知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-03-04
(45)【発行日】2022-03-14
(54)【発明の名称】人工知能に基づくメール管理方法及びその装置
(51)【国際特許分類】
H04L 51/00 20220101AFI20220307BHJP
G06F 21/56 20130101ALI20220307BHJP
G06N 3/02 20060101ALI20220307BHJP
【FI】
H04L51/00
G06F21/56
G06N3/02
【請求項の数】
15
(21)【出願番号】P 2019556265
(86)(22)【出願日】2019-08-07
(65)【公表番号】
(43)【公表日】2021-10-21
(86)【国際出願番号】 KR2019009870
(87)【国際公開番号】W WO2021025203
(87)【国際公開日】2021-02-11
【審査請求日】2019-10-15
【早期審査対象出願】
(73)【特許権者】
【識別番号】517434585
【氏名又は名称】株式会社ギウォンテク
【氏名又は名称原語表記】KIWONTECH
【住所又は居所原語表記】509-Ho, 53, Digital-ro 31-gil, Guro-gu, Seoul, Republic of Korea
(74)【代理人】
【識別番号】110002262
【氏名又は名称】TRY国際特許業務法人
(72)【発明者】
【氏名】キム チュンハン
(72)【発明者】
【氏名】キム キナム
【審査官】岩田 玲彦
(56)【参考文献】
【文献】韓国登録特許第10-0458168(KR,B1)
【文献】韓国公開特許第10-2004-0011121(KR,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 51/00
G06F 21/56
G06N 3/02
(57)【特許請求の範囲】
【請求項1】
ユーザ情報、及びユーザアカウント別に受信された悪性メール情報を獲得する段階と、前記ユーザ情報及び前記悪性メール情報を基に、既生成人工知能モデルに、ユーザアカウント別に受信された悪性メールの特性を学習させる段階と、
特定ユーザのアカウントを前記学習された人工知能モデルに入力し、前記特定ユーザが受信しうる悪性メールの類型についての診断情報を提供する段階と、を含む人工知能に基づくメール管理方法。
【請求項2】
前記学習させる段階は、前記人工知能モデルの入力ニューロンに、複数のユーザ情報、及び複数のユーザ別悪性メール情報それぞれを示す入力値を適用する段階と、
前記入力値を適用した結果として獲得した出力値をフィードバックし、前記人工知能モデルを構成する複数レイヤのパラメータ値を決定する段階と、を含むことを特徴とする請求項1に記載の人工知能に基づくメール管理方法。
【請求項3】
前記特定ユーザが受信しうる悪性メールの類型が決定されることにより、悪性メールの閲覧を防止することができるソリューションについての情報を提供する段階をさらに含むことを特徴とする請求項1に記載の人工知能に基づくメール管理方法。
【請求項4】
前記ユーザ情報は、ユーザの職業及び年齢のうち少なくとも一つを含み、
前記悪性メール情報は、
悪性メールの類型、悪性メールを検出するかどうか、及び悪性メールによる被害情報のうち少なくとも一つを含むことを特徴とする請求項1に記載の人工知能に基づくメール管理方法。
【請求項5】
前記悪性メールの類型は、メールアドレス詐称、類似ドメイン使用、ヘッダ偽造及び変造、並びに悪性コード挿入のうち少なくとも一つを含むことを特徴とする請求項1に記載の人工知能に基づくメール管理方法。
【請求項6】
少なくとも一つのユーザアカウントに受信された複数のメールそれぞれを既定義の複数仮想空間に割り当てる段階と、前記複数仮想空間それぞれにおいて、悪性メール検出のために必要なリソースの割り当てを動的に制御する段階と、をさらに含むことを特徴とする請求項1に記載の人工知能に基づくメール管理方法。
【請求項7】
前記提供された診断情報による悪性メールの類型と、ユーザアカウントに実際受信された悪性メールの類型とを比較する段階と、前記比較の結果に基づき、前記人工知能モデルに含まれたパラメータをアップデートする段階と、をさらに含むことを特徴とする請求項1に記載の人工知能に基づくメール管理方法。
【請求項8】
ユーザ情報、及びユーザアカウント別に受信された悪性メール情報を獲得する通信部と、既生成人工知能モデルを保存するメモリと、
前記ユーザ情報及び前記悪性メール情報を基に、前記人工知能モデルに、ユーザアカウント別に受信された悪性メールの特性を学習させ、特定ユーザのアカウントを前記学習された人工知能モデルに入力し、前記特定ユーザが受信しうる悪性メールの類型についての診断情報を提供するプロセッサと、を含む人工知能に基づくメール管理装置。
【請求項9】
前記プロセッサは、前記人工知能モデルの入力ニューロンに、複数のユーザ情報、及び複数のユーザ別悪性メール情報それぞれを示す入力値を適用し、
前記入力値を適用した結果として獲得した出力値をフィードバックし、前記人工知能モデルを構成する複数レイヤのパラメータ値を決定することを特徴とする請求項8に記載の人工知能に基づくメール管理装置。
【請求項10】
前記プロセッサは、前記特定ユーザが受信しうる悪性メールの類型が決定されることにより、悪性メールの閲覧を防止することができるソリューションについての情報を提供することを特徴とする請求項8に記載の人工知能に基づくメール管理装置。
【請求項11】
前記ユーザ情報は、ユーザの職業及び年齢のうち少なくとも一つを含み、
前記悪性メール情報は、
悪性メールの類型、悪性メールを検出するかどうか、及び悪性メールによる被害情報のうち少なくとも一つを含むことを特徴とする請求項8に記載の人工知能に基づくメール管理装置。
【請求項12】
前記悪性メールの類型は、メールアドレス詐称、類似ドメイン使用、ヘッダ偽造及び変造、並びに悪性コード挿入のうち少なくとも一つを含むことを特徴とする請求項8に記載の人工知能に基づくメール管理装置。
【請求項13】
前記プロセッサは、少なくとも一つのユーザアカウントに受信された複数のメールそれぞれを既定義の複数仮想空間に割り当て、
前記複数仮想空間それぞれにおいて、悪性メール検出のために必要なリソースの割り当てを動的に制御する段階をさらに含むことを特徴とする請求項8に記載の人工知能に基づくメール管理装置。
【請求項14】
前記プロセッサは、前記提供された診断情報による悪性メールの類型と、ユーザアカウントに実際受信された悪性メールの類型とを比較し、
前記比較の結果に基づき、前記人工知能モデルに含まれたパラメータをアップデートすることを特徴とする請求項8に記載の人工知能に基づくメール管理装置。
【請求項15】
請求項1に記載の方法をコンピュータで実行させるためのプログラムを記録したコンピュータで読み取り可能な記録媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、人工知能に基づくメール管理方法及びこれを実行する装置に関する。
【背景技術】
【0002】
オンラインを介したメール送受信は、時間や場所などに関わらずに、発信者のメッセージを受信者に伝達することができる基本的な通信方法として日常に位置づけられている。しかし、メールは、受信者が願わない広告性情報はもとより、受信者に金銭的/精神的被害を与えることになる各種フィッシングメール及び悪性コードを含み、受信者の個人情報を無断に流出したり、受信者に金銭的な被害を与えたりする悪意的な通信手段に活用されている。そのような悪性メールが氾濫しながら、それによる被害を防止するための多様な保安技術が開発された。ただし、悪性メールのタイプが徐々に多様化されることにより、既存の技術では、受信される悪性メールを識別するのに限界がある。
【発明の概要】
【発明が解決しようとする課題】
【0003】
本発明が解決しようとする課題は、一例として、ユーザのアカウント別に受信された悪性メール情報を基に、人工知能モデルを利用し、ユーザに受信されうる悪性メールについての診断情報を提供する方法及びその装置を提供することである。
【0004】
また、他の例により、人工知能モデルを基に悪性メールを識別し、それに対するソリューションを提供する方法及びその装置を提供することである。
【課題を解決するための手段】
【0005】
一実施形態による人工知能に基づくメール管理方法は、ユーザ情報、及びユーザアカウント別に受信された悪性メール情報を獲得する段階と、ユーザ情報及び悪性メール情報を基に、既生成人工知能モデルに、ユーザアカウント別に受信された悪性メールの特性を学習させる段階と、ユーザのアカウントを、学習された人工知能モデルに入力し、特定ユーザが受信しうる悪性メールの類型についての診断情報を提供する段階と、を含んでもよい。
【0006】
一実施形態による人工知能に基づくメール管理方法において、学習させる段階は、人工知能モデルの入力ニューロンに、複数のユーザ情報、及び複数のユーザ別悪性メール情報それぞれを示す入力値を適用する段階と、該入力値を適用した結果として獲得した出力値をフィードバックし、人工知能モデルを構成する複数レイヤのパラメータ値を決定する段階と、を含んでもよい。
【0007】
一実施形態による人工知能に基づくメール管理方法は、特定ユーザが受信しうる悪性メールの類型が決定されることにより、悪性メールの閲覧を防止することができるソリューションについての情報を提供する段階をさらに含んでもよい。
【0008】
一実施形態による人工知能に基づくメール管理方法において、ユーザ情報は、ユーザの職業、年回り及び年齢のうち少なくとも一つを含み、悪性メール情報は、悪性メールの類型、悪性メールを検出するかどうか、及び悪性メールによる被害情報のうち少なくとも一つを含んでもよい。
【0009】
一実施形態による人工知能に基づくメール管理方法において、悪性メールの類型は、メールアドレス詐称、類似ドメイン使用、ヘッダ偽造及び変造、並びに悪性コード挿入のうち少なくとも一つを含んでもよい。
【0010】
一実施形態による人工知能に基づくメール管理方法は、少なくとも一つのユーザアカウントに受信された複数のメールそれぞれを既定義の複数仮想空間に割り当てる段階と、複数仮想空間それぞれにおいて、悪性メール検出のために必要なリソースの割り当てを動的に制御する段階と、をさらに含んでもよい。
【0011】
一実施形態による人工知能に基づくメール管理方法において、提供された診断情報による悪性メールの類型と、ユーザアカウントに実際受信された悪性メールの類型とを比較する段階と、比較結果に基づき、人工知能モデルに含まれたパラメータをアップデートする段階と、をさらに含んでもよい。
【0012】
一実施形態による人工知能に基づくメール管理装置は、ユーザ情報、及びユーザアカウント別に受信された悪性メール情報を獲得する通信部と、既生成人工知能モデルを保存するメモリと、ユーザ情報及び悪性メール情報を基に、人工知能モデルに、ユーザアカウント別に受信された悪性メールの特性を学習させ、特定ユーザのアカウントを、学習された人工知能モデルに入力し、特定ユーザが受信しうる悪性メールの類型についての診断情報を提供するプロセッサと、を含んでもよい。
【図面の簡単な説明】
【0013】
【図1】一実施形態によるメール管理サーバのブロック図である。
【図2】一実施形態によるメール管理サーバが、人工知能モデルに基づいて、悪性メール診断情報を提供する方法について説明するための図面である。
【図3】一実施形態によるメール管理サーバが、人工知能モデルに基づいて、受信メール信頼度情報を提供する方法について説明するための図面である。
【図4】一実施形態によるメール管理サーバが、仮想空間を利用し、悪性メールの類型を検査する方法について説明するための図面である。
【図5】一実施形態によるメール管理サーバが、類似ドメインを利用した悪性メールを処理する方法について説明するための図面である。
【図6】一実施形態によるメール管理サーバが、発送経路が変更された悪性メールを処理する方法について説明するための図面である。
【図7】一実施形態によるメール管理サーバが、発送経路が変更された悪性メールを処理する方法について説明するための図面である。
【図8】一実施形態によるメール管理サーバが、本文に悪性URLが添付された悪性メールを処理する方法について説明するための図面である。
【図9】一実施形態によるメール管理サーバが、悪性コードが添付された悪性メールを処理する方法について説明するための図面である。
【図10】一実施形態によるメール管理サーバが提供するレポートについて説明するための図面である。
【図11A】一実施形態によるメール管理サーバが提供する悪性メールのタイプについてのレポートについて説明するための図面である。
【図11B】一実施形態によるメール管理サーバが提供する悪性メールの診断情報について説明するための図面である。
【図12A】一実施形態によるメール管理サーバが診断した悪性メールの統計情報を提供するための方法である。
【図12B】一実施形態によるメール管理サーバが診断した悪性メールの統計情報を提供するための方法である。
【図12C】一実施形態によるメール管理サーバが診断した悪性メールの統計情報を提供するための方法である。
【図13】一実施形態によるメール管理サーバの動作について説明するためのフローチャートである。
【発明を実施するための形態】
【0014】
本明細書で使用される用語について簡略に説明し、本発明について具体的に説明する。
【0015】
本発明で使用される用語は、本発明での機能を考慮しながら、可能な限り現在汎用される一般的な用語を選択したが、それは、本分野の当業者の意図、判例、または新たな技術の出現などによっても異なる。また、特定の場合、出願人が任意に選定した用語もあり、その場合、該当する発明の説明部分において、詳細にその意味を記載する。従って、本発明で使用される用語は、単なる用語の名称ではなく、その用語が有する意味と、本発明の全般にわたる内容とを基に定義されなければならない。
【0016】
明細書全体において、ある部分がある構成要素を「含む」とするとき、それは、特別に反対となる記載がない限り、他の構成要素を除くものではなく、他の構成要素をさらに含んでもよいということを意味する。また、明細書に記載された「…部」、「モジュール」のような用語は、少なくとも一つの機能や動作を処理する単位を意味し、それは、ハードウェアまたはソフトウェアによって体現されるか、あるいはハードウェアとソフトウェアとの結合によっても体現される。
【0017】
以下では、添付図面を参照し、本発明の実施形態について、本発明が属する技術分野において当業者が容易に実施することができるように詳細に説明する。しかし、本発明は、さまざまな異なる形態によっても体現され、ここで説明する実施形態に限定されるものではない。そして、図面において、本発明について明確に説明するために、説明と関係ない部分は、省略し、明細書全体を通じて類似した部分については、類似した図面符号を付した。
【0018】
図1は、一実施形態によるメール管理サーバ100のブロック図である。
【0019】
図1に図示されているように、一実施形態によるメール管理サーバ100は、通信部110、プロセッサ120及びメモリ130を含んでもよい。しかし、図示された構成要素がいずれも必要構成要素であるものではない。図示された構成要素より多くの構成要素により、メール管理サーバ100が体現されてもよく、それより少ない構成要素によって、メール管理サーバ100が体現されてもよい。
【0020】
以下、前記構成要素について順に説明する。
【0021】
通信部110は、外部装置と情報を送受信するためのものであり、例えば、メールサーバから、以前まで受信された悪性メール、または悪性メールについての情報を受信しうる。また、他の例により、通信部110は、メールサーバに、ユーザアカウント別に受信しうる悪性メールの類型についての診断情報を提供するか、あるいは悪性メールに対する警告メッセージなどを伝送することができる。通信部110において、悪性メールに係わる診断情報を獲得する方法については、以下、プロセッサ120の動作において、さらに具体的に後述する。
【0022】
プロセッサ120は、一般的に、メール管理サーバ100の全般的な動作を制御する。例えば、プロセッサ120は、ユーザ情報、及びユーザアカウント別に受信された悪性メール情報を獲得するように、通信部110を制御することができる。また、プロセッサ120は、ユーザ情報及び悪性メール情報を基に、既生成人工知能モデルに、ユーザアカウント別に受信された悪性メールの特性を学習させることができる。具体的には、プロセッサ120においては、多数の学習データを利用し、学習アルゴリズムにより、人工知能モデルが所望する特性(例えば、悪性メールの特性)を識別するように学習がなされる。例えば、プロセッサ120は、特定グループ(例えば、会社、学校、政府組織など)のユーザアカウントに受信されたメールのうち悪性メールについての情報を学習データとして利用し、人工知能モデルが、ユーザアカウント別に受信されうる悪性メールのタイプを識別することができるように、学習を実行させることができる。学習アルゴリズムの例としては、教師あり学習(supervised learning)、教師無し学習(unsupervised learning)、半教師あり学習(semi-supervised learning)または強化学習(reinforcement learning)があるが、前述の例に限定されるものではない。
【0023】
該人工知能モデルは、複数の神経網レイヤによっても構成される。複数の神経網レイヤそれぞれは、複数の重み値(weight values)を有しており、以前(previous)レイヤの演算結果と、複数の重み値との演算によって神経網演算を行う。複数の神経網レイヤが有している複数の重み値は、人工知能モデルの学習結果によっても最適化される。例えば、学習過程の間、人工知能モデルで獲得したロス(loss)値またはコスト(cost)値が低減または最小化されるように、複数の重み値が更新される。該人工神経網は、深層神経網(DNN:deep neural network)を含んでもよく、例えば、CNN(convolutional neural network)、DNN(deep neural network)、RNN(recurrent neural network)、RBM(restricted Boltzmann machine)、DBN(deep belief network)、BRDNN(bidirectional recurrent deep neural network)または深層Q-ネットワーク(deep Q-networks)などがあるが、前述の例に限定されるものではない。
【0024】
一実施形態によるプロセッサ120は、特定ユーザのアカウントを、学習された人工知能モデルに入力し、特定ユーザが受信しうる悪性メールの類型についての診断情報を提供することができる。例えば、プロセッサ120は、H公企業に通うユーザのアカウントを、学習された人工知能モデルに入力することができる。その場合、人工知能モデルは出力値で、H公企業で発生しうると予測された悪性メールのタイプ、各タイプの比率などについての診断情報を提供することができる。例えば、プロセッサ120は、H公企業の場合、受信されうる悪性メールの70%が、退職者アカウントを盗用するタイプに該当し、20%が類似ドメインを利用するタイプに該当し、10%が発送経路を偽造するタイプに該当するという診断情報を提供することができる。
【0025】
また、プロセッサ120は、診断情報と共に、診断結果により、悪性メール受信による被害を最小化させることができるユーザアカウント別にソリューションを提供することができる。ここで、該ソリューションは、グループ単位でも提供され、グループ内において、ユーザの特性によって細分化されて提供されてもよい。前述の例によるH公企業の場合、退職者アカウントを盗用する悪性メールの類型が最も多く発生することにより、退職者アカウントに受信された悪性メールの場合、ユーザが閲覧することができる権限を、管理者が遮断するというようなソリューションが提供される。ただし、それは、一例に過ぎず、悪性メール閲覧予防のために提供されるソリューションは、前述の例に限定されるものではない。
【0026】
一方、プロセッサ120は、前述の動作を実行することができるモデル学習部122、認識結果提供部124及びモデル更新部126を含んでもよい。モデル学習部122においては、人工知能モデルに、悪性メールの特性を学習させることができる。また、認識結果提供部124は、悪性メールの類型についての診断情報を提供することができる。ただし、それは、一例に過ぎず、認識結果提供部124は、現在受信されたメールが悪性メールに該当するか否かということについての情報を提供することもできる。それについては、図3を参照し、さらに具体的に後述することにする。モデル更新部126は、人工知能モデルを介して出力された値と、実際値との差に基づいて、人工知能モデルの各レイヤのパラメータを更新することができる。
【0027】
メモリ130は、プロセッサ120の処理及び制御のためのプログラムを保存することもでき、入出力される情報(例えば、悪性メールの類型についての診断情報)を保存することもできる。
【0028】
メモリ130は、フラッシュメモリタイプ、ハードディスクタイプ、マルチメディアカードマイクロタイプ、カードタイプのメモリ(例えば、SDメモリまたはXDメモリなど)、RAM(random access memory)、SRAM(static random access memory)、ROM(read-only memory)、EEPROM(electrically erasable programmable read-only memory)、PROM(programmable read-only memory)、磁気メモリ、磁気ディスク、光ディスクのうち少なくとも一つのタイプの記録媒体を含んでもよい。また、メール管理サーバ100は、インターネット上において、メモリ130の保存機能を実行するウェブストレージ(web storage)またはクラウドサーバを運用することもできる。
【0029】
図2は、一実施形態によるメール管理サーバが、人工知能モデルに基盤づき、悪性メール診断情報240を提供する方法について説明するための図面である。
【0030】
図2を参照すれば、該メール管理サーバは、入力レイヤ210、少なくとも1層の隠れレイヤ(hidden layer)220及び出力レイヤ230によって構成された人工知能モデルの学習のための学習データを獲得することができる。該学習データには、以前までユーザに受信された悪性メールのタイプ、悪性メールのヘッダ・本文・添付ファイル、及び当該ユーザのアカウントやプロファイル情報などが含まれる。
【0031】
一実施形態による悪性メールのタイプには、メールアドレス詐称、類似ドメイン使用、ヘッダ偽造及び変造、並びに悪性コード挿入などが含まれるが、それらは、一例に過ぎず、本開示で適用しようとする悪性メールのタイプは、前述の例に限定されるものではない。他の例により、本文に、フィッシングサイトについての情報を挿入する方式の悪性メールも、悪性メールのタイプの例に含まれる。本開示で考慮する悪性メールのタイプについては、図5ないし図9を参照し、さらに具体的に後述することにする。また、ユーザのプロファイル情報には、ユーザの職業、年回り、年齢などユーザの特性を示す情報などが含まれる。
【0032】
該メール管理サーバは、ユーザ情報及び悪性メール情報を基に、ユーザアカウント別に受信された悪性メールの類型を示す特性ベクトルを獲得することができる。該メール管理サーバは、特性ベクトルを、入力レイヤ210に含まれた各ノードに入力することができる。入力レイヤ210に入力された値は、既設定重み値により、隠れレイヤ220に伝達され、最終的に、出力レイヤ230を介して、悪性メール診断情報240が提供される。正確度が高い悪性メール診断情報240を獲得するためには、前述の学習過程が反復的に実行されなければならず、学習過程別に出力された値をフィードバックとして適用することにより、学習効果をさらに高めることができる。
【0033】
一方、該メール管理サーバは、人工知能モデルを介して、悪性メールについての診断情報だけでなく、受信されたメールが、悪性メールに該当するか否かということを示すメールの信頼度情報も提供することができる。それについては、図3を参照し、さらに具体的に後述することにする。
【0034】
図3は、一実施形態によるメール管理サーバが、人工知能モデルに基づき、受信メール信頼度情報を提供する方法について説明するための図面である。
【0035】
図3を参照すれば、該メール管理サーバは、入力レイヤ310、少なくとも1層の隠れレイヤ320及び出力レイヤ330によって構成された人工知能モデル学習のための学習データを獲得することができる。該学習データには、以前までユーザに受信されたメールの発送先、メールの本文及びヘッダ、ユーザのアカウントやプロファイル情報などが含まれる。
【0036】
本実施形態の人工知能モデルの場合、受信されたメールの信頼度を判断しなければならないことにより、メール管理サーバは、人工知能モデルを学習させるためのデータとして、悪性メール及び正常メールについての情報をいずれも利用することができる。具体的には、該メール管理サーバは、受信されたメールが正常メールである場合の発信者、メール本文、ヘッダの特性を、ユーザアカウント別またはプロファイル別に抽出し、入力レイヤ310に入力することができる。また、該メール管理サーバは、受信されたメールが悪性メールである場合の発信者、メール本文、ヘッダの特性を、ユーザアカウント別またはプロファイル別に抽出し、入力レイヤ310に入力することもできる。入力レイヤ310に入力された値は、既設定重み値により、隠れレイヤ320に伝達され、最終的に、出力レイヤ330を介し、受信メールの信頼度が提供される。
【0037】
該メール管理サーバは、出力された受信メールの信頼度が臨界値以下である場合、ユーザのメールサーバに、当該受信メールを閲覧しないことを要請する警告メッセージを伝送することができる。該警告メッセージは、別途のメールの形態によっても伝送されるが、それは一例に過ぎず、当該受信メールの題目またはヘッダに、悪性メールに該当することを示す情報を挿入することもできる。また、該メール管理サーバは、周期的に、当該ユーザに受信された悪性メールについてのレポートを提供することができる。他の例により、該メール管理サーバは、ユーザに警告メッセージを伝送せず、直接当該受信メールへの接続権限を遮断することができる。ただし、それは一例に過ぎず、該メール管理サーバは、出力された受信メールの信頼度が臨界値以下である場合、メールサーバに、受信メールをイメージに変換せよという信号を伝送することもできる。
【0038】
また、前述の臨界値は、ユーザのプロファイルにより、異なって設定されてもよく、悪性メールの類型別に、臨界値が異なって設定されてもよい。例えば、ユーザが、会計士、税理士のように、税金を報告する職責である場合、税金を納付するように偽装したウェブサイトのリンクをハッカが本文に添付し、メールに伝送する可能性が高い。そのような場合、該メール管理サーバは、税金報告職責に対して、URL偽造による悪性メールの場合、臨界値を高く設定することができる。ただし、それは一例に過ぎず、該メール管理サーバが臨界値を設定する方式は、前述の例に限定されるものではない。
【0039】
図4は、一実施形態によるメール管理サーバが、仮想空間(virtual area)を利用し、悪性メールの類型を検査する方法について説明するための図面である。
【0040】
図4を参照すれば、メール管理サーバは、複数個の仮想空間410を生成することができる。一実施形態によるメール管理サーバは、悪性メールであるか否かということを判断するために、受信された複数のメールそれぞれを、仮想空間に割り当てることができる。また、該メール管理サーバは、仮想空間別に割り当てられたメールに対して行われなければならない検査を識別することができる。例えば、該メール管理サーバは、メールが受信されたユーザのプロファイルを基に、各メールに受信されなければならない検査の種類を決定することができる。ただし、それは一例に過ぎず、受信されたメールの題目、発信者アドレスの形態のようなメール内容により、各メールに悪性メールであるか否かということを決定するための検査は、異なってもよい。
【0041】
一方、メール管理サーバに生成された複数個の仮想空間410は、受信されたメールを分析するために必要なリソースを流動的に使用することができる。例えば、第1メールが割り当てられた第1仮想空間420においては、IPアドレス、メール本文、URI、添付ファイルなどに対する検査がいずれも行われなければならないと決定され、第2メールが割り当てられた第2仮想空間430においては、IPアドレス、メール本文に対する検査だけ行われるとも決定される。また、第3仮想空間440においては、IPアドレス、メール本文、URI、添付ファイル、ウイルスなどに対する検査がいずれも行われなければならないとも決定される。そのような場合、該メール管理サーバは、相対的に多くの検査が行われなければならない第3仮想空間440が、最も多くのリソースを必要とすると判断されることにより、第3仮想空間440に割り当てられるリソース量を増加させることができる。また、該メール管理サーバは、相対的に少ない検査が行われなければならない第2仮想空間430のリソースが余ると判断し、第2仮想空間430に割り当てられるリソース量を減らすことができる。一実施形態によるメール管理サーバは、受信メールの信頼度分析にあたり、行われなければならない検査の種類及び複雑度により、仮想空間に割り当てられる資源を調整することにより、メール管理サーバの資源をさらに効果的に活用することができる。
【0042】
図5は、一実施形態によるメール管理サーバが、類似ドメインを利用した悪性メールを処理する方法について説明するための図面である。
【0043】
図5を参照すれば、メール管理サーバは、ただ見ただけでは区分し難い類似ドメインを検出することができる。例えば、実際ドメイン510である「KIWONTECH.COM」において、大文字I512は、類似ドメイン520である「KlWONTECH.COM」において、小文字Lと誤認される余地がある。一実施形態によるメール管理サーバは、実際ドメイン510を構成する文字別に誤認される素地がある異なる文字を特定し、それを基に、受信されたメールのドメインを分析することができる。
【0044】
特に、該メール管理サーバは、ユーザアカウント別に以前に受信された類似ドメインを利用した悪性メールの特性情報を、人工知能モデルに入力し、人工知能モデルを構成するパラメータを決定することができる。該メール管理サーバは、学習された人工知能モデルに、特定ユーザアカウント情報を入力する場合、類似ドメインを利用した悪性メールを受信しうる確率のような診断情報を提供することができる。
【0045】
また、他の例により、該メール管理サーバは、実際ドメイン510と類似ドメイン520との類似性を判断し、それを基に、ユーザに警告お知らせを提供することができる。ユーザは、警告お知らせによって、類似ドメイン520が適用されたメールを識別することができる。一方、該メール管理サーバは、識別された類似ドメイン520を保存し、その後、当該類似ドメイン520を利用して受信されるメールを遮断することもできる。
【0046】
図6は、一実施形態によるメール管理サーバ610が、発送経路が変更された悪性メールを処理する方法について説明するための図面である。
【0047】
図6を参照すれば、メール管理サーバ610は、ユーザに受信されるメールが発送された経路を追跡することができる。ここで、該発送経路は、IPS、ラウタ、メールサーバなどによっても識別されるが、それは一例に過ぎず、該発送経路は、前述の構成要素だけよって決定されるものではない。図6には、ハッカが発信者アドレスを盗用し、悪性メールを伝送する第1タイプ630と、発信者アドレスを盗用し、発送経路を変造し、悪性メールを伝送する第2タイプ640に係わる例示が図示されている。
【0048】
一実施形態によるメール管理サーバ610は、発信者アドレス別に、対応する発送経路を学習データとして利用し、図1を参照し、前述の人工知能モデルを学習させることができる。該学習が完了した場合、メール管理サーバ610は、受信された特定メールの発信者アドレス及び発送経路を入力値として、人工知能モデルに適用することができ、人工知能モデルの出力値としては、受信された特定メールの信頼度が獲得される。
【0049】
メール管理サーバ610は、出力値として、メールの信頼度だけではなく、受信されたメールが、前述のタイプ1に該当するか、あるいはタイプ2に該当するかということを獲得することもできる。そのような場合、メール管理サーバ610は、タイプにより、悪性メールの閲覧を防止することができる、互いに異なるソリューションを提供することができる。例えば、メール管理サーバ610は、悪性メールのタイプが第1タイプである場合、当該メールが悪性メールに該当することを知らせる警告文言を伝達することができる。他の例により、メール管理サーバ610は、悪性メールのタイプが第2タイプである場合、当該メール自体をフィルタリングし、遮断することができる。ただし、それは一例に過ぎず、メール管理サーバ610が悪性メールの閲覧を防止するために提供するソリューションの種類は、前述のところに限定されるものではない。
【0050】
他の例により、メール管理サーバ610は、図2を参照して説明した方法によって学習された人工知能モデルに、ユーザ情報を入力し、出力値として、当該ユーザが、発送経路が偽造された悪性メールを受信する確率または比率のような診断情報を提供することもできる。
【0051】
図7は、一実施形態によるメール管理サーバ700が、発送経路が変更された悪性メールを処理する方法について説明するための図面である。
【0052】
図7を参照すれば、悪性メールの類型として、ヘッダ情報を偽造・変造する方法が存在する。そのような場合、ユーザが、偽造・変造されたヘッダ情報を基に決定されたメールアドレスでメールを送信することにより、ユーザの情報が流出される被害が発生しうる。例えば、間違ったメールアドレスに個人情報または金融情報が発送されるというような問題が発生しうる。
【0053】
一実施形態によるメール管理サーバ700は、以前にユーザに受信されたメールのヘッダ情報を学習データとして利用し、人工知能モデルが、偽造・変造されたヘッダ情報を検出するように学習させることができる。例えば、メール管理サーバ700は、以前に受信されたメールの発信者及びヘッダ情報を入力値として適用し、人工知能モデルの各パラメータを決定することにより、学習を行わせることができる。他の実施形態により、メール管理サーバ700は、ユーザ情報、及びユーザアカウント別に、またはユーザのプロファイル別に受信されたメールの発信者及びヘッダ情報を入力値として適用し、人工知能モデルの学習を行わせることもできる。
【0054】
該学習が完了した場合、メール管理サーバ700は、受信されたメールの発信者情報及びヘッダ情報を人工知能モデルに入力し、出力値として受信されたメールの信頼度を分析することができる。他の例により、メール管理サーバ700は、人工知能モデルにユーザ情報を入力し、出力値として、当該ユーザが、ヘッダが偽造・変造された悪性メールを受信する確率または比率のような診断情報を提供することができる。
【0055】
一方、メール管理サーバ700は、診断情報と共に、ヘッダが偽造・変造された悪性メールの閲覧を防止するためのソリューションを提供することができる。例えば、メール管理サーバ700は、ヘッダが偽造・変造された悪性メールの場合、ヘッダに含まれたメールアドレスを削除して提供することもでき、当該メールの題目に、悪性メールに該当することを記載することができる。
【0056】
図8は、一実施形態によるメール管理サーバが、本文に悪性URLが添付された悪性メールを処理する方法について説明するための図面である。
【0057】
図8を参照すれば、悪性メールの類型として、本文に悪性URLを添付する方法が存在する。悪性URLとは、フィッシングサイトのような有害サイトへの接続を誘導するURLを意味する。
【0058】
例えば、悪性URLは、URLコード形態810としても本文に添付される。他の例により、悪性URLは、当該URLが示すサイトの名称などが記載されたイメージ形態820として本文に添付される。
【0059】
一実施形態によるメール管理サーバは、以前にユーザに受信されたメールの本文に、挿入されたURL情報を学習データとして利用し、人工知能モデルが悪性URLを検出するように学習させることができる。例えば、該メール管理サーバは、以前に受信されたメールの発信者、及び本文に挿入されたURL情報を入力値として適用して、人工知能モデルの各パラメータを決定することにより、学習を行わせることができる。他の実施形態により、該メール管理サーバは、ユーザ情報、及びユーザアカウント別に、またはユーザのプロファイル別に受信されたメールの発信者、及び本文に挿入されたURL情報を入力値として適用し、人工知能モデルを学習させることができる。
【0060】
学習が完了した場合、メール管理サーバは、受信されたメールの発信者情報、及び本文に挿入されたURL情報を人工知能モデルに入力し、出力値として受信されたメールの信頼度を分析することができる。他の例により、メール管理サーバは、人工知能モデルにユーザ情報を入力し、出力値として、当該ユーザが、本文に悪性URLが挿入された悪性メールを受信する確率または比率のような診断情報を提供することができる。
【0061】
一方、該メール管理サーバは、診断情報と共に、本文に悪性URLが挿入された悪性メールの閲覧を防止するためのソリューションを提供することができる。例えば、該メール管理サーバは、悪性メールの本文に挿入されたURLに、ユーザが接続することができないように、それをイメージ形態830に変換することができる。
【0062】
図9は、一実施形態によるメール管理サーバ900が、悪性コードが添付された悪性メールを処理する方法について説明するための図面である。
【0063】
図9を参照すれば、メール管理サーバ900は、悪性コードに対して、一次的にワクチン検査を行うことができる。一次ワクチン検査910は、ウイルスパターンを検査するものであり、メール管理サーバ900は、一次ワクチン検査910を介して受信されたメールに含まれたコードが、以前まで検出されたパターンのウイルスを含む悪性コードであるか否かということを判断することができる。
【0064】
一実施形態によるメール管理サーバ900は、二次行為分析920として、一次ワクチン検査が完了したメールを、運用体制内に設定された別途の空間で実行することができる。メール管理サーバ900は、別途の空間において、一次ワクチン検査が完了したメールを実行した結果、運用体制動作の変更が感知される場合、メールに含まれたコードが悪性コードであると判断することができる。ここで、動作の変更の例としては、特定フォルダ中に添付ファイルを強制的にインストールしたり、システム設定を変更したりする動作が含まれる。
【0065】
メール管理サーバ900は、二次行為分析結果、悪性コードを検出したと判断されたメールを、学習データとして利用し、人工知能モデルを学習させることができる。例えば、メール管理サーバ900は、複数のメールに対して、一次ワクチン検査910及び二次行為分析920を行った結果、悪性コードを含んでいると判断されるメールを選択することができる。メール管理サーバ900は、選択されたメールの特性情報を、人工知能モデルの入力値として適用し、メール特性を基に、人工知能モデルが悪性コードを含んでいるか否かということを判断するように、それを学習させることができる。
【0066】
図10は、一実施形態によるメール管理サーバが提供するレポート1000について説明するための図面である。
【0067】
図10を参照すれば、該メール管理サーバは、受信されたメールそれぞれの特性情報を、図1を参照して説明した学習された人工知能モデルに入力することにより、出力値として、各メールが悪性メールである確率情報1010を提供することができる。本実施形態の場合、該メール管理サーバは、複数のメールのうち、悪性メールである確率が相対的に低い第1受信メール及び第N受信メールの場合、それを伝達することをレポート1000を介して要請することができる。他の例により、該メール管理サーバは、複数のメールのうち悪性メールである確率が高いメールについては、ユーザ側に伝達を排除させることもできる。
【0068】
図11Aは、一実施形態によるメール管理サーバが提供する悪性メールのタイプについてのレポート1100について説明するための図面である。
【0069】
図11Aを参照すれば、レポート1100には、設定された特定期間の間に受信されたメールのタイプについての情報1110が含まれる。受信されたメールは、大きく見て、正常メール、危険メール、変造メールに分類され、ここで、危険メールと変造メールは、悪性メールに含まれる。
【0070】
また、レポート1100には、受信されたメールを伝達するかどうかについての情報1120が含まれてもよい。メールの閲覧状態により、伝達、自動伝達、未伝達、再伝達中、伝達不可、伝達失敗などに分類され、該メール管理サーバは、悪性メールが閲覧されたか否かということを判断することにより、ユーザがさらに脆弱な悪性メールタイプに対して確認することができる。例えば、ランサムウェアが添付された悪性メールの閲覧回数が0回であるのに対し、ヘッダが偽造・変造された悪性メールの閲覧回数は、メール受信回数のほとんどの場合、該メール管理サーバは、ヘッダが偽造・変造された悪性メールの場合、ユーザがアクセスすることができないように、メールを遮断することができる。
【0071】
図11Bは、一実施形態によるメール管理サーバが提供する悪性メールの診断情報(1130,1140,1150,1160)について説明するための図面である。
【0072】
図11Bを参照すれば、該メール管理サーバは、特定グループのユーザが受信しうる悪性メールのタイプを予測した診断情報(1130,1140,1150,1160)を提供することができる。
【0073】
一実施形態によるメール管理サーバは、図1を参照して説明したように、ユーザ情報、及びユーザアカウント別に受信された悪性メールの特性情報を基に、人工知能モデルを学習させ、学習された人工知能モデルによって、ユーザアカウント別に受信しうる悪性メールのタイプについての診断情報を提供することができる。例えば、該メール管理サーバは、メール内容の偽造・変造と係わり、特定グループのユーザが受信しうるアドレスの偽造・変造、IDの偽造・変造、ドメインの偽造・変造、及びその他の偽造・変造された悪性メールの確率などを示す統計資料1130を診断情報として提供することができる。該診断情報は、前述のように、ユーザによっても異なる。それは、後述する他の例についても、同一に適用される。
【0074】
他の例により、メール管理サーバは、発送先経路変更と係わり、最初発送先変更、最終発送先変更及びその他発送先変更された悪性メールの確率などを示す統計資料1140を診断情報として提供することもできる。さらに他の例により、該メール管理サーバは、ドメイン変更と係わり、実際ドメインと、偽造・変造されたドメインとの差を、上中下に分類した統計資料1150,1160を診断情報として提供することもできる。また、該メール管理サーバで提供する統計資料は、特定グループ全体に係わる統計資料でもあり、特定グループに属した個人ついての統計資料でもある。例えば、図11Bにおいて、実際ドメインと、偽造・変造されたドメインとの差を、上中下に分類した第1統計資料1150は、特定グループ全体に係わる統計資料に該当し、実際ドメインと、偽造・変造されたドメインとの差を、上中下に分類した第2統計資料1160は、特定グループに属した個人に対する統計資料でもある。
【0075】
【0076】
図12Aを参照すれば、一実施形態によるメール管理サーバは、国家別にメール管理サーバで診断して閲覧を防止した悪性メールの分布についての情報を提供することができる。このとき、ユーザが期間を特定する場合、該メール管理サーバは、特定期間に係わる悪性メールの分布についての情報を提供することができ、ユーザは、期間だけではなく、グループやドメインを特定することもできる。
【0077】
図12Bを参照すれば、一実施形態によるメール管理サーバは、国家別に閲覧を防止した悪性メールの分布についての情報を、悪性メールのタイプによって提供することができる。
【0078】
図12Cを参照すれば、一実施形態によるメール管理サーバは、特定グループについて、悪性メールの閲覧を管理しながら、グループに属したユーザアカウントそれぞれについても、悪性メールの分布を確認することができる。該メール管理サーバは、個人別に、悪性メールを受信した回数、及び具体的な悪性メールのタイプを限定することもできる。
【0079】
図13は、一実施形態によるメール管理サーバの動作について説明するためのフローチャートである。
【0080】
段階S1310において、メール管理サーバは、ユーザ情報、及びユーザアカウント別に受信された悪性メール情報を獲得することができる。ここで、該ユーザ情報は、ユーザの職業、年回り及び年齢のうち少なくとも一つを含んでもよく、該悪性メール情報は、悪性メールの類型、悪性メールを検出するかどうか、及び悪性メールによる被害情報のうち少なくとも一つを含んでもよい。
【0081】
段階S1320において、該メール管理サーバは、ユーザ情報及び悪性メール情報を基に、既生成人工知能モデルに、ユーザアカウント別に受信された悪性メールの特性を学習させることができる。例えば、該メール管理サーバは、人工知能モデルの入力ニューロンに、複数のユーザ情報、及び複数のユーザ別悪性メール情報それぞれを示す入力値を適用することができる。また、該メール管理サーバは、入力値を適用した結果として獲得した出力値をフィードバックし、人工知能モデルを構成する複数レイヤのパラメータ値を決定することができる。
【0082】
段階S1330において、該メール管理サーバは、特定ユーザのアカウントを、学習された人工知能モデルに入力し、特定ユーザが受信しうる悪性メールの類型についての診断情報を提供することができる。
【0083】
また、該メール管理サーバは、診断情報と共に、悪性メールの閲覧を予防するためのソリューションをユーザに提供することもできる。例えば、該メール管理サーバは、本文に悪性URLが挿入された悪性メールが最も多く受信されると診断された場合、本文に、悪性URLが含まれるか否かということを判断する信頼度の基準をさらに高く設定し、設定された信頼度を満足することができない場合、それをイメージに変換するソリューションを提供することができる。
【0084】
一方、該一実施形態によるメール管理サーバは、提供された診断情報による悪性メールの類型と、ユーザアカウントに実際受信された悪性メールの類型とを比較することができる。該メール管理サーバは、比較結果に基づき、人工知能モデルに含まれたパラメータをアップデートすることができる。例えば、該メール管理サーバは、診断情報による悪性メールの類型と、実際受信された悪性メールの類型との一致度が70%未満である場合、実際に受信された悪性メールを学習データとして適用し、人工知能モデルに含まれたパラメータの値をアップデートすることができる。ただし、それは一例に過ぎず、人工知能モデルに含まれたパラメータをアップデートする方法は、前述の例に限定されるものではない。
【0085】
本開示の一実施形態による方法は、多様なコンピュータ手段を介しても実行されるプログラム命令形態として体現され、コンピュータ可読媒体にも記録される。前記コンピュータ可読媒体は、プログラム命令、データファイル、データ構造などを、単独または組み合わせて含んでもよい。前記媒体に記録されるプログラム命令は、本発明のために特別に設計されて構成されたものもあり、コンピュータソフトウェア当業者に公知されて使用可能なものでもある。該コンピュータ可読記録媒体の例には、ハードディスク、フロッピィーディスク及び磁気テープのような磁気媒体(magnetic media);CD-ROM(compact disc read only memory)、DVD(digital versatile disc)のような光記録媒体(optical media)、フロプティカルディスク(floptical disk)のような磁気・光媒体(magneto-optical media)、ROM(read-only memory)、RAM(random access memory)、フラッシュメモリのようなプログラム命令を保存して実行するように特別に構成されたハードウェア装置が含まれる。該プログラム命令の例には、コンパイラによって作われるような機械語コードだけではなく、インタープリタなどを使用し、コンピュータによって実行される高級言語コードを含む。
【0086】
以上において、本発明の実施形態について詳細に説明したが、本発明の権利範囲は、それらに限定されるものではなく、特許請求の範囲で定義されている本発明の基本概念を利用した当業者の多くの変形、及び改良形態も、本発明の権利範囲に属する。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11A】
【図11B】
【図12A】
【図12B】
【図12C】
【図13】
