KR20230143401A - 악성메일 분류방법 및 시스템 - Google Patents

악성메일 분류방법 및 시스템 Download PDF

Info

Publication number
KR20230143401A
KR20230143401A KR1020220042230A KR20220042230A KR20230143401A KR 20230143401 A KR20230143401 A KR 20230143401A KR 1020220042230 A KR1020220042230 A KR 1020220042230A KR 20220042230 A KR20220042230 A KR 20220042230A KR 20230143401 A KR20230143401 A KR 20230143401A
Authority
KR
South Korea
Prior art keywords
mail
domain
record
information
public dns
Prior art date
Application number
KR1020220042230A
Other languages
English (en)
Inventor
정희수
박우영
Original Assignee
정희수
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 정희수 filed Critical 정희수
Priority to KR1020220042230A priority Critical patent/KR20230143401A/ko
Publication of KR20230143401A publication Critical patent/KR20230143401A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따르는 악성메일 분류 시스템은, 수신메일이 제공되면, 상기 수신메일의 발신 도메인과 수신 도메인이 일치하는지 여부를 판별하고, 상기 발신 도메인과 수신 도메인이 일치함을 나타내는 제1정보를 생성하고, 상기 수신메일에 포함된 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제2정보를 생성하고, 상기 수신메일에 포함된 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제3정보를 생성하고, 상기 수신메일에 포함된 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제4정보를 생성하며, 상기 제1 내지 제4정보를 포함하는 메일데이터를 구성하는 메일데이터 수집부; 및 상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치하지 않음을 나타내고, 상기 제2정보가 상기 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 상기 제3정보가 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 상기 제4정보가 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내면, 상기 수신메일을 악성메일로 판별하고 발신 도메인 주소로 접속을 시도하고 상기 발신 도메인 주소로 접속되지 않으면 사설메일로 분류하고, 상기 발신 도메인 주소로 접속되면 도메인메일로 분류하는 메일분류부;를 포함하는 것을 특징으로 한다.

Description

악성메일 분류방법 및 시스템{Malicious email classification system and method}
본 발명은 메일 분류 기술에 관한 것으로, 더욱 상세하게는 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일을 판별함은 물론이고 악성메일의 종류까지 판별하여 분류하는 악성메일 분류방법 및 시스템에 관한 것이다.
불특정 다수의 통신 사용자에게 일방적으로 전달하는 광고성 메일인 스팸 메일의 문제는 인터넷의 보급과 기술의 발전으로 인해 많은 문제를 일으키고 있다. 상기의 스팸 메일을 차단하기 위해 종래에는 메일 보안 시스템이 개발되어 운영되고 있지만, 여전히 기술적인 한계가 있었다.
종래의 메인 보안 시스템은 공격에 대한 기술적인 방법 등을 분석하고 비교하여 차단하는 방식의 블랙리스트 기술과 키워드와 악성코드를 탐지하는 기술 등을 사용하였다.
상기 블랙 리스트 기술은 비교적 짧은 개발 기간과 즉각적인 효과를 얻을 수 있기에 대부분의 메일 보안 기술은 블랙리스트 기반으로 개발되고 있다. 그러나 상기의 블랙 리스트 기술은 새로운 방식과 패턴에 대해서는 탐지와 차단을 하지 못하는 큰 단점이 있었다.
그리고 키워드와 악성코드를 탐지하여 차단하는 기술 역시 새로운 형태의 공격은 탐지되지 않기에 차단이 어려운 문제가 있었다.
최근 악성메일은 단순히 광고성 정보를 제공하는 스팸 메일에 그치지 않고 메일발신자를 사칭하거나 위/변조하는 메일이나, 특정한 개인들이나 회사를 대상으로 공격자가 사전에 공격 성공률을 높이기 위해 공격 대상에 대한 정보를 수집하고 이를 분석하여 피싱 공격을 수행하는 스피어 피싱메일 등 다양한 형태로 진화하고 있다.
이러한 이유로 사칭 메일과 위변조 메일로부터 선의의 메일 사용자를 보호할 수 있는 메일 보안 기술의 개발에 대한 요구가 증가하고 있다.
이러한 요구에 부응하는 기술로는 대한민국 특허청에 사칭 또는 위변조 메일 관리 방법 및 시스템을 명칭으로 하여 특허등록된 제10-2176564호가 있으며, 이는 사칭된 발신자와 위변조된 발신자의 심리 특징을 분석하여 스스로를 위장하거나 숨기기 위해 자신들을 찾지 못하게 하는 심리를 역이용한 것으로, 메일 시스템의 발신 메일이 전달되지 않고 메일의 유실을 막기 위해 개발된 에러코드를 이용하여 사칭된 발신자와 위변조된 발신자를 검출하여 차단하여 악의를 가진 발신자로부터 선의의 메일 사용자를 보호하는 기술을 개시하고 있다.
그리고 대한민국 특허청에 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템을 명칭으로 하여 특허공개된 제10-2013-0131133호가 있으며, 이는 내부 네트워크에서 송수신되는 트래픽을 모니터링하여 메일과 관련된 데이터 패킷을 추출하여 저장하고, 각 데이터 패킷을 분석하여 각 메일 데이터를 메일에 포함된 URL을 포함하는 구성 항목별로 처리하여 구조화된 메일 데이터를 생성하는 메일 구조화 단계: 상기 메일 구조화 단계에서 구조화된 메일 데이터로부터 메일에 포함된 URL을 추출하여 이를 기초로 메일 데이터의 위협의 존재 여부를 검사하는 위협 검출 단계; 상기 위협 검출 단계의 검사 결과에 따라 메일에 포함된 URL에 해당하는 사이트의 위협 여부를 분류하여 위험 관리 목록을 생성하는 위험 관리 목록 생성 단계; 상기 위험 관리 목록에 기초하여 차단 목록을 작성하는 차단 목록(Blocking List)작성 단계를 포함하여, 위험 관리 목록 생성 단계(S30)는 외부 웹메일 서비스(external web mail service)측과 조직의 내부 메일 서비스(organization's mail service) 측으로 분리되어 수행되어, 외부 웹메일 서비스에 대한 위험관리 목록과 조직 메일 서비스에 대한 위험관리 목록을 별도로 생성하고, 차단 목록(Blocking List)작성 단계(S40)는 이들을 상호참조하여 차단 목록(Blocking List)을 작성하는 기술을 개시하고 있습니다.
상기한 바와 같이 종래에는 다양한 방식으로 악성메일로부터 선의의 메일사용자를 보호하기 위한 노력이 계속되고 있었다.
이에 종래에는 악성메일을 더욱 더 효과적으로 판별해내기 위한 기술의 개발이 요구되었다. 또한 악성메일을 판별하여 차단하는 것뿐만 아니라, 악성메일의 종류를 효과적으로 분류하여 악성메일의 통계나 공격의 양상변화 등을 손쉽게 파악할 수 있게 하기에는 어려움이 있었다.
대한민국 특허등록 제10-2176564호 대한민국 특허공개 제10-2013-0131133호
본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별할 수 있는 악성메일 분류방법 및 시스템을 제공하는 것을 그 목적으로 한다.
또한 본 발명의 다른 목적은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별함은 물론이고 악성메일의 종류까지 판별하여 분류하는 악성메일 분류방법 및 시스템을 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따르는 악성메일 분류 시스템은, 수신메일이 제공되면, 상기 수신메일의 발신 도메인과 수신 도메인이 일치하는지 여부를 판별하고, 상기 발신 도메인과 수신 도메인이 일치함을 나타내는 제1정보를 생성하고, 상기 수신메일에 포함된 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제2정보를 생성하고, 상기 수신메일에 포함된 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제3정보를 생성하고, 상기 수신메일에 포함된 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제4정보를 생성하며, 상기 제1 내지 제4정보를 포함하는 메일데이터를 구성하는 메일데이터 수집부; 및 상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치하지 않음을 나타내고, 상기 제2정보가 상기 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 상기 제3정보가 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 상기 제4정보가 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내면, 상기 수신메일을 악성메일로 판별하고 발신 도메인 주소로 접속을 시도하고 상기 발신 도메인 주소로 접속되지 않으면 사설메일로 분류하고, 상기 발신 도메인 주소로 접속되면 도메인메일로 분류하는 메일분류부;를 포함하는 것을 특징으로 한다.
본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별할 수 있게 하여 다양한 방식의 악성메일로부터 선의의 메일사용자를 보호할 수 있는 효과를 제공한다.
또한 본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별함은 물론이고 악성메일의 종류까지 판별하여 분류하여, 악성메일의 통계나 공격의 양상변화 등을 손쉽게 파악할 수 있게 하여 악성메일의 양상변화에 적응적으로 대응할 수 있게 하는 효과를 제공한다.
도 1은 본 발명의 바람직한 실시예에 따르는 메일 분류 시스템의 구성도.
도 2 내지 도 5는 본 발명의 바람직한 실시예에 따르는 메일 데이터 수집과정의 절차도.
도 6 및 도 7은 본 발명의 바람직한 실시예에 따르는 메일 분류 과정의 절차도.
본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별할 수 있게 하여 다양한 방식의 악성메일로부터 선의의 메일사용자를 보호할 수 있다.
또한 본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별함은 물론이고 악성메일의 종류까지 판별하여 분류하여, 악성메일의 통계나 공격의 양상변화 등을 손쉽게 파악할 수 있게 하여 악성메일의 양상변화에 적응적으로 대응할 수 있게 한다.
이러한 본 발명의 바람직한 실시예에 따르는 악성메일 분류 방법 및 시스템을 도면을 참조하여 상세히 설명한다.
<악성메일 분류 시스템의 구성>
도 1은 본 발명의 바람직한 실시예에 따르는 악성메일 분류 시스템의 구성도이다. 상기 도 1을 참조하면, 상기 악성메일 분류 시스템은 메일데이터 수집부(100)와 메일 분류부(200)로 구성된다.
상기 메일데이터 수집부(100)는 수신메일을 제공받아 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터를 수집하고, 그 수집된 메일데이터를 상기 메일 분류부(200)로 제공한다.
상기 메일데이터 수집부(100)는 HELO 및 세션 도메인 데이터 수집부(102)와 PTR 레코드 데이터 수집부(104)와 SPF 레코드 데이터 수집부(106)와 발신 및 수신 도메인 데이터 수집부(108)로 구성된다. 상기 HELO 및 세션 도메인 데이터 수집부(102)는 수신메일에 대해 HELO 도메인의 A 레코드가 퍼블릭 DNS에 등록되어 있지 않거나 클라이언트가 고의적으로 도메인을 위, 변조하였는지를 판별하고 그 판별결과를 나타내는 정보와, 세션도메인의 A 레코드가 퍼블릭 DNS에 등록되지 않거나 고의적으로 도메인을 위, 변조하였는지를 판별하고 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.
그리고 PTR 레코드 데이터 수집부(104)는 PTR의 A 레코드가 퍼블릭 DNS에서 발신 IP에 대한 도메인으로 조회되지 않는지를 판별하고 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.
상기 SPF 레코드 데이터 수집부(106)는 SMTP 프로토콜 세션이 연결된 상태에서 보낸이 메일주소를 지정 당시에 작성된 도메인에 대한 TXT 레코드를 지칭하는 상기 세션 도메인의 SPF TXT 레코드가 퍼블릭 DNS에 해당 도메인의 TXT 레코드가 등록되지 않았거나, 메일 발신지의 IP 주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하거, 메일 발신지의 IP주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하지 않는지를 판별하고, 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.
또한 상기 상기 SPF 레코드 데이터 수집부(106)는 SMTP 프로토콜 세션이 연결된 상태에서 받는 이의 메일 주소(Rctp to)를 지정 후 메시지 본문 내용에서 작성되는 발신자의 계정(from)에 포함되는 도메인에 대한 TXT 레코드를 지칭하는 헤더 발신 도메인의 SPF TXT 레코드가, 퍼블릭 DNS에 해당 도메인의 TXT 레코드가 등록되지 않았거나, 메일 발신지의 IP 주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하거나, 메일 발신지의 IP주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하지 않는 지를 판별하고, 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.
상기 발신 및 수신 도메인 데이터 수집부(108)는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 일치하거나, SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 서로 불일치하거나, SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이(To)의 메일주소를 지정 당시 도메인이 일치하거나, SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소가 지정 당시 도메인이 서로 불일치한지를 판별하고, 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.
그리고 상기 발신 및 수신 도메인 데이터 수집부(108)는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 계정('@'를 구분자로 한 앞부분)이 일치하거나, SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 계정이 서로 불일치하거나, SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소를 지정 당시 계정이 일치하거나, SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소를 지정 당시 계정이 서로 불일치한지를 판별하고 그 판별결과를 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.
상기 메일 분류부(200)는 상기 메일데이터 수집부(100)가 수집한 메일데이터들을 제공받아 수신메일이 악성메일인지 판별함과 아울러 악성메일을 종류별로 분류하고 그 결과를 출력한다. 상기 메일 분류부(200)는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 일치하는 경우에서의 수신메일이 악성메일인지 악성메일이라면 어떤 종류의 악성메일인지를 분류하여 출력하는 제1분류부(202)와 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 불일치하는 경우에서의 수신메일이 악성메일인지 악성메일라면 어떤 종류의 악성메일인지를 분류하여 출력하는 제2분류부(204)로 구성된다.
상기의 악성메일 분류 시스템에 적용가능한 악성메일 분류과정을 크게 메일데이터 수집과정과 메일분류과정으로 나누어 설명한다.
<메일데이터 수집과정>
먼저 악성메일 분류를 위해 메일데이터를 수집하는 과정을 도 2 내지 도 5를 참조하여 설명한다.
<HELO 및 세션 도메인 데이터 수집과정>
도 2는 본 발명의 바람직한 실시예에 따라 수신메일로부터 HELO 및 세션 도메인 데이터를 수집하는 과정의 절차도를 도시한 것으로, 상기 HELO 및 세션 도메인 데이터 수집부(102)에 의해 수행된다.
상기 HELO 및 세션 도메인 데이터 수집부(102)는 수신메일을 제공받아(300단계), 수신메일의 HELO 및 세션 도메인의 A 레코드를 검출하고(302단계), Nslookup을 통해 퍼블릭 DNS 정보제공자가 제공하는 퍼블릭 DNS 정보에 수신메일의 HELO 및 세션 도메인의 A 레코드가 있는지를 조회한다(304단계).
상기 HELO 및 세션 도메인 데이터 수집부(102)는 상기 조회결과가 제공되면(305단계), 상기 퍼블릭 DNS 정보에 HELO 도메인의 A 레코드가 있는지를 판별하고(306단계), 상기 퍼블릭 DNS 정보에 HELO 도메인의 A 레코드가 있으면 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 기록되어 있음을 나타내는 정보(HELO 있음)를 나타내는 메일데이터를 생성하여 기록하고(308단계), 상기 퍼블릭 DNS 정보에 HELO 도메인의 A 레코드가 없으면 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 기록되어 있지 않음을 나타내는 정보(HELO 없음)를 나타내는 메일데이터를 생성하여 기록한다(310단계).
그리고 상기 HELO 및 세션 도메인 데이터 수집부(102)는 상기 조회결과가 제공되면, 상기 퍼블릭 DNS 정보에 세션 도메인의 A 레코드가 있는지를 판별하고(312단계), 상기 퍼블릭 DNS 정보에 세션 도메인 레코드가 있으면 세션 도메인 레코드가 퍼블릭 DNS 정보에 기록되어 있음을 나타내는 정보(세션 있음)를 생성하여 상기 메일데이터에 부가하여 기록하고(314단계), 상기 퍼블릭 DNS 정보에 세션 도메인 레코드가 없으면 세션 도메인 레코드가 퍼블릭 DNS 정보에 기록되어 있지 않음을 나타내는 정보(세션 없음)를 생성하여 상기 메일데이터에 부가하여 기록한다(316단계).
여기서, 상기 HELO 있음은 도메인 A 레코드가 퍼블릭 DNS에 등록되어 있음을 의미하며, 클라이언트가 서버에 명령을 전송함으로서 SMTP를 식별하고 대화의 시작을 알린다. 그리고 상기 HELO 없음은 도메인 A 레코드가 퍼블릭 DNS에 등록되어 있지 않거나 클라이언트가 고의적으로 도메인을 위, 변조했음을 의미할 수 있다.
그리고 세션 도메인은 SMTP 커맨드 진행 중 보낸이 메일 주소(Mail from)를 지정하는 부분으로 새 메일 트랜잭션이 시작되는 것을 알린다. 이에 상기 세션 있음은 입력된 보낸이 메일주소에 해당하는 도메인의 A 레코드가 퍼블릭 DNS에 등록되었음을 의미하고, 상기 세션 없음은 입력된 보낸이 메일 주소에 해당하는 도메인의 A 레코드가 퍼블릭 DNS에 등록되지 않거나 고의적으로 도메인을 위, 변조했음을 의미할 수 있다.
상기한 바와 같이 본 발명의 HELO 및 세션 도메인 데이터 수집부(102)는 수신메일에 포함된 HELO 및 세션 도메인의 A 레코드를 검출하고, 검출된 HELO 및 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 존재하는지를 판별하고 그에 따른 판별결과, 즉 HELO 및 세션 도메인의 A 레코드 각각에 대해 있음/없음을 나타내는 정보를 포함하는 해당 수신메일에 대응되는 메일데이터에 부가하여 기록한다.
<PTR 레코드 데이터 수집과정>
그리고 도 3은 본 발명의 바람직한 실시예에 따라 수신메일로부터 PTR 레코드 데이터를 수집하는 과정의 절차도를 도시한 것으로, 상기 PTR 레코드 데이터 수집부(104)에 의해 수행된다.
상기 PTR 레코드 데이터 수집부(104)는 수신메일을 제공받아(400단계), 수신 메일의 PTR의 A 레코드를 검출하고(402단계), Nslookup을 통해 퍼블릭 DNS 정보제공자가 제공하는 퍼블릭 DNS 정보에 수신메일의 PTR의 A 레코드가 있는지를 조회한다(404단계).
상기 PTR 레코드 데이터 수집부(104)는 상기 조회결과가 제공되면(406단계), 상기 퍼블릭 DNS 정보에 PTR의 A 레코드가 있는지를 판별하고(408단계), 상기 퍼블릭 DNS 정보에 PTR의 A 레코드가 있으면 PTR 레코드가 퍼블릭 DNS 정보에 기록되어 있음을 나타내는 정보(PTR 있음)를 생성하여 상기 메일데이터에 부가하여 기록하고(410단계), 상기 퍼블릭 DNS 정보에 PTR 레코드가 없으면 PTR 레코드가 퍼블릭 DNS 정보에 기록되어 있지 않음을 나타내는 정보(PTR 없음)를 생성하여 상기 메일데이터에 부가하여 기록한다(412단계).
여기서, 상기 PTR는 도메인이 아닌 발신 IP에 질의를 하여 도메인을 확인하는 과정으로, 상기 PTR 있음은 ISP 업체를 통한 퍼블릭 DNS에서 발신 IP에 대한 도메인이 존재함을 의미하고, 상기 PTR 없음은 퍼블릭 DNS에서 발신 IP에 대한 도메인인지 조회가 되지 않음을 의미한다.
상기한 바와 같이 본 발명의 PTR 레코드 데이터 수집부(102)는 수신메일에 포함된 PTR 레코드를 검출하고, 검출된 PTR 레코드가 퍼블릭 DNS 정보에 존재하는지를 판별하고 그에 따른 판별결과, 즉 PTR 레코드에 대해 있음/없음을 나타내는 정보를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가하여 기록한다.
<SPF 레코드 데이터 수집과정>
그리고 도 4는 본 발명의 바람직한 실시예에 따라 수신메일로부터 SPF 레코드 데이터를 수집하는 과정의 절차도를 도시한 것으로, 상기 SPF 레코드 데이터 수집부(106)에 의해 수행된다.
상기 SPF 레코드 데이터 수집부(106)는 수신메일을 제공받아(500단계), 수신메일의 세션 도메인의 A 레코드 및 헤더 발신 도메인의 A 레코드를 검출하고(502단계), 상기 세션 도메인의 A 레코드가 없으면(504단계), 세션 도메인의 SPF TXT 레코드가 없음을 나타내는 정보(S_SPF 없음)를 생성하여 상기 메일데이터에 부가하여 기록하고(518단계), 상기 세션 도메인의 A 레코드가 있으면(504단계), 수신메일의 세션 도메인의 A 레코드의 SPF TXT 레코드를 검출하고(506단계), Nslookup을 통해 퍼블릭 DNS 정보제공자가 제공하는 퍼블릭 DNS 정보에 수신메일의 세션 도메인의 A 레코드의 SPF TXT 레코드가 있는지를 조회한다(508단계).
상기 SPF 레코드 데이터 수집부(106)는 상기 조회결과가 제공되면(510단계), 상기 퍼블릭 DNS 정보에 세션 도메인의 A 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 있는지를 체크하고(512단계), 상기 퍼블릭 DNS 정보에 세션 도메인의 A 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 있으면 세션 도메인의 SPF TXT 레코드가 포함됨을 나타내는 정보(S_SPF_포함)를 생성하여 상기 메일데이터에 부가하여 기록하고(514단계), 상기 퍼블릭 DNS 정보에 세션 도메인의 A 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 없으면 세션 도메인의 SPF TXT 레코드가 미포함됨을 나타내는 정보(S_SPF_미포함)를 생성하여 상기 메일데이터에 부가하여 기록한다(516단계).
그리고 상기 SPF 레코드 데이터 수집부(106)는 수신메일의 헤더 발신 도메인의 A 레코드가 없으면(520단계), 헤더 발신 도메인의 SPF TXT 레코드가 없음을 나타내는 정보(H_SPF 없음)를 생성하여 상기 메일데이터에 부가하여 기록하고(534단계), 상기 헤더 발신 도메인의 A 레코드가 있으면(520단계), 수신메일의 헤더 발신 도메인의 A 레코드의 SPF TXT 레코드를 검출하고(522단계), Nslookup을 통해 퍼블릭 DNS 정보제공자가 제공하는 퍼블릭 DNS 정보에 수신메일의 헤더 발신 도메인의 A 레코드의 SPF TXT 레코드가 있는지를 조회한다(524단계).
상기 SPF 레코드 데이터 수집부(106)는 상기 조회결과가 제공되면(526단계), 상기 퍼블릭 DNS 정보에 헤더 발신 도메인의 A 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 있으면(528단계), 헤더 발신 도메인의 SPF TXT 레코드가 포함됨을 나타내는 정보(H_SPF_포함)를 생성하여 상기 메일데이터에 부가하여 기록하고(530단계), 상기 퍼블릭 DNS 정보에 헤더 발신 도메인의 A 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 없으면(528단계), 헤더 발신 도메인의 SPF TXT 레코드가 미포함됨을 나타내는 정보(H_SPF_미포함)를 생성하여 상기 메일데이터에 부가하여 기록한다(532단계).
여기서, 상기 세션 도메인의 SPF TXT 레코드는 SMTP 프로토콜 세션이 연결된 상태에서 보낸이 메일주소를 지정 당시에 작성된 도메인에 대한 TXT 레코드를 말한다. 상기 S_SPF 없음은 퍼블릭 DNS에 해당 도메인의 TXT 레코드가 등록되지 않았음을 의미하고, 상기 S_SPF 포함은 메일 발신지의 IP 주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재함을 의미하고, 상기 S_SPF 미포함은 메일 발신지의 IP주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하지 않음을 의미한다.
그리고 상기 헤더 발신 도메인의 SPF TXT 레코드는 SMTP 프로토콜 세션이 연결된 상태에서 받는 이의 메일 주소(Rctp to)를 지정 후 메시지 본문 내용에서 작성되는 발신자의 계정(from)에 포함되는 도메인에 대한 TXT 레코드를 말하며, 상기 H_SPF 없음은 퍼블릭 DNS에 해당 도메인의 TXT 레코드가 등록되지 않았음을 의미하고, 상기 H_SPF 포함은 메일 발신지의 IP 주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재함을 의미하고, 상기 H_SPF 미포함은 메일 발신지의 IP주소가 퍼블릭 DNS에 등록된 TXT 레코드의 범위에 존재하지 않음을 의미한다.
상기한 바와 같이 본 발명의 SPF 레코드 데이터 수집부(106)는 수신메일에 포함된 세션 및 헤더 발신 도메인의 SPF 레코드에 SPF TXT 레코드를 검출하고, 검출된 세션 및 헤더 발신 도메인의 SPF 레코드의 SPF TXT 레코드가 퍼블릭 DNS 정보에 존재하는지를 판별하고 그에 따른 판별결과, 즉 세션 및 헤더 발신 도메인의 SPF 레코드의 SPF TXT 레코드에 대해 없음/포함/미포함을 나타내는 정보를 생성하여 메일데이터에 부가하여 기록한다.
<발신 및 수신 도메인 데이터 수집과정>
도 5는 본 발명의 바람직한 실시예에 따라 수신메일로부터 발신 및 수신 도메인 데이터를 수집하는 과정의 절차도를 도시한 것으로, 이는 상기 발신 및 수신 도메인 데이터 수집부(108)에 의해 수행된다.
상기 발신 및 수신 도메인 데이터 수집부(108)는 수신메일을 제공받아(600단계), 수신메일의 발신도메인 및 수신도메인의 주소를 검출하고(602단계). 수신메일의 발신도메인과 수신도메인의 주소를 비교하고(604단계), 상기 수신메일의 발신도메인과 수신도메인의 주소가 동일하면(606단계), 발신도메인과 수신도메인이 매치됨과 아울러 동일함을 나타내는 정보(DOMAIN MATCH [Rcpt To==Mail from or From(Header)}, Sender_Receiver_DOMAIN_일치)를 생성하여 메일데이터에 부가하여 기록한다(610단계). 상기 수신메일의 발신도메인과 수신도메인의 주소이 동일하지 않으면, 발신 및 수신 도메인 데이터 수집부(108)는 발신도메인과 수신도메인이 상이함을 나타내는 정보(DOMAIN NOT MATCH)를 생성하여 상기 메일데이터에 부가하여 기록한다(608단계).
그리고 상기 발신 및 수신 도메인 데이터 수집부(108)는 수신메일의 발신 어카운트와 수신 어카운트를 검출하고(612단계), 수신메일의 발신 및 수신 어카운트를 비교한다(614단계).
상기 발신 및 수신 도메인 데이터 수집부(108)는 수신메일의 발신 및 수신 어카운트가 동일하면(616단계), 수신메일의 발신 및 수신 어카운트가 동일함을 나타내는 정보(ACCOUNT MATCH[Rcpt To==Mail From or From(header)],Sender_Receiver_ACCOUNT_일치)를 생성하여 상기 수신메일에 대응되는 메일 데이터에 부가하여 기록한다(614단계).
상기 발신 및 수신 도메인 데이터 수집부(108)는 수신메일의 발신 및 수신 어카운트가 상이하면(612단계), 발신 및 수신 어카운트가 상이함을 나타내는 정보(ACCOUNT NOT MATCH)를 생성하여 메일 데이터에 부가하여 기록한다(616단계).
여기서, 세션 발신 도메인과 수신도메인의 일치, 불일치 및 헤더 발신도메인과 수신도메인의 일치, 불일치 여부는 다음을 의미한다. 상기 세션 발신 도메인과 수신 도메인의 일치는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 일치함을 의미한다. 그리고 세션 발신도메인과 수신도메인의 불일치는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소를 지정 당시 도메인이 서로 불일치함을 의미한다. 상기 헤더 발신도메인과 수신도메인의 일치는 SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이(To)의 메일주소가 지정 당시 도메인과 일치함을 의미하고, 헤더 발신도메인과 수신도메인의 불일치는 SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소가 지정 당시 도메인과 서로 불일치함을 의미한다.
그리고 세션 발신 계정과 수신계정의 일치, 불일치 및 헤더 발신계정과 수신계정의 일치, 불일치 여부는 다음을 의미한다. 상기 세션 발신계정과 수신계정의 일치는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소가 지정 당시 계정('@'를 구분자로 한 앞부분)과 일치함을 의미하고 세션 발신계정과 수신계정의 불일치는 SMTP 프로토콜 세션이 연결된 상태에서 보낸 이와 받는 이의 메일주소가 지정 당시 계정과 서로 불일치함을 의미한다. 그리고 헤더 발신도메인과 수신도메인의 일치는 SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소가 지정 당시 계정과 일치함을 의미하고, 헤더 발신도메인과 수신도메인의 불일치는 SMTP 프로토콜 세션 과정 중 메시지 본문에서 보내는 이와 받는 이의 메일주소가 지정 당시 계정과 서로 불일치함을 의미한다.
상기한 바와 같이 발신 및 수신 도메인 데이터 수집부(108)는 수신메일의 발신 및 수신 도메인의 주소, 그리고 수신메일의 발신 어카운트와 수신 어카운트를 비교하여 동일한지 여부를 판별하여 그에 따른 판별결과를 생성하여 상기 수신메일에 대응되는 메일데이터에 부가한다.
상기한 바와 같이 본 발명의 데이터 수집부(100)는 수신메일에 포함된 데이터들을 가공하여 해당 수신메일이 악성메일인지를 판별하고 악성메일의 종류까지 판별할 수 있는 메일데이터를 생성하며, 그 생성된 메일데이터를 메일분류부(200)로 제공한다.
상기한 과정을 거쳐 생성된 메일데이터를 토대로 악성메일을 분류하는 과정을 설명한다.
<메일분류과정>
본 발명의 바람직한 실시예에 따르는 메일분류과정을 도 6 내지 도 7을 참조하여 설명한다.
도 6은 수신메일이 악성메일인지 판별함과 아울러 그 악성메일이 도메인 메일인지 사설 메일인지 판별하는 수신메일 분류과정의 절차도를 도시한 것으로, 제1분류부(202)에 의해 수행된다.
상기 제1분류부(202)는 메일데이터가 수신되면(700단계), 발신 도메인과 수신 도메인이 일치하는지를 체크하고(702단계), 상기 발신 도메인과 수신 도메인이 일치하면 상기 메일 데이터에 S_SPF 포함 또는 H_SPF 포함에 대한 정보가 있는지를 체크한다(704단계). 상기 메일 데이터에 S_SPF 포함 또는 H_SPF 포함에 대한 정보가 없으면, 상기 제1분류부(202)는 메일 분류를 종료하며, 이 경우에 대한 메일 분류는 제2분류부(204)에 의해 처리된다.
그리고 상기 메일데이터가 발신 도메인과 수신 도메인이 일치하지 않거나(702단계), S_SPF 포함 또는 H_SPF 포함에 대한 정보가 있으면(704단계), 상기 제1분류부(202)는 메일데이터에 세션 도메인 없음이 포함되고(706단계), HELO 및 PTR 도메인 레코드 없음이 포함되었는지 체크하고(708단계), 상기 메일데이터에 세션 도메인 없음이 포함되고 HELO 및 PTR 도메인 레코드 없음이 포함되었으면, 상기 수신메일을 악성메일로 판단함과 아울러 발신 도메인 주소로 접속을 시도하고 발신 도메인 주소로의 접속이 가능하면 도메인 메일로 분류하고(714단계), 발신 도메인 주소로의 접속이 불가능하면 사설 메일로 분류한다(716단계).
즉 메일 데이터가 발신 도메인과 수신 도메인이 일치하지 않거나 발신 도메인과 수신 도메인이 일치하지 않으면서 S_SPF 포함 또는 H_SPF 포함을 나타내고, 상기 세션 도메인 없음과 HELO 및 PTR 도메인 레코드 없음임을 지시하면, 발신 도메인 주소로의 접속을 시도하고 접속이 가능하면 도메인 메일로 분류하고, 상기 메일 데이터가 발신 도메인과 수신 도메인이 일치하하지 않거나 발신 도메인과 수신도메인이 일치하지 않으면서 S_SPF 포함 또는 H_SPF 포함을 나타내고, 상기 세션 도메인 없음과 HELO 및 PTR 도메인 레코드 없음임을 지시하면 발신 도메인 주소로의 접속을 시도하고 접속이 불가능하면 수신메일을 악성 메일로 판별함과 아울러 사설 메일로 분류한다.
이와 달리 상기 메일 데이터에 세션 도메인 없음이 포함되지 않거나 세션 도메인 없음이 포함되었으면서 HELO 및 PTR 도메인 레코드 없음이 포함되지 않았다면, 상기 제1분류부(202)는 메일 분류를 종료한다.
여기서, 상기 도메인 메일은 도메인(DOMAIN) 정책으로 분류되는 메일이다. 이러한 도메인 메일로 판단되는 조건은 HELO 도메인과 세션도메인의 A 레코드가 퍼블릭 DNS에 등록되어 있지 않고, 발신 IP에 대한 PTR 레코드가 퍼블릭 DNS에 등록되어 있지 않은 상태에서 발신 IP로 SMTP 연결시도하여 세션 연결이 되는 것이다. 이러한 조건에 부합되는 경우에 도메인(DOMAIN) 정책으로 분류(퍼블릭 DNS에 등록되지 않은 도메인)하며, 상기 도메인 메일은 보내는 이와 받는 이의 도메인 일치여부와는 관계가 없다.
그리고 사설메일(PRIVATE) 정책으로 분류되는 메일의 조건은, HELO 도메인과 세션도메인의 A 레코드가 퍼블릭 DNS에 등록되어 있지 않고, 발신 IP에 대한 PTR 레코드가 퍼블릭 DNS에 등록되어 있지 않은 상태에서, 발신 IP로 SMTP 연결시도 하였을 때에 세션 연결이 거부되거나 시간초과 발생되는 것이다. 이 조건에 부합되는 경우에 사설(PRIVATE) 정책으로 분류(퍼블릭 DNS에 등록되지 않은 도메인)하며, 상기 사설 메일은 보내는 이와 받는 이의 도메인 일치여부와는 관계가 없다.
도 7은 수신메일이 악성메일인지 판별함과 아울러 그 악성메일이 사칭 메일인지 스피어 피싱 메일인지를 판별하는 수신메일 분류과정의 절차도를 도시한 것으로, 제2분류부(204)에 의해 수행된다.
상기 제2분류부(204)는 메일 데이터가 수신되면(800단계), 발신 도메인과 수신 도메인이 일치하는지를 체크하고, 상기 발신 도메인과 수신 도메인이 일치하지 않으면 메일 분류를 종료한다(802단계).
상기 발신 도메인과 수신 도메인이 일치하면, 상기 제2분류부(204)는 메일 데이터에 S_SPF 포함 또는 H_SPF 포함을 지시하는 정보가 포함되었으면 메일 분류를 종료하고, 그렇지 않다면 로컬 유저 정책이 허여된 상태인지를 체크한다(808단계). 여기서 상기 로컬 유저 정책은 메일의 받는 계정이 수신메일서버에 등록여부를 지시하며, 상기 로컬 유저 정책이 허여되지 않은 경우로는 퇴사자의 계정 또는 휴면계정 등이 될 수 있다. 이러한 로컬 유저 정책은 로컬 유저 정책의 활성/비활성 상태로 확인할 수 있으며, 상기 활성은 로컬유저 정책을 사용하는 의미로 수신메일서버에 계정의 존재여부를 나타내고, 비활성은 로컬유저 정책을 사용하지 않는 것으로 이는 수신메일서버에 계정의 존재와 관계없이 메일이 릴레이된다.
상기 로컬 유저 정책이 활성 상태인 경우, 발신계정의 사칭 여부를 명확히 판단할 수 있어 사칭과 스피어 피싱 메일을 분류할 수 있으나 로컬유저 정책이 비활성 상태의 경우 발신과 수신의 도메인은 무조건 일치하는 것으로 판단하여 사칭으로 분류할 수 있다.
상기 로컬 유저 정책이 허여되지 않았다면, 상기 제2분류부(204)는 해당 메일을 사칭 메일로 분류한다(810단계).
상기 로컬 유저 정책이 허여되었다면, 상기 제2분류부(204)는 수신 메일의 서버 IP로 접속을 시도한다(812단계). 상기 수신 메일 서버 IP로의 접속 시도에 따른 수신 메일 서버로부터의 응답이 요청이 성공적으로 이루어진 것을 지시하는 250 또는 250'이면, 상기 제2분류부(204)는 수신메일을 악성메일로 판별함과 아울러 사칭 메일로 분류한다(814,810단계).
이와 달리 수신 메일 서버 IP 접속 시도에 따른 수신 메일 서버로부터의 응답이 메일 사용불가를 지시하는 550이면, 상기 제2분류부(204)는 수신메일을 악성메일로 판별함과 아울러 스피어 피싱 메일로 분류한다(816,824단계).
이와 달리 수신 메일 서버 IP 접속 시도에 따른 수신 메일 서버로부터의 응답이 250,250',550이 아니면(818단계), 상기 제2분류부(204)는 발신 및 수신 어카운트가 일치하는지를 체크하고(822단계), 상기 발신 및 수신 어카운트가 일치하지 않으면 수신메일을 사칭메일로 분류하고(810단계), 상기 발신 및 수신 어카운트가 일치하면 상기 수신메일을 악성메일로 판별함과 아울러 스피어 피싱 메일로 분류한다(824단계).
이와 달리 수신 메일 서버 IP 접속 시도에 따른 접속이 실패하면(820단계), 제2분류부(204)는 상기 수신메일을 악성메일로 판별함과 아울러 사칭메일로 분류한다(810단계).
좀더 설명하면, 사칭 메일로 분류되는 경우는 발신과 수신 도메인이 일치하고, S_SPF 또는 H_SPF 모두 미포함이고 로컬유저 정책이 활성화되어 있다면 수신 메일서버에 접속하여 SMTP 세션 연결 상태에서 발신 계정을 받는 이의 메일주소로 지정하여 SMTP 응답코드 확인하였을 때에 사칭메일로 분류하는 응답코드(250, ONLY 250)를 반환받거나, 다른 코드(Other Code)를 반환받았을 때에는 발신 계정과 수신 계정 일치하거나, 수신메일 서버로의 접속이 안되거나 로컬유저 정책이 비활성화인 경우이다.
그리고 스피어 피싱 메일로 분류되는 경우는 발신과 수신의 도메인이 일치하고, S_SPF 또는 H_SPF 모두 미포함이고, 로컬유저 정책이 활성화된 상태에서 수신 메일서버 접속하여 SMTP 세션 연결 상태에서 발신 계정을 받는 이의 메일주소로 지정하여 SMTP 응답코드 확인하였을 때에 스피어 피싱 메일로 분류하는 응답코드(550)를 반환받거나 또는 다른 코드(Other code)를 반환받았을 때에 발신 계정과 수신 계정이 일치하지 않는 경우이다.
상술한 바와 같이 본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별할 수 있게 하여 다양한 방식의 악성메일로부터 선의의 메일 사용자를 보호할 수 있다.
또한 본 발명은 수신메일에 포함된 데이터들 중 악성메일 여부를 판별하기 위한 메일데이터들을 수집하고, 그 수집된 메일데이터들을 토대로 악성메일여부를 효과적으로 판별함은 물론이고 악성메일의 종류까지 판별하여 분류하여, 악성메일의 통계나 공격의 양상변화 등을 손쉽게 파악할 수 있게 하여 악성메일의 양상변화에 적응적으로 대응할 수 있게 한다.
이상의 설명에서 본 발명은 특정의 실시예와 관련하여 도시 및 설명하였지만, 특허청구범위에 의해 나타난 발명의 사상 및 영역으로부터 벗어나지 않는 한도 내에서 다양한 개조 및 변화가 가능하다는 것을 당 업계에서 통상의 지식을 가진 자라면 누구나 쉽게 알 수 있을 것이다.
100 : 데이터 수집부
200 : 메일 분류부

Claims (14)

  1. 악성메일 분류 시스템에 있어서,
    수신메일이 제공되면, 상기 수신메일의 발신 도메인과 수신 도메인이 일치하는지 여부를 판별하고, 상기 발신 도메인과 수신 도메인이 일치함을 나타내는 제1정보를 생성하고,
    상기 수신메일에 포함된 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제2정보를 생성하고,
    상기 수신메일에 포함된 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제3정보를 생성하고,
    상기 수신메일에 포함된 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제4정보를 생성하며, 상기 제1 내지 제4정보를 포함하는 메일데이터를 구성하는 메일데이터 수집부; 및
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치하지 않음을 나타내고, 상기 제2정보가 상기 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 상기 제3정보가 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 상기 제4정보가 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내면, 상기 수신메일을 악성메일로 판별하고 발신 도메인 주소로 접속을 시도하고 상기 발신 도메인 주소로 접속되지 않으면 사설메일로 분류하고, 상기 발신 도메인 주소로 접속되면 도메인메일로 분류하는 메일분류부;를 포함하는 것을 특징으로 하는 악성메일 분류 시스템.
  2. 제1항에 있어서,
    상기 메일데이터 수집부가,
    상기 수신메일의 세션 도메인의 A 레코드에서 SPF(Sender Policy Framework) TXT 레코드를 검출하고,
    그 SPF TXT 레코드가 퍼블릭 DNS 정보에 있는지 조회하고,
    그 조회결과 세션 도메인의 SPF TXT 레코드가 상기 퍼블릭 DNS 정보에 있으면,
    상기 수신메일의 세션 도메인의 A 레코드의 SPF TXT 레코드가 상기 퍼블릭 DNS 정보에 포함됨을 나타내는 제5정보를 생성하여 상기 메일데이터에 부가하며,
    상기 메일분류부는
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 상기 퍼블릭 DNS 정보에 포함됨을 나타내고, 상기 제2정보가 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 제3정보가 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 제4정보가 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내면, 상기 수신메일을 악성메일로 판별하고 발신 도메인 주소로 접속을 시도하고 발신 도메인주소로 접속되지 않으면 사설메일로 분류하고, 발신 도메인 주소로 접속되면 도메인메일로 분류함을 특징으로 하는 악성메일 분류 시스템.
  3. 제2항에 있어서,
    상기 메일데이터 수집부가,
    상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF(Sender Policy Framework) TXT 레코드를 검출하고,
    그 SPF TXT 레코드가 퍼블릭 DNS 정보에 있는지 조회하고,
    그 조회결과 헤더 발신 도메인의 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되면,
    상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함됨을 나타내는 제6정보를 생성하여 상기 메일데이터에 부가하며,
    상기 메일분류부는
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 상기 퍼블릭 DNS 정보에 포함됨을 나타내거나, 상기 제6정보가 상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함됨을 나타내고, 상기 제2정보가 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 제3정보가 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 제4정보가 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내면, 발신 도메인주소로 접속을 시도하고 발신 도메인주소로 접속되지 않으면 사설메일로 분류하고, 발신 도메인주소로 접속되면 도메인메일로 분류함을 특징으로 하는 악성메일 분류 시스템.
  4. 제3항에 있어서,
    상기 메일분류부는,
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내고 상기 제6정보가 상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내면, 로컬 유저 정책이 허여되어 있는지를 판별하고 상기 로컬 유저 정책이 허여되어 있지 않으면 상기 수신메일을 악성메일로 판별함과 아울러 상기 수신메일을 사칭 메일로 분류함을 특징으로 하는 악성메일 분류 시스템.
  5. 제3항에 있어서,
    상기 메일분류부는
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내고 상기 제6정보가 상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내면, 상기 로컬 유저 정책이 허여되어 있는지를 판별하고 상기 로컬 유저 정책이 허여되어 있으면 수신메일의 서버에 접속시도하고,
    상기 접속시도에 따라 상기 수신메일의 서버로부터 제1특정 코드를 반환받거나 접속실패하는 경우에 상기 수신메일을 악성메일로 판별함과 아울러 상기 수신메일을 사칭 메일로 분류하며,
    상기 제1특정 코드는 사칭 메일을 나타내는 코드임을 특징으로 하는 악성메일 분류 시스템.
  6. 제3항에 있어서,
    상기 메일분류부는
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내고, 상기 제6정보가 상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내면, 로컬 유저 정책이 허여되어 있는지를 판별하고 상기 로컬 유저 정책이 허여되어 있으면 수신메일의 서버에 접속시도하고,
    상기 접속시도에 따라 상기 수신메일의 서버로부터 제2특정 코드를 반환받으면 스피어 피싱 메일로 분류하며,
    상기 제2특정 코드는 스피어 피싱 메일을 나타내는 코드임을 특징으로 하는 악성메일 분류 시스템.
  7. 제3항에 있어서,
    상기 메일데이터 수집부는,
    상기 수신메일의 발신 어카운트와 수신 어카운트가 일치하는지 여부를 나타내는 제7정보를 생성하여 상기 메일데이터에 부가하고,
    상기 메일분류부는,
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내고, 상기 제6정보가 상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내면, 로컬 유저 정책이 허여되어 있는지를 판별하고 상기 로컬 유저 정책이 허여되어 있으면 수신메일의 서버에 접속시도하고,
    상기 접속시도에 따라 상기 수신메일의 서버로부터 상기 제1 및 제2특정 코드가 아닌 코드를 반환받으면 상기 제7정보가 발신 및 수신 어카운트가 일치함을 나타내는지 체크하고, 상기 발신 및 수신 어카운트가 일치함을 나타내면 상기 수신메일을 스피어 피싱 메일로 분류하고, 상기 발신 및 수신 어카운트가 일치하지 않음을 나타내면 상기 수신메일을 사칭 메일로 분류함을 특징으로 하는 악성메일 분류 시스템.
  8. 악성메일 분류방법에 있어서,
    수신메일이 제공되면, 상기 수신메일의 발신 도메인과 수신 도메인이 일치하는지 여부를 판별하고, 상기 발신 도메인과 수신 도메인이 일치함을 나타내는 제1정보를 생성하고,
    상기 수신메일에 포함된 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제2정보를 생성하고,
    상기 수신메일에 포함된 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제3정보를 생성하고,
    상기 수신메일에 포함된 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 판별하고, 상기 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 있는지 여부를 나타내는 제4정보를 생성하며, 상기 제1 내지 제4정보를 포함하는 메일데이터를 구성하는 메일데이터 수집단계; 및
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치하지 않음을 나타내고, 상기 제2정보가 상기 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 상기 제3정보가 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 상기 제4정보가 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내면, 상기 수신메일을 악성메일로 판별하고 발신 도메인 주소로 접속을 시도하고 상기 발신 도메인 주소로 접속되지 않으면 사설메일로 분류하고, 상기 발신 도메인 주소로 접속되면 도메인메일로 분류하는 메일분류단계;를 포함하는 것을 특징으로 하는 악성메일 분류 방법.
  9. 제8항에 있어서,
    상기 메일데이터 수집단계가,
    상기 수신메일의 세션 도메인의 A 레코드에서 SPF(Sender Policy Framework) TXT 레코드를 검출하고,
    그 SPF TXT 레코드가 퍼블릭 DNS 정보에 있는지 조회하고,
    그 조회결과 세션 도메인의 SPF TXT 레코드가 상기 퍼블릭 DNS 정보에 있으면,
    상기 수신메일의 세션 도메인의 A 레코드의 SPF TXT 레코드가 상기 퍼블릭 DNS 정보에 포함됨을 나타내는 제5정보를 생성하여 상기 메일데이터에 부가하며,
    상기 메일분류단계가,
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 상기 퍼블릭 DNS 정보에 포함됨을 나타내고, 상기 제2정보가 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 제3정보가 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 제4정보가 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내면, 상기 수신메일을 악성메일로 판별하고 발신 도메인 주소로 접속을 시도하고 발신 도메인주소로 접속되지 않으면 사설메일로 분류하고, 발신 도메인 주소로 접속되면 도메인메일로 분류함을 특징으로 하는 악성메일 분류 방법.
  10. 제9항에 있어서,
    상기 메일데이터 수집단계가,
    상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF(Sender Policy Framework) TXT 레코드를 검출하고,
    그 SPF TXT 레코드가 퍼블릭 DNS 정보에 있는지 조회하고,
    그 조회결과 헤더 발신 도메인의 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되면,
    상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함됨을 나타내는 제6정보를 생성하여 상기 메일데이터에 부가하며,
    상기 메일분류단계가,
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 상기 퍼블릭 DNS 정보에 포함됨을 나타내거나, 상기 제6정보가 상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함됨을 나타내고, 상기 제2정보가 세션 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 제3정보가 HELO 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내고, 제4정보가 PTR 도메인의 A 레코드가 퍼블릭 DNS 정보에 없음을 나타내면, 발신 도메인주소로 접속을 시도하고 발신 도메인주소로 접속되지 않으면 사설메일로 분류하고, 발신 도메인주소로 접속되면 도메인메일로 분류함을 특징으로 하는 악성메일 분류 방법.
  11. 제10항에 있어서,
    상기 메일분류단계가,
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내고 상기 제6정보가 상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내면, 로컬 유저 정책이 허여되어 있는지를 판별하고 상기 로컬 유저 정책이 허여되어 있지 않으면 상기 수신메일을 악성메일로 판별함과 아울러 상기 수신메일을 사칭 메일로 분류함을 특징으로 하는 악성메일 분류 방법.
  12. 제10항에 있어서,
    상기 메일분류단계가,
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내고 상기 제6정보가 상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내면, 상기 로컬 유저 정책이 허여되어 있는지를 판별하고 상기 로컬 유저 정책이 허여되어 있으면 수신메일의 서버에 접속시도하고,
    상기 접속시도에 따라 상기 수신메일의 서버로부터 제1특정 코드를 반환받거나 접속실패하는 경우에 상기 수신메일을 악성메일로 판별함과 아울러 상기 수신메일을 사칭 메일로 분류하며,
    상기 제1특정 코드는 사칭 메일을 나타내는 코드임을 특징으로 하는 악성메일 분류 방법.
  13. 제10항에 있어서,
    상기 메일분류단계가,
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내고, 상기 제6정보가 상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내면, 로컬 유저 정책이 허여되어 있는지를 판별하고 상기 로컬 유저 정책이 허여되어 있으면 수신메일의 서버에 접속시도하고,
    상기 접속시도에 따라 상기 수신메일의 서버로부터 제2특정 코드를 반환받으면 스피어 피싱 메일로 분류하며,
    상기 제2특정 코드는 스피어 피싱 메일을 나타내는 코드임을 특징으로 하는 악성메일 분류 방법.
  14. 제10항에 있어서,
    상기 메일데이터 수집단계가,
    상기 수신메일의 발신 어카운트와 수신 어카운트가 일치하는지 여부를 나타내는 제7정보를 생성하여 상기 메일데이터에 부가하고,
    상기 메일분류단계가,
    상기 메일데이터를 제공받아 상기 제1정보가 발신 도메인과 수신 도메인이 일치함을 나타내고, 상기 제5정보가 상기 수신메일의 세션 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내고, 상기 제6정보가 상기 수신메일의 헤더 발신 도메인의 A 레코드에서 SPF TXT 레코드가 퍼블릭 DNS 정보에 포함되지 않음을 나타내면, 로컬 유저 정책이 허여되어 있는지를 판별하고 상기 로컬 유저 정책이 허여되어 있으면 수신메일의 서버에 접속시도하고,
    상기 접속시도에 따라 상기 수신메일의 서버로부터 상기 제1 및 제2특정 코드가 아닌 코드를 반환받으면 상기 제7정보가 발신 및 수신 어카운트가 일치함을 나타내는지 체크하고, 상기 발신 및 수신 어카운트가 일치함을 나타내면 상기 수신메일을 스피어 피싱 메일로 분류하고, 상기 발신 및 수신 어카운트가 일치하지 않음을 나타내면 상기 수신메일을 사칭 메일로 분류함을 특징으로 하는 악성메일 분류 방법.
KR1020220042230A 2022-04-05 2022-04-05 악성메일 분류방법 및 시스템 KR20230143401A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220042230A KR20230143401A (ko) 2022-04-05 2022-04-05 악성메일 분류방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220042230A KR20230143401A (ko) 2022-04-05 2022-04-05 악성메일 분류방법 및 시스템

Publications (1)

Publication Number Publication Date
KR20230143401A true KR20230143401A (ko) 2023-10-12

Family

ID=88291720

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220042230A KR20230143401A (ko) 2022-04-05 2022-04-05 악성메일 분류방법 및 시스템

Country Status (1)

Country Link
KR (1) KR20230143401A (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130131133A (ko) 2012-05-23 2013-12-03 경기대학교 산학협력단 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템
KR102176564B1 (ko) 2020-04-22 2020-11-09 (주)리얼시큐 사칭 또는 위변조 메일 관리 방법 및 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130131133A (ko) 2012-05-23 2013-12-03 경기대학교 산학협력단 내외부 트래픽 모니터링을 통한 지능화된 피싱 메일의 차단방법 및 지능화된 피싱 메일의 차단시스템
KR102176564B1 (ko) 2020-04-22 2020-11-09 (주)리얼시큐 사칭 또는 위변조 메일 관리 방법 및 시스템

Similar Documents

Publication Publication Date Title
AU2008207926B2 (en) Correlation and analysis of entity attributes
US9544272B2 (en) Detecting image spam
US10050917B2 (en) Multi-dimensional reputation scoring
US8578480B2 (en) Systems and methods for identifying potentially malicious messages
AU2004202268B2 (en) Origination/destination features and lists for spam prevention
US7937480B2 (en) Aggregation of reputation data
US8561167B2 (en) Web reputation scoring
US7779156B2 (en) Reputation based load balancing
AU2008207924B2 (en) Web reputation scoring
US20080175226A1 (en) Reputation Based Connection Throttling
WO2006107904A1 (en) Method and apparatus for detecting email fraud
JP2009512082A (ja) 電子メッセージ認証
KR101535503B1 (ko) 상용 이메일 기반 악성코드 감염단말 탐지 방법
KR20230143401A (ko) 악성메일 분류방법 및 시스템
Jayan et al. Detection of spoofed mails
Cook et al. Phishwish: a simple and stateless phishing filter
Dantu et al. Classification of phishers
Fuhrman Forensic value of backscatter from email spam

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right