KR20130131133A - Method and system for blocking sophisticated phishing mail by monitoring inner and outer traffic - Google Patents

Method and system for blocking sophisticated phishing mail by monitoring inner and outer traffic Download PDF

Info

Publication number
KR20130131133A
KR20130131133A KR1020120054965A KR20120054965A KR20130131133A KR 20130131133 A KR20130131133 A KR 20130131133A KR 1020120054965 A KR1020120054965 A KR 1020120054965A KR 20120054965 A KR20120054965 A KR 20120054965A KR 20130131133 A KR20130131133 A KR 20130131133A
Authority
KR
South Korea
Prior art keywords
mail
list
internal
risk management
threat
Prior art date
Application number
KR1020120054965A
Other languages
Korean (ko)
Other versions
KR101450961B1 (en
Inventor
최경호
김점구
김귀남
Original Assignee
경기대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 경기대학교 산학협력단 filed Critical 경기대학교 산학협력단
Priority to KR1020120054965A priority Critical patent/KR101450961B1/en
Publication of KR20130131133A publication Critical patent/KR20130131133A/en
Application granted granted Critical
Publication of KR101450961B1 publication Critical patent/KR101450961B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/60Business processes related to postal services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Health & Medical Sciences (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a method for blocking sophisticated phishing mail by monitoring inner and outer traffic, and includes: a mail-structuring step (S10) for extracting/storing data packets related to the mails by monitoring the traffic transmitted/received in the inner network and analyzing each data packet to process each mail data by a constituting item including a URL included in a mail to generate structured mail data; a threat detection step (S20) for extracting a URL included in a mail from the structured mail data in the mail-structuring step (S10) to check if there are threats to the mail data based on the extracted URL; a threat-managing list-generating step (S30) for sorting the existence of a threat to a website corresponding to the URL included in the mail according to the check result of the threat detection step (S20) to generate a threat-managing list; and a blocking list-making step (S40) for making a blocking list based on the threat-managing list; characterized in that the threat-managing list-generating step (S30) is divided into an external webmail service part and an organization's mail service part, and separately generates a threat-managing list for the outer webmail service and for the group mail service which the blocking list-making step (S40) cross-references both threat-managing lists to make a blocking list. [Reference numerals] (S10) Enrollment of composer or songwriter cooperators;(S20) Weighting set for each set for composer or songwriter;(S21) Relation analysis classification list;(S22) Inside security level classification list;(S30) Draft of composer or songwriter;(S40) Enrollment of composer or songwriter;(S50) Modifying registered writing-lyrics or writing-song?

Description

내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템{Method and system for blocking sophisticated phishing mail by monitoring inner and outer traffic} FIELD OF THE INVENTION [0001] The present invention relates to a method and system for blocking intelligent phishing e-mails by monitoring internal and external traffic,

본 발명은 피싱 메일 차단방법 및 이를 이용한 피싱 메일 차단시스템에 관한 것으로, 더욱 상세하게는 내외부 트래픽 모니터링을 통한 피싱 메일 차단방법 및 피싱 메일 차단시스템에 관한 것이다. The present invention relates to a phishing e-mail blocking method and a phishing e-mail blocking system using the same, and more particularly, to a phishing e-mail blocking method and an anti-phishing e-mail blocking system through internal and external traffic monitoring.

정보화가 급격히 진행되고 있는 오늘날에는, 정보시스템에 수많은 중요 정보를 저장하고 있으며, 이렇게 집적되는 정보의 경제적 가치 또한 급격히 증가하고 있다. 이러한 상황 하에서 사회공학기법(social engineering technique)인 사용자(user) 기만(cheat)행위에 기반한 피싱(phishing)은 해커(hacker)가 손쉽게 중요 정보를 절취할 수 있는 수단을 제공하고 있다. 인터넷에서는 개인의 ID와 Password 등을 이용하여 정보시스템 접속과 금융 거래 등이 가능하기 때문에, 해커가 사용자의 중요 정보를 절취한다면 네트워크를 통한 내부 시스템 접속 또는 직접적인 경제적 이윤을 획득할 수 있다. 실제로 피싱 공격(phishing attack)은 매년 커다란 경제적 손실을 유발하고 있으며, 다양한 형태로 계속 발생하고 있다.Today, with the rapid progress of informatization, information systems are storing a lot of important information, and the economic value of such integrated information is also rapidly increasing. Under this circumstance, phishing based on user 's cheat behavior, which is a social engineering technique, provides a means for hackers to easily cut out important information. In the Internet, access to information systems and financial transactions can be performed using personal IDs and passwords. Thus, if a hacker cuts out important information of a user, it can acquire an internal system access or a direct economic profit through the network. In fact, phishing attacks are causing huge economic losses every year and continue to occur in various forms.

피싱 공격(phishing attack)은 시간이 흐르면서 점점 더 지능적으로 실행되며 기술적으로도 고도화되고 있다. 또한 APT(Advanced persistent threat) 공격과 결부되어 더욱 위협적인 형태로 변모하고 있다. 이러한 지능화된 사이버 공격(sophisticated cyber attack)을 받은 미국 등의 주요 기관들은 인터넷과 내부 네트워크(internal network)를 분리하여 운영하게 되었으며, 다수의 내부자(insider)들은 스스로 의도하지 않은 악성코드 감염에 의하여 주요 기관의 정보 유출을 발생시킨 혐의를 받기도 했다.Phishing attacks are becoming more and more intelligent and technologically advanced over time. It is also becoming more threatening due to APT (Advanced Persistent Threat) attacks. Major organizations such as the United States, which received such a sophisticated cyber attack, have operated the Internet and the internal network separately, and many insiders themselves have been infected by unintended malicious code infections, Of information leaked.

이러한 기술 유출 사건의 출발점에는 지능화된 피싱 공격(sophisticated phishing attack)이 있다. 해커(hacker)가 주요 기관의 내부 네트워크(internal network) 침투를 위해 내부 사용자 컴퓨터(insider's computer)를 점령하는 방법으로 이용한 것이다. 이와 같이 해커(hacker)가 특정 기업 또는 조직(organization)을 목표로 지능화된 피싱 공격(sophisticated phishing attack)을 지속적으로 실행하는 한, 인터넷과 내부 네트워크는 사이버 위협(cyber threats)으로부터 안전할 수 없다. There is a sophisticated phishing attack at the start of this technology spill. A hacker uses a method of occupying an insider's computer to infiltrate the internal network of a major institution. As such, the Internet and internal networks can not be secure from cyber threats as long as hackers continue to implement sophisticated phishing attacks aimed at specific entities or organizations.

따라서, 지능화된 피싱 공격(sophisticated phishing attack)을 심층 분석하여 공격 매커니즘을 규명하고, 이에 대한 보안구조(security structure)를 구축, 운영(design and implementation)하는 것은 기업 또는 조직(organization)의 중요 정보를 보호하기 위해 필수적으로 요구된다. Therefore, in-depth analysis of sophisticated phishing attacks to identify attack mechanisms, and to design and implement a security structure for them, can provide important information on the organization or organization. It is essential to protect.

종래의 피싱 공격(phishing attack)의 유형과, 방어 매커니즘을 살펴보면, Phishing은 이메일 등을 이용하여 실제와 유사하게 조작된 웹사이트(web site)로 사용자를 접속 유도하여 중요한 개인 또는 금융 정보를 절취하는 네트워크 공격의 새로운 유형으로 등장했다. 이는 취약한 인증 구조(authentication schemes), 사용자 인식 부재와 같은 취약점을 이용한 사이트 간 스크립팅(Cross-Site Scripting), 맨인더미들(Man-In-The-Middle) 등의 공격으로 해커에게 부당한 금전이득, 산업기밀의 유출, 악성코드 유포 등을 가능하게 해주었다. 그리고 최근의 웹 어플리케이션 관련 위협이 증가하는 경향과 같이, 점점 지능화되고 있는 피싱도 인터넷 메일 서비스를 포함하는 광범위하고 효과적인 사회공학적 공격기법으로 활용되고 있다. In the conventional type of phishing attack and the defense mechanism, Phishing uses an e-mail or the like to induce a user to access a manipulated web site, It has emerged as a new type of network attack. This is an unfair monetization gain for hackers due to attacks such as fraudulent authentication schemes, cross-site scripting using vulnerabilities such as lack of user recognition, and man-in-the-middle attacks. Leakage of confidential information, and distribution of malicious code. And as recent web application-related threats are increasing, increasingly intelligent phishing is being used as a broad and effective social engineering attack technique, including Internet mail services.

불특정 다수를 대상으로 실행되던 피싱은 특정 그룹 또는 어느 한 조직의 구성원들을 목표로 하는 목적화된 공격으로 진화하고 있다. 이들 중 대표적인 스피어 피싱(spear phishing)은 집단을 대상으로 실행되던 피싱이 개개인의 이름, 이메일뿐만 아니라 페이스북과 트위터와 같이 신뢰하고 있는 사회적 네트워크 사이트 또는 관심사 등에 맞추어진 문구를 기반으로 하여 개별화되는 방식으로 발전된 형태를 일컫는다. Phishing, which has been targeted at an unspecified number of people, has evolved into targeted attacks targeting members of a particular group or organization. Typical spear phishing is based on phrases that are based on phrases tailored to groups, such as personal names and e-mails, as well as trusted social networking sites or interests such as Facebook and Twitter .

그리고 더욱 심각한 일은 목표가 된 개인의 정보 절취뿐만 아니라 악성코드를 배포하여 특정 조직에 침투하는 거점으로 삼기위해 개인의 컴퓨터를 조작하려 한다는 것이다. 이러한 공격은 스팸 필터로 적절한 대응책을 제공하지 못하기 때문에, 별도의 특화된 보안 모델링을 통해 위협을 먼저 인지하고 차단할 수 있는 방안을 강구해야 할 필요성이 날로 높아지고 있다.And the more serious thing is not just to cut off the information of the targeted individual, but also to manipulate the individual's computer to distribute malicious code and become a base for infiltration into a specific organization. Since these attacks do not provide adequate countermeasures against spam filters, there is a growing need to find ways to recognize and block threats through separate, specialized security modeling.

이와 더불어 최근 나타난 위협으로 웨일링(whaling)은 특정 기관에서 직급이 높아 고급 정보를 많이 소유한 이들 또는 부유한 사람들을 대상으로 스피어 피싱을 실행하는 것을 일컫으며, 한 번에 많은 이득을 얻을 수 있기 때문에 해커에게 선호되는 공격이다. 반대로 보안관리자(Security Administrator)에게는 한 번의 정보 유출 사고로도 큰 손실을 입을 수 있다는 것을 의미하기 때문에, 보다 높은 위협이란 인식을 가지고 집중 관리가 필요한 사항이다.In addition to this, whaling has become a recent threat, which is the practice of spear phishing for those who have a high level of reputation in a particular organization and who own a lot of high-tech information or wealthy people, This is the preferred attack for hackers. On the contrary, it implies that a security administrator can suffer a large loss due to a single information leakage accident.

이에 대하여, 일반적인 피싱 공격에 대한 대응책(Defense Mechanisms)은 도9에서와 같은 일반적인 보안 네트워크 구성을 유지하면서, 툴바 등을 이용한 사용자 중심 보호(Client-side protection), 예측 가능한 피싱 사이트 리스트를 생성하여 사용자 및 관리자에게 주의 요청 그리고 패킷 내 특정 내용이 있는지의 여부를 검사하여 차단할 수 있는 기술 중심의 보안제품들(security solutions)을 이용한 방법이 제시되고 있다. 예를 들어, 서버에서 메일을 수신할 때 "<a href=" 링크 등을 제거하여, 자동연결 설정을 없앰으로써 사용자를 보호를 시도하고 있다. On the other hand, defense mechanisms against general phishing attacks generate user-centered protection and predictable phishing site lists using a tool bar while maintaining a general security network configuration as shown in FIG. 9, And techniques using security-oriented security solutions that can check and block the presence of a specific content in a packet. For example, when receiving mail from the server, it is attempting to protect the user by removing the "<a href =" link and removing the automatic connection setting.

그러나, 이러한 대응책은 대용량 첨부나 정상 링크를 함께 제거하여 사용자 불편을 초래할 수 있으며, 사용자가 단순히 복사 & 붙여넣기(copy and paste)로 해당 사이트 이동 시 방어하기 어렵다.However, this countermeasure may result in user inconvenience by removing large attachments or normal links together, and it is difficult for the user to simply protect them when moving to the site by copy and paste.

사용자 영역 대응책은 Anti-Virus, Anti-Spyware, 방화벽 또는 컴퓨터에 기반을 둔 침입 탐지 시스템을 이용하거나 웹 브라우저의 보안 설정을 조정하는 방법 등을 활용한다. 이 방법들은 개인별로 심층적인 방어(defense in depth)를 가능하게 하나 사용자의 보안인식(user‘s security awareness) 수준과 컴퓨터의 보안 프로그램 설치 및 취약점 존재 유무에 효과가 좌우된다. 즉, 사용자의 보안 수준이 낮아 보안 프로그램을 중지시키거나, 보안 업데이트를 소홀이 할 경우 대응책이 무력화된다. 또한 유사 도메인을 이용하여 사용자를 유인하는 해커가 사용자 자신이 신뢰하는 사이트에 접속하려하는 행위 자체를 이용하면, 사용자로 하여금 스스로 보안 설정을 해제하고 피싱 사이트에 접속하도록 유도할 수 있는 문제점이 있다. 따라서 네트워크에서 프록시 서버를 운영한다면, 사용자의 인위적인 조작을 통한 피싱 사이트 접속이라는 위협 발생을 사전 방지할 수 있다.User-space countermeasures use anti-virus, anti-spyware, firewall, or computer-based intrusion detection systems or how to adjust the security settings of a web browser. These methods enable defense in depth for individual users but depend on the level of user's security awareness, the presence of computer security programs, and the presence of vulnerabilities. That is, if the security level of the user is low, the security program is stopped or if the security update is neglected, the countermeasure is disabled. Also, when the hacker who uses the similar domain to access a site that the user himself / herself trusts is used, he / she can disengage the security setting by himself / herself and induce him / her to access the phishing site. Therefore, if the proxy server is operated in the network, it is possible to prevent the threat of accessing the phishing site through the human operation.

서버 영역 대응책은 기업 또는 조직 차원에서의 피싱 공격 방어책이라 할 수 있으며, 안전이 보장되도록 웹 어플리케이션 개발, 강력한 토큰 기반의 인증 시스템(Strong Token-based Authentication)을 사용하는 방법 등을 이용한다. 또한 서버가 사용하는 도메인과 유사한 이름의 피싱 사이트 발견 시, 해당 내용을 사용자에게 고지하여 사고 발생 가능성을 미연에 방지해야 한다. 이 방법은 사용자와 서버간 신뢰관계를 구축하여 해당 사이트에서의 안전한 거래관계는 보장하나, 사용자 입장에서는 개별 사이트마다 제공하는 보안 정보를 숙지해야 하는 불편함이 제기된다. 즉 시공을 초월한 정보 이용의 편리성을 저해하는 일이 발생하는 것이다. 또한 서버 관리자 입장에서도 꾸준히 일정 수준 이상의 안전성을 확보해야 하며, 해킹으로 인한 정보 유출 사고가 발생하지 않아야 신뢰관계를 유지할 수 있다는 부담도 있다.Server domain countermeasures are a phishing attack defense at the corporate or organizational level. Web application development and strong Token-based authentication are used to ensure security. In addition, when a phishing site with a name similar to the domain used by the server is found, the user should be notified of the content to prevent the possibility of an accident. This method establishes a trust relationship between a user and a server to ensure a secure transaction relationship at the site, but it is inconvenient for the user to be aware of the security information provided for each site. In other words, it may happen that the convenience of using information beyond the construction is hindered. Also, as a server administrator, it is necessary to secure a certain level of safety more than a certain level, and there is a burden that it is necessary to maintain a trust relationship without an information leakage accident caused by a hacking.

그리고 이 서버 영역 대응책은 외부에서 내부 서버로 접속하여 서비스를 이용하는 사용자들에게는 효과적인 안전성 제공 방법이나, 내부에서 외부 서버로 접속하여 서비스를 이용하는 내부자들을 피싱 사이트로부터 보호하기에는 제한적이다. 외부 서버의 관리 권한은 전적으로 해당 서버를 운영하는 보안 관리자의 영역이기 때문이다.This server area countermeasure is effective in providing an effective security to the users who use the service by accessing the server from the outside, but it is limited to protect the insiders who use the service from the inside to the external server from the phishing site. This is because the management authority of the external server is entirely the area of the security manager operating the server.

보안제품 및 기술을 이용한 대응책은 사용자와 조직 모두에게 일정 수준 이상의 안전성을 보장하나, 보안 정책의 업데이트 속도에 성능이 좌우된다. 최근의 해커들은 공격 실행 이전, 목표가 가지고 있는 것과 동일한 보안제품 및 기술을 이용한 테스트로 공격이 탐지되지 않는다는 것을 확인하기 때문에, 보안제품 및 기술에 의존한 대응책은 최신 보안 정책으로의 업데이트 이전까지 사이버 위협 앞에 무력하다. 즉, 최근 발생하는 심각한 위협 중 하나인 제로 데이 공격(Zero-Day Attack)에 대응하기 어려운 것이다. 또한 보안제품 및 기술에는 범용적인 보안 정책이 적용되기 때문에, 개별적이고 심층적인 방어가 어렵다.The countermeasures using security products and technologies guarantee a certain level of security for both the user and the organization, but performance depends on the update rate of the security policy. Recent hackers have found that attacks are not detected with tests using the same security products and technologies that the target has prior to the attack, so countermeasures that rely on security products and technologies should be deployed to cyber threats It is helpless in front. That is, it is difficult to cope with a zero-day attack, which is one of recent serious threats. In addition, security products and technologies are subject to universal security policies, making individual and in-depth defense difficult.

그러므로 규격화된 보안제품 및 기술을 이용한 대응책은 스피어 피싱과 웨일링에 대한 대응으로는 적절하지 못하다. 일반적인 피싱 사이트의 평균 라이프 타임이 약 20시간임을 감안한다면, 보다 신속하고 능동적으로 대응할 수 있는 수단이 필요한 것이다.Therefore, countermeasures using standardized security products and technologies are not appropriate for spear phishing and wailing. Given that the average lifetime of a typical phishing site is around 20 hours, you need a means to respond more quickly and actively.

또한, 피싱으로부터 사용자를 보호하기 위한 대표적인 방법으로는 Anti-Spam과 Anti-Virus 제품 기반의 보안구조 구축이 이용된다. 그러나 전술한 바와 같이, 스피어 피싱과 웨일링에 대한 대응은 보다 신속하고 능동적으로 대응하기 위해서는 이 공격에 특화된 보안 전략이 요구되며, 최근 몇몇의 연구들은 이러한 요구를 반영하고 있다.In addition, anti-spam and anti-virus product based security structure construction is used as a typical method for protecting users from phishing. However, as described above, the response to spear phishing and wailing requires a security strategy specific to this attack in order to respond more swiftly and actively, and some recent studies have reflected this demand.

문헌1에서 Aycock은 스피어 피싱 공격의 유형을 외부(external)와 내부( internal)로 구분하고 각각의 속성에 맞춘 보안구조를 설계하였다. 문헌2에서 OAK RIDGE Lab은 스피어 피싱과 웨일링 공격을 방어하기 위해, 사용자가 메일에 포함된 링크에 접속할 때 프록시 서버(proxy server)를 이용하여 악성 도메인 여부를 판별하고 이를 DNS 요청(requests)과 비교하는 방법을 이용한다. 그리고 문헌3에서 David는 SPEAD(Spear phishing Attack Detection system)를 개발하여, 이메일에 포함된 URL과 첨부파일을 검사하여 사용자의 메일박스(mailbox) 내에 사이버 위협이 유입되지 않도록 차단하는 방법을 제안하고 있다. In Document 1, Aycock classifies the types of spear phishing attacks as external and internal, and designs a security structure that matches each attribute. In Document 2, the OAK RIDGE Lab uses a proxy server to determine whether a user is a malicious domain when accessing a link contained in a mail to protect against spear phishing and wailing attacks, and transmits DNS requests A comparison method is used. In Document 3, David developed a spear phishing attack detection system (SPEAD), and proposed a method of blocking cyber threats from being introduced into a user's mailbox by inspecting URLs and attachment files included in the emails .

그러나, 이 방법들은 모두 도9와 같은 종래 메일 네트워크 기반의 시스템에서 피싱 위협에 대응하는 방식으로, 특정 기관의 내부 메일(organization mail)을 이용하는 사용자(End User)만을 보호할 수밖에 없는 한계가 있다.However, all of these methods have a limitation in protecting only a user (End User) using an organization mail of a specific organization in a manner corresponding to a phishing threat in a conventional mail network-based system as shown in FIG.

문헌1: Aycock, J.저, A design for an Anti-spear-phishing system, VIRUS BULLETIN CONFERENCE, September 2007.Document 1: Aycock, J., A design for an anti-spear-phishing system, VIRUS BULLETIN CONFERENCE, September 2007. 문헌2: Anti-Phishing and Whaling (ANTI-PAW), Cyberspace Sciences and Information Intelligence Research Group Projects, Computational Sciences & Engineering Division, OAK RIDGE National Laboratory.Document 2: Anti-Phishing and Whaling (ANTI-PAW), Cyberspace Sciences and Information Intelligence Research Group Projects, Computational Sciences & Engineering Division, OAK RIDGE National Laboratory. 문헌3: David T. Merritt,저, SPEAR PHISHING ATTACK DETECTION, Degree of Master of Science in Computer Engineering Thesis, Air Force Institute of Technology, Air University, March, 2011.Literature 3: David T. Merritt, et al., SPEAR PHISHING ATTACK DETECTION, Degree of Master of Science in Computer Engineering Thesis, Air Force Institute of Technology, Air University, March, 2011.

본 발명의 목적은 내부 사용자가 기관의 내부 메일을 이용하지 않는 상황 하에서도 지능화된 피싱 즉, 스피어 피싱 및 웨일링의 위협으로부터 보호받을 수 있는 보안구조를 제공하는 지능화된 피싱 공격을 탐지하고 차단하는 지능화된 피싱 메일의 차단방법 및 이를 이용한 지능화된 피싱 메일의 차단시스템을 제공하는 것을 목적으로 한다.It is an object of the present invention to provide a method and system for detecting and blocking intelligent phishing attacks that provide a security structure that can be protected from the threats of intelligent phishing, i.e., spear phishing and wailing, And to provide an intelligent phishing e-mail blocking method and an intelligent phishing e-mail blocking system using the same.

또한, 효율적으로 점점 지능화하는 피싱 공격을 탐지하고 차단하기 위한 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 이를 이용한 지능화된 피싱 메일의 차단시스템을 제공하는 것을 목적으로 한다. It is another object of the present invention to provide a method for blocking intelligent phishing mails through internal and external traffic monitoring for detecting and blocking increasingly intelligent phishing attacks and an intelligent phishing mail blocking system using the same.

상기한 목적을 달성하기 위하여, 본 발명은 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법에 관한 것으로서, 내부 네트워크에서 송수신되는 트래픽을 모니터링하여 메일과 관련된 데이터 패킷을 추출하여 저장하고, 각 데이터 패킷을 분석하여 각 메일 데이터를 메일에 포함된 URL을 포함하는 구성 항목별로 처리하여 구조화된 메일 데이터를 생성하는 메일 구조화 단계(S10): 상기 메일 구조화 단계(S10)에서 구조화된 메일 데이터로부터 메일에 포함된 URL을 추출하여 이를 기초로 메일 데이터의 위협의 존재 여부를 검사하는 위협 검출 단계(S20); 상기 위협 검출 단계(S20)의 검사 결과에 따라 메일에 포함된 URL에 해당하는 사이트의 위협 여부를 분류하여 위험 관리 목록을 생성하는 위험 관리 목록 생성 단계(S30); 상기 위험 관리 목록에 기초하여 차단 목록을 작성하는 차단 목록(Blocking List)작성 단계(S40);를 포함하여, 위험 관리 목록 생성 단계(S30)는 외부 웹메일 서비스(external web mail service)측과 조직의 내부 메일 서비스(organization's mail service) 측으로 분리되어 수행되어, 외부 웹메일 서비스에 대한 위험관리 목록과 조직 메일 서비스에 대한 위험관리 목록을 별도로 생성하고, 차단 목록(Blocking List)작성 단계(S40)는 이들을 상호참조하여 차단 목록(Blocking List)을 작성하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a method for blocking intelligent phishing e-mails through internal and external traffic monitoring, comprising the steps of: monitoring traffic transmitted and received in an internal network to extract and store data packets related to mail; (S10) for processing structured mail data by processing each mail data by each configuration item including a URL included in the mail, wherein the structured mail data is included in the mail from the structured mail data in the mail structuring step (S10) A threat detection step (S20) of extracting a URL and checking whether there is a threat of mail data based on the URL; A risk management list generation step (S30) of generating a risk management list by classifying threats of sites corresponding to the URLs included in the mail according to the result of the threat detection step (S20); (S40) of creating a block list based on the risk management list, the risk management list generation step (S30) includes an external web mail service side and an organization And the risk management list for the external web mail service and the risk mail management service for the organization mail service are separately generated and the step of creating a blocking list S40 is performed And a blocking list is created by cross-referencing the two.

바람직하게는, 내부 사용자가 접속한 사이트의 URL을 탐지하여 내부 사용자가 접속한 사이트 목록을 생성하고 이를 기초로 사용자에게 인지도가 높고 자주 접속 및 활용되는 평판 좋은 사이트를 분류하여 평판에 기초한 접속 사이트 목록을 생성하여 관리하는 평판에 기초한 접속 사이트 목록 생성 단계(S50)를 더 포함하여 수행된다. Preferably, the internal user detects the URL of the site to which the internal user accesses, generates a site list accessed by the internal user, classifies reputable sites that are highly recognized and frequently accessed and utilized by the user based on the generated site list, (S50) of creating a connection-based site list based on the reputation that is generated and managed.

여기서, 상기 위험 관리 목록 생성 단계(S30)는 평판에 기초한 접속 사이트 목록에 기초하여 위험 관리 목록을 생성하도록 수행되는 것이 바람직하다.Here, the risk management list generation step (S30) is preferably performed to generate a risk management list based on the reputation-based access site list.

또한, 바람직하게는, 메일 구조화 단계(S10) 및 위협 검출 단계(S20)는 외부 웹메일 서비스(external web mail service)측과 조직의 내부 메일 서비스(organization's mail service) 측으로 분리되어 수행된다.Preferably, the mail structuring step S10 and the threat detection step S20 are separately performed on the side of the external web mail service and the organization's mail service side.

나아가, 바람직하게는, 상기 구조화된 메일 데이터로부터 상기 메일의 발신자 정보를 기준으로 메일 수신자의 정보를 분류하여 리스트하는 관계분석 분류 리스트를 생성하는 관계분석 분류리스트 생성단계(S21)를 더 포함하여 수행된다.Further, preferably, a relationship analysis classification list generation step (S21) for generating a relationship analysis classification list for classifying and listing the information of the mail recipient on the basis of the sender information of the mail from the structured mail data do.

여기서, 상기 위험 관리 목록 생성 단계(S30)는 상기 관계분석 분류 리스트에 기초하여 상기 위험 관리 목록을 생성하도록 수행되는 것이 바람직하다.Here, the risk management list generation step (S30) may be performed to generate the risk management list based on the relation analysis classification list.

한편, 바람직하게는, 상기 구조화된 메일 데이터로부터 내부 보안등급을 기준으로 메일 발송자의 정보 및 메일 수신자 정보를 분류하여 리스트하는 내부보안등급 분류 리스트를 생성하는 내부보안등급 분류 리스트 생성단계(S22)를 더 포함하여 수행된다.Preferably, an internal security classifying list generating step (S22) for generating an internal security classifying list for classifying and listing the information of the mail sender and the mail receiving information based on the internal security level from the structured mail data .

여기서, 상기 위험 관리 목록 생성 단계(S30)는 상기 내부보안등급 분류 리스트 및 관계분석 분류 리스트에 기초하여 상기 위험 관리 목록을 생성하도록 수행되는 것이 바람직하다.Here, the risk management list generation step S30 may be performed to generate the risk management list based on the internal security classification list and the relationship analysis classification list.

다른 측면에서, 본 발명은 내외부 트래픽 모니터링을 통한 피싱 메일 차단시스템에 관한 것으로서, 외부 웹메일 서비스 측에 연결되어 내부 네트워크로 인입되는 트래픽을 모니터링하여 메일과 관련된 데이터 패킷을 추출하여 저장하고, 각 데이터 패킷을 분석하여 각 메일 데이터를 메일에 포함된 URL을 포함하는 구성 항목별로 처리하여 구조화된 메일 데이터를 생성하는 제1메일구조화부(11); 조직의 내부 메일 서비스 측에 연결되어 내부 네트워크 내에서 송수신되는 트래픽을 모니터링하여 메일과 관련된 데이터 패킷을 추출하여 저장하고, 각 데이터 패킷을 분석하여 각 메일 데이터를 메일에 포함된 URL을 포함하는 구성 항목별로 처리하여 구조화된 메일 데이터를 생성하는 제2메일구조화부(12); 상기 제1메일구조화부에서 구조화된 메일 데이터로부터 메일에 포함된 URL을 추출하여 이를 기초로 메일 데이터의 위협의 존재 여부를 검사하는 제1위협검출부(21); 상기 제2메일구조화부에서 구조화된 메일 데이터로부터 메일에 포함된 URL을 추출하여 이를 기초로 메일 데이터의 위협의 존재 여부를 검사하는 제2위협검출부(22); 상기 제1위협검출부의 검사 결과에 따라 메일에 포함된 URL에 해당하는 사이트의 위협 여부를 분류하여 위험 관리 목록을 생성하는 제1위험관리목록생성부(31); 상기 제2위협검출부의 검사 결과에 따라 메일에 포함된 URL에 해당하는 사이트의 위협 여부를 분류하여 위험 관리 목록을 생성하는 제2위험관리목록생성부(32); 및 제1위험관리목록생성부(31) 및 제2위험관리목록생성부(32)에서 생성된 위험관리목록을 상호참조하여, 차단목록을 작성하는 차단목록생성부(40)을 포함하여 이루어지는 것을 특징으로 한다.In another aspect, the present invention relates to a phishing e-mail blocking system for monitoring internal and external traffic, which is connected to an external web mail service to monitor incoming traffic to an internal network to extract and store data packets related to mail, A first mail structuring unit (11) for analyzing packets and processing each mail data for each configuration item including a URL included in the mail to generate structured mail data; It is connected to the internal mail service side of the organization and monitors traffic transmitted and received in the internal network to extract and store data packets related to the mail, analyzes each data packet, and stores each mail data in a configuration item A second mail structuring unit (12) for processing structured mail data; A first threat detection unit (21) for extracting a URL included in the mail from the structured mail data in the first mail structuring unit and checking whether there is a threat of mail data based on the extracted URL; A second threat detection unit 22 for extracting a URL included in the mail from the structured mail data in the second mail structuring unit and checking whether there is a threat of the mail data based on the extracted URL; A first risk management list generation unit 31 for classifying threats of a site corresponding to a URL included in a mail according to the inspection result of the first threat detection unit and generating a risk management list; A second risk management list generation unit 32 for classifying the threat of the site corresponding to the URL included in the mail according to the inspection result of the second threat detection unit and generating a risk management list; And a block list generation unit (40) for cross-referencing the risk management lists generated by the first risk management list generation unit (31) and the second risk management list generation unit (32) to create a block list .

바람직하게는 내부 사용자가 접속한 사이트의 URL을 탐지하여 내부 사용자가 접속한 사이트 목록을 생성하고 이를 기초로 사용자에게 인지도가 높고 자주 접속 및 활용되는 평판 좋은 사이트를 분류하여 평판에 기초한 접속 사이트 목록을 생성하여 관리하는 내부 사용자 접속사이트 관리부(50)을 더 포함하여, 상기 제1위험관리목록생성부(31) 및 제2위험관리목록생성부(32)는 평판에 기초한 접속 사이트 목록에 기초하여 위험 관리 목록을 생성한다. Preferably, the internal user detects the URL of the accessed site, generates a site list accessed by the internal user, classifies reputable sites that are highly recognized and frequently accessed and utilized by the user based on the generated list, The first risk management list generating unit 31 and the second risk management list generating unit 32 generate a risk list based on the reputation-based access site list, Create a management list.

상술한 바와 같은, 본 발명에 의하면, 효율적으로 점점 지능화하는 피싱 공격을 탐지하고 차단하기 위해 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 차단시스템을 제공할 수 있게 된다. As described above, according to the present invention, it is possible to provide an intelligent phishing mail blocking method and a blocking system by monitoring internal and external traffic in order to detect and block phishing attacks that are becoming increasingly intelligent.

또한, 사용자가 기관의 내부 메일을 이용하지 않는 상황 하에서도 지능화된 피싱의 위협으로부터 보호받을 수 있는 보안구조를 제공하는 것이 가능해진다.In addition, it becomes possible to provide a security structure that can be protected from the threat of intelligent phishing even in a situation where the user does not use the internal mail of the institution.

나아가, 외부 웹메일 서비스 측과 조직 내부 메일 서비스 측으로 분리되어, 상호간의 사이버 위협 탐지 결과가 중첩되기 때문에, 내부 사용자는 외부 웹메일 서비스 측과 조직 내부 메일 서비스측 중 어느 한 곳에만 지능화된 피싱 공격 즉, 스피어 피싱 및 웨일링이 발생하더라도 양쪽 서비스 모두에서 보호받을 수 있게 되는 효과를 가져온다.Further, because the results of the cyber threat detection are superimposed on each other between the external web mail service side and the internal mail service side, the internal user can perform an intelligent phishing attack only on the external web mail service side or the intra- , Spear phishing, and wailing, both services can be protected.

도1은 본 발명의 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법의 흐름도이다.
도2는 본 발명의 일 실시예에 따라 구조화된 메일 데이터 및 위협 검출을 설명하기 위한 구조도이다.
도3은 본 발명의 일 실시예에 따른 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단 과정을 설명하기 위한 도면이다.
도4는 본 발명의 일 실시예에 따른 생성된 업무연관관계 자료 및 적용과정을 설명하기 위한 도면이다.
도5는 본 발명의 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단 시스템의 구성도이다.
도6은 본 발명의 일 실시예의 각 단계의 수행 결과를 피싱 메일 방지 시스템에 적용하는 과정을 설명하기 위한 도면이다.
도7은 본 발명이 적용되어 구현된 예시적인 메일 네트워크의 구성도이다.
도8(a)은 통상의 보안 네트워크의 예시적인 네트워크 구성도이다.
도8(b)는 본 발명이 적용되어 이 구현된 다른 예시적인 메일 네트워크의 구성도이다.
도9는 메일 시스템에서 피싱 위협을 설명하기 위한 종래 메일 네트워크의 구성도이다.
FIG. 1 is a flowchart illustrating a method of blocking intelligent phishing e-mails according to the present invention.
2 is a structural diagram for explaining structured mail data and threat detection according to an embodiment of the present invention.
3 is a diagram for explaining a process of blocking intelligent phishing mails through internal and external traffic monitoring according to an embodiment of the present invention.
FIG. 4 is a view for explaining data and application process of generated business relationship data according to an embodiment of the present invention.
FIG. 5 is a block diagram of an intelligent phishing e-mail blocking system according to the present invention.
FIG. 6 is a diagram illustrating a process of applying a result of each step of the embodiment of the present invention to a phishing e-mail prevention system.
7 is a configuration diagram of an exemplary mail network implemented with the present invention.
8 (a) is an exemplary network configuration diagram of a conventional secure network.
8 (b) is a configuration diagram of another exemplary mail network in which the present invention is applied.
9 is a configuration diagram of a conventional mail network for explaining a phishing threat in the mail system.

본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 또한 상세한 설명을 생략하여도 본 기술 분야의 당업자가 쉽게 이해할 수 있는 부분의 설명은 생략하였다. 명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.The present invention may be embodied in many different forms and is not limited to the embodiments described herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification. And a detailed description thereof will be omitted to omit descriptions of portions that can be readily understood by those skilled in the art. Throughout the specification and claims, where a section includes a constituent, it does not exclude other elements unless specifically stated otherwise, but may include other elements.

상술한 바와 같은 지능화된 피싱 공격(Sophisticated Phishing Attack)의 양상은 매우 다양하게 나타나며, 본 발명에 제안하는 지능화된 피싱 공격을 방지하는 시스템은 실제 정보시스템을 운영할 때 직면하는 위협들(threats) 중 특히, 이메일을 이용한 스피어 피싱과 웨일링 공격에 대한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템 중심으로 방어 매커니즘이 설계되었으며, 다음의 세 가지 기본 대응 개념 및 환경에 기반을 두고 피싱 공격에 효과적으로 대응한다. As described above, there are various aspects of the sophisticated phishing attack, and the system for preventing the intelligent phishing attack proposed in the present invention is a threat against threats encountered when operating an actual information system. Especially, defense mechanism was designed based on intelligent phishing e-mail blocking method and intelligent phishing e-mail blocking method for spear phishing and wailing attack using e-mail. Based on the following three basic response concepts and environment, phishing Respond effectively to attacks.

(1) 사용자들이 내부에서 운영하고 있는 정보시스템을 이용하여 이메일을 확인할 때, 외부(external) 네트워크에서 내부(inner) 네트워크로 인입되는 트래픽(inbound-traffic)을 검사(monitoring)하여 지능화된 피싱 공격 즉, 스피어 피싱 내지 웨일링 공격을 탐지하고 차단한다.(1) When an e-mail is checked using an information system operated by an internal user, it is possible to monitor inbound traffic from an external network to an inner network to detect an intelligent phishing attack That is, it detects and blocks spear phishing or wailing attacks.

(2) 사용자들은 회사 또는 조직의 내부에서 운영하고 있는 정보시스템의 사용을 허가 받은 근로자(employee)들이다. 그러므로 직원 인사(personnel) 데이터베이스를 통해 내부 사용자들을 구분하고 개별적으로 관리하기 위한 고유 번호와 지능화된 피싱 공격 즉, 스피어 피싱 내지 웨일링 공격의 위험관리(risk management)를 위한 부서(department), 직급(class) 등의 일반(normal) 정보를 사용할 수 있다. 반면, 내부 정보시스템을 이용하여 임시로 이메일을 확인하는 외부인의 경우는 일반(normal) 정보를 얻을 수 없기 때문에, 방어 매커니즘 설계 시 미확인 사용자 (unknown-user)로 분류한다.(2) Users are employees who are authorized to use the information system operated by the company or organization. Therefore, it is possible to use the personnel database to identify and manage individual users and to provide a unique number and intelligent phishing attack, ie department, position (or department) for risk management of spear phishing or wailing attacks class) can be used. On the other hand, outsiders who temporarily check e-mail using the internal information system can not obtain normal information and are therefore classified as unknown-users when designing the defense mechanism.

(3) 사용자들(users)이 사용하는 이메일은 외부(external) 웹사이트(web-site)에서 제공하는 외부 메일 서비스(mail services)와 내부 서버(internal server)에서 제공하는 조직 메일 서비스(organization's mail service) 2종류가 있다. (3) The e-mail used by users is composed of an external mail service provided by an external web site and an organization's mail service provided by an internal server service).

특정 기업 또는 조직에 속한 담당자는 업무 처리를 위해 많은 이메일을 수신한다. 이들은 어떤 사실의 확인, 현황자료 요청, 지원서 제출 등의 내용을 포함하고 있으며, 업무 담당자에 의해 열람된다. 이때 피싱 사이트에 연결되거나, 트로이 목마와 같은 악성코드를 다운로드 하게 되는 등의 사이버 위협도 동시에 발생할 수 있으므로, 사전에 공격을 탐지하고 차단해야 하며, 이를 위해 본 발명은 후술하는 특징적인 프로세스 및 구조를 갖는다.The person in charge of a particular company or organization receives many e-mails to process. They contain information such as confirmation of facts, requests for status reports, submission of applications, etc., and they are read by the person in charge of the work. In this case, cyber threats such as connecting to a phishing site or downloading a malicious code such as a Trojan horse may occur at the same time. Therefore, it is necessary to detect and block an attack in advance. For this purpose, .

이하, 도면을 참조하여 본 발명을 실시예를 통하여 상세히 설명한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도1은 본 발명의 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법의 흐름도이다.FIG. 1 is a flowchart illustrating a method of blocking intelligent phishing e-mails according to the present invention.

도1을 참조하면, 본 발명의 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법은 기본적으로, 메일 구조화 단계(S10), 위협 검출 단계(S20), 위험 관리 목록 생성 단계(S30), 및 차단 목록(Blocking List)작성 단계(S40)를 수행하며, 위험 관리 목록 생성 단계(S30)는 외부 웹메일 서비스(external web mail service)측과 조직의 내부 메일 서비스(organization's mail service) 측으로 분리되어 수행되어, 외부 웹메일 서비스에 대한 위험관리 목록과 조직 메일 서비스에 대한 위험관리 목록을 별도로 생성하고, 차단 목록(Blocking List)작성 단계(S40)는 이들을 상호참조하여 차단 목록(Blocking List)을 작성하여, 작성된 차단 목록에 의하여, 내부 사용자가 해당 차단 목록에 포함된 사이트(url)에 접속 또는 접근하는 것을 차단하는 방식으로 지능화된 피싱 공격에 효과적으로 대응하게 된다. Referring to FIG. 1, an intelligent phishing e-mail blocking method according to an embodiment of the present invention includes a mail structuring step S10, a threat detection step S20, a risk management list generating step S30, (Blocking List) creating step (S40). The risk management list creating step (S30) is performed separately on the side of the external web mail service and the organization's mail service side , A risk management list for the external web mail service and a risk management list for the organization mail service are separately generated and a blocking list creation step S40 creates a blocking list by cross- The created block list effectively responds to intelligent phishing attacks by preventing internal users from accessing or accessing the sites (url) included in the block list It is good.

실시예에 따라서는, 메일 구조화 단계(S10) 및 위협 검출 단계(20)도 외부 웹메일 서비스(external web mail service)측과 조직의 내부 메일 서비스(organization's mail service) 측으로 분리되어 수행될 수 있다.According to an embodiment, the mail structuring step S10 and the threat detection step 20 may be performed separately on the side of the external web mail service and on the organization's mail service side.

도2는 본 발명의 일 실시예에 따라 구조화된 메일 데이터 및 위협 검출을 설명하기 위한 구조도이다. 도3은 본 발명의 일 실시예에 따른 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단 과정을 설명하기 위한 도면이다.2 is a structural diagram for explaining structured mail data and threat detection according to an embodiment of the present invention. 3 is a diagram for explaining a process of blocking intelligent phishing mails through internal and external traffic monitoring according to an embodiment of the present invention.

도2 및 도3을 참조하면, 메일 구조화 단계(S10)는, 내부 네트워크에서 송수신되는 트래픽을 모니터링(Packet Flow Monitoring)하여 메일과 관련된 데이터 패킷을 추출하여 저장하고(Deep Packet Capture), 각 데이터 패킷을 분석하여(Packet Analysis) 각 메일 데이터를 메일에 포함된 URL을 포함하는 구성 항목별로 처리하여 구조화된 메일 데이터를 생성한다.Referring to FIG. 2 and FIG. 3, the mail structuring step S 10 is a step of monitoring the traffic transmitted and received in the internal network (packet flow monitoring) to extract and store (Deep Packet Capture) (Packet Analysis) to process each mail data for each configuration item including a URL included in the mail to generate structured mail data.

메일 서비스(mail service)를 통해 내부 네트워크(inner network)로 인입되는 사이버 위협(cyber threats)을 탐지하기 위한 사전 단계로서, 먼저 내부 네트워크에서 송수신되는 메일과 관련된 패킷을 감시하고 저장(Monitoring and Capture)하여 메일 데이터를 각각의 항목별로 구조화시키는 과정을 수행하며, 구조화된 메일 데이터는 URL 항목 등을 포함하여, 도2와 같은 구성을 갖는다. It is a preliminary step for detecting cyber threats that enter the inner network through a mail service. It monitors and captures packets related to mail transmitted and received in the internal network, And structuring the mail data by each item. The structured mail data includes a URL item and the like, and has a configuration as shown in FIG.

메일 송수신 시 POP3, SMTP와 같은 프로토콜(protocol)이 사용되며, 스피어 피싱 및 웨일링 관련 위험관리를 위해 상기 구조화된 메일 데이터의 정보를 기준으로 누가 누구에게, 어떤 URL을 전송하였는지, 그리고 악성코드에 감염된 첨부파일을 전송하였는지를 항목별로 구분하여 관리하게 된다.A protocol such as POP3 or SMTP is used for sending and receiving mail. In order to manage risk related to spear phishing and wailing, information such as who sent whom, what URLs are transmitted based on the information of the structured mail data, And whether or not the infected attachment is transmitted.

한편, 내부 사용자들은 외부 웹메일 서비스(external web mail service)와 조직 내부 메일 서비스(organization's mail service)를 동시에 사용한다. 따라서 양 구간에서 발생하는 위협 요소를 동시에 식별하기 위해서는 다음 도3과 같이, 메일 구조화 단계(S10) 및 후술하는 위험 관리 목록을 생성하는 위험 관리 목록 생성 단계(S30)는, 외부 웹메일 서비스(external web mail service)측과 조직의 내부 메일 서비스(organization's mail service) 측으로 분리되어 수행되는 것이 바람직하다. 이는 해커가 내부 사용자를 공격할 때 외부 웹 메일 서비스와 조직 내부 메일 서비스 중 어느 한 쪽을 이용하거나 또는 양쪽 모두를 이용할 수 있기 때문이다.Meanwhile, internal users simultaneously use an external web mail service and an organization's mail service. Therefore, in order to simultaneously identify the threat elements occurring in both sections, the mail structuring step S10 and the risk management list generating step S30 for generating a risk management list, which will be described later, the web mail service side and the organization's mail service side. This is because hackers can use either the external webmail service or the internal mail service, or both, to attack internal users.

특히, 외부 웹메일 서비스(external web mail service)측과 조직의 내부 메일 서비스(organization's mail service) 측으로 분리하여 양 구간 모두의 트래픽(traffic)을 감시하고 저장(monitoring and capture)해야 하는 방식은, 조직의 메일 서버가 DMZ에 위치하는 상황에서 필수적이고 효과적으로 적용된다. 또한, 만약 내부 사용자와 조직 내부 메일 서버가 동일 네트워크 구간에 위치한다면, 패킷을 감시하고 저장(monitoring and capture)해야 하는 부담은 감소하나, 내부자가 조직 내부 메일 서비스를 이용하여 실행되는 공격을 탐지하기 어렵다는 문제가 발생한다. 따라서, 스피어 피싱 및 웨일링에 대응하는 보안구조 수립을 위해 내부 사용자와 조직 메일 서버가 사용하는 네트워크 구간은 도7의 본 발명이 적용되어 구현된 메일 네트워크의 구성도에서와 같이 분리하여 운영하는 것이 더욱 바람직하다. Particularly, the method of monitoring and capturing the traffic of both the external web mail service and the organization's mail service side, Of the mail server is located in the DMZ. In addition, if the internal user and the internal mail server are located in the same network section, the burden of monitoring and capturing the packets is reduced, but the insider can detect attacks that are executed using the internal mail service The problem of difficulty arises. Therefore, the network section used by the internal users and the organization mail server for establishing the security structure corresponding to the spear phishing and wailing is separately operated as in the configuration diagram of the mail network implemented with the invention of FIG. 7 More preferable.

이어 수행되는 위협 검출 단계(S20)에서는 상기 메일 구조화 단계(S10)에서 구조화된 메일 데이터로부터 메일에 포함된 URL을 추출하여 이를 기초로 메일 데이터의 위협의 존재 여부를 검사한다. In the subsequent threat detection step S20, the URL included in the mail is extracted from the structured mail data in the mail structure step S10, and the existence of the threat of the mail data is checked based on the extracted URL.

도3에서와 같이, 기본적으로는 메일로부터 추출된 URL 및 첨부 파일 등에 대하여, Anti-Virus, Anti-Spam 그리고 Phishing Filter 등을 이용하여 사이버 위협 존재 여부를 검사한다. 탐지된 결과값에 따라 위협 또는 안전한 URL들이 구분된다. As shown in FIG. 3, the presence or absence of a cyber threat is checked using anti-virus, anti-spam, and a phishing filter for the URL extracted from the mail and the attached file. The threats or secure URLs are distinguished according to the detected result.

이어 수행되는 위험 관리 목록 생성 단계(S30)에서는 이를 기초로 상기 위협 검출 단계(S20)의 검사 결과에 따라 메일에 포함된 URL에 해당하는 사이트의 위협 여부를 분류하여 아래의 표1과 같은 위험 관리 목록을 생성한다. 사이트의 위협 여부는 예를 들면, 위협(Threat) 사이트, 안전한(Safe) 사이트, 알려지지 않은(Unknown) 사이트를 포함하는 구분으로 분류된다. 위험 관리 목록을 Http를 이용하여 생성할 수도 있다. In step S30, a risk management list is generated based on the result of the threat detection step S20. In step S30, the risk management server classifies the threats of sites corresponding to the URLs included in the mail according to the result of the threat detection step S20, Create a list. Site threats are categorized into categories, including, for example, Threat sites, Safe sites, and Unknown sites. The risk management list can also be created using Http.

순번turn 구분division URLURL 사유Reason 비고Remarks 1One 위협Threat www.attacket.comwww.attacket.com 악성코드 유포사이트Malicious code distribution site 인터넷진흥원 공지사항Notice of Internet Promotion Agency 22 안전safety www.naver.comwww.naver.com 포털사이트Portal site 인터넷관리시스템 목록List of Internet Management Systems 33 분석 필요Need analysis www.mailrc.comwww.mailrc.com 지속적 메일 유입Continuous mail flow 내부 사용자 00명에게
주기적 메일 발송, 또는 Security Label이 낮아 관리가 필요한 핵심 내부인원에게 주기적 메일 발송
Internal user 00
Send periodic e-mails, or periodic e-mails to key internal personnel with low security labeling needs
44 UnknownUnknown www.car.comwww.car.com connected siteconnected site 내부 사용자 주기적 접속Internal user periodic access

사이버 위협 존재 여부를 검사과정을 도6을 참조하여 상세히 설명하면, 구조화된 메일 데이터로부터 추출된 URL(Listing of Extracted URL)에 대하여 화이트 도메인 리스트(White Domain Lists), 피싱사이트 리스트(Phishing site Lists), 평판에 기초한 접속 사이트 목록(Used site Lists based on Reputation)에 포함된 사이트의 URL과 대조하는 방식으로 수행되며, 화이트 도메인 리스트(White Domain Lists)는 외부 기관 또는 조직 자체적으로 안전을 확인한 사이트의 URL 목록이며,경우에 따라서는 내부 사용자의 접속 사이트 정보에 기초하여 후술하는 평판에 기초한 접속 사이트 목록과 동일한 방식을 포함한 다양한 방식으로 작성되어 이와 통합되어 관리될 수 있다. 6, the process of checking whether there is a cyber threat will be described in detail with reference to FIG. 6. In detail, a white domain list, a phishing site list, and a phishing site list are created for a URL (Listing of Extracted URL) extracted from structured mail data. , And the URL of the site included in the reputation-based site list (Used site Lists based on Reputation). The white domain lists are the URLs of the site And in some cases may be created and managed in various ways including the same manner as the reputation-based connection site list described later based on the connection site information of the internal users.

또한, 추출된 메일 데이터(예를 들어 첨부 파일 데이터)에 대하여 Anti-Virus, Anti-Spam, Anti-Phishing System 등 보안 장비를 이용하여 위협 URL 존재유무를 검사하여, 이를 기초로 차단 또는 허용될 사이트(메일 발송 사이트 및 첨부파일과 연관된 사이트)를 결정하여 해당 URL을 위험 관리 목록에 추가하는 방식으로 수행된다. 또한, 기타 조직내부의 보안 정책이 반영된 URL이 추가되어 해당 조직의 보안 정책을 반영할 수도 있다.In addition, the presence or absence of a threat URL is checked using the security device such as Anti-Virus, Anti-Spam, and Anti-Phishing System for the extracted mail data (for example, attached file data) (The mail sending site and the site associated with the attachment) and adding the URL to the risk management list. In addition, URLs reflecting the security policies of other organizations can be added to reflect the security policies of the organization.

또한, 상기 화이트 도메인 리스트(White Domain Lists) 및 평판에 기초한 접속 사이트 목록(Used site Lists based on Reputation)에 포함된 사이트는 안전한 URL들로 분류하여 상술한 사이버 위협 존재 여부의 분석과정의 일부 또는 전부를 생략하여 분석을 위한 시간 투입을 줄이도록 수행될 수도 있다. In addition, the sites included in the White Domain Lists and the list of Used Site Lists based on Reputation are classified into secure URLs, so that some or all of the above-described processes for analyzing the existence of cyber threats May be omitted to reduce time commitment for analysis.

차단 목록(Blocking List)작성 단계(S40)는 상기 위험 관리 목록에 기초하여 차단 목록을 작성하며, 상술한 바와 같이, 위험 관리 목록 생성 단계(S30)는 외부 웹메일 서비스(external web mail service)측과 조직의 내부 메일 서비스(organization's mail service) 측으로 분리되어 수행되어, 외부 웹메일 서비스에 대한 위험관리 목록과 조직 메일 서비스에 대한 위험관리 목록을 별도로 생성하고, 차단 목록(Blocking List)작성 단계(S40)는 이들을 상호참조하여 최종적인 차단 목록(Blocking List)을 작성하는 방식으로 수행된다. The blocking list creating step S40 creates a blocking list based on the risk management list. As described above, the risk management list creating step S30 is a step of creating an external web mail service side And the organization's mail service side separately to generate a risk management list for the external web mail service and a risk management list for the organization mail service separately and generate a blocking list S40 ) Is performed in such a manner that a final blocking list is created by cross-referencing the two.

이와 같은 방식으로 본 발명의 지능화된 피싱 메일의 차단방법은 외부 웹메일 서비스 측과 조직 내부 메일 서비스 측으로 분리되어, 상호간의 사이버 위협 탐지 결과가 중첩되기 때문에, 내부 사용자는 외부 웹메일 서비스 측과 조직 내부 메일 서비스측 중 어느 한 곳에만 지능화된 피싱 공격 즉, 스피어 피싱 및 웨일링이 발생하더라도, 양쪽 서비스 모두에서 보호받을 수 있게 된다.In this way, the method of blocking the intelligent phishing e-mail according to the present invention is separated into the external web mail service side and the internal mail service side, and the results of the cyber threat detection are overlapped. Even if an intelligent phishing attack, such as spear phishing and wailing, occurs in only one of the internal mail service side, both services can be protected.

또한, 내부 사용자가 접속한 사이트의 URL을 탐지하여 내부 사용자가 접속한 사이트 목록을 생성하고 이를 기초로 사용자에게 인지도가 높고 자주 접속 및 활용되는 평판 좋은 사이트를 분류하여 평판에 기초한 접속 사이트 목록을 생성하여 관리하는 평판에 기초한 접속 사이트 목록 생성 단계(S50)를 더 포함하여 수행될 수 있으며, 상기 위험 관리 목록 생성 단계(S30)는 평판에 기초한 접속 사이트 목록에 기초하여 위험 관리 목록을 생성하도록 수행 될 수도 있다.In addition, it detects the URL of the site accessed by internal users, generates a list of sites accessed by internal users, classifies reputable sites that are highly recognized and frequently accessed and utilized by users based on the list, and generates a reputation-based access site list (S50), and the risk management list generation step S30 is performed to generate a risk management list based on the reputation-based access site list It is possible.

내부 사용자가 접속한 사이트 목록은 내부 사용자들이 외부 사이트에 접속하는 것들은 목록화된 URL의 형태로 저장되어 관리되며, 이들 사이트는 내부 사용자들이 필요에 의해서, 유용하기 때문에 계속 접속하는 것으로 판단한다. 따라서 이 목록에 있는 URL들은 별도 위협으로 판단되지 않는 한 기본적으로 내부 사용자의 해당 URL에 대한 인지도 내지 평판이 반영된 안전한 사이트로 분류하고, 이를 평판에 기초한 사이트 목록을 생성하여 관리하며, 이후 피싱 사이트 또는 악성코드 전파 사이트 목록과 비교하여, 접속 사이트 목록에서 위협 URL을 추출하여 이들을 제외한 사이트의 URL 목록을 평판에 기초한 접속 사이트 목록으로 업데이트할 수 있다. 대다수의 내부 사용자가 접속한 사이트는 경험적으로 여전히 안전한 것으로 판단된다.The list of sites accessed by internal users is managed by storing internal users' access to external sites in the form of a list of URLs, and these sites are determined to be continuously accessed by internal users because they are useful. Therefore, the URLs in this list are basically classified as safe sites that reflect the recognition or reputation of the URLs of the internal users, unless they are judged to be separate threats, and generate and manage a list of sites based on the reputation, Compared with the malicious code propagation site list, the threat URL can be extracted from the access site list, and the list of URLs of sites excluding the threat URL can be updated to the reputation-based access site list. Sites accessed by a majority of internal users are still considered empirically secure.

한편, 평판에 기초한 접속 사이트 목록의 생성과 관련하여, 일반적으로 내부 사용자들이 웹 사이트 접속 시 해당 URL을 확인하여 허용 또는 차단하는 보안시스템이 운영되고 있으며, 보안 시스템은 아래 표2와 같이 이미 웹 사이트 목록 데이터베이스를 보유하고 있어, 각각 주식, 포털사이트, 교육, 공공기관 등의 그룹으로 분류하여 현재 정상 서비스 중인 URL 목록을 기준으로 내부 사용자들이 어떤 서비스를 이용하는지를 파악하고, 위협일 경우 차단하고 있는 경우, 이를 반영하여 평판에 기초한 접속 사이트 목록을 생성할 수도 있으며, 또한, 사람들이 온라인 게시판 등을 이용하여 특정 사이트를 이용할 만하다고 추천하는 경우에, 해당 사이트가 위협 원일 가능성이 있으므로, 추천하는 사람들이 다수인지, 추천 건수가 많은 지에 대한 여부를 파악하여, 해당 사이트의 위협 정도를 구분하여, 이를 반영하여 평판에 기초한 접속 사이트 목록을 생성할 수도 있다. 또한, 바람직하게는, 기타 조직 내부의 차단 정책이 반영된 URL이 추가되어 해당 조직의 보안 정책을 반영할 수도 있다.Meanwhile, regarding the generation of the connection site list based on the reputation, a security system is generally operated in which internal users check and allow or block the corresponding URL when accessing a web site. The security system, as shown in Table 2 below, It has a list database and classifies it into groups such as stocks, portal sites, education, public institutions, etc., and determines which services are used by internal users based on the list of URLs currently in normal service. , It is possible to generate a list of connection sites based on the reputation based on this, and in the case where people recommend using a particular site by using an online bulletin board or the like, since the site may be a threat source, And whether there is a large number of referrals. It may threaten the separation of the extent of the site, and reflect it to create a connection list of sites based on reputation. In addition, a URL reflecting the blocking policy in the other organization may be added to reflect the security policy of the corresponding organization.

순번turn 접속자 IPContact IP 접속자Contact person 접속URLAccess URL 접속시간Access time 결과result 사유Reason 1One 192.0.0.2192.0.0.2 최정호Choi Jung Ho www.naver.comwww.naver.com 201205050627201205050627 허용permit 포털사이트Portal site 22 192.0.0.3192.0.0.3 최경호Kyungho Choi www.phishing.comwww.phishing.com 201205050900201205050900 차단block 피싱사이트Phishing site 33 192.0.0.2192.0.0.2 최정호Choi Jung Ho www.nate.comwww.nate.com 201205050911201205050911 허용permit 포털사이트Portal site

또한, 실시예에 따라서는, 관계분석 분류리스트 생성단계(S21)를 더 포함하여 수행될 수 있으며, 관계분석 분류 리스트(Relational Analysis list)는 기본적으로 상기 구조화된 메일 데이터로부터 상기 메일의 발신자 정보를 기준으로 메일 수신자의 정보를 분류하여 리스트를 생성하는 방식으로 생성되며, 조직 내 사용자 정보가 리스트의 생성에 참조되어 포함된다. Further, the embodiment may further include a relational analysis classification list generation step (S21), and the relational analysis list may basically be configured to extract the sender information of the mail from the structured mail data And generates a list by classifying the information of the mail recipient on the basis of the user information in the organization.

본 발명의 구조화된 메일 데이터는 누가 어떤 메일을 보내고 있는지 구조화된 메일 데이터로부터 추출된 정보와 조직 내 사용자 정보가 결합되어 일일단위로 데이터를 관리하므로, 아래 표3와 같은 형태로 기본적인 관계분석 분류 리스트가 생성되어, 지속적으로 조직 내의 누가 어떤 메일을 수신하고 있는지, 발신자 ID 및 IP 기준으로 업데이트되는 방식으로 구현된다.The structured mail data of the present invention combines information extracted from the structured mail data and user information in the organization to manage the data on a daily basis. Thus, in the form of Table 3 below, Is generated and is continuously updated in such a manner that who in the organization is receiving a certain mail, and is updated based on the caller ID and IP.

Extraction of Mail InformationExtraction of Mail Information 해당 메일을 수신한 내부 인원 정보Information on the internal personnel who received the e-mail No.No. TimeTime SenderIDSenderID ReceiverIDReceiverID 사번pressure of business 성명name 1One 201205052142201205052142 A@t.comA@t.com J@c.comJ@c.com 1One 최정호Choi Jung Ho 22 최경호Kyungho Choi 22 201205052150201205052150 B@t.comB@t.com J@c.comJ@c.com 1One 최정호Choi Jung Ho

바람직하게는, 상기 관계분석 분류 리스트는 위험 관리 목록을 생성하는 기초 자료로서 사용될 수 있으며, 상기 위험 관리 목록 생성 단계(S30)는 상기 관계분석 분류 리스트에 기초하여 상기 위험 관리 목록을 생성하도록 수행될 수 있으며, 이 경우 상기 관계분석 리스트를 통하여 위협원으로부터 수신된 메일의 수신자 또는 그룹을 식별하여 위협원에 해당하는 사이트를 위험 관리 목록에 반영하여 차단 목록에 포함시키는 방식으로 해당 메일 열람을 사전 차단하게 된다. 또한, 내부 업무연관 관계를 분석하는 기초자료 또는 사용자 인식교육을 할 수 있는 명단 등 조직내 보안 기초 자료를 생성할 수 있다.Preferably, the relationship analysis classification list may be used as a basic data for generating a risk management list, and the risk management list generation step S30 may be performed to generate the risk management list based on the relation analysis classification list In this case, the recipient or group of the e-mail received from the threat agent is identified through the relationship analysis list, and the site corresponding to the threat agent is reflected in the risk management list and included in the block list, . In addition, it is possible to generate security basic data in the organization, such as basic data for analyzing the internal affair relationship or a list of user awareness training.

또한, 조직 내 사용자의 사내 보안 등급(Security Label of insider)을 결정하는 자료로 사용될 수 있으며, 보안 등급 정보와 함께 상술한 위험 관리 리스트에 반영되어 위험 관리 리스트의 위협여부를 분류하는 기초 정보로 사용될 수 있다. Also, it can be used as a data for determining the security label of insider of the users in the organization. It is reflected in the above-mentioned risk management list together with the security level information, and is used as basic information for classifying the threat of the risk management list .

도4는 본 발명의 일 실시예에 따른 생성된 업무연관관계 자료 및 적용과정을 설명하기 위한 도면으로, 조직 내부 구성원들을 업무 권한에 따라 5단계의 보안 등급으로 분류하고, 각 개별 주체들간 업무적으로 연관된 관계를 보여주고 있다. 보안등급은 조직의 중요 정보에 대한 접근 권한을 나타내며, 담당 업무의 중요도가 높은 순서에 따라 Top Secret, Secret, Confidential, Restricted, Unclassified로 구분된다. 이는 조직의 규모와 중요 정보의 분류 및 관리 방법에 따라 3 또는 4 단계로 구분될 수도 있다. 개별 주체들간 업무적으로 연관된 관계는 소속 부서별, 공통 또는 특정 업무 추진그룹별과 같이 다양한 방법으로 설정 가능하다FIG. 4 is a diagram for explaining a generated task association data and an application process according to an embodiment of the present invention. The organization internal members are classified into five security levels according to task privileges, As shown in Fig. The security level represents the authority to access important information of the organization. It is divided into Top Secret, Secret, Confidential, Restricted and Unclassified according to the order of importance. This may be divided into three or four levels, depending on the size of the organization and how it is classified and managed. The relationships that are related to each other in terms of business can be set in various ways, such as by department, common or specific task promotion group

도4의 업무연관관계 자료는, 관계분석 분류 리스트를 통하여 전체 조직 내 구성원간의 이메일 송수신에 관한 정보를 추출하고, 이를 기준으로 구성원 간의 업무 연관관계를 파악하여 정리함으로써 생성된다. 사내 보안 등급(Security Label of insider)은 특정 조직의 소속된 인원이 가진 권한을 기준으로 부여된다. 보안등급이 낮을수록 더 높은 권한을 가지는 것이며, 이에 따라 더 많은 내부 정보를 취급할 수 있다. 4 is generated by extracting information on e-mail transmission / reception among members in the entire organization through a relationship analysis classification list, and analyzing and sorting the business relationship between members based on the extracted information. The security label of insider is granted based on the authority of the personnel of the specific organization. The lower the security level, the higher the privilege, and therefore more internal information can be handled.

따라서, 관계분석 분류 리스트를 통하여 얻어진 업무연관관계를 보안등급과 연관지어 분석함으로써, 도4와 같은 보안등급등이 고려된 업무연관관계 자료를 생성할 수 있으며, 피싱 메시지를 수신한 사용자들을 대상으로, 보안 등급이 고려된 업무 연관관계를 분석함으로써, 공격 대상의 변화 또는 지속 공격 여부를 추적하면 목표화된 공격의 징후를 포착할 수 있게 되며, 피싱 공격이 가진 위협의 수준을 분류할 수 있게 된다. Accordingly, by analyzing the task association relationship obtained through the relationship analysis classification list in association with the security level, it is possible to generate task association data considering the surge in security and security as shown in FIG. 4, By analyzing the task-related relationships that are considered security level, tracking the change of attack target or continuous attack can capture the indication of targeted attack and classify the threat level of the phishing attack.

불특정 다수를 대상으로 대량의 악의적 메시지를 발송하는 일반 피싱 메일과는 달리, 지능화된 피싱인 스피어 피싱 웨일링은 조직 내부의 특정 그룹 또는 고위직에 속하는 개인을 대상으로 실행되는 공격이므로, 이에 촛점을 맞춘 피싱방지 시스템의 구성을 위해서는 보안 등급 등이 고려된 업무연관관계 자료를 바탕으로 피싱을 방지하기위한 보안 정책을 수립하거나, 상술한 위험 관리 리스트에 반영되어 위험 관리 리스트의 위협여부를 분류하는 기초 정보로 사용될 수 있다. Unlike general phishing e-mails, which send mass malicious messages to a large number of unspecified persons, intelligent phishing, spear phishing waling, is an attack that is targeted at individuals within a particular group or senior position within an organization. For the configuration of the anti-phishing system, it is necessary to establish a security policy for preventing phishing based on the business association data considering the security level or the basic information for classifying whether the threat list is threatened or not, .

따라서, 바람직하게는, 구조화된 메일 데이터로부터 내부 보안등급을 기준으로 메일 발송자의 정보 및 메일 수신자 정보를 분류하여 리스트하는 내부보안등급 분류 리스트를 생성하는 내부보안등급 분류 리스트 생성단계(S22)를 더 포함하여 수행되며, 상기 위험 관리 목록 생성 단계(S30)는 상기 내부보안등급 분류 리스트관계분석 분류 리스트에 기초하여 상기 위험 관리 목록을 생성할 수 있다. Accordingly, preferably, an internal security classifying list generating step (S22) for generating an internal security classifying list for classifying and listing the information of the mail sender and the mail receiving information based on the internal security grade from the structured mail data And the risk management list generating step S30 may generate the risk management list based on the internal security classifying list relational analysis classification list.

내부보안등급 분류 리스트는 내부보안등급(Security Label of insider)을 기준으로 누가 어떤 메일을 수신하고 있는가를 파악할 수 있는 정보이며, 일일 단위로 데이터를 관리하고, 아래의 표4 같이 형태로 생성된다.The internal security classification list is information that can identify who is receiving mail based on the security label of insider, and manages data on a daily basis, and is generated in the form shown in Table 4 below.

Security Label of insiderSecurity Label of insider Extraction of Mail InformationExtraction of Mail Information 내부 인원 정보Internal personnel information 보안등급Security rating No.No. TimeTime SenderIDSenderID ReceiverIDReceiverID 사번pressure of business 성명name 1One 최정호Choi Jung Ho 1One 1One 201205052142201205052142 A@t.comA@t.com J@c.comJ@c.com 22 201205052150201205052150 B@t.comB@t.com J@c.comJ@c.com 22 최경호Kyungho Choi 22 1One 201205050627201205050627 A@t.comA@t.com c@c.comc@c.com

본 발명의 내외부 트래픽 모니터링을 통한 피싱 메일 차단시스템은 상술한 바와 같은 본 발명의 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법의 각 단계를 수행하며, 이하, 중복되지 않는 범위에서 도면을 참조하여 설명한다. The phishing e-mail blocking system through internal and external traffic monitoring of the present invention performs each step of the method for blocking intelligent phishing e-mails through internal and external traffic monitoring of the present invention as described above. Hereinafter, Explain.

도5는 본 발명의 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단 시스템의 구성도로서, 외부 웹메일 서비스 측에 연결되어 내부 네트워크로 인입되는 트래픽을 모니터링하여 메일과 관련된 데이터 패킷을 추출하여 저장하고, 각 데이터 패킷을 분석하여 각 메일 데이터를 메일에 포함된 URL을 포함하는 구성 항목별로 처리하여 구조화된 메일 데이터를 생성하는 제1메일구조화부(11), 조직의 내부 메일 서비스 측에 연결되어 내부 네트워크 내에서 송수신되는 트래픽을 모니터링하여 메일과 관련된 데이터 패킷을 추출하여 저장하고, 각 데이터 패킷을 분석하여 각 메일 데이터를 메일에 포함된 URL을 포함하는 구성 항목별로 처리하여 구조화된 메일 데이터를 생성하는 제2메일구조화부(12), 상기 제1메일구조화부에서 구조화된 메일 데이터로부터 메일에 포함된 URL을 추출하여 이를 기초로 메일 데이터의 위협의 존재 여부를 검사하는 제1위협검출부(21), 상기 제2메일구조화부에서 구조화된 메일 데이터로부터 메일에 포함된 URL을 추출하여 이를 기초로 메일 데이터의 위협의 존재 여부를 검사하는 제2위협검출부(22), 상기 제1위협검출부의 검사 결과에 따라 메일에 포함된 URL에 해당하는 사이트의 위협 여부를 분류하여 위험 관리 목록을 생성하는 제1위험관리목록생성부(31), 상기 제2위협검출부의 검사 결과에 따라 메일에 포함된 URL에 해당하는 사이트의 위협 여부를 분류하여 위험 관리 목록을 생성하는 제2위험관리목록생성부(32), 및 차단목록생성부(40)를 포함하여, 구성되고 차단목록생성부(40)는 제1위험관리목록생성부(31) 및 제2위험관리목록생성부(31)에서 생성된 위험관리목록을 상호참조하여, 차단목록을 작성한다. FIG. 5 is a block diagram of an intelligent phishing e-mail blocking system according to the present invention. Referring to FIG. 5, it is connected to an external web mail service to monitor incoming traffic to an internal network to extract and store mail- A first mail structuring unit 11 for analyzing each data packet and processing each mail data for each configuration item including a URL included in the mail to generate structured mail data, Monitors the traffic transmitted and received in the network to extract and store data packets related to the mail, analyzes each data packet, processes each mail data by each configuration item including a URL included in the mail, and generates structured mail data A second mail structuring unit (12), a first mail structuring unit A first threat detection unit 21 for extracting a URL included in the e-mail and examining existence of a threat of the mail data on the basis of the extracted URL, a URL included in the mail from the mail data structured by the second mail structuring unit A second threat detection unit 22 for detecting existence of a threat of mail data on the basis of the detected threat, a threat management unit 22 for classifying the threat of the site corresponding to the URL included in the mail according to the inspection result of the first threat detection unit, A second risk management list generation unit 31 for generating a risk management list by classifying whether threats of sites corresponding to URLs included in the mail are classified according to the inspection result of the second threat detection unit, And the block list generating unit 40. The block list generating unit 40 generates the block list generating unit 31 and the second risk management list generating unit 31 Cross-reference to risk management list , And creates a block list.

제1메일구조화부(11) 및 제2메일구조화부(12)는 각각 외부 웹메일 서비스 측 및 조직의 내부 메일 서비스 측에 연결되어 상술한 메일 구조화 단계(S10)의 각 실시예를 수행하도록 구성되며, 제1위협검출부(21) 및 제2위협검출부(22)는 상술한 위협 검출 단계(S20)의 각 실시예를 수행하도록 구성된다. The first mail structuring unit 11 and the second mail structuring unit 12 are connected to the external web mail service side and the internal mail service side of the organization respectively so as to perform each of the embodiments of the mail structuring step S10 And the first threat detection unit 21 and the second threat detection unit 22 are configured to perform the respective embodiments of the threat detection step S20 described above.

제1위험관리목록생성부(31) 및 제2위험관리목록생성부(32)는 위험 관리 목록을 생성 단계(S30)의 실시예를 수행하도록 구성되어, 외부 웹메일 서비스에 대한 위험관리 목록과 조직 메일 서비스에 대한 위험관리 목록을 별도로 생성하고, 차단목록생성부(40)는 차단 목록(Blocking List)작성 단계(S40)의 각 실시예를 수행하도록 구성되어, 제1위험관리목록생성부(31) 및 제2위험관리목록생성부(31)에서 생성된 위험관리목록을 상호참조하여, 최종 차단목록을 작성하도록 구성된다.The first risk management list generating unit 31 and the second risk management list generating unit 32 are configured to perform the step S30 of generating the risk management list and include a risk management list for the external web mail service, The risk management list for the organizational mail service is separately generated and the block list generating unit 40 is configured to perform each embodiment of the blocking list creating step S40, 31 and the second risk management list generating unit 31 to generate a final block list.

상술한, 평판에 기초한 접속 사이트 목록을 생성을 위하여, 내부 사용자가 접속한 사이트의 URL을 탐지하여 내부 사용자가 접속한 사이트 목록을 생성하고 이를 기초로 사용자에게 인지도가 높고 자주 접속 및 활용되는 평판 좋은 사이트를 분류하여 평판에 기초한 접속 사이트 목록을 생성하여 관리하는 내부 사용자 접속사이트 관리부(50)을 더 포함하여 구성될 수도 있으며, 상기 제1위험관리목록생성부(31) 및 제2위험관리목록생성부(32)는 평판에 기초한 접속 사이트 목록에 기초하여 위험 관리 목록을 생성하도록 구성된다.In order to generate the list of connection sites based on the reputation, the URL of the site accessed by the internal user is detected, and a list of sites accessed by the internal user is generated. Based on this, And an internal user access site management unit 50 for generating and managing a reputation-based access site list by classifying the sites. The first risk management list generation unit 31 and the second risk management list creation unit The unit 32 is configured to generate a risk management list based on the reputation-based access site list.

도6은 본 발명의 일 실시예의 각 단계의 수행 결과를 피싱 메일 방지 시스템에 적용하는 과정을 설명하기 위한 도면으로, 도6과 같이, 피싱 메일 방지 시스템에 상술한 각 실시예 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법의 수행 결과가 적용된다.FIG. 6 is a diagram illustrating a process of applying the results of the steps of the embodiment of the present invention to a phishing e-mail prevention system. As shown in FIG. 6, The results of intelligent phishing e-mail blocking methods are applied.

도7은 본 발명이 적용되어 구현된 메일 네트워크의 구성도로서, 본 발명의 결과로 출력되는 차단 리스트를 적용하기 위해 침입 방지 기능을 가진 UTM과 연동되어 운영되도록 구성된 네트워크 구성도이다.FIG. 7 is a block diagram of a mail network according to an embodiment of the present invention. Referring to FIG. 7, a UTM having an intrusion prevention function is operated in order to apply a block list output as a result of the present invention.

한편, 도8(a)은 통상의 보안 네트워크의 예시적인 네트워크 구성도이다. 도8(b)는 본 발명이 적용되어 이 구현된 다른 예시적인 메일 네트워크의 구성도이다.본 발명은 도8(a)은 통상의 보안 네트워크에 도8(b)와 같은 형태로 적용되어 지능화된 피싱 메일을 방지하는 보안 네트워크를 구성한다. On the other hand, Fig. 8 (a) is an exemplary network configuration diagram of a normal security network. 8 (b) is a configuration diagram of another exemplary mail network to which the present invention is applied. [0082] FIG. 8 (a) is applied to a normal security network in the form as shown in FIG. 8 (b) Configure a secure network to prevent phishing e-mail.

상술한 예시적인 시스템에서, 방법들은 일련의 단계 또는 블록으로써 순서도를 기초로 설명되고 있지만, 본 발명은 단계들의 순서에 한정되는 것은 아니며, 어떤 단계는 상술한 바와 다른 단계와 다른 순서로 또는 동시에 발생할 수 있다. 또한, 당업자라면 순서도에 나타낸 단계들이 배타적이지 않고, 다른 단계가 포함되거나 순서도의 하나 또는 그 이상의 단계가 본 발명의 범위에 영향을 미치지 않고 삭제될 수 있음을 이해할 수 있을 것이다.In the above-described exemplary system, the methods are described on the basis of a flowchart as a series of steps or blocks, but the present invention is not limited to the order of the steps, and some steps may occur in different orders or simultaneously . It will also be understood by those skilled in the art that the steps shown in the flowchart are not exclusive and that other steps may be included or that one or more steps in the flowchart may be deleted without affecting the scope of the invention.

11: 제1메일구조화부 12: 제2메일구조화부
21: 제1위협검출부 22: 제2위협검출부
31: 제1위협관리목록생성부 32: 제1위협관리목록생성부
40: 차단목록생부
50: 내부 사용자 접속사이트 관리부
11: First mail structuring unit 12: Second mail structuring unit
21: first threat detection unit 22: second threat detection unit
31: First Threat Management List Generation Unit 32: First Threat Management List Generation Unit
40: Block list boss
50: Internal user access site management unit

Claims (10)

내부 네트워크에서 송수신되는 트래픽을 모니터링하여 메일과 관련된 데이터 패킷을 추출하여 저장하고, 각 데이터 패킷을 분석하여 각 메일 데이터를 메일에 포함된 URL을 포함하는 구성 항목별로 처리하여 구조화된 메일 데이터를 생성하는 메일 구조화 단계(S10):
상기 메일 구조화 단계(S10)에서 구조화된 메일 데이터로부터 메일에 포함된 URL을 추출하여 이를 기초로 메일 데이터의 위협의 존재 여부를 검사하는 위협 검출 단계(S20);
상기 위협 검출 단계(S20)의 검사 결과에 따라 메일에 포함된 URL에 해당하는 사이트의 위협 여부를 분류하여 위험 관리 목록을 생성하는 위험 관리 목록 생성 단계(S30);
상기 위험 관리 목록에 기초하여 차단 목록을 작성하는 차단 목록(Blocking List)작성 단계(S40);를 포함하여,
위험 관리 목록 생성 단계(S30)는 외부 웹메일 서비스(external web mail service)측과 조직의 내부 메일 서비스(organization's mail service) 측으로 분리되어 수행되어, 외부 웹메일 서비스에 대한 위험관리 목록과 조직 메일 서비스에 대한 위험관리 목록을 별도로 생성하고, 차단 목록(Blocking List)작성 단계(S40)는 이들을 상호참조하여 차단 목록(Blocking List)을 작성하는 것을 특징으로 하는 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법.
It extracts and stores data packets related to mail by monitoring the traffic transmitted and received in the internal network, and analyzes each data packet and processes each mail data by each configuration item including URL included in the mail to generate structured mail data. Mail structure step (S10):
A threat detection step (S20) of extracting a URL included in the mail from the structured mail data in the mail structuring step (S10) and checking the existence of a threat of the mail data based on the extracted URL;
A risk management list generation step (S30) of generating a risk management list by classifying whether or not a threat of a site corresponding to a URL included in the mail according to the inspection result of the threat detection step (S20);
Including a blocking list (Blocking List) creation step (S40) for creating a block list based on the risk management list;
The risk management list generation step (S30) is performed separately from the external web mail service side and the organization's mail service side, so that the risk management list and the organization mail service for the external web mail service. Creating a separate risk management list for the block, and creating a blocking list (S40) cross-references them to create a blocking list (blocking list), characterized in that intelligent phishing mail blocking through internal and external traffic monitoring Way.
제1항에 있어서,
내부 사용자가 접속한 사이트의 URL을 탐지하여 내부 사용자가 접속한 사이트 목록을 생성하고 이를 기초로 사용자에게 인지도가 높고 자주 접속 및 활용되는 평판 좋은 사이트를 분류하여 평판에 기초한 접속 사이트 목록을 생성하여 관리하는 평판에 기초한 접속 사이트 목록 생성 단계(S50)를 더 포함하는 것을 특징으로 하는
The method of claim 1,
Generates a list of sites accessed by internal users by detecting URLs of sites accessed by internal users, and creates and manages a list of connected sites based on reputation by classifying reputable sites that are well-recognized, frequently accessed and utilized by users. Further comprising the step of generating a connection site list based on the reputation (S50)
제2항에 있어서,
상기 위험 관리 목록 생성 단계(S30)는 평판에 기초한 접속 사이트 목록에 기초하여 위험 관리 목록을 생성하는 것을 특징으로 하는 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법.
3. The method of claim 2,
The risk management list generation step (S30) is an intelligent phishing mail blocking method through internal and external traffic monitoring, characterized in that for generating a risk management list based on the access site list based on reputation.
제1항에 있어서,
메일 구조화 단계(S10) 및 위협 검출 단계(20)는 외부 웹메일 서비스(external web mail service)측과 조직의 내부 메일 서비스(organization's mail service) 측으로 분리되어 수행되는 것을 특징으로 하는 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법.
The method of claim 1,
The mail structuring step S10 and the threat detection step 20 are performed separately on the side of the external web mail service and on the organization's mail service side. How to block intelligent phishing emails.
제1항에 있어서,
상기 구조화된 메일 데이터로부터 상기 메일의 발신자 정보를 기준으로 메일 수신자의 정보를 분류하여 리스트하는 관계분석 분류 리스트를 생성하는 관계분석 분류리스트 생성단계(S21)를 더 포함하는 것을 특징으로 하는 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법.
The method of claim 1,
Internal and external traffic monitoring, characterized in that it further comprises a relationship analysis classification list generating step (S21) for generating a relationship analysis classification list for classifying and listing the information of the mail recipients based on the sender information of the mail from the structured mail data. How to block intelligent phishing emails
제5항에 있어서,
상기 위험 관리 목록 생성 단계(S30)는 상기 관계분석 분류 리스트에 기초하여 상기 위험 관리 목록을 생성하는 것을 특징으로 하는 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법.
The method of claim 5,
The risk management list generation step (S30) is an intelligent phishing mail blocking method through internal and external traffic monitoring, characterized in that for generating the risk management list based on the relationship analysis classification list.
제1항에 있어서,
상기 구조화된 메일 데이터로부터 내부 보안등급을 기준으로 메일 발송자의 정보 및 메일 수신자 정보를 분류하여 리스트하는 내부보안등급 분류 리스트를 생성하는 내부보안등급 분류 리스트 생성단계(S22)를 더 포함하는 것을 특징으로 하는 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법.
The method of claim 1,
(S22) an internal security classifying list generating step of generating an internal security classifying list for classifying and listing the mail sender's information and mail receiving person's information based on the internal security grade from the structured mail data How to block intelligent phishing e-mails by monitoring internal and external traffic.
제7항에 있어서,
상기 위험 관리 목록 생성 단계(S30)는 상기 내부보안등급 분류 리스트관계분석 분류 리스트에 기초하여 상기 위험 관리 목록을 생성하는 것을 특징으로 하는 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법.
The method of claim 7, wherein
The risk management list generation step (S30) is an intelligent phishing mail blocking method through internal and external traffic monitoring, characterized in that for generating the risk management list on the basis of the internal security level classification list relationship analysis classification list.
내외부 트래픽 모니터링을 통한 피싱 메일 차단시스템에 있어서,
외부 웹메일 서비스 측에 연결되어 내부 네트워크로 인입되는 트래픽을 모니터링하여 메일과 관련된 데이터 패킷을 추출하여 저장하고, 각 데이터 패킷을 분석하여 각 메일 데이터를 메일에 포함된 URL을 포함하는 구성 항목별로 처리하여 구조화된 메일 데이터를 생성하는 제1메일구조화부(11);
조직의 내부 메일 서비스 측에 연결되어 내부 네트워크 내에서 송수신되는 트래픽을 모니터링하여 메일과 관련된 데이터 패킷을 추출하여 저장하고, 각 데이터 패킷을 분석하여 각 메일 데이터를 메일에 포함된 URL을 포함하는 구성 항목별로 처리하여 구조화된 메일 데이터를 생성하는 제2메일구조화부(12);
상기 제1메일구조화부에서 구조화된 메일 데이터로부터 메일에 포함된 URL을 추출하여 이를 기초로 메일 데이터의 위협의 존재 여부를 검사하는 제1위협검출부(21);
상기 제2메일구조화부에서 구조화된 메일 데이터로부터 메일에 포함된 URL을 추출하여 이를 기초로 메일 데이터의 위협의 존재 여부를 검사하는 제2위협검출부(22);
상기 제1위협검출부의 검사 결과에 따라 메일에 포함된 URL에 해당하는 사이트의 위협 여부를 분류하여 위험 관리 목록을 생성하는 제1위험관리목록생성부(31);
상기 제2위협검출부의 검사 결과에 따라 메일에 포함된 URL에 해당하는 사이트의 위협 여부를 분류하여 위험 관리 목록을 생성하는 제2위험관리목록생성부(32); 및
제1위험관리목록생성부(31) 및 제2위험관리목록생성부(32)에서 생성된 위험관리목록을 상호참조하여, 차단목록을 작성하는 차단목록생성부(40)을 포함하여 이루어지는 내외부 트래픽 모니터링을 통한 피싱 메일 차단시스템.
In the phishing mail blocking system through internal and external traffic monitoring,
It is connected to the external web mail service to monitor the incoming traffic to the internal network, extracts and stores the data packet related to the mail, analyzes each data packet and processes each mail data by configuration items including the URL included in the mail A first mail structuring unit (11) for generating structured mail data;
It is connected to the internal mail service side of the organization and monitors traffic transmitted and received in the internal network to extract and store data packets related to the mail, analyzes each data packet, and stores each mail data in a configuration item A second mail structuring unit (12) for processing structured mail data;
A first threat detection unit (21) for extracting a URL included in the mail from the structured mail data by the first mail structurer and checking whether a threat of the mail data exists;
A second threat detection unit (22) for extracting a URL included in the mail from the structured mail data in the second mail structurer and checking whether a threat of the mail data exists;
A first risk management list generation unit 31 for generating a risk management list by classifying whether a site corresponding to the URL included in the mail is threatened according to the inspection result of the first threat detection unit;
A second risk management list generation unit 32 for generating a risk management list by classifying whether or not a threat of a site corresponding to a URL included in an e-mail according to a test result of the second threat detection unit; And
Internal and external traffic including a block list generation unit 40 which cross-references the risk management list generated by the first risk management list generation unit 31 and the second risk management list generation unit 32 to create a block list. Phishing e-mail blocking system through monitoring.
제9항에 있어서,
내부 사용자가 접속한 사이트의 URL을 탐지하여 내부 사용자가 접속한 사이트 목록을 생성하고 이를 기초로 사용자에게 인지도가 높고 자주 접속 및 활용되는 평판 좋은 사이트를 분류하여 평판에 기초한 접속 사이트 목록을 생성하여 관리하는 내부 사용자 접속사이트 관리부(50)을 더 포함하여, 상기 제1위험관리목록생성부(31) 및 제2위험관리목록생성부(32)는 평판에 기초한 접속 사이트 목록에 기초하여 위험 관리 목록을 생성하는 것을 특징으로 하는 내외부 트래픽 모니터링을 통한 피싱 메일 차단시스템.
10. The method of claim 9,
Generates a list of sites accessed by internal users by detecting URLs of sites accessed by internal users, and creates and manages a list of connected sites based on reputation by classifying reputable sites that are well-recognized, frequently accessed and utilized by users. The first risk management list generation unit 31 and the second risk management list generation unit 32 further include an internal user access site management unit 50 to manage the risk management list based on the access site list based on the reputation. Phishing mail blocking system through the internal and external traffic monitoring, characterized in that the generation.
KR1020120054965A 2012-05-23 2012-05-23 Method and system for blocking sophisticated phishing mail by monitoring inner and outer traffic KR101450961B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120054965A KR101450961B1 (en) 2012-05-23 2012-05-23 Method and system for blocking sophisticated phishing mail by monitoring inner and outer traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120054965A KR101450961B1 (en) 2012-05-23 2012-05-23 Method and system for blocking sophisticated phishing mail by monitoring inner and outer traffic

Publications (2)

Publication Number Publication Date
KR20130131133A true KR20130131133A (en) 2013-12-03
KR101450961B1 KR101450961B1 (en) 2014-10-14

Family

ID=49980492

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120054965A KR101450961B1 (en) 2012-05-23 2012-05-23 Method and system for blocking sophisticated phishing mail by monitoring inner and outer traffic

Country Status (1)

Country Link
KR (1) KR101450961B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220089459A (en) * 2020-12-21 2022-06-28 (주)기원테크 Device and its operation methods for providing E-mail security service using hierarchical architecture based on security level
KR20220098316A (en) * 2020-12-29 2022-07-12 (주)기원테크 Mail security-based zero-day URL attack defense service providing device and its operation method
CN115529185A (en) * 2022-09-29 2022-12-27 北京中睿天下信息技术有限公司 Mail classifying and cleaning method
KR20230143401A (en) 2022-04-05 2023-10-12 정희수 Malicious email classification system and method

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100496767B1 (en) * 2002-08-03 2005-06-23 (주)이월리서치 Email blocking algorithm based on url pattern matching method
KR100486821B1 (en) * 2003-02-08 2005-04-29 디프소프트 주식회사 Method for automatically blocking spam mail by connection of link url
KR100525758B1 (en) * 2005-01-26 2005-11-04 주식회사 모비젠 Method for preventing spam mail through packet-monitoring and system therefor
KR100885634B1 (en) * 2006-09-22 2009-02-26 주식회사 소프트런 Method of verifying web site and mail for phishing prevention, and media that can record computer program for method thereof

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220089459A (en) * 2020-12-21 2022-06-28 (주)기원테크 Device and its operation methods for providing E-mail security service using hierarchical architecture based on security level
WO2022139078A1 (en) * 2020-12-21 2022-06-30 (주)기원테크 Apparatus for providing e-mail security service using hierarchical architecture based on security level and operation method therefor
KR20220141774A (en) * 2020-12-21 2022-10-20 (주)기원테크 Device and its operation methods for providing E-mail security service using hierarchical architecture based on security level
JP2023527568A (en) * 2020-12-21 2023-06-29 株式会社ギウォンテク E-mail Security Service Providing Apparatus Using Hierarchical Architecture Based on Security Levels and Operating Method Thereof
KR20220098316A (en) * 2020-12-29 2022-07-12 (주)기원테크 Mail security-based zero-day URL attack defense service providing device and its operation method
KR20230143401A (en) 2022-04-05 2023-10-12 정희수 Malicious email classification system and method
CN115529185A (en) * 2022-09-29 2022-12-27 北京中睿天下信息技术有限公司 Mail classifying and cleaning method

Also Published As

Publication number Publication date
KR101450961B1 (en) 2014-10-14

Similar Documents

Publication Publication Date Title
US12074850B2 (en) Mitigating communication risk by verifying a sender of a message
US10326779B2 (en) Reputation-based threat protection
US10715543B2 (en) Detecting computer security risk based on previously observed communications
KR101689299B1 (en) Automated verification method of security event and automated verification apparatus of security event
US8635666B2 (en) Anti-phishing system
Chhikara et al. Phishing & anti-phishing techniques: Case study
US11392691B1 (en) System and method of securing e-mail against phishing and ransomware attack
Damodaram Study on phishing attacks and antiphishing tools
JP2009515426A (en) High reliability communication network
KR101450961B1 (en) Method and system for blocking sophisticated phishing mail by monitoring inner and outer traffic
KR20120084806A (en) Method for detecting the hijacking of computer resources
Wang et al. Catching the wily hacker: A multilayer deception system
Pallangyo Cyber Security Challenges, its Emerging Trends on Latest Information and Communication Technology and Cyber Crime in Mobile Money Transaction Services
Issac et al. Analysis of phishing attacks and countermeasures
SOX This White Paper
Nanaware et al. Dmarcbox–corporate email security and analytics using dmarc
Islam et al. Phishing Attack Detecting System Using DNS and IP Filtering
Kruck et al. Spoofing–a look at an evolving threat
Buchyk et al. Phishing Attacks Detection.
Sowmya et al. COMPARATIVE STUDY OF THREATS AND SOLUTIONS IN ONLINE SOCIAL NETWORKS.
JP7523002B2 (en) E-mail transmission management device
Anudini et al. Impact of Social Media-Related Cybercrimes and Preventive Precautions
Lakshmi et al. Securing Emails and Office 365
Kılıç et al. Security Issues of Remote Work Environments and Alternative Solution Approaches
Rawat et al. An Integrated Review Study on Efficient Methods for Protecting Users from Phishing Attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170829

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181002

Year of fee payment: 5