KR102205997B1 - Method and server determining e-mail attached virus - Google Patents

Method and server determining e-mail attached virus Download PDF

Info

Publication number
KR102205997B1
KR102205997B1 KR1020190042467A KR20190042467A KR102205997B1 KR 102205997 B1 KR102205997 B1 KR 102205997B1 KR 1020190042467 A KR1020190042467 A KR 1020190042467A KR 20190042467 A KR20190042467 A KR 20190042467A KR 102205997 B1 KR102205997 B1 KR 102205997B1
Authority
KR
South Korea
Prior art keywords
information
address
malicious
sending
mail
Prior art date
Application number
KR1020190042467A
Other languages
Korean (ko)
Other versions
KR20200120072A (en
Inventor
배환국
하정호
Original Assignee
소프트캠프 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소프트캠프 주식회사 filed Critical 소프트캠프 주식회사
Priority to KR1020190042467A priority Critical patent/KR102205997B1/en
Publication of KR20200120072A publication Critical patent/KR20200120072A/en
Application granted granted Critical
Publication of KR102205997B1 publication Critical patent/KR102205997B1/en

Links

Images

Classifications

    • H04L51/30
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/23Reliability checks, e.g. acknowledgments or fault reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/205Parsing
    • G06F40/226Validation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/224Monitoring or handling of messages providing notification on incoming messages, e.g. pushed notifications of received messages
    • H04L51/24

Abstract

본 발명은 수신 이메일의 사기성 또는 악성(이하 '악성'으로 칭함) 여부를 판별해서 수신자에게 안내하는 악성 이메일 판별 방법과 이를 실시하기 위한 보안서버에 관한 것으로, 보안서버가 발신 메일서버로부터 수신메일을 수신하는 단계; 상기 보안서버가 수신메일의 발신정보에서 발신주소를 추출하는 발신정보 확인 단계; 상기 보안서버가 관리하는 수신메일들의 속성정보에서 상기 발신주소를 검색하는 검색 단계; 상기 속성정보에서 발신주소가 미검색되면, 상기 보안서버가 발신주소의 문자열과 유사한 문자열을 갖는 속성정보를 발신주소와 비교해서 문자열 유사도를 확인하는 문자열 유사도 확인 단계; 상기 문자열 유사도가 임계범위 이내이면, 상기 보안서버가 알림 콘텐츠를 상기 수신메일에 구성시키는 알림 단계;를 포함하는 것이다.The present invention relates to a malicious e-mail identification method for determining whether an incoming e-mail is fraudulent or malicious (hereinafter referred to as'malicious') and guiding the recipient to a malicious e-mail identification method, and a security server for implementing the same, wherein Receiving; A sending information verification step of extracting a sending address from the sending information of the received mail by the security server; A search step of searching for the originating address from attribute information of received mails managed by the security server; A character string similarity checking step of comparing, by the security server, attribute information having a character string similar to the character string of the source address with the source address to check the character string similarity when the source address is not found in the property information; And a notification step of configuring, by the security server, notification content in the received mail when the character string similarity is within a threshold range.

Description

악성 이메일 판별 방법과 이를 실시하기 위한 보안서버{METHOD AND SERVER DETERMINING E-MAIL ATTACHED VIRUS}How to detect malicious email and security server to implement it {METHOD AND SERVER DETERMINING E-MAIL ATTACHED VIRUS}

본 발명은 수신 이메일의 사기성 또는 악성(이하 '악성'으로 칭함) 여부를 판별해서 수신자에게 안내하는 악성 이메일 판별 방법과 이를 실시하기 위한 보안서버에 관한 것이다.The present invention relates to a method for determining a malicious email that informs a recipient by determining whether the received email is fraudulent or malicious (hereinafter referred to as “malicious”), and a security server for implementing the same.

전자 통신, 온라인 상거래, 및 온라인 뱅킹 상거래와 같은 서비스들의 급격한 발전은 전자 범죄(electronic crime)의 증가를 동반하였다. 특히 피싱(phishing) 및 신원 도용(identity theft) 형태의 인터넷 사기는 인터넷 사용자들에게 대두되는 위협이었다. The rapid development of services such as electronic communications, online commerce, and online banking commerce has been accompanied by an increase in electronic crime. In particular, Internet fraud in the form of phishing and identity theft has been a threat to Internet users.

한편, 개인정보 및 기타 온라인 거래 등의 내역 등(이하 '개인정보'로 칭함)은 인터넷 사기를 위한 주요한 정보로 활용되었고, 심지어 악의를 가지고 제3자에게 무단 판매, 도용 및 유출되는 문제까지 발생하였다.On the other hand, details of personal information and other online transactions (hereinafter referred to as'personal information') were used as important information for Internet fraud, and even problems of unauthorized sale, theft, and leakage to third parties with malicious intent occurred. I did.

그런데 개인정보의 무단 도용은 인터넷 사기, 스팸메일 또는 기타 해킹 등을 통해서 당사자에게 직접적인 금융 손실을 일으킬 수 있었다. 또한 기업은 개인정보의 무단 도용 등으로부터 사용자들을 보호하기 위해서 다양한 보안 기술을 개발 및 적용해야 하므로, 기업별로 보안 비용이 추가로 발생 및 증가해서 해당 물가도 인상시키는 문제까지 초래하였다.However, unauthorized use of personal information could cause direct financial loss to the parties through Internet fraud, spam mail or other hacking. In addition, since companies have to develop and apply various security technologies to protect users from unauthorized theft of personal information, security costs are additionally incurred and increased for each company, resulting in a problem of raising the corresponding price.

이러한 문제를 해소하기 위해서 종래에는 발신자의 이메일 주소(이하 '발신주소')를 확인해서 기존의 악성주소 리스트와 비교하는 기술이 개발되었다. 종래 기술은 기존의 악성주소 리스트에만 의존해서 이메일의 악성 여부를 결정하므로, 이메일 주소의 신설로 인해서 상기 리스트에 해당 발신주소를 확인할 수 없다면 이메일의 악성 여부를 판별할 수 없게 되는 한계가 있었다.In order to solve this problem, conventionally, a technology has been developed to check the sender's e-mail address (hereinafter, referred to as'from address') and compare it with the existing list of malicious addresses. Since the prior art relies only on the list of existing malicious addresses to determine whether the email is malicious, there is a limitation in that it is impossible to determine whether the email is malicious if the sending address cannot be confirmed in the list due to the establishment of an email address.

선행기술문헌 1. 특허공개번호 제10-1437521호(2014.09.03 공고)Prior Art Document 1. Patent Publication No. 10-1437521 (announced on September 3, 2014)

이에 본 발명은 상기의 문제를 해소하기 위해 발명된 것으로, 악성 URL, IP, 전화번호 등이 등록된 악성정보 없이도 수신 이메일의 악성 여부를 판별해서 수신자에게 경고할 수 있는 악성 이메일 판별 방법과 이를 실시하기 위한 보안서버의 제공을 해결하고자 하는 과제로 한다.Accordingly, the present invention was invented to solve the above problems, and a malicious email identification method capable of warning the recipient by determining whether the received email is malicious without malicious information registered with malicious URL, IP, phone number, etc. It is a task to solve the provision of a security server for doing so.

상기의 과제를 달성하기 위하여 본 발명은,In order to achieve the above object, the present invention,

보안서버가 발신 메일서버로부터 수신메일을 수신하는 단계;Receiving, by the security server, a received mail from the sending mail server;

상기 보안서버가 수신메일의 발신정보에서 발신주소를 추출하는 발신정보 확인 단계;A sending information verification step of extracting a sending address from the sending information of the received mail by the security server;

상기 보안서버가 관리하는 수신메일들의 속성정보에서 상기 발신주소를 검색하는 검색 단계;A search step of searching for the originating address from attribute information of received mails managed by the security server;

상기 속성정보에서 발신주소가 미검색되면, 상기 보안서버가 발신주소의 문자열과 유사한 문자열을 갖는 속성정보를 발신주소와 비교해서 문자열 유사도를 확인하는 문자열 유사도 확인 단계; 및A character string similarity checking step of comparing, by the security server, attribute information having a character string similar to the character string of the source address with the source address to check the character string similarity when the source address is not found in the property information; And

상기 문자열 유사도가 임계범위 이내이면, 상기 보안서버가 알림 콘텐츠를 상기 수신메일에 구성시키는 알림 단계;A notification step of configuring, by the security server, notification content in the received mail if the character string similarity is within a threshold range;

를 포함하는 악성 이메일 판별 방법이다.It is a method of determining malicious emails including.

상기의 다른 기술적 과제를 달성하기 위하여 본 발명은,In order to achieve the above other technical problem, the present invention,

악성정보를 관리하는 악성정보 관리모듈;A malicious information management module for managing malicious information;

수신메일들의 속성정보를 관리하는 메일이력 관리모듈;A mail history management module for managing attribute information of received mails;

수신메일의 발신정보에서 발신주소를 추출하는 발신정보 확인모듈;A sending information checking module for extracting a sending address from sending information of the received mail;

상기 악성정보와 속성정보에서 발신주소를 검색하여, 상기 발신주소가 악성정보에서 검색되거나, 상기 발신주소와 속성정보 간의 문자열 유사도가 임계범위 이내이면, 알림 명령값을 생성하는 수신메일 확인모듈; 및A received mail checking module for searching for a sending address from the malicious information and attribute information, and generating a notification command value if the sending address is searched from malicious information or if the character string similarity between the sending address and attribute information is within a threshold range; And

상기 알림 명령값에 대응한 알림 콘텐츠를 상기 수신메일에 구성시키는 알림모듈;A notification module configured to configure notification content corresponding to the notification command value in the received mail;

을 포함하는 악성 이메일 판별 기능의 보안서버이다.It is a security server with a malicious email identification function including.

본 발명은, 악성 URL, IP, 전화번호 등이 등록된 악성정보 없이도 수신 이메일의 악성 여부를 판별해서 수신자에게 경고할 수 있으므로, 온라인을 통해 상기 악성정보를 제공받아 업데이트하면서 소비되는 데이터 통신량을 줄일 수 있고, 비교적 대용량의 악성정보를 저장해야 하는 시스템 부담도 줄일 수 있는 효과가 있다.According to the present invention, since the malicious URL, IP, phone number, etc. can be determined and warned to the recipient without the registered malicious information, the amount of data communication consumed while receiving and updating the malicious information online is reduced. In addition, there is an effect of reducing the burden on the system for storing relatively large amounts of malicious information.

도 1은 본 발명에 따른 바람직한 일 예로서 보안서버를 개략적으로 도시한 블록도이고,
도 2는 본 발명에 따른 바람직한 일 예로서 판별 방법에 따른 수신메일의 보안 과정을 도시한 플로차트이고,
도 3은 이메일 발신주소의 변조 모습을 예시한 테이블이고,
도 4는 본 발명에 따른 바람직한 일 예로서 보안서버가 악성으로 확인된 수신메일에 알림 콘텐츠를 삽입한 모습을 예시한 이미지이고,
도 5는 본 발명에 따른 바람직한 일 예로서 보안서버가 판별하는 이메일 내용을 보인 이미지이고,
도 6은 본 발명에 따른 바람직한 다른 예로서 보안서버를 개략적으로 도시한 블록도이고,
도 7은 본 발명에 따른 바람직한 일 예로서 판별 방법에 따른 도 2의 보안 과정을 잇는 다음 단계의 보안 과정을 도시한 플로차트이고,
도 8은 본 발명에 따른 바람직한 다른 예로서 보안서버가 판별하는 이메일 내용을 보인 이미지이다.1 is a block diagram schematically showing a security server as a preferred example according to the present invention,
2 is a flowchart showing a security process of a received mail according to a method for determining as a preferred example according to the present invention,
3 is a table illustrating an example of alteration of an email sending address,
FIG. 4 is an image illustrating a state in which a security server inserts notification content into a received mail identified as malicious as a preferred example according to the present invention.
5 is an image showing e-mail content determined by a security server as a preferred example according to the present invention,
6 is a block diagram schematically showing a security server as another preferred example according to the present invention,
FIG. 7 is a flowchart showing a security process of the next step that connects the security process of FIG. 2 according to the determination method as a preferred example according to the present invention,
8 is an image showing e-mail contents determined by a security server as another preferred example according to the present invention.

상술한 본 발명의 특징 및 효과는 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 출원에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.The features and effects of the present invention described above will become apparent through the following detailed description in connection with the accompanying drawings, whereby those of ordinary skill in the technical field to which the present invention pertains can easily implement the technical idea of the present invention. There will be. Since the present invention can apply various changes and have various forms, specific embodiments will be illustrated in the drawings and described in detail in the text. However, this is not intended to limit the present invention to a specific disclosed form, and it should be understood to include all changes, equivalents, and substitutes included in the spirit and scope of the present invention. The terms used in the present application are only used to describe specific embodiments, and are not intended to limit the present invention.

이하, 본 발명을 구체적인 내용이 첨부된 도면에 의거하여 상세히 설명한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 바람직한 일 예로서 보안서버를 개략적으로 도시한 블록도이다.1 is a block diagram schematically showing a security server as a preferred example according to the present invention.

도 1을 참조하면, 본 발명에 따른 보안서버(200)는, 악성정보를 관리하는 악성정보 관리모듈(210); 수신메일들의 속성정보를 관리하는 메일이력 관리모듈(220); 수신메일의 발신정보에서 발신주소를 추출하는 발신정보 확인모듈(240); 상기 악성정보와 속성정보에서 발신주소를 검색하여, 상기 발신주소가 악성정보에서 검색되거나, 상기 발신주소와 속성정보 간의 문자열 유사도가 임계범위 이내이면, 알림 명령값을 생성하는 수신메일 확인모듈(230); 상기 알림 명령값에 대응한 알림 콘텐츠를 상기 수신메일에 구성시키는 알림모듈(250);을 포함한다.Referring to Figure 1, the security server 200 according to the present invention, a malicious information management module 210 for managing malicious information; A mail history management module 220 for managing attribute information of received mails; A sending information checking module 240 for extracting a sending address from sending information of the received mail; A received mail verification module 230 that searches for a sending address from the malicious information and attribute information, and generates a notification command value if the sending address is searched from malicious information or if the string similarity between the sending address and attribute information is within a threshold range. ); And a notification module 250 configured to configure notification content corresponding to the notification command value in the received mail.

각 구성요소에 대해 좀 더 구체적으로 설명한다. 상기 악성정보 관리모듈(210)은, 스팸메일 주소, 보이스피싱 전화번호, 바이러스 확산 이력이 있는 이메일 주소 등의 악성정보를 관리한다. 상기 악성정보의 저장은 악성정보 관리모듈(210)이 직접 저장할 수도 있고, 별도의 DB서버(미 도시함)에 저장할 수도 있다.Each component will be described in more detail. The malicious information management module 210 manages malicious information such as a spam email address, a voice phishing phone number, and an email address having a history of virus spread. The malicious information may be directly stored by the malicious information management module 210 or in a separate DB server (not shown).

상기 메일이력 관리모듈(220)은 보안서버(200)가 수신했던 수신메일들의 속성정보를 관리한다. 상기 속성정보는 발신자 클라이언트(S)에서 작성된 이메일 데이터를 발신 메일서버(100)가 DNS(Domain Name System)과 SMTP(Simple Mail Transfer Protocol)를 통해 메일링 처리하기 위하여 생성된 것으로, 수신지 확인을 위한 수신정보와, 발신지 확인을 위한 발신정보를 포함한다.The mail history management module 220 manages attribute information of received mails received by the security server 200. The attribute information is generated in order for the sending mail server 100 to mail data created by the sender client S through DNS (Domain Name System) and SMTP (Simple Mail Transfer Protocol). It includes receiving information for and sending information for confirming the source.

상기 수신메일은, 상기 발신정보 및 수신정보와 더불어 본문정보 등을 더 포함한다. 상기 발신정보는 발신주소, 발신시각, 발신자 및 발신자 표시 등을 포함한다. 상기 수신정보는 수신주소 및 수신자 등을 포함한다. 상기 본문정보는 이메일 명칭, 이메일 본문 등을 포함한다.The received mail further includes body information and the like in addition to the sending information and the received information. The calling information includes a calling address, calling time, calling party and calling party identification. The received information includes a receiving address and a recipient. The body information includes the name of the email and the body of the email.

상기 발신정보 확인모듈(240)은, 수신메일의 발신정보에서 발신주소를 추출한다. 상기 수신메일은 발신 메일서버(100)로부터 SMTP 기반의 패킷 단위의 데이터로 전송되므로, 발신정보 확인모듈(240)은 상기 패킷 단위의 데이터를 통합 분석해서 발신정보에 구성된 발신주소를 추출한다. 상기 발신주소는 발신 메일서버(100)에 등록된 발신자 클라이언트(100)의 이메일 주소이다.The sending information checking module 240 extracts a sending address from sending information of the received mail. Since the received mail is transmitted from the outgoing mail server 100 as data in an SMTP-based packet unit, the outgoing information verification module 240 comprehensively analyzes the data in the packet unit and extracts the outgoing address configured in the outgoing information. The sending address is an email address of the sender client 100 registered in the sending mail server 100.

상기 수신메일 확인모듈(230)은, 상기 악성정보와 속성정보에서 발신주소를 검색하여, 상기 발신주소가 악성정보에서 검색되거나, 상기 발신주소와 속성정보 간의 문자열 유사도가 임계범위 이내이면, 알림 명령값을 생성한다. 수신메일 확인모듈(230)은 수신메일의 발신주소가 메일이력 관리모듈(220)이 관리하는 속성정보에 존재하는지 여부를 확인한다. 또한 수신메일 확인모듈(230)은 수신메일의 악성 여부도 판단하므로, 수신메일의 발신주소가 악성정보 관리모듈(210)이 관리하는 악성정보에 존재하는지 여부를 확인한다. 확인결과 상기 수신메일의 발신주소가 속성정보에 존재하며 악성정보에도 존재하면, 알림 명령값을 생성한다. 또한, 상기 수신메일의 발신주소가 속성정보에 미존재하면, 상기 수신메일의 발신주소와 속성정보 간의 문자열 유사도를 확인한다. 확인 결과, 문자열 유사도가 임계범위 이내이면, 수신메일 확인모듈(230)은 해당 발신주소는 악성 가능성이 높은 것으로 판단하고 알림 명령값을 생성한다. 참고로, 상기 문자열 유사도 측정은 레벤시타인 거리(Levenshtein distance) 방식으로 이루어진다. 상기 레빈시타인 거리는 한 문자열을 다른 문자열로 바꿀 때 몇 번의 변경이 필요한지를 측정하는 방식이다.The received mail confirmation module 230 searches for a sending address from the malicious information and attribute information, and if the sending address is searched from malicious information or a string similarity between the sending address and attribute information is within a threshold range, a notification command Create a value. The received mail confirmation module 230 checks whether the sending address of the received mail is present in attribute information managed by the mail history management module 220. In addition, since the received mail confirmation module 230 also determines whether the received mail is malicious, it checks whether the sending address of the received mail exists in malicious information managed by the malicious information management module 210. As a result of checking, if the sending address of the received mail exists in the attribute information and also exists in the malicious information, a notification command value is generated. In addition, if the originating address of the received mail does not exist in the attribute information, the similarity of the character string between the originating address of the received mail and the attribute information is checked. As a result of the confirmation, if the character string similarity is within the threshold range, the received mail confirmation module 230 determines that the sending address has a high possibility of maliciousness and generates a notification command value. For reference, the string similarity measurement is performed by a Levenshtein distance method. The levinstein distance is a method of measuring how many times a character string needs to be changed when replacing one character string with another character string.

이외에도 상기 수신메일 확인모듈(230)은, 상기 발신주소의 문자열 유사도가 임계범위 이내로 확인되면, 해당 수신메일의 수신주소를 확인하고, 상기 수신주소와 연계된 발신메일들의 저장정보를 확인한다. 이를 위해 본 실시의 보안서버(200)는 수신주소와 관련된 발신주소를 분류해서 개별 관리하도록 처리하는 프로세스를 더 포함한다. 이를 좀 더 구체적으로 설명하면, 메일이력 관리모듈(220)은 수신메일의 속성정보 중에 발신주소와 수신주소를 서로 링크한다. 따라서 수신메일 확인모듈(230)은 발신주소 검색 시에 수신주소를 확인할 수 있다. 확인 결과 해당 수신주소가 앞서 임계범위 이내로 확인된 발신주소의 저장정보에서 검색되면, 알림 명령값을 생성한다. 따라서 해당 발신주소와 직접 연관된 수신자에 대한 수신메일에만 알림 콘텐츠가 추가 구성되도록 한다.In addition, when the character string similarity of the sending address is confirmed to be within a threshold range, the received mail confirmation module 230 checks the receiving address of the corresponding received mail and checks storage information of the sending mails associated with the receiving address. To this end, the security server 200 of the present embodiment further includes a process of classifying and individually managing a source address related to a destination address. In more detail, the mail history management module 220 links the sending address and the receiving address among attribute information of the received mail. Accordingly, the received mail confirmation module 230 may check the receiving address when searching for the sending address. As a result of the verification, when the corresponding destination address is retrieved from the stored information of the source address that has been previously identified within the threshold range, a notification command value is generated. Therefore, notification content is additionally configured only for incoming mails for recipients directly related to the sending address.

상기 알림모듈(250)은, 상기 알림 명령값에 대응한 알림 콘텐츠를 상기 수신메일에 구성시킨다. 보안서버(200)는 악성 여부가 판별된 수신메일을 수신 메일서버(300)에 발신하므로, 수신자 클라이언트(R, R')는 수신 메일서버(300)의 POP3(Post Office Protocol)에 의해 상기 수신메일을 수신하고, 상기 알림 콘텐츠는 수신자 클라이언트(R, R')에 출력되는 이메일 본문과 함께 출력된다. 수신자는 이메일 본문과 함께 출력된 알림 콘텐츠를 확인하여 상기 수신메일이 악성인지 여부를 사전에 인지할 수 있다. 상기 알림 콘텐츠는 경고메시지이거나, 제목의 색상을 변경하거나, 악성이 확인되었음을 안내하는 아이콘 등일 수 있다.The notification module 250 configures notification content corresponding to the notification command value in the received mail. Since the security server 200 sends the received mail, which is determined to be malicious, to the receiving mail server 300, the recipient clients (R, R') receive the received mail by POP3 (Post Office Protocol) of the receiving mail server 300. Upon receiving the mail, the notification content is output together with the body of the email output to the recipient clients (R, R'). The recipient can recognize in advance whether the received mail is malicious by checking the notification content output along with the email body. The notification content may be a warning message, a color of a title, or an icon indicating that malicious code has been confirmed.

도 2는 본 발명에 따른 바람직한 일 예로서 판별 방법에 따른 수신메일의 보안 과정을 도시한 플로차트이고, 도 3은 이메일 발신주소의 변조 모습을 예시한 테이블이고, 도 4는 본 발명에 따른 바람직한 일 예로서 보안서버가 악성으로 확인된 수신메일에 알림 콘텐츠를 삽입한 모습을 예시한 이미지이다.FIG. 2 is a flowchart showing a security process of a received mail according to a discrimination method as a preferred example according to the present invention, FIG. 3 is a table illustrating a modification of an email originating address, and FIG. 4 is a preferred one according to the present invention. As an example, this is an image illustrating how the security server inserts the notification content into the received mail that has been identified as malicious.

도 1 내지 도 3을 참조하여 설명한다.It will be described with reference to FIGS. 1 to 3.

S11; 수신메일 확인 단계S11; Steps to check incoming mail

상기 보안서버(200), 즉 보안서버(200)의 수신메일 확인모듈(230)이 발신 메일서버(100)로부터 수신메일을 수신하고, 상기 수신메일의 정보를 확인한다. 상기 수신메일의 정보는 발신정보와 수신정보 및 본문정보를 포함한다.The security server 200, that is, the received mail confirmation module 230 of the security server 200 receives the received mail from the outgoing mail server 100, and checks the information of the received mail. The information of the received mail includes sending information, receiving information, and body information.

본 발명에 따른 보안서버(200)는, 발신자 클라이언트(S)의 이메일 발신을 위한 발신 메일서버(100)와, 수신자 클라이언트(R, R')의 이메일 수신을 위한 수신 메일서버(300) 간에 이메일 통신을 중계하도록 구성된다. 따라서, 보안서버(200)는 발신 메일서버(100)와 수신 메일서버(300)를 통신하는 수많은 이메일 데이터 중, 발신 메일서버(100) 또는 수신 메일서버(300) 또는 수신자 클라이언트(R, R')의 설정 등에 따라 선택적으로 보안 처리 된다.The security server 200 according to the present invention is an email between the sending mail server 100 for sending an email by the sender client (S) and the receiving mail server 300 for receiving the email by the recipient client (R, R'). It is configured to relay communications. Therefore, the security server 200 is the sending mail server 100 or the receiving mail server 300 or the recipient client (R, R') among a number of email data that communicates the sending mail server 100 and the receiving mail server 300 ), security is selectively processed.

S12; 발신정보 확인단계S12; Steps to check outgoing information

상기 보안서버(200), 즉 보안서버(200)의 발신정보 확인모듈(240)이 수신메일의 발신정보에서 발신주소를 추출한다. The security server 200, that is, the sending information confirmation module 240 of the security server 200 extracts the sending address from the sending information of the received mail.

S13; 검색 단계S13; Search step

상기 보안서버(200), 즉, 수신메일 확인모듈(230)은 메일이력 관리모듈(220)이 관리하는 수신메일들의 속성정보에서 상기 발신주소를 검색한다. 전술한 바와 같이 메일이력 관리모듈(220)은 발신자 클라이언트(100)와 수신자 클라이언트(300) 간에 발,수신된 이메일의 속성정보를 관리하므로, 그동안 누적된 이메일의 발신주소는 메일이력 관리모듈(220)이 관리하는 속성정보에 포함된다.The security server 200, that is, the received mail confirmation module 230, searches for the sending address from attribute information of the received mails managed by the mail history management module 220. As described above, since the mail history management module 220 manages attribute information of emails sent and received between the sender client 100 and the recipient client 300, the sending address of the accumulated emails is the mail history management module 220 ) Is included in the attribute information managed by

S14; 문자열 유사도 확인 단계S14; Steps to check string similarity

상기 검색 단계(S13)에서 상기 속성정보 중에 발신주소가 미검색되면, 상기 보안서버(200), 즉 수신메일 확인모듈(230)이 발신주소의 문자열과 유사한 문자열을 갖는 속성정보를 발신주소와 비교해서 문자열 유사도를 확인한다.In the search step (S13), if the sending address is not searched among the attribute information, the security server 200, that is, the received mail verification module 230, compares attribute information having a character string similar to that of the sending address with the sending address. To check the string similarity.

이를 좀 더 구체적으로 설명하면, 상기 속성정보에서 미검색된 새로운 형태의 발신주소라면, 아직 미검증된 악성 이메일일 수 있다. 따라서 해당 수신메일은 악성 여부를 판별해야 할 대상으로 분류된다. 이를 위해 수신메일 확인모듈(230)은 1차적으로 상기 속성정보에 포함된 이메일 주소 중 상기 수신메일의 발신주소와 유사한 이메일 주소를 확인한다. 상기 수신메일의 발신주소와 상기 속성정보의 이메일 주소 간의 유사도는 문자열 유사도 비교를 통해 이루어진다. 일 예를 들어 설명하면, 도 3에 도시한 바와 같이, 정상 발신주소인 'susanlee@gmail.com'가 'susanleee@gmail.com' 또는 'susnalee@gmail.com'로 변조되어서 악성으로 활용될 수 있다. 여기서, 변조 발신주소인 'susanleee@gmail.com'는 정상 발신주소 중 "e" 글자가 추가되었다. 또한 변조 발신주소인 'susnalee@gmail.com'는 "n"과 "a" 글자의 위치가 변경되었다. 따라서 상기 정상 발신주소는 속성정보에서 검색되지만, 상기 변조 발신주소는 속성정보에서 미검색된다. 하지만, 상기 정상 발신주소와 변조 발신주소는 최소의 글자만이 추가되거나 일부 글자의 위치만이 변경되면서 문자열 유사도가 높음을 알 수 있다. 이는 곧 수신자의 착각을 유도하기 위한 목적이며, 해당 수신메일이 악성임을 방증하는 근거일 수 있다. In more detail, if this is a new type of sending address that has not been searched in the attribute information, it may be a malicious email that has not yet been verified. Therefore, the received mail is classified as a target to be determined whether it is malicious. To this end, the received mail confirmation module 230 first checks an email address similar to the originating address of the received mail among the email addresses included in the attribute information. The degree of similarity between the originating address of the received mail and the e-mail address of the attribute information is achieved through a character string similarity comparison. For example, as shown in FIG. 3, the normal sending address'susanlee@gmail.com' is altered to'susanleee@gmail.com' or'susnalee@gmail.com' and thus may be used as malicious. have. Here,'susanleee@gmail.com', which is the altered sending address, has the letter "e" added to the normal sending address. In addition, the positions of the letters "n" and "a" have been changed in the altered sending address,'susnalee@gmail.com'. Accordingly, the normal originating address is retrieved from attribute information, but the altered originating address is not retrieved from attribute information. However, it can be seen that the normal originating address and the altered originating address have a high character string similarity as only the minimum number of characters is added or only the positions of some characters are changed. This is the purpose of inducing the misunderstanding of the recipient, and may be the basis for proving that the received mail is malicious.

전술한 바와 같이, 상기 문자열 유사도 측정은 레벤시타인 거리(Levenshtein distance) 방식으로 이루어진다.As described above, the string similarity measurement is performed by a Levenshtein distance method.

S15; 임계범위 확인 단계S15; Critical Range Check Step

상기 보안서버(200), 즉 수신메일 확인모듈(230)은 상기 문자열 유사도가 임계범위 이내인지 여부를 확인한다. 상기 수신메일의 발신주소는 속성정보에는 미존재하는 이메일 주소이므로, 상기 문자열 유사도가 100% 동일할 수는 없다. 따라서 지정값 이상이지만 100%는 아닌 임계범위를 지정한다. The security server 200, that is, the received mail confirmation module 230, checks whether the character string similarity is within a threshold range. Since the sending address of the received mail is an email address that does not exist in the attribute information, the character string similarity cannot be 100% identical. Therefore, a threshold range that is more than the specified value but not 100% is specified.

S16; 알림 단계S16; Notification steps

상기 보안서버(200), 즉 수신메일 확인모듈(230)은 상기 문자열 유사도가 임계범위 이내인 것으로 확인되면, 해당 발신주소가 변조 발신주소인 것으로 간주하고 알림 명령값을 생성한다.The security server 200, that is, the received mail confirmation module 230, when it is determined that the character string similarity is within a threshold range, considers that the sending address is a forged sender address and generates a notification command value.

상기 알림 명령값을 수신한 보안서버(200)의 알림모듈(250)은, 도 4에 도시된 바와 같이, 알림 콘텐츠를 상기 수신메일에 구성되도록 처리한다.The notification module 250 of the security server 200 receiving the notification command value processes notification content to be configured in the received mail, as shown in FIG. 4.

따라서 수신자 클라이언트(300)에 출력된 수신메일은 알림 콘텐츠와 함께 출력되고, 수신자 클라이언트(300)에 출력된 수신메일을 확인하는 수신자는 해당 수신메일을 주의하며 확인할 수 있다.Accordingly, the received mail output to the recipient client 300 is output along with the notification content, and a recipient who checks the received mail output to the recipient client 300 can check the received mail with caution.

이외에도 상기 수신메일 확인모듈(230)은, 상기 발신주소의 문자열 유사도가 임계범위 이내로 확인되면, 해당 수신메일의 수신주소를 확인하고, 상기 수신주소와 연계된 발신메일들의 저장정보를 확인한다. 확인 결과 해당 수신주소가 앞서 임계범위 이내로 확인된 발신주소의 저장정보에서 검색되면, 알림 명령값을 생성한다. In addition, when the character string similarity of the sending address is confirmed to be within a threshold range, the received mail confirmation module 230 checks the receiving address of the corresponding received mail and checks storage information of the sending mails associated with the receiving address. As a result of the verification, when the corresponding destination address is retrieved from the stored information of the source address that has been previously identified within the threshold range, a notification command value is generated.

S17; 확인 단계S17; Verification steps

상기 검색 단계에서 발신주소와 동일한 속성정보가 확인되면, 상기 보안서버(200), 즉 수신메일 확인모듈(230)은 상기 동일한 속성정보의 악성정보 여부를 확인한다. When the same attribute information as the source address is confirmed in the search step, the security server 200, that is, the received mail confirmation module 230, checks whether the same attribute information is malicious information.

전술한 바와 같이 상기 속성정보는 악성 이메일 여부에 상관 없이 발,수신된 이메일 주소라면 모두 포함하므로, 상기 발신주소가 속성정보에 존재하면 다음으로 악성 여부를 확인해야 한다. 따라서 수신메일 확인모듈(230)은 악성정보 관리모듈(210)이 관리하는 악성정보를 검색해서 해당 속성정보, 즉 발신주소의 존재 여부를 확인한다.As described above, since the attribute information includes all email addresses sent and received regardless of whether or not the email is malicious, if the sending address is present in the attribute information, it is necessary to check whether it is malicious next. Accordingly, the received mail checking module 230 searches for malicious information managed by the malicious information management module 210 and checks whether the corresponding attribute information, that is, the sending address exists.

상기 확인 결과, 상기 동일한 속성정보가 악성정보로 확인되면, 상기 알림 단계(S16)에서 보안서버(200), 즉 수신메일 확인모듈(230)이 알림 명령값을 생성하고, 알림모듈(250)은 상기 알림 명령값에 따라 알림 콘텐츠를 해당 수신메일에 구성시킨다. 상기 알림 콘텐츠 구성에 대한 설명은 전술한 바 있으므로, 여기서는 중복 설명은 피한다.As a result of the confirmation, if the same attribute information is confirmed as malicious information, the security server 200, that is, the received mail confirmation module 230, generates a notification command value in the notification step S16, and the notification module 250 According to the notification command value, notification content is configured in the received mail. Since the description of the configuration of the notification content has been described above, redundant descriptions are avoided here.

본 발명에 따른 보안서버(200) 및 판별 방법은, 발신주소의 도메인을 확인해서 수신메일의 악성 여부를 판별하는 기술을 더 포함한다.The security server 200 and the determination method according to the present invention further include a technology for determining whether the received mail is malicious by checking the domain of the sending address.

본 발명에 따른 보안서버(200)의 수신메일 확인모듈(230)은, 상기 발신주소의 도메인과 속성정보의 도메인을 비교해서, 불일치하면 알림 명령값을 생성한다.The received mail confirmation module 230 of the security server 200 according to the present invention compares the domain of the originating address with the domain of the attribute information, and generates a notification command value if they do not match.

도 3에 도시된 바와 같이, 정상 발신주소인 'kyle@koreaseafood.com'과 변조 발신주소인 'kyle.koreaseafood@gmail.com'은 이메일 주소를 구성하는 글자의 차이가 분명해서 정상 발신주소와는 문자열 유사도가 작다. 하지만 일견하면 수신자에게 동일한 발신주소로 혼동을 일으키게 할 수 있다. As shown in FIG. 3, the normal sending address'kyle@koreaseafood.com' and the altered sending address'kyle.koreaseafood@gmail.com' differ from the normal sending address because the letters constituting the email address are clearly different. String similarity is small. But at first glance, it can confuse the recipient with the same source address.

따라서 상기 수신메일 확인모듈(230)은, 메일이력 관리모듈(220)에서 발신주소와 유사한 이메일 주소의 속성정보인 정상 발신주소를 검색하고, 검색된 상기 속성정보의 도메인과 수신메일의 발신주소 도메인을 비교한다.Accordingly, the received mail confirmation module 230 searches for a normal sending address, which is attribute information of an email address similar to the sending address in the mail history management module 220, and determines the domain of the searched attribute information and the sending address domain of the received mail. Compare.

상기 수신메일 확인모듈(230)의 속성정보 검색은 다음의 과정으로 진행된다.The search for attribute information of the received mail confirmation module 230 proceeds as follows.

우선, 상기 수신메일의 발신주소를 확인해서 도메인과 ID를 확인한다. 본 실시 예의 발신주소인 'kyle.koreaseafood@gmail.com'에서 도메인은 "gmail.com"이고, ID는 "kyle.koreaseafood"이다.First, the sending address of the received mail is checked to confirm the domain and ID. In the sending address of the present embodiment,'kyle.koreaseafood@gmail.com', the domain is "gmail.com" and the ID is "kyle.koreaseafood".

다음으로, 수신메일 확인모듈(230)은, 상기 발신주소의 도메인과 ID가 확인되면, 상기 ID에 구성된 키워드인 "kyle"와 "koreaseafood"를 메일이력 관리모듈(220)에서 검색한다. 이때 상기 검색은 속성정보의 정상 발신주소를 구성하는 ID와 도메인에 구분없이 상기 키워드를 포함하는 속성정보는 모두 검색한다. 또한 수신메일 확인모듈(230)은 상기 키워드와 유사한 키워드를 포함하는 속성정보도 모두 검색한다. 키워드 간의 유사 여부는 전술한 문자열 유사도 측정을 통해 이루어지고, 임계치 이상의 유사도를 갖는 속성정보를 모두 검색한다.Next, when the domain and ID of the sending address are confirmed, the received mail confirmation module 230 searches the mail history management module 220 for keywords "kyle" and "koreaseafood" configured in the ID. At this time, the search searches all attribute information including the keyword regardless of the ID and domain constituting the normal origination address of the attribute information. In addition, the received mail confirmation module 230 also searches all attribute information including keywords similar to the keyword. The similarity between keywords is determined through the measurement of the string similarity described above, and all attribute information having a similarity greater than or equal to a threshold is searched.

다음으로, 수신메일 확인모듈(230)은 상기 발신주소와 검색된 속성정보 간의 도메인 동일 여부를 확인한다.Next, the received mail confirmation module 230 checks whether the domain is identical between the sending address and the searched attribute information.

다음으로, 수신메일 확인모듈(230)은 상기 발신주소와 검색된 속성정보의 도메인이 불일치하면 알림 명령값을 생성한다.Next, the received mail confirmation module 230 generates a notification command value when the source address and the domain of the searched attribute information do not match.

도 5는 본 발명에 따른 바람직한 일 예로서 보안서버가 판별하는 이메일 내용을 보인 이미지이다.5 is an image showing e-mail content determined by a security server as a preferred example according to the present invention.

도 1과 도 2와 도 5를 참조하면, 본 발명에 따른 보안서버(200)의 발신정보 확인모듈(240)은, 상기 발신정보에서 발신자 표시('①' 참조)를 확인하고; 상기 수신메일 확인모듈(230)은, 상기 발신정보 확인모듈(240)이 확인한 발신자의 이메일 주소를 발신주소와 비교해서, 불일치하면 알림 명령값을 생성한다.1, 2, and 5, the sending information confirmation module 240 of the security server 200 according to the present invention checks the caller indication (refer to'①') in the sending information; The received mail checking module 230 compares the sender's email address checked by the sending information checking module 240 with the sending address, and generates a notification command value if it does not match.

도 5에 도시된 바와 같이, 수신메일의 발신정보는 발신주소('From')는 물론 발신자 표시('Sender')를 포함한다. 여기서 상기 발신자 표시는 발신자가 직접 작성할 수 있으므로, 발신자가 발신주소와는 다른 이메일 주소를 표시할 수 있다. 따라서 발신자는 상기 발신자 표시에 수신자가 알고 있는 이메일 주소를 표시할 수 있고, 이 경우 수신자는 상기 발신자 표시만을 보고 발신주소를 오인할 수 있다.As shown in Fig. 5, the sending information of the received mail includes a sender's identification ('Sender') as well as a sending address ('From'). Here, since the sender ID can be created by the sender, the sender may display an email address different from the sender address. Accordingly, the sender may display an e-mail address known to the recipient on the sender ID, and in this case, the receiver may misrecognize the sending address by viewing only the sender ID.

따라서, 상기 발신정보 확인모듈(240)이 확인한 발신정보는 발신자 표시를 포함하고, 상기 수신메일 확인모듈(230)은 발신자 표시의 이메일 주소와 발신주소를 비교한다. 상기 비교 결과 불일치한 것으로 확인되면, 상기 수신메일 확인모듈(230)은 알림 명령값을 생성한다.Accordingly, the sending information checked by the sending information checking module 240 includes the sender's indication, and the received mail checking module 230 compares the sender's email address with the sending address. If the comparison result is found to be inconsistent, the received mail confirmation module 230 generates a notification command value.

도 5에 도시된 바와 같이, 상기 발신정보 확인모듈(240)은, 상기 발신정보에서 발신시각('②' 참조)을 확인하고; 상기 수신메일 확인모듈(230)은, 상기 발신정보 확인모듈(240)이 확인한 발신자의 발신시각이 지정시간 이내인지 확인해서, 지정시간이 아니면 알림 명령값을 생성한다.As shown in Fig. 5, the sending information checking module 240 checks the sending time (refer to'②') in the sending information; The received mail confirmation module 230 checks whether the sending time of the sender checked by the sending information confirmation module 240 is within a designated time, and generates a notification command value if it is not the designated time.

상기 발신정보는 발신주소 및 발신자 표시와 더불어 발신시각을 더 포함한다. 상기 발신시각은 해당 수신메일이 발신되는 시점에 자동 생성되므로, 상기 수신메일의 정확한 발신시각을 확인할 수 있다.The calling information further includes a calling time, along with a calling address and a calling party identification. Since the sending time is automatically generated at the time when the corresponding received mail is transmitted, it is possible to check the correct sending time of the received mail.

일반적으로 이메일은 특별한 경우를 제외하고 발신자가 직접 작성해서 수신자에게 발신하므로, 대부분의 이메일 발신시각은 해당 분야의 근무시간이 된다. 따라서 발신정보 확인모듈(240)이 확인한 발신시각을 수신메일 확인모듈(230)이 상기 근무시간 즉, 지정시간 이내인지를 확인한다. 수신메일 확인모듈(230)은 상기 수신메일의 발신시각이 상기 지정시간 이내가 아니면 알림 명령값을 생성한다.In general, e-mails are written by the sender and sent to the recipient, except in special cases, so most of the e-mail sending time is the working hours of the field. Therefore, the transmission time checked by the sending information checking module 240 is checked whether the received mail checking module 230 is within the working hours, that is, within the specified time. The received mail confirmation module 230 generates a notification command value when the sending time of the received mail is not within the specified time.

도 6은 본 발명에 따른 바람직한 다른 예로서 보안서버를 개략적으로 도시한 블록도이다.6 is a block diagram schematically showing a security server as another preferred example according to the present invention.

도 5와 도 6을 참조하면, 상기 수신메일의 본문정보('③', '④' 참조)를 분석해서 지정단어 또는 글자의 오기를 확인하는 이메일본문 확인모듈(260)과, 상기 수신메일에 구성된 링크주소를 탐색하는 링크정보 확인모듈(270)을 더 포함한다.5 and 6, an email text verification module 260 that analyzes the body information (refer to'③' and'④') of the received email to check for a specified word or letter, and the received email It further includes a link information checking module 270 for searching the configured link address.

상기 수신메일의 본문정보는 각종 텍스트, 이미지, 테이블 등의 콘텐츠로 구성된다. 여기서 상기 텍스트의 경우 수신자가 주목할 수 있는 금융 분야, 법률분야 및 의료분야 등의 단어가 포함될 수 있다. 그러므로 해당 분야들의 단어를 지정단어로 설정하고, 이메일본문 확인모듈(260)은 본문정보에서 해당 지정단어를 탐색한다.The body information of the received mail is composed of contents such as various texts, images, and tables. Here, in the case of the text, words such as finance, legal, and medical fields that may be noted by the recipient may be included. Therefore, the words of the relevant fields are set as designated words, and the email text verification module 260 searches for the designated words from the body information.

또한, 보안서버(200)가 갖는 Spam keyword filter를 통과하기 위하여, 텍스트 중 글자가 잘못된 문자(이하 '오기')를 포함할 수 있다. 즉, 발신자가 상기 지정단어를 오기로 표시해서 이메일본문 확인모듈(260)이 해당 지정단어를 탐색할 수 없게 하는 것이다. 따라서 이메일본문 확인모듈(260)은 상기 지정단어 탐색과 더불어 오기 탐색도 병행한다.In addition, in order to pass through the Spam keyword filter of the security server 200, an incorrect character in the text (hereinafter, referred to as'error') may be included. That is, the sender marks the designated word as coming, so that the email text verification module 260 cannot search for the designated word. Accordingly, the e-mail text verification module 260 performs an incorrect search in addition to searching for the designated word.

한편, 상기 수신메일 확인모듈(230)은, 이메일본문 확인모듈(260)이 확인한 지정단어의 개수 또는 오기 개수가 임계치 이상이면 알림 명령값을 생성한다.Meanwhile, the received mail confirmation module 230 generates a notification command value when the number of designated words or the number of errors checked by the email body confirmation module 260 is greater than or equal to a threshold value.

상기 수신메일의 본문정보는 하이퍼링크 등의 링크 기능을 통해 다른 IP에 링크된 콘텐츠를 포함할 수 있다. 따라서 상기 링크정보 확인모듈(270)은 상기 수신메일의 본문정보에서 링크정보를 탐색하고, 상기 링크정보에서 URL 또는 IP 등의 링크주소를 확인한다.The body information of the received mail may include content linked to another IP through a link function such as a hyperlink. Accordingly, the link information checking module 270 searches for link information from the body information of the received mail and checks a link address such as URL or IP from the link information.

한편, 상기 이메일본문 확인모듈(260)은, 상기 본문정보에서 전화번호를 검색하며; 상기 수신메일 확인모듈(230)은, 상기 링크정보 확인모듈(270)이 탐색한 링크주소, 또는 상기 이메일본문 확인모듈(260)이 검색한 전화번호가 상기 악성정보에서 확인되면 알림 명령값을 생성한다.Meanwhile, the email text verification module 260 searches for a phone number from the text information; The received mail confirmation module 230 generates a notification command value when the link address searched by the link information confirmation module 270 or the phone number searched by the email body confirmation module 260 is confirmed in the malicious information. do.

이상 설명한 본 발명에 따른 보안서버(200)의 실행 과정을 예를 들어 설명한다.An example of the execution process of the security server 200 according to the present invention described above will be described.

도 7은 본 발명에 따른 바람직한 일 예로서 판별 방법에 따른 도 2의 보안 과정을 잇는 다음 단계의 보안 과정을 도시한 플로차트이고, 도 8은 본 발명에 따른 바람직한 다른 예로서 보안서버가 판별하는 이메일 내용을 보인 이미지이다.7 is a flowchart showing the next step of the security process of the security process of FIG. 2 according to the determination method as a preferred example according to the present invention, and FIG. 8 is another preferred example according to the present invention, which is determined by the security server. This is an image showing the contents.

도 5 내지 도 8을 참조하면, 이메일본문 확인모듈(260)은, 상기 수신메일의 본문을 확인한다(S21). 이메일본문 확인모듈(260)은 지정단어를 이메일본문에서 검색하는 것이므로, 단순 문자열(패턴) 검색 기술이 활용된다. 5 to 8, the email text confirmation module 260 checks the body of the received email (S21). Since the email text verification module 260 searches for a designated word in the email text, a simple character string (pattern) search technology is utilized.

상기 이메일본문 확인모듈(260)은 오기된 지정단어를 검색할 수 있고, 이를 위해서 이메일본문 확인모듈(260)이 지정단어의 유사 키워드를 생성해서 문자열 검색을 한다.The e-mail text verification module 260 may search for a misleading designated word, and for this purpose, the e-mail text verification module 260 generates a similar keyword of the designated word and performs a string search.

도 5의 이메일의 본문정보에서는 지정단어인 'account'와 'tax'가 검색되었고, 도 8의 (a)도면의 이메일 본문정보에서는 지정단어인 'payment'와 'account'와 'bankdraft'가 검색되었다.Designated words'account' and'tax' are searched in the body information of the e-mail in Fig. 5, and designated words'payment','account' and'bankdraft' are searched in the e-mail body information of Fig. 8(a). Became.

수신메일 확인모듈(230)은 이메일본문 확인모듈(260)이 검색한 지정단어와 오기 중 선택된 하나 이상의 개수를 카운팅하고(S22), 상기 개수가 임계치를 초과하는지 확인한다(S23).The received mail confirmation module 230 counts the number of selected one or more of the specified words and errors searched by the email body confirmation module 260 (S22), and checks whether the number exceeds a threshold (S23).

확인 결과, 상기 개수가 임계치를 초과하면, 수신메일 확인모듈(230)은 알림 명령값을 생성한다(S16). 그러나 상기 개수가 임계치를 미초과하면, 링크정보 확인모듈(270)은 도 8의 (b)도면과 같이 상기 수신메일의 본문정보에서 링크정보(L)를 확인하고, 확인된 상기 링크정보(L)의 링크주소를 확인한다(S24). 도 5를 참조하면 상기 수신메일의 본문정보에서 링크정보('⑤')의 링크주소를 확인한다. As a result of the confirmation, when the number exceeds the threshold, the received mail confirmation module 230 generates a notification command value (S16). However, if the number does not exceed the threshold, the link information confirmation module 270 checks the link information L in the body information of the received mail as shown in Fig. 8B, and the checked link information L Check the link address of) (S24). 5, the link address of the link information ('⑤') is checked in the body information of the received mail.

수신메일 확인모듈(230)은 링크정보 확인모듈(270)이 확인한 링크주소를 악성정보 관리모듈(210)의 악성정보에서 검색한다(S241). 검색 결과, 상기 링크주소가 악성정보에 존재하면 상기 링크주소를 악성링크로 지정하고(S242), 수신메일 확인모듈(230)은 알림 명령값을 생성한다(S16). 그러나 상기 악성정보가 미존재하면 전화번호 확인단계(S25)를 속행한다.The received mail confirmation module 230 searches for the link address checked by the link information confirmation module 270 from malicious information of the malicious information management module 210 (S241). As a result of the search, if the link address exists in the malicious information, the link address is designated as a malicious link (S242), and the received mail confirmation module 230 generates a notification command value (S16). However, if the malicious information does not exist, the phone number verification step (S25) is continued.

상기 링크주소 확인단계(S24)에서 링크정보가 미확인되거나, 악성링크 확인단계(S242)에서 링크정보가 악성링크로 미지정되면, 수신메일 확인모듈(230)은 상기 수신메일의 본문정보에서 전화번호를 검색한다(S25).If the link information is not identified in the link address verification step (S24), or the link information is not designated as a malicious link in the malicious link verification step (S242), the received mail verification module 230 retrieves a phone number from the body information of the received email. Search (S25).

전화번호 검색 결과 임의의 전화번호가 검색되면, 수신메일 확인모듈(230)은 상기 전화번호를 악성정보 관리모듈(210)의 악성정보에서 검색한다(S251). 검색 결과, 상기 전화번호가 악성정보에 존재하면 상기 전화번호를 악성전화번호로 지정하고(S252), 수신메일 확인모듈(230)은 알림 명령값을 생성한다(S16). If an arbitrary phone number is searched as a result of the phone number search, the received mail confirmation module 230 searches for the phone number from malicious information of the malicious information management module 210 (S251). As a result of the search, if the phone number exists in the malicious information, the phone number is designated as the malicious phone number (S252), and the received mail confirmation module 230 generates a notification command value (S16).

앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.In the detailed description of the present invention described above, it has been described with reference to preferred embodiments of the present invention, but those skilled in the art or those of ordinary skill in the relevant technical field, the spirit of the present invention described in the claims to be described later. And it will be understood that various modifications and changes can be made to the present invention within a range not departing from the technical field.

Claims (11)

악성정보를 관리하는 악성정보 관리모듈; 수신메일들의 속성정보를 관리하는 메일이력 관리모듈; 수신메일의 발신정보에서 발신주소를 추출하는 발신정보 확인모듈; 상기 악성정보와 속성정보에서 발신주소를 검색하여, 상기 발신주소가 악성정보에서 검색되거나, 상기 발신주소와 속성정보 간의 문자열 유사도가 임계범위 이내이면, 알림 명령값을 생성하는 수신메일 확인모듈; 상기 알림 명령값에 대응한 알림 콘텐츠를 상기 수신메일에 구성시키는 알림모듈;를 포함하는 악성 이메일 판별 기능의 보안서버에 있어서,
상기 수신메일 확인모듈은, 상기 수신메일의 발신주소를 이루는 ID 및 도메인의 구성 키워드와 문자열 유사도가 임계치 이상인 속성정보의 발신주소를 메일이력 관리모듈에서 검색하고, 검색된 속성정보의 발신주소의 도메인과 해당 수신메일의 발신주소의 도메인이 불일치하면 알림 명령값을 생성하는 것;
을 특징으로 하는 악성 이메일 판별 기능의 보안서버.A malicious information management module for managing malicious information; A mail history management module for managing attribute information of received mails; A sending information checking module for extracting a sending address from sending information of the received mail; A received mail checking module for searching for a sending address from the malicious information and attribute information, and generating a notification command value if the sending address is searched from malicious information or if the string similarity between the sending address and attribute information is within a threshold range; In the security server of the malicious e-mail identification function comprising; a notification module for configuring notification content corresponding to the notification command value in the received mail,
The received mail verification module searches the mail history management module for a sending address of attribute information whose ID and domain constituting keyword and string similarity are greater than or equal to a threshold value, and the domain of the sending address of the searched attribute information Generating a notification command value when the domain of the originating address of the corresponding received mail does not match;
A security server with a malicious email identification function, characterized in that. 제 1 항에 있어서,
상기 문자열 유사도 연산은 레벤시타인 거리(Levenshtein distance) 알고리즘을 적용한 것;
을 특징으로 하는 악성 이메일 판별 기능의 보안서버.The method of claim 1,
The character string similarity calculation is performed by applying a Levenshtein distance algorithm;
A security server with a malicious email identification function, characterized in that. 제 1 항에 있어서,
상기 수신메일 확인모듈은, 상기 임계범위 이내의 발신주소에 링크된 제1수신주소를 확인하고, 상기 수신메일의 제2수신주소를 확인해서, 상기 제1수신주소가 제2수신주소가 일치하면, 알림 명령값을 생성하는 것;
을 특징으로 하는 악성 이메일 판별 기능의 보안서버.The method of claim 1,
The received mail verification module checks the first recipient address linked to the sending address within the threshold range, checks the second recipient address of the received mail, and if the first recipient address matches the second recipient address , Generating a notification command value;
A security server with a malicious email identification function, characterized in that. 제 1 항에 있어서,
상기 발신정보 확인모듈은, 상기 발신정보에서 발신자 표시를 확인하고;
상기 수신메일 확인모듈은, 상기 발신정보 확인모듈이 확인한 발신자의 이메일 주소를 발신주소와 비교해서, 불일치하면 알림 명령값을 생성하는 것;
을 특징으로 하는 악성 이메일 판별 기능의 보안서버.The method of claim 1,
The calling information confirmation module checks the calling party identification in the calling information;
The received mail checking module, comparing the sender's email address checked by the sending information checking module with the sending address, and generating a notification command value if a mismatch;
A security server with a malicious email identification function, characterized in that. 제 1 항에 있어서,
상기 발신정보 확인모듈은, 상기 발신정보에서 발신시각을 확인하고;
상기 수신메일 확인모듈은, 상기 발신정보 확인모듈이 확인한 발신자의 발신시각이 지정시간 이내인지 확인해서, 지정시간이 아니면 알림 명령값을 생성하는 것;
을 특징으로 하는 악성 이메일 판별 기능의 보안서버.The method of claim 1,
The origination information confirmation module checks an origination time in the origination information;
The received mail confirmation module is configured to check whether the sending time of the sender checked by the sending information checking module is within a designated time, and if not, generating a notification command value;
A security server with a malicious email identification function, characterized in that. 제 1 항에 있어서,
상기 수신메일의 본문정보를 분석해서 지정단어 또는 글자의 오기를 확인하는 이메일본문 확인모듈을 더 포함하고;
상기 수신메일 확인모듈은, 상기 지정단어의 개수 또는 글자의 오기 개수가 임계치 이상이면 알림 명령값을 생성하는 것
을 특징으로 하는 악성 이메일 판별 기능의 보안서버.The method of claim 1,
Further comprising an e-mail text verification module for analyzing the body information of the received e-mail to check whether a designated word or letter is missed;
The received mail confirmation module generates a notification command value when the number of designated words or the number of errors of letters is greater than or equal to a threshold value.
A security server with a malicious email identification function, characterized in that. 제 6 항에 있어서,
상기 수신메일에 구성된 링크주소를 탐색하는 링크정보 확인모듈을 더 포함하고;
상기 이메일본문 확인모듈은, 상기 본문정보에서 전화번호를 검색하며;
상기 수신메일 확인모듈은, 상기 링크정보 확인모듈이 탐색한 링크주소, 또는 상기 이메일본문 확인모듈이 검색한 전화번호가 상기 악성정보에서 확인되면 알림 명령값을 생성하는 것;
을 특징으로 하는 악성 이메일 판별 기능의 보안서버.The method of claim 6,
Further comprising a link information checking module for searching for a link address configured in the received mail;
The email text confirmation module searches for a phone number from the text information;
The received mail checking module generates a notification command value when a link address searched by the link information checking module or a phone number searched by the email text checking module is confirmed in the malicious information;
A security server with a malicious email identification function, characterized in that. 삭제delete 삭제delete 삭제delete 삭제delete
KR1020190042467A 2019-04-11 2019-04-11 Method and server determining e-mail attached virus KR102205997B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190042467A KR102205997B1 (en) 2019-04-11 2019-04-11 Method and server determining e-mail attached virus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190042467A KR102205997B1 (en) 2019-04-11 2019-04-11 Method and server determining e-mail attached virus

Publications (2)

Publication Number Publication Date
KR20200120072A KR20200120072A (en) 2020-10-21
KR102205997B1 true KR102205997B1 (en) 2021-01-21

Family

ID=73034654

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190042467A KR102205997B1 (en) 2019-04-11 2019-04-11 Method and server determining e-mail attached virus

Country Status (1)

Country Link
KR (1) KR102205997B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041523A (en) 2000-07-31 2002-02-08 Nec Corp Electronic mail retrieval type database system and database retrieving method using electronic mail
US20120227104A1 (en) * 2011-03-01 2012-09-06 Amit Sinha Systems and methods for detecting email spam and variants thereof
JP2018018396A (en) 2016-07-29 2018-02-01 キヤノンマーケティングジャパン株式会社 Information processing equipment, information processing method and program

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05122244A (en) * 1991-10-23 1993-05-18 Mitsubishi Electric Corp Electronic mail equipment
KR20050008328A (en) * 2003-07-15 2005-01-21 엘지전자 주식회사 Spam mail filtering method for mobile communication terminal
KR101437521B1 (en) 2013-08-21 2014-09-03 주식회사 아빅스플렉스 Mobile terminal which eables to discriminatively display spam short message and communcation system having the same
KR102150624B1 (en) * 2014-07-01 2020-09-01 삼성전자 주식회사 Method and apparatus for notifying smishing
KR102567737B1 (en) * 2016-06-22 2023-08-21 주식회사 케이티 Method providing secure message service and apparatus therefor
KR20180083148A (en) * 2017-01-12 2018-07-20 주식회사 디아이섹 Apparatus for email security trainning, and control method thereof

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041523A (en) 2000-07-31 2002-02-08 Nec Corp Electronic mail retrieval type database system and database retrieving method using electronic mail
US20120227104A1 (en) * 2011-03-01 2012-09-06 Amit Sinha Systems and methods for detecting email spam and variants thereof
JP2018018396A (en) 2016-07-29 2018-02-01 キヤノンマーケティングジャパン株式会社 Information processing equipment, information processing method and program

Also Published As

Publication number Publication date
KR20200120072A (en) 2020-10-21

Similar Documents

Publication Publication Date Title
US20230344869A1 (en) Detecting phishing attempts
US11595336B2 (en) Detecting of business email compromise
US11595354B2 (en) Mitigating communication risk by detecting similarity to a trusted message contact
US11044267B2 (en) Using a measure of influence of sender in determining a security risk associated with an electronic message
US11689559B2 (en) Anti-phishing
US11552981B2 (en) Message authenticity and risk assessment
US11546375B2 (en) Detection of external messaging attacks using trust relationships
US11936604B2 (en) Multi-level security analysis and intermediate delivery of an electronic message
US11722513B2 (en) Using a measure of influence of sender in determining a security risk associated with an electronic message
US20190319905A1 (en) Mail protection system
WO2018102308A2 (en) Detecting computer security risk based on previously observed communications
US11336610B2 (en) Email sender and reply-to authentication to prevent interception of email replies
JP4670049B2 (en) E-mail filtering program, e-mail filtering method, e-mail filtering system
KR102205997B1 (en) Method and server determining e-mail attached virus
US20220321518A1 (en) Email Sender and Reply-To Authentication to Prevent Interception of Email Replies
Ma The process and characteristics of phishing attacks-A small international trading company case study

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right