KR102630272B1 - 머신 러닝 기반 전자 메시지 검사 방법, 장치 및 프로그램 - Google Patents

머신 러닝 기반 전자 메시지 검사 방법, 장치 및 프로그램 Download PDF

Info

Publication number
KR102630272B1
KR102630272B1 KR1020210178300A KR20210178300A KR102630272B1 KR 102630272 B1 KR102630272 B1 KR 102630272B1 KR 1020210178300 A KR1020210178300 A KR 1020210178300A KR 20210178300 A KR20210178300 A KR 20210178300A KR 102630272 B1 KR102630272 B1 KR 102630272B1
Authority
KR
South Korea
Prior art keywords
flag
file
mail
neural network
check
Prior art date
Application number
KR1020210178300A
Other languages
English (en)
Other versions
KR20230089691A (ko
Inventor
장상근
정승기
강지형
김진욱
손수민
심규보
이창모
Original Assignee
장상근
정승기
강지형
김진욱
손수민
심규보
이창모
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 장상근, 정승기, 강지형, 김진욱, 손수민, 심규보, 이창모 filed Critical 장상근
Priority to KR1020210178300A priority Critical patent/KR102630272B1/ko
Publication of KR20230089691A publication Critical patent/KR20230089691A/ko
Application granted granted Critical
Publication of KR102630272B1 publication Critical patent/KR102630272B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06Q50/50
    • G06Q50/60
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/08Annexed information, e.g. attachments

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Tourism & Hospitality (AREA)
  • Artificial Intelligence (AREA)
  • Operations Research (AREA)
  • Information Transfer Between Computers (AREA)
  • Health & Medical Sciences (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)

Abstract

다양한 이메일 공격 패턴에 대응하여 불법 스팸 메일을 필터링할 수 있는 머신 러닝 기반 전자 메시지 검사 방법, 장치 및 프로그램에 관한 것으로, 전자 메시지를 수신 및 저장하는 단계, 상기 저장된 전자 메시지로부터 전자 메일 파일을 추출하는 단계, 상기 추출한 전자 메일 파일의 스팸 검사를 수행하고 그에 상응하는 제1 플래그를 생성하는 단계, 상기 스팸 검사 수행이 완료되면 전자 메일 파일의 첨부 파일 유무를 확인하는 단계, 상기 첨부 파일이 있으면 상기 첨부 파일의 유형에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고 그에 상응하는 제2 플래그를 생성하는 단계, 상기 정적 검사 수행이 완료되면 첨부 파일을 샌드 박스 실행하는 단계, 상기 샌드 박스 실행한 첨부 파일에 대해 특정 지표에 상응하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고 그에 상응하는 제3 플래그를 생성하는 단계, 및 상기 제1, 제2, 제3 플래그를 기반으로 상기 전자 메시지를 분류하여 악성 확률 정보를 표시하는 단계를 포함하는 것을 특징으로 한다.

Description

머신 러닝 기반 전자 메시지 검사 방법, 장치 및 프로그램{METHOD, APPARATUS AND PROGRAM FOR CHECKING ELECTRONIC MESSAGE BASED ON MACHINE LEARNING}
본 발명은 전자 메시지 검사 방법에 관한 것으로, 보다 구체적으로 다양한 이메일 공격 패턴에 대응하여 불법 스팸 메일을 필터링할 수 있는 머신 러닝 기반 전자 메시지 검사 방법, 장치 및 프로그램에 관한 것이다.
메일 서비스 기업들에서 제공해주는 보안 솔루션은, 스펨 메일을 필터링 하기 위하여 기본적으로 KISA에서 제공해주는 RBL(Real-time Black List)을 이용하면서, SFP(Sender Policy Framework) 레코드 확인, 발신자 IP 및 국가 표시 등의 메일 서비스 적인 요소들을 보안 기술로 내세우고 있다.
예를 들어, 해외 IP 차단, 스팸 단어 필터과 같은 확실한 기준을 가지는 설정들을 사용자에 의한 설정을 제공하고 있다. 또는 메인 원문을 암호화하여 저장한다는 특징들을 메일 서비스의 보안 요소로 내세우고 있다.
메일 보안 솔루션에서 제공해주는 보안 솔루션에서는, 메일 서비스를 제공하고 있지 않기 때문에 메일 서버에 메일이 들어오기 전 분석하여 차단하는 솔루션을 제공하고 있다.
기업 메일 서비스를 사용하는 기업 입장에서는 메일 보안 솔루션을 이용함으로써 스팸 메일을 차단을 할 것이다. 이때 메일 보안 솔루션을 이용하는 기업 입장에서는 메일 트래픽에 영향을 영향을 주지 않으면서 성능 저하를 발생시키지 않도록 요구한다.
메일 서비스에서 제공해주는 보안 기술, 메일 보안 솔루션에서 제공해주는 보안 기술, 이 두 관점에서 제공해주는 스팸필터 방식들은 모두 장단점이 존재한다.
메일 서비스 기업은 앞서 적은 해외 IP 차단, 스팸 단어 필터과 같은 확실한 기준을 가지는 설정들을 제공하는 장점을 가지지만, 메일 보안에 특화되어 있지 않기 때문에 별도의 메일 솔루션을 사용하거나 최소한의 필터를 제공하는 방식으로 보안 기술을 제공하는 단점을 가진다.
메일 보안 솔루션 기업은 메일에 대한 트래픽에 영향을 주지 않기 위해 SPF 레코드 확인, DKIM 서명, DMARC 인증을 주로 제공하는 메일 송수신의 과정에서 인증 기능을 추가적으로 진행할 수 있도록 제공한다.
따라서, 향후, 지속적으로 변화하는 다양한 이메일 공격 패턴에 대응하여 최소 시간 및 비용으로 불법 스팸 메일을 정확하게 필터링할 수 있는 전자 메시지 검사 기술의 개발이 요구되고 있다.
대한민국 등록특허 10-1005643호 (2010. 12. 27)
상술한 바와 같은 문제점을 해결하기 위한 본 발명의 일 목적은, 전자 메일 파일의 스팸 검사와, 뉴럴 네트워크 모델을 이용하여 첨부 파일의 정적 검사 및 동적 검사를 수행함으로써, 지속적으로 변화하는 다양한 이메일 공격 패턴에 대응하여 최소 시간 및 비용으로 불법 스팸 메일을 정확하게 필터링할 수 있는 전자 메시지 검사 방법, 장치 및 프로그램을 제공하는 것이다.
본 발명이 해결하고자 하는 과제들은 이상에서 언급된 과제로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상술한 과제를 해결하기 위한 본 발명의 일 실시예에 따른 전자 메시지 검사 장치의 전자 메시지 검사 방법은, 전자 메시지를 수신 및 저장하는 단계, 상기 저장된 전자 메시지로부터 전자 메일 파일을 추출하는 단계, 상기 추출한 전자 메일 파일의 스팸 검사를 수행하고 그에 상응하는 제1 플래그를 생성하는 단계, 상기 스팸 검사 수행이 완료되면 전자 메일 파일의 첨부 파일 유무를 확인하는 단계, 상기 첨부 파일이 있으면 상기 첨부 파일의 유형에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고 그에 상응하는 제2 플래그를 생성하는 단계, 상기 정적 검사 수행이 완료되면 첨부 파일을 샌드 박스 실행하는 단계, 상기 샌드 박스 실행한 첨부 파일에 대해 특정 지표에 상응하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고 그에 상응하는 제3 플래그를 생성하는 단계, 및 상기 제1, 제2, 제3 플래그를 기반으로 상기 전자 메시지를 분류하여 악성 확률 정보를 표시하는 단계를 포함하는 것을 특징으로 한다.
실시 예에 있어서, 상기 전자 메시지를 수신 및 저장하는 단계는, 상기 제1, 제2, 제3 플래그를 생성하는 동안에 수신되는 전자 메시지를 저장하는 것을 특징으로 한다.
실시 예에 있어서, 상기 저장된 전자 메시지로부터 전자 메일 파일을 추출하는 단계는, 상기 저장된 다수의 전자 메시지들로부터 EML 파일을 추출하는 것을 특징으로 한다.
실시 예에 있어서, 상기 제1 플래그를 생성하는 단계는, 상기 추출한 전자 메일 파일이 사용자 스팸룰에 상응하는 스팸인지를 확인하고, 상기 사용자 스팸룰에 상응하는 스팸이면 악성 플래그를 생성하는 것을 특징으로 한다.
실시 예에 있어서, 상기 추출한 전자 메일 파일이 사용자 스팸룰에 상응하는 스팸인지를 확인하는 단계는, 상기 사용자 스팸룰에 상응하는 스팸이 아니면 상기 전자 메일 파일이 사용자 스팸룰에 상응하는 광고 또는 프로모션인지를 확인하고, 상기 사용자 스팸룰에 상응하는 광고 또는 프로모션이면 광고 플래그를 생성하는 것을 특징으로 한다.
실시 예에 있어서, 상기 사용자 스팸룰은, 유사 도메인 또는 악성 도메인을 포함하는 메일 도메인 및 IP 차단, 발신인 도메인과 실제 발신인 도메인이 다르면 차단, 악성 URL 차단, 첨부파일 이중 확장자 차단, 안전하지 않는 첨부파일 분류, 사용자 지정 키워드 차단을 포함하는 것을 특징으로 한다.
실시 예에 있어서, 상기 제2 플래그를 생성하는 단계는, 상기 첨부 파일이 문서 파일 유형이면 그에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 상기 정적 검사에 상응하는 악성 확률값을 예측하며, 상기 예측한 악성 확률값을 기초로 제2 플래그를 생성하는 것을 특징으로 한다.
실시 예에 있어서, 상기 제2 플래그를 생성하는 단계는, 상기 첨부 파일이 문서 파일 유형 중 PDF 파일이면 PDF 버전 정보, 상기 PDF 파일 내의 주요 키워드 정보, 사용자 정의 태그 정보, 임의의 태그 정보를 포함하는 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 상기 정적 검사에 상응하는 악성 확률값을 예측하며, 상기 예측한 악성 확률값을 기초로 제2 플래그를 생성하는 것을 특징으로 한다.
실시 예에 있어서, 상기 제2 플래그를 생성하는 단계는, 상기 첨부 파일이 문서 파일 유형 중 DOCX, XLSX, HWP 파일이면 전처리를 수행하여 구조적 경로를 포함하는 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 상기 정적 검사에 상응하는 악성 확률값을 예측하며, 상기 예측한 악성 확률값을 기초로 제2 플래그를 생성하는 것을 특징으로 한다.
실시 예에 있어서, 상기 제1 뉴럴 네트워크 모델은, 랜덤포레스트(RandomForest) 모델, 서포트 벡터 머신(support vector machine) 모델, 디시젼트리(DecisionTree) 모델, 나이브 베이스(Naive Bayes) 모델 중 적어도 어느 하나인 것을 특징으로 한다.
실시 예에 있어서, 상기 제3 플래그를 생성하는 단계는, 상기 샌드 박스 실행한 첨부 파일에 대해 침해 지표로부터 가중치가 높은 콘텐츠 정보를 포함하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고, 상기 정적 검사에 상응하는 악성 확률값을 예측하며, 상기 예측한 악성 확률값을 기초로 제3 플래그를 생성하는 것을 특징으로 한다.
실시 예에 있어서, 상기 제2 특징값은, 파일 해쉬(file hash) 및 생성 파일(create file) 정보를 포함하는 것을 특징으로 한다.
실시 예에 있어서, 상기 악성 확률 정보를 표시하는 단계는, 상기 악성 플래그 및 광고 플래그를 포함하는 제1 플래그, 제1 악성 확률값 및 제1 뉴럴 네트워크 모델 정확도를 포함하는 제2 플래그, 제2 악성 확률값 및 제2 뉴럴 네트워크 모델 정확도를 포함하는 제3 플래그를 기반으로 전자 메일 파일을 스팸 메일, 광고 메일 및 정상 메일로 분류하고, 상기 분류한 메일에 악성 확률 정보를 표시하는 것을 특징으로 한다.
실시 예에 있어서, 상기 악성 확률 정보를 표시하는 단계는, 상기 분류한 스팸 메일, 광고 메일 및 정상 메일이 각각 시각적으로 구분되도록 서로 다른 컬러를 갖는 악성 확률 정보를 표시하는 것을 특징으로 한다.
또한, 본 발명 일 실시예에 따른 컴퓨팅 장치는, 전자 메시지 검사 방법을 제공하기 위한 컴퓨팅 장치로서, 하나 이상의 코어를 포함하는 프로세서, 및 메모리를 포함하고, 상기 프로세서는, 전자 메시지를 수신 및 저장하고, 상기 저장된 전자 메시지로부터 전자 메일 파일을 추출하며, 상기 추출한 전자 메일 파일의 스팸 검사를 수행하고, 그에 상응하는 제1 플래그를 생성하고, 상기 스팸 검사 수행이 완료되면 전자 메일 파일의 첨부 파일 유무를 확인하며, 상기 첨부 파일이 있으면 상기 첨부 파일의 유형에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고 그에 상응하는 제2 플래그를 생성하며, 상기 정적 검사 수행이 완료되면 첨부 파일을 샌드 박스 실행하고, 상기 샌드 박스 실행한 첨부 파일에 대해 특정 지표에 상응하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고, 그에 상응하는 제3 플래그를 생성하며, 상기 제1, 제2, 제3 플래그를 기반으로 상기 전자 메시지를 분류하여 악성 확률 정보를 표시하는 것을 특징으로 한다.
상술한 과제를 해결하기 위한 본 발명의 다른 실시 예에 따른 전자 메시지 검사 방법을 제공하는 컴퓨터 프로그램은, 하드웨어인 컴퓨터와 결합되어 상술한 방법 중 어느 하나의 방법을 수행하기 위해 매체에 저장된다.
이 외에도, 본 발명을 구현하기 위한 다른 방법, 다른 시스템 및 상기 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체가 더 제공될 수 있다.
상기와 같이 본 발명에 따르면, 전자 메일 파일의 스팸 검사와, 뉴럴 네트워크 모델을 이용하여 첨부 파일의 정적 검사 및 동적 검사를 수행함으로써, 지속적으로 변화하는 다양한 이메일 공격 패턴에 대응하여 최소 시간 및 비용으로 불법 스팸 메일을 정확하게 필터링할 수 있다.
또한, 본 발명은, 신호등 형태의 스팸 확률값을 표현하므로 사용자로 하여금 스팸 메일에 대한 경각심을 갖도록 한다.
또한, 본 발명은, 메일 서버와 분석 서버를 포함할 수 있는데, 분석 서버만 이용함으로써, EML을 추출하여 전자 메일 파일의 스팸 검사와, 뉴럴 네트워크 모델을 이용하여 첨부 파일의 정적 검사 및 동적 검사를 수행할 수 있으므로, 메일 서버에서 메일을 수신 및 저장하는 동안에도 분석 서버에서 전자 메일의 스팸, 정적, 동적 검사를 효율적으로 수행할 수 있다.
또한, 본 발명은, 문서 파일 위주의 정적 검사를 수행하므로 샌드 박스에 대한 시간 소요를 최소화할 수 있다.
또한, 본 발명은, 모델에 대한 악성 파일 자가 학습을 통해 기업 측면에서 유지 보수 비용이 감소할 수 있다.
본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
도 1은, 본 발명의 일 실시예에 따라, 전자 메시지 검사 방법을 제공하기 위한 동작을 수행하는 컴퓨팅 장치의 블록 구성도를 도시한 도면이다.
도 2는, 본 발명의 일 실시예에 따라, 전자 메시지 검사 장치를 설명하기 위한 보여주는 개념도이다.
도 3은, 정적 검사를 수행하는 뉴럴 네트워크 모델의 학습 과정을 설명하기 위한 도면이다.
도 4 내지 도 7은, 정적 검사를 수행하는 뉴럴 네트워크 모델의 성능 평가를 설명하기 위한 도면이다.
도 8은, 동적 검사를 수행하는 뉴럴 네트워크 모델에 입력되는 특징값 추출 과정을 설명하기 위한 도면이다.
도 9는, 메일 리스트에 표시되는 악성 확률 정보를 설명하기 위한 도면이다.
도 10은, 본 발명의 일 실시예에 따라, 전자 메시지 검사 방법을 설명하기 위한 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야의 통상의 기술자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다.
설명에 앞서 본 명세서에서 사용하는 용어의 의미를 간략히 설명한다. 그렇지만 용어의 설명은 본 명세서의 이해를 돕기 위한 것이므로, 명시적으로 본 발명을 한정하는 사항으로 기재하지 않은 경우에 본 발명의 기술적 사상을 한정하는 의미로 사용하는 것이 아님을 주의해야 한다.
본 명세서에서 신경망, 인공 신경망, 네트워크 함수는 종종 상호 교환 가능하게 사용될 수 있다.
또한, 본 명세서에 걸쳐, 뉴럴 네트워크(neural network), 신경망 네트워크, 네트워크 함수는, 동일한 의미로 사용될 수 있다. 뉴럴 네트워크는, 일반적으로 “노드”라 지칭될 수 있는 상호 연결된 계산 단위들의 집합으로 구성될 수 있다. 이러한 “노드”들은, “뉴런(neuron)”들로 지칭될 수도 있다. 뉴럴 네트워크는, 적어도 둘 이상의 노드들을 포함하여 구성된다. 뉴럴 네트워크들을 구성하는 노드(또는 뉴런)들은 하나 이상의 “링크”에 의해 상호 연결될 수 있다.
도 1은, 본 발명의 일 실시예에 따라, 전자 메시지 검사 방법을 제공하기 위한 동작을 수행하는 컴퓨팅 장치의 블록 구성도를 도시한 도면이다.
도 1에 도시된 컴퓨팅 장치(100)의 구성은 간략화하여 나타낸 예시일 뿐이다. 본 발명의 일 실시예에서 컴퓨팅 장치(100)는 컴퓨팅 장치(100)의 컴퓨팅 환경을 수행하기 위한 다른 구성들이 포함될 수 있고, 개시된 구성들 중 일부만이 컴퓨팅 장치(100)를 구성할 수도 있다.
컴퓨팅 장치(100)는, 프로세서(110), 메모리(130), 네트워크부(150)를 포함할 수 있다.
본 발명에서, 프로세서(110)는, 전자 메시지를 수신 및 저장하고, 저장된 전자 메시지로부터 전자 메일 파일을 추출하며, 추출한 전자 메일 파일의 스팸 검사를 수행하고 그에 상응하는 제1 플래그를 생성하며, 스팸 검사 수행이 완료되면 전자 메일 파일의 첨부 파일 유무를 확인하며, 첨부 파일이 있으면 첨부 파일의 유형에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고 그에 상응하는 제2 플래그를 생성하며, 정적 검사 수행이 완료되면 첨부 파일을 샌드 박스 실행하고, 샌드 박스 실행한 첨부 파일에 대해 특정 지표에 상응하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고 그에 상응하는 제3 플래그를 생성하며, 제1, 제2, 제3 플래그를 기반으로 전자 메시지를 분류하여 악성 확률 정보를 표시할 수 있다.
프로세서(110)는, 전자 메시지를 수신 및 저장할 때, 제1, 제2, 제3 플래그를 생성하는 동안에도 수신되는 전자 메시지를 저장할 수 있다.
여기서, 프로세서(110)는, 전자 메시지를 수신 및 저장할 때, 전자 메시지가 수신되면 수신된 전자 메시지의 내용을 제1 데이터베이스에 저장하고, 전자 메시지의 요약 정보와 그의 플래그 정보를 제2 데이터베이스에 저장할 수 있다.
이어, 프로세서(110)는, 저장된 전자 메시지로부터 전자 메일 파일을 추출할 때, 저장된 다수의 전자 메시지들로부터 EML 파일을 추출할 수 있다.
경우에 따라, 프로세서(110)는, 저장된 전자 메시지로부터 전자 메일 파일을 추출할 때, 저장된 다수의 전자 메시지들로부터 전자 메일 정보를 수집할 수 있다.
다음, 프로세서(110)는, 제1 플래그를 생성할 때, 추출한 전자 메일 파일이 사용자 스팸룰에 상응하는 스팸인지를 확인하고, 사용자 스팸룰에 상응하는 스팸이면 악성 플래그를 생성할 수 있다.
여기서, 프로세서(110)는, 추출한 전자 메일 파일이 사용자 스팸룰에 상응하는 스팸인지를 확인할 때, 사용자 스팸룰에 상응하는 스팸이 아니면 전자 메일 파일이 사용자 스팸룰에 상응하는 광고 또는 프로모션인지를 확인하고, 사용자 스팸룰에 상응하는 광고 또는 프로모션이면 광고 플래그를 생성할 수 있다.
일 예로, 사용자 스팸룰은, 유사 도메인 또는 악성 도메인을 포함하는 메일 도메인 및 IP 차단, 발신인 도메인과 실제 발신인 도메인이 다르면 차단, 악성 URL 차단, 첨부파일 이중 확장자 차단, 안전하지 않는 첨부파일 분류, 사용자 지정 키워드 차단을 포함할 수 있는데, 이는 일 실시예일 뿐, 이에 한정되지 않는다.
그리고, 프로세서(110)는, 제2 플래그를 생성할 때, 첨부 파일이 문서 파일 유형이면 그에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 제2 플래그를 생성할 수 있다.
일 예로, 프로세서(110)는, 제2 플래그를 생성할 때, 첨부 파일이 문서 파일 유형 중 PDF 파일이면 PDF 버전 정보, 상기 PDF 파일 내의 주요 키워드 정보, 사용자 정의 태그 정보, 임의의 태그 정보를 포함하는 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 제2 플래그를 생성할 수 있다.
다른 일 예로, 프로세서(110)는, 제2 플래그를 생성할 때, 첨부 파일이 문서 파일 유형 중 DOCX, XLSX, HWP 파일이면 전처리를 수행하여 구조적 경로를 포함하는 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 제2 플래그를 생성할 수 있다.
여기서, 프로세서(110)는, 전처리를 수행할 때, 마이크로 소프트TM 기반의 워드(DOCX), 엑셀(XLSX) 및 파워포인트(PPT) 형식의 파일을 집파일(Zipfile)로 변환하여 네임리스트(nanelist)로 인수(argument)를 추출하고 중복값을 제외하여 구조적 특징을 추출할 수 있는데, 이는 일 실시예일 뿐, 이에 한정되지 않는다. 또한, 프로세서(110)는, 전처리를 수행할 때, HWP 파일을 스토리지 및 스트림 내의 데이터의 구조적 특징을 추출할 수 있는데, 이는 일 실시예일 뿐, 이에 한정되지 않는다.
다음, 프로세서(110)는, 제2 플래그를 생성할 때, 첨부 파일이 문서 파일 유형이 아니면 첨부 파일을 바로 샌드 박스 실행할 수도 있다.
일 예로, 제1 뉴럴 네트워크 모델은, 랜덤포레스트(RandomForest) 모델, 서포트 벡터 머신(support vector machine) 모델, 디시젼트리(DecisionTree) 모델, 나이브 베이스(Naive Bayes) 모델 중 적어도 어느 하나일 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
또한, 프로세서(110)는, 제2 플래그를 생성할 때, 제2 플래그와 함께 제1 악성 확률값 및 제1 뉴럴 네트워크 모델 정확도를 생성할 수 있다.
그리고, 프로세서(110)는, 제3 플래그를 생성할 때, 샌드 박스 실행한 첨부 파일에 대해 침해 지표로부터 가중치가 높은 콘텐츠 정보를 포함하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 제3 플래그를 생성할 수 있다.
예를 들면, 제2 특징값은, 파일 해쉬(file hash) 및 생성 파일(create file) 정보를 포함할 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
즉, 제2 특징값은, 샌드박스 결과 값 중 하나인 API call sequence를 사용할 수 있다.
또한, 제2 뉴럴 네트워크 모델은, 랜덤포레스트(RandomForest) 모델, 서포트 벡터 머신(support vector machine) 모델, 디시젼트리(DecisionTree) 모델, 나이브 베이스(Naive Bayes) 모델 중 적어도 어느 하나일 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
경우에 따라, 제2 뉴럴 네트워크 모델은, 제1 뉴럴 네트워크 모델과 다를 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
또한, 프로세서(110)는, 제3 플래그를 생성할 때, 제3 플래그와 함께 제2 악성 확률값 및 제2 뉴럴 네트워크 모델 정확도를 생성할 수 있다.
이어, 프로세서(110)는, 악성 확률 정보를 표시할 때, 악성 플래그 및 광고 플래그를 포함하는 제1 플래그, 제1 악성 확률값 및 제1 뉴럴 네트워크 모델 정확도를 포함하는 제2 플래그, 제2 악성 확률값 및 제2 뉴럴 네트워크 모델 정확도를 포함하는 제3 플래그를 기반으로 전자 메일 파일을 스팸 메일, 광고 메일 및 정상 메일로 분류하고, 분류한 메일에 악성 확률 정보를 표시할 수 있다.
여기서, 프로세서(110)는, 악성 확률 정보를 표시할 때, 분류한 스팸 메일, 광고 메일 및 정상 메일이 각각 시각적으로 구분되도록 서로 다른 컬러를 갖는 악성 확률 정보를 표시할 수 있다.
예를 들면, 악성 확률 정보는, 교통 신호등 색상으로 구분하여 해당 메일 리스트 일측에 표시될 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
또한, 전술한 뉴럴 네트워크 모델은, 딥 뉴럴 네트워크일 수 있다. 본 명세서에 걸쳐, 신경망, 네트워크 함수, 뉴럴 네트워크(neural network)는 동일한 의미로 사용될 수 있다. 딥 뉴럴 네트워크(DNN: deep neural network, 심층신경망)는, 입력 레이어와 출력 레이어 외에 복수의 히든 레이어를 포함하는 신경망을 의미할 수 있다. 딥 뉴럴 네트워크를 이용하면 데이터의 잠재적인 구조(latent structures)를 파악할 수 있다. 즉, 사진, 글, 비디오, 음성, 음악의 잠재적인 구조(예를 들어, 어떤 물체가 사진에 있는지, 글의 내용과 감정이 무엇인지, 음성의 내용과 감정이 무엇인지 등)를 파악할 수 있다. 딥 뉴럴 네트워크는 컨벌루셔널 뉴럴 네트워크 (CNN: convolutional neural network), 리커런트 뉴럴 네트워크(RNN: recurrent neural network), 제한 볼츠만 머신(RBM: restricted boltzmann machine), 심층 신뢰 네트워크(DBN: deep belief network), Q 네트워크, U 네트워크, 샴 네트워크 등을 포함할 수 있다.
컨벌루셔널 뉴럴 네트워크는, 딥 뉴럴 네트워크의 일종으로서, 컨벌루셔널 레이어를 포함하는 신경망을 포함한다. 컨벌루셔널 뉴럴 네트워크는, 최소한의 전처리(preprocess)를 사용하도록 설계된 다계층 퍼셉트론(multilayer perceptrons)의 한 종류이다. CNN은, 하나 또는 여러 개의 컨벌루셔널 레이어와 이와 결합된 인공 신경망 계층들로 구성될 수 있다. CNN은, 가중치와 풀링 레이어(pooling layer)들을 추가로 활용할 수 있다. 이러한 구조 덕분에 CNN은, 2차원 구조의 입력 데이터를 충분히 활용할 수 있다. 컨벌루셔널 뉴럴 네트워크는, 이미지에서 오브젝트를 인식하기 위하여 사용될 수 있다. 컨벌루셔널 뉴럴 네트워크는, 이미지 데이터를 차원을 가진 행렬로 나타내어 처리할 수 있다. 예를 들어 RGB(red-green-blue)로 인코딩 된 이미지 데이터의 경우, R, G, B 색상별로 각각 2차원(예를 들어, 2 차원 이미지 인 경우) 행렬로 나타내 질 수 있다. 즉, 이미지 데이터의 각 픽셀의 색상 값이 행렬의 성분이 될 수 있으며 행렬의 크기는 이미지의 크기와 같을 수 있다. 따라서, 이미지 데이터는, 3개의 2차원 행렬로(3차원의 데이터 어레이)로 나타내질 수 있다.
컨벌루셔널 뉴럴 네트워크에서, 컨벌루셔널 필터를 이동해가며 컨벌루셔널 필터와 이미지의 각 위치에서의 행렬 성분끼리 곱하는 것으로 컨벌루셔널 과정(컨벌루셔널 레이어의 입출력)을 수행할 수 있다. 컨벌루셔널 필터는, n*n 형태의 행렬로 구성될 수 있다. 컨벌루셔널 필터는, 일반적으로 이미지의 전체 픽셀의 수보다 작은 고정된 형태의 필터로 구성될 수 있다. 즉, m*m 이미지를 컨벌루셔널 레이어(예를 들어, 컨벌루셔널 필터의 사이즈가 n*n인 컨벌루셔널 레이어)입력시키는 경우, 이미지의 각 픽셀을 포함하는 n*n 픽셀을 나타내는 행렬이 컨벌루셔널 필터와 성분 곱 (즉, 행렬의 각 성분끼리의 곱) 될 수 있다. 컨벌루셔널 필터와의 곱에 의하여 이 미지에서 컨벌루셔널 필터와 매칭되는 성분이 추출될 수 있다. 예를 들어, 이미지에서 상하 직선 성분을 추출하기 위한 3*3 컨벌루셔널 필터는 [[0,1,0], [0,1,0], [0,1,0]] 와 같이 구성될 수 있다. 이미지에서 상하 직선 성분을 추출하기 위한 3*3 컨벌루셔널 필터가 입력 이미지에 적용되면 이미지에서 컨벌루셔널 필터와 매칭되는 상하 직선 성분이 추출되어 출력될 수 있다. 컨벌루셔널 레이어는 이미지를 나타낸 각각의 채널에 대한 각각의 행렬(즉, R, G, B 코딩 이미지의 경우, R, G, B 색상)에 컨벌루셔널 필터를 적용할 수 있다. 컨벌루셔널 레이어는 입력 이미지에 컨벌루셔널 필터를 적용하여 입력 이미지에서 컨벌루셔널 필터와 매칭되는 피쳐를 추출할 수 있다. 컨벌루셔널 필터의 필터 값(즉, 행렬의 각 성분의 값)은 컨벌루셔널 뉴럴 네트워크의 학습 과정에서 역전파에 의하여 업데이트 될 수 있다.
컨벌루셔널 레이어의 출력에는, 서브샘플링 레이어가 연결되어 컨벌루셔널 레이어의 출력을 단순화하여 메모리 사용량과 연산량을 줄일 수 있다. 예를 들어, 2*2 맥스 풀링 필터를 가지는 풀링 레이어에 컨벌루셔널 레이어의 출력을 입력시키는 경우, 이미지의 각 픽셀에서 2*2 패치마다 각 패치에 포함되는 최대값을 출력하여 이미지를 압축할 수 있다. 전술한 풀링은 패치에서 최소값을 출력하거나, 패치의 평균값을 출력하는 방식일 수도 있으며 임의의 풀링 방식이 본 발명에 포함될 수 있다.
컨벌루셔널 뉴럴 네트워크는, 하나 이상의 컨벌루셔널 레이어, 서브 샘플링 레이어를 포함할 수 있다. 컨벌루셔널 뉴럴 네트워크는 컨벌루셔널 과정과 서브샘플링 과정(예를 들어, 전술한 맥스 풀링 등)을 반복적으로 수행하여 이미지에서 피쳐를 추출할 수 있다. 반복적인 컨벌루션널 과정과 서브샘플링 과정을 통해 뉴럴 네트워크는 이미지의 글로벌 피쳐를 추출할 수 있다.
컨벌루셔널 레이어 또는 서브샘플링 레이어의 출력은 풀 커넥티드 레이어(fully connected layer)에 입력될 수 있다. 풀 커넥티드 레이어는 하나의 레이어에 있는 모든 뉴런과 이웃한 레이어에 있는 모든 뉴런이 연결되는 레이어이다. 풀 커넥티드 레이어는 뉴럴 네트워크에서 각 레이어의 모든 노드가 다른 레이어의 모든 노드에 연결된 구조를 의미할 수 있다.
본 발명의 일 실시예에 따르면, 프로세서(110)는, 하나 이상의 코어로 구성될 수 있으며, 컴퓨팅 장치의 중앙 처리 장치(CPU: central processing unit), 범용 그래픽 처리 장치 (GPGPU: general purpose graphics processing unit), 텐서 처리 장치(TPU: tensor processing unit) 등의 데이터 분석, 딥러닝을 위한 프로세서를 포함할 수 있다. 프로세서(110)는, 메모리(130)에 저장된 컴퓨터 프로그램을 판독하여 본 발명의 일 실시예에 따른 기계 학습을 위한 데이터 처리를 수행할 수 있다. 본 발명의 일실시예에 따라 프로세서(110)는, 신경망의 학습을 위한 연산을 수행할 수 있다. 프로세서(110)는, 딥러닝(DL: deep learning)에서 학습을 위한 입력 데이터의 처리, 입력 데이터에서의 피처 추출, 오차 계산, 역전파(backpropagation)를 이용한 신경망의 가중치 업데이트 등의 신경망의 학습을 위한 계산을 수행할 수 있다. 프로세서(110)의 CPU, GPGPU, 및 TPU 중 적어도 하나가 네트워크 함수의 학습을 처리할 수 있다. 예를 들어, CPU 와 GPGPU가 함께 네트워크 함수의 학습, 네트워크 함수를 이용한 데이터 분류를 처리할 수 있다. 또한, 본 발명의 일 실시예에서 복수의 컴퓨팅 장치의 프로세서를 함께 사용하여 네트워크 함수의 학습, 네트워크 함수를 이용한 데이터 분류를 처리할 수 있다. 또한, 본 발명의 일 실시예에 따른 컴퓨팅 장치에서 수행되는 컴퓨터 프로그램은, CPU, GPGPU 또는 TPU 실행가능 프로그램일 수 있다.
본 발명의 일 실시예에 따르면, 메모리(130)는, 의료 텍스트의 노이즈 데이터 필터링 방법을 수행하기 위한 컴퓨터 프로그램을 저장할 수 있으며, 저장된 컴퓨터 프로그램은 프로세서(120)에 의하여 판독되어 구동될 수 있다. 메모리(130)는, 프로세서(110)가 생성하거나 결정한 임의의 형태의 정보 및 네트워크부(150)가 수신한 임의의 형태의 정보를 저장할 수 있다.
본 발명의 일 실시예에 따르면, 메모리(130)는, 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 컴퓨팅 장치(100)는 인터넷(internet) 상에서 상기 메모리(130)의 저장 기능을 수행하는 웹 스토리지(web storage)와 관련되어 동작할 수도 있다. 전술한 메모리에 대한 기재는 예시일 뿐, 이에 제한되지 않는다.
본 발명의 일 실시예에 따른 네트워크부(150)는, 다른 컴퓨팅 장치, 서버 등과 정보를 송수신할 수 있다. 또한, 네트워크부(150)는, 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 복수의 컴퓨팅 장치 각각에서 전자 메시지 검사 또는 모델의 학습을 위한 동작들이 분산 수행되도록 할 수 있다. 네트워크부(150)는, 복수의 컴퓨팅 장치 사이의 통신을 가능하게 하여 전자 메시지 검사 또는 네트워크 함수를 사용한 모델 학습을 위한 연산을 분산 처리하도록 할 수 있다.
본 발명의 일 실시예에 따른 네트워크부(150)는, 근거리(단거리), 원거리, 유선 및 무선 등과 같은 현재 사용 및 구현되는 임의의 형태의 유무선 통신 기술에 기반하여 동작할 수 있으며, 다른 네트워크들에서도 사용될 수 있다.
본 발명의 컴퓨팅 장치(100)는, 출력부 및 입력부를 더 포함할 수도 있다.
본 발명의 일 실시예에 따른 출력부는, 전자 메시지 검사 방법을 수행하기 위한 사용자 인터페이스(UI, user interface)를 표시할 수 있다. 출력부는, 프로세서(110)가 생성하거나 결정한 임의의 형태의 정보 및 네트워크부(150)가 수신한 임의의 형태의 정보를 출력할 수 있다.
본 발명의 일 실시예에서, 출력부는, 액정 디스플레이(liquid crystal display, LCD), 박막 트랜지스터 액정 디스플레이(thin film transistor-liquid crystal display, TFT LCD), 유기 발광 다이오드(organic light-emitting diode, OLED), 플렉시블 디스플레이(flexible display), 3차원 디스플레이(3D display) 중에서 적어도 하나를 포함할 수 있다. 이들 중 일부 디스플레이 모듈은, 그를 통해 외부를 볼 수 있도록 투명형 또는 광 투과형으로 구성될 수 있다. 이는 투명 디스플레이 모듈이라 지칭될 수 있는데, 상기 투명 디스플레이 모듈의 대표적인 예로는 TOLED(Transparent OLED) 등이 있다.
본 발명의 일 실시예에 따른 입력부는, 사용자 입력을 수신할 수 있다. 입력부는, 사용자 입력을 수신받기 위한 사용자 인터페이스 상의 키 및/또는 버튼들, 또는 물리적인 키 및/또는 버튼들을 구비할 수 있다. 입력부를 통한 사용자 입력에 따라 본 발명의 실시예들에 따른 디스플레이를 제어하기 위한 컴퓨터 프로그램이 실행될 수 있다.
본 발명의 실시예들에 따른 입력부는, 사용자의 버튼 조작 또는 터치 입력을 감지하여 신호를 수신하거나, 카메라 또는 마이크로폰을 통하여 사용자 등의 음성 또는 동작을 수신하여 이를 입력 신호로 변환할 수도 있다. 이를 위해 음성 인식(Speech Recognition) 기술 또는 동작 인식(Motion Recognition) 기술들이 사용될 수 있다.
본 발명의 실시예들에 따른 입력부는, 컴퓨팅 장치(100)와 연결된 외부 입력 장비로서 구현될 수도 있다. 예를 들어, 입력 장비는 사용자 입력을 수신하기 위한 터치 패드, 터치 펜, 키보드 또는 마우스 중 적어도 하나일 수 있으나, 이는 예시일 뿐이며 이에 제한되는 것은 아니다.
본 발명의 일 실시예에 따른 입력부는, 사용자 터치 입력을 인식할 수 있다. 본 발명의 일 실시예에 따른 입력부는, 출력부와 동일한 구성일 수도 있다. 입력부는, 사용자의 선택 입력을 수신하도록 구현되는 터치 스크린으로 구성될 수 있다. 터치 스크린은, 접촉식 정전용량 방식, 적외선 광 감지 방식, 표면 초음파(SAW) 방식, 압전 방식, 저항막 방식 중 어느 하나의 방식이 사용될 수 있다. 전술한 터치 스크린에 대한 자세한 기재는, 본 발명의 일 실시예에 따른 예시일 뿐이며, 다양한 터치 스크린 패널이 컴퓨팅 장치(100)에 채용될 수 있다. 터치 스크린으로 구성된 입력부는, 터치 센서를 포함할 수 있다. 터치 센서는, 입력부의 특정 부위에 가해진 압력 또는 입력부의 특정 부위에 발생하는 정전 용량 등의 변화를 전기적인 입력신호로 변환하도록 구성될 수 있다. 터치 센서는, 터치 되는 위치 및 면적뿐만 아니라, 터치 시의 압력까지도 검출할 수 있도록 구성될 수 있다. 터치 센서에 대한 터치입력이 있는 경우, 그에 대응하는 신호(들)는 터치 제어기로 보내진다. 터치 제어기는, 그 신호(들)를 처리한 다음 대응하는 데이터를 프로세서(110)로 전송할 수 있다. 이로써, 프로세서(110)는 입력부의 어느 영역이 터치 되었는지 여부 등을 인식할 수 있게 된다.
본 발명의 일 실시예에서, 서버는, 서버의 서버 환경을 수행하기 위한 다른 구성들이 포함될 수도 있다. 서버는 임의의 형태의 장치는 모두 포함할 수 있다. 서버는, 디지털 기기로서, 랩탑 컴퓨터, 노트북 컴퓨터, 데스크톱 컴퓨터, 웹 패드, 이동 전화기와 같이 프로세서를 탑재하고 메모리를 구비한 연산 능력을 갖춘 디지털 기기일 수 있다.
본 발명의 일 실시예에 따른 전자 메시지 검사 결과를 표시하는 사용자 인터페이스를 사용자 단말로 제공하기 위한 동작을 수행하는 서버(미도시)는, 네트워크부, 프로세서 및 메모리를 포함할 수 있다.
서버는, 본 발명의 실시예들에 따른 사용자 인터페이스를 생성할 수 있다. 서버는, 클라이언트(예를 들어, 사용자 단말)에게 네트워크를 통해 정보를 제공하는 컴퓨팅 시스템일 수 있다. 서버는, 생성한 사용자 인터페이스를 사용자 단말로 전송할 수 있다. 이러한 경우, 사용자 단말은, 서버에 액세스할 수 있는 임의의 형태의 컴퓨팅 장치(100)일 수 있다. 서버의 프로세서는, 네트워크부를 통해 사용자 단말로 사용자 인터페이스를 전송할 수 있다. 본 발명의 실시예들에 따른 서버는 예를 들어, 클라우드 서버일 수 있다. 서버는 서비스를 처리하는 웹 서버일 수 있다. 전술한 서버의 종류는 예시일 뿐이며 이에 제한되지 않는다.
이와 같이, 본 발명은, 전자 메일 파일의 스팸 검사와, 뉴럴 네트워크 모델을 이용하여 첨부 파일의 정적 검사 및 동적 검사를 수행함으로써, 지속적으로 변화하는 다양한 이메일 공격 패턴에 대응하여 최소 시간 및 비용으로 불법 스팸 메일을 정확하게 필터링할 수 있다.
또한, 본 발명은, 신호등 형태의 스팸 확률값을 표현하므로 사용자로 하여금 스팸 메일에 대한 경각심을 갖도록 한다.
또한, 본 발명은, 메일 서버와 분석 서버를 포함할 수 있는데, 분석 서버만 이용함으로써, EML을 추출하여 전자 메일 파일의 스팸 검사와, 뉴럴 네트워크 모델을 이용하여 첨부 파일의 정적 검사 및 동적 검사를 수행할 수 있으므로, 메일 서버에서 메일을 수신 및 저장하는 동안에도 분석 서버에서 전자 메일의 스팸, 정적, 동적 검사를 효율적으로 수행할 수 있다.
또한, 본 발명은, 문서 파일 위주의 정적 검사를 수행하므로 샌드 박스에 대한 시간 소요를 최소화할 수 있다.
또한, 본 발명은, 모델에 대한 악성 파일 자가 학습을 통해 기업 측면에서 유지 보수 비용이 감소할 수 있다.
도 2는, 본 발명의 일 실시예에 따라, 전자 메시지 검사 장치를 설명하기 위한 보여주는 개념도이다.
도 2에 도시된 바와 같이, 본 발명의 전자 메시지 검사 장치는, 메일 서버 영역(1100)과 분석 서버 영역(1200)를 포함하는 컴퓨팅 장치(100)일 수 있다.
여기서, 메일 서버 영역(1100)은, 외부 통신 네트워크를 통해 전자 메시지를 수신 및 저장하고, 분석 서버 영역(1200)으로부터 수신되는 전자 메시지의 분류 정보 및 악성 확률 정보를 저장하며, 분류된 전자 메시지의 악성 확률 정보를 표시할 수 있다.
일 예로, 메일 서버 영역(1100)은, 메일 서버(1110), 메일 서버 데이터베이스(1120), 웹메일 백엔드 시스템(1130), 웹메일 데이터베이스(1140), 프론트엔드(1150)를 포함할 수 있다.
메일 서버 영역(1100)의 메일 서버(1110)는, 외부 통신 네트워크를 통해 수신되는 전자 메시지를 메일 서버 데이터베이스(1120)에 저장하고, 웹메일 백엔드 시스템(1130)에도 전송할 수 있다.
여기서, 메일 서버 영역(1100)의 메일 서버(1110)는, 전자 메시지를 수신 및 저장할 때, 분석 서버 영역(1200)의 스팸 필터부(1210), 정적 검사부(1220), 동적 검사부(1240)가 제1, 제2, 제3 플래그를 생성하는 동안에도 수신되는 전자 메시지를 저장할 수 있다.
따라서, 본 발명은, 메일 서버 영역(1100)에서 메일을 수신 및 저장하는 동안에도 분석 서버 영역(1200)에서 전자 메일의 스팸, 정적, 동적 검사를 지속적으로 수행할 수 있으므로, 전체 시스템 동작이 효율적으로 운영될 수 있다.
이어, 메일 서버 영역(1100)의 웹메일 백엔드 시스템(1130)은, 전자 메시지의 일부 정보를 웹메일 데이터베이스(1140)에 저장할 수 있으며, 분석 서버 영역(1200)으로부터 수신되는 전자 메시지의 분류 정보 및 악성 확률 정보를 웹메일 데이터베이스(1140)에 저장할 수 있다.
일 예로, 메일 서버 영역(1100)의 메일 서버(1110)는, 수신된 전자 메시지의 내용을 메일 서버 데이터베이스(1120)에 저장할 수 있고, 메일 서버 영역(1100)의 웹메일 백엔드 시스템(1130)은, 전자 메시지의 요약 정보와 그의 플래그 정보를 웹메일 데이터베이스(1140)에 저장할 수 있다.
그리고, 메일 서버 영역(1100)의 웹메일 백엔드 시스템(1130)은, 분류된 전자 메시지의 악성 확률 정보를 표시하여 프론트엔드(1150)를 통해 사용자(10)에게 제공할 수 있다.
다음, 분석 서버 영역(1200)은, 스팸 필터부(1210), 정적 검사부(1220), 샌드박스 실행부(1230), 동적 검사부(1240) 및 분류부(1250)를 포함할 수 있다.
여기서, 스팸 필터부(1210)는, 메일 서버 영역(1100)의 메일 서버 데이터베이스(1120)에 저장된 전자 메시지로부터 전자 메일 파일을 추출할 수 있다.
여기서, 스팸 필터부(1210)는, 저장된 전자 메시지로부터 전자 메일 파일을 추출할 때, 저장된 다수의 전자 메시지들로부터 EML 파일을 추출할 수 있는데, 이는 일 실시예일 뿐, 이에 한정되지는 않는다.
경우에 따라, 스팸 필터부(1210)는, 저장된 전자 메시지로부터 전자 메일 파일을 추출할 때, 저장된 다수의 전자 메시지들로부터 전자 메일 정보를 수집할 수도 있다.
그리고, 스팸 필터부(1210)는, 추출한 전자 메일 파일의 스팸 검사를 수행하고, 그에 상응하는 제1 플래그를 생성할 수 있다.
여기서, 스팸 필터부(1210)는, 제1 플래그를 생성할 때, 추출한 전자 메일 파일이 사용자 스팸룰에 상응하는 스팸인지를 확인하고, 사용자 스팸룰에 상응하는 스팸이면 악성 플래그를 생성할 수 있다.
일 예로, 사용자 스팸룰은, 유사 도메인 또는 악성 도메인을 포함하는 메일 도메인 및 IP 차단, 발신인 도메인과 실제 발신인 도메인이 다르면 차단, 악성 URL 차단, 첨부파일 이중 확장자 차단, 안전하지 않는 첨부파일 분류, 사용자 지정 키워드 차단을 포함할 수 있는데, 이는 일 실시예일 뿐, 이에 한정되지 않는다.
경우에 따라, 스팸 필터부(1210)는, 추출한 전자 메일 파일이 사용자 스팸룰에 상응하는 스팸인지를 확인할 때, 사용자 스팸룰에 상응하는 스팸이 아니면 전자 메일 파일이 사용자 스팸룰에 상응하는 광고 또는 프로모션인지를 확인하고, 사용자 스팸룰에 상응하는 광고 또는 프로모션이면 광고 플래그를 생성할 수 있다.
일 예로, 사용자 스팸룰은, 유사 도메인 또는 악성 도메인을 포함하는 메일 도메인 및 IP 차단, 발신인 도메인과 실제 발신인 도메인이 다르면 차단, 악성 URL 차단, 첨부파일 이중 확장자 차단, 안전하지 않는 첨부파일 분류, 사용자 지정 키워드 차단을 포함할 수 있는데, 이는 일 실시예일 뿐, 이에 한정되지 않는다.
예를 들면, 유사 도메인 또는 악성 도메인을 포함하는 메일 도메인은, goog1e.com, dauum.net, qoogle.com 등을 포함할 수 있으며, 첨부파일 이중 확장자는, 회의자료.xlsx.exe, 발췌목록.pdf.exe 등을 포함할 수 있다.
다음, 정적 검사부(1220)는, 스팸 검사 수행이 완료되면 전자 메일 파일의 첨부 파일 유무를 확인할 수 있다.
이어, 정적 검사부(1220)는, 첨부 파일이 있으면 첨부 파일의 유형에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고 그에 상응하는 제2 플래그를 생성할 수 있다.
여기서, 정적 검사부(1220)는, 제2 플래그를 생성할 때, 첨부 파일이 문서 파일 유형이면 그에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 제2 플래그를 생성할 수 있다.
일 예로, 정적 검사부(1220)는, 제2 플래그를 생성할 때, 첨부 파일이 문서 파일 유형 중 PDF 파일이면 PDF 버전 정보, 상기 PDF 파일 내의 주요 키워드 정보, 사용자 정의 태그 정보, 임의의 태그 정보를 포함하는 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 제2 플래그를 생성할 수 있다.
예를 들면, 상기 PDF 파일 내의 주요 키워드 정보는, 'obj', 'endobj', 'stream', 'endstream', 'xref', 'trailer', 'startxref', '/Page', '/Encrypt', '/ObjStm', '/JS', '/JavaScript', '/AA', '/OpenAction', '/AcroForm', '/JBIG2Decode', '/RichMedia', '/Launch', '/EmbeddedFile', '/XFA', '/Type', '/Catalog', '/Version', '/Pages', '/rovers', '/abdula', '/Kids', '/Count', '/S', '/Filter', '/FlateDecode', '/Length', '/ASCIIHexDecode', '/ASCII85Decode', '/LZWDecode', '/RunLengthDecode', '/CCITTFaxDecode', '/DCTDecode', '/JPXDecode', '/Crypt' 등을 포함할 수 있고, 사용자 정의 태그 정보 및 임의의 태그 정보는, /Colors_2^24, /0, /01, /02, /05, /07, /1, /18, /1999 ,/22 등을 포함할 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지는 않고, 상기 사용자 정의 태그 정보의 명칭은 사용자가 임의로 정의 가능하다.
다른 일 예로, 정적 검사부(1220)는, 제2 플래그를 생성할 때, 첨부 파일이 문서 파일 유형 중 DOCX, XLSX, HWP 파일이면 전처리를 수행하여 구조적 경로를 포함하는 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 제2 플래그를 생성할 수 있다.
여기서, 정적 검사부(1220)는, 전처리를 수행할 때, 마이크로 소프트TM 기반의 워드(DOCX), 엑셀(XLSX) 및 파워포인트(PPT) 형식의 파일을 집파일(Zipfile)로 변환하여 네임리스트(nanelist)로 인수(argument)를 추출하고 중복값을 제외하여 구조적 특징을 추출할 수 있는데, 이는 일 실시예일 뿐, 이에 한정되지 않는다.
또한, 프로세서(110)는, 전처리를 수행할 때, HWP 파일을 스토리지 및 스트림 내의 데이터의 구조적 특징을 추출할 수 있는데, 이는 일 실시예일 뿐, 이에 한정되지 않는다.
경우에 따라, 정적 검사부(1220)는, 제2 플래그를 생성할 때, 첨부 파일이 문서 파일 유형이 아니면 첨부 파일을 바로 샌드 박스 실행할 수도 있다.
일 예로, 제1 뉴럴 네트워크 모델은, 랜덤포레스트(RandomForest) 모델, 서포트 벡터 머신(support vector machine) 모델, 디시젼트리(DecisionTree) 모델, 나이브 베이스(Naive Bayes) 모델 중 적어도 어느 하나일 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
또한, 정적 검사부(1220)는, 제2 플래그를 생성할 때, 제2 플래그와 함께 제1 악성 확률값 및 제1 뉴럴 네트워크 모델 정확도를 생성할 수 있다.
다음, 샌드박스 실행부(1230)는, 정적 검사 수행이 완료된 첨부 파일을 샌드 박스 실행할 수도 있고, 문서 파일 유형이 아닌 첨부 파일을 정적 수행 검사 없이 바로 샌드 박스 실행할 수도 있다.
그리고, 동적 검사부(1240)는, 샌드 박스 실행한 첨부 파일에 대해 특정 지표에 상응하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고 그에 상응하는 제3 플래그를 생성할 수 있다.
여기서, 동적 검사부(1240)는, 제3 플래그를 생성할 때, 샌드 박스 실행한 첨부 파일에 대해 침해 지표로부터 가중치가 높은 콘텐츠 정보를 포함하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 제3 플래그를 생성할 수 있다.
예를 들면, 제2 특징값은, 파일 해쉬(file hash) 및 생성 파일(create file) 정보를 포함할 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
즉, 제2 특징값은, 샌드박스 결과 값 중 하나인 API call sequence를 사용할 수 있다.
또한, 제2 뉴럴 네트워크 모델은, 랜덤포레스트(RandomForest) 모델, 서포트 벡터 머신(support vector machine) 모델, 디시젼트리(DecisionTree) 모델, 나이브 베이스(Naive Bayes) 모델 중 적어도 어느 하나일 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
경우에 따라, 제2 뉴럴 네트워크 모델은, 제1 뉴럴 네트워크 모델과 다를 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
또한, 동적 검사부(1240)는, 제3 플래그를 생성할 때, 제3 플래그와 함께 제2 악성 확률값 및 제2 뉴럴 네트워크 모델 정확도를 생성할 수 있다.
이어, 분류부(1250)는, 제1, 제2, 제3 플래그를 기반으로 전자 메시지를 분류하여 악성 확률 정보를 표시할 수 있다.
여기서, 분류부(1250)는, 악성 확률 정보를 표시할 때, 악성 플래그 및 광고 플래그를 포함하는 제1 플래그, 제1 악성 확률값 및 제1 뉴럴 네트워크 모델 정확도를 포함하는 제2 플래그, 제2 악성 확률값 및 제2 뉴럴 네트워크 모델 정확도를 포함하는 제3 플래그를 기반으로 전자 메일 파일을 스팸 메일, 광고 메일 및 정상 메일로 분류하고, 분류한 메일에 악성 확률 정보를 표시할 수 있다.
일 예로, 분류부(1250), 악성 확률 정보를 표시할 때, 분류한 스팸 메일, 광고 메일 및 정상 메일이 각각 시각적으로 구분되도록 서로 다른 컬러를 갖는 악성 확률 정보를 표시할 수 있다.
예를 들면, 악성 확률 정보는, 교통 신호등 색상으로 구분하여 해당 메일 리스트 일측에 표시될 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
도 3은, 정적 검사를 수행하는 뉴럴 네트워크 모델의 학습 과정을 설명하기 위한 도면이다.
도 3에 도시된 바와 같이, 본 발명은, 첨부 파일의 유형에 상응하는 특징값을 미리 학습된 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고 그에 상응하는 플래그를 생성할 수 있다.
여기서, 정적 검사부(1220)는, 첨부 파일이 문서 파일 유형이면 그에 상응하는 특징값을 미리 학습된 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 플래그를 생성할 수 있다.
본 발명의 뉴럴 네트워크 모델은, 원천 데이터를 수집하여 적재하고, 이들을 정제 및 전처리 과정을 거쳐서 데이터를 분할하며, 분할된 데이터를 기반으로 훈련을 수행하고, 모델의 훈련 성능을 평가하며, 평가된 모델의 성능을 도출하고, 상기 모델 자체를 저장함으로써, 모델 훈련 과정을 수행할 수 있다.
그리고, 본 발명의 뉴럴 네트워크 모델은, 데이터를 수집하여 적재하고, 이들을 정제 및 전처리 과정을 거쳐서 학습된 모델을 기반으로 악성 확률을 추론하여 악성 확률값을 생성할 수 있다.
도 4 내지 도 7은, 정적 검사를 수행하는 뉴럴 네트워크 모델의 성능 평가를 설명하기 위한 도면이다.
도 4 내지 도 7에 도시된 바와 같이, 정적 검사를 수행하는 뉴럴 네트워크 모델은, 랜덤포레스트(RandomForest) 모델, 서포트 벡터 머신(support vector machine) 모델, 디시젼트리(DecisionTree) 모델, 나이브 베이스(Naive Bayes) 모델을 사용하였고, 앙상블 중에서 보팅(voting) 및 배깅(bagging)을 추가하여 k = 5로 k-fold 교차 검증을 실시한 결과이다.
여기서, 성능평가지표는, 정확도(Accuracy), 정밀도(Precision), 재현율(Recall), F1 스코어(Score), Auc를 포함할 수 있다.
일 예로, 정확도(Accuracy)는, 올바르게 예측된 데이터의 수를 전체 데이터의 수로 나눈 값으로서, (TP+TN) / (TP+TN+FP+FN)일 수 있으며, 정밀도(Precision)는, 모델이 트루(True)라고 인식한 데이터의 수로서, TP / TP + FN일 수 있고, F1 스코어는, 정밀도와 재현율의 평균일 수 있으며, Auc는, ROC 커브(curve)의 아래 면적을 나타내는 지표로서, 클래스별 분포가 다를 때, 정확도의 단점을 보완하는 지표이다.
도 4는, docx 파일의 k-fold 교차 검증을 실시한 결과로서, 서포트 벡터 머신(support vector machine) 모델의 성능이 가장 우수한 결과를 보이는 것을 알 수 있다.
도 5는, pdf 파일의 k-fold 교차 검증을 실시한 결과로서, 서포트 벡터 머신(support vector machine) 모델의 성능이 가장 우수한 결과를 보이는 것을 알 수 있다.
도 6은, xlsx 파일의 k-fold 교차 검증을 실시한 결과로서, 서포트 벡터 머신(support vector machine) 모델의 성능이 가장 우수한 결과를 보이는 것을 알 수 있다.
도 7은, hwp 파일의 k-fold 교차 검증을 실시한 결과로서, 서포트 벡터 머신(support vector machine) 모델의 성능이 가장 우수한 결과를 보이는 것을 알 수 있다.
도 8은, 동적 검사를 수행하는 뉴럴 네트워크 모델에 입력되는 특징값 추출 과정을 설명하기 위한 도면이다.
도 8에 도시된 바와 같이, 동적 검사를 수행하는 뉴럴 네트워크 모델은, 샌드 박스 실행한 첨부 파일에 대해 특정 지표에 상응하는 특징값을 미리 학습된 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고 그에 상응하는 플래그를 생성할 수 있다.
일 예로, 동적 검사를 수행하는 뉴럴 네트워크 모델은, 샌드 박스 실행한 첨부 파일에 대해 침해 지표로부터 가중치가 높은 콘텐츠 정보를 포함하는 특징값을 미리 학습된 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 플래그를 생성할 수 있다.
예를 들면, 특징값은, 파일 해쉬(file hash) 및 생성 파일(create file) 정보를 포함할 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
즉, 특징값은, 샌드박스 결과 값 중 하나인 API call sequence를 사용할 수 있다.
여기서, 동적 검사를 수행하는 뉴럴 네트워크 모델은, 랜덤포레스트(RandomForest) 모델, 서포트 벡터 머신(support vector machine) 모델, 디시젼트리(DecisionTree) 모델, 나이브 베이스(Naive Bayes) 모델 중 적어도 어느 하나일 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
도 9는, 메일 리스트에 표시되는 악성 확률 정보를 설명하기 위한 도면이다.
도 9에 도시된 바와 같이, 본 발명은, 악성 플래그 및 광고 플래그를 포함하는 제1 플래그, 제1 악성 확률값 및 제1 뉴럴 네트워크 모델 정확도를 포함하는 제2 플래그, 제2 악성 확률값 및 제2 뉴럴 네트워크 모델 정확도를 포함하는 제3 플래그를 기반으로 전자 메일 파일을 스팸 메일, 광고 메일 및 정상 메일로 분류하고, 분류한 메일에 악성 확률 정보를 표시할 수 있다.
일 예로, 도 9와 같이, 본 발명은, 악성 확률 정보를 표시할 때, 분류한 스팸 메일, 광고 메일 및 정상 메일이 각각 시각적으로 구분되도록 서로 다른 컬러를 갖는 악성 확률 정보를 표시할 수 있다.
예를 들면, 악성 확률 정보는, 교통 신호등 색상으로 구분하여 해당 메일 리스트 일측에 표시될 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
도 10은, 본 발명의 일 실시예에 따라, 전자 메시지 검사 방법을 설명하기 위한 흐름도이다.
도 10에 도시된 바와 같이, 본 발명의 메일 서버는, 통신 네트워크를 통해 전자 메시지를 수신 및 저장할 수 있다.
그리고, 본 발명의 EML 추출부는, 메일 서버에 저장된 전자 메시지로부터 전자 메일 파일을 추출할 수 있다.
여기서, 본 발명의 EML 추출부는, 저장된 전자 메시지로부터 전자 메일 파일을 추출할 때, 저장된 다수의 전자 메시지들로부터 EML 파일을 추출할 수 있는데, 이는 일 실시예일 뿐, 이에 한정되지는 않는다.
다음, 본 발명의 스팸 필터부는, 추출한 전자 메일 파일이 사용자 스팸룰에 상응하는 스팸인지를 확인하고, 사용자 스팸룰에 상응하는 스팸이면 악성 플래그를 생성할 수 있다.
그리고, 본 발명의 스팸 필터부는, 사용자 스팸룰에 상응하는 스팸이 아니면 전자 메일 파일이 사용자 스팸룰에 상응하는 광고 또는 프로모션인지를 확인하고, 사용자 스팸룰에 상응하는 광고 또는 프로모션이면 광고 플래그를 생성할 수 있다.
일 예로, 사용자 스팸룰은, 유사 도메인 또는 악성 도메인을 포함하는 메일 도메인 및 IP 차단, 발신인 도메인과 실제 발신인 도메인이 다르면 차단, 악성 URL 차단, 첨부파일 이중 확장자 차단, 안전하지 않는 첨부파일 분류, 사용자 지정 키워드 차단을 포함할 수 있는데, 이는 일 실시예일 뿐, 이에 한정되지 않는다.
이어, 본 발명의 정적 검사부는, 스팸 검사 수행이 완료되면 전자 메일 파일의 첨부 파일 유무를 확인할 수 있다.
그리고, 본 발명의 정적 검사부는, 첨부 파일이 있으면 첨부 파일의 유형에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고 그에 상응하는 제2 플래그를 생성할 수 있다.
즉, 본 발명의 정적 검사부는, 제2 플래그를 생성할 때, 첨부 파일이 문서 파일 유형이면 그에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 제2 플래그를 생성할 수 있다.
여기서, 제1 뉴럴 네트워크 모델은, 랜덤포레스트(RandomForest) 모델, 서포트 벡터 머신(support vector machine) 모델, 디시젼트리(DecisionTree) 모델, 나이브 베이스(Naive Bayes) 모델 중 적어도 어느 하나일 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
다음, 본 발명의 샌드박스 실행부는, 정적 검사 수행이 완료된 첨부 파일을 샌드 박스 실행할 수 있다.
그리고, 본 발명의 동적 검사부는, 샌드 박스 실행한 첨부 파일에 대해 특정 지표에 상응하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고 그에 상응하는 제3 플래그를 생성할 수 있다.
여기서, 동적 검사부는, 샌드 박스 실행한 첨부 파일에 대해 침해 지표로부터 가중치가 높은 콘텐츠 정보를 포함하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고, 정적 검사에 상응하는 악성 확률값을 예측하며, 예측한 악성 확률값을 기초로 제3 플래그를 생성할 수 있다.
여기서, 제2 뉴럴 네트워크 모델은, 랜덤포레스트(RandomForest) 모델, 서포트 벡터 머신(support vector machine) 모델, 디시젼트리(DecisionTree) 모델, 나이브 베이스(Naive Bayes) 모델 중 적어도 어느 하나일 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
이어, 본 발명의 분류부는, 제1, 제2, 제3 플래그를 기반으로 전자 메시지를 분류하여 악성 확률 정보를 표시할 수 있다.
여기서, 본 발명의 분류부는, 악성 확률 정보를 표시할 때, 악성 플래그 및 광고 플래그를 포함하는 제1 플래그, 제1 악성 확률값 및 제1 뉴럴 네트워크 모델 정확도를 포함하는 제2 플래그, 제2 악성 확률값 및 제2 뉴럴 네트워크 모델 정확도를 포함하는 제3 플래그를 기반으로 전자 메일 파일을 스팸 메일, 광고 메일 및 정상 메일로 분류하고, 분류한 메일에 악성 확률 정보를 표시할 수 있다.
일 예로, 분류부는, 악성 확률 정보를 표시할 때, 분류한 스팸 메일, 광고 메일 및 정상 메일이 각각 시각적으로 구분되도록 서로 다른 컬러를 갖는 악성 확률 정보를 표시할 수 있다.
예를 들면, 악성 확률 정보는, 교통 신호등 색상으로 구분하여 해당 메일 리스트 일측에 표시될 수 있는데, 이는 일 실시예일 뿐, 이에 한정하지 않는다.
이와 같이, 본 발명은, 전자 메일 파일의 스팸 검사와, 뉴럴 네트워크 모델을 이용하여 첨부 파일의 정적 검사 및 동적 검사를 수행함으로써, 지속적으로 변화하는 다양한 이메일 공격 패턴에 대응하여 최소 시간 및 비용으로 불법 스팸 메일을 정확하게 필터링할 수 있다.
또한, 본 발명은, 신호등 형태의 스팸 확률값을 표현하므로 사용자로 하여금 스팸 메일에 대한 경각심을 갖도록 한다.
또한, 본 발명은, 메일 서버와 분석 서버를 포함할 수 있는데, 분석 서버만 이용함으로써, EML을 추출하여 전자 메일 파일의 스팸 검사와, 뉴럴 네트워크 모델을 이용하여 첨부 파일의 정적 검사 및 동적 검사를 수행할 수 있으므로, 메일 서버에서 메일을 수신 및 저장하는 동안에도 분석 서버에서 전자 메일의 스팸, 정적, 동적 검사를 효율적으로 수행할 수 있다.
또한, 본 발명은, 문서 파일 위주의 정적 검사를 수행하므로 샌드 박스에 대한 시간 소요를 최소화할 수 있다.
또한, 본 발명은, 모델에 대한 악성 파일 자가 학습을 통해 기업 측면에서 유지 보수 비용이 감소할 수 있다.
이상에서 전술한 본 발명의 일 실시예에 따른 방법은, 하드웨어인 서버와 결합되어 실행되기 위해 프로그램(또는 어플리케이션)으로 구현되어 매체에 저장될 수 있다.
상기 전술한 프로그램은, 상기 컴퓨터가 프로그램을 읽어 들여 프로그램으로 구현된 상기 방법들을 실행시키기 위하여, 상기 컴퓨터의 프로세서(CPU)가 상기 컴퓨터의 장치 인터페이스를 통해 읽힐 수 있는 C, C++, JAVA, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다. 이러한 코드는 상기 방법들을 실행하는 필요한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Functional Code)를 포함할 수 있고, 상기 기능들을 상기 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다. 또한, 이러한 코드는 상기 기능들을 상기 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 상기 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조되어야 하는지에 대한 메모리 참조관련 코드를 더 포함할 수 있다. 또한, 상기 컴퓨터의 프로세서가 상기 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 상기 컴퓨터의 통신 모듈을 이용하여 원격에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수 있다.
상기 저장되는 매체는, 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 구체적으로는, 상기 저장되는 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있지만, 이에 제한되지 않는다. 즉, 상기 프로그램은 상기 컴퓨터가 접속할 수 있는 다양한 서버 상의 다양한 기록매체 또는 사용자의 상기 컴퓨터상의 다양한 기록매체에 저장될 수 있다. 또한, 상기 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장될 수 있다.
본 발명의 실시예와 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 하드웨어에 의해 실행되는 소프트웨어 모듈로 구현되거나, 또는 이들의 결합에 의해 구현될 수 있다. 소프트웨어 모듈은 RAM(Random Access Memory), ROM(Read Only Memory), EPROM(Erasable Programmable ROM), EEPROM(Electrically Erasable Programmable ROM), 플래시 메모리(Flash Memory), 하드 디스크, 착탈형 디스크, CD-ROM, 또는 본 발명이 속하는 기술 분야에서 잘 알려진 임의의 형태의 컴퓨터 판독가능 기록매체에 상주할 수도 있다.
이상, 첨부된 도면을 참조로 하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야의 통상의 기술자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 제한적이 아닌 것으로 이해해야만 한다.

Claims (10)

  1. 전자 메시지 검사 장치의 전자 메시지 검사 방법에 있어서,
    전자 메시지를 수신 및 저장하는 단계;
    상기 저장된 전자 메시지로부터 전자 메일 파일을 추출하는 단계;
    상기 추출한 전자 메일 파일의 스팸 검사를 수행하고, 그에 상응하는 제1 플래그를 생성하는 단계;
    상기 스팸 검사 수행이 완료되면 전자 메일 파일의 첨부 파일 유무를 확인하는 단계;
    상기 첨부 파일이 있으면 상기 첨부 파일의 유형에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 그에 상응하는 제2 플래그를 생성하는 단계;
    상기 정적 검사 수행이 완료되면 첨부 파일을 샌드 박스 실행하는 단계;
    상기 샌드 박스 실행한 첨부 파일에 대해 특정 지표에 상응하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고, 그에 상응하는 제3 플래그를 생성하는 단계; 및
    상기 제1, 제2, 제3 플래그를 기반으로 상기 전자 메시지를 분류하여 악성 확률 정보를 표시하는 단계를 포함하고,
    상기 제2 플래그를 생성하는 단계는,
    상기 첨부 파일이 문서 파일 유형이면 그에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 상기 정적 검사에 상응하는 악성 확률값을 예측하며, 상기 예측한 악성 확률값을 기초로 제2 플래그를 생성하는 것을 특징으로 하는 전자 메시지 검사 방법.
  2. 삭제
  3. 제1 항에 있어서,
    상기 제2 플래그를 생성하는 단계는,
    상기 첨부 파일이 문서 파일 유형 중 PDF 파일이면 PDF 버전 정보, 상기 PDF 파일 내의 주요 키워드 정보, 사용자 정의 태그 정보, 임의의 태그 정보를 포함하는 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 상기 정적 검사에 상응하는 악성 확률값을 예측하며, 상기 예측한 악성 확률값을 기초로 제2 플래그를 생성하는 것을 특징으로 하는 전자 메시지 검사 방법.
  4. 제1 항에 있어서,
    상기 제2 플래그를 생성하는 단계는,
    상기 첨부 파일이 문서 파일 유형 중 DOCX, XLSX, HWP 파일이면 전처리를 수행하여 구조적 경로를 포함하는 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 상기 정적 검사에 상응하는 악성 확률값을 예측하며, 상기 예측한 악성 확률값을 기초로 제2 플래그를 생성하는 것을 특징으로 하는 전자 메시지 검사 방법.
  5. 전자 메시지 검사 장치의 전자 메시지 검사 방법에 있어서,
    전자 메시지를 수신 및 저장하는 단계;
    상기 저장된 전자 메시지로부터 전자 메일 파일을 추출하는 단계;
    상기 추출한 전자 메일 파일의 스팸 검사를 수행하고, 그에 상응하는 제1 플래그를 생성하는 단계;
    상기 스팸 검사 수행이 완료되면 전자 메일 파일의 첨부 파일 유무를 확인하는 단계;
    상기 첨부 파일이 있으면 상기 첨부 파일의 유형에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 그에 상응하는 제2 플래그를 생성하는 단계;
    상기 정적 검사 수행이 완료되면 첨부 파일을 샌드 박스 실행하는 단계;
    상기 샌드 박스 실행한 첨부 파일에 대해 특정 지표에 상응하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고, 그에 상응하는 제3 플래그를 생성하는 단계; 및
    상기 제1, 제2, 제3 플래그를 기반으로 상기 전자 메시지를 분류하여 악성 확률 정보를 표시하는 단계를 포함하고,
    상기 제3 플래그를 생성하는 단계는,
    상기 샌드 박스 실행한 첨부 파일에 대해 침해 지표로부터 가중치가 높은 콘텐츠 정보를 포함하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고, 상기 정적 검사에 상응하는 악성 확률값을 예측하며, 상기 예측한 악성 확률값을 기초로 제3 플래그를 생성하는 것을 특징으로 하는 전자 메시지 검사 방법.
  6. 제5 항에 있어서,
    상기 제2 특징값은,
    파일 해쉬(file hash) 및 생성 파일(create file) 정보를 포함하는 것을 특징으로 하는 전자 메시지 검사 방법.
  7. 제1 항에 있어서,
    상기 악성 확률 정보를 표시하는 단계는,
    악성 플래그 및 광고 플래그를 포함하는 상기 제1 플래그, 제1 악성 확률값 및 제1 뉴럴 네트워크 모델 정확도를 포함하는 상기 제2 플래그, 제2 악성 확률값 및 제2 뉴럴 네트워크 모델 정확도를 포함하는 상기 제3 플래그를 기반으로 전자 메일 파일을 스팸 메일, 광고 메일 및 정상 메일로 분류하고, 상기 분류한 메일에 악성 확률 정보를 표시하는 것을 특징으로 하는 전자 메시지 검사 방법.
  8. 제7 항에 있어서,
    상기 악성 확률 정보를 표시하는 단계는,
    상기 분류한 스팸 메일, 광고 메일 및 정상 메일이 각각 시각적으로 구분되도록 서로 다른 컬러를 갖는 악성 확률 정보를 표시하는 것을 특징으로 하는 전자 메시지 검사 방법.
  9. 하드웨어인 컴퓨터와 결합되어, 제1 항, 제3 항 내지 제8 항 중 어느 한 항의 방법을 실행시키기 위한 컴퓨터 판독 가능 비 일시적 기록 매체에 저장된 컴퓨터 프로그램.
  10. 전자 메시지 검사 방법을 제공하기 위한 컴퓨팅 장치로서,
    하나 이상의 코어를 포함하는 프로세서; 및
    메모리;
    를 포함하고,
    상기 프로세서는,
    전자 메시지를 수신 및 저장하고,
    상기 저장된 전자 메시지로부터 전자 메일 파일을 추출하며,
    상기 추출한 전자 메일 파일의 스팸 검사를 수행하고, 그에 상응하는 제1 플래그를 생성하며,
    상기 스팸 검사 수행이 완료되면 전자 메일 파일의 첨부 파일 유무를 확인하고,
    상기 첨부 파일이 있으면 상기 첨부 파일의 유형에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 그에 상응하는 제2 플래그를 생성하며,
    상기 정적 검사 수행이 완료되면 첨부 파일을 샌드 박스 실행하고,
    상기 샌드 박스 실행한 첨부 파일에 대해 특정 지표에 상응하는 제2 특징값을 미리 학습된 제2 뉴럴 네트워크 모델에 입력하여 동적 검사를 수행하고, 그에 상응하는 제3 플래그를 생성하며,
    상기 제1, 제2, 제3 플래그를 기반으로 상기 전자 메시지를 분류하여 악성 확률 정보를 표시하고,
    상기 제2 플래그를 생성할 때, 상기 첨부 파일이 문서 파일 유형이면 그에 상응하는 제1 특징값을 미리 학습된 제1 뉴럴 네트워크 모델에 입력하여 정적 검사를 수행하고, 상기 정적 검사에 상응하는 악성 확률값을 예측하며, 상기 예측한 악성 확률값을 기초로 제2 플래그를 생성하는 것을 특징으로 하는 컴퓨팅 장치.
KR1020210178300A 2021-12-14 2021-12-14 머신 러닝 기반 전자 메시지 검사 방법, 장치 및 프로그램 KR102630272B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210178300A KR102630272B1 (ko) 2021-12-14 2021-12-14 머신 러닝 기반 전자 메시지 검사 방법, 장치 및 프로그램

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210178300A KR102630272B1 (ko) 2021-12-14 2021-12-14 머신 러닝 기반 전자 메시지 검사 방법, 장치 및 프로그램

Publications (2)

Publication Number Publication Date
KR20230089691A KR20230089691A (ko) 2023-06-21
KR102630272B1 true KR102630272B1 (ko) 2024-01-29

Family

ID=86989825

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210178300A KR102630272B1 (ko) 2021-12-14 2021-12-14 머신 러닝 기반 전자 메시지 검사 방법, 장치 및 프로그램

Country Status (1)

Country Link
KR (1) KR102630272B1 (ko)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101005643B1 (ko) 2003-11-27 2011-01-05 주식회사 케이티 스팸메일 차단을 위한 이메일 관리 시스템 및 그 방법
US20070124384A1 (en) * 2005-11-18 2007-05-31 Microsoft Corporation Voicemail and fax filtering

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
‘EISS 전자메시지 면역 보안 시스템’, Proceedings of KIIT Conference. 640-642페이지, 2021.11.*

Also Published As

Publication number Publication date
KR20230089691A (ko) 2023-06-21

Similar Documents

Publication Publication Date Title
US11373093B2 (en) Detecting and purifying adversarial inputs in deep learning computing systems
US11681918B2 (en) Cohort based adversarial attack detection
US11301732B2 (en) Processing image-bearing electronic documents using a multimodal fusion framework
KR102093275B1 (ko) 악성코드 감염 유도정보 판별 시스템, 프로그램이 기록된 저장매체 및 방법
CN111626319A (zh) 计算环境中可解释人工智能的误用指标
US11837061B2 (en) Techniques to provide and process video data of automatic teller machine video streams to perform suspicious activity detection
Zhang et al. Sequential behavioral data processing using deep learning and the Markov transition field in online fraud detection
US11822568B2 (en) Data processing method, electronic equipment and storage medium
US20200285893A1 (en) Exploit kit detection system based on the neural network using image
CN110730164B (zh) 安全预警方法及相关设备、计算机可读存储介质
Xu et al. Lightweight semantic segmentation of complex structural damage recognition for actual bridges
CN111866004A (zh) 安全评估方法、装置、计算机系统和介质
CN115757991A (zh) 一种网页识别方法、装置、电子设备和存储介质
KR102241859B1 (ko) 악성 멀티미디어 파일을 분류하는 인공지능 기반 장치, 방법 및 그 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록매체
CN114357170A (zh) 模型训练方法、分析方法、装置、设备及介质
KR102630272B1 (ko) 머신 러닝 기반 전자 메시지 검사 방법, 장치 및 프로그램
KR102636586B1 (ko) 자율 주행 차량의 주행 테스트 제어 장치 및 방법
CN114638984B (zh) 一种基于胶囊网络的恶意网站url检测方法
US20230143430A1 (en) Image Localizability Classifier
Han et al. Innovative deep learning techniques for monitoring aggressive behavior in social media posts
KR102202448B1 (ko) 파일 내 악성 위협을 처리하는 인공지능 기반 장치, 그 방법 및 그 기록매체
CN113127858A (zh) 异常检测模型训练方法、异常检测方法及装置
Zhang A deep learning based framework for detecting and visualizing online malicious advertisement
KR20190051574A (ko) 인공 신경망을 이용하여 이름에 대한 국적 정보를 제공하는 장치 및 방법
Banerjee et al. Quote examiner: verifying quoted images using web-based text similarity

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant