KR101857969B1 - Method and Apparatus for Determining Risk of Fraudulent Mail - Google Patents

Method and Apparatus for Determining Risk of Fraudulent Mail Download PDF

Info

Publication number
KR101857969B1
KR101857969B1 KR1020170082082A KR20170082082A KR101857969B1 KR 101857969 B1 KR101857969 B1 KR 101857969B1 KR 1020170082082 A KR1020170082082 A KR 1020170082082A KR 20170082082 A KR20170082082 A KR 20170082082A KR 101857969 B1 KR101857969 B1 KR 101857969B1
Authority
KR
South Korea
Prior art keywords
domain
mail
code
calling
risk
Prior art date
Application number
KR1020170082082A
Other languages
Korean (ko)
Inventor
김동철
김기남
Original Assignee
(주)기원테크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)기원테크 filed Critical (주)기원테크
Priority to KR1020170082082A priority Critical patent/KR101857969B1/en
Priority to JP2017237201A priority patent/JP6483227B2/en
Application granted granted Critical
Publication of KR101857969B1 publication Critical patent/KR101857969B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Abstract

A method for determining the risk of a fraudulent mail and an apparatus therefor are disclosed. The present invention relates to the method for determining the risk of a fraudulent mail and the apparatus therefor, capable of determining similarity between a sending domain and a customer domain by comparing the sending domain of a received mail with the customer domain based on a character code value, and determining the risk of the fraudulent mail in the received mail based on the determined similarity. Accordingly, a receiver can proactively cope with a fraudulent mail.

Description

사기성 메일의 위험도를 판단하는 방법 및 그를 위한 장치{Method and Apparatus for Determining Risk of Fraudulent Mail}METHOD AND APPARATUS FOR DETERMINING RISK OF Fraudulent Mails,

본 실시예는 사기성 메일의 위험도를 판단하는 방법 및 그를 위한 장치에 관한 것이다. This embodiment relates to a method for determining the risk of fraudulent mail and an apparatus therefor.

이 부분에 기술된 내용은 단순히 본 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.The contents described in this section merely provide background information on the present embodiment and do not constitute the prior art.

인터넷 인프라가 세계적으로 확대, 발전함에 따라 인터넷을 통한 사기 사건이 증가하고 있으며, 특히 이메일을 통한 보안 및 사기 사건이 급증하고 있다. 이에 따라 이메일의 안전한 수신 및 송신이 중요한 문제로 대두하고 있다.As the Internet infrastructure expands and develops globally, fraud incidents through the Internet are increasing, and security and fraud incidents by e-mail are increasing rapidly. Accordingly, secure reception and transmission of e-mail are becoming important problems.

일반적으로 스팸메일을 관리하는 시스템에서는 스팸 메일에 해당하는 발신자 주소를 스팸 리스트에 등록시켜 스팸 메일을 방지하고 있다. In general, in a system for managing spam mail, a sender address corresponding to spam is registered in a spam list to prevent spam mail.

하지만, 이러한 방법에서는 메일을 수신하는 사용자가 모든 메일에 대해서 수신/삭제의 결정을 처리해야 하는 불편함이 있다. 또한, 해커들이 유사한 도메인 주소를 이용하여 메일을 송신하는 경우에는, 사용자가 안전한 발신자로 오인할 가능성이 높으며, 유사한 도메인 주소를 스팸메일로 등록하지 못할 확률이 높다.However, in this method, there is an inconvenience that the user who receives the mail must process the decision of receiving / deleting all the mail. In addition, when hackers send mail using a similar domain address, there is a high possibility that the user is misidentified as a safe sender, and there is a high possibility that similar domain addresses can not be registered as spam mail.

따라서, 사용자가 기존에 송수신하던 메일 주소와 육안으로 식별하지 못할 정도의 유사 도메인으로 메일을 송신하는 해커들의 사기 수법에 대응하기 위한 보안기술이 필요하다. Therefore, there is a need for a security technology to cope with fraudulent methods of hackers who send mail to a similar domain that the user can not distinguish from an existing mail address and the naked eye.

본 실시예는 문자 코드값을 기반으로 수신 메일의 발신 도메인과 고객 도메인을 비교하여 발신 도메인 및 고객 도메인 간의 유사도를 결정하고, 결정된 유사도에 근거하여 수신 메일의 사기성 메일 위험도를 판단하는 사기성 메일의 위험도를 판단하는 방법 및 그를 위한 장치를 제공하는 데 주된 목적이 있다.The present embodiment compares the sending domain of the received mail with the customer domain based on the character code value to determine the similarity between the sending domain and the customer domain and determines the risk of fraudulent mail based on the determined degree of similarity And a device for the same.

본 실시예의 일 측면에 의하면, 사기성 메일의 위험도를 판단하는 장치에 있어서, 메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출부; 상기 발신 도메인과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교부; 및 상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석부를 포함하는 것을 특징으로 하는 메일 방화벽 장치를 제공한다.According to an aspect of the present invention, there is provided an apparatus for determining a risk of a fraudulent mail, the apparatus comprising: a domain extracting unit for obtaining a received mail delivered from a mail server to a recipient and extracting a sending domain of the received mail; A domain comparison unit comparing the origination domain and at least one pre-stored customer domain in a contact list to determine a degree of similarity between the origination domain and the customer domain; And a risk analysis unit for determining a risk of a fraudulent mail of the received mail based on the degree of similarity.

또한, 본 실시예의 다른 측면에 의하면, 메일 방화벽 장치가 사기성 메일의 위험도를 판단하는 방법에 있어서, 메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출과정; 상기 발신 도메인과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교과정; 및 상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석과정을 포함하는 것을 특징으로 하는 사기성 메일 위험도 분석방법을 제공한다.According to another aspect of the present invention, there is provided a method of determining a risk of a fraudulent mail by a mail firewall device, the method comprising: acquiring a received mail to be delivered from a mail server to a recipient and extracting a sending domain of the received mail; ; Comparing the originating domain with at least one pre-stored customer domain in a contact list to determine a similarity between the originating domain and the customer domain; And a risk analysis step of determining a risk of a fraudulent mail of the received mail based on the degree of similarity.

또한, 본 실시예의 다른 측면에 의하면, 데이터 처리 기기에, 메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출과정; 상기 발신 도메인과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교과정; 및 상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석과정을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체를 제공한다.According to another aspect of the present invention, there is provided a data processing apparatus including: a domain extracting step of obtaining a received mail to be delivered from a mail server to a recipient and extracting a sending domain of the received mail; Comparing the originating domain with at least one pre-stored customer domain in a contact list to determine a similarity between the originating domain and the customer domain; And a risk analysis process of determining a risk of a fraudulent mail of the received mail based on the degree of similarity.

이상에서 설명한 바와 같이 본 실시예에 의하면, 메일 방화벽 장치는 사기성 메일에 대한 위험도를 판단함으로써, 수신자가 사기성 메일로 인해 피해를 입기 전에 사전 대응을 할 수 있는 효과가 있다. As described above, according to the present embodiment, the mail firewall device judges the risk of fraudulent mail, so that the recipient can preliminarily respond before the fraudulent mail is damaged.

또한, 메일 방화벽 장치는 사기성 메일에 대한 위험도를 복수의 레벨(등급)으로 판단함으로써, 사용자가 사기성 메일의 위험 정도를 정확하게 인지할 수 있는 효과가 있다. Further, the mail firewall device judges the risk level of the fraudulent mail at a plurality of levels (grades), so that the user can accurately recognize the degree of danger of the fraudulent mail.

또한, 메일 방화벽 장치는 사용자가 육안으로 식별하기 어려운 유사 도메인을 정확하게 검출할 수 있는 효과가 있다. In addition, the mail firewall device has an effect that the user can accurately detect a similar domain that is difficult to be visually recognized.

도 1은 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위한 메일 방화벽 시스템을 나타낸 구성도이다.
도 2는 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위한 메일 방화벽 장치를 개략적으로 나타낸 블록 구성도이다.
도 3a 및 도 3b는 본 실시예에 따른 사기성 메일의 위험도를 판단하는 방법을 나타내는 순서도이다.
도 4는 사기성 메일의 피해 사례를 설명하기 위한 예시도이다.
도 5는 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위해 도메인을 비교하는 동작을 설명하기 위한 예시도이다.
도 6은 본 실시예에 따른 사기성 메일의 판단 결과를 출력한 예시도이다. FIG. 1 is a block diagram of a mail firewall system for determining the risk of fraudulent mail according to the present embodiment.
2 is a block diagram schematically showing a mail firewall device for judging the risk of fraudulent mail according to the present embodiment.
FIGS. 3A and 3B are flowcharts illustrating a method for determining the risk of fraudulent mail according to the present embodiment.
4 is an exemplary diagram for explaining an example of a case of a fraudulent mail.
5 is an exemplary diagram for explaining an operation of comparing domains to determine the risk of fraudulent mail according to the present embodiment.
FIG. 6 is a diagram showing an example of outputting a judgment result of a fraudulent mail according to the present embodiment.

이하, 본 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, the present embodiment will be described in detail with reference to the accompanying drawings.

도 1은 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위한 메일 방화벽 시스템을 나타낸 구성도이다. FIG. 1 is a block diagram of a mail firewall system for determining the risk of fraudulent mail according to the present embodiment.

본 실시예에 따른 메일 방화벽 시스템은 메일 서버(120) 및 메일 방화벽 장치(130)를 포함한다. The mail firewall system according to the present embodiment includes a mail server 120 and a mail firewall device 130. [

메일 서버(120)는 발신자(110)와 수신자(140) 사이에 이메일을 송수신할 수 있도록 동작하는 장치로써, 발신자(110)와 수신자(140) 간의 통신매개 역할을 수행한다. The mail server 120 is a device that operates to send and receive e-mail between the sender 110 and the recipient 140 and serves as a communication medium between the sender 110 and the recipient 140.

본 실시예에 따른 메일 서버(120)는 수신자(140) 측으로 수신되는 이메일의 사기 위험도를 판단하기 위해 발신자(110)에서 송신된 이메일을 수신자(140)에게 전달하는 동작을 위주로 설명하도록 하지만 반드시 이에 한정되는 것은 아니다. The mail server 120 according to the present embodiment is mainly intended to explain the operation of delivering the e-mail sent from the sender 110 to the receiver 140 in order to determine the risk of fraud of the e-mail received at the receiver 140 side, But is not limited thereto.

한편, 본 실시예에서 발신자(110) 및 수신자(140)는 발신자 단말기 및 수신자 단말기로 구현될 수 있다. 발신자(110)는 수신자(140)의 단말기로 이메일을 송신하는 단말기 일 수 있으며, 수신자(140)는 발신자(110)의 단말기로부터 이메일을 수신하는 단말기일 수 있다. 발신자(110)의 단말기 및 수신자(140)의 단말기는 적어도 하나의 개인용 컴퓨터(PC)가 바람직하나 스마트폰과 같은 이동통신 단말기일 수 있다. 발신자(110)의 단말기 및 수신자(140)의 단말기는 이메일이 송수신 가능하도록 구성된 다양한 형태의 단말기로 구현될 수 있으며, 본 발명의 기술적 범위 내에서 해당 관련분야의 통상지식을 가진 당업자에 의해 선택된 단말기일 수 있다. Meanwhile, in this embodiment, the sender 110 and the receiver 140 may be implemented as a sender terminal and a receiver terminal. The sender 110 may be a terminal that sends an e-mail to the terminal of the receiver 140 and the receiver 140 may be a terminal that receives e-mail from the terminal of the sender 110. [ The terminal of the caller 110 and the terminal of the receiver 140 are preferably at least one personal computer (PC), but may be a mobile communication terminal such as a smart phone. The terminal of the sender 110 and the terminal of the receiver 140 may be implemented as various types of terminals configured to be capable of transmitting and receiving e-mails, and may be embodied as a terminal, which is selected by a person skilled in the art, Lt; / RTI >

발신자(110) 및 수신자(140) 간의 이메일 통신이 가능하도록 하는 메일 서버(120)는 통상적으로 게재된 공지의 기술로서, 해당 관련분야의 통상지식을 가진 당업자가 다양하게 변경 설계할 수 있음은 물론이다.The mail server 120 that enables e-mail communication between the sender 110 and the recipient 140 can be variously modified by those skilled in the art who have ordinary knowledge in the related field, to be.

메일 방화벽 장치(130)는 수신자(140)에게 사기성 메일이 전달되는 것을 방지하기 위한 장치를 의미한다. The mail firewall device 130 means a device for preventing fraudulent mail from being delivered to the recipient 140.

본 실시예에 따른 메일 방화벽 장치(130)는 메일 서버(120)로부터 수신자(140)에게 전달되는 수신 메일을 획득하여 수신 메일이 사기성 메일일 위험도를 판단한다. The mail firewall device 130 according to the present embodiment obtains the received mail delivered from the mail server 120 to the recipient 140 and determines the risk that the received mail is a fraudulent mail.

메일 방화벽 장치(130)는 수신 메일의 발신 도메인과 연락처 리스트에 기 저장된 고객 도메인을 비교하여 발신 도메인과 고객 도메인 간의 유사도를 결정하고, 유사도에 근거하여 수신 메일이 사기성 메일일 위험도를 판단한다. The mail firewall device 130 compares the sending domain of the received mail with the pre-stored customer domain in the contact list to determine the similarity between the sending domain and the customer domain, and determines the risk that the received mail is a fraudulent mail based on the similarity.

도 1에서 메일 방화벽 장치(130)는 메일 서버(120)와 별도의 장치로 구현될 수 있으며, 이러한 경우 메일 방화벽 장치(130)는 일반적으로 사용되고 있는 기존의 메일 서버를 유지하면서 메일 서버와 수신자 사이 단에 연결되는 형태로 구현되어 사기성 메일을 감지할 수 있다. 한편, 메일 방화벽 장치(130)는 메일 서버(120)와 결합된 하나의 장치로 구현될 수도 있다. 예를 들어, 메일 서버(120) 내에 메일 방화벽 처리부(미도시)와 같은 하드웨어 또는 메일 서버(120)에 설치된 소프트웨어와 같은 형태로 구현될 수 있다. 메일 방화벽 장치(130)에서 수신 메일이 사기성 메일일 위험도를 판단하는 동작은 도 2에서 자세히 설명하도록 한다. In FIG. 1, the mail firewall device 130 may be implemented as a separate device from the mail server 120. In this case, the mail firewall device 130 may maintain the existing mail server that is generally used, And it is possible to detect fraudulent mail. Meanwhile, the mail firewall device 130 may be implemented as one device combined with the mail server 120. [ For example, it may be implemented in the form of hardware such as a mail firewall processing unit (not shown) or software installed in the mail server 120 in the mail server 120. The operation of the mail firewall device 130 to determine the risk of a received mail as a fraudulent mail will be described in detail with reference to FIG.

도 2는 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위한 메일 방화벽 장치를 개략적으로 나타낸 블록 구성도이다. 2 is a block diagram schematically showing a mail firewall device for judging the risk of fraudulent mail according to the present embodiment.

본 실시예에 따른 메일 방화벽 장치(130)는 도메인 추출부(210), 도메인 비교부(220), 유사문자 DB(222), 본문 검사부(224) 및 위험도 분석부(230)를 포함한다. 도 2에 도시된 메일 방화벽 장치(130)는 일 실시예에 따른 것으로서, 도 2에 도시된 모든 블록이 필수 구성요소는 아니며, 다른 실시예에서 메일 방화벽 장치(130)에 포함된 일부 블록이 추가, 변경 또는 삭제될 수 있다. The mail firewall device 130 includes a domain extracting unit 210, a domain comparing unit 220, a similar character DB 222, a text checking unit 224, and a risk analysis unit 230. The mail firewall device 130 shown in FIG. 2 is according to one embodiment. Not all the blocks shown in FIG. 2 are essential components, and in some embodiments, some of the blocks included in the mail firewall device 130 are added , Changed or deleted.

도메인 추출부(210)는 메일 서버(120)로부터 수신자(140) 측으로 전달되는 수신 메일을 획득하고, 수신 메일의 발신 도메인을 추출한다. 발신 도메인은 <사용자 이름@도메인 이름>으로 구성된 발신 메일주소 중 '도메인 이름'에 해당하는 도메인 영역을 의미한다. 예를 들어, <AAA@KIWONTECH.com>의 발신 메일주소를 갖는 수신 메일을 메일 서버(120)로부터 획득한 경우, 도메인 추출부(210)는 <KIWONTECH.com>의 도메인 영역을 발신 도메인으로 추출한다. The domain extracting unit 210 obtains the received mail from the mail server 120 to the recipient 140 and extracts the sending domain of the received mail. The originating domain is a domain region corresponding to a 'domain name' among outgoing mail addresses composed of <user name @ domain name>. For example, when a received mail having an outgoing mail address of <AAA@KIWONTECH.com> is acquired from the mail server 120, the domain extracting unit 210 extracts a domain region of <KIWONTECH.com> as a sender domain do.

도메인 추출부(210)는 도메인 영역만을 추출하는 것으로 기재하고 있으나 반드시 이에 한정되는 것은 아니며, 사용자 또는 관리자의 설정에 따라 '사용자 이름'에 해당하는 개별 ID 영역을 포함한 발신 메일주소 전체를 추출할 수 있다. The domain extracting unit 210 extracts only the domain region. However, the present invention is not limited to this. It is possible to extract the entire outgoing mail address including the individual ID region corresponding to the 'user name' according to the setting of the user or the administrator have.

도메인 비교부(220)는 발신 도메인과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인을 비교하여 발신 도메인 및 고객 도메인 간의 유사도를 결정한다. 여기서, 연락처 리스트는 수신자(140)와 기존에 이메일을 주고 받은 적이 있는 복수의 고객들의 메일주소를 포함하는 리스트를 의미하며, 도메인 비교부(220)는 연락처 리스트에 포함된 고객들의 메일주소의 도메인 영역을 고객 도메인으로 추출하여 발신 도메인과 비교한다. 연락처 리스트는 메일 방화벽 장치(130) 내에 기 저장된 정보 즉, 연락처 저장부(미도시)와 같은 모듈에 저장된 리스트 정보일 수 있으나 반드시 이에 한정되는 것은 아니며, 수신자(140)의 단말기로부터 불러온 리스트 정보일 수 있다. The domain comparison unit 220 compares the origination domain and at least one pre-stored customer domain in the contact list to determine the similarity between the origin domain and the customer domain. Here, the contact list is a list including mail addresses of a plurality of customers who have previously exchanged e-mail with the recipient 140. The domain comparison unit 220 compares the domain of the mail addresses of customers included in the contact list Domain is extracted as a customer domain and compared with the originating domain. The contact list may be information previously stored in the mail firewall device 130, that is, list information stored in a module such as a contact storage unit (not shown), but is not limited thereto. The contact list may include list information Lt; / RTI &gt;

이하, 도메인 비교부(220)에서 발신 도메인과 고객 도메인을 비교하는 동작에 대해 설정하도록 한다. Hereinafter, the operation of comparing the calling domain and the customer domain is set in the domain comparison unit 220. [

도메인 비교부(220)는 문자에 대한 코드값을 이용하여 발신 도메인과 고객 도메인을 비교한다. 여기서, 문자에 대한 코드값은 아스키 코드(ASCII Code)인 것이 바람직하나 반드시 이에 한정되는 것은 아니며, 문자를 식별할 수 있다면 다양한 형태의 식별값을 적용할 수 있다. The domain comparison unit 220 compares the source domain and the customer domain using a code value for a character. Here, the code value for a character is preferably an ASCII code, but it is not limited thereto, and various types of identification values can be applied if characters can be identified.

도메인 비교부(220)는 발신 도메인에 포함된 복수의 문자 각각에 대한 코드값을 합산하여 발신 도메인의 코드 합산값을 산출하고, 발신 도메인의 코드 합산값과 고객 도메인의 코드 합산값을 비교하여 발신 도메인과 동일한 고객 도메인의 존재 여부를 판단한다. 다시 말해, 도메인 비교부(220)는 발신 도메인의 코드 합산값과 연락처 리스트에 포함된 고객 도메인 각각에 대한 코드 합산값을 비교하고, 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하는 경우 발신 도메인과 고객 도메인을 동일한 도메인으로 판단한다. 여기서, 도메인 비교부(220)는 고객 도메인 각각의 코드 합산값을 산출하여 발신 도메인의 코드 합산값과 비교하는 것이 바람직하나 반드시 이에 한정되는 것은 아니며, 연락처 리스트에 기 저장된 코드 합산값을 이용하여 발신 도메인의 코드 합산값과 비교할 수도 있다. The domain comparison unit 220 calculates the code sum value of the calling domain by summing the code values of each of the plurality of characters included in the calling domain, compares the code sum value of the calling domain with the code sum value of the customer domain, It is determined whether or not the same customer domain as the domain exists. In other words, the domain comparison unit 220 compares the code sum value of the sending domain with the code sum value of each of the customer domains included in the contact list, and if the customer domain having the same code sum value as the code sum value of the sending domain If it exists, it determines that the sending domain and the customer domain are the same domain. Here, it is preferable that the domain comparison unit 220 calculates the code sum value of each customer domain and compares the code sum value of each customer domain with the code sum value of the sending domain. However, the present invention is not limited thereto, And may be compared with the code sum value of the domain.

도메인 비교부(220)는 코드 합산값을 비교하여 발신 도메인과 고객 도메인을 동일한 도메인으로 판단된 경우 별도의 유사도를 결정하지 않고, 위험도 분석부(230)에서 사기성 위험도가 가장 낮게 설정되도록 한다. The domain comparison unit 220 compares the code sum values and determines that the fraudulent risk is lowest in the risk analysis unit 230 without determining a similarity degree when the source domain and the customer domain are determined to be the same domain.

한편, 도메인 비교부(220)는 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 연락처 리스트 중 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인을 추출하고, 발신 도메인과 추출된 고객 도메인 간의 유사도를 결정한다. 예를 들어, <KIWONTECH.com>에 대한 발신 도메인의 코드 합산값은 1049 이며, 도메인 비교부(220)는 발신 도메인의 코드 합산값과의 차이가 30(임계값) 이하인 고객 도메인을 추출한다. 여기서, 임계값은 사용자 또는 관리자의 설정에 따라 변경될 수 있다. On the other hand, if there is no customer domain having the same code sum value as the code sum value of the originating domain, the domain comparison unit 220 may compare the code sum value of the contact list with the code sum value of the sending domain, And determines the similarity between the originating domain and the extracted customer domain. For example, the code sum value of the originating domain for <KIWONTECH.com> is 1049, and the domain comparison unit 220 extracts a customer domain whose difference from the code sum value of the originating domain is 30 (threshold value) or less. Here, the threshold value may be changed according to the setting of the user or the administrator.

도메인 비교부(220)는 연락처 리스트 중 상기 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 수신 메일의 본문 내용에 따라 발신 도메인을 신규 메일주소 또는 사기성 메일주소로 등록하기 위해 본문검사 처리되도록 한다. 본문검사는 분문 검사부(224)에서 처리된다.If there is no customer domain having a code sum value whose difference from the code sum value of the sending domain is less than or equal to the threshold value in the contact list, the domain comparison unit 220 compares the sending domain with the new mail address Or to be scanned for registration as a fraudulent e-mail address. The body inspection is processed in the trick inspection unit 224.

한편, 도메인 비교부(220)는 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 고객 도메인이 적어도 하나 이상 존재하는 경우, 추출된 고객 도메인과 발신 도메인을 문자 단위로 비교한다. 구체적으로, 도메인 비교부(220)는 발신 도메인을 구성하는 문자들의 코드와 추출된 고객 도메인을 구성하는 문자들의 코드를 순서대로 비교하여 상이한 문자쌍의 개수를 판단한다. 여기서, 상이한 문자쌍은 발신 도메인과 추출된 고객 도메인을 비교하여 상이한 것으로 확인된 두 개의 문자를 의미한다. 예를 들어, 발신 도메인 <KlWONTECH.com> 와 고객 도메인 <KIWONTECH.com>를 비교하는 경우, 상이한 문자쌍은 (l, I)를 의미한다. 상이한 문자쌍 (l, I)는 소문자 엘(l)과 대문자 아이(I)를 포함한다. 또한, 발신 도메인 <KIWONXXCH.com> 와 고객 도메인 <KIWONTECH.com>를 비교하는 경우, 상이한 문자쌍은 (X, T) 및 (X, E)를 의미한다. 상이한 문자쌍 (X, T)는 대문자 엑스(X)과 대문자 티(T)를 포함하고, 상이한 문자쌍 (X, E)는 대문자 엑스(X)과 대문자 이(E)를 포함한다. On the other hand, if at least one customer domain whose difference from the code sum value of the originating domain is equal to or less than the threshold value exists, the domain comparing unit 220 compares the extracted customer domain and the calling domain character by character. Specifically, the domain comparison unit 220 determines the number of different character pairs by sequentially comparing the codes of the characters constituting the calling domain with the codes of the characters constituting the extracted customer domain. Here, a different character pair means two characters that have been found to be different by comparing the originating domain and the extracted customer domain. For example, when comparing the originating domain < KlWONTECH.com > and the customer domain < KIWONTECH.com >, the different character pair means (l, I). The different character pairs (l, I) include lower case EL (l) and upper case child (I). Also, when comparing the originating domain < KIWONXXCH.com > with the customer domain < KIWONTECH.com >, different character pairs mean (X, T) and (X, E). The different character pairs X and T comprise an upper case X and an upper case T and the different character pairs X and E comprise an upper case X and an upper case E.

도메인 비교부(220)는 발신 도메인 및 추출된 고객 도메인 간의 상이한 문자쌍의 개수에 따라 발신 도메인과 추출된 고객 도메인 간의 유사도를 결정한다. 여기서, 유사도는 발신 도메인 및 고객 도메인 간의 유사한 정도를 나타낸 설정값을 의미하며, 최상, 상, 중, 하, 최하 등의 기 설정된 복수의 등급으로 설정될 수 있으나 반드시 이에 한정되는 것은 아니며 1 내지 10 레벨과 같은 기 설정된 수치 레벨로 설정될 수도 있다. The domain comparison unit 220 determines a similarity degree between the calling domain and the extracted customer domain according to the number of different character pairs between the calling domain and the extracted customer domain. Here, the degree of similarity refers to a set value indicating a degree of similarity between a calling domain and a customer domain, and may be set to a predetermined plurality of classes such as top, top, middle, bottom, and bottom. However, Level or a predetermined numerical level such as a level.

도메인 비교부(220)는 상이한 문자쌍을 구성하는 두 문자가 유사 문자인지를 판단하고, 유사 문자로 이루어진 문자쌍의 개수에 따라 유사도를 결정한다. 여기서, 유사 문자란, 육안으로 차이를 구별하기 어려운 두 개의 문자를 의미하며, 사용자의 경험으로 설정된 문자 또는 기 정의된 문자일 수 있다. The domain comparison unit 220 determines whether two characters constituting different character pairs are similar characters, and determines the degree of similarity based on the number of character pairs composed of similar characters. Here, the pseudo-character means two characters that are difficult to distinguish from each other by the naked eye, and may be a character set in the user's experience or a predefined character.

도메인 비교부(220)는 유사문자 DB(222)를 참조하여 상이한 문자쌍이 유사 문자인지 여부를 판단할 수 있다. 예를 들어, 도메인 비교부(220)는 상이한 문자쌍이 유사문자 DB(222)에 기 저장되어 있는 경우 상이한 문자쌍을 구성하는 두 문자가 유사 문자인 것으로 판단할 수 있다. The domain comparison unit 220 can determine whether different character pairs are similar characters with reference to the similar character DB 222. [ For example, when different character pairs are stored in the similar character DB 222, the domain comparison unit 220 can determine that the two characters constituting different character pairs are similar characters.

일 실시예에 따르면, 도메인 비교부(220)는 상이한 문자쌍이 유사 문자인지 여부를 판단하기 위해 유사문자 DB(222)로부터 유사 문자쌍 리스트를 획득하고, 유사 문자쌍 리스트에 상이한 문자쌍이 포함되어 있는지를 확인할 수 있다. According to one embodiment, the domain comparison unit 220 obtains a similar-character pair list from the similar-character DB 222 to determine whether different character pairs are pseudo-characters, and determines whether the similar-character pair list includes different character pairs .

다른 실시예에 따르면, 도메인 비교부(220)는 상이한 문자쌍에 대한 문자정보를 유사문자 DB(222)로 전송하고, 유사문자 DB(222)로부터 매칭되는 문자쌍이 존재하는지 여부에 대한 매칭결과를 응답신호로 수신하여 상이한 문자쌍의 유사 문자 여부를 판단할 수도 있다. According to another embodiment, the domain comparison unit 220 transmits character information for different character pairs to the similar character DB 222, and outputs a matching result as to whether there is a matching character pair from the similar character DB 222 And may be received as a response signal to determine whether or not the character pair is a similar character.

도메인 비교부(220)는 유사 문자로 이루어진 상이한 문자쌍의 개수가 적을수록 유사도를 높은 레벨(등급)로 설정하고, 상이한 문자쌍의 개수가 많을수록 유사도를 낮은 레벨(등급)로 설정한다. 유사도는 상이한 문자쌍의 개수가 적을수록 육안으로 인식하기 어려워 유사도를 높게 설정한다. 예를 들어, 도메인 비교부(220)는 유사 문자로 이루어진 상이한 문자쌍이 한 개인 경우 유사도를 '최상' 등급으로 설정하고, 상이한 문자쌍이 두 개인 경우 유사도를 '상' 등급으로 설정할 수 있다. 도메인 비교부(220)는 상이한 문자쌍의 개수에 따라 결정된 유사도가 높을수록 수신 메일이 사기성 메일일 위험도는 증가한다. The domain comparison unit 220 sets the degree of similarity to a higher level (grade) as the number of different character pairs made up of similar characters is smaller, and sets the degree of similarity to a lower level (grade) as the number of different character pairs increases. As the number of different character pairs is smaller, the degree of similarity is more difficult to recognize with the naked eye, and the degree of similarity is set to be higher. For example, the domain comparison unit 220 may set the degree of similarity to 'best' if there are two different character pairs made up of similar characters and set the degree of similarity to 'upper' if there are two different character pairs. The domain comparison unit 220 increases the risk that the received mail is fraudulent mail as the degree of similarity determined according to the number of different character pairs is higher.

도메인 비교부(220)는 기 설정된 레벨(등급) 범위 내에서 유사도를 설정하는 것이 바람직하며, 기 설정된 레벨(등급) 범위는 사용자 또는 관리자의 설정에 따라 변경될 수 있다. The domain comparison unit 220 preferably sets the degree of similarity within a predetermined level (grade) range, and the predetermined level (grade) range may be changed according to a setting of a user or an administrator.

유사문자 DB(222)는 유사 문자를 저장 및 관리하는 데이터베이스를 말한다. 여기서, 유사 문자란, 육안으로 차이를 구별하기 어려운 두 개의 문자를 의미하며, 사용자의 경험으로 설정된 문자 또는 기 정의된 문자일 수 있다. The similar character DB 222 refers to a database for storing and managing similar characters. Here, the pseudo-character means two characters that are difficult to distinguish from each other by the naked eye, and may be a character set in the user's experience or a predefined character.

유사문자 DB(222)는 (l, I), (l, 1), (m, rn), (O, 0) 등과 같은 유사 문자를 저장할 수 있으며, 이러한 유사 문자들은 사용자가 유사한 것으로 판단하여 입력하거나 외부 장치(미도시)로부터 기 수집된 정보일 수 있다. (l, I)는 소문자 엘(l)과 대문자 아이(I)를 포함하고, (l, 1)는 소문자 엘(l)과 숫자 1을 포함한다. 또한, (m, rn)은 소문자 엠(m)과 소문자 알(r)/엔(n)을 포함하고, (O, 0)은 대문자 오(O)와 숫자 0을 포함한다. The similar character DB 222 may store similar characters such as (l, I), (l, 1), (m, rn), (O, 0) Or information collected from an external device (not shown). (l, I) contains the lower case EL (l) and the uppercase child (I), and (l, 1) contains the lower case EL (l) Also, (m, rn) includes a lowercase letter m (m) and a lowercase letter r (r) / yen (n), and (O, 0) contains an uppercase letter O and a number 0.

본문 검사부(224)는 수신 메일의 본문 내용을 검사하는 동작을 수행한다. 본문 검사부(224)는 도메인 비교부(220)에서 발신 도메인의 코드 합산값과 소정의 범위(코드 합산값의 차이가 임계값 이하)에 해당하는 고객 도메인이 존재하지 않는 경우 수신 메일에 대한 본문 검사를 수행한다. The body checking unit 224 performs an operation of checking the contents of the body of the received mail. If the domain comparison unit 220 determines that the customer domain corresponding to the code total value of the sending domain and the predetermined range (difference between the code total value is less than or equal to the threshold value) does not exist in the domain comparison unit 220, .

본문 검사부(224)는 수신 메일의 본문 내용을 검사한 결과 안전한 메일인 것으로 판단되면 수신 메일의 발신 도메인을 신규 메일주소로 등록시킨다. 한편, 본문 검사부(224)는 수신 메일의 본문 내용을 검사한 결과 안전하지 않은 메일인 것으로 판단되면 수신 메일의 발신 도메인을 사기성 메일주소로 등록시킨다. If it is determined that the content of the body of the received mail is a secure mail, the body checking unit 224 registers the sending domain of the received mail as a new mail address. On the other hand, if it is determined that the content of the body of the received mail is unsafe as a result of checking the contents of the body of the received mail, the body checking unit 224 registers the sending domain of the received mail as a fraudulent mail address.

본문 검사부(224)는 수신 메일의 본문 내용에 기 저장된 위험 문구에 해당하는 단어의 존재 여부를 판단하거나 텍스트 인식을 통해 본문 내용을 판단하여 본문 검사를 수행하는 것이 바람직하나 반드시 이에 한정되는 것은 아니다. The main body checking unit 224 preferably determines whether a word corresponding to a risk phrase is present in the main content of the received mail or performs a main body check by determining the main content through text recognition. However, the main body checking unit 224 is not limited thereto.

위험도 분석부(230)는 도메인 비교부(220)에서 결정된 유사도에 근거하여 수신 메일의 사기성 메일 위험도를 판단한다. 여기서, 사기성 메일의 위험도는 수신 메일이 사기성 메일일 것으로 예측된 추정값을 의미하며, 최상, 상, 중, 하, 최하 등의 기 설정된 복수의 등급으로 설정될 수 있으나 반드시 이에 한정되는 것은 아니며 1 내지 10 레벨과 같은 기 설정된 수치 레벨로 설정될 수도 있다. The risk analysis unit 230 determines the risk of fraudulent mail of the received mail based on the degree of similarity determined by the domain comparison unit 220. Here, the risk of fraudulent mail means an estimated value that the received mail is predicted to be a fraudulent mail, and may be set to a predetermined plurality of grades such as top, top, middle, bottom, and bottom. However, It may be set to a predetermined numerical level such as 10 levels.

위험도 분석부(230)는 유사도가 낮은 레벨로 설정되면 수신자(140)에게 전달되는 수신 메일이 사기성 메일일 위험도를 낮게 판단한다. 예를 들어, 위험도 분석부(230)는 유사도가 '하' 등급인 경우 수신 메일이 사기성 메일일 위험도를 '하' 등급으로 결정한다. When the degree of similarity is set to a low level, the risk analysis unit 230 determines that the received mail delivered to the recipient 140 is low in the risk of fraudulent mail. For example, when the degree of similarity is 'low', the risk analysis unit 230 determines that the received mail is a 'low' grade for the risk of fraudulent mail.

한편, 위험도 분석부(230)는 유사도가 높은 레벨로 설정되면 수신자(140)에게 전달되는 수신 메일이 사기성 메일일 위험도를 높게 판단한다. 여기서, 위험도 분석부(230)는 수신 메일에 대한 사기성 메일 위험도가 기 설정된 알림기준 등급 또는 알림기준 수치 이상인 것으로 판단된 경우 메일 서버(120)의 사용자 또는 관리자에게 긴급경고 알림 메시지를 전송하여 수신 메일이 수신자(140)에게 전달되지 않도록 제어한다. 긴급경고 알림 메시지는 수신 메일 정보, 발신 도메인, 발신 도메인과 유사한 고객 도메인, 상이한 문자쌍 정보, 유사도 정보, 위험도 정보 등을 포함할 수 있다. 예를 들어, 위험도 분석부(230)는 유사도가 '상' 등급인 경우 수신 메일이 사기성 메일일 위험도를 '상' 등급으로 결정한다. 여기서, 위험도 분석부(230)는 알림기준 등급이 '중'으로 설정된 경우 해당 수신 메일에 대한 긴급경고 알림 메시지를 메일 서버(120)의 사용자 또는 관리자에게 전송한다. Meanwhile, when the degree of similarity is set to a high level, the risk analysis unit 230 determines that the received mail delivered to the recipient 140 is highly likely to be a fraudulent mail. If it is determined that the risk level of the fraudulent mail for the received mail is equal to or higher than the preset notification criterion level or the notification criterion value, the risk analysis unit 230 transmits an urgent warning notification message to the user or administrator of the mail server 120, And not to the receiver 140. The emergency alert message may include received mail information, a sending domain, a customer domain similar to the sending domain, different character pair information, similarity information, risk information, and the like. For example, when the degree of similarity is 'high', the risk analysis unit 230 determines that the received e-mail is a fraudulent e-mail. Here, the risk analysis unit 230 transmits an emergency alert message for the received mail to the user or administrator of the mail server 120 when the alert reference level is set to 'middle'.

위험도 분석부(230)는 본문검사를 처리하여 신규 메일주소로 등록된 발신 도메인이 존재하는 경우, 해당 발신 도메인을 이용하는 수신 메일의 위험도를 가장 낮게 예를 들어, '최하' 등급으로 설정할 수 있다. The risk analysis unit 230 may process the body inspection and set the risk of the received mail using the corresponding sending domain to the lowest level, for example, 'lowest' if there is a sending domain registered with the new mail address.

도 3a 및 도 3b는 본 실시예에 따른 사기성 메일의 위험도를 판단하는 방법을 나타내는 순서도이다. FIGS. 3A and 3B are flowcharts illustrating a method for determining the risk of fraudulent mail according to the present embodiment.

도 3a는 메일 방화벽 장치(130)에서 사기성 메일의 위험도를 판단하는 방법을 개략적으로 나타낸 순서도이다. 3A is a flowchart schematically showing a method of determining the risk of fraudulent mail in the mail firewall device 130. [

메일 방화벽 장치(130)는 메일 서버(120)로부터 수신자(140)에게 전달되는 수신 메일을 획득하고(S310), 수신 메일의 발신 도메인을 추출한다(S320). 여기서, 발신 도메인은 <사용자 이름@도메인 이름>으로 구성된 발신 메일주소 중 '도메인 이름'에 해당하는 도메인 영역을 의미한다. 예를 들어, <AAA@KIWONTECH.com>의 발신 메일주소를 갖는 수신 메일을 메일 서버(120)로부터 획득한 경우, 메일 방화벽 장치(130)는 <KIWONTECH.com>의 도메인 영역을 발신 도메인으로 추출한다. The mail firewall device 130 obtains a received mail delivered from the mail server 120 to the recipient 140 (S310), and extracts the sending domain of the received mail (S320). Here, the sending domain means a domain region corresponding to a 'domain name' among outgoing mail addresses composed of <user name @ domain name>. For example, when a received mail having an outgoing mail address of <AAA@KIWONTECH.com> is acquired from the mail server 120, the mail firewall device 130 extracts the domain region of <KIWONTECH.com> as a sender domain do.

메일 방화벽 장치(130)는 발신 도메인과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인을 비교하여 발신 도메인 및 고객 도메인 간의 유사도를 결정한다(S330). 여기서, 연락처 리스트는 수신자(140)와 기존에 이메일을 주고 받은 적이 있는 복수의 고객들의 메일주소를 포함하는 리스트를 의미한다. The mail firewall device 130 compares the origination domain and at least one pre-stored customer domain in the contact list to determine the similarity between the origin domain and the customer domain in operation S330. Here, the contact list means a list including the mail addresses of a plurality of customers who have previously exchanged e-mail with the recipient 140.

메일 방화벽 장치(130)는 연락처 리스트에 포함된 고객들의 메일주소의 도메인 영역을 고객 도메인으로 추출하여 발신 도메인과 비교하고, 비교 결과에 근거하여 발신 도메인 및 고객 도메인 간의 유사도를 결정한다. 여기서, 유사도는 발신 도메인 및 고객 도메인 간의 유사한 정도를 나타낸 설정값을 의미하며, 최상, 상, 중, 하, 최하 등의 기 설정된 복수의 등급으로 설정될 수 있으나 반드시 이에 한정되는 것은 아니며 1 내지 10 레벨과 같은 기 설정된 수치 레벨로 설정될 수도 있다. 유사도를 설정하는 동작은 도 3b에서 상세히 설명하도록 한다.The mail firewall device 130 extracts the domain domain of the mail address of the customers included in the contact list as a customer domain, compares the domain domain with the sending domain, and determines the similarity between the sending domain and the customer domain based on the comparison result. Here, the degree of similarity refers to a set value indicating a degree of similarity between a calling domain and a customer domain, and may be set to a predetermined plurality of classes such as top, top, middle, bottom, and bottom. However, Level or a predetermined numerical level such as a level. The operation of setting the similarity is described in detail in FIG. 3B.

메일 방화벽 장치(130)는 유사도에 근거하여 수신 메일의 사기성 메일 위험도를 판단한다(S340). 여기서, 사기성 메일의 위험도는 수신 메일이 사기성 메일일 것으로 예측된 추정값을 의미한다. The mail firewall device 130 determines the risk of fraudulent mail of the received mail based on the degree of similarity (S340). Here, the risk of fraudulent mail means an estimated value that the received mail is estimated to be fraudulent mail.

메일 방화벽 장치(130)는 유사도가 낮은 레벨로 설정되면 수신자(140)에게 전달되는 수신 메일이 사기성 메일일 위험도를 낮게 판단하고, 유사도가 높은 레벨로 설정되면 수신자(140)에게 전달되는 수신 메일이 사기성 메일일 위험도를 높게 판단한다. When the degree of similarity is set to a low level, the mail firewall device 130 determines that the received mail delivered to the recipient 140 has a low risk of being a fraudulent mail. If the degree of similarity is set to a high level, The risk of fraudulent mail is highly judged.

메일 방화벽 장치(130)는 수신 메일에 대한 사기성 메일 위험도가 기 설정된 알림기준 등급 또는 알림기준 수치 이상인 것으로 판단된 경우 메일 서버(120)의 사용자 또는 관리자에게 긴급경고 알림 메시지를 전송하여 수신 메일이 수신자(140)에게 전달되지 않도록 제어한다.The mail firewall device 130 transmits an emergency alert message to the user or administrator of the mail server 120 when the risk of fraudulent mail for the received mail is determined to be equal to or higher than the preset notification criterion grade or the notification criterion value, (140).

도 3a에서는 단계 S310 내지 단계 S340를 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 3a에 기재된 순서를 변경하여 실행하거나 단계 S310 내지 단계 S340 중 하나 이상의 단계를 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 3a는 시계열적인 순서로 한정되는 것은 아니다.3A, steps S310 to S340 are sequentially executed. However, this is merely an example of the technical idea of the present embodiment, and it is obvious to those skilled in the art that the present invention is not limited to this embodiment 3A and 3B are variously modified and modified by executing one or more of the steps S310 to S340 in parallel, so that Fig. But is not limited thereto.

도 3b는 도 3a의 단계 S330 및 단계 S340의 동작을 구체적으로 세분화한 순서도이다. FIG. 3B is a flowchart illustrating the operations of steps S330 and S340 of FIG. 3A in detail.

메일 방화벽 장치(130)는 발신 도메인의 코드 합산값을 산출한다(S350). 메일 방화벽 장치(130)는 발신 도메인에 포함된 문자 각각에 대한 코드값을 합산하여 발신 도메인의 코드 합산값을 산출한다. 여기서, 문자에 대한 코드값은 아스키 코드(ASCII Code)인 것이 바람직하나 반드시 이에 한정되는 것은 아니다. The mail firewall device 130 calculates the code sum value of the originating domain (S350). The mail firewall device 130 calculates the code sum value of the calling domain by summing the code values of the characters included in the calling domain. Here, the code value for the character is preferably an ASCII code, but is not limited thereto.

메일 방화벽 장치(130)는 발신 도메인의 코드 합산값과 고객 도메인의 코드 합산값을 비교하여(S352), 발산 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재 여부를 판단한다(S360). The mail firewall device 130 compares the code sum value of the source domain with the code sum value of the customer domain (S352) and determines whether there is a customer domain having the same code sum value as the code sum value of the divergence domain (S360 ).

단계 S360에서 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하는 경우, 메일 방화벽 장치(130)는 발신 도메인과 고객 도메인을 동일한 도메인으로 판단한다(S362). 메일 방화벽 장치(130)는 발신 도메인과 동일한 고객 도메인이 존재하면 해당 수신 메일이 사기성 메일일 위험도를 가장 낮은 레벨(등급)으로 결정한다(S364).If there is a customer domain having the same code sum value as the code sum value of the sending domain in step S360, the mail firewall device 130 determines the sending domain and the customer domain as the same domain (S362). If there is a same customer domain as the sending domain, the mail firewall device 130 determines the received mail as the lowest level (grade) at the risk of fraudulent mail (S364).

단계 S360에서 발산 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 메일 방화벽 장치(130)는 연락처 리스트 중 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인이 존재 여부를 판단한다(S370).If there is no customer domain having the same code sum value as the code sum value of the diverting domain in step S360, the mail firewall device 130 determines that the difference between the code sum value of the calling domain in the contact list and the code sum value (Step S370).

단계 S370에서 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 메일 방화벽 장치(130)는 수신 메일의 본문 내용에 따라 발신 도메인을 신규 메일주소 또는 사기성 메일주소로 등록하기 위해 본문검사 처리를 수행한다(S372). 단계 S372에서 메일 방화벽 장치(130)는 본문검사 결과에 따라 수신 메일에 대한 발신 도메인을 신규 메일주소 또는 사기성 메일주소로 등록할 수 있다. If there is no customer domain having a code sum value whose difference from the code sum value of the sending domain is less than or equal to the threshold value at step S370, the mail firewall device 130 sets the sending domain as a new mail address or The body inspection process is performed to register the fraudulent e-mail address (S372). In step S372, the mail firewall device 130 may register the sending domain for the received mail as a new mail address or a fraudulent mail address according to the result of the body check.

단계 S370에서 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인이 존재하는 경우, 메일 방화벽 장치(130)는 해당 고객 도메인을 추출한다(S380).If there is a customer domain having a code sum value whose difference from the code sum value of the sending domain is equal to or less than the threshold value in step S370, the mail firewall device 130 extracts the corresponding customer domain (S380).

메일 방화벽 장치(130)는 발신 도메인을 구성하는 문자들의 코드와 추출된 고객 도메인을 구성하는 문자들의 코드를 순서대로 비교하고(S382), 발신 도메인 및 추출된 고객 도메인 간의 상이한 문자쌍의 개수에 따라 유사도를 결정한다(S384). 여기서, 유사도는 발신 도메인 및 고객 도메인 간의 유사한 정도를 나타낸 설정값을 의미하며, 최상, 상, 중, 하, 최하 등의 기 설정된 복수의 등급으로 설정될 수 있으나 반드시 이에 한정되는 것은 아니며 1 내지 10 레벨과 같은 기 설정된 수치 레벨로 설정될 수도 있다. The mail firewall device 130 compares the codes of the characters constituting the calling domain and the codes of the characters constituting the extracted customer domain in order (S382), and compares the codes of the characters constituting the calling domain with the codes of the characters constituting the extracted customer domain in accordance with the number of different character pairs And determines the degree of similarity (S384). Here, the degree of similarity refers to a set value indicating a degree of similarity between a calling domain and a customer domain, and may be set to a predetermined plurality of classes such as top, top, middle, bottom, and bottom. However, Level or a predetermined numerical level such as a level.

단계 S382의 비교 결과에 근거하여 메일 방화벽 장치(130)는 유사문자 DB(222)를 참조하여 상이한 문자쌍을 구성하는 두 문자가 유사 문자인지를 판단하고, 유사 문자로 이루어진 문자쌍의 개수에 따라 유사도를 결정한다. Based on the comparison result in step S382, the mail firewall device 130 refers to the pseudo-character DB 222 to determine whether the two characters constituting the different character pairs are similar characters, and, based on the number of character pairs composed of pseudo characters The degree of similarity is determined.

메일 방화벽 장치(130)는 유사도에 따라 수신 메일의 위험도를 설정한다(S390). 단계 S390에 대한 내용은 도 3a의 단계 S340의 동작과 유사함으로 자세한 설명은 생략하도록 한다. The mail firewall device 130 sets the risk level of the received mail according to the degree of similarity (S390). Since the content of step S390 is similar to that of step S340 of FIG. 3A, a detailed description will be omitted.

도 3b에서는 단계 S350 내지 단계 S390를 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 3b에 기재된 순서를 변경하여 실행하거나 단계 S350 내지 단계 S390 중 하나 이상의 단계를 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 3b는 시계열적인 순서로 한정되는 것은 아니다.3B, it is described that steps S350 to S390 are sequentially executed. However, this is merely an exemplary description of the technical idea of the present embodiment, and it should be understood by those skilled in the art that, It will be understood that various modifications and changes may be made to the invention without departing from the essential characteristics thereof, or alternatively, by executing one or more of the steps S350 through S390 in parallel, But is not limited thereto.

전술한 바와 같이 도 3a 및 도 3b에 기재된 본 실시예에 따른 메일 방화벽 장치(130)의 동작은 프로그램으로 구현되고 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다. 본 실시예에 따른 메일 방화벽 장치(130)의 동작을 구현하기 위한 프로그램이 기록되고 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 이러한 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수도 있다. 또한, 본 실시예를 구현하기 위한 기능적인(Functional) 프로그램, 코드 및 코드 세그먼트들은 본 실시예가 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있을 것이다. As described above, the operation of the mail firewall device 130 according to the embodiment described in Figs. 3A and 3B can be implemented by a program and recorded in a computer-readable recording medium. A program for implementing the operation of the mail firewall device 130 according to the present embodiment is recorded and a computer-readable recording medium includes all kinds of recording devices for storing data that can be read by a computer system. Examples of the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like. The computer readable recording medium may also be distributed over a networked computer system so that computer readable code is stored and executed in a distributed manner. In addition, functional programs, codes, and code segments for implementing the present embodiment can be easily inferred by programmers in the technical field to which the present embodiment belongs.

도 4는 사기성 메일의 피해 사례를 설명하기 위한 예시도이다. 4 is an exemplary diagram for explaining an example of a case of a fraudulent mail.

도 4에 도시된 바와 같이, '업체 A' 및 '업체 B'는 지속적으로 메일을 주고 받으면서 거래를 하던 업체이다. '해커(Hacker)'는 '업체 A' 및 '업체 B' 간의 메일 내용을 모니터링하다가 발신 메일 주소를 유사 도메인으로 변조할 수 있다. As shown in FIG. 4, 'vendor A' and 'vendor B' are companies that continuously exchanged e-mails. The 'Hacker' can monitor the mail content between 'Business A' and 'Business B' and then modulate the outgoing e-mail address into a similar domain.

예를 들어, '업체 A' 및 '업체 B' 각각이 <A@60127406.com> 및 <B@60127406.com>이라는 메일 주소로 거래를 하고 있는 경우, '해커'는 <A@6O127406.com>이라는 유사 도메인으로 변조하여 '업체 B'와 메일을 주고 받을 수 있다. '해커'가 사용한 유사 도메인 <A@6O127406.com>는 육안으로는 '업체A'의 메일 주소와 동일해 보이지만, 실제로는 도메인 영역인 '6O127406.com'의 두번째 숫자 '0'을 대문자 오'O'로 변조한 사기성 메일 주소이다. For example, if "Business A" and "Business B" each deal with an email address of <A@60127406.com> and <B@60127406.com>, the "hacker" is <A@6O127406.com > And exchange mail with 'B'. The similar domain <A@6O127406.com> used by "hacker" looks identical to the e-mail address of 'A' in the eye, but actually the second number '0' in the domain domain '6O127406.com' O 'is a fraudulent e-mail address.

본 발명에서는 전술한 피해 상황을 사전에 방지하기 위해 메일 방화벽 장치(130)를 이용하여 수신 메일이 사기성 메일일 위험도를 판단한다. In the present invention, in order to prevent the above-described damage situation, the mail firewall device 130 is used to determine the risk that the received mail is a fraudulent mail.

도 5는 본 실시예에 따른 사기성 메일의 위험도를 판단하기 위해 도메인을 비교하는 동작을 설명하기 위한 예시도이다. 5 is an exemplary diagram for explaining an operation of comparing domains to determine the risk of fraudulent mail according to the present embodiment.

도 5에 도시된 바와 같이, 메일 방화벽 장치(130)는 유사성 도메인 검사를 통해 발신 도메인 <1@KlWONTECH.com> 와 고객 도메인 <1@KIWONTECH.com> 간의 상이한 문자쌍을 검출할 수 있다. 메일 방화벽 장치(130)는 두 도메인 주소 간의 유사성을 판단하여 사기성 메일의 위험도를 사용자에게 경고 메시지를 전달할 수 있다. As shown in FIG. 5, the mail firewall device 130 can detect a different character pair between the originating domain <1@KlWONTECH.com> and the customer domain <1@KIWONTECH.com> through similarity domain inspection. The mail firewall device 130 can determine the similarity between the two domain addresses and deliver the warning message to the user about the risk of the fraudulent mail.

도 5에 도시된 바와 같이, 메일 방화벽 장치(130)는 사람의 시선으로 구분하기 힘들 수록 유사도가 높은 것으로 판단한다. 여기서, 유사도가 높다는 것은 수신 메일이 사기성 메일일 위험도가 높다는 것을 의미한다. 예를 들어, 메일 방화벽 장치(130)는 유사 문자로 이루어진 상이한 문자쌍이 한 개인 경우 유사도를 '상' 등급으로 설정하고, 상이한 문자쌍이 두 개인 경우 유사도를 '중' 등급으로 설정할 수 있다. As shown in FIG. 5, the mail firewall device 130 determines that the degree of similarity is higher as it is difficult to distinguish the person's eyes. Here, the high degree of similarity means that there is a high risk that the received mail is fraudulent mail. For example, the mail firewall device 130 may set the degree of similarity to an 'upper' rating when there are different character pairs made up of similar characters and set the degree of similarity to 'middle' if there are two different character pairs.

메일 방화벽 장치(130)는 상이한 문자쌍의 개수에 따라 결정된 유사도가 높은 레벨(등급)일 수록 수신 메일이 사기성 메일일 위험도가 높은 것으로 판단한다. The mail firewall device 130 determines that the higher the degree of similarity determined based on the number of different character pairs is, the higher the risk is that the received mail is a fraudulent mail.

도 6은 본 실시예에 따른 사기성 메일의 판단 결과를 출력한 예시도이다. FIG. 6 is a diagram showing an example of outputting a judgment result of a fraudulent mail according to the present embodiment.

도 6에 도시된 바와 같이, 메일 방화벽 장치(130)는 <@dhl.com>과 유사한 도메인으로 수신 메일이 들어온 경우, 해당 유사 도메인인 <@dlhl.com>을 검출하여 검출 결과를 수신자(140) 또는 관리자에게 출력할 수 있다. 여기서, 검출된 유사 도메인은 유사도 및 사기성 메일 위험도를 판단한 후 출력되며, 출력시 유사도 및 사기성 메일 위험도를 같이 제공할 수 있다. As shown in FIG. 6, when a received mail is received in a domain similar to < @ dhl.com >, the mail firewall device 130 detects the similar domain < @ dlhl.com & ) Or to the administrator. Here, the detected similar domain is output after determining the degree of similarity and the risk of fraudulent mail, and can provide the degree of similarity and the risk of fraudulent mail at the time of output.

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing description is merely illustrative of the technical idea of the present embodiment, and various modifications and changes may be made to those skilled in the art without departing from the essential characteristics of the embodiments. Therefore, the present embodiments are to be construed as illustrative rather than restrictive, and the scope of the technical idea of the present embodiment is not limited by these embodiments. The scope of protection of the present embodiment should be construed according to the following claims, and all technical ideas within the scope of equivalents thereof should be construed as being included in the scope of the present invention.

110: 발신자 120: 메일 서버
130: 메일 방화벽 장치 140: 수신자
210: 도메인 추출부 220: 도메인 비교부
222: 유사문자 DB 224: 본문 검사부
230: 위험도 분석부110: sender 120: mail server
130: Mail firewall device 140: Recipient
210: domain extracting unit 220: domain comparing unit
222: similar character DB 224:
230: Risk Analysis Department

Claims (16)

사기성 메일의 위험도를 판단하는 장치에 있어서,
메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출부;
상기 발신 도메인에 포함된 복수의 문자 각각에 대한 코드값을 합산하여 상기 발신 도메인의 코드 합산값을 산출하고, 상기 발신 도메인의 코드 합산값과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인 각각에 대한 코드 합산값을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교부; 및
상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석부를 포함하며,
상기 도메인 비교부는, 상기 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 상기 연락처 리스트 중 상기 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인을 추출하고, 상기 발신 도메인과 상기 추출된 고객 도메인 간의 상기 유사도를 결정하고,
상기 위험도 분석부는, 상기 수신 메일의 본문 내용에 따라 상기 발신 도메인을 신규 메일주소 또는 사기성 메일주소로 등록하기 위한 본문검사를 처리하여 상기 사기성 메일 위험도를 판단하는 것을 특징으로 하는 메일 방화벽 장치. 1. An apparatus for determining the risk of a fraudulent mail,
A domain extracting unit for obtaining a received mail to be delivered to a receiver from a mail server and extracting a sending domain of the received mail;
Calculating a code sum value of the calling domain by summing code values of each of a plurality of characters included in the calling domain, calculating a code sum value of the calling domain and a code for each of at least one customer domain A domain comparison unit for comparing the sum values to determine similarities between the calling domain and the customer domain; And
And a risk analysis unit for determining a risk of a fraudulent mail of the received mail based on the degree of similarity,
Wherein the domain comparison unit has a code sum value in which a difference from a code sum value of the calling domain in the contact list is equal to or less than a threshold value when a customer domain having the same code sum value as the code sum value of the calling domain does not exist Extracting a customer domain, determining the similarity between the originating domain and the extracted customer domain,
Wherein the risk analysis unit determines a risk level of the fraudulent mail by processing a body inspection for registering the sending domain as a new mail address or a fraudulent mail address according to a content of a body of the received mail. 삭제delete 제1항에 있어서,
상기 도메인 비교부는,
상기 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하는 경우, 상기 발신 도메인과 상기 고객 도메인을 동일한 도메인으로 판단하고, 상기 위험도 분석부는 상기 수신 메일의 위험도를 가장 낮게 결정하는 것을 특징으로 하는 메일 방화벽 장치.The method according to claim 1,
Wherein the domain comparison unit comprises:
When the customer domain having the same code sum as the code sum value of the source domain exists, the source domain and the customer domain are determined to be the same domain, and the risk analysis unit determines the lowest risk of the received mail Features a mail firewall device. 삭제delete 삭제delete 사기성 메일의 위험도를 판단하는 장치에 있어서,
메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출부;
상기 발신 도메인에 포함된 복수의 문자 각각에 대한 코드값을 합산하여 상기 발신 도메인의 코드 합산값을 산출하고, 상기 발신 도메인의 코드 합산값과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인 각각에 대한 코드 합산값을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교부; 및
상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석부를 포함하며,
상기 도메인 비교부는, 상기 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 상기 연락처 리스트 중 상기 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인을 추출하고, 상기 발신 도메인을 구성하는 문자들의 코드와 상기 추출된 고객 도메인을 구성하는 문자들의 코드를 순서대로 비교하여 상기 발신 도메인과 상기 추출된 고객 도메인 간의 상기 유사도를 결정하는 것을 특징으로 하는 메일 방화벽 장치.1. An apparatus for determining the risk of a fraudulent mail,
A domain extracting unit for obtaining a received mail to be delivered to a receiver from a mail server and extracting a sending domain of the received mail;
Calculating a code sum value of the calling domain by summing code values of each of a plurality of characters included in the calling domain, calculating a code sum value of the calling domain and a code for each of at least one customer domain A domain comparison unit for comparing the sum values to determine similarities between the calling domain and the customer domain; And
And a risk analysis unit for determining a risk of a fraudulent mail of the received mail based on the degree of similarity,
Wherein the domain comparison unit has a code sum value in which a difference from a code sum value of the calling domain in the contact list is equal to or less than a threshold value when a customer domain having the same code sum value as the code sum value of the calling domain does not exist The customer domain is extracted and the similarity degree between the calling domain and the extracted customer domain is determined by sequentially comparing the codes of the characters constituting the calling domain and the codes of the characters constituting the extracted customer domain. Mail firewall device. 제6항에 있어서,
상기 도메인 비교부는,
상기 발신 도메인 및 상기 추출된 고객 도메인 간의 상이한 문자쌍의 개수에 따라 상기 유사도를 결정하는 것을 특징으로 하는 메일 방화벽 장치. The method according to claim 6,
Wherein the domain comparison unit comprises:
Wherein the degree of similarity is determined based on the number of different character pairs between the calling domain and the extracted customer domain. 제7항에 있어서,
상기 도메인 비교부는,
유사 문자쌍을 저장한 유사문자 DB를 참조하여 상기 상이한 문자쌍을 구성하는 두 문자가 유사 문자인지를 판단하고, 상기 유사 문자로 이루어진 문자쌍의 개수에 따라 상기 유사도를 결정하는 것을 특징으로 하는 메일 방화벽 장치.8. The method of claim 7,
Wherein the domain comparison unit comprises:
Determines similarity between two characters constituting the different character pair by referring to the similar character DB storing similar character pairs, and determines the similarity according to the number of character pairs composed of the similar characters. Firewall device. 제7항에 있어서,
상기 위험도 분석부는,
상기 상이한 문자쌍의 개수가 한 개일 때 상기 사기성 메일의 위험도를 가장 높게 설정하고, 상기 상이한 문자쌍의 개수가 증가함에 따라 상기 사기성 메일의 위험도를 낮게 설정하는 것을 특징으로 하는 메일 방화벽 장치.8. The method of claim 7,
The risk analysis unit,
Wherein the risk level of the fraudulent mail is set to be highest when the number of different character pairs is one and the risk level of the fraudulent mail is set to be low as the number of different character pairs increases. 메일 방화벽 장치가 사기성 메일의 위험도를 판단하는 방법에 있어서,
메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출과정;
상기 발신 도메인에 포함된 복수의 문자 각각에 대한 코드값을 합산하여 상기 발신 도메인의 코드 합산값을 산출하고, 상기 발신 도메인의 코드 합산값과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인 각각에 대한 코드 합산값을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교과정; 및
상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석과정을 포함하며,
상기 도메인 비교과정은, 상기 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 상기 연락처 리스트 중 상기 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인을 추출하고, 상기 발신 도메인을 구성하는 문자들의 코드와 상기 추출된 고객 도메인을 구성하는 문자들의 코드를 순서대로 비교하여 상기 발신 도메인과 상기 추출된 고객 도메인 간의 상기 유사도를 결정하는 것을 특징으로 하는 사기성 메일 위험도 분석방법.A method for a mail firewall device to determine the risk of fraudulent mail,
A domain extracting step of obtaining a received mail to be delivered to a receiver from a mail server and extracting a sending domain of the received mail;
Calculating a code sum value of the calling domain by summing code values of each of a plurality of characters included in the calling domain, calculating a code sum value of the calling domain and a code for each of at least one customer domain Comparing the sum values to determine a degree of similarity between the calling domain and the customer domain; And
And a risk analysis step of determining a risk of a fraudulent mail of the received mail based on the degree of similarity,
Wherein the domain comparison step comprises the steps of: if a customer domain having a code total value equal to the code total value of the source domain does not exist, comparing the code total value of the contact list with the code total value of the source domain, And comparing the codes of the characters constituting the calling domain with the codes of the characters constituting the extracted customer domain in order to determine the similarity between the calling domain and the extracted customer domain How to analyze the fraudulent mail risk. 삭제delete 삭제delete 삭제delete 제10항에 있어서,
상기 도메인 비교과정은,
상기 발신 도메인 및 상기 추출된 고객 도메인 간의 상이한 문자쌍의 개수에 따라 상기 유사도를 결정하는 것을 특징으로 하는 사기성 메일 위험도 분석방법. 11. The method of claim 10,
The domain comparison process includes:
Wherein the degree of similarity is determined according to the number of different character pairs between the originating domain and the extracted customer domain. 제14항에 있어서,
상기 위험도 분석과정은,
상기 상이한 문자쌍의 개수가 한 개일 때 상기 사기성 메일의 위험도를 가장 높게 설정하고, 상기 상이한 문자쌍의 개수가 증가함에 따라 상기 사기성 메일의 위험도를 낮게 설정하는 것을 특징으로 하는 사기성 메일 위험도 분석방법. 15. The method of claim 14,
The risk analysis process includes:
Wherein the risk level of the fraudulent mail is set to be highest when the number of different character pairs is one and the risk level of the fraudulent mail is set to be low as the number of different character pairs increases. 데이터 처리 기기에,
메일 서버로부터 수신자에게 전달되는 수신 메일을 획득하고, 상기 수신 메일의 발신 도메인을 추출하는 도메인 추출과정;
상기 발신 도메인에 포함된 복수의 문자 각각에 대한 코드값을 합산하여 상기 발신 도메인의 코드 합산값을 산출하고, 상기 발신 도메인의 코드 합산값과 연락처 리스트에 기 저장된 적어도 하나의 고객 도메인 각각에 대한 코드 합산값을 비교하여 상기 발신 도메인 및 상기 고객 도메인 간의 유사도를 결정하는 도메인 비교과정; 및
상기 유사도에 근거하여 상기 수신 메일의 사기성 메일 위험도를 판단하는 위험도 분석과정을 포함하며,
상기 도메인 비교과정은, 상기 발신 도메인의 코드 합산값과 동일한 코드 합산값을 갖는 고객 도메인이 존재하지 않는 경우, 상기 연락처 리스트 중 상기 발신 도메인의 코드 합산값과의 차이가 임계값 이하인 코드 합산값을 갖는 고객 도메인을 추출하고, 상기 발신 도메인을 구성하는 문자들의 코드와 상기 추출된 고객 도메인을 구성하는 문자들의 코드를 순서대로 비교하여 상기 발신 도메인과 상기 추출된 고객 도메인 간의 상기 유사도를 결정하는 것을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체.In the data processing device,
A domain extracting step of obtaining a received mail to be delivered to a receiver from a mail server and extracting a sending domain of the received mail;
Calculating a code sum value of the calling domain by summing code values of each of a plurality of characters included in the calling domain, calculating a code sum value of the calling domain and a code for each of at least one customer domain Comparing the sum values to determine a degree of similarity between the calling domain and the customer domain; And
And a risk analysis step of determining a risk of a fraudulent mail of the received mail based on the degree of similarity,
Wherein the domain comparison step comprises the steps of: if a customer domain having a code total value equal to the code total value of the source domain does not exist, comparing the code total value of the contact list with the code total value of the source domain, And determines the similarity between the calling domain and the extracted customer domain by sequentially comparing the codes of the characters constituting the calling domain with the codes of the characters constituting the extracted customer domain A computer-readable recording medium having recorded thereon a program for causing a computer to function as:
KR1020170082082A 2017-06-28 2017-06-28 Method and Apparatus for Determining Risk of Fraudulent Mail KR101857969B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170082082A KR101857969B1 (en) 2017-06-28 2017-06-28 Method and Apparatus for Determining Risk of Fraudulent Mail
JP2017237201A JP6483227B2 (en) 2017-06-28 2017-12-11 Method and apparatus for determining the risk of fraudulent email

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170082082A KR101857969B1 (en) 2017-06-28 2017-06-28 Method and Apparatus for Determining Risk of Fraudulent Mail

Publications (1)

Publication Number Publication Date
KR101857969B1 true KR101857969B1 (en) 2018-06-28

Family

ID=62780136

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170082082A KR101857969B1 (en) 2017-06-28 2017-06-28 Method and Apparatus for Determining Risk of Fraudulent Mail

Country Status (2)

Country Link
JP (1) JP6483227B2 (en)
KR (1) KR101857969B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023145995A1 (en) * 2022-01-27 2023-08-03 (주)기원테크 Email security diagnosis device based on quantitative analysis of threat elements, and operation method thereof

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011130358A (en) * 2009-12-21 2011-06-30 Panasonic Electric Works Co Ltd Electronic mail system and unsolicited mail discriminating method in the electronic mail system
JP4815504B2 (en) * 2009-04-01 2011-11-16 株式会社エヌ・ティ・ティ・ドコモ Message processing apparatus, message processing method, and program
JP4963099B2 (en) * 2007-10-23 2012-06-27 Kddi株式会社 E-mail filtering device, e-mail filtering method and program

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7870608B2 (en) * 2004-05-02 2011-01-11 Markmonitor, Inc. Early detection and monitoring of online fraud
WO2012032606A1 (en) * 2010-09-07 2012-03-15 富士通株式会社 Frame concatenation device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4963099B2 (en) * 2007-10-23 2012-06-27 Kddi株式会社 E-mail filtering device, e-mail filtering method and program
JP4815504B2 (en) * 2009-04-01 2011-11-16 株式会社エヌ・ティ・ティ・ドコモ Message processing apparatus, message processing method, and program
JP2011130358A (en) * 2009-12-21 2011-06-30 Panasonic Electric Works Co Ltd Electronic mail system and unsolicited mail discriminating method in the electronic mail system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023145995A1 (en) * 2022-01-27 2023-08-03 (주)기원테크 Email security diagnosis device based on quantitative analysis of threat elements, and operation method thereof

Also Published As

Publication number Publication date
JP6483227B2 (en) 2019-03-13
JP2019008768A (en) 2019-01-17

Similar Documents

Publication Publication Date Title
US20230344869A1 (en) Detecting phishing attempts
US11546375B2 (en) Detection of external messaging attacks using trust relationships
US10129194B1 (en) Tertiary classification of communications
US10284579B2 (en) Detection of email spoofing and spear phishing attacks
US20190319905A1 (en) Mail protection system
US20190052655A1 (en) Method and system for detecting malicious and soliciting electronic messages
CN104468249B (en) Account abnormity detection method and device
KR101476611B1 (en) electronic message authentication
US8661545B2 (en) Classifying a message based on fraud indicators
US20190132273A1 (en) Analysis and reporting of suspicious email
CN110519150B (en) Mail detection method, device, equipment, system and computer readable storage medium
JP4669348B2 (en) Spam mail discrimination device and spam mail discrimination method
US20220030029A1 (en) Phishing Protection Methods and Systems
CN108418777A (en) A kind of fishing mail detection method, apparatus and system
CN110909384B (en) Method and device for determining business party revealing user information
US20240031481A1 (en) Dynamically providing safe phone numbers for responding to inbound communications
KR101857969B1 (en) Method and Apparatus for Determining Risk of Fraudulent Mail
CN109039863B (en) Self-learning-based mail security detection method and device and storage medium
CN106919842B (en) Computer security protection method and computer
US20230171212A1 (en) Computerized System For Analysis Of Vertices And Edges Of An Electronic Messaging System
CN113556347B (en) Detection method, device and equipment for phishing mails and storage medium
CN115834147A (en) Automatic processing method and device for abnormal mails
CN115037542A (en) Abnormal mail detection method and device
CN115603924A (en) Detection method and device for phishing mails, electronic equipment and storage medium
US20210264430A1 (en) Message Processing Platform for Automated Phish Detection

Legal Events

Date Code Title Description
GRNT Written decision to grant