KR20090000073A

KR20090000073A - 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법및 장치

Info

Publication number: KR20090000073A
Application number: KR1020060134406A
Authority: KR
Inventors: 양호석; 박정현; 정현태; 고진수
Original assignee: 에스케이커뮤니케이션즈 주식회사
Priority date: 2006-12-27
Filing date: 2006-12-27
Publication date: 2009-01-07

Abstract

본 발명은 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법 및 장치를 제공하는 것이다. 본 발명의 일 실시예에 따른 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법은 클라이언트로부터 소정의 액션을 수신하여 해당 액션이 요청하는 사항을 처리하는 서버가 제 1 필터링 시간 간격 동안 제 1 클라이언트로부터 제 1 액션을 수신하여 상기 제 1 액션의 정보를 저장하는 단계, 상기 제 1 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 1 액션을 수신한 횟수가 제 1 수신허용치보다 높은 경우, 상기 제 1 클라이언트를 제 1 필터링 모니터링 대상자로 설정하는 단계, 상기 제 1 필터링 시간 보다 긴 제 2 필터링 시간 간격동안 제 1 클라이언트로부터 제 2 액션을 수신하여 상기 제 2 액션의 정보를 저장하는 단계 및 상기 제 2 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 2 액션을 수신한 횟수가 제 2 수신허용치보다 높은 경우, 상기 제 1 클라이언트를 스팸 리스트로 설정하는 단계를 포함한다.

스팸, 필터링, 차단, 기준

Description

다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법 및 장치{Method and apparatus for removing spam connection by applying plural blocking criteria}

도 1은 본 발명의 일 실시예에 따른 서버에서 클라이언트의 액션을 분류하는 과정을 보여주는 도면이다.

도 2는 본 발명의 다른 실시예에 따른 서버에서 클라이언트의 액션을 분류하는 과정을 보여주는 도면이다.

도 3은 본 발명의 일 실시예에 따른 메일 서버에서 트래픽 컨트롤을 수행하는 구성이다. 본 실시예에서 사용하는 명령어 또는 상수(constants)는 메일 서버의 구성에 따라

도 4는 본 발명의 일 실시예에 따른, 메일 서버의 스팸 필터링 모듈의 구성을 보여주는 도면이다.

<도면의 주요 부분에 대한 부호의 설명>

301, 302,..., 309: 트래픽 컨트롤 모듈 410: 스팸 관리 모듈

420: 스팸 처리 모듈 430: SMTP 모듈

470: 스팸 데이터베이스

인터넷의 사용이 증가하면서 인터넷을 통해 광고를 전송하는 시도인 스팸 전송이 증가하고 있다. 과거에는 메일을 통한 광고 전송만이 대부분을 이루었었는데, 최근에는 게시판에 광고 글을 올리거나, 메신저를 통해 광고를 전송하는 등, 그 방식이 다양해지고 있다. 스팸을 전송하는 주체가 점점 기업화, 지능화 되면서, 인터넷 서비스를 담당하는 서버 측에서도 스팸을 막기위한 다양한 노력들이 시도되고 있다. 그러나 스팸을 막기 위해 선량한 사용자의 접속 시도까지 차단될 수 있으므로, 스팸 필터링의 기준을 높일 것인지 낮출 것인지에 대한 고민이 계속되고 있다.

따라서, 스팸 접속자의 특성을 반영하여 다양한 차단 기준을 제공하는 것이 필요하다.

본 발명의 목적은 다양한 차단 기준을 통해 스팸 접속자가 송신하는 데이터를 분석하여, 해당 스팸 접속자의 접속을 차단하거나, 모니터링 대상으로 하는 방법 및 장치를 제공하는 것이다.

본 발명은 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법 및 장치에 관한 것이다.

본 발명의 일 실시예에 따른 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법은 클라이언트로부터 소정의 액션을 수신하여 해당 액션이 요청하는 사 항을 처리하는 서버가 제 1 필터링 시간 간격 동안 제 1 클라이언트로부터 제 1 액션을 수신하여 상기 제 1 액션의 정보를 저장하는 단계, 상기 제 1 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 1 액션을 수신한 횟수가 제 1 수신허용치보다 높은 경우, 상기 제 1 클라이언트를 제 1 필터링 모니터링 대상자로 설정하는 단계, 상기 제 1 필터링 시간 보다 긴 제 2 필터링 시간 간격동안 제 1 클라이언트로부터 제 2 액션을 수신하여 상기 제 2 액션의 정보를 저장하는 단계 및 상기 제 2 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 2 액션을 수신한 횟수가 제 2 수신허용치보다 높은 경우, 상기 제 1 클라이언트를 스팸 리스트로 설정하는 단계를 포함한다.

본 발명의 다른 실시예에 따른 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법은 클라이언트로부터 소정의 액션을 수신하여 해당 액션이 요청하는 사항을 처리하는 서버가 제 1 필터링 시간 간격 동안 제 1 클라이언트로부터 제 1 액션을 수신하여 상기 제 1 액션의 정보를 저장하는 단계, 제 1 필터링 시간 간격 동안 제 1 클라이언트로부터 제 2 액션을 수신하여 상기 제 2 액션의 정보를 저장하는 단계, 및 상기 제 1 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 1 액션을 수신한 횟수와 상기 제 2 액션을 수신한 횟수로 계산된 비율이 제 1 수신허용치보다 높은 경우, 상기 제 1 클라이언트를 제 1 필터링 모니터링 대상자로 설정하는 단계를 포함한다.

본 발명의 일 실시예에 따른 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치는 클라이언트로부터 소정의 액션을 수신하여 해당 액션이 요청하는 사 항을 처리하는 서버에 있어서, 클라이언트로부터 액션을 수신하는 컨트롤 모듈, 상기 컨트롤 모듈에서 수신한 액션의 정보를 저장하는 데이터베이스, 액션을 송신하는 클라이언트 중에서 일부를 필터링 모니터링 대상자 또는 스팸 리스트 중 어느 하나 이상으로 설정하는 스팸 관리 모듈을 포함하며, 상기 컨트롤 모듈이 상기 제 1 필터링 시간 간격동안 상기 제 1 클라이언트로부터 제 1 액션을 수신한 횟수가 제 1 수신허용치보다 높은 경우, 상기 스팸 관리 모듈은 상기 제 1 클라이언트를 제 1 필터링 모니터링 대상자로 설정하며, 상기 컨트롤 모듈이 제 2 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 2 액션을 수신한 횟수가 제 2 수신허용치보다 높은 경우, 상기 스팸 관리 모듈은 상기 제 1 클라이언트를 스팸 리스트로 설정하는 것을 특징으로 한다.

본 발명의 다른 실시예에 따른 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치는 클라이언트로부터 소정의 액션을 수신하여 해당 액션이 요청하는 사항을 처리하는 서버에 있어서, 클라이언트로부터 액션을 수신하는 컨트롤 모듈, 상기 컨트롤 모듈에서 수신한 액션의 정보를 저장하는 데이터베이스, 액션을 송신하는 클라이언트 중에서 일부를 필터링 모니터링 대상자 또는 스팸 리스트 중 어느 하나 이상으로 설정하는 스팸 관리 모듈을 포함하며, 상기 컨트롤 모듈이 상기 제 1 필터링 시간 간격동안 상기 제 1 클라이언트로부터 제 1 액션을 수신한 횟수와 제 2 액션을 수신한 횟수로 계산된 비율이 제 1 수신허용치보다 높은 경우, 상기 스팸 관리 모듈은 상기 제 1 클라이언트를 제 1 필터링 모니터링 대상자로 설정하는 것을 특징으로 한다.

본 발명의 설명에 앞서, 본 발명에서 사용하는 용어를 정의하면 다음과 같다.

클라이언트는 서버에 어떤 데이터를 요청하거나 어떤 작업을 수행해 줄 것을 요청하는 액션을 송신하는 주체이다. 따라서, 클라이언트는 컴퓨터, 노트북, PDA, 휴대폰 등 통신 수단을 갖춘 장치가 될 수 있으며, 또한 상기 컴퓨터, 노트북, PDA, 휴대폰 등을 사용하되 사용자의 식별 정보를 함께 송신하는 경우도 포함한다. 따라서, 통신 장치 내의 하나의 프로그램 또는 하나의 프로세스가 서버와 통신을 통해 데이터를 송신하거나 액션을 송신하는 경우도 클라이언트라고 할 수 있다.

액션은 상기 클라이언트가 서버에 대해 송신하는 데이터를 의미한다. 이때, 데이터는 단순한 데이터가 아니라, 서버에 대해 소정의 기능을 수행하거나 소정의 데이터를 보내달라는 것을 요청하는 것으로 클라이언트의 액션에 대해서 서버는 약속된 작업을 할 수 있다. 또는 약속되지 않은 의미의 액션을 송신할 경우, 서버는 오류가 발생했음을 클라이언트에게 알릴 수 있다.

혹은 서버가 클라이언트의 액션에 대해 명시적으로 데이터를 송신하지 않아도, 커넥션을 맺는 것을 허용하는 것과 같은 작업도 액션이 요청하는 작업이 될 수 있다.

따라서, 본 발명의 일 실시예가 서버에 구현되는 방식에 따라 액션의 종류는 다양하게 구성될 수 있다. 메일 서버인 경우, 클라이언트는 소정 메일 프로토콜에 규약된 데이터를 보낼 수 있다. 혹은 클라이언트 구현에 따라 프로토콜에 규약되지 않은 데이터를 송신할 수도 있다. 웹서버의 경우, 웹서버에 구축된 url을 호출하거나, 특정 웹페이지로 포스트(POST), 겟(GET) 등의 규약을 통해 데이터를 송신하는 것도 액션의 실시예가 될 수 있다.

그 외에 SMS 서버의 경우, SMS 메시지를 송신하기 위해 특정 번호와 메시지로 구성된 SMS 데이터를 송신하는 것도 액션의 실시예가 될 수 있다. 액션은 전술한 부분 외에도 클라이언트가 서버에 대해 소정의 작업을 수행하거나 데이터를 요청하는 작업을 포함하는 개념이다.

도 1의 과정은 클라이언트로부터 소정의 액션을 수신하여 해당 액션이 요청하는 사항을 처리하는 서버가 소정의 반복되는 액션 또는 동일한 유형의 액션을 수신하는 경우 해당 클라이언트를 스팸 리스트로 설정하는 과정을 보여주는 도면이다.

제 1 필터링 시간 간격 동안 제 1 클라이언트로부터 제 1 액션을 수신하여 상기 제 1 액션의 정보를 저장한다(S110). 상기 제 1 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 1 액션을 수신한 횟수가 제 1 수신허용치보다 높은 경우, 상기 제 1 클라이언트를 제 1 필터링 모니터링 대상자로 설정한다(S120). 상기 제 1 필터링 시간 보다 긴 제 2 필터링 시간 간격동안 제 1 클라이언트로부터 제 2 액션을 수신하여 상기 제 2 액션의 정보를 저장한다(S130). 상기 제 2 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 2 액션을 수신한 횟수가 제 2 수신허용치보다 높은 경우(S135), 상기 제 1 클라이언트를 스팸 리스트로 설정한다(S140).

상기 제 1 액션과 상기 제 2 액션은 동일할 수 있다. 예를 들어, 10분(제 1 필터링 시간) 동안 10통의 스팸 메일을 보내는 경우, 해당 클라이언트를 제 1 필터링 모니터링 대상자로 설정한 후에, 상기 10분 보다 더 긴 시간 간격(제 2 필터링 시간 간격)동안, 스팸 메일을 보낸 횟수를 다시 카운트한다. 그리고 제 2 필터링 시간 간격동안에도 여전히 스팸 메일을 보낸 경우에는 해당 클라이언트를 스패머로 처리하는 방법이 될 수 있다. 마찬가지로 동일한 URL에 대하여 웹사이트에 GET/POST 방식으로 데이터를 송신할 경우에도 제 1 필터링 시간동안 액션의 정보를 저장하고, 다시 한시간 또는 하루 길이로 해당 클라이언트에 대해 모니터링을 실시하여, 동일하거나 유사한 액션을 송신하게 되면 해당 클라이언트가 송신하는 데이터를 더 이상 수신하지 않거나 처리하지 않도록 할 수 있다. 물론, 스팸성을 확인하기 위해 제 1 액션과 제 2 액션을 달리 하여 정할 수도 있다.

웹서버 또는 메일 서버가 상기 단계를 거쳐 상기 제 1 클라이언트를 스팸 리스트로 설정하게 되면, 상기 제 1 클라이언트가 송신하는 액션을 처리하지 않도록 할 수 있다. 혹은 상기 제 1 클라이언트가 IP 주소로 식별할 수 있는 경우, 상기 IP의 커넥션 요청을 거부하여 커넥션 효율을 높일 수 있다.

한편 도 1 의 제 1액션 또는 제 2 액션의 예로는 메일의 경우, 다수 스팸성 메일을 보내기 위한 액션으로 메일 데이터가 될 수 있다. 웹서버의 경우에도 동일 사이트에 대해 반복적으로 커넥션을 맺거나 동일한 url에 대해 GET/POST를 통하여 데이터를 보내는 액션들이 모두 제 1 액션의 예가 될 수 있다.

또한, 메일 또는 웹서버에 대해 약속되지 않은 액션을 보내거나, 오류가 발생하는 정보를 송신하는 경우에도 포함된다. 이외에도, 통상의 경우에는 발생하기 가 어려운 오류, 예를 들어 없는 페이지를 호출하거나, 메일 구문에서 발생하는 잦은 오류 등도 제 1 액션의 예가 될 수 있다.

또한 상기 제 1 수신 허용치는 보통의 클라이언트가 생성하는 경우를 의미한다. 예를 들어, 스패머가 아닌 클라이언트에서는 10분에 1회 정도만 발생할 오류가 특정 클라이언트에스는 10분에 3회 발생시킨다면, 제 1 필터링 모니터링 대상으로 설정할 수 있다.

저장하게 될 액션의 정보는 액션을 발생시킨 클라이언트의 식별자, 액션의 종류, 액션을 수행하기 위한 파라메터, 또는 액션에 의해 서버가 수행해야 하는 기능 등이 될 수 있으며, 반드시 액션의 수행에 따라 필요한 데이터가 다르다고 하여 서로 다른 액션으로 판단할 필요는 없다. 액션의 성격에 따라, 몇 개의 카테고리로 나누어, 해당 카테고리 내에 들어가는 것은 동일 액션으로 판단할 수 있다.

한편 서비스의 종류에 따라 제 1 액션과 제 2 액션은 달라질 수도 있다. 예를 들어, 제 1 액션은 스팸을 다량 보내는 정도를 체크하기 위해 메일 송신을 기준으로 할 수 있으며, 제 2 액션은 최대 명령어 횟수, 잘못된 명령어 횟수 등 다른 기준을 가져갈 수 있다.

도 1의 방식과 같이 횟수로 스팸성 여부를 판단할 경우, 스패머가 아니면서 대량으로 데이터를 송신할 수 밖에 없는 사업자의 경우에 스패머로 오인받을 수 있다. 따라서, 이러한 사업자를 위하여, 송신한 데이터의 비율 중에서 스팸성인 것이 차지하는 비율을 계산하여, 이를 판단할 수 있다. 예를 들어, 특정 시간 동안 A라는 클라이언트가 보낸 액션을 분석한 결과, 스패머가 보내지 않는 유형의 액션이 1만개이고 스패머가 보내는 유형의 액션이 100개라면 1% 밖에 안되므로 스패머로 판단하기 어렵다. 그러나 B 라는 클라이언트가 보낸 액션을 분석한 결과, 스패머가 보내지 않는 유형의 액션이 100개이고 스패머가 보내는 유형의 액션이 80개라면 80% 나 되므로, 실제 스패머성 액셕의 숫자로는 A 클라이언트보다 작으나, 비율상으로 보면 분명 스패머로 판단할 수 있는 소지가 높다. 따라서 이러한 경우를 막기 위한 것으로 도 2의 프로세스를 적용할 수 있다.

도 3은 본 발명의 일 실시예에 따른 메일 서버에서 트래픽 컨트롤을 수행하는 구성이다. 본 실시예에서 사용하는 명령어 또는 상수(constants)는 메일 서버의 구성에 따라 각각 달라질 수 있는 부분이다.

도 3의 구성은 TC(Traffic Control)(301, 302, 309)를 통한 스팸 블록을 수행하는 구성이다. 특정 ip 에서 단위 시간 동안의 메일 발송이 과도하게 많을 경우 수신을 거부한다. 이때, 클라이언트와 커넥션을 맺는 서버는 다수가 존재할 수 있으므로, GTC(311, 312, 319) (시간당 Connection)를 통해 TC의 서버당 CONNETION 상황을 알 수 있다. 그리고 전체 TC 현황을 적용하여 스팸 필터링을 할 수 있다.

따라서 TC를 통해 제어하는 예가 도 1의 제 1 액션의 일 실시예가 될 수 있다.

한편, 도 3의 구성과 유사하게 LC(Limit Control)과 RC(Ratio Control)를 적용할 수 있다. LC는 도 1의 제 2 액션을 수신하는 과정의 일 실시예가 되며 RC는 도 2의 제 2 액션을 수신하는 과정의 일 실시예가 된다. LC 및 RC의 일 실시예 역시 TC와 같이 구현될 수 있다.

LC는 TC의 기간보다 더 긴 기간동안, 스팸 클라이언트가 할 수 있는 액션, 또는 일반 클라이언트가 할 수 없는 액션을 수행하는 경우를 저장한다. 예를 들어, 일반 메일에서 발생할 수 없는 경우를 누적 count 하여 관리한다(누적 count 한계치 (limit)는 상황에 따라 설정을 두며 위의 한계치를 초과 하였을 시 블럭한다).

도 1의 제 2 액션의 실시예가 될 수 있는 경우는 다음과 같다. 아래의 상수(constant)는 구현 시스템에 따라 달라질 수 있다. 아래의 N은 시스템 구축 및 스팸 필터링 기준에 따라 다양하게 적용될 수 있으며, 반드시 각 상수마다 같은 수가 되어야 하는 것은 아니다.

LC_CMD는 최대 명령어 횟수를 의미한다. 예를 들어 SMTP 프로토콜의 명령어 횟수가 될 수 있다(단일 메일 전송 시 명령어들(EHLO,MAIL FROM,RCPT TO,DATA 등)의 총합은 10회 이하로 정하는 등의 기준을 둘 수 있다).

LC_BCMD는 잘못된 명령어 횟수를 의미한다. 예를 들어 SMTP 프로토콜의 명령어가 잘못된 횟수를 세어서 블럭(RCPT TO 명령어 전송 시 명령어 서식에서 틀린 경우 횟수가 기준 횟수, 즉, N회 이상이면 블록)하는 경우 적용할 수 있다.

LC_SESSION은 한번 연결당 최대 발송 메일을 의미한다. 예를 들어 SMTP 발송 시 하나의 CONNECTION 에서 발송할 수 있는 메일은 N통, 예를 들어 5통, 7통 등 횟수로 제한한다.

LC_RCPT는 한번 연결당 최대 누적 수신자를 의미한다. 예를 들어 SMTP 발송 시 각 세션을 포함하여 동보 수신자를 N 명 이하로 설정한다.

LC_BRCPT는 한번 연결당 잘못된 최대 누적 수신자를 의미한다. 예를 들어 SMTP 발송 시 각 세션을 포함하여 동보 수신자 중 사용자 계정에 없는 사람이 N명 이상일 시 블럭한다.

LC_URCPT는 한번 연결당 없는 최대 누적 수신자를 의미한다. 예를 들어 동일 IP 에서 연결에서 없는 수신자의 누적수가 N명 이상일 시 블럭한다.

GLC_CONN 전체 서버 최대 누적 연결를 의미한다. 예를 들어 전체 서버에서 동일한 연결이 누적수가 최대 N CONNECTION 이상이 되면 블럭한다.

GLC_BRCPT : 전체 서버 누적 잘못된 수신자를 의미한다. LC_BRCPT를 전체 장비를 통해 COUNT 한 결과가 될 수 있다.

GLC_URCPT : 전체 서버 누적 잘못된 수신자를 의미하며 LC_URCPT를 전체 장비를 통해 COUNT 한 결과가 될 수 있다.

상기 조건에 해당하는 액션을 송신하는 클라이언트에 대해서 한계치를 두어 지정 한계이상으로 오류가 증가한다면 해당 IP 를 스팸 발송 IP로 등록 및 블럭하도록 할 수 있다.

따라서, 제 1 액션이 비록 스팸성이지만 해당 제 1 액션을 수행하는 선의의 사용자를 보호할 수 있으므로, 스팸 가능자(제 1 필터링 모니터링 대상자)로 설정하고 일정 기간 동안 해당 클라이언트가 발생시킨 액션을 저장하여, 해당 액션을 통해 스패머로 판단될 소지가 있을 경우, 스팸 리스트로 설정하여 해당 클라이언트로부터의 접근 또는 데이터 송신을 거부할 수 있도록 한다.

한편, 스팸성 점수제를 두어, 상기 LC(제 2 액션)의 확장 개념으로서 각 명령어 항목 오류의 한계치를 두어 지정 한계이상으로 오류가 증가한다면 해당 IP 를 스팸 발송 IP 로 등록 및 블록할 수 있다.

또한, 아래와 같이 제 2 액션을 더 확대하여 고려할 수 있다. 즉, 제 2 액션은 어느 하나의 액션만을 의미하는 것이 아니라, 특정 종류, 또는 스팸성이 될 수 있는 액션들의 묶음으로, 각 액션에 대해 스팸성이 될 수 있는 가중치를 달리 하여, 스팸 리스트로 보낼 것인지 여부를 판단할 수 있다. 아래의 GLC_B1, GLC_S1, GLC_Q1 등은 제 2 액션을 판단하기 위해 특정 액션들을 그룹지어 카운팅할 수 있다.

GLC_B1는 스팸 가능성 판단 점수제로 하여 스팸성 여부로 점수를 부여하고, 그 점수가 기준 점수를 넘을 경우, 스팸으로 판단할 수 있다.

BLACK_EHLO를 두어 ehlo 패턴으로 수신 거부 시 COUNT할 수 있다. 이는 스팸등으로 인해 블록설정 도메인 혹은 DNS 에 없는 도메인으로 EHLO <도메인> 명령어를 사용하였을 시 COUNT하는 것이다.

BLACK_MAIL 지수를 사용하여 env from으로 수신 거부를 할 수 있다. MAIL FROM 명령에서 PERSONAL 부분 혹은 혹은 DNS 에 없는 도메인 블록 도메인, 올 수 없는 MAIL FROM (ex> 외부에서 NATE 발송 시 WEBMASTER@nate.com 사용시 )등이 사용되었을 경우 블록할 수 있다.

BLACK_RCPT 지수를 사용하여 env rcpt 로 수신 거부할 수 있다. 예를 들어 RCPT TO 명령에서 올 수 없는 사용자 ID로 발송되었을 경우 블록할 수 있다.

PATTERN을 통해 스팸 패턴 검사할 수 있다. 메일 본문 혹은 SUBJECT 에서 특정 유형의 스팸 단어 혹은 URL 등이 포착되었을 경우에 적용 가능하다.

GLC_S1는 문법적 오류 판단 점수제로 할 수 있다. SMTP 프로토콜상에서의 명령어 문법오류 횟수에 따른 점수 부여할 수 있다. SYNTAX_MAIL은 env from 문법 오류, 예를 들어 MAIL FROM 명령어에서 문법오류, MAIL FROM:<ABCD.nate.com> 명령 시 [.] 이 아닌 [@] 를 사용하여야 하는데 발생하는 오류 등을 카운팅 할 수 있다.

MAIL_NULL은 보내는 메일 주소 없는 경우 카운팅 할 수 있다. 예를 들어, MAIL FROM 명령어 시 보내고자 하는 메일주소가 없을 경우이다.

FROM_SYNTAX는 header from 문법에서 오류가 발생한 경우이다. 한편, DATA 이후 메일 발송지를 나타내는 FROM 명령어의 문법적 오류를 카운팅 할 수 있다. 예를 들어, [FROM : #412@$#!@#.COM] 의 경우, 도메인에는 특수 문자가 들어올 수 없으므로 오류가 된다.

TO_SYNTAX를 통해 header to 문법 오류를 카운팅 할 수 있다.

DATA 이후 메일 수신지를 나타내는 TO 명령어의 문법적 오류가 발생하는데, 예를 들어, [TO : #412@$#!@#.COM] 의 경우, 도메인에는 특수 문자가 들어올 수 없으므로 오류가 된다.

GLC_Q1는 CONNECTION 혹은 메일 사이즈 등의 점수제가 될 수 있다. 즉, 시스템상의 문제 혹은 공격성 CONNECTION 에 대한 점수를 부여한다.

TIME_OUT은 수신 서버와 CONNECTION 후 너무 많은 시간을 특정 명령어 없이 유지 할 경우를 의미한다. (EHLO ->K 초간 대기 [각 명령어 마다 K초를 LIMIT 로 둔다면 K초 이상일 시 TIME_OUT COUNT 한다.])

MAIL_SIZE는 메일 크기가 과도할 경우, 예를 들어, 발송 메일 용량 제한 N MB /N MB 이상을 넘었을 시 COUNT 한다.

RELAY는 relay 거부를 의미한다. 예를 들어, NATE로 발송하는 것이 아닌 다른 도메인(EX> hanmail ,naver 등) 으로 발송하였을 시 COUNT한다.

위의 GLC_B1, GLC_S1, GLC_Q1 등을 각각 판단할 수도 있고, 이들을 취합하여 하나의 기준으로 변환하여 제 1 액션 또는 제 2 액션이 허용치를 넘는지 여부를 판단할 수 있다. 그 외에도 아래와 같이 제 1 액션, 또는 제 2 액션이 허용치를 넘어 발생하였는지를 판단할 수 있다.

GLC_BV를 통해 바이러스 발송 시 점수를 줄 수 있다. VIRUS는 바이러스 검사를 통해 바이러스가 포함되어 있는 메일을 발송 하였을 경우 가산할 수 있다.

GLC_EHLO는 SMTP 프로토콜의 EHLO/HELO 명령 시 도메인 이름이 문제가 있을 경우 점수를 주는 경우이다.

DOMAIN_EHLO에서 ehlo 도메인과 ip 비교를 비교한다. 예를 들어, EHLO 도메인(ABC.COM)의 실제 IP 는 1.2.3.4 이지만 메일을 발송하고자 하는 발송지의 IP 는 3.4.5.6 일 경우에 해당할 수 있다. 그리고, DOMAIN_MAIL을 사용하여, env from 도메인과 ip를 비교할 수 있다. 예를 들어, MAIL FROM 명령어시의 도메인과 IP 비교 방식은 위와 동일하다.

상기의 경우에는 스팸 가능성이 높다고 볼 수있으므로, 해당 액션이 발생할 경우 가중치를 높게 두어 허용 기준치와 비교할 수 있다. 그러나, 단지 스팸성이 의심되는 경우라면, 가중치를 낮게 둘 수 있다. GLC_MAYBE를 통해 상기 GLC_B1, GLC_S1, GLC_Q1 보다 가중치는 낮으나 카운팅은 할 수 있도록 한다.

BAYESIAN을 통해 스팸 가능성을 검사한다. 즉, 뜻을 나타내는 어절을 뽑아 단어마다 가중치를 두어 스팸성 여부를 판단하는 방식으로, 비아그라에 대해서는 점수 0.5, 꽃에 대해서는 점수 0.01을 줄 수 있다.

MISMATCH을 통해 from 도메인과 ehlo 도메인 비교할 수 있다.

예를 들어, EHLO 명령어 시의 도메인과 MAIL FROM / DATE 명령어의 FROM 의 도메인을 같이 비교 하여 검사할 수 있다.

IN_DOMAIN을 사용하여 local domain을 검사할 수 있다. 예를 들어, 발신하는 곳의 도메인이 수신 서버의 LOCALDOMAIN 여부를 검사할 수 있다.

위와 같을 시 MAYBE 점수를 카운트 한다. 위에서 예시로 살펴본 특정 액션에 대한점수를 포괄하여, 일정량 이상 초과한 IP 에 대해서는 그 스팸성이 확연하다 판단하여 블록할 수 있다.

전술한 여러가지 기준은 하나의 액션에 대해 중복하여 부과될 수 있으며, 어느 한 경우가 발생하면 하나의 액션 발생으로 처리할 수도 있다. 상기 기준은 서버의 특성에 따라 달라질 수 있으며, 가중치 및 점수는 구현 서버에 따라 달라질 수 있다.

한편 RC의 경우 일반 메일 발송에서 발생할 수 없는 경우의 전체 비율을 구하여 비율에 따라 해당 IP를 스팸 가능성 호스트로 간주하여 블럭 하는 방식이다. 물론 비율의 설정은 상황에 따라 다를 수 있으며 위의 한계치를 초과 하였을 시 블록 할 수 있다. 예를 들어, Virus count-20%를 통해 특정 IP 에서 바이러스 메일 발송 경우가 해당 IP 의 전체 발송 중 20% 이상이 된다면 블록할 수 있다.

From domain count-15%를 사용하여 특정 IP 에서 발송되는 메일 중에서 메일 명령어의 from domain (목적지 주소)가 포함되어 있지 않은 경우의 메일 발송이 해당 IP 의 발송 중 15% 이상이 된다면 블록 하도록 한다.

메일을 수신할 경우, TC(440), LC(450), RC(460)을 통해 액션이 기록된다. 그리고 전술한 바와 같이 설명하였던 바와 같이, 소정 액션에 대해 점수제 또는 카운팅을 통해 스팸성으로 판단될 경우, 스팸관리 모듈(410)로 해당 클라이언트의 정보를 전달한다. 전달된 정보는 스팸처리모듈(420)과 SMTP 모듈(430)에 반영되어 스팸성 클라이언트의 액션, 예를 들어, 접속 요청, 메일 송신 등을 거부할 수 있도록 한다. 스팸 DB(470)는 TC, LC, RC를 통해 축적된 정보를 저장하여, 해당 클라이언트가 스팸인지를 판단할 경우 정보를 제공할 수 있다. 빠른 실행을 위해 DB 구성은 데이터베이스 구성 방식, 파일 구성방식, 메모리 구성 방식 등이 가능하다.

TC(440), LC(450), RC(460)등은 특정 시간 간격동안 액션을 수신한다. 그리고 수신한 액션은 스팸 DB(470)에 저장된다. 그리고 시간 간격동안 수신한 액션을 분류한 결과, 스팸성인 것으로 판단될 경우, 스팸 관리 모듈(410)은 스팸성인지 여부를 판단하고 해당 클라이언트가 스팸성 액션을 기준치 이상 보낸 경우, 스팸 리스트로 등록한다.

도 1 내지 도 4의 구성은 웹서버에 대해서도 적용할 수 있다. 통상 웹서버에 대하여 클라이언트는 GET/POST 등의 명령어를 사용하여 웹서버의 특정 명령어(통상 URL로 표시되는)에 데이터를 전송하고 그 결과를 수신하는 방식을 사용한다. 따라서, 웹서버의 URL에 따라 기준을 세울 수 있다. 게시물을 올리는 URL인 경우, 통상 1분에 3번 이상 글을 올리기는 어려우므로, 해당 URL에 대하여 동일 클라이언트가 1분동안 3회 이상 데이터를 송신하는 경우라면, 제 1 필터링 모니터링 대상으로 설정할 수 있다. 그리고 해당 클라이언트가 여전히 제 2 필터링 기간, 예를 들어 1시간 동안 동일한 액션을 연속하여 수행하거나, 또는 기타 스패머로 판단될 수 있는 액션들, 예를 들어, 존재하지 않는 url에 대한 접속, 또는 잦은 처리 오류를 유발시키는 액션을 한다면 해당 클라이언트에 대해서는 블로킹을 수행할 수 있다. 웹서버의 구성을 위해, 도 4의 구성에서 아파치와 같은 웹서버가 SMTP 모듈을 대신할 수 있다. 물론, 웹서버, 메일 서버 이외에도 서버-클라이언트 구조로 데이터를 수신하는 서버에 대해 적용할 수 있다.

본 발명의 실시예들은 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위는 이에 한정되는 것은 아니며, 후술하는 특허 청구의 범위 및 이와 균등한 범위에 의해 정해진다.

본 발명을 구현할 경우, 다양한 스팸성 접속을 차단하는 기준을 가중치를 두어 적용할 수 있으므로, 선의의 접속자 또는 선의의 메일 송신자를 보호하며, 스팸성 데이터를 송신하는 클라이언트를 차단할 수 있다. 또한, 다양한 시간 기준, 여 러 액션에 의해 발생할 수 있는 기준을 적용하여, 스팸성 클라이언트를 효과적으로 차단할 수 있다.

본 발명의 효과는 상기에 언급한 것 이외에도 다양한 효과를 제공한다.

Claims

클라이언트로부터 소정의 액션을 수신하여 해당 액션이 요청하는 사항을 처리하는 서버가 제 1 필터링 시간 간격 동안 제 1 클라이언트로부터 제 1 액션을 수신하여 상기 제 1 액션의 정보를 저장하는 단계;

상기 제 1 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 1 액션을 수신한 횟수가 제 1 수신허용치보다 높은 경우, 상기 제 1 클라이언트를 제 1 필터링 모니터링 대상자로 설정하는 단계;

상기 제 1 필터링 시간 보다 긴 제 2 필터링 시간 간격동안 제 1 클라이언트로부터 제 2 액션을 수신하여 상기 제 2 액션의 정보를 저장하는 단계; 및

상기 제 2 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 2 액션을 수신한 횟수가 제 2 수신허용치보다 높은 경우, 상기 제 1 클라이언트를 스팸 리스트로 설정하는 단계를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 1항에 있어서,

상기 제 1 클라이언트를 스팸 리스트로 설정하는 단계 이후에 상기 제 1 클라이언트가 송신하는 액션을 처리하지 않는 단계를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 1항에 있어서,

상기 제 1 클라이언트를 스팸 리스트로 설정하는 단계 이후에 상기 제 1 클라이언트가 IP 주소로 식별할 수 있는 경우, 상기 IP를 가지는 클라이언트의 커넥션 요청을 거부하는 단계를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 1항에 있어서,

상기 제 1액션 또는 제 2 액션은 상기 서버에서 처리할 수 없거나 처리시 오류를 발생시키는 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 1항에 있어서,

상기 서버가 메일 서버인 경우, 상기 제 1 액션 또는 제 2 액션은 상호 약속되지 않은 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 1항에 있어서,

상기 서버가 웹 서버인 경우, 상기 제 1 액션 또는 제 2 액션은 상기 웹 서버가 실행할 경우 오류를 발생시키는 사항을 요청하는 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 1항에 있어서,

상기 제 1 액션은 동일 클라이언트가 상기 제 1 수신허용치보다 적게 보내는 속성을 가진 액션인, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 1항에 있어서,

상기 제 2 액션은 동일 클라이언트가 상기 제 2 수신허용치보다 적게 보내는 속성을 가진 액션인, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 1항에 있어서,

상기 제 2 필터링 시간 간격동안 저장하는 액션의 정보는 상기 제 1 필터링 모니터링 대상자로 설정된 클라이언트가 송신한 액션의 정보인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 1항에 있어서,

상기 액션의 정보는 상기 액션이 요청하는 정보의 종류, 또는 상기 액션에 의해 서버가 수행하는 기능의 종류 중 어느 하나 이상과 상기 액션을 송신한 클라이언트의 정보를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 1항에 있어서,

상기 액션을 수신한 횟수는 소정 횟수의 액션에 대해 가중치를 곱하거나 더한 결과인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
클라이언트로부터 소정의 액션을 수신하여 해당 액션이 요청하는 사항을 처리하는 서버가 제 1 필터링 시간 간격 동안 제 1 클라이언트로부터 제 1 액션을 수신하여 상기 제 1 액션의 정보를 저장하는 단계;

제 1 필터링 시간 간격 동안 제 1 클라이언트로부터 제 2 액션을 수신하여 상기 제 2 액션의 정보를 저장하는 단계; 및

상기 제 1 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 1 액션을 수신한 횟수와 상기 제 2 액션을 수신한 횟수로 계산된 비율이 제 1 수신허용치보다 높은 경우, 상기 제 1 클라이언트를 제 1 필터링 모니터링 대상자로 설정하는 단계를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 12항에 있어서,

상기 제 1 클라이언트를 제 1 필터링 모니터링 대상자로 설정하는 단계 이후에 상기 제 1 클라이언트를 스팸 리스트로 설정하는 단계를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 12항에 있어서,

상기 제 1 필터링 시간 보다 긴 제 2 필터링 시간 간격동안 상기 제 1 클라이언트로부터 제 1 액션을 수신하여 상기 제 1 액션의 정보를 저장하는 단계;

상기 제 2 필터링 시간 간격동안 제 1 클라이언트로부터 제 2 액션을 수신하여 상기 제 2 액션의 정보를 저장하는 단계; 및

상기 제 2 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 1 액션을 수신한 횟수와 상기 제 2 액션을 수신한 횟수로 계산된 비율이 제 1 수신허용치보다 높은 경우, 상기 제 1 클라이언트를 스팸 리스트로 설정하는 단계를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 13 또는 제 14항에 있어서,

상기 제 1 클라이언트를 스팸 리스트로 설정하는 단계 이후에 상기 제 1 클라이언트가 송신하는 액션을 처리하지 않는 단계를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 13 또는 제 14항에 있어서,

상기 제 1 클라이언트를 스팸 리스트로 설정하는 단계 이후에 상기 제 1 클라이언트가 IP 주소로 식별할 수 있는 경우, 상기 IP의 커넥션 요청을 거부하는 단계를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 12항에 있어서,

상기 제 1액션은 상기 서버에서 처리할 수 없거나 처리시 오류를 발생시키는 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 12항에 있어서,

상기 서버가 메일 서버인 경우, 상기 제 1 액션은 상호 약속되지 않은 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 12항에 있어서,

상기 서버가 웹 서버인 경우, 상기 제 1 액션은 상기 웹 서버가 실행할 경우 오류를 발생시키는 사항을 요청하는 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 12항에 있어서,

상기 제 1 액션은 동일 클라이언트가 상기 제 1 수신허용치보다 적게 보내는 속성을 가진 액션인, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 12항에 있어서,

상기 제 2 필터링 시간 간격동안 저장하는 액션의 정보는 상기 제 1 필터링 모니터링 대상자로 설정된 클라이언트가 송신한 액션의 정보인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 12항에 있어서,

상기 액션의 정보는 상기 액션이 요청하는 정보의 종류, 또는 상기 액션에 의해 서버가 수행하는 기능의 종류 중 어느 하나 이상과 상기 액션을 송신한 클라이언트의 정보를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
제 12항에 있어서,

상기 액션을 수신한 횟수는 소정 횟수의 액션에 대해 가중치를 곱하거나 더한 결과인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 방법.
클라이언트로부터 소정의 액션을 수신하여 해당 액션이 요청하는 사항을 처리하는 서버에 있어서,

클라이언트로부터 액션을 수신하는 컨트롤 모듈;

상기 컨트롤 모듈에서 수신한 액션의 정보를 저장하는 데이터베이스;

액션을 송신하는 클라이언트 중에서 일부를 필터링 모니터링 대상자 또는 스팸 리스트 중 어느 하나 이상으로 설정하는 스팸 관리 모듈을 포함하며,

상기 컨트롤 모듈이 상기 제 1 필터링 시간 간격동안 상기 제 1 클라이언트로부터 제 1 액션을 수신한 횟수가 제 1 수신허용치보다 높은 경우, 상기 스팸 관리 모듈은 상기 제 1 클라이언트를 제 1 필터링 모니터링 대상자로 설정하며,

상기 컨트롤 모듈이 제 2 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 2 액션을 수신한 횟수가 제 2 수신허용치보다 높은 경우, 상기 스팸 관리 모듈은 상기 제 1 클라이언트를 스팸 리스트로 설정하는 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 24항에 있어서,

상기 스팸 관리 모듈은 상기 제 1 클라이언트를 스팸 리스트로 설정한 이후에 상기 제 1 클라이언트가 송신하는 액션을 처리하지 않는 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 24항에 있어서,

상기 스팸 관리 모듈은 상기 제 1 클라이언트를 스팸 리스트로 설정한 이후에 상기 제 1 클라이언트가 IP 주소로 식별할 수 있는 경우, 상기 IP를 가지는 클라이언트의 커넥션 요청을 거부하는 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 24항에 있어서,

상기 제 1액션 또는 제 2 액션은 상기 서버에서 처리할 수 없거나 처리시 오류를 발생시키는 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 24항에 있어서,

상기 서버가 메일 서버인 경우, 상기 제 1 액션 또는 제 2 액션은 상호 약속되지 않은 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 24항에 있어서,

상기 서버가 웹 서버인 경우, 상기 제 1 액션 또는 제 2 액션은 상기 웹 서버가 실행할 경우 오류를 발생시키는 사항을 요청하는 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 24항에 있어서,

상기 제 1 액션은 동일 클라이언트가 상기 제 1 수신허용치보다 적게 보내는 속성을 가진 액션인, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 24항에 있어서,

상기 제 2 액션은 동일 클라이언트가 상기 제 2 수신허용치보다 적게 보내는 속성을 가진 액션인, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 24항에 있어서,

상기 제 2 필터링 시간 간격동안 저장하는 액션의 정보는 상기 제 1 필터링 모니터링 대상자로 설정된 클라이언트가 송신한 액션의 정보인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 24항에 있어서,

상기 액션의 정보는 상기 액션이 요청하는 정보의 종류, 또는 상기 액션에 의해 서버가 수행하는 기능의 종류 중 어느 하나 이상과 상기 액션을 송신한 클라이언트의 정보를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 24항에 있어서,

상기 액션을 수신한 횟수는 소정 횟수의 액션에 대해 가중치를 곱하거나 더한 결과인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
클라이언트로부터 소정의 액션을 수신하여 해당 액션이 요청하는 사항을 처리하는 서버에 있어서,

클라이언트로부터 액션을 수신하는 컨트롤 모듈;

상기 컨트롤 모듈에서 수신한 액션의 정보를 저장하는 데이터베이스;

액션을 송신하는 클라이언트 중에서 일부를 필터링 모니터링 대상자 또는 스팸 리스트 중 어느 하나 이상으로 설정하는 스팸 관리 모듈을 포함하며,

상기 컨트롤 모듈이 상기 제 1 필터링 시간 간격동안 상기 제 1 클라이언트로부터 제 1 액션을 수신한 횟수와 제 2 액션을 수신한 횟수로 계산된 비율이 제 1 수신허용치보다 높은 경우, 상기 스팸 관리 모듈은 상기 제 1 클라이언트를 제 1 필터링 모니터링 대상자로 설정하는 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 35항에 있어서,

상기 제 1 필터링 모니터링 대상자는 스팸 리스트인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 35항에 있어서,

상기 컨트롤 모듈이 상기 제 1 필터링 시간 보다 긴 제 2 필터링 시간 간격동안 상기 제 1 클라이언트로부터 상기 제 1 액션을 수신한 횟수와 상기 제 2 액션을 수신한 횟수로 계산된 비율이 제 1 수신허용치보다 높은 경우, 상기 스팸 관리 모듈은 상기 제 1 클라이언트를 스팸 리스트로 설정하는 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 36 또는 제 37항에 있어서,

상기 스팸 관리 모듈은 상기 제 1 클라이언트를 스팸 리스트로 설정한 이후에 상기 제 1 클라이언트가 송신하는 액션을 처리하지 않는 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 36 또는 제 37항에 있어서,

상기 스팸 관리 모듈은 상기 제 1 클라이언트를 스팸 리스트로 설정한 이후에 상기 제 1 클라이언트가 IP 주소로 식별할 수 있는 경우, 상기 IP의 커넥션 요청을 거부하는 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 35항에 있어서,

상기 제 1액션은 상기 서버에서 처리할 수 없거나 처리시 오류를 발생시키는 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 35항에 있어서,

상기 서버가 메일 서버인 경우, 상기 제 1 액션은 상호 약속되지 않은 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 35항에 있어서,

상기 서버가 웹 서버인 경우, 상기 제 1 액션은 상기 웹 서버가 실행할 경우 오류를 발생시키는 사항을 요청하는 액션인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 35항에 있어서,

상기 제 1 액션은 동일 클라이언트가 상기 제 1 수신허용치보다 적게 보내는 속성을 가진 액션인, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 35항에 있어서,

상기 제 2 필터링 시간 간격동안 저장하는 액션의 정보는 상기 제 1 필터링 모니터링 대상자로 설정된 클라이언트가 송신한 액션의 정보인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 35항에 있어서,

상기 액션의 정보는 상기 액션이 요청하는 정보의 종류, 또는 상기 액션에 의해 서버가 수행하는 기능의 종류 중 어느 하나 이상과 상기 액션을 송신한 클라이언트의 정보를 포함하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 35항에 있어서,

상기 액션을 수신한 횟수는 소정 횟수의 액션에 대해 가중치를 곱하거나 더한 결과인 것을 특징으로 하는, 다중 차단 기준을 적용하여 스팸성 커넥션을 제거하는 장치.
제 1항 내지 제 23항 중의 어느 한 항의 방법을 수행할 수 있는 프로그램이 수록된 컴퓨터로 읽을 수 있는 기록 매체.