KR20090000618A - 메일러시그너쳐를 이용한 스팸메일차단시스템 및 방법 - Google Patents

메일러시그너쳐를 이용한 스팸메일차단시스템 및 방법 Download PDF

Info

Publication number
KR20090000618A
KR20090000618A KR1020070023183A KR20070023183A KR20090000618A KR 20090000618 A KR20090000618 A KR 20090000618A KR 1020070023183 A KR1020070023183 A KR 1020070023183A KR 20070023183 A KR20070023183 A KR 20070023183A KR 20090000618 A KR20090000618 A KR 20090000618A
Authority
KR
South Korea
Prior art keywords
mail
signature
spam
mailer
mails
Prior art date
Application number
KR1020070023183A
Other languages
English (en)
Inventor
김형근
Original Assignee
주식회사 모비젠
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 모비젠 filed Critical 주식회사 모비젠
Priority to KR1020070023183A priority Critical patent/KR20090000618A/ko
Publication of KR20090000618A publication Critical patent/KR20090000618A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/60Business processes related to postal services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Health & Medical Sciences (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 메일러시그너쳐 패턴을 이용하여 스팸메일 여부를 판단하는 방법 및 시스템에 관한 것으로, 구체적으로 수신된 메일로부터 소정의 방식으로 메일러시그너쳐를 추출하는 메일러시그너쳐 추출부; 소정의 샘플 메일들로부터 추출된 메일러시그너쳐와 상기 샘플메일의 메일러시그너쳐별로 스팸메일 발생빈도를 저장하기 위한 메일러시그너쳐 데이터베이스; 및 상기 메일러시그너쳐 추출부로부터 추출된 메일러시그너쳐와 동일한 메일러시그너쳐를 상기 메일러시그너쳐 데이터베이스에서 검색하여, 검색된 메일러시그너쳐를 가지는 메일의 스팸메일 발생빈도에 따라 상기 수신된 메일이 스팸메일인지 여부를 판단하는 스팸메일판단부;를 포함하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단시스템 및 이를 이용한 스팸메일차단방법에 관한 것이다.
본 발명에 따르면 기존의 키워드나 IP 추적을 통해 추출이 불가능했던 스팸메일에 대해서도 동일한 발송 소프트웨어를 이용하여 스팸메일을 발송하는 한, 차단을 할 수 있는 장점이 있다.
스팸, 메일러시그너쳐

Description

메일러시그너쳐를 이용한 스팸메일차단시스템 및 방법{System for prevent spam mail using mailer's signature and method thereof}
도 1은 본 발명의 일실시예의 구성을 도시한 블록도
도 2는 본 발명의 일실시예의 방법을 도시한 흐름도
도 3은 본 발명의 또 다른 일실시예의 방법을 도시한 흐름도
본 발명은 스팸메일 차단 방법 및 시스템에 관한 것으로, 구체적으로는 메일러 시그너쳐 패턴을 이용하여 스팸메일 여부를 판단하는 방법 및 시스템에 관한 것이다.
스팸메일이란 단연 광고성 정보가 많지만, 반드시 이에 한하는 것은 아니고, 내용이 상업적인가 비상업적인가에는 무관하게 사용자가 요청하지 않은 정보를 사용자의 의지와 무관하게 대량으로 전달하는 전자우편을 말하며, 넓은 의미로는 바이러스 유포를 위한 전자우편도 포함하는 개념이다.
스팸메일은 동의를 받지 않은 채 대량으로 동일한 메일을 다수의 수신자에게 발송하는 것을 특징으로 하며, 사용자에게 불필요한 정보를 주는 경우가 많으므로, 사용자의 입장에서는 가능하면 스팸메일을 메일서버에서 따로 처리하여 사용자가 일일이 확인하지 않아도 삭제 또는 격리 처리되는 것을 바라게 되며, 이에 따라 많은 스팸메일 차단 방법 및 시스템이 개발되어 운영되고 있다.
한편, 동일한 메일을 대량으로 보낸다는 것은 비교적 쉽게 감지할 수 있는 특징이어서 각종 스팸메일 차단 솔루션에 의해서 스팸메일임이 감지되면 쉽게 차단되기 때문에, 스팸메일 발송자는 어떤 식으로든 스팸메일이 동일한 메일이 아니도록 변조하여, 스팸메일 차단 솔루션에 의한 차단을 피해나가려고 노력하게 되며, 스팸메일 차단 솔루션을 벗어나기 위한 여러 방법이 고안되고 있다.
스팸메일을 차단하기 위한 가장 간단한 방법은 메일의 제목이나 내용 중에 특정 단어가 들어가 있는지를 확인하여, 즉 스팸 키워드 추출을 하여 스팸메일인지를 확인하는 방법이 있다.
이론적으로는 메시지 그 자체가 변조되면 더 이상 스팸 메일로서의 역할을 할 수 없으므로, 스팸 메시지 그 자체를 찾아내기만 하면 스팸도 찾을 수 있을 것으로 생각된다.
하지만, 메시지 그 자체라는 것이 애매한 개념일 뿐만 아니라, 랜덤 텍스트를 무작위로 메시지 그 자체 주변에 뒤섞어 놓았을 경우 구분하기가 어려워져서 스팸 차단 솔루션이 거의 적용되지 않는 경우가 발생한다. 그렇기 때문에 악성 스팸 발송자의 경우, 제목을 바꾸거나 메일 본문에 엉뚱한 단어를 넣거나, 메일 속에 들어 있는 HTML 코드를 교묘하게 변조하여 스팸 키워드 추출을 불가능하게 하거나, 메일 속에 랜덤 텍스트를 무작위로 삽입하여 스팸메일 내용물과 랜덤텍스트가 구분 되기 힘들도록 하는 방식 등 내용물을 무작위로 변조하는 기술이 널리 사용되고 있고, 그런 스팸 메일들은 차단이 잘 안되는 어려움이 있다.
또 다른 방법으로는 발신자의 IP주소를 추적하여 하나의 IP주소로부터 대량의 메일이 수신된 경우 이를 스팸메일로 처리하는 방법이 있다.
본질적으로 IP는 유한한 자원이고, 특정 IP에서 집중적으로 메일이 발송될 경우 그 IP 자체로 차단 될 가능성이 있다.
그러나, 발송자의 메일 주소를 바꾸거나, 릴레이 서버를 이용해서 발송함으로써 발송 IP를 변조하거나, 좀비 PC를 이용해서 IP 변조를 매우 많은 IP로 확대하는 등의 방식을 통하여 이러한 스팸메일 차단 솔루션을 피해나가는 방법이 개발되고 있어 문제가 되고 있다.
상기한 문제를 해결하기 위해서 본 발명에서는 메일러 시그너쳐의 패턴을 이용하여 스팸메일을 처리하는 시스템을 제공하는 것을 목적으로 한다.
또한, 상기한 문제를 해결하기 위해서 본 발명에서는 메일러 시그너쳐의 패턴을 이용하여 스팸메일을 처리하는 방법 및 그 방법을 기록한 기록매체를 제공하는 것을 목적으로 한다.
상기한 목적을 달성하기 위해서 본 발명은 방법을 수신된 메일로부터 소정의 방식으로 메일러시그너쳐를 추출하는 메일러시그너쳐 추출부; 소정의 샘플 메일들로부터 추출된 메일러시그너쳐와 상기 샘플메일의 메일러시그너쳐별로 스팸메일 발 생빈도에 관한 정보를 저장하기 위한 메일러시그너쳐 데이터베이스; 및 상기 메일러시그너쳐 추출부로부터 추출된 메일러시그너쳐와 동일한 메일러시그너쳐를 상기 메일러시그너쳐 데이터베이스에서 검색하여, 검색된 메일러시그너쳐를 가지는 메일의 스팸메일 발생빈도에 따라 상기 수신된 메일이 스팸메일인지 여부를 판단하는 스팸메일판단부;를 포함하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단시스템을 제공한다.
여기서, 상기 스팸메일판단부는 상기 메일러시그너쳐 데이터베이스에 저장된 메일러시그너쳐를 갖는 메일에서 스팸메일의 발생빈도가 소정의 임계값을 넘어서는 경우, 상기 샘플메일과 동일한 메일러시그너쳐를 가지는 메일을 스팸메일로 판단하는 것이 바람직하다.
또한, 상기 메일러시그너쳐 데이터베이스에 저장된 정보에는 메일의 수신자들로부터 스팸메일로 신고된 메일에 관한 정보가 포함되는 것이 바람직하다.
한편, 상기한 목적을 달성하기 위해서 본 발명은 소정의 샘플메일들로부터 추출된 메일러시그너쳐와 상기 샘플메일의 메일러시그너쳐별로 스팸메일 발생빈도에 관한 정보를 저장하는 데이터베이스를 이용하여 스팸메일을 차단하는 방법에 있어서, 수신된 메일로부터 소정의 방식으로 메일러시그너쳐를 추출하는 단계; 및 상기 추출된 메일러시그너쳐와 동일한 메일러시그너쳐를 상기 메일러시그너쳐 데이터베이스에서 검색하여, 상기 검색된 메일러시그너쳐를 가지는 메일의 스팸메일 발생빈도에 따라 상기 수신된 메일이 스팸메일인지 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단방법을 제공한다.
한편, 상기한 목적을 달성하기 위해서 본 발명은 수신된 메일로부터 소정의 방식으로 메일러시그너쳐를 추출하는 메일러시그너쳐 추출부; 및 상기 수신된 메일 중 동일한 메일러시그너쳐를 가지는 메일의 수를 카운트하여, 카운트된 수가 소정의 임계값을 초과하는지 여부를 기준으로 상기 수신된 메일이 스팸메일인지 여부를 판단하는 스팸메일판단부;를 포함하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단시스템을 제공한다.
한편, 상기한 목적을 달성하기 위해서 본 발명은 수신된 메일로부터 소정의 방식으로 메일러시그너쳐를 추출하는 단계; 및 상기 수신된 메일 중 동일한 메일러시그너쳐를 가지는 메일의 수를 카운트하여, 카운트된 수가 소정의 임계값을 초과하는지 여부를 기준으로 상기 수신된 메일이 스팸메일인지 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단방법을 제공한다.
한편, 상기한 목적을 달성하기 위해서 본 발명은 상기한 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명은 스팸메일 발송자가 변조하기 힘든 대상 중에 한 가지로 스팸 발송 소프트웨어 자체라고 판단하여, 스팸메일 발송자가 보내는 메시지의 내용물에 초점을 맞추지 않고, 스팸 발송 소프트웨어의 특징점을 기준으로 스팸을 감지하고 차단할 수 있는 방법 및 시스템을 제시한다.
스팸메일 발송자는 스팸 메일 내용물을 언제든지 바꿀 수 있지만 발송 소프트웨어 자체를 바꾸는 것은 상대적으로 난이도가 더 큰 작업이기 때문에 쉽게 수행 할 수 있는 것이 아니다. 본 발명은 이러한 전제하에서 발명된 것이다.
인터넷 메일의 프로토콜 특성상, 모든 메일 발송 소프트웨어는 발송할 메일 내용물을 일정한 양식에 맞게 메일을 인코딩하는 단계를 거쳐서 만들어진 결과물을 전송하도록 되어 있다. 문제는 메일을 인코딩하는 방식에는 일정 규격의 표준이 있기는 하지만, 표준의 수용범위가 매우 광범위하기 때문에, 메일 발송 소프트웨어 별로 인코딩 하는 방식이 상당히 다를 수가 있다.
예를 들어 어떤 메일러(Mailer, 메일 발송 소프트웨어)는 From: 헤더를 먼저 쓰고, 어떤 메일러는 Subject: 헤더를 먼저 쓰고, 다른 메일러는 Date: 헤더를 먼저 쓴다.
헤더의 순서에 대한 제약이 없기 때문에, 메일러(메일 발송 소프트웨어)를 개발하는 개발자의 임의적인 선택에 의해서 순서가 결정되는 것이고, 그 순서만 가지고도 상당히 많은 변이가 있을 수 있다. 예를 들어 모든 메일에 필수적으로 있어야 할 네 가지 필드 (From/To/Subject/Date)만 가지고서도 4 x 3 x 2 x 1 = 24가지의 순서가 존재할 수 있다. 만약 여기에 Cc:, Content-Type:, Message-Id:와 같이 널리 쓰이는 헤더 세 개만 더 추가한다 해도 서로 다른 발송 소프트웨어가 존재할 수 있는 가능성은 7 x 6 x 5 x 4 x 3 x 2 x 1 = 5040 가지로 늘어난다.
메일헤더로 널리 나타날 수 있는 헤더 필드의 종류는 대략 30가지 이상 되므로, 최소한 30! 가지의 어마 어마한 수의 가능성이 존재한다. 그게 메일 발송 소프트웨어(메일러) 를 개발하는 개발자의 무작위적인 선택에 의해서 결정된다고 할 수 있다.
또한, 헤더 필드를 동일한 순서로 적용한다고 하더라도, 각각의 헤더필더들의 값이 채워지는 방식도 여러 가지 방식이 있을 수 있기 때문에 이 또한 메일 발송 소프트웨어를 구분하는 기준이 될 수 있다.
예를 들어 From: 헤더 필드의 경우 다음과 같은 방식으로 인코딩이 가능하다.
From: kk <inet@microsoft.com> From: juser-interface@mindspring.com From: Mail Delivery Subsystem <MAILER-DAEMON@mailgws1.fraunhofer.de> From: SOOLEE <sooree55@kornet.net> From: "hr5oqqldk" <ujkfldk@yahoo.co.kr> From: "Alicia Novak" <mulew785c4q1zp5@hanafos.com> From: 7@ibm-pro.rigafleet.com From: Internet Mail Delivery <postmaster@mailstore-6.gci.net> From: "Heart B. Wordings" <wbahkui@postaldigital.com> From: "Heriberto Mccarty" <wmb2@hanmail.net> From: cotto ceramic <taeshin3@kornet.net> From: Frederick <Raheem@wtkr.com> From: "Sandy Staley" <BL@dighty.com> From: "Auto Solutions" <AutoSolutions@TESTANDKEEPTHEM.INFO> From: Mail Delivery Subsystem <MAILER-DAEMON@motgate6.mot.com> From: "" <rose3585@hotmail.com> From: =?EUC-KR?B?sbix2yC+y7iuucw=?= <googlealerts-noreply@google.com> From: 안호영<dksghdud@yahoo.co.kr> From: "Benito edmonton" <jqrgqgcfmqx@dnt.ro> From: "" <rose837@hotmail.com> From: "=?euc-kr?B?vcXH/Lvz?="<iceisland@nate.com> From: LEE Chong-Yeong <Lee@esperanto.net> FROM: river@hk.co.kr from: "Dwight" <tesawwkwbnz@morgan.net.au> From: =?ks_c_5601-1987?B?w7zH6L+1vu4=?= <mhchw@chhe.com> From: "이니시스" <mail@inicis.com> From: "김재화^M" <go99@shinbiro.com^M> From: "고객만족" <dream1004@jhkr565yhfg.dyndns.tv > From: "Postmaster" <postmaster@mail.tld.net> From: "김영애" <mart@tankii.serveftp.net >
상기한 [표 1]에서와 같이 From: 필드 하나만 가지고 각각의 메일 발송 소프트웨어들이 서로 다른 방식으로 인코딩 함을 볼 수 있다.
즉, 같은 From: 필드에서도 (1) 메일 주소 주변에 '<', '>'를 쓰고 안 쓰고의 차이, (2) 이름을 별도로 표기하고 안하고의 차이, (3) 이름 주변에 따옴표("")를 쓰고 안 쓰고의 차이, (4) 공백 문자가 들어가고 안 들어가고의 차이, (5) 불필요한 특수문자의 쓰임새 차이, (6) 대소문자의 구분 등에 있어서 각각의 메일 발송 소프트웨어들이 서로 다른 패턴을 보이고 있다.
이 모든 패턴은 메일 표준 규약에 따르면 모두 정상으로 간주되기 때문에 어떤 방식을 쓰느냐는 전적으로 발송 소프트웨어를 작성하는 작성자의 선택에 달려 있다.
본 발명에서는 상기와 같은 각 메일 발송 소프트웨어의 메일러 시그너쳐, 즉 메일 인코딩 패턴에 따라 스팸 여부를 결정하는 점에 그 특징이 있는 발명이다.
이하 본 발명의 바람직한 실시예를 도면을 참조하여 상세히 설명한다.
본 발명의 스팸메일차단시스템은 메일러시그너쳐 추출부(110), 메일러시그너쳐 데이터베이스(120) 및 스팸메일판단부(130)를 포함하여 구성된다.
메일러시그너쳐 추출부(110)는 수신된 메일로부터 소정의 메일러시그너쳐를 추출한다.
메일러시그너쳐를 추출하는 방식은 시스템 설계자나 시스템 운영자에 의해 임의로 설정이 가능하다. 보다 많은 메일러시그너쳐를 추출하도록 설정되는 경우 좀 더 정확성을 높일 수 있을 것이지만 처리하는 시간이 많이 걸릴 것이고, 좀 더 적은 수의 메일러시그너쳐를 추출하도록 설정되는 경우에는 보다 빠른 시간 내에 스팸메일 여부를 판단할 수 있지만 그 정확성은 좀 더 낮아지는 단점이 있을 것이므로, 시스템 설계자 또는 운영자 등이 시스템의 효율성과 스팸 차단의 정확성을 고려하여 메일러시그너쳐를 추출하는 방식을 결정하는 것이 바람직하다.
예를 들어, 단순히 From: 필드, Subject: 필드, Date: 필드, To; 필드의 배열 순서만을 추출하도록 할 수도 있고, 추출된 각각의 헤더 필드들의 인코딩 패턴까지 추출되도록 할 수도 있고, 상기한 4개의 헤더필드 외의 다른 헤더필드들까지 고려하여 메일러시그너쳐가 추출되도록 할 수도 있다.
추출되는 메일러시그너쳐의 일 예로 From: 필드, Subject: 필드, Date: 필드, To; 필드의 배열 순서와 각 필드의 일부 인코딩 패턴을 이용하여 메일러시그너쳐를 추출하는 경우, From: 필드의 인코딩 유형을 0, 1, 2, 3으로 구분하고 첫 글자를 F를 사용하면, F0, F1, F2, F3의 네 가지의 From: 필드 유형이 있을 수 있고, Subject: 필드, Date: 필드, To: 필드도 동일한 방식으로 표현을 한다고 하면 다음과 같은 시그너처들이 생길 수 있다. 헤더 필드별로, 첫글자 + 숫자 형태의 시그너쳐 필드를 생성한다고 가정할 때,
F0S0T1D1, F3D1T0D0, F2D3S1T0,…
와 같은 메일러시그너쳐가 추출된다.
메일러시그너쳐 데이터베이스(120)에는 메일러시그너쳐 추출부(110)에서 추출되는 방식과 동일한 방식으로 샘플메일들로부터 추출된 메일러시그너쳐와 그 메일러시그너쳐를 가지는 메일이 스팸메일일 확률에 관한 정보가 저장된다.
샘플메일들은 수동적인 작업이나 다른 스팸메일 차단 솔루션에 의해 스팸메일여부가 확인된 메일들이다. 수동적인 작업을 통해 스팸메일 여부를 확인하는 경우에는 시스템 설계자나 운영자가 자체적으로 인력을 동원하여 샘플 메일들을 검사하도록 할 수도 있고, 메일 수신자들로부터 받은 메일에 대하여 스팸메일 신고를 하도록 하여, 피드백된 정보가 메일러시그너쳐 데이터베이스(120)에 반영되도록 하고, 이를 이용하여 각 메일러시그너쳐에 대한 스팸메일 여부가 확인되도록 할 수도 있다.
이러한 샘플메일들의 메일러시그너쳐에 관한 정보는 다음과 같은 형태로 저장이 될 수 있다.
메일러시그너쳐 스팸 정상 바이러스 비고
F0S0T1D1 112 0 0 스팸 및 바이러스에 나타난 시그너처
F3D1T0D0 0 0 22 바이러스에만 나타난 시그너처
F2D3S1T0 0 1 0 정상 메일에만 나타난 시그너처
F2D3S1T3 111 21 0 스팸 및 정상 메일에 나타난 시그너처
참고로 동일한 메일러시그너쳐를 가지는 샘플메일에서 스팸메일의 발생빈도를 알면 당연히 그 확률이 계산되므로, 본 발명에서 동일한 메일러시그너쳐를 가지는 샘플메일에서 스팸메일의 발생빈도와 스팸메일의 발생확률은 동일한 의미로 사용된다.
상기한 [표 2]에서와 같이 메일러시그너쳐별로 스팸메일의 발생빈도수가 저장됨으로 인해 그 메일이 샘플메일을 기초로 하여 각 메일러시그너쳐를 가지는 메일이 스팸메일이 될 확률을 알 수 있게 된다.
이 때, 메일러시그너쳐 데이터베이스(120)에 이용되는 샘플메일의 수가 증가할수록 스팸메일을 정확히 판단할 가능성은 더욱 높아지게 된다.
스팸메일판단부(130)는 메일러시그너쳐 추출부(110)로부터 추출된 메일러시그너쳐를 이용하여 수신된 메일이 스팸메일인지 여부를 판단한다.
스팸메일판단부(130)에서 스팸메일 여부를 판단하는 방법은 크게 두가지 방법이 있을 수 있다.
먼저, 가장 간단한 방법으로 수신된 메일의 메일러시그너쳐의 빈도수를 이용하여 스팸메일여부를 판단하는 방법이 있다.
메일서버에 수신된 메일 중 동일한 메일러시그너쳐를 갖는 메일이 소정 개수 이상이라면 그 메일은 동일한 메일 발송 소프트웨어를 통해 발송된 메일일 가능성이 높으며, 동일한 메일 발송 소프트웨어에 의해 다량의 메일이 발송되었다면 그 메일은 스팸메일일 확률이 높게 된다.
따라서, 스팸메일판단부(130)는 메일러시그너쳐 추출부(110)로부터 메일 서버에 수신된 메일의 메일러시그너쳐를 받아서 동일한 메일러시그너쳐를 갖는 메일의 수가 시스템 설계자 또는 운영자에 의해 미리 설정된 임계값을 초과하는 경우 이를 스팸메일로 판단하여 처리하도록 설정될 수 있다.
스팸 메일의 경우 단시간에 다량의 메일이 송신되는 특성이 있으므로, 메일러시그너쳐를 갖는 메일의 수를 카운트할 때는 일정한 기간 내에 수신된 메일만을 대상으로 하는 것이 바람직하다.
이 경우 스팸메일 발송자로부터 발송된 메일이 아닌 경우에도 동일한 메일러시그너쳐를 갖을 확률이 있으므로, 삭제 등의 처리를 하지 말고, 별도의 편지함(예: 스팸메일보관함)에 메일을 보관하여 사용자가 최종적인 확인을 할 수 있도록 하는 것이 바람직하다.
또 스팸메일판단부(130)에서 스팸메일 여부를 판단하기 위한 다른 방법으로는 앞에서 언급한 메일러시그너쳐 데이터베이스(120)를 이용하는 방법이 있다.
메일러시그너쳐 데이터베이스(120)에는 샘플메일을 통해서 추출해 낸 각 메일러시그너쳐와 그 메일러시그너쳐별로 스팸메일의 발생빈도수가 저장되어 있으므로, 스팸메일판단부(130)는 메일러시그너쳐 추출부(110)로부터 메일서버에 수신된 메일로부터 추출된 메일러시그너쳐를 수신하고, 이와 동일한 메일러시그너쳐가 메일러시그너쳐 데이터베이스(120)에 있는지 확인하여 동일한 메일러시그너쳐가 있으면, 그 메일러시그너쳐의 발생빈도에 따라 스팸메일인지 여부를 판단하게 된다.
이 때, 스팸메일 여부를 판단할 때 그 스팸메일 발생 빈도수에 따라 등급을 나누어 판단할 수도 있다.
예를 들어, 샘플메일 중에 동일한 메일러시그너쳐를 갖는 메일이 시스템 설계자나 운영자가 정한 소정의 수 이상 존재하고, 그 메일러시그너쳐를 갖는 메일이 전부 스팸메일로 판정이 되어 있는 경우에는 삭제, 스팸메일보관함에 격리 등 가장 등급이 높은 스팸메일 처리방법이 수행되도록 하고, 샘플 메일 중 동일한 메일러시그너쳐를 갖는 메일 중에 스팸메일인 경우와 정상메일이 포함되어 있거나, 동일한 메일러시그너쳐를 갖는 메일이 전부 스팸메일로 판정이 되었지만, 그 샘플수가 너무 적은 경우(즉, 시스템 설계자나 운영자 등이 정한 임계값 미만인 경우)에는 사용자에게 스팸메일일 가능성이 있다는 표시를 하여 메일을 제공하는 등의 한 단계 낮은 등급의 스팸메일 처리방법이 수행되도록 할 수 있다.
이 때, 등급을 나누기 위한 임계값, 즉 동일한 메일러시그너쳐를 갖는 메일이 스팸메일과 정상메일 모두에 존재하는 경우 스팸메일이 발생할 확률이 어느 정도 이상이면 스팸메일로 판정할 것인가에 관한 값, 그 확률의 신뢰성을 확보할 수 있는 최소 샘플 메일의 수(동일한 메일러시그너쳐를 갖는) 등은 시스템 설계자 또는 운영자 등이 임의적으로 설정할 수 있다.
메일러시그너쳐 추출부(110)에서 추출된 메일러시그너쳐와 동일한 메일러시그너쳐가 메일러시그너쳐 데이터베이스(120)에 존재하지 않는 경우에는 앞에서와 같은 방법, 즉 수신된 메일 중에 동일한 메일러시그너쳐를 갖는 메일의 수가 소정의 임계값을 넘어서는지 여부에 따라 스팸메일 여부를 판단할 수 있다.
도 2는 본 발명의 일실시예의 방법을 도시한 흐름도로 메일러시그너쳐 데이터베이스(120)를 이용하지 않고 수신된 메일의 메일러시그너쳐만을 이용하여 스팸메일 여부를 판단하는 방법을 도시한 것이다.
메일러시그너쳐 추출부(110)는 수신된 메일로부터 소정의 메일러시그너쳐를 추출한다(201). 메일러시그너쳐를 추출하는 방식은 시스템 설계자나 시스템 운영자에 의해 임의로 설정이 가능하다는 점은 앞에서 설명한 바와 같다.
스팸메일판단부(130)는 메일러시그너쳐 추출부(110)로부터 수신된 메일로부터 추출된 메일러시그너쳐를 카운트하여 동일한 메일러시그너쳐를 갖는 메일의 수가 미리 설정된 임계값을 초과하는 경우, 이를 스팸메일로 판단하여, 시스템 운영자 등이 정한 규칙에 따라 처리를 수행한다(202).
이 때, 시메일러시그너쳐를 갖는 메일의 수를 카운트할 때는 일정한 기간 내에 수신된 메일만을 대상으로 할 수 있음은 앞에서 살펴본 바와 같다.
도 3은 본 발명의 일실시예의 방법을 도시한 흐름도로 메일러시그너쳐 데이터베이스(120)를 이용하여 스팸메일 여부를 판단하는 방법을 도시한 것이다.
먼저, 샘플메일들로부터 메일러시그너쳐를 추출하고, 각 샘플메일들이 스팸메일인지 여부를 판단하여, 샘플메일들의 메일러시그너쳐와 각 메일러시그너쳐의 발생빈도(확률) 등을 저장하여 메일러시그너쳐 데이터베이스(120)를 구축한다(301).
이 때, 샘플메일들은 수동적인 작업이나 다른 스팸메일 차단 솔루션에 의해 스팸메일여부를 확인할 수 있으며, 수동적인 작업을 통해 스팸메일 여부를 확인하는 경우에는 시스템 설계자나 운영자가 자체적으로 인력을 동원하여 샘플 메일들을 검사하도록 할 수도 있지만, 메일 수신자들로부터 받은 메일에 대한 스팸메일 신고를 하도록 하여, 피드백된 정보를 이용하여 각 메일러시그너쳐에 대한 스팸메일 여부가 확인되도록 할 수도 있음은 앞에서 살펴본 바와 같다.
샘플메일을 이용하여 메일러시그너쳐 데이터베이스(120)를 구축하는 작업은 시스템 구축의 초기 단계에서만 이루어질 수도 있지만, 계속적인 샘플 메일의 추가 또는 스팸메일 신고의 수신 등을 통하여 보완되도록 하는 것이 바람직하다.
메일러시그너쳐 추출부(110)는 수신된 메일로부터 소정의 메일러시그너쳐를 추출하며, 이 과정은 도 3과 동일하다(302). 이 때 수신된 메일로부터 메일러시그너쳐를 추출하는 방식은 샘플메일로부터 메일러시그너쳐를 추출하는 방식과 동일하도록 하는 것이 바람직하며, 그 방식은 시스템 설계자나 시스템 운영자에 의해 임의로 정해질 수 있다.
스팸메일판단부(130)는 메일러시그너쳐 추출부(110)로부터 추출된 메일러시그너쳐를 수신하고, 이와 동일한 메일러시그너쳐가 메일러시그너쳐 데이터베이스(120)에 있는지 확인하여 동일한 메일러시그너쳐가 있으면, 그 메일러시그너쳐의 발생빈도에 따라 스팸메일인지 여부를 판단하게 된다.
이 때, 샘플메일 중에 수신된 메일의 메일러시그너쳐와 동일한 메일러시그너쳐를 갖는 메일의 수, 그 메일에서 스팸메일의 발생빈도 등에 따라 스팸메일처리의 등급을 나누어 처리할 수 있음은 앞에서 살펴본 바와 같다.
또한, 스팸메일로 판정할 확률, 그 확률을 신뢰할 수 최소 샘플 메일의 수 등과 같은 임계값은 시스템 설계자 또는 운영자 등이 임의적으로 설정할 수 있음도 앞에서 살펴본 바와 같다.
본 발명의 상기 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상 설명한 바와 같이, 본 발명에 따르면 기존의 키워드나 IP 추적을 통해 추출이 불가능했던 스팸메일에 대해서도 동일한 발송 소프트웨어를 이용하여 스팸메일을 발송하는 한, 차단을 할 수 있는 장점이 있다.

Claims (9)

  1. 수신된 메일로부터 소정의 방식으로 메일러시그너쳐를 추출하는 메일러시그너쳐 추출부;
    소정의 샘플 메일들로부터 추출된 메일러시그너쳐와 상기 샘플메일의 메일러시그너쳐별로 스팸메일 발생빈도에 관한 정보를 저장하기 위한 메일러시그너쳐 데이터베이스; 및
    상기 메일러시그너쳐 추출부로부터 추출된 메일러시그너쳐와 동일한 메일러시그너쳐를 상기 메일러시그너쳐 데이터베이스에서 검색하여, 검색된 메일러시그너쳐를 가지는 메일의 스팸메일 발생빈도에 관한 정보 따라 상기 수신된 메일이 스팸메일인지 여부를 판단하는 스팸메일판단부;를 포함하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단시스템.
  2. 제1항에 있어서, 상기 스팸메일판단부는 상기 메일러시그너쳐 데이터베이스에 저장된 메일러시그너쳐를 갖는 메일에서 스팸메일의 발생빈도가 소정의 임계값을 넘어서는 경우, 상기 샘플메일과 동일한 메일러시그너쳐를 가지는 메일을 스팸메일로 판단하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단시스템.
  3. 제1항에 있어서, 상기 메일러시그너쳐 데이터베이스에 저장된 정보에는 메일 의 수신자들로부터 스팸메일로 신고된 메일에 관한 정보가 포함되는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단시스템.
  4. 소정의 샘플메일들로부터 추출된 메일러시그너쳐와 상기 샘플메일의 메일러시그너쳐별로 스팸메일 발생빈도에 관한 정보를 저장하는 데이터베이스를 이용하여 스팸메일을 차단하는 방법에 있어서,
    수신된 메일로부터 소정의 방식으로 메일러시그너쳐를 추출하는 단계; 및
    상기 추출된 메일러시그너쳐와 동일한 메일러시그너쳐를 상기 메일러시그너쳐 데이터베이스에서 검색하여, 상기 검색된 메일러시그너쳐를 가지는 메일의 스팸메일 발생빈도에 관한 정보에 따라 상기 수신된 메일이 스팸메일인지 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단방법.
  5. 제4항에 있어서, 상기 스팸메일인지 여부를 판단하는 단계는
    상기 메일러시그너쳐 데이터베이스에 저장된 메일러시그너쳐를 가지는 메일에서 스팸메일의 발생빈도가 소정의 임계값을 넘어서는 경우, 상기 샘플메일과 동일한 메일러시그너쳐를 가지는 메일을 스팸메일로 판단하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단방법.
  6. 제4항에 있어서, 상기 스팸메일차단방법은
    메일의 수신자들로부터 스팸메일로 신고된 메일에 관한 정보를 상기 메일러시그너쳐 데이터베이스에 반영시키는 단계;를 더 포함하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단방법.
  7. 수신된 메일로부터 소정의 방식으로 메일러시그너쳐를 추출하는 메일러시그너쳐 추출부; 및
    상기 수신된 메일 중 동일한 메일러시그너쳐를 가지는 메일의 수를 카운트하여, 카운트된 수가 소정의 임계값을 초과하는지 여부를 기준으로 상기 수신된 메일이 스팸메일인지 여부를 판단하는 스팸메일판단부;를 포함하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단시스템.
  8. 수신된 메일로부터 소정의 방식으로 메일러시그너쳐를 추출하는 단계; 및
    상기 수신된 메일 중 동일한 메일러시그너쳐를 가지는 메일의 수를 카운트하여, 카운트된 수가 소정의 임계값을 초과하는지 여부를 기준으로 상기 수신된 메일이 스팸메일인지 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 메일러시그너쳐를 이용한 스팸메일차단방법.
  9. 제4항 내지 제6항 및 제8항 중 어느 한 항에 기재된 스팸메일차단방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020070023183A 2007-03-08 2007-03-08 메일러시그너쳐를 이용한 스팸메일차단시스템 및 방법 KR20090000618A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070023183A KR20090000618A (ko) 2007-03-08 2007-03-08 메일러시그너쳐를 이용한 스팸메일차단시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070023183A KR20090000618A (ko) 2007-03-08 2007-03-08 메일러시그너쳐를 이용한 스팸메일차단시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20090000618A true KR20090000618A (ko) 2009-01-08

Family

ID=40483771

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070023183A KR20090000618A (ko) 2007-03-08 2007-03-08 메일러시그너쳐를 이용한 스팸메일차단시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20090000618A (ko)

Similar Documents

Publication Publication Date Title
KR100988967B1 (ko) 일회용 이메일 주소를 생성 및 프로세싱하는 방법, 시스템 및 컴퓨터 프로그램 제품
US7836133B2 (en) Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources
US6757830B1 (en) Detecting unwanted properties in received email messages
US8918466B2 (en) System for email processing and analysis
US8321512B2 (en) Method and software product for identifying unsolicited emails
US20060259558A1 (en) Method and program for handling spam emails
US9148432B2 (en) Range weighted internet protocol address blacklist
JP2007528686A (ja) 迷惑メール遮断システム及び方法
EP2365461A2 (en) Reputation management for network content classification
US12101284B2 (en) Computerized system for analysis of vertices and edges of an electronic messaging system
JP6039378B2 (ja) 不正メール判定装置、不正メール判定方法、及びプログラム
US7406503B1 (en) Dictionary attack e-mail identification
Khawandi et al. A survey on image spam detection techniques
Morovati et al. Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques.
KR20090000618A (ko) 메일러시그너쳐를 이용한 스팸메일차단시스템 및 방법
JP6316380B2 (ja) 不正メール判定装置、不正メール判定方法、及びプログラム
CN115603924A (zh) 一种钓鱼邮件的检测方法、装置、电子设备及存储介质
Dhinakaran et al. Bayesian approach based comment spam defending tool
Ismail et al. Image spam detection: problem and existing solution
Ahmad et al. A methodology for sender-oriented anti-spamming
Juneja et al. A Survey on Email Spam Types and Spam Filtering Techniques
RU2787303C1 (ru) Система и способ ограничения получения электронных сообщений от отправителя массовой рассылки спама
ES2558740T3 (es) Sistema implementado en ordenador y procedimiento para detectar el uso indebido de una infraestructura de correo electrónico en una red informática
KR100867941B1 (ko) 스팸메일 차단 방법
AL-Mukhtar Software Engineering-Based Design for a Bayesian Spam Filter

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application