법을 나타내는 순서도이다.
도 4는 사기성 메일의 피해 사례를 설명하기 위한 예시도이다.
도 5는 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위해 도메인을 비교하는 동작을 설명하기 위한 예시도이다.
도 6은 본 실시예에 따른 사기성 메일의 판단 결과를 출력한 예시도이다. FIG. 1 is a block diagram of a mail firewall system for determining the risk of fraudulent mail according to the present embodiment.
2 is a block diagram schematically showing a mail firewall device for judging the risk of fraudulent mail according to the present embodiment.
FIGS. 3A and 3B are flowcharts illustrating a method for determining the risk of fraudulent mail according to the present embodiment.
4 is an exemplary diagram for explaining an example of a case of a fraudulent mail.
5 is an exemplary diagram for explaining an operation of comparing domains to determine the risk of fraudulent mail according to the present embodiment.
FIG. 6 is a diagram showing an example of outputting a judgment result of a fraudulent mail according to the present embodiment.
이하, 본 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, the present embodiment will be described in detail with reference to the accompanying drawings.
도 1은 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위한 메일 방화벽 시스템을 나타낸 구성도이다. FIG. 1 is a block diagram of a mail firewall system for determining the risk of fraudulent mail according to the present embodiment.
본 실시예에 따른 메일 방화벽 시스템은 메일 서버(120) 및 메일 방화벽 장치(130)를 포함한다. The mail firewall system according to the present embodiment includes a
메일 서버(120)는 발신자(110)와 수신자(140) 사이에 이메일을 송수신할 수 있도록 동작하는 장치로써, 발신자(110)와 수신자(140) 간의 통신매개 역할을 수행한다. The
본 실시예에 따른 메일 서버(120)는 수신자(140) 측으로 수신되는 이메일의 사기 위험도를 판단하기 위해 발신자(110)에서 송신된 이메일을 수신자(140)에게 전달하는 동작을 위주로 설명하도록 하지만 반드시 이에 한정되는 것은 아니다. The
한편, 본 실시예에서 발신자(110) 및 수신자(140)는 발신자 단말기 및 수신자 단말기로 구현될 수 있다. 발신자(110)는 수신자(140)의 단말기로 이메일을 송신하는 단말기 일 수 있으며, 수신자(140)는 발신자(110)의 단말기로부터 이메일을 수신하는 단말기일 수 있다. 발신자(110)의 단말기 및 수신자(140)의 단말기는 적어도 하나의 개인용 컴퓨터(PC)가 바람직하나 스마트폰과 같은 이동통신 단말기일 수 있다. 발신자(110)의 단말기 및 수신자(140)의 단말기는 이메일이 송수신 가능하도록 구성된 다양한 형태의 단말기로 구현될 수 있으며, 본 발명의 기술적 범위 내에서 해당 관련분야의 통상지식을 가진 당업자에 의해 선택된 단말기일 수 있다. Meanwhile, in this embodiment, the
발신자(110) 및 수신자(140) 간의 이메일 통신이 가능하도록 하는 메일 서버(120)는 통상적으로 게재된 공지의 기술로서, 해당 관련분야의 통상지식을 가진 당업자가 다양하게 변경 설계할 수 있음은 물론이다.The
메일 방화벽 장치(130)는 수신자(140)에게 사기성 메일이 전달되는 것을 방지하기 위한 장치를 의미한다. The
본 실시예에 따른 메일 방화벽 장치(130)는 메일 서버(120)로부터 수신자(140)에게 전달되는 수신 메일을 획득하여 수신 메일이 사기성 메일일 위험도를 판단한다. The
메일 방화벽 장치(130)는 수신 메일의 발신 도메인과 연락처 리스트에 기 저장된 고객 도메인을 비교하여 발신 도메인과 고객 도메인 간의 유사도를 결정하고, 유사도에 근거하여 수신 메일이 사기성 메일일 위험도를 판단한다. The
도 1에서 메일 방화벽 장치(130)는 메일 서버(120)와 별도의 장치로 구현될 수 있으며, 이러한 경우 메일 방화벽 장치(130)는 일반적으로 사용되고 있는 기존의 메일 서버를 유지하면서 메일 서버와 수신자 사이 단에 연결되는 형태로 구현되어 사기성 메일을 감지할 수 있다. 한편, 메일 방화벽 장치(130)는 메일 서버(120)와 결합된 하나의 장치로 구현될 수도 있다. 예를 들어, 메일 서버(120) 내에 메일 방화벽 처리부(미도시)와 같은 하드웨어 또는 메일 서버(120)에 설치된 소프트웨어와 같은 형태로 구현될 수 있다. 메일 방화벽 장치(130)에서 수신 메일이 사기성 메일일 위험도를 판단하는 동작은 도 2에서 자세히 설명하도록 한다. In FIG. 1, the
도 2는 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위한 메일 방화벽 장치를 개략적으로 나타낸 블록 구성도이다. 2 is a block diagram schematically showing a mail firewall device for judging the risk of fraudulent mail according to the present embodiment.
본 실시예에 따른 메일 방화벽 장치(130)는 도메인 추출부(210), 도메인 비교부(220), 유사문자 DB(222), 본문 검사부(224) 및 위험도 분석부(230)를 포함한다. 도 2에 도시된 메일 방화벽 장치(130)는 일 실시예에 따른 것으로서, 도 2에 도시된 모든 블록이 필수 구성요소는 아니며, 다른 실시예에서 메일 방화벽 장치(130)에 포함된 일부 블록이 추가, 변경 또는 삭제될 수 있다. The
도메인 추출부(210)는 메일 서버(120)로부터 수신자(140) 측으로 전달되는 수신 메일을 획득하고, 수신 메일의 발신 도메인을 추출한다. 발신 도메인은 <사용자 이름@도메인 이름>으로 구성된 발신 메일주소 중 '도메인 이름'에 해당하는 도메인 영역을 의미한다. 예를 들어, <AAA@KIWONTECH.com>의 발신 메일주소를 갖는 수신 메일을 메일 서버(120)로부터 획득한 경우, 도메인 추출부(210)는 <KIWONTECH.com>의 도메인 영역을 발신 도메인으로 추출한다. The
도메인 추출부(210)는 도메인 영역만을 추출하는 것으로 기재하고 있으나 반드시 이에 한정되는 것은 아니며, 사용자 또는 관리자의 설정에 따라 '사용자 이름'에 해당하는 개별 ID 영역을 포함한 발신 메일주소 전체를 추출할 수 있다. The
도메인 비교부(220)는 발신 도메인과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인을 비교하여 발신 도메인 및 고객 도메인 간의 유사도를 결정한다. 여기서, 연락처 리스트는 수신자(140)와 기존에 이메일을 주고 받은 적이 있는 복수의 고객들의 메일주소를 포함하는 리스트를 의미하며, 도메인 비교부(220)는 연락처 리스트에 포함된 고객들의 메일주소의 도메인 영역을 고객 도메인으로 추출하여 발신 도메인과 비교한다. 연락처 리스트는 메일 방화벽 장치(130) 내에 기 저장된 정보 즉, 연락처 저장부(미도시)와 같은 모듈에 저장된 리스트 정보일 수 있으나 반드시 이에 한정되는 것은 아니며, 수신자(140)의 단말기로부터 불러온 리스트 정보일 수 있다. The
이하, 도메인 비교부(220)에서 발신 도메인과 고객 도메인을 비교하는 동작에 대해 설정하도록 한다. Hereinafter, the operation of comparing the calling domain and the customer domain is set in the
도메인 비교부(220)는 문자에 대한 코드값을 이용하여 발신 도메인과 고객 도메인을 비교한다. 여기서, 문자에 대한 코드값은 아스키 코드(ASCII Code)인 것이 바람직하나 반드시 이에 한정되는 것은 아니며, 문자를 식별할 수 있다면 다양한 형태의 식별값을 적용할 수 있다. The
도메인 비교부(220)는 발신 도메인에 포함된 복수의 문자 각각에 대한 코드값을 합산하여 발신 도메인의 코드 합산값을 산출하고, 발신 도메인의 코드 합산값과 고객 도메인의 코드 합산값을 비교하여 발신 도메인과 동일한 고객 도메인의 존재 여부를 판단한다. 다시 말해, 도메인 비교부(220)는 발신 도메인의 코드 합산값과 연락처 리스트에 포함된 고객 도메인 각각에 대한 코드 합산값을 비교하고, 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하는 경우 발신 도메인과 고객 도메인을 동일한 도메인으로 판단한다. 여기서, 도메인 비교부(220)는 고객 도메인 각각의 코드 합산값을 산출하여 발신 도메인의 코드 합산값과 비교하는 것이 바람직하나 반드시 이에 한정되는 것은 아니며, 연락처 리스트에 기 저장된 코드 합산값을 이용하여 발신 도메인의 코드 합산값과 비교할 수도 있다. The
도메인 비교부(220)는 코드 합산값을 비교하여 발신 도메인과 고객 도메인을 동일한 도메인으로 판단된 경우 별도의 유사도를 결정하지 않고, 위험도 분석부(230)에서 사기성 위험도가 가장 낮게 설정되도록 한다. The
한편, 도메인 비교부(220)는 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 연락처 리스트 중 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인을 추출하고, 발신 도메인과 추출된 고객 도메인 간의 유사도를 결정한다. 예를 들어, <KIWONTECH.com>에 대한 발신 도메인의 코드 합산값은 1049 이며, 도메인 비교부(220)는 발신 도메인의 코드 합산값과의 차이가 30(임계값) 이하인 고객 도메인을 추출한다. 여기서, 임계값은 사용자 또는 관리자의 설정에 따라 변경될 수 있다. On the other hand, if there is no customer domain having the same code sum value as the code sum value of the originating domain, the
도메인 비교부(220)는 연락처 리스트 중 상기 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 수신 메일의 본문 내용에 따라 발신 도메인을 신규 메일주소 또는 사기성 메일주소로 등록하기 위해 본문검사 처리되도록 한다. 본문검사는 분문 검사부(224)에서 처리된다.If there is no customer domain having a code sum value whose difference from the code sum value of the sending domain is less than or equal to the threshold value in the contact list, the
한편, 도메인 비교부(220)는 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 고객 도메인이 적어도 하나 이상 존재하는 경우, 추출된 고객 도메인과 발신 도메인을 문자 단위로 비교한다. 구체적으로, 도메인 비교부(220)는 발신 도메인을 구성하는 문자들의 코드와 추출된 고객 도메인을 구성하는 문자들의 코드를 순서대로 비교하여 상이한 문자쌍의 개수를 판단한다. 여기서, 상이한 문자쌍은 발신 도메인과 추출된 고객 도메인을 비교하여 상이한 것으로 확인된 두 개의 문자를 의미한다. 예를 들어, 발신 도메인 <KlWONTECH.com> 와 고객 도메인 <KIWONTECH.com>를 비교하는 경우, 상이한 문자쌍은 (l, I)를 의미한다. 상이한 문자쌍 (l, I)는 소문자 엘(l)과 대문자 아이(I)를 포함한다. 또한, 발신 도메인 <KIWONXXCH.com> 와 고객 도메인 <KIWONTECH.com>를 비교하는 경우, 상이한 문자쌍은 (X, T) 및 (X, E)를 의미한다. 상이한 문자쌍 (X, T)는 대문자 엑스(X)과 대문자 티(T)를 포함하고, 상이한 문자쌍 (X, E)는 대문자 엑스(X)과 대문자 이(E)를 포함한다. On the other hand, if at least one customer domain whose difference from the code sum value of the originating domain is equal to or less than the threshold value exists, the
도메인 비교부(220)는 발신 도메인 및 추출된 고객 도메인 간의 상이한 문자쌍의 개수에 따라 발신 도메인과 추출된 고객 도메인 간의 유사도를 결정한다. 여기서, 유사도는 발신 도메인 및 고객 도메인 간의 유사한 정도를 나타낸 설정값을 의미하며, 최상, 상, 중, 하, 최하 등의 기 설정된 복수의 등급으로 설정될 수 있으나 반드시 이에 한정되는 것은 아니며 1 내지 10 레벨과 같은 기 설정된 수치 레벨로 설정될 수도 있다. The
도메인 비교부(220)는 상이한 문자쌍을 구성하는 두 문자가 유사 문자인지를 판단하고, 유사 문자로 이루어진 문자쌍의 개수에 따라 유사도를 결정한다. 여기서, 유사 문자란, 육안으로 차이를 구별하기 어려운 두 개의 문자를 의미하며, 사용자의 경험으로 설정된 문자 또는 기 정의된 문자일 수 있다. The
도메인 비교부(220)는 유사문자 DB(222)를 참조하여 상이한 문자쌍이 유사 문자인지 여부를 판단할 수 있다. 예를 들어, 도메인 비교부(220)는 상이한 문자쌍이 유사문자 DB(222)에 기 저장되어 있는 경우 상이한 문자쌍을 구성하는 두 문자가 유사 문자인 것으로 판단할 수 있다. The
일 실시예에 따르면, 도메인 비교부(220)는 상이한 문자쌍이 유사 문자인지 여부를 판단하기 위해 유사문자 DB(222)로부터 유사 문자쌍 리스트를 획득하고, 유사 문자쌍 리스트에 상이한 문자쌍이 포함되어 있는지를 확인할 수 있다. According to one embodiment, the
다른 실시예에 따르면, 도메인 비교부(220)는 상이한 문자쌍에 대한 문자정보를 유사문자 DB(222)로 전송하고, 유사문자 DB(222)로부터 매칭되는 문자쌍이 존재하는지 여부에 대한 매칭결과를 응답신호로 수신하여 상이한 문자쌍의 유사 문자 여부를 판단할 수도 있다. According to another embodiment, the
도메인 비교부(220)는 유사 문자로 이루어진 상이한 문자쌍의 개수가 적을수록 유사도를 높은 레벨(등급)로 설정하고, 상이한 문자쌍의 개수가 많을수록 유사도를 낮은 레벨(등급)로 설정한다. 유사도는 상이한 문자쌍의 개수가 적을수록 육안으로 인식하기 어려워 유사도를 높게 설정한다. 예를 들어, 도메인 비교부(220)는 유사 문자로 이루어진 상이한 문자쌍이 한 개인 경우 유사도를 '최상' 등급으로 설정하고, 상이한 문자쌍이 두 개인 경우 유사도를 '상' 등급으로 설정할 수 있다. 도메인 비교부(220)는 상이한 문자쌍의 개수에 따라 결정된 유사도가 높을수록 수신 메일이 사기성 메일일 위험도는 증가한다. The
도메인 비교부(220)는 기 설정된 레벨(등급) 범위 내에서 유사도를 설정하는 것이 바람직하며, 기 설정된 레벨(등급) 범위는 사용자 또는 관리자의 설정에 따라 변경될 수 있다. The
유사문자 DB(222)는 유사 문자를 저장 및 관리하는 데이터베이스를 말한다. 여기서, 유사 문자란, 육안으로 차이를 구별하기 어려운 두 개의 문자를 의미하며, 사용자의 경험으로 설정된 문자 또는 기 정의된 문자일 수 있다. The
유사문자 DB(222)는 (l, I), (l, 1), (m, rn), (O, 0) 등과 같은 유사 문자를 저장할 수 있으며, 이러한 유사 문자들은 사용자가 유사한 것으로 판단하여 입력하거나 외부 장치(미도시)로부터 기 수집된 정보일 수 있다. (l, I)는 소문자 엘(l)과 대문자 아이(I)를 포함하고, (l, 1)는 소문자 엘(l)과 숫자 1을 포함한다. 또한, (m, rn)은 소문자 엠(m)과 소문자 알(r)/엔(n)을 포함하고, (O, 0)은 대문자 오(O)와 숫자 0을 포함한다. The
본문 검사부(224)는 수신 메일의 본문 내용을 검사하는 동작을 수행한다. 본문 검사부(224)는 도메인 비교부(220)에서 발신 도메인의 코드 합산값과 소정의 범위(코드 합산값의 차이가 임계값 이하)에 해당하는 고객 도메인이 존재하지 않는 경우 수신 메일에 대한 본문 검사를 수행한다. The
본문 검사부(224)는 수신 메일의 본문 내용을 검사한 결과 안전한 메일인 것으로 판단되면 수신 메일의 발신 도메인을 신규 메일주소로 등록시킨다. 한편, 본문 검사부(224)는 수신 메일의 본문 내용을 검사한 결과 안전하지 않은 메일인 것으로 판단되면 수신 메일의 발신 도메인을 사기성 메일주소로 등록시킨다. If it is determined that the content of the body of the received mail is a secure mail, the
본문 검사부(224)는 수신 메일의 본문 내용에 기 저장된 위험 문구에 해당하는 단어의 존재 여부를 판단하거나 텍스트 인식을 통해 본문 내용을 판단하여 본문 검사를 수행하는 것이 바람직하나 반드시 이에 한정되는 것은 아니다. The main
위험도 분석부(230)는 도메인 비교부(220)에서 결정된 유사도에 근거하여 수신 메일의 사기성 메일 위험도를 판단한다. 여기서, 사기성 메일의 위험도는 수신 메일이 사기성 메일일 것으로 예측된 추정값을 의미하며, 최상, 상, 중, 하, 최하 등의 기 설정된 복수의 등급으로 설정될 수 있으나 반드시 이에 한정되는 것은 아니며 1 내지 10 레벨과 같은 기 설정된 수치 레벨로 설정될 수도 있다. The
위험도 분석부(230)는 유사도가 낮은 레벨로 설정되면 수신자(140)에게 전달되는 수신 메일이 사기성 메일일 위험도를 낮게 판단한다. 예를 들어, 위험도 분석부(230)는 유사도가 '하' 등급인 경우 수신 메일이 사기성 메일일 위험도를 '하' 등급으로 결정한다. When the degree of similarity is set to a low level, the
한편, 위험도 분석부(230)는 유사도가 높은 레벨로 설정되면 수신자(140)에게 전달되는 수신 메일이 사기성 메일일 위험도를 높게 판단한다. 여기서, 위험도 분석부(230)는 수신 메일에 대한 사기성 메일 위험도가 기 설정된 알림기준 등급 또는 알림기준 수치 이상인 것으로 판단된 경우 메일 서버(120)의 사용자 또는 관리자에게 긴급경고 알림 메시지를 전송하여 수신 메일이 수신자(140)에게 전달되지 않도록 제어한다. 긴급경고 알림 메시지는 수신 메일 정보, 발신 도메인, 발신 도메인과 유사한 고객 도메인, 상이한 문자쌍 정보, 유사도 정보, 위험도 정보 등을 포함할 수 있다. 예를 들어, 위험도 분석부(230)는 유사도가 '상' 등급인 경우 수신 메일이 사기성 메일일 위험도를 '상' 등급으로 결정한다. 여기서, 위험도 분석부(230)는 알림기준 등급이 '중'으로 설정된 경우 해당 수신 메일에 대한 긴급경고 알림 메시지를 메일 서버(120)의 사용자 또는 관리자에게 전송한다. Meanwhile, when the degree of similarity is set to a high level, the
위험도 분석부(230)는 본문검사를 처리하여 신규 메일주소로 등록된 발신 도메인이 존재하는 경우, 해당 발신 도메인을 이용하는 수신 메일의 위험도를 가장 낮게 예를 들어, '최하' 등급으로 설정할 수 있다. The
도 3a 및 도 3b는 본 실시예에 따른 사기성 메일의 위험도를 판단하는 방법을 나타내는 순서도이다. FIGS. 3A and 3B are flowcharts illustrating a method for determining the risk of fraudulent mail according to the present embodiment.
도 3a는 메일 방화벽 장치(130)에서 사기성 메일의 위험도를 판단하는 방법을 개략적으로 나타낸 순서도이다. 3A is a flowchart schematically showing a method of determining the risk of fraudulent mail in the
메일 방화벽 장치(130)는 메일 서버(120)로부터 수신자(140)에게 전달되는 수신 메일을 획득하고(S310), 수신 메일의 발신 도메인을 추출한다(S320). 여기서, 발신 도메인은 <사용자 이름@도메인 이름>으로 구성된 발신 메일주소 중 '도메인 이름'에 해당하는 도메인 영역을 의미한다. 예를 들어, <AAA@KIWONTECH.com>의 발신 메일주소를 갖는 수신 메일을 메일 서버(120)로부터 획득한 경우, 메일 방화벽 장치(130)는 <KIWONTECH.com>의 도메인 영역을 발신 도메인으로 추출한다. The
메일 방화벽 장치(130)는 발신 도메인과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인을 비교하여 발신 도메인 및 고객 도메인 간의 유사도를 결정한다(S330). 여기서, 연락처 리스트는 수신자(140)와 기존에 이메일을 주고 받은 적이 있는 복수의 고객들의 메일주소를 포함하는 리스트를 의미한다. The
메일 방화벽 장치(130)는 연락처 리스트에 포함된 고객들의 메일주소의 도메인 영역을 고객 도메인으로 추출하여 발신 도메인과 비교하고, 비교 결과에 근거하여 발신 도메인 및 고객 도메인 간의 유사도를 결정한다. 여기서, 유사도는 발신 도메인 및 고객 도메인 간의 유사한 정도를 나타낸 설정값을 의미하며, 최상, 상, 중, 하, 최하 등의 기 설정된 복수의 등급으로 설정될 수 있으나 반드시 이에 한정되는 것은 아니며 1 내지 10 레벨과 같은 기 설정된 수치 레벨로 설정될 수도 있다. 유사도를 설정하는 동작은 도 3b에서 상세히 설명하도록 한다.The
메일 방화벽 장치(130)는 유사도에 근거하여 수신 메일의 사기성 메일 위험도를 판단한다(S340). 여기서, 사기성 메일의 위험도는 수신 메일이 사기성 메일일 것으로 예측된 추정값을 의미한다. The
메일 방화벽 장치(130)는 유사도가 낮은 레벨로 설정되면 수신자(140)에게 전달되는 수신 메일이 사기성 메일일 위험도를 낮게 판단하고, 유사도가 높은 레벨로 설정되면 수신자(140)에게 전달되는 수신 메일이 사기성 메일일 위험도를 높게 판단한다. When the degree of similarity is set to a low level, the
메일 방화벽 장치(130)는 수신 메일에 대한 사기성 메일 위험도가 기 설정된 알림기준 등급 또는 알림기준 수치 이상인 것으로 판단된 경우 메일 서버(120)의 사용자 또는 관리자에게 긴급경고 알림 메시지를 전송하여 수신 메일이 수신자(140)에게 전달되지 않도록 제어한다.The
도 3a에서는 단계 S310 내지 단계 S340를 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 3a에 기재된 순서를 변경하여 실행하거나 단계 S310 내지 단계 S340 중 하나 이상의 단계를 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 3a는 시계열적인 순서로 한정되는 것은 아니다.3A, steps S310 to S340 are sequentially executed. However, this is merely an example of the technical idea of the present embodiment, and it is obvious to those skilled in the art that the present invention is not limited to this embodiment 3A and 3B are variously modified and modified by executing one or more of the steps S310 to S340 in parallel, so that Fig. But is not limited thereto.
도 3b는 도 3a의 단계 S330 및 단계 S340의 동작을 구체적으로 세분화한 순서도이다. FIG. 3B is a flowchart illustrating the operations of steps S330 and S340 of FIG. 3A in detail.
메일 방화벽 장치(130)는 발신 도메인의 코드 합산값을 산출한다(S350). 메일 방화벽 장치(130)는 발신 도메인에 포함된 문자 각각에 대한 코드값을 합산하여 발신 도메인의 코드 합산값을 산출한다. 여기서, 문자에 대한 코드값은 아스키 코드(ASCII Code)인 것이 바람직하나 반드시 이에 한정되는 것은 아니다. The
메일 방화벽 장치(130)는 발신 도메인의 코드 합산값과 고객 도메인의 코드 합산값을 비교하여(S352), 발산 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재 여부를 판단한다(S360). The
단계 S360에서 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하는 경우, 메일 방화벽 장치(130)는 발신 도메인과 고객 도메인을 동일한 도메인으로 판단한다(S362). 메일 방화벽 장치(130)는 발신 도메인과 동일한 고객 도메인이 존재하면 해당 수신 메일이 사기성 메일일 위험도를 가장 낮은 레벨(등급)으로 결정한다(S364).If there is a customer domain having the same code sum value as the code sum value of the sending domain in step S360, the
단계 S360에서 발산 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 메일 방화벽 장치(130)는 연락처 리스트 중 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인이 존재 여부를 판단한다(S370).If there is no customer domain having the same code sum value as the code sum value of the diverting domain in step S360, the
단계 S370에서 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 메일 방화벽 장치(130)는 수신 메일의 본문 내용에 따라 발신 도메인을 신규 메일주소 또는 사기성 메일주소로 등록하기 위해 본문검사 처리를 수행한다(S372). 단계 S372에서 메일 방화벽 장치(130)는 본문검사 결과에 따라 수신 메일에 대한 발신 도메인을 신규 메일주소 또는 사기성 메일주소로 등록할 수 있다. If there is no customer domain having a code sum value whose difference from the code sum value of the sending domain is less than or equal to the threshold value at step S370, the
단계 S370에서 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인이 존재하는 경우, 메일 방화벽 장치(130)는 해당 고객 도메인을 추출한다(S380).If there is a customer domain having a code sum value whose difference from the code sum value of the sending domain is equal to or less than the threshold value in step S370, the
메일 방화벽 장치(130)는 발신 도메인을 구성하는 문자들의 코드와 추출된 고객 도메인을 구성하는 문자들의 코드를 순서대로 비교하고(S382), 발신 도메인 및 추출된 고객 도메인 간의 상이한 문자쌍의 개수에 따라 유사도를 결정한다(S384). 여기서, 유사도는 발신 도메인 및 고객 도메인 간의 유사한 정도를 나타낸 설정값을 의미하며, 최상, 상, 중, 하, 최하 등의 기 설정된 복수의 등급으로 설정될 수 있으나 반드시 이에 한정되는 것은 아니며 1 내지 10 레벨과 같은 기 설정된 수치 레벨로 설정될 수도 있다. The
단계 S382의 비교 결과에 근거하여 메일 방화벽 장치(130)는 유사문자 DB(222)를 참조하여 상이한 문자쌍을 구성하는 두 문자가 유사 문자인지를 판단하고, 유사 문자로 이루어진 문자쌍의 개수에 따라 유사도를 결정한다. Based on the comparison result in step S382, the
메일 방화벽 장치(130)는 유사도에 따라 수신 메일의 위험도를 설정한다(S390). 단계 S390에 대한 내용은 도 3a의 단계 S340의 동작과 유사함으로 자세한 설명은 생략하도록 한다. The
도 3b에서는 단계 S350 내지 단계 S390를 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 3b에 기재된 순서를 변경하여 실행하거나 단계 S350 내지 단계 S390 중 하나 이상의 단계를 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 3b는 시계열적인 순서로 한정되는 것은 아니다.3B, it is described that steps S350 to S390 are sequentially executed. However, this is merely an exemplary description of the technical idea of the present embodiment, and it should be understood by those skilled in the art that, It will be understood that various modifications and changes may be made to the invention without departing from the essential characteristics thereof, or alternatively, by executing one or more of the steps S350 through S390 in parallel, But is not limited thereto.
전술한 바와 같이 도 3a 및 도 3b에 기재된 본 실시예에 따른 메일 방화벽 장치(130)의 동작은 프로그램으로 구현되고 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다. 본 실시예에 따른 메일 방화벽 장치(130)의 동작을 구현하기 위한 프로그램이 기록되고 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 이러한 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수도 있다. 또한, 본 실시예를 구현하기 위한 기능적인(Functional) 프로그램, 코드 및 코드 세그먼트들은 본 실시예가 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있을 것이다. As described above, the operation of the
도 4는 사기성 메일의 피해 사례를 설명하기 위한 예시도이다. 4 is an exemplary diagram for explaining an example of a case of a fraudulent mail.
도 4에 도시된 바와 같이, '업체 A' 및 '업체 B'는 지속적으로 메일을 주고 받으면서 거래를 하던 업체이다. '해커(Hacker)'는 '업체 A' 및 '업체 B' 간의 메일 내용을 모니터링하다가 발신 메일 주소를 유사 도메인으로 변조할 수 있다. As shown in FIG. 4, 'vendor A' and 'vendor B' are companies that continuously exchanged e-mails. The 'Hacker' can monitor the mail content between 'Business A' and 'Business B' and then modulate the outgoing e-mail address into a similar domain.
예를 들어, '업체 A' 및 '업체 B' 각각이 <A@60127406.com> 및 <B@60127406.com>이라는 메일 주소로 거래를 하고 있는 경우, '해커'는 <A@6O127406.com>이라는 유사 도메인으로 변조하여 '업체 B'와 메일을 주고 받을 수 있다. '해커'가 사용한 유사 도메인 <A@6O127406.com>는 육안으로는 '업체A'의 메일 주소와 동일해 보이지만, 실제로는 도메인 영역인 '6O127406.com'의 두번째 숫자 '0'을 대문자 오'O'로 변조한 사기성 메일 주소이다. For example, if "Business A" and "Business B" each deal with an email address of <A@60127406.com> and <B@60127406.com>, the "hacker" is <A@6O127406.com > And exchange mail with 'B'. The similar domain <A@6O127406.com> used by "hacker" looks identical to the e-mail address of 'A' in the eye, but actually the second number '0' in the domain domain '6O127406.com' O 'is a fraudulent e-mail address.
본 발명에서는 전술한 피해 상황을 사전에 방지하기 위해 메일 방화벽 장치(130)를 이용하여 수신 메일이 사기성 메일일 위험도를 판단한다. In the present invention, in order to prevent the above-described damage situation, the
도 5는 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위해 도메인을 비교하는 동작을 설명하기 위한 예시도이다. 5 is an exemplary diagram for explaining an operation of comparing domains to determine the risk of fraudulent mail according to the present embodiment.
도 5에 도시된 바와 같이, 메일 방화벽 장치(130)는 유사성 도메인 검사를 통해 발신 도메인 <1@KlWONTECH.com> 와 고객 도메인 <1@KIWONTECH.com> 간의 상이한 문자쌍을 검출할 수 있다. 메일 방화벽 장치(130)는 두 도메인 주소 간의 유사성을 판단하여 사기성 메일의 위험도를 사용자에게 경고 메시지를 전달할 수 있다. As shown in FIG. 5, the
도 5에 도시된 바와 같이, 메일 방화벽 장치(130)는 사람의 시선으로 구분하기 힘들 수록 유사도가 높은 것으로 판단한다. 여기서, 유사도가 높다는 것은 수신 메일이 사기성 메일일 위험도가 높다는 것을 의미한다. 예를 들어, 메일 방화벽 장치(130)는 유사 문자로 이루어진 상이한 문자쌍이 한 개인 경우 유사도를 '상' 등급으로 설정하고, 상이한 문자쌍이 두 개인 경우 유사도를 '중' 등급으로 설정할 수 있다. As shown in FIG. 5, the
메일 방화벽 장치(130)는 상이한 문자쌍의 개수에 따라 결정된 유사도가 높은 레벨(등급)일 수록 수신 메일이 사기성 메일일 위험도가 높은 것으로 판단한다. The
도 6은 본 실시예에 따른 사기성 메일의 판단 결과를 출력한 예시도이다. FIG. 6 is a diagram showing an example of outputting a judgment result of a fraudulent mail according to the present embodiment.
도 6에 도시된 바와 같이, 메일 방화벽 장치(130)는 <@dhl.com>과 유사한 도메인으로 수신 메일이 들어온 경우, 해당 유사 도메인인 <@dlhl.com>을 검출하여 검출 결과를 수신자(140) 또는 관리자에게 출력할 수 있다. 여기서, 검출된 유사 도메인은 유사도 및 사기성 메일 위험도를 판단한 후 출력되며, 출력시 유사도 및 사기성 메일 위험도를 같이 제공할 수 있다. As shown in FIG. 6, when a received mail is received in a domain similar to < @ dhl.com >, the
이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing description is merely illustrative of the technical idea of the present embodiment, and various modifications and changes may be made to those skilled in the art without departing from the essential characteristics of the embodiments. Therefore, the present embodiments are to be construed as illustrative rather than restrictive, and the scope of the technical idea of the present embodiment is not limited by these embodiments. The scope of protection of the present embodiment should be construed according to the following claims, and all technical ideas within the scope of equivalents thereof should be construed as being included in the scope of the present invention.
110: 발신자 120: 메일 서버
130: 메일 방화벽 장치 140: 수신자
210: 도메인 추출부 220: 도메인 비교부
222: 유사문자 DB 224: 본문 검사부
230: 위험도 분석부110: sender 120: mail server
130: Mail firewall device 140: Recipient
210: domain extracting unit 220: domain comparing unit
222: similar character DB 224:
230: Risk Analysis Department
Claims (16)
메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출부;
상기 발신 도메인에 포함된 복수의 문자 각각에 대한 코드값을 합산하여 상기 발신 도메인의 코드 합산값을 산출하고, 상기 발신 도메인의 코드 합산값과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인 각각에 대한 코드 합산값을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교부; 및
상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석부를 포함하며,
상기 도메인 비교부는, 상기 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 상기 연락처 리스트 중 상기 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인을 추출하고, 상기 발신 도메인과 상기 추출된 고객 도메인 간의 상기 유사도를 결정하고,
상기 위험도 분석부는, 상기 수신 메일의 본문 내용에 따라 상기 발신 도메인을 신규 메일주소 또는 사기성 메일주소로 등록하기 위한 본문검사를 처리하여 상기 사기성 메일 위험도를 판단하는 것을 특징으로 하는 메일 방화벽 장치. 1. An apparatus for determining the risk of a fraudulent mail,
A domain extracting unit for obtaining a received mail to be delivered to a receiver from a mail server and extracting a sending domain of the received mail;
Calculating a code sum value of the calling domain by summing code values of each of a plurality of characters included in the calling domain, calculating a code sum value of the calling domain and a code for each of at least one customer domain A domain comparison unit for comparing the sum values to determine similarities between the calling domain and the customer domain; And
And a risk analysis unit for determining a risk of a fraudulent mail of the received mail based on the degree of similarity,
Wherein the domain comparison unit has a code sum value in which a difference from a code sum value of the calling domain in the contact list is equal to or less than a threshold value when a customer domain having the same code sum value as the code sum value of the calling domain does not exist Extracting a customer domain, determining the similarity between the originating domain and the extracted customer domain,
Wherein the risk analysis unit determines a risk level of the fraudulent mail by processing a body inspection for registering the sending domain as a new mail address or a fraudulent mail address according to a content of a body of the received mail.
상기 도메인 비교부는,
상기 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하는 경우, 상기 발신 도메인과 상기 고객 도메인을 동일한 도메인으로 판단하고, 상기 위험도 분석부는 상기 수신 메일의 위험도를 가장 낮게 결정하는 것을 특징으로 하는 메일 방화벽 장치.The method according to claim 1,
Wherein the domain comparison unit comprises:
When the customer domain having the same code sum as the code sum value of the source domain exists, the source domain and the customer domain are determined to be the same domain, and the risk analysis unit determines the lowest risk of the received mail Features a mail firewall device.
메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출부;
상기 발신 도메인에 포함된 복수의 문자 각각에 대한 코드값을 합산하여 상기 발신 도메인의 코드 합산값을 산출하고, 상기 발신 도메인의 코드 합산값과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인 각각에 대한 코드 합산값을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교부; 및
상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석부를 포함하며,
상기 도메인 비교부는, 상기 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 상기 연락처 리스트 중 상기 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인을 추출하고, 상기 발신 도메인을 구성하는 문자들의 코드와 상기 추출된 고객 도메인을 구성하는 문자들의 코드를 순서대로 비교하여 상기 발신 도메인과 상기 추출된 고객 도메인 간의 상기 유사도를 결정하는 것을 특징으로 하는 메일 방화벽 장치.1. An apparatus for determining the risk of a fraudulent mail,
A domain extracting unit for obtaining a received mail to be delivered to a receiver from a mail server and extracting a sending domain of the received mail;
Calculating a code sum value of the calling domain by summing code values of each of a plurality of characters included in the calling domain, calculating a code sum value of the calling domain and a code for each of at least one customer domain A domain comparison unit for comparing the sum values to determine similarities between the calling domain and the customer domain; And
And a risk analysis unit for determining a risk of a fraudulent mail of the received mail based on the degree of similarity,
Wherein the domain comparison unit has a code sum value in which a difference from a code sum value of the calling domain in the contact list is equal to or less than a threshold value when a customer domain having the same code sum value as the code sum value of the calling domain does not exist The customer domain is extracted and the similarity degree between the calling domain and the extracted customer domain is determined by sequentially comparing the codes of the characters constituting the calling domain and the codes of the characters constituting the extracted customer domain. Mail firewall device.
상기 도메인 비교부는,
상기 발신 도메인 및 상기 추출된 고객 도메인 간의 상이한 문자쌍의 개수에 따라 상기 유사도를 결정하는 것을 특징으로 하는 메일 방화벽 장치. The method according to claim 6,
Wherein the domain comparison unit comprises:
Wherein the degree of similarity is determined based on the number of different character pairs between the calling domain and the extracted customer domain.
상기 도메인 비교부는,
유사 문자쌍을 저장한 유사문자 DB를 참조하여 상기 상이한 문자쌍을 구성하는 두 문자가 유사 문자인지를 판단하고, 상기 유사 문자로 이루어진 문자쌍의 개수에 따라 상기 유사도를 결정하는 것을 특징으로 하는 메일 방화벽 장치.8. The method of claim 7,
Wherein the domain comparison unit comprises:
Determines similarity between two characters constituting the different character pair by referring to the similar character DB storing similar character pairs, and determines the similarity according to the number of character pairs composed of the similar characters. Firewall device.
상기 위험도 분석부는,
상기 상이한 문자쌍의 개수가 한 개일 때 상기 사기성 메일의 위험도를 가장 높게 설정하고, 상기 상이한 문자쌍의 개수가 증가함에 따라 상기 사기성 메일의 위험도를 낮게 설정하는 것을 특징으로 하는 메일 방화벽 장치.8. The method of claim 7,
The risk analysis unit,
Wherein the risk level of the fraudulent mail is set to be highest when the number of different character pairs is one and the risk level of the fraudulent mail is set to be low as the number of different character pairs increases.
메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출과정;
상기 발신 도메인에 포함된 복수의 문자 각각에 대한 코드값을 합산하여 상기 발신 도메인의 코드 합산값을 산출하고, 상기 발신 도메인의 코드 합산값과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인 각각에 대한 코드 합산값을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교과정; 및
상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석과정을 포함하며,
상기 도메인 비교과정은, 상기 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 상기 연락처 리스트 중 상기 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인을 추출하고, 상기 발신 도메인을 구성하는 문자들의 코드와 상기 추출된 고객 도메인을 구성하는 문자들의 코드를 순서대로 비교하여 상기 발신 도메인과 상기 추출된 고객 도메인 간의 상기 유사도를 결정하는 것을 특징으로 하는 사기성 메일 위험도 분석방법.A method for a mail firewall device to determine the risk of fraudulent mail,
A domain extracting step of obtaining a received mail to be delivered to a receiver from a mail server and extracting a sending domain of the received mail;
Calculating a code sum value of the calling domain by summing code values of each of a plurality of characters included in the calling domain, calculating a code sum value of the calling domain and a code for each of at least one customer domain Comparing the sum values to determine a degree of similarity between the calling domain and the customer domain; And
And a risk analysis step of determining a risk of a fraudulent mail of the received mail based on the degree of similarity,
Wherein the domain comparison step comprises the steps of: if a customer domain having a code total value equal to the code total value of the source domain does not exist, comparing the code total value of the contact list with the code total value of the source domain, And comparing the codes of the characters constituting the calling domain with the codes of the characters constituting the extracted customer domain in order to determine the similarity between the calling domain and the extracted customer domain How to analyze the fraudulent mail risk.
상기 도메인 비교과정은,
상기 발신 도메인 및 상기 추출된 고객 도메인 간의 상이한 문자쌍의 개수에 따라 상기 유사도를 결정하는 것을 특징으로 하는 사기성 메일 위험도 분석방법. 11. The method of claim 10,
The domain comparison process includes:
Wherein the degree of similarity is determined according to the number of different character pairs between the originating domain and the extracted customer domain.
상기 위험도 분석과정은,
상기 상이한 문자쌍의 개수가 한 개일 때 상기 사기성 메일의 위험도를 가장 높게 설정하고, 상기 상이한 문자쌍의 개수가 증가함에 따라 상기 사기성 메일의 위험도를 낮게 설정하는 것을 특징으로 하는 사기성 메일 위험도 분석방법. 15. The method of claim 14,
The risk analysis process includes:
Wherein the risk level of the fraudulent mail is set to be highest when the number of different character pairs is one and the risk level of the fraudulent mail is set to be low as the number of different character pairs increases.
메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출과정;
상기 발신 도메인에 포함된 복수의 문자 각각에 대한 코드값을 합산하여 상기 발신 도메인의 코드 합산값을 산출하고, 상기 발신 도메인의 코드 합산값과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인 각각에 대한 코드 합산값을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교과정; 및
상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석과정을 포함하며,
상기 도메인 비교과정은, 상기 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 상기 연락처 리스트 중 상기 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인을 추출하고, 상기 발신 도메인을 구성하는 문자들의 코드와 상기 추출된 고객 도메인을 구성하는 문자들의 코드를 순서대로 비교하여 상기 발신 도메인과 상기 추출된 고객 도메인 간의 상기 유사도를 결정하는 것을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체.In the data processing device,
A domain extracting step of obtaining a received mail to be delivered to a receiver from a mail server and extracting a sending domain of the received mail;
Calculating a code sum value of the calling domain by summing code values of each of a plurality of characters included in the calling domain, calculating a code sum value of the calling domain and a code for each of at least one customer domain Comparing the sum values to determine a degree of similarity between the calling domain and the customer domain; And
And a risk analysis step of determining a risk of a fraudulent mail of the received mail based on the degree of similarity,
Wherein the domain comparison step comprises the steps of: if a customer domain having a code total value equal to the code total value of the source domain does not exist, comparing the code total value of the contact list with the code total value of the source domain, And determines the similarity between the calling domain and the extracted customer domain by sequentially comparing the codes of the characters constituting the calling domain with the codes of the characters constituting the extracted customer domain A computer-readable recording medium having recorded thereon a program for causing a computer to function as:
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170082082A KR101857969B1 (en) | 2017-06-28 | 2017-06-28 | Method and Apparatus for Determining Risk of Fraudulent Mail |
JP2017237201A JP6483227B2 (en) | 2017-06-28 | 2017-12-11 | Method and apparatus for determining the risk of fraudulent email |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170082082A KR101857969B1 (en) | 2017-06-28 | 2017-06-28 | Method and Apparatus for Determining Risk of Fraudulent Mail |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101857969B1 true KR101857969B1 (en) | 2018-06-28 |
Family
ID=62780136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170082082A KR101857969B1 (en) | 2017-06-28 | 2017-06-28 | Method and Apparatus for Determining Risk of Fraudulent Mail |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP6483227B2 (en) |
KR (1) | KR101857969B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023145995A1 (en) * | 2022-01-27 | 2023-08-03 | (주)기원테크 | Email security diagnosis device based on quantitative analysis of threat elements, and operation method thereof |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011130358A (en) * | 2009-12-21 | 2011-06-30 | Panasonic Electric Works Co Ltd | Electronic mail system and unsolicited mail discriminating method in the electronic mail system |
JP4815504B2 (en) * | 2009-04-01 | 2011-11-16 | 株式会社エヌ・ティ・ティ・ドコモ | Message processing apparatus, message processing method, and program |
JP4963099B2 (en) * | 2007-10-23 | 2012-06-27 | Kddi株式会社 | E-mail filtering device, e-mail filtering method and program |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7870608B2 (en) * | 2004-05-02 | 2011-01-11 | Markmonitor, Inc. | Early detection and monitoring of online fraud |
EP2615787A1 (en) * | 2010-09-07 | 2013-07-17 | Fujitsu Limited | Frame concatenation device |
-
2017
- 2017-06-28 KR KR1020170082082A patent/KR101857969B1/en active IP Right Grant
- 2017-12-11 JP JP2017237201A patent/JP6483227B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4963099B2 (en) * | 2007-10-23 | 2012-06-27 | Kddi株式会社 | E-mail filtering device, e-mail filtering method and program |
JP4815504B2 (en) * | 2009-04-01 | 2011-11-16 | 株式会社エヌ・ティ・ティ・ドコモ | Message processing apparatus, message processing method, and program |
JP2011130358A (en) * | 2009-12-21 | 2011-06-30 | Panasonic Electric Works Co Ltd | Electronic mail system and unsolicited mail discriminating method in the electronic mail system |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023145995A1 (en) * | 2022-01-27 | 2023-08-03 | (주)기원테크 | Email security diagnosis device based on quantitative analysis of threat elements, and operation method thereof |
Also Published As
Publication number | Publication date |
---|---|
JP2019008768A (en) | 2019-01-17 |
JP6483227B2 (en) | 2019-03-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10129195B1 (en) | Tertiary classification of communications | |
US20200067978A1 (en) | Detecting phishing attempts | |
US10284579B2 (en) | Detection of email spoofing and spear phishing attacks | |
US20190319905A1 (en) | Mail protection system | |
US20190052655A1 (en) | Method and system for detecting malicious and soliciting electronic messages | |
CN104468249B (en) | Account abnormity detection method and device | |
KR101476611B1 (en) | electronic message authentication | |
US20190132273A1 (en) | Analysis and reporting of suspicious email | |
US8661545B2 (en) | Classifying a message based on fraud indicators | |
CN110519150B (en) | Mail detection method, device, equipment, system and computer readable storage medium | |
US20140230060A1 (en) | Collaborative phishing attack detection | |
JP4669348B2 (en) | Spam mail discrimination device and spam mail discrimination method | |
US20220030029A1 (en) | Phishing Protection Methods and Systems | |
CN110909384B (en) | Method and device for determining business party revealing user information | |
CN109039874B (en) | Mail auditing method and device based on behavior analysis | |
US20240048514A1 (en) | Method for electronic impersonation detection and remediation | |
US20240031481A1 (en) | Dynamically providing safe phone numbers for responding to inbound communications | |
US20230319065A1 (en) | Assessing Behavior Patterns and Reputation Scores Related to Email Messages | |
KR101857969B1 (en) | Method and Apparatus for Determining Risk of Fraudulent Mail | |
CN109039863B (en) | Self-learning-based mail security detection method and device and storage medium | |
CN106919842B (en) | Computer security protection method and computer | |
CN115834147A (en) | Automatic processing method and device for abnormal mails | |
CN115037542A (en) | Abnormal mail detection method and device | |
CN115603924A (en) | Detection method and device for phishing mails, electronic equipment and storage medium | |
US20210264430A1 (en) | Message Processing Platform for Automated Phish Detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GRNT | Written decision to grant |