KR20030030720A - 이메일 모니터링 방법 및 시스템 - Google Patents

이메일 모니터링 방법 및 시스템 Download PDF

Info

Publication number
KR20030030720A
KR20030030720A KR1020010063063A KR20010063063A KR20030030720A KR 20030030720 A KR20030030720 A KR 20030030720A KR 1020010063063 A KR1020010063063 A KR 1020010063063A KR 20010063063 A KR20010063063 A KR 20010063063A KR 20030030720 A KR20030030720 A KR 20030030720A
Authority
KR
South Korea
Prior art keywords
document
email
mail
vector
database
Prior art date
Application number
KR1020010063063A
Other languages
English (en)
Other versions
KR100483602B1 (ko
Inventor
이복주
최순규
Original Assignee
(주)이캐빈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이캐빈 filed Critical (주)이캐빈
Priority to KR10-2001-0063063A priority Critical patent/KR100483602B1/ko
Priority to AU2002362631A priority patent/AU2002362631A1/en
Priority to PCT/KR2002/001882 priority patent/WO2003032107A2/en
Publication of KR20030030720A publication Critical patent/KR20030030720A/ko
Application granted granted Critical
Publication of KR100483602B1 publication Critical patent/KR100483602B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/109Time management, e.g. calendars, reminders, meetings or time accounting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/214Monitoring or handling of messages using selective forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/06Message adaptation to terminal or network requirements
    • H04L51/066Format adaptation, e.g. format conversion or compression

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Data Mining & Analysis (AREA)
  • Economics (AREA)
  • Operations Research (AREA)
  • General Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Marketing (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 소정 집단으로부터 유출되는 이메일을 모니터링하기 위한 이메일 모니터링 방법 및 모니터링 시스템에 관한 것이다. 본 모니터링 방법은, 상기 집단내의 복수의 문서를 보안요구수준에 따라 기밀문서와 일반문서로 분류하는 단계와; 상기 문서를 SVM(Support Vector Machine)알고리즘에 적용 가능한 형태로 변환하는 단계와; 변환된 상기 복수의 문서들을 SVM알고리즘을 이용하여 학습시켜 상기 기밀문서와 일반문서를 구획하는 경계면인 한계면(Hyper-Plane)과 상기 한계면에 가장 근접한 문서의 벡터인 서포트벡터(Support Vector)를 산출하는 문서 학습단계와; 상기 집단 내에서 외부로 송신되는 이메일을 스니핑하는 단계와; 상기 스니핑한 이메일을 상기 SVM알고리즘에 적용 가능한 형태로 변환하는 단계와; SVM알고리즘에 학습결과 산출된 서포트벡터 및 벡터 형태로 변환된 이메일을 적용하여 상기 스니핑된 이메일이 기밀문서인지를 판별하는 단계를 포함하는 것을 특징으로 한다. 이에 의해, 일반분서와 기밀문서에 대한 개념을 자동으로 학습하고, 발송되는 이메일을 학습결과에 기초하여 분석함으로써, 집단내의 기밀문서가 이메일을 통해 유출되는 것을 효과적으로 모니터링할 수 있는 이메일 모니터링 방법 및 시스템을 제공할 수 있다.

Description

이메일 모니터링 방법 및 시스템{METHOD AND SYSTEM FOR MONITORING E-MAIL}
본 발명은 이메일 모니터링 방법에 관한 것으로서, 보다 상세하게는 일반분서와 기밀문서에 대한 개념을 자동으로 학습하고, 발송되는 이메일을 학습결과에 기초하여 분석함으로써, 집단내의 기밀문서가 이메일을 통해 유출되는 것을 효과적으로 모니터링할 수 있는 이메일 모니터링 방법 및 시스템을 제공하는 것이다.
네트워크를 통해 우편을 주고 받는 이메일(E-Mail)은 기본적인 우편기능 뿐만 아니라 파일을 전송하는 기능을 제공하고 있으며, 상대방에게 전달되는 시간이 짧고, 동시에 여러 사람에게 보낼 수 있으며, 데이터로서 보관될 수 있다는 장점 때문에 널리 사용되고 있다.
기업의 임원 또는 직원이 고의적이든 아니든 기업 내의 기밀문서를 이메일로 송부하는 경우 기업의 기밀정보가 바로 유출될 위험이 있다. 이에 따라, 기업에서는 외부로 발송되는 이메일에 기밀내용의 포함여부에 대해 모니터링할 수 있는 시스템을 마련하고 있다. 이러한 종래의 보안시스템은 관리자가 기밀문서에 포함되는 단어들을 수작업으로 추출하여 별도의 데이터베이스를 구축하고, 발송되는 이메일에 데이터베이스에 저장된 단어들이 포함되어 있는지 여부에 따라 이메일에 기밀문서가 포함되었는지 여부를 판별한다. 그런 다음 기밀문서가 포함된 이메일에 대해서는 별도로 분류하여 관리하게 된다.
그런데 이러한 종래의 보안시스템에서는 기업의 방대한 문서에서 중요 단어의 추출을 일일이 관리자가 검토하여 수작업으로 하기 때문에, 단어의 추출 작업이 매우 어려우며 소요시간도 오래 걸린다. 따라서, 관리비용이 상승하게 된다.
또한 관리자가 기밀문서를 검토할 때 어떠한 단어를 추출해야 할 것인가를결정하는 것도 매우 어려운 문제이다.
따라서, 본 발명의 목적은, 일반분서와 기밀문서에 대한 개념을 자동으로 학습하고, 발송되는 이메일을 학습결과에 기초하여 분석함으로써, 집단내의 기밀문서가 이메일을 통해 유출되는 것을 효과적으로 모니터링할 수 있는 이메일 모니터링 방법 및 시스템을 제공하는 것이다.
도 1은 본 발명에 따른 이메일 모니터링 시스템의 구성도,
도 2는 도 1의 모니터링서버의 구체적 구성도,
도 3은 도 1의 이메일 모니터링 시스템에 의한 이메일 모니터링 과정을 도시한 흐름도이다.
* 도면의 주요 부분에 대한 부호의 설명
1 : 기업내부망 2 : 이메일모니터링서버
3 : 직원단말기 5 : 메일서버
10 : 제어부11 : 문서등록기
13 : 문서데이터베이스 15 : 문서학습기
17 : 학습문서데이터베이스19 : 스니퍼
21 : 이메일데이터베이스 23 : 벡터변환기
25 : 벡터데이터베이스 27 : 판별기
29 : 판별결과데이터베이스 31 : 리포터
상술한 목적은 본 발명에 따라, 소정 집단으로부터 유출되는 이메일을 모니터링하기 위한 이메일 모니터링 방법에 있어서, 상기 집단내의 복수의 문서를 보안요구수준에 따라 기밀문서와 일반문서로 분류하는 단계와; 상기 문서를 SVM알고리즘에 적용 가능한 형태로 변환하는 단계와; 상기 복수의 문서들을 SVM알고리즘을 이용하여 학습시켜 상기 기밀문서와 일반문서를 구획하는 경계면인 한계면(Hyper-Plane)과 상기 한계면에 가장 근접한 문서의 벡터인 서포트벡터(Support Vector)를 산출하는 문서 학습단계와; 상기 집단 내에서 외부로 송신되는 이메일을 스니핑하는 단계와; 상기 스니핑한 이메일을 상기 SVM알고리즘에 적용 가능한 형태로 변환하는 단계와; SVM알고리즘에 학습결과 산출된 서포트벡터 및 벡터 형태로 변환된 이메일을 적용하여 상기 스니핑된 이메일이 기밀문서인지를 판별하는 단계를 포함하는 것을 특징으로 하는 이메일 모니터링 방법에 의해 달성된다.
여기서, 상기 SVM알고리즘에 적용 가능한 형태로 변환하는 단계는, 상기 문서 및 이메일에 포함된 단어를 추출하는 단계와; 상기 추출된 단어를 소정의 값으로 변환하는 단계와; 상기 값으로 변환된 단어를 이용하여 상기 문서 및 이메일을 벡터 형태로 표시하는 단계를 더 포함하는 것이 가능하다.
또한, 스니핑된 상기 이메일이 기밀문서인지를 분석하여 그 결과치를 보고하는 단계를 더 포함하여 송신되는 이메일을 실시간으로 모니터링할 수 있도록 하는 것이 가장 바람직하다.
한편, 상기 목적은 본 발명의 다른 분야에 따르면, 소정 집단으로부터 유출되는 이메일을 모니터링하기 위한 이메일 모니터링 시스템에 있어서, 상기 집단내의 복수의 문서를 보안요구수준에 따라 기밀문서와 일반문서로 분류되어 저장되는 문서데이터베이스와; 상기 집단 내에서 외부로 송신되는 이메일을 스니핑하는 스니퍼와; 상기 스니핑된 이메일이 저장되는 이메일데이터베이스와; 상기 문서데이터베이스 및 상기 이메일데이터베이스에 저장된 문서 및 이메일을 SVM알고리즘에 적용 가능한 벡터 형태로 변환하는 벡터변환기와; 상기 벡터변환기에 의해 변환된 문서의 벡터가 저장되는 벡터데이터베이스와; 상기 벡터데이터베이스로부터의 벡터를 SVM알고리즘을 이용하여 학습하는 문서학습기와; 상기 문서학습기로부터의 학습결과인 한계면(Hyper-Plane)과 서포트벡터(Support Vector)가 저장되는 학습결과데이터베이스와; SVM알고리즘에 학습결과 산출된 서포트벡터 및 벡터 형태로 변환된 이메일을 적용하여 상기 스니핑된 이메일이 기밀문서인지를 판단하는 판별기와; 판별한 결과치를 보고하는 리포터를 포함하는 것을 특징으로 하는 이메일 모니터링 시스템에 의해서도 달성된다.
이하에서는 첨부된 도면을 참조하여 본 발명에 대하여 상세히 설명한다.
본 이메일 모니터링 시스템은 도 1 및 도 2에 도시된 바와 같이, 내부 네트워크가 구축된 기업내부망(1)과, 외부 네트워크를 통해 기업과 연결된 메일서버(5)를 포함한다. 여기서 외부 네트워크는 인터넷을 의미하나, 기타 다른 네트워크 예를 들면 LAN, WAN, PSTN(Public Switched Telephone Network), PSDN(Public Switched Data Network), 케이블망, 무선통신망 등도 포함될 수 있다.
기업내부망(1)은, 직원들이 사용하는 복수의 직원 단말기(3)와 내부 네트워크에 연결되어 직원 단말기(3)를 통해 발송되는 이메일에 기밀문서가 포함되어 있는지 여부를 모니터링하기 위한 이메일모니터링서버(2)를 포함한다.
본 이메일링모니터링서버(2)는 기밀문서를 분류해 내기위한 학습과정 및 판단과정에 있어서, SVM(Support Vector Machine) 알고리즘을 적용하고 있다. SVM 알고리즘은 V.Vapnik에 의해 도입된 통계학습방법 이론으로서, 학습이론의 용어로 일반적으로 사용되고 있으며, 그 이론적인 이해와 분석은 다양한 부분에서 적용되고 있다.
SVM 알고리즘을 이용한 문서 분류방법에 대해서는 Text Categorization with Support Vector Machined: Learning with Many Relevant Features, LS-8 Report 23, Thorsten Joachims, Dormund, 27, November, 1997(Revised : 19, April, 1998) 등의 연구논문과, A probabilistic analysis of the rocchio algorithm with tfidf for text categorizaton, In international Comference on Machne Learning(ICML), (Joachims, T. 1997); G.Salton and M. McGill, Introduction to Modern Informatio Retrieval, McGraw Hill, New York, 1983; J.Platt, "Fast Traniningof SVMs Using Sequential Miimal Optimizaton," tobe published in Advances in Kernel Methods-Support Vector Machine Learning, B.Scholkpf,C.Burges,and A. Smola,eds., MIT Press, Cambridge,Mass.,1998 등의 다수의 문헌에 소개되어 있다.
SVM알고리즘을 이용한 문서 분류방법에 따라, 문서를 두 가지 종류로 분류하여 분류하는 방법을 예시하면 다음과 같다. 먼저 두 가지 종류로 분류된 복수의 문서들에 포함된 단어들을 추출하여 추출된 단어를 소정의 값으로 변환하고, 소정의 값으로 변환된 단어를 이용하여 각각의 문서를 벡터 형태로 표시한다. 각각의 문서는 다수의 단어를 포함함으로, 문서의 벡터를 표시하는 좌표계 또한, 다차원 또는 그 이상의 공간으로 구성되며, 학습된 문서가 많을 경우 그 표시되는 차원은 더욱 광범위해진다. 이러한 좌표계에, 각 문서들이 갖는 벡터값에 따라 문서들을 위치시키면, 두 가지 종류로의 벡터화된 복수의 문서들을 구획하는 한계면(Hyper-Plane)과, 한계면에 가장 근접한 문서의 벡터인 서포트벡터(Support Vector)를 산출할 수 있다. 이러한, 일련의 과정은 SVM알고리즘이 적용된 소프트웨어에 의해 달성되며, 각종 문헌에 소개된 SVM에 입각한 문서분류작업의 실험적 데이터를 통해 SVM 이론의 유용성을 확인할 수 있다.
한편, 본 발명에 따른 이메일 모니터링 시스템의 이메일모니터링서버(2)는 도 2에 도시된 바와 같이, 임원 또는 직원에 의해 보안요구수준에 따라 기밀문서와 일반문서로 분류된 문서를 등록하기 위한 문서등록기(11)와, 문서등록기(11)에 의해 분류된 문서가 저장되는 문서데이터베이스(13)와, 직원 단말기(3)로부터 메일서버(5)로 전송되는 이메일을 스니핑하여 저장하는 스니퍼(19)와, 스니핑한 이메일이저장되는 이메일데이터베이스(21)와, 문서 및 이메일에 포함된 단어를 벡터형터로 변환하는 벡터변환기(23)와, 벡터 형태로 변환된 문서 및 이메일이 저장되는 벡터데이터베이스(25)와, 벡터변환기(23)를 통해 벡터 형태로 변환된 문서를 학습하는 문서학습기(15)와, 문서학습기(15)로부터의 학습결과가 저장되는 학습결과데이터베이스(17)와, SVM알고리즘에 학습결과 산출된 서포트벡터 및 벡터로 변환된 이메일을 적용하여 상기 스니핑된 이메일이 기밀문서인지를 판단하는 판별기(27)와, 이메일의 기밀문서 여부 판별결과가 저장되는 판별결과데이터베이스(29)와, 기밀문서 판별결과를 표시하는 리포터(31)와, 이들을 제어하는 제어부(10)를 포함한다.
문서등록기(11)는 임원 또는 직원에 의해 기밀문서와 일반문서로 분류된 문서를 문서 데이터베이스(13)에 등록한다. 문서등록기(11)는 문서 등록을 위한 소프트웨어로서 웹 기반으로 수행된다. 이러한 문서등록기(11)로 문서를 등록할 때 부서별 또는 업무 특성별로 문서를 세분화하여 등록하면 학습의 정확도를 높일 수 있다.
문서학습기(15)는 벡터변환기(23)를 통해 변환된 문서의 벡터를 입력받아 SVM알고리즘을 이용하여, 기밀문서와 일반문서를 구분하는 한계면(Hyper-Plane)과 한계면에 가장 근접해 있는 문서의 벡터인 서포트벡터(Support vector)를 산출하여 학습결과데이터베이스(17)에 저장한다. 문서학습기(15)는 메일모니터링서버(2)를 관리하는 관리자에 의해 문서가 일정 이상 수집된 시기에 작동되거나 또는 자동으로 일정 시간마다 작동되도록 할 수도 있다.
스니퍼(19)는 외부로 발송되는 이메일을 스니핑하여 이메일데이터베이스(21)에 저장한다. 이때, 스니퍼(19)는 네트워크상에서 네트워크 통신 패킷을 모니터링하여 이메일에 해당하는 패킷만 추출하는 기술을 이용하는 것이 바람직하며, 단순 Wiretap하는 형식인 TCP Based Sniffing과 스니퍼(19)가 논리적인 게이트웨이로 존재하는 ARP-Based Sniffing의 두 가지 방식을 혼용함으로써, 회사의 네트웍 구조에 따라 네트웍의 구조 변경을 최소화하고 네트웍의 부하를 최소화할 수 있도록 설계하는 것이 가장 바람직하다. 스니퍼(19)는 SMTP, POP3, HTTP(웹메일 포함) 등의 프로토콜을 이용하여 송신되는 모든 이메일을 추출할 수 있다. 또한 이메일의 본문뿐만 아니라 첨부파일도 추출할 수 있다.
벡터변환기(23)는 문서데이터베이스(13) 및 이메일데이터베이스(21)에 저장된 문서와 이메일에서 단어를 추출하여 소정의 값으로 변환하고, 소정의 값으로 변환된 단어를 이용하여 각각의 문서와 이메일을 SVM에 입력할 수 있는 벡터 형태로 변환시킨다.
판별기(27)는 SVM알고리즘에 학습결과 산출된 서포트벡터 및 벡터로 변환된 이메일을 적용하여 상기 스니핑된 이메일이 기밀문서인지를 판별하고, 그 결과치를 판별결과데이터베이스(29)에 저장한다.
한편, 제어부(10)는 문서등록기를 통해 문서데이터베이스(13)에 저장된 기밀문서 및 일반문서를 필요에 따라 종류별로 독출하여, 벡터변환기(23)를 통해 문서학습기(15)의 SVM에 입력 가능한 형태로 문서를 변환한 후 문서학습기(15)에 제공함으로써, 문서학습기(15)로부터의 학습결과가 파일형태로 학습결과데이터베이스(17)에 저장되도록 한다. 이때, 학습결과는 SVM을 이용할 때산출되는 기밀문서와 일반문서를 분류하는 한계면과 이에 가장 근접한 문서인 서포트벡터로서 표시된다.
또한, 제어부(10)는 스니퍼(19)를 통해 스니핑되어 이메일데이터베이스(21)에 저장된 이메일을 벡터변환기(23)를 통해 문서학습기(15)의 SVM에 입력 가능한 형태로 변환한 후, 판별기(27)에 제공하는 한편, 학습결과데이터베이스(17)에 저장된 한계면 및 서포트벡터를 판별기(27)에 제공함으로써, 판별기(27)가 스니핑된 이메일이 기밀문서로 분류되는지 여부를 분석하도록 한다.
제어부(10)는 판별기(27)에서 분석되어 판별결과데이터베이스(29)에 저장되는 이메일의 기밀문서여부 분석결과를 리포터(31)를 통해 사용자에게 표시함으로써, 송신되는 이메일의 기밀문서여부를 모니터링할 수 있도록 한다.
이러한 이메일 모니터링시스템을 이용한 이메일의 모니터링과정을 도 3을 참조하여 설명하면 다음과 같다.
먼저, 기밀문서 및 일반문서를 문서학습기(15)를 통해 SVM알고리즘을 이용하여 학습시켜 기밀문서와 일반문서를 구분하는 한계면(Hyper-Plane)과 한계면에 가장 근접해 있는 문서의 벡터인 서포트벡터(Support vector)를 산출하고(S10), 산출된 서포트벡터를 저장하여 데이터베이스화한다(S20).
집단의 외부로 송신되는 이메일을 스니퍼(19)로 스니핑하여 이메일데이터베이스(21)에 저장한다(S30). 스니핑된 이메일을 벡터변환기(23)를 통해 SVM에 입력 가능한 형태로 변환한다(S40). 판별기(27)는 SVM알고리즘에 학습결과 산출된 서포트벡터 및 벡터로 변환된 이메일을 적용하여 스니핑된 이메일이 기밀문서인지를 판별한다(S50). 판별기(27)의 분석결과 이메일이 기밀문서로 판별되면 결과치를 저장하고(S60), 그렇지 않으면 보통문서로 판별한 결과치를 저장한다(S70). 제어부(10)는 리포터(31)를 작동시켜 결과치를 각종 도표 등을 이용하여 보여준다(S80).
이와 같이, 본 발명은 통계학습이론인 SVM을 적용하여 일반분서와 기밀문서에 대한 개념을 자동으로 학습하고, 발송되는 이메일을 스니핑하여, 스니핑된 이메일의 기밀문서 여부를 미리 학습된 데이터에 기초하여 판단하도록 하고 있다.
이상 설명한 바와 같이, 본 발명에 따르면 일반분서와 기밀문서에 대한 개념을 자동으로 학습하고, 발송되는 이메일을 학습결과에 기초하여 분석함으로써, 집단내의 기밀문서가 이메일을 통해 유출되는 것을 효과적으로 모니터링할 수 있는 이메일 모니터링 방법 및 시스템을 제공할 수 있다.

Claims (5)

  1. 소정 집단으로부터 유출되는 이메일을 모니터링하기 위한 이메일 모니터링 방법에 있어서,
    상기 집단내의 복수의 문서를 보안요구수준에 따라 기밀문서와 일반문서로 분류하는 단계와;
    상기 문서를 SVM알고리즘에 적용 가능한 형태로 변환하는 단계와;
    상기 복수의 문서들을 SVM알고리즘을 이용하여 학습시켜 상기 기밀문서와 일반문서를 구획하는 경계면인 한계면(Hyper-Plane)과 상기 한계면에 가장 근접한 문서의 벡터인 서포트벡터(Support vector)를 산출하는 문서 학습단계와;
    상기 집단 내에서 외부로 송신되는 이메일을 스니핑하는 단계와;
    상기 스니핑한 이메일을 상기 SVM알고리즘에 적용 가능한 형태로 변환하는 단계와;
    상기 SVM알고리즘에 학습결과 산출된 서포트벡터 및 벡터 형태로 변환된 이메일을 적용하여 상기 스니핑된 이메일의 기밀문서여부를 판별하는 단계를 포함하는 것을 특징으로 하는 이메일 모니터링 방법.
  2. 제 1 항에 있어서, 상기 SVM알고리즘에 적용 가능한 형태로 변환하는 단계는,
    상기 문서 및 이메일에 포함된 단어를 추출하는 단계와;
    상기 추출된 각 단어를 소정의 값으로 변환하는 단계와;
    상기 값으로 변환된 단어를 이용하여 상기 문서 및 이메일을 벡터 형태로 표시하는 단계를 포함하는 것을 특징으로 하는 이메일 모니터링 방법.
  3. 제 1 항에 있어서,
    스니핑된 상기 이메일이 기밀문서인지를 분석하여 그 결과치를 보고하는 단계를 더 포함하는 것을 특징으로 하는 이메일 모니터링 방법.
  4. 소정 집단으로부터 유출되는 이메일을 모니터링하기 위한 이메일 모니터링 시스템에 있어서,
    상기 집단내의 복수의 문서를 보안요구수준에 따라 기밀문서와 일반문서로 분류되어 저장되는 문서데이터베이스와;
    상기 집단 내에서 외부로 송신되는 이메일을 스니핑하는 스니퍼와;
    상기 스니핑된 이메일이 저장되는 이메일데이터베이스와;
    상기 문서데이터베이스 및 상기 이메일데이터베이스에 포함된 단어를 SVM알고리즘에 적용 가능한 형태로 변환하는 벡터변환기와;
    상기 변환된 벡터가 저당되는 벡터데이터베이스와;
    상기 벡터변환기에 의해 변환된 형태의 문서데이터베이스로부터의 상기 문서를 SVM알고리즘을 이용하여 학습하는 문서학습기와;
    상기 문서학습기로부터의 학습결과인 한계면과 서포트벡터가 저장되는 학습결과데이터베이스와;
    상기 SVM알고리즘에 학습결과 산출된 서포트벡터 및 벡터 형태로 변환된 이메일을 적용하여 상기 스니핑된 이메일이 기밀문서인지를 판별하는 판별기와;
    상기 판별기로부터 판별된 결과치가 저장되는 판별결과데이터베이스를 포함하는 것을 특징으로 하는 이메일 모니터링 시스템.
  5. 제 4 항에 있어서,
    상기 판별기를 통해 분석된 상기 이메일의 기밀문서 판단결과를 표시하는 리포터를 더 포함하는 것을 특징으로 하는 이메일 모니터링 시스템.
KR10-2001-0063063A 2001-10-12 2001-10-12 이메일 모니터링 방법 및 시스템 KR100483602B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR10-2001-0063063A KR100483602B1 (ko) 2001-10-12 2001-10-12 이메일 모니터링 방법 및 시스템
AU2002362631A AU2002362631A1 (en) 2001-10-12 2002-10-09 Method and system for monitoring e-mail
PCT/KR2002/001882 WO2003032107A2 (en) 2001-10-12 2002-10-09 Method and system for monitoring e-mail

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0063063A KR100483602B1 (ko) 2001-10-12 2001-10-12 이메일 모니터링 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20030030720A true KR20030030720A (ko) 2003-04-18
KR100483602B1 KR100483602B1 (ko) 2005-04-15

Family

ID=19715077

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0063063A KR100483602B1 (ko) 2001-10-12 2001-10-12 이메일 모니터링 방법 및 시스템

Country Status (3)

Country Link
KR (1) KR100483602B1 (ko)
AU (1) AU2002362631A1 (ko)
WO (1) WO2003032107A2 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7594277B2 (en) 2004-06-30 2009-09-22 Microsoft Corporation Method and system for detecting when an outgoing communication contains certain content
JP4405503B2 (ja) * 2006-12-28 2010-01-27 キヤノンItソリューションズ株式会社 情報処理装置および情報処理装置の制御方法およびプログラムおよび記録媒体
US11675926B2 (en) 2018-12-31 2023-06-13 Dathena Science Pte Ltd Systems and methods for subset selection and optimization for balanced sampled dataset generation
KR102526530B1 (ko) 2022-07-27 2023-04-27 주식회사 디프스팩 웹 메일 사용 차단방법 및 그에 따른 시스템

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6266664B1 (en) * 1997-10-01 2001-07-24 Rulespace, Inc. Method for scanning, analyzing and rating digital information content
US6192360B1 (en) * 1998-06-23 2001-02-20 Microsoft Corporation Methods and apparatus for classifying text and for building a text classifier
US6161130A (en) * 1998-06-23 2000-12-12 Microsoft Corporation Technique which utilizes a probabilistic classifier to detect "junk" e-mail by automatically updating a training and re-training the classifier based on the updated training set
IL146705A0 (en) * 1999-05-25 2002-07-25 Stephen D Barnhill Enhancing knowledge discovery from multiple data sets using multiple support vector machines
JP2000354115A (ja) * 1999-06-14 2000-12-19 Matsushita Electric Ind Co Ltd 電子メール機能付電話機

Also Published As

Publication number Publication date
WO2003032107A3 (en) 2003-12-18
WO2003032107A2 (en) 2003-04-17
AU2002362631A1 (en) 2003-04-22
KR100483602B1 (ko) 2005-04-15

Similar Documents

Publication Publication Date Title
JP6207185B2 (ja) 情報分析装置、情報分析方法、情報分析システムおよびプログラム
CN104506545B (zh) 数据泄露防护方法及装置
JP4824352B2 (ja) 外向き通信が特定の内容を含む時を検出する方法およびシステム
AU2011209895B2 (en) Insider threat correlation tool
US8768940B2 (en) Duplicate document detection
CA2449597C (en) Dynamic collaboration assistant
US8311868B2 (en) Business analysis system and method
US20050204001A1 (en) Method and devices for prioritizing electronic messages
US11985142B2 (en) Method and system for determining and acting on a structured document cyber threat risk
AU2011279906B2 (en) Insider threat correlation tool
US20080071567A1 (en) Method, system and program product for calculating relationship strengths between users of a computerized network
JP5125069B2 (ja) セキュリティリスク管理システム、セキュリティリスク管理方法およびセキュリティリスク管理用プログラム
CN112995196A (zh) 网络安全等级保护中态势感知信息的处理方法及系统
GB2414576A (en) Business communication monitoring system detecting anomalous communication patterns
CN103930864A (zh) 用于备份和归档的公司数据与私人数据的自动分离
SG187068A1 (en) Insider threat correlation tool
CA2787230A1 (en) Insider threat correlation tool
JP5932223B2 (ja) 情報分析装置、情報分析方法、情報分析システムおよびプログラム
CN110611608B (zh) 一种web邮件审计方法及系统
CN103580919A (zh) 一种利用邮件服务器日志进行邮件用户标记的方法与系统
KR100483602B1 (ko) 이메일 모니터링 방법 및 시스템
Shyry et al. Detection and prevention of spam mail with semantics-based text classification of collaborative and content filtering
JP4802523B2 (ja) 電子メッセージ分析装置および方法
US20060212523A1 (en) Policy based control of multiple message forwards
CN112511360B (zh) 一种多源业务平台数据安全组件监控方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090407

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee