IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > KIWONTECH

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 株式会社ギウォンテクの特許一覧

特表2024-507423脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法
<>
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図1
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図2
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図3a
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図3b
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図4
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図5a
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図5b
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図5c
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図6
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図7
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図8
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図9
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図10
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図11
  • 特表-脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法 図12
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-20
(54)【発明の名称】脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法
(51)【国際特許分類】
   G06F 21/55 20130101AFI20240213BHJP
【FI】
G06F21/55
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2022573722
(86)(22)【出願日】2022-01-27
(85)【翻訳文提出日】2022-11-30
(86)【国際出願番号】 KR2022001427
(87)【国際公開番号】W WO2023145995
(87)【国際公開日】2023-08-03
(31)【優先権主張番号】10-2022-0011946
(32)【優先日】2022-01-27
(33)【優先権主張国・地域又は機関】KR
(81)【指定国・地域】
(71)【出願人】
【識別番号】517434585
【氏名又は名称】株式会社ギウォンテク
【氏名又は名称原語表記】KIWONTECH
【住所又は居所原語表記】509-Ho, 53, Digital-ro 31-gil, Guro-gu, Seoul, Republic of Korea
(74)【代理人】
【識別番号】110002262
【氏名又は名称】TRY国際弁理士法人
(72)【発明者】
【氏名】キム チュンハン
(57)【要約】
本発明の実施形態によるサービス提供装置は、一台以上のユーザー端末の間において送受信されるメール情報を取り集める収集部と、予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理し、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、前記検査結果に応じたメールセキュリティ検査情報を格納及び管理するセキュリティ脅威検査部と、前記セキュリティ脅威検査部のアーキテクチャー処理情報から、診断の対象となるメールシステムの脅威レベル要素仕分け基準に対応する定量分析情報を算出し、前記定量分析情報に基づく電子メールセキュリティ診断分析レポートを構成して管理者のユーザー端末に提供する電子メールセキュリティ診断サービス部と、を備える。
【特許請求の範囲】
【請求項1】
サービス提供装置において、
一台以上のユーザー端末の間において送受信されるメール情報を取り集める収集部と、
予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理し、マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、検査結果に応じたメールセキュリティ検査情報を格納及び管理するセキュリティ脅威検査部と、
前記セキュリティ脅威検査部のアーキテクチャー処理情報から、診断の対象となるメールシステムの脅威レベル要素仕分け基準に対応する定量分析情報を算出し、前記定量分析情報に基づく電子メールセキュリティ診断分析レポートを構成して管理者のユーザー端末に提供する電子メールセキュリティ診断サービス部と、
を備える、サービス提供装置。
【請求項2】
前記電子メールセキュリティ診断サービス部は、
前記診断の対象となるメールシステムに対応して、診断期間及び診断ドメインを取得し、前記診断期間及び診断ドメインに関する前記セキュリティ脅威検査部の前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチング結果を踏まえて、前記脅威レベル要素仕分け基準に対応して処理された定量的なマッチング件数を算出するアーキテクチャー処理情報定量分析部を備える、
請求項1に記載のサービス提供装置。
【請求項3】
前記アーキテクチャー処理情報定量分析部は、
前記診断期間中の悪性コード検出件数と、悪性URL検出件数と、ランサムウェア検出件数とを合算した件数を、全体の受発信メール数と比較して、悪性コード脅威割合条件仕分けの定量分析情報を算出する、
請求項2に記載のサービス提供装置。
【請求項4】
前記アーキテクチャー処理情報定量分析部は、
前記診断期間中のヘッダー改ざん検出件数と、類似ドメイン検出件数とを合算した件数を、全体の受発信メール数と比較して、ソーシャルエンジニアリング脅威割合条件仕分けの定量分析情報を算出する、
請求項2に記載のサービス提供装置。
【請求項5】
前記アーキテクチャー処理情報定量分析部は、
前記診断期間中に処理されたメールのうち、同一のメールサーバーから発信されなかったが故に信頼度が一定の値未満であると検出されたメールの件数を、全体の受発信メール数対比の割合情報として算出して信頼度注意脅威割合条件仕分けの定量分析情報として出力する、
請求項2に記載のサービス提供装置。
【請求項6】
前記アーキテクチャー処理情報定量分析部は、
前記診断期間中に処理されたメールのうち、以前に電子メールが発信された履歴と比較したとき、発信元の国、サーバー、経路のうちの少なくとも一つが変更された場合に相当する発信元変更メールの検出件数を、全体の受発信メール数対比の割合情報として算出して発信元注意脅威割合条件仕分けの定量分析情報として出力する、
請求項2に記載のサービス提供装置。
【請求項7】
脅威レベル段階分類ごとに前記脅威レベル要素仕分け基準をそれぞれ割り当て、前記脅威レベル要素仕分け基準の仕分け条件に準じて検出された定量分析値を用いて、各脅威レベル段階分類ごとのスコアを決定するセキュリティ要素ごとの脅威レベル決定部をさらに備える、
請求項1に記載のサービス提供装置。
【請求項8】
前記セキュリティ要素ごとの脅威レベル決定部は、
前記脅威レベル段階分類ごとのスコアに、前記各脅威レベル段階に対応する危険度の重み付け値を積演算し、その結果を合算することにより、総合的なセキュリティ脅威アーキテクチャーに基づく電子メール受発信セキュリティ脅威の危険度を算出する、
請求項7に記載のサービス提供装置。
【請求項9】
前記電子メールセキュリティ診断分析レポートは、
前記脅威レベル要素仕分け基準に盛り込まれている行為検出、ランサムウェア、ウィルス、悪性URL、添付ファイル内のURL、ヘッダー改ざん、発信元変更及び類似ドメインを各頂点とし、各頂点の中心点から外郭までの距離が前記仕分け条件に対応する定量分析算出値に基づいて決定される多角形インターフェースを備えて、前記管理者のユーザー端末から出力される、
請求項1に記載のサービス提供装置。
【請求項10】
前記電子メールセキュリティ診断サービス部は、前記定量分析情報に基づく検出分析情報と、対応方案ガイド情報とを予め構築されたデータベースから取り出して、前記管理者のユーザー端末に提供する、
請求項1に記載のサービス提供装置。
【請求項11】
サービス提供装置の動作方法において、
一台以上のユーザー端末の間において送受信されるメール情報を取り集める段階と、
予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理し、マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、検査結果に応じたメールセキュリティ検査情報を格納及び管理する段階と、
セキュリティ脅威検査部のアーキテクチャー処理情報から、診断の対象となるメールシステムの脅威レベル要素仕分け基準に対応する定量分析情報を算出し、前記定量分析情報に基づく電子メールセキュリティ診断分析レポートを構成して管理者のユーザー端末に提供する段階と、
を含む、サービス提供装置の動作方法。
【請求項12】
前記提供する段階は、
前記診断の対象となるメールシステムに対応して、診断期間及び診断ドメインを取得し、前記診断期間及び診断ドメインに関する前記セキュリティ脅威検査部の前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチング結果を踏まえて、前記脅威レベル要素仕分け基準に対応して処理された定量的なマッチング件数を算出する段階を含む、
請求項11に記載のサービス提供装置の動作方法。
【請求項13】
前記算出する段階は、
前記診断期間中の悪性コード検出件数と、悪性URL検出件数と、ランサムウェア検出件数とを合算した件数を、全体の受発信メール数と比較して、悪性コード脅威割合条件仕分けの定量分析情報を算出する段階を含む、
請求項12に記載のサービス提供装置の動作方法。
【請求項14】
前記算出する段階は、
前記診断期間中のヘッダー改ざん検出件数と、類似ドメイン検出件数とを合算した件数を、全体の受発信メール数と比較して、ソーシャルエンジニアリング脅威割合条件仕分けの定量分析情報を算出する段階を含む、
請求項12に記載のサービス提供装置の動作方法。
【請求項15】
前記算出する段階は、
前記診断期間中に処理されたメールのうち、同一のメールサーバーから発信されなかったが故に信頼度が一定の値未満であると検出されたメールの件数を、全体の受発信メール数対比の割合情報として算出して信頼度注意脅威割合条件仕分けの定量分析情報として出力する段階を含む、
請求項12に記載のサービス提供装置の動作方法。
【請求項16】
前記算出する段階は、
前記診断期間中に処理されたメールのうち、以前に電子メールが発信された履歴と比較したとき、発信元の国、サーバー、経路のうちの少なくとも一つが変更された場合に相当する発信元変更メールの検出件数を、全体の受発信メール数対比の割合情報として算出して発信元注意脅威割合条件仕分けの定量分析情報として出力する段階を含む、
請求項12に記載のサービス提供装置の動作方法。
【請求項17】
脅威レベル段階分類ごとに前記脅威レベル要素仕分け基準をそれぞれ割り当て、前記脅威レベル要素仕分け基準の仕分け条件に準じて検出された定量分析値を用いて、各脅威レベル段階分類ごとのスコアを決定する段階をさらに含む、
請求項11に記載のサービス提供装置の動作方法。
【請求項18】
前記決定する段階は、
前記脅威レベル段階分類ごとのスコアに、前記各脅威レベル段階に対応する危険度の重み付け値を積演算し、その結果を合算することにより、総合的なセキュリティ脅威アーキテクチャーに基づく電子メール受発信セキュリティ脅威の危険度を算出する段階を含む、
請求項17に記載のサービス提供装置の動作方法。
【請求項19】
前記電子メールセキュリティ診断分析レポートは、
前記脅威レベル要素仕分け基準に盛り込まれている行為検出、ランサムウェア、ウィルス、悪性URL、添付ファイル内のURL、ヘッダー改ざん、発信元変更及び類似ドメインを各頂点とし、各頂点の中心点から外郭までの距離が前記仕分け条件に対応する定量分析算出値に基づいて決定される多角形インターフェースを備えて、前記管理者のユーザー端末から出力される、
請求項11に記載のサービス提供装置の動作方法。
【請求項20】
前記定量分析情報に基づく検出分析情報と、対応方案ガイド情報とを予め構築されたデータベースから取り出して、前記管理者のユーザー端末に提供する段階をさらに含む、
請求項11に記載のサービス提供装置の動作方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子メールセキュリティの診断装置及びその動作方法に係り、さらに詳しくは、電子メールを介した悪性コードの感染、ソーシャルエンジニアリングハッキングなどのサイバー脅威を探知しかつ遮断することのできるセキュリティレベルに基づく階層的アーキテクチャーを用いた脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法に関する。
【背景技術】
【0002】
今日の社会は、世界中で、コンピューターと情報通信技術の発展に乗じて、社会生活の全分野にわたってサイバー依存度が高まりつつあり、これは、ますます加速化が進んでいる傾向にある。近頃には、超高速、超低遅延、超接続性をもった5G移動通信が商用化され、これに基づいた新たなサービスが登場することに伴い、サイバーセキュリティは益々重要性を増している。
【0003】
モノのインターネット(IoT)、クラウドシステム、ビッグデータ、人工知能(AI)などの技術分野は、情報通信技術と結び付けて新たなサービス環境を提供している。このようなサービスを提供するシステムは、無線インターネットネットワークなどを介してパソコン(PC)または携帯型端末装置などと結ばれて実際の生活において利用可能である。
【0004】
このような様々な端末装置または通信機器と接続される情報通信技術が実際の生活になお一層密接に結び付いていることに伴い、これを用いて悪意的な意図をもったサイバーセキュリティ脅威が日々増えつつある。精巧化されかつ高度化されたサイバーセキュリティ脅威は、団体や機関、個人の情報通信端末装置の異常起動を引き起こしたり、管理情報の偽造、改ざんを通じた人間のミスを誘導して情報を奪い取り、毀損したりするなどの被害を被らせる虞がある。なお、サイバーセキュリティ脅威を通じて不法的に奪い取られた情報は、金銭詐欺犯罪や他の経済的・社会的な犯罪を犯すのに利用される虞がある。
【0005】
サイバーセキュリティ脅威を遮断し、かつ、サイバーセキュリティ脅威に対応するために、システム化された情報通信技術を保護しかつ管理する情報保護システムが活用されることがある。情報保護システムは、様々なサイバー脅威に対応できるように情報通信技術のシステムの類型または技術の特徴に基づいて築かれることができ、かつ、段階ごとに適用可能である。
【0006】
情報通信技術において活用されている電子メールシステムは、コンピューター端末を介してユーザー間の通信回線を用いてメッセージをやり取りできるように内容本文付きの電子郵便物サービスを提供することができる。このとき、電子メールには、共有しようとする内容付きの電子ファイルを添付することができ、または、ウェブサイト接続リンク(URL;Uniform Resource Locator)を本文に書き込んだり添付ファイル内に埋め込んだりすることができる。
【0007】
このように、電子メールシステムを介して悪意的な意図をもって悪性コード付きの実行可能な電子ファイルが添付されたり、特定のウェブサイトにアクセス可能なURLが埋め込まれたりすることができる。これを通じて、電子メールの受信者をして悪性コードを実行せしめたり、埋め込まれたURLを介して偽造、改ざんされたウェブサイトにアクセスしたりすることにより、ユーザーが意図しない情報処理が行われ、情報を奪い取られてしまう虞がある。
【0008】
このように、経済的・社会的な被害を引き起こす虞があり、しかも、各種の犯罪につながる虞がある電子メールセキュリティ脅威に対応するために、大韓民国登録特許第10-1595379号公報には、「悪性コード付きの電子メールの統制及び遮断システム」が開示されている。上記の登録特許には、外部のサーバーまたは端末から発信された電子メールがファイアウォールと、スパム遮断ソフトウェアが埋め込まれているスパム遮断装置を経由して送られてくると、対象システムにおいて電子メールを受信する機能と、前記電子メールを対象システムにおいて添付ファイルがあるか否かを確認するが、添付ファイルがなければ、対象システムからメールサーバーへと前記電子メールを送信し、添付ファイルがあれば、ユーザーの業務の目的に最も頻繁に使用する添付ファイルのタイプ(ドキュメント、圧縮、画像)の他には、前記電子メールを遮断して悪性コードの感染を予め防ぐ機能と、添付ファイルのタイプが画像である場合には、画像は変換が不可能であるため、悪性コードの感染が不可能であるため、対象システムからメールサーバーへと前記電子メールを送信し、添付ファイルのタイプがドキュメントである場合には、修正が不可能な形式のPDFにドキュメントを変換してドキュメントの内部に悪性コードが反映されたURLなどをメール受信者がクリックしてユーザー端末が悪性コードにより感染される場合を予め遮断する方式を用いて、対象システムからユーザー端末へと電子メール、メッセンジャー、モバイル、カカオトークのうちから単数または複数を選択してお知らせメールを送信する機能と、添付ファイルのタイプが圧縮ファイルである場合には、まず圧縮を解凍してファイルのタイプ分析を行い、画像である場合には、上記の方式を用いて処理し、ドキュメントである場合には、PDFに変換して上記の方式を用いて処理し、実行ファイルである場合には、色々な種類の悪性コード治療ソリューションが搭載されたVirtual BOXにおいて悪性コードの感染検査及び治療を行い、結果を含むお知らせメールを電子メール、メッセンジャー、モバイル、カカオトークのうちから単数または複数を選択して対象システムからメールサーバーへとお知らせ処理を送信する機能と、対象システムから実行ファイルの他に悪性コードの検査が必要な添付ファイルをVirtual BOXへと渡して悪性コードの検査及び治療を処理し、その結果を再び対象システムに渡して処理する機能と、を有する対象システムと、前記対象システムから実行ファイルを受信するVirtual BOXは、別途のシステムとして仮想化環境を造り、色々な種類の悪性コード治療ソリューションを搭載して実行ファイルの中に隠されている悪性コードの検査及び治療を処理し、その結果を再び対象システムに渡し、検査前の環境に原状回復処理するVirtual BOXと、前記対象システムから電子メール(お知らせメールを含む)を受信し、ユーザー端末へと電子メール(お知らせメールを含む)を渡す機能を有するメールサーバーと、前記対象システムからお知らせメールを受信したとき、ユーザーがお知らせメールの確認を通じてオリジナル電子メールの許容または拒否を選択する機能と、前記受信された電子メールをログインした後に確認する機能とを有するユーザー端末と、を備える悪性コード付きの電子メールの統制及び遮断システムについて述べられている。
【0009】
しかしながら、このような悪性コード付きの電子メールの統制及び遮断システムは、電子メールの受信の側面からの対応システムに制限されており、この他に、電子メールの発信の側面とともに、電子メールの管理システムの内部の側面、ユーザー端末装置端における電子メールの処理の側面に対するサイバーセキュリティ脅威の対応には限界がある。
【0010】
また、電子メールに添付された添付ファイルに植え付けられた悪性コード及び偽造、改ざんURLに対するPDF変換と仮想環境を用いた実行ファイルと添付ファイルの検査と治療に限られているが故に、まるで類似ドメインであるかのように偽装されたメールと社会的な攻撃を加えられる関係分析などの脅威の診断と対応には限界が生じる可能性がある。
【0011】
そして、電子メールの統制及び遮断の行為だけでは、電子メールシステムに対するセキュリティ脅威の根本的な問題点として指摘されている、電子メールシステムのユーザーのセキュリティ危険行動を予め防ぐことはできないという不都合がある。ユーザーの危険行動を最大限に防ぐために、最近には、模擬実験や悪性コードトレーニングメールなどを用いた診断及び学習教育などのプロセスもまた提案されてはいるものの、これは、仮想のシミュレーションや単なるアンケートなどに基づくものであり、実際の場面とは多かれ少なかれ異なりがあるという不都合がある。
【0012】
特に、実際に直面しているサイバーセキュリティ脅威は、現時点でもリアルタイムにて起きているため、このような現在のシステムのセキュリティ脅威を当事者の実際のデータに基づいて正確に診断し、ユーザーの危険行動を実際に防げる有効な診断システムが求められている。
【発明の概要】
【発明が解決しようとする課題】
【0013】
本発明は、上述した如き不都合を解消するために案出されたものであり、電子メールシステムにおいて処理される受信メール、発信メール、システム内におけるメールの処理、ユーザー端末装置などといった側面から考慮可能なスパム、ハッキング、詐欺などのサイバーセキュリティ脅威に対して、セキュリティレベルに基づく階層的アーキテクチャーを用いて段階的なサイバーセキュリティ脅威への対応と電子メールシステムの統制・管理が行える電子メールセキュリティサービスを提供し、前記統制管理に従って取得されるアーキテクチャー処理情報を用いて、実際に直面しているサイバーセキュリティ脅威を定量的に分析することにより、現在のシステムのセキュリティ脅威を当事者の実際のデータに基づいて正確に診断し、ユーザーの危険行動を実際に防げる有効なサイバーセキュリティ脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法を提供するところにその目的がある。
【課題を解決するための手段】
【0014】
上記のような課題を解決するための本発明の実施形態による装置は、サービス提供装置において、一台以上のユーザー端末の間において送受信されるメール情報を取り集める収集部と、予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理し、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、前記検査結果に応じたメールセキュリティ検査情報を格納及び管理するセキュリティ脅威検査部と、前記セキュリティ脅威検査部のアーキテクチャー処理情報から、診断の対象となるメールシステムの脅威レベル要素仕分け基準に対応する定量分析情報を算出し、前記定量分析情報に基づく電子メールセキュリティ診断分析レポートを構成して管理者のユーザー端末に提供する電子メールセキュリティ診断サービス部と、を備える。
【0015】
また、上記のような課題を解決するための本発明の実施形態による方法は、サービス提供装置の動作方法において、一台以上のユーザー端末の間において送受信されるメール情報を取り集める段階と、予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理し、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、前記検査結果に応じたメールセキュリティ検査情報を格納及び管理する段階と、前記セキュリティ脅威検査部のアーキテクチャー処理情報から、診断の対象となるメールシステムの脅威レベル要素仕分け基準に対応する定量分析情報を算出し、前記定量分析情報に基づく電子メールセキュリティ診断分析レポートを構成して管理者のユーザー端末に提供する段階と、を含む。
【0016】
一方、上記のような課題を解決するための本発明の実施形態による方法は、前記方法をコンピューターにて実行するためのプログラム及び該プログラムが記録されたコンピューターにて読み取り可能な記録媒体により実現可能である。
【発明の効果】
【0017】
本発明の実施形態によれば、電子メールを受信の側面からみて、スパムメール(迷惑メール)、悪性コード付きの添付ファイル、偽造、改ざんされたURLs、類似ドメイン、詐欺性の内容に脅威を区別して分析し、段階的な脅威対応処理を可能にすることにより、悪意的な目的をもって送られてきたメールを受信者が開く前に遮断したり、システムに無害なメールに変換したりすることができる。
【0018】
また、電子メールを発信の側面からみて、サイバーセキュリティ脅威を感知しかつ遮断し、電子メール管理システムの内部の側面からみては、情報の流出の疑いや、管理されるシステムアクセスIPアドレス情報の不一致などといった潜在的な脅威を予め感知して、悪意的な目的に利用できないように被害を未然に防ぐことができる。このように、電子メールシステムを介して行われ得るハッキング、詐欺、スパムなどの非正常的な処理を統制し、かつ被害を防ぐことにより、ユーザー間の安全な情報のやり取りと処理を保証する電子メールサービスを提供することができる。
【0019】
さらに、本発明の実施形態によれば、段階的な脅威対応処理の統制管理に従って取得されるアーキテクチャー処理情報を用いて、実際に直面しているサイバーセキュリティ脅威を定量的に分析することにより、現在のシステムのセキュリティ脅威を当事者の実際のデータに基づいて正確に診断し、ユーザーの危険行動を実際に防げる有効なサイバーセキュリティ脅威要素の定量分析に基づく電子メールセキュリティの診断装置及びその動作方法を提供することができる。
【図面の簡単な説明】
【0020】
図1】本発明の一実施形態による全体のシステムを示す概念図である。
図2】本発明の一実施形態によるメールセキュリティサービスの提供装置を説明するためのブロック図である。
図3】本発明の一実施形態によるメールセキュリティサービスの提供装置の一部の構成をより具体的に説明するためのブロック図である。
図4】本発明の一実施形態によるメールセキュリティサービスの提供装置の動作方法を説明するためのフローチャートである。
図5】本発明の一実施形態によるメールセキュリティサービスのアーキテクチャーに従う検査方式を説明するための例示図である。
図6】本発明の実施形態による電子メールセキュリティ診断サービス部をより具体的に説明するためのブロック図である。
図7】本発明の実施形態による電子メールセキュリティ診断サービス部の動作を説明するためのフローチャートである。
図8】本発明の実施形態による脅威レベル割合要素と、段階分類ごとのスコアの算出のための参照テーブルを例示した図である。
図9】本発明の実施形態による脅威レベル割合要素と、段階分類ごとのスコアの算出のための参照テーブルを例示した図である。
図10】本発明の実施形態によりユーザー端末に提供される診断レポートインターフェースの例示図である。
図11】本発明の実施形態によりユーザー端末に提供される診断レポートインターフェースの例示図である。
図12】本発明の実施形態によりユーザー端末に提供される診断レポートインターフェースの例示図である。
【発明を実施するための形態】
【0021】
以下の内容は、単に本発明の原理を例示する。そのため、当業者であれば、たとえ本明細書に明らかに説明されたり図示されたりしていないものの、本発明の原理を実現し、本発明の概念と範囲に含まれている種々の装置と方法を発明することができるのである。なお、本明細書に列挙されたすべての条件付き用語及び実施形態は、原則として、本発明の概念が理解されるようにするための目的にしか明らかに意図されず、このように特別に列挙された実施形態及び状態に制限的ではないものと理解されるべきである。
【0022】
また、本発明の原理、観点及び実施形態だけではなく、特定の実施形態を列挙するすべての詳細な説明は、このような事項の構造的及び機能的な均等物を含むように意図されるものであると理解されるべきである。なお、これらの均等物は、現在公知となっている均等物だけではなく、将来に開発されるべき均等物、すなわち、構造とは無関係に同一の機能を行うように発明されたあらゆる素子を網羅するものであると理解されるべきである。
【0023】
よって、例えば、本明細書のブロック図は、本発明の原理を具体化させる例示的な回路の概念的な観点を示すものであると理解されるべきである。これと同様に、すべてのフローチャート、状態変換図、擬似コードなどは、コンピューターにて読み取り可能な媒体に実質的に示すことができ、コンピューターまたはプロセッサーが明らかに示されているか否かを問わずに、コンピューターまたはプロセッサーにより行われる様々なプロセスを示すものであると理解されるべきである。
【0024】
また、プロセッサー、制御またはこれと略同じ概念として提示される用語の明確な使用は、ソフトウェアを実行する能力をもったハードウェアを排他的に引用して解釈されてはならず、制限なしにデジタル信号プロセッサー(DSP)ハードウェア、ソフトウェアを記憶するための読み込み専用メモリー(ROM)、ランダムアクセスメモリー(RAM)及び不揮発性メモリーを暗示的に含むものであると理解されるべきである。周知慣用の他のハードウェアもまた含まれ得る。
【0025】
上述した目的、特徴及びメリットは、添付図面と結び付けて行われる以下の詳細な説明からなお一層明らかになる筈であり、それにより、本発明が属する技術分野において通常の知識を有する者が本発明の技術的思想を容易に実施することができる筈である。なお、本発明を実施するに当たって、本発明と関わる公知の技術についての具体的な説明が本発明の要旨を余計に曖昧にする虞があると認められる場合にはその詳細な説明を省略する。
【0026】
本出願において用いた用語は、単に特定の実施形態を説明するために用いられたものであり、本発明を限定しようとする意図はない。単数の表現は、文脈からみて明らかに他の意味を有さない限り、複数の言い回しを含む。本出願において、「備える」または「有する」などの用語は、明細書に記載の特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定するものに過ぎず、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものの存在または付加の可能性を予め排除しないものと理解すべきである。
【0027】
以下、添付図面に基づいて、本発明の好適な実施形態について詳しく説明する。本発明について説明するにあたって、全体的に理解し易くするために、図中の同一の構成要素に対しては、同一の参照符号を付し、同一の構成要素についての重複する説明は省略する。
【0028】
本明細書において用いられる「メール(mail)」は、ユーザーが端末装置とここにインストールされるクライアントプログラムまたはウェブサイトを介してコンピューター通信網を用いてやり取りする電子メール(Electronic mail)、ウェブメール(Web mail)、電子郵便、電子郵便物などの用語をまとめて称することができる。
【0029】
図1は、本発明の一実施形態による全体システムを示す概念図である。
【0030】
図1を参照すると、本発明の一実施形態によるシステムは、サービス提供装置100と、ユーザー端末200と、メールサーバー300と、を備える。
【0031】
より具体的に、サービス提供装置100と、ユーザー端末200、及びメールサーバー300は、公衆網(Public network)で結ばれることにより有線及び無線のうちのどちらか一方以上により接続されてデータを送受信することができる。前記公衆網は、国もしくは通信基幹事業者が構築及び管理する通信網であり、一般に、電話網、データ網、CATV網及び移動通信網などをはじめとして、不特定多数の一般人が他の通信網やインターネットに接続可能なように接続サービスを提供する。本発明においては、前記公衆網をネットワークに書き換える。
【0032】
また、前記サービス提供装置100と、ユーザー端末200、及びメールサーバー300は、各通信網に対応するプロトコルにて通信するためのそれぞれの通信モジュールを備えていてもよい。
【0033】
前記サービス提供装置100は、メールセキュリティ及び診断サービスの提供のために、各ユーザー端末200及びメールサーバー300と有/無線ネットワークを介して接続されることができ、各ネットワークに結ばれた装置または端末は、予め設定されたネットワークチャンネルを介して相互間の通信を行うことができる。
【0034】
ここで、前記各ネットワークは、近距離通信網(Local Area Network;LAN)、広域通信網(Wide Area Network;WAN)、付加価値通信網(Value Added Network;VAN)、個人近距離無線通信(Personal Area Network;PAN)、移動通信網(Mobile radiocommunication network)または衛星通信網などのあらゆる種類の有/無線ネットワークにより実現されることができる。
【0035】
本明細書において説明されるサービス提供装置100は、メールを介して意図しないプログラムの実行とメール関係のシステムのデータ処理能力の低下、フィッシング詐欺などを引き起こす攻撃を探知しかつ遮断できるメールセキュリティサービスを提供することができる。
【0036】
また、サービス提供装置100は、メールセキュリティサービスのセキュリティレベルに基づいたアーキテクチャー処理情報を用いて、メールセキュリティ脅威要素の定量分析に基づくメール診断プロセスを行い、各電子メールシステムのユーザー端末200に前記診断プロセスに基づいた診断レポートを提供するメール診断サービスを提供することができる。
【0037】
そして、本明細書において説明されるユーザー端末200としては、パソコン(PC:personal computer)、ノート型パソコン(laptop computer)、携帯電話(Mobile phone)、タブレットPC(Tablet PC)、パーソナルデジタルアシスタント(PDA:Personal Digital Assistants)、ポータブルマルチメディアプレーヤー(PMP:Portable Multimedia Player)などが挙げられるが、本発明は、これらに何ら限定されるものではなく、公衆網または私設網などを介して前記サービス提供装置100やメールサーバー300などと接続可能な装置であってもよい。
【0038】
これらに加えて、それぞれの装置は、アプリケーション駆動またはウェブブラウジングを通じた情報の入出力が可能な様々な装置であってもよい。特に、一般に、ユーザー端末200は、個別的なセキュリティネットワークを介して前記サービス提供装置100と接続可能である。
【0039】
前記メールサーバー300は、ユーザーがユーザー端末200を用いて作成したメールを発信したり、相手方がユーザー端末200を用いて作成したメールを受信したりできるように、電子郵便の内容を中継及び保管するシステムである。前記メールサーバー300は、メールの受信と発信の処理という使用目的に応じて予め設定されたプロトコルを活用して相互間の通信を行うことができる。
【0040】
一般に、前記プロトコルとしては、メールの受信処理に際して、ポストオフィスプロトコルバージョン3(POP3:Post Office Protocol 3)、インターネットメッセージアクセスプロトコル(IMAP:Internet Message Access Protocol)が使用可能である。また、前記プロトコルとしては、メールの発信処理に際して、シンプルメールトランスファープロトコル(SMTP:Simple Mail Transfer Protocol)が使用可能である。このように、メールサーバー300は、メールの送受信処理のためのサーバー(server)システムから構成されて作動することができる。なお、前記メールサーバー300は、メール受信サーバーとメール発信サーバーとに細分化されてそれぞれの機能を提供することができる。
【0041】
図2及び図3は、本発明の一実施形態によるメールセキュリティサービスの提供装置を説明するためのブロック図である。
【0042】
図2及び図3を参照すると、本発明の一実施形態によるサービス提供装置100は、制御部110と、収集部120と、セキュリティ脅威検査部130と、関係分析部140と、メール処理部150と、ユーザー端末統制部160と、レコード管理部170と、脆弱点テスト部180と、通信部125と、電子メールセキュリティ診断サービス部190とを備えていてもよい。
【0043】
制御部110は、前記サービス提供装置100の各構成要素の動作を全般的に制御するための一つ以上のプロセッサーにより実現されることができる。
【0044】
通信部125は、ユーザー端末200またはメールサーバー300が位置しているネットワークと通信するための一つ以上の通信モジュールを備えていてもよい。
【0045】
収集部120は、一台以上のユーザー端末200の間において送受信されるメール情報を取り集めることができる。前記メール情報には、電子メールのヘッダー情報、電子メールのタイトル、電子メールの内容本文、一定期間の受信回数などが盛り込まれていてもよい。
【0046】
具体的に、前記電子メールのヘッダー情報には、メール発信サーバーIPアドレス、メール発信サーバーホスト名情報、差出人メールドメイン情報、差出人メールアドレス、メール受信サーバーIPアドレス、メール受信サーバーホスト名情報、受信者メールドメイン情報、受信者メールアドレス、メールプロトコル情報、メール受信時間情報、メール発信時間情報などが盛り込まれていてもよい。
【0047】
また、前記電子メールヘッダーには、メールが送受信される過程において必要とされるネットワーク経路情報、メールのやり取りのためのメールサービスシステム間の使用プロトコル情報などが盛り込まれていてもよい。
【0048】
追加的に、前記メール情報には、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイルの内容本文、統一資源位置指定子(URL:Uniform Resource Locator)情報などが盛り込まれていてもよい。前記添付ファイルには、差出人が受信者に届けようとするメールの本文内容に加えて、さらなる情報を届けたり、情報の返信を求めたりするためのさらなるコンテンツが盛り込まれていてもよい。
【0049】
前記コンテンツは、テキスト、画像、動画などを提供することができる。受信者は、メールに添付されているファイルに対応するアプリケーションを起動して、コンテンツを確認することができる。なお、受信者は、メールに添付されているファイルをローカル記憶装置にダウンロードして格納及び管理することが可能である。
【0050】
前記添付ファイルの拡張子は、ファイルの形式や種類を区別することができる。前記添付ファイルの拡張子は、一般に、ファイルの属性やファイルを生成したアプリケーションを示す文字列により区別されることができる。例えば、テキストファイルは、[ファイル名].txt、MSワードファイルは、[ファイル名].doc(docx)、ハングルファイルは[ファイル名].hwpなどの拡張子により区別されることができる。なお、画像ファイルは、gif、jpg、png、tifなどにより拡張子が区別されることができる。
【0051】
追加的にコード化された指令に従って指示された作業を行うようにするコンピューターファイルである実行ファイルは、[ファイル名].com、[ファイル名].exe、[ファイル名].bat、[ファイル名].dll、[ファイル名].sys、[ファイル名].scrなどに区別されることができる。
【0052】
前記添付ファイルのハッシュ情報は、情報の偽造、改ざんを確認して情報の無欠性を保証することができる。ハッシュ情報またはハッシュ値は、ハッシュ関数を用いて任意の長さを有する任意のデータに対して一定の長さのビット列にマッピングされることができる。
【0053】
これを通じて、最初に生成される添付ファイルに関してハッシュ関数を通じて出力されるハッシュ情報は、固有の値を有することになる。前記出力されるハッシュ情報またはハッシュ値は、逆に、関数に入力されるデータを取り出せない一方向性を有する。また、ハッシュ関数は、一つの与えられた入力データに関して出力されたハッシュ情報またはハッシュ値と同じ出力を提供する他の入力データは、計算的に不可能な衝突回避性を保証することができる。これにより、前記添付ファイルのデータを修正したり付加したりすると、ハッシュ関数の出力値は異なるように返される。
【0054】
このように、前記添付ファイルの固有のハッシュ情報は、メールを介してやり取りするファイルに関してハッシュ情報またはハッシュ値を比較することにより、ファイルの修正、偽造、改ざんの有無を確認することができる。また、前記ハッシュ情報は、固有の値に固定されるため、悪意的な意図をもって生成したファイルに関する過去の履歴のデータベースである評判情報を活用することにより、事前防疫措置を可能にすることができる。加えて、前記ハッシュ関数は、一方向性と衝突回避性とが保証可能な技術及びバージョンに利用可能である。
【0055】
例えば、ハッシュ情報は、ウィルストータルウェブサイトやマルウェアウェブサイトを介してファイルの悪性コードの有無に関する検索情報として活用可能である。前記ファイルのハッシュ情報の分析を提供するウェブサイトを介してファイルの提供業者、ファイルのハッシュ値などの情報を提供されることができる。なお、ファイルのハッシュ情報に関する検索結果は、多数のIT情報セキュリティソリューションを提供するグローバル会社において判別した評判情報をクロスチェックすることができて、より信頼性のある情報をもって判断することが可能である。
【0056】
セキュリティ脅威検査部130は、予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理し、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査し、前記検査結果に応じたメールセキュリティ検査情報を格納及び管理することができる。
【0057】
前記セキュリティ脅威アーキテクチャーは、スパムメールセキュリティ脅威、悪性コードセキュリティ脅威、ソーシャルエンジニアリングセキュリティ脅威、内部情報流出セキュリティ脅威などに区別されることができる。前記セキュリティ脅威アーキテクチャーによりセキュリティ脅威の類型/レベル/プロセス/プライオリティ/処理順序が設定されることができる。
【0058】
前記セキュリティ脅威アーキテクチャーに従って対応するメールセキュリティプロセスは、スパムメールセキュリティプロセス、悪性コードセキュリティプロセス、なりすましメールセキュリティプロセス、メール搬出セキュリティプロセスなどを含んでいてもよい。
【0059】
前記メールセキュリティプロセスとしては、前記セキュリティ脅威アーキテクチャーに従って、受信メールであるか、発信メールであるかに対応する互いに異なるメールセキュリティプロセスが決定されることができる。なお、前記メールセキュリティプロセスの検査順序または検査レベルは、予め設定したセキュリティ段階及びアーキテクチャーにより決定されることができる。
【0060】
前記メールセキュリティプロセスは、受信または発信のためのメール情報がユーザー端末200から送信されれば、独立して区別されたプロセスがリソースに割り当てられ、前記メール情報において割り当てられた検査領域において即座に実行可能な流動的なリソースの割り当て方式は、仮想空間の概念に基づいて説明されることができる。前記仮想空間にリソースを割り当てる方式において、メールセキュリティプロセスは、処理が完了したとき、順次に流入するメール情報において割り当てられた検査領域において作業を即座に処理することができる。
【0061】
これとは対照的に、仮想環境、仮想マシンのように一つのリソース内において処理が制限される一定のプロセスが割り当てられた環境は、要請される作業を処理するとき、特定のプロセスの処理が完了するまで他のプロセスが待機する休止(idle)タイムを有することができる。このように、プロセスを通じた分析方式において、流動的なリソースは、固定型リソースと比較するとき、処理速度及び性能において優位性を有することができる。
【0062】
前記セキュリティ脅威検査部130は、前記収集部120において取り集められた前記メール情報に基づいて受信または発信の目的をもってメールを区別することができる。次いで、前記セキュリティ脅威検査部130は、前記メールセキュリティプロセスを順次にまたは設定されたプライオリティに基づいてマッチングしかつ分析することにより、それぞれのメールに関するメールセキュリティ検査情報を取得することができる。
【0063】
前記スパムメールセキュリティ脅威は、関係のない差出人と受信者との間に広告と広報などを狙って一方的にかつ大量に不特定多数に無差別的に散布されるメールの類型を含んでいてもよい。また、大量のスパムメールは、メールシステムのデータ処理能力に負荷を与えてしまう結果、システムの処理能力を低下させる原因になる虞もある。なお、スパムメールは、内容本文などに盛り込まれている無分別な情報に対してユーザーが意図せずにアクセスする虞があり、潜在的なフィッシング詐欺のための情報のように偽装されるリスクがある。
【0064】
このようなスパムメールを検出しかつフィルターリングするために、前記セキュリティ脅威検査部130は、スパムメール検査部131を備えていてもよい。前記スパムメール検査部131は、前記メールセキュリティプロセスがスパムメールセキュリティプロセスである場合、メールヘッダー情報、メールタイトル、メールの内容本文、一定期間の受信回数などが盛り込まれる前記メール情報を予め設定したスパム指標と段階ごとにマッチングすることができる。
【0065】
前記スパムメール検査部131は、メールヘッダー情報とメールタイトル、メールの内容本文などが盛り込まれるメール情報に対してスパムメールであると区別可能な一定のパターンの検査などを通じてスパム指標において検査項目として用いることができる。これを通じて、前記スパムメール検査部131は、前記スパム指標を段階ごとにマッチングしてスパムメール検査情報を取得しかつ格納及び管理することができる。
【0066】
前記スパム指標としては、段階ごとにメール情報に盛り込まれる項目に基づく検査項目と検査を通じたレベル値が設定されることができる。本発明の一実施形態によれば、スパム指標は,Level 1,Level 2,Level 3,...,Level [n]に細分化及び段階化されて構成されることができる。
【0067】
前記スパム指標Level 1は、ビッグデータ及び評判情報に基づいてメール情報に盛り込まれるメールタイトルデータをマッチングすることができる。これを通じて、前記スパム指標Level 1は、評価されたレベル値をスパム指標Level 1の検査情報として取得することができる。前記レベル値は、定量的に測定可能な情報として設定されることができる。例えば、前記スパム指標Level 1の検査情報は、検査項目であるメールタイトルに「広告」、「広報」などの語句が含まれているとき、前記ビッグデータ及び評判情報においてスパムメールと定義した情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、スパム指標Level 1の検査情報は、「1」として取得されることができる。
【0068】
追加的に、前記スパム指標Level 2は、ユーザー指定キーワードに基づいてメール情報に盛り込まれるデータをマッチングすることができる。これを通じて、前記スパム指標Level 2は、評価されたレベル値をスパム指標Level 2の検査情報として取得することができる。例えば、前記スパム指標Level 2の検査情報は、検査項目であるメールの内容本文に「お買い得価格」、「激安超特価」、「セール」、「sale」、「売れ切れ」などをはじめとするキーワードが含まれているとき、前記ユーザー指定キーワードにおいてスパムメールと定義した情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、スパム指標Level 2の検査情報は、「1」として取得されることができる。
【0069】
次の段階において、前記スパム指標Level 3は、画像の分析に基づいてメール情報に盛り込まれるデータをマッチングすることができる。これを通じて、前記スパム指標Level 3は、評価されたレベル値をスパム指標Level 3の検査情報として取得することができる。例えば、前記スパム指標Level 3の検査情報は、検査項目であるメールの内容本文に盛り込まれる画像を分析して取り出したデータに「080」から始まる電話番号などが含まれているとき、前記画像の分析においてスパムメールと定義した情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、スパム指標Level 3の検査情報は、「1」として取得されることができる。
【0070】
このように、前記スパムメールセキュリティプロセスを通じてスパム指標レベル単位で取得された検査情報は、最終的に合算(「3」)されてスパムメール検査情報として格納及び管理されることができる。このようにして合算されたスパムメール検査情報は、前記メールセキュリティ検査情報に盛り込まれて管理されることができ、前記メール処理部150においてセキュリティ脅威判別情報として活用されることができる。
【0071】
前記セキュリティ脅威検査部130は、悪性コード検査部132をさらに備えていてもよい。前記悪性コード検査部132は、前記メールセキュリティプロセスが悪性コードセキュリティプロセスである場合、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイルの内容本文、URL(Uniform Resource Locator)情報などをさらに含む前記メール情報を予め設定した悪性コード指標と段階ごとにマッチングすることができる。
【0072】
前記悪性コード検査部132は、添付ファイルの属性値をもって確認可能な添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名などとともに添付ファイルの内容本文と内容本文に埋め込まれるURL(Uniform Resource Locator)情報を悪性コード指標検査項目として用いることができる。これを通じて、前記悪性コード検査部132は、前記悪性コード指標を項目に応じて段階ごとにマッチングして悪性コード検査情報を取得しかつ格納及び管理することができる。
【0073】
前記悪性コード指標としては、段階ごとにメール情報に盛り込まれる項目に基づく検査項目と検査を通じたレベル値が設定されることができる。本発明の一実施形態によれば、悪性コード指標は、Level 1,Level 2,Level 3,...,Level [n]に細分化及び段階化されて構成されることができる。
【0074】
前記悪性コード指標Level 1は、ビッグデータ及び評判情報に基づいてメール情報に盛り込まれる添付ファイル名、添付ファイルの拡張子をマッチングすることができる。これを通じて、前記悪性コード指標Level 1は、評価されたレベル値を悪性コード指標Level 1の検査情報として取得することができる。例えば、前記悪性コード指標Level 1の検査情報は、検査項目である添付ファイル名が「Trojan」、添付ファイルの拡張子が「exe」を含んでいるとき、前記ビッグデータ及び評判情報において悪性コードと定義された情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、悪性コード指標Level 1の検査情報は、「1」として取得されることができる。
【0075】
追加的に、前記悪性コード指標Level 2は、ビッグデータ及び評判情報に基づいてメール添付ファイルのハッシュ情報をマッチングすることができる。これを通じて、評価されたレベル値を悪性コード指標Level 2の検査情報として取得することができる。例えば、前記悪性コード指標Level 2の検査情報は、検査項目である添付ファイルハッシュ情報が「a1b2c3d4」であると分析されるとき、前記評判情報において悪性コードと定義された情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、悪性コード指標Level 2の検査情報は、「1」として取得されることができる。
【0076】
次の段階において、前記悪性コード指標Level 3は、URL評判情報に基づいて添付ファイルまたはメールの内容本文に埋め込まれたURL(Uniform Resource Locator)情報をマッチングすることができる。これを通じて、評価されたレベル値を悪性コード指標Level 3の検査情報として取得することができる。例えば、前記悪性コード指標Level 3の検査情報は、検査項目であるURL情報が「www.malicious-code.com」であると確認されるとき、前記URL評判情報において悪性コードファイルが含まれる有害サイトと定義された情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、悪性コード指標Level 3の検査情報は、「1」として取得されることができる。そして、前記悪性コード検査部132は、URL評判情報において抜けや漏れが起こる可能性があるゼロデイ攻撃に対応することができる。前記悪性コード検査部132は、評判情報のないURLへのリンクIPアドレスを特定のシステムのIPアドレスに変更し、変更されたIPアドレスをユーザー端末200に提供することができる。前記ユーザー端末200は、前記URLに接続しようとするとき、前記悪性コード検査部132が変更した特定のシステムのIPアドレスに接続されることができる。以前に前記URLへのリンクIPアドレスに変更された特定のシステムは、持続的にURLのエンドポイントまで悪性コードの包含有無を検査することができる。
【0077】
このように、前記悪性コードセキュリティプロセスを通じて悪性コード指標レベル単位で取得された検査情報は、最終的に合算(「3」)されて悪性コード検査情報として格納及び管理されることができる。このようにして合算された悪性コード検査情報は、前記メールセキュリティ検査情報に盛り込まれて管理されることができ、前記メール処理部150においてセキュリティ脅威判別情報として活用されることができる。
【0078】
前記セキュリティ脅威検査部130は、なりすましメール検査部133をさらに備えていてもよい。前記なりすましメール検査部133は、メールセキュリティプロセスがなりすましメールセキュリティプロセスである場合であって、前記関係分析部140を介して取得される関係分析情報に対して予め設定した関係分析指標と段階ごとにマッチングすることができる。前記関係分析情報は、メール情報及び正常であると確認されたメールの属性情報などが盛り込まれるメール情報の分析を通じて取得されることができる。
【0079】
前記なりすましメール検査部133は、正常と判別されたメールから取り出し可能な受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メールの内容本文情報などを関係分析指標検査項目として用いることができる。これを通じて、前記なりすましメール検査部133は、前記関係分析指標を項目に応じて段階ごとにマッチングしてなりすましメール検査情報を取得しかつ格納及び管理することができる。これを通じて、前記なりすましメール検査部133は、類似ドメインを検出することができ、メールの発信経路を追跡または検証してセキュリティ脅威を与える可能性があるメールをフィルターリングすることができる。
【0080】
前記関係分析指標としては、段階ごとに前記関係分析情報に基づく検査項目と検査を通じたレベル値が設定されることができる。本発明の一実施形態によれば、関係分析指標は、Level 1,Level 2,Level 3,...,Level [n]に細分化及び段階化されて構成されることができる。
【0081】
前記関係分析指標Level 1は、評判情報に基づいて差出人メールのドメイン、差出人メールのアドレスなどをマッチングすることができる。これを通じて、前記関係分析指標Level 1は、評価されたレベル値を関係分析指標Level 1の検査情報として取得することができる。例えば、前記関係分析指標Level 1の検査情報は、検査項目である発信済みのメールのドメインが「@なりすまし.com」であり、差出人メールのアドレスが「なりすまし@」を含んでいるとき、前記評判情報において悪性コードと定義された情報と一致する場合、0と1に区別されたレベル値において「1」と評価されることができる。
【0082】
追加的に、前記関係分析指標Level 2は、前記関係分析情報に基づいて差出人メールのドメイン、差出人メールのアドレスなどをマッチングすることができる。これを通じて、前記関係分析指標Level 2は、評価されたレベル値を関係分析指標Level 2の検査情報として取得することができる。例えば、前記関係分析指標Level 2の検査情報は、検査項目である発信済みのメールのドメインが「@なりすまし.com」であり、差出人メールのアドレスが「なりすまし@」を含んでいるとき、前記関係分析情報において正常メールの属性情報と定義された情報と一致しない場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、関係分析指標Level 3の検査情報は、「1」として取得されることができる。
【0083】
次の段階において、前記関係分析指標Level 3は、前記関係分析情報に基づいてメールルーティング情報などをマッチングすることができる。これを通じて、前記関係分析指標Level 3は、評価されたレベル値を関係分析指標Level 3の検査情報として取得することができる。例えば、前記関係分析指標Level 3の検査情報は、検査項目であるメールルーティング情報が「1.1.1.1」、「2.2.2.2」、「3.3.3.3」であると確認されるとき、メールの送信経路である前記ルーティング情報が前記関係分析情報において正常メールの属性情報と定義された情報と一致しない場合、0と1に区別されたレベル値において「1」と評価されることができる。これを通じて、関係分析指標Level 3の検査情報は、「1」として取得されることができる。
【0084】
このように、前記なりすましメールセキュリティプロセスを通じて関係分析指標レベル単位で取得された検査情報は、最終的に合算(「3」)されてなりすましメール検査情報として格納及び管理されることができる。このようにして合算されたなりすましメール検査情報は、前記メールセキュリティ検査情報に盛り込まれて管理されることができ、前記メール処理部150においてセキュリティ脅威判別情報として活用されることができる。
【0085】
前記セキュリティ脅威検査部130は、内部情報流出セキュリティ脅威に対応できるようにメール搬出検査部134を備えていてもよい。前記メール搬出検査部134は、メールセキュリティプロセスがメール搬出セキュリティプロセスである場合、前記メール情報に基づいて予め設定したメール搬出管理指標と段階ごとにマッチングすることができる。
【0086】
前記メール搬出検査部134は、前記メール情報の属性情報を活かしてメール搬出管理指標検査項目として用いることができる。なお、前記管理指標検査項目としては、内部的に管理されるユーザー端末200の割り当てIP情報が用いられることができる。
【0087】
前記メール搬出管理指標としては、段階ごとに予め設定された検査項目と検査を通じたレベル値が設定されることができる。本発明の一実施形態によれば、メール搬出管理指標は、Level 1,Level 2,Level 3,...,Level [n]に細分化及び段階化されて構成されることができる。
【0088】
前記メール搬出管理指標は、発信環境の検査のために、ユーザー端末200に割り当てられたIPアドレスにおいて許容されたIPアドレスのみがメール情報を登録できるように統制する項目を含んでいてもよい。未認証のユーザー端末は、内部情報を流出する可能性が相対的に高く、かつ、メールを介してセキュリティ脅威を与える可能性が相対的に高いため、これを予め遮断可能な管理指標を管理することができる。
【0089】
また、前記メール搬出検査部134は、前記メール搬出管理指標をIPアドレス情報、発送回数情報などの検査項目に区別してメール搬出管理指標として活用することができる。さらに、前記メール搬出検査部134は、メール発信環境検査項目として承認プロセスなどの統制部をさらに備えて、内部情報の流出脅威を低減することができる。これを通じて、前記メール搬出検査部134は、メール搬出プロセスを通じて検査項目とマッチングして算出されたレベル値をメール搬出検査情報として格納しかつ管理することができる。
【0090】
関係分析部140は、前記メール情報及び信頼認証ログの分析に基づいて取得される関係分析情報を格納及び管理することができる。前記信頼認証ログには、前記レコード管理部170においてセキュリティ脅威判別情報に基づいてメール情報を正常メールとして処理する場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メールの内容本文情報などが盛り込まれるレコード情報が盛り込まれていてもよい。
【0091】
メール処理部150は、前記メールセキュリティ検査情報及び前記メール情報の分析を通じて取得されるセキュリティ脅威判別情報に基づいてメールの状態を処理することができる。
【0092】
前記メール処理部150は、予め設定されたプライオリティによる前記メールセキュリティプロセスを行うことができる。前記メール処理部150は、前記メールセキュリティプロセスを通じた前記セキュリティ脅威判別情報が非正常メールであると判別される場合、後続するメールセキュリティプロセスの中断有無を判断してメールの状態を処理することができる。これを通じて、前記メール処理部150は、プライオリティに応じて先に検査段階において問題が見つけられた場合、その段階において必要とされる処理のみを行い、検査の終了有無を判断して後続する検査段階は行わずに終了することができる。これを通じて、メールセキュリティサービスの効率性を確保してシステムの複雑性を低め、処理効率を向上させることができる。
【0093】
前記メールセキュリティ検査情報としては、前記セキュリティ脅威検査部130において算出されたスパムメール検査情報と悪性コード検査情報、なりすましメール検査情報、メール搬出検査情報をまとめて取得された情報を活用することができる。例えば、前記セキュリティ脅威検査部130がメール情報に対してプロセスを行うことにより、前記スパムメール検査情報として算出されたスコアが「3」、悪性コード検査情報として算出されたスコアが「2」、なりすましメール検査情報として算出されたスコアが「1」、メール搬出検査情報として算出されたスコアが「0」である場合、メールセキュリティ検査情報として合算されるスコアは「7」として取得されることができる。このとき、予め設定されたセキュリティ脅威判別情報を目安にして総合スコアが0~3の範囲であるときに正常メール、4~6の範囲であるときにグレーメール、7~12の範囲であるときに非正常メールに仕分けられることができる。これにより、前記メールセキュリティ検査情報が「7」であるメールは、非正常メールと判別されることができる。そして、前記メール情報検査情報に盛り込まれるそれぞれの検査情報項目の結果値は、項目に応じて絶対的なプライオリティが指定されたり、重み付け値による情報によりプライオリティが定められたりすることができる。
【0094】
前記メール処理部150は、前記セキュリティ脅威判別情報に基づいて正常メールと判別されたメールに対して、前記ユーザー端末が処理可能な受信または発信の状態に処理するメール振り分け処理部151を備えていてもよい。
【0095】
また、前記メール処理部150は、前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記ユーザー端末のアクセスが不可能な状態に処理するメール廃棄処理部152をさらに備えていてもよい。
【0096】
追加的に、前記メール処理部150は、前記セキュリティ脅威判別情報に基づいてグレーメールと判別されたメールに対して、前記グレーメールを非実行ファイルコンテンツに変換処理し、前記ユーザー端末がメールの状態を選択的に処理できるように配設されるメール無害化処理部153をさらに備えていてもよい。
【0097】
一般に、前記グレーメールは、スパムメールまたはジャンクメールとして区別されてもよく、逆に、正常メールとして区別されてもよい。本発明においては、前記グレーメールは、セキュリティ脅威判別情報が正常または非正常と確定できない一定の範囲内における中間値として算出された場合に区別されるメールの類型であると定義することができる。前記メール無害化処理部153は、疑いのある内容本文などが盛り込まれたグレーメールを画像ファイルに変換し、ユーザー端末200が確認可能なメールの状態で提供することができる。なお、前記メール無害化処理部153は、添付ファイル内の悪性コードであると疑われる部門を除去または修正してユーザー端末200に提供することができる。
【0098】
ユーザー端末統制部160は、前記ユーザー端末200がネットワークにおいて使用するIPアドレス(Internet Protocol Address;IPアドレス)情報が予め設定した非認可IPアドレスに相当する場合、前記メール情報の送信を統制することができる。
【0099】
レコード管理部170は、前記セキュリティ脅威判別情報に基づいて処理された前記メール情報をレコード情報として格納しかつ管理することができる。前記レコード管理部170は、前記セキュリティ脅威判別情報に基づいて正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メールの内容本文情報などが盛り込まれる前記レコード情報を信頼認証ログとして格納しかつ管理する関係情報管理部171をさらに備えていてもよい。これを通じて、前記信頼認証ログは、受信者と差出人のメール情報について信頼可能な関係情報の分析に活用されることができる。なお、前記信頼認証ログに盛り込まれた情報は、相互間の情報のやり取りを通じて持続的にデータが蓄えられ続けながら信頼度が保証されることができる。
【0100】
また、前記レコード管理部170は、前記セキュリティ脅威判別情報に基づいて非正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング、メールの内容本文情報などが盛り込まれる前記レコード情報をメールセキュリティプロセスを行うに当たっての非正常メールの判断指標として活用することができる。
【0101】
脆弱点テスト部180は、前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記非正常メールを非実行ファイルコンテンツに変換して前記ユーザー端末において受信または発信の処理が行われるように配設されることができる。前記脆弱点テスト部180は、前記非正常メールに対して受信または発信の処理をした前記ユーザー端末の識別情報を取得して類型ごとの脆弱情報として格納及び管理する脆弱情報管理部181を備えていてもよい。
【0102】
一方、電子メールセキュリティ診断サービス部190は、メールセキュリティ脅威アーキテクチャーに従って処理されるセキュリティ脅威検査部130の処理結果情報を取り集め、処理結果情報から電子メールセキュリティ診断サービス情報を構成して、ユーザー端末200への電子メールセキュリティ診断サービスとして提供することができる。
【0103】
より具体的に、電子メールセキュリティ診断サービス部190は、セキュリティ脅威検査部130において処理されたセキュリティ脅威アーキテクチャーに基づくメールセキュリティプロセスの段階ごとのマッチング結果情報を取り集めることができ、取り集められたマッチング結果情報に対応する、一つ以上の定量仕分け条件を適用するための脅威レベル割合要素を決定することができる。
【0104】
そして、電子メールセキュリティ診断サービス部190は、マッチング結果から脅威レベル割合要素に対応する定量分析情報を算出することができ、定量分析情報に基づいて、診断の対象となるメールシステムの脅威レベル段階分類ごとのスコアを決定することができる。
【0105】
これにより、電子メールセキュリティ診断サービス部190は、脅威レベル段階分類ごとのスコアに基づいた電子メールセキュリティ診断分析レポートを構成することができ、構成された電子メールセキュリティ診断分析レポート情報は、ユーザー端末200に提供されることができる。
【0106】
前述したように、前記セキュリティ脅威アーキテクチャーは、スパムメールセキュリティ脅威、悪性コードセキュリティ脅威、ソーシャルエンジニアリング的なセキュリティ脅威、内部情報流出セキュリティ脅威などに分けられ、前記セキュリティ脅威アーキテクチャーによりセキュリティ脅威の類型/レベル/プロセス/プライオリティ/処理順序が設定されてもよく、前記セキュリティ脅威アーキテクチャーに従って、対応するメールセキュリティプロセスには、スパムメールセキュリティプロセス、悪性コードセキュリティプロセス、なりすましメールセキュリティプロセス、メール搬出セキュリティプロセスなどが盛り込まれていてもよいため、それぞれのマッチング処理結果を様々な定量仕分け条件と対応付けて、各脅威レベル割合要素のマッチング件数が算出されることができる。このような定量仕分け条件は、脅威レベル要素仕分け基準とも呼ばれる。
【0107】
また、電子メールセキュリティ診断サービス部190は、各脅威レベル割合要素の定量分析情報を予め設定された脅威レベル段階分類ごとのスコア算出式に適用することにより、診断の対象となる電子メールシステムの総合的なセキュリティ脅威の度合いを確認し、これに対応するユーザーの対応ガイドを提供可能な診断分析レポート情報が構成されることができる。
【0108】
これにより、ユーザー端末200においては、前記診断分析レポート情報を提供されて、セキュリティ脅威アーキテクチャーに基づく電子メールセキュリティ脅威の状態を、定量的な実際のデータに基づいて正確に確認することができ、これに対応するガイドを提供されて措置を取ることにより、ターゲット型の電子メール攻撃などといったようにより多様化が進んでいるセキュリティ脅威を予め遮断することが可能になる。
【0109】
図4は、本発明の一実施形態によるメールセキュリティサービスの提供装置の動作方法を説明するためのフローチャートである。
【0110】
図4を参照すると、メールセキュリティサービスの提供装置の動作方法において、収集段階(S101)においては、一台以上のユーザー端末200の間において送受信されるメール情報を取り集めることができる。
【0111】
セキュリティ脅威検査段階(S103)においては、予め設定されたセキュリティ脅威アーキテクチャーに従って、前記メール情報に対応するメールセキュリティプロセスの段階ごとのマッチングを処理することができる。次いで、前記セキュリティ脅威検査段階(S103)においては、前記マッチング処理されたメールセキュリティプロセスにより前記メール情報を検査することができる。これを通じて、前記セキュリティ脅威検査段階(S103)においては、前記検査結果に応じたメールセキュリティ検査情報を格納及び管理することができる。
【0112】
前記メールセキュリティプロセスとしては、前記セキュリティ脅威アーキテクチャーに従って、受信メールであるか、発信メールであるかに対応する互いに異なるメールセキュリティプロセスが決定されることができる。また、前記メールセキュリティプロセスの検査順序または検査レベルは、予め設定したセキュリティ段階及びアーキテクチャーにより決定されることができる。
【0113】
メール処理段階(S105)においては、前記メールセキュリティ検査情報及び前記メール情報の分析を通じて取得されるセキュリティ脅威判別情報に基づいてメールの状態を処理することができる。
【0114】
前記メール処理段階(S105)においては、予め設定されたプライオリティによる前記メールセキュリティプロセスが行われることができる。前記メール処理段階(S105)においては、前記メールセキュリティプロセスを通じた前記セキュリティ脅威判別情報が非正常メールであると判別される場合、後続するメールセキュリティプロセスの中断有無を判断してメールの状態を処理することができる。これを通じて、前記メール処理段階(S105)においては、プライオリティに従って先に検査段階において問題が見つけられた場合、その段階において必要とされる処理のみを行い、検査の終了有無を判断して、後続する検査段階は行わずに終了することができる。これを通じて、メールセキュリティサービスの効率性を確保してシステムの複雑性を低め、処理効率を向上させることができる。
【0115】
レコード管理段階(S107)においては、前記セキュリティ脅威判別情報に基づいて処理された前記メール情報をレコード情報として格納しかつ管理することができる。前記レコード管理段階(S107)においては、前記セキュリティ脅威判別情報に基づいて正常メールとして処理される場合、受信メールドメイン、発信メールドメイン、受信メールアドレス、発信メールアドレス、メールルーティング情報、メールの内容本文などが盛り込まれる前記レコード情報を信頼認証ログとして格納しかつ管理する関係情報管理段階をさらに含んでいてもよい。
【0116】
関係分析段階(図示せず)においては、前記メール情報及び前記信頼認証ログの分析に基づいて取得される関係分析情報を格納及び管理することができる。
【0117】
前記セキュリティ脅威検査段階(S103)は、前記メールセキュリティプロセスがスパムメールセキュリティプロセスである場合、電子メールのヘッダー情報、電子メールのタイトル、電子メールの内容本文、一定期間の受信回数のうちのいずれか一つ以上が盛り込まれる前記メール情報を予め設定したスパム指標と段階ごとにマッチングするスパムメール検査段階をさらに含んでいてもよい。追加的に、前記セキュリティ脅威検査段階(S103)は、前記メールセキュリティプロセスが悪性コードセキュリティプロセスである場合、添付ファイルの拡張子、添付ファイルのハッシュ情報、添付ファイル名、添付ファイルの内容本文、URL(Uniform Resource Locator)情報のうちのいずれか一つ以上が盛り込まれる前記メール情報を予め設定した悪性コード指標と段階ごとにマッチングする悪性コード検査段階をさらに含んでいてもよい。また、前記セキュリティ脅威検査段階(S103)は、前記メールセキュリティプロセスがなりすましメールセキュリティプロセスである場合、前記関係分析情報に対して予め設定した関係分析指標と段階ごとにマッチングするなりすましメール検査段階をさらに含んでいてもよい。そして、前記セキュリティ脅威検査段階(S103)は、前記メールセキュリティプロセスがメール搬出セキュリティプロセスである場合、前記メール情報に基づいて予め設定したメール搬出管理指標と段階ごとにマッチングするメール搬出検査段階をさらに含んでいてもよい。
【0118】
前記メール処理段階(S105)は、前記セキュリティ脅威判別情報に基づいて正常メールと判別されたメールに対して、前記ユーザー端末が処理可能な受信または発信の状態に処理するメール振り分け処理段階をさらに含んでいてもよい。なお、前記メール処理段階(S105)は、前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記ユーザー端末のアクセスが不可能な状態に処理するメール廃棄処理段階をさらに含んでいてもよい。
【0119】
追加的に、前記メール処理段階(S105)は、前記セキュリティ脅威判別情報に基づいてグレーメールと判別されたメールに対して、前記グレーメールを非実行ファイルコンテンツに変換処理し、前記ユーザー端末がメールの状態を選択的に処理できるように用意されるメール無害化処理段階をさらに含んでいてもよい。
【0120】
脆弱点テスト段階(図示せず)は、前記セキュリティ脅威判別情報に基づいて非正常メールと判別されたメールに対して、前記非正常メールを非実行ファイルコンテンツに変換して前記ユーザー端末において受信または発信の処理が行われるように用意することができる。前記脆弱点テスト段階は、前記非正常メールに対して受信または発信の処理をした前記ユーザー端末の識別情報を取得して類型別の脆弱情報として格納及び管理する脆弱情報管理段階をさらに含んでいてもよい。
【0121】
図5は、本発明の一実施形態によるメールセキュリティサービスのアーキテクチャーに従う検査方式を説明するための例示図である。
【0122】
図5を参照すると、図5は、メールセキュリティサービスを提供するためのアーキテクチャーであって、これに従い、セキュリティ脅威の類型とレベル、プロセス、プライオリティ、処理順序などが設定されることができる。前記メールセキュリティサービスのアーキテクチャーは、受信メール、発信メール、内部メール、ユーザー教育などの最上位カテゴリーに区別されて各カテゴリーごとに下部構造として階層的、段階的な構成と処理方式が適用されることができる。前記最上位カテゴリーは、メール情報に盛り込まれる属性値またはユーザー端末200のメールの利用目的に応じて接続するシステムの区別に準じて仕分けられることができる。
【0123】
それぞれのセキュリティ脅威の類型内には、一つ以上の特定のメールセキュリティプロセスが割り当てられることができ、これは、レベルとして区別されて段階的かつ順次的に行われることができる。細部的に、セキュリティ脅威の類型は、SPAM、Malicious code(Attachment)、Malicious code(URL)、Social Engineering Attackなどのセキュリティ脅威の類型に区別されることができる。これによる、セキュリティ脅威の類型の検査プロセスが順次に行われることができる。なお、それぞれの前記セキュリティ脅威の類型内においては、レベル1,2,3,...[n]の段階に区別されて順次に行われることができる。このとき、各レベルは、検査する特定の項目と指標が割り当てられて検査結果を取得することができる。
【0124】
また、アーキテクチャーの設定に伴い、それぞれのセキュリティ脅威の類型内のメールセキュリティプロセスは、割り当てられた検査領域を並列的に並行検査処理する方式によっても行われることができる。
【0125】
最上位カテゴリーの一つである前記受信メールは、下位階層としてセキュリティ脅威の類型が区別されることができる。細部的に、前記セキュリティ脅威の類型は、SPAM処理、悪性コード処理、ソーシャルエンジニアリング処理などに区別されることができる。
【0126】
受信メールのセキュリティ脅威の検査のために、SPAM処理部門内のレベル1(Lv.1)においては、評判に基づくスパムメールの有無を検査することができる。次いで、評判に基づくスパムメール検査において見つけられた問題がない場合、レベル2(Lv.2)においては、ユーザー指定キーワードに基づいて、フィルターリングを通じたスパムメールの有無を検査することができる。
【0127】
レベル2が行われ終わった後、次の段階であるレベル3(Lv.3)においては、画像に基づく内容分析を通じたスパムメールの有無を検査することができる。このように、メールセキュリティサービスアーキテクチャーは、SPAM処理類型内における特定のスパムフィルターリングプロセスを通じてレベルごとの検証を行い、前記検証が完了したときに、次のレベルに進むようにする。そして、前記メールセキュリティサービスアーキテクチャーは、SPAM処理を通じたメールのスパム有無の検査を完了した後、メール内の悪性コードの包含有無を判別する悪性コード処理段階に進むことができる。
【0128】
前記悪性コード処理は、レベル1の評判に基づく悪性コードの包含有無を判別することができ、正常であると確認されたとき、次の段階に進むことができる。レベルn(Lv.n)は、悪性コードの包含の可能性がある添付ファイルであると判別されたとき、添付ファイル内に埋め込まれた実行コードを変形する無害化処理を通じて悪性コード処理段階を終了することができる。前記悪性コード処理検査が完了した場合、検査段階は、ソーシャルエンジニアリング処理検査段階に進むことができる。前記ソーシャルエンジニアリング処理検査段階は、レベル1(Lv.1)のメタデータに基づく、かつ、レベルn(Lv.n)の関係分析に基づくソーシャルエンジニアリング攻撃メール検査プロセスを実行した後、検査結果情報に基づいて対応を処理または要請することができる。
【0129】
最上位カテゴリーの一つである前記発信メールは、下位階層としてセキュリティ脅威の類型が区別されることができる。前記発信メールのカテゴリーもまた、受信メールのセキュリティ脅威の類型と同様に、SPAM処理、悪性コード処理、ソーシャルエンジニアリング処理の段階に区別され、検査が行われることができる。
【0130】
特に、発信メールのセキュリティ脅威の検査は、発信環境検査段階を含んでいてもよい。前記発信環境検査段階においては、メールの発信を狙って一台以上のユーザー端末200がシステムに接続するとき、予め登録されたホワイトリストによるIPアドレス許容ユーザー端末であるか否かを検証するレベル1(Lv.1)の段階を行うことができる。前記レベル1の段階の検証を通じて認証が行われたユーザー端末200は、メールの発送回数が一定基準回数以内であって、基準と符合するとき、正常メールであると判別し、次の段階に進むことができる。次いで、レベルn(Lv.n)の段階においては、発信メールの内容を予め検査して異常有無を判別するプロセスが実行されて正常メールの有無を検証することができる。
【0131】
最上位カテゴリーの一つである前記内部メールは、下位階層として内部情報の流出を防げる内部メール管理段階が行われることができる。前記内部メール管理段階においては、レベル1(Lv.1)の承認プロセスを通じて異常メールを検査することができる。前記承認プロセスにおいては、内部情報付きのメールに対する情報流出の危険度を判断することができる。
【0132】
前記承認プロセスは、メール管理システムにより順次に承認処理されて外部に送られるメールの内容について事前検閲される方式により行われることができる。次いで、レベル2(Lv.2)の段階において、DLP(Data Loss Prevention;データ流出防止)及びDRM(Digital Rights Management:デジタル著作権管理)統制プロセスが行われて内部情報の流出有無を検査することができる。前記DLP統制プロセスにおいては、承認などの許可なしにポリシーに違反するシステムにアクセスして情報を送信しようとする行為を感知及び統制することができる。前記DRM統制プロセスにおいては、暗号化された内部ドキュメントが承認などの許可なしに復号化されるか、あるいは、復号化されたファイルをメールに添付しようとする試みを探知して統制することができる。次いで、レベルn(Lv.n)の段階においては、メールを発信しようとするとき、ユーザー端末200の認証処理段階として1段階、2段階などの多段階の認証プロセスを提供することができる。これを通じて、アカウントの奪取や盗用を試みるユーザーを遮断することにより、正常的なメール処理を保証することができる。
【0133】
最上位カテゴリーの一つである前記ユーザー教育は、下位階層として模擬フィッシングとフィードバックシステムの段階を含んでいてもよい。前記模擬フィッシング段階においては、セキュリティ脅威付きのメールを使用した履歴があるユーザー端末200の識別値と回数などの情報を格納及び管理することができる。前記セキュリティ脅威には、実際にシステムやコンテンツに無害な方式により構成されたメールが用いられることができる。これを通じて、フィードバックシステムは、模擬フィッシングを通じて算出された統計値や脅威の度合いを分析した結果値を提供することができる。
【0134】
前記カテゴリーごとに構成されたセキュリティ脅威の検査は、アーキテクチャー及びセキュリティ段階により決定されることができる。これにより、検査順序及び検査レベルが決定されることができ、順次的な検査により異常有無を確認することができる。また、前記検査順序及び検査レベルのプライオリティは、アーキテクチャー及びセキュリティ段階に応じて設定されることができる。前記プライオリティに応じて行われたプロセスは、取得される検査結果に基づいて問題が見つけられる場合、その段階において必要とされる処理を行い、検査の終了有無を判断することができる。上記の問題は、スパムメールと判別されたり、悪性コード付きのメールと判別されたりするとき、メールをユーザー端末200において確認できないように廃棄処理したり、返送処理したりすることにより解決することができる。このように、特定の段階における検査プロセスを通じてメールの問題を処理する場合、後続する検査段階または並列処理中の残りの検査段階は、行われずに終了されることができる。
【0135】
一方、本発明の実施形態によるセキュリティ脅威検査部130のアーキテクチャーに基づく検査のうちの一部のプロセスの場合、人工知能プロセスに基づいて行われることができる。
【0136】
より具体的に、例えば、セキュリティ脅威検査部130は、行為検出の場合、仮想環境における行為検出と、ランサムウェアの探知後に類型を仕分ける処理を行うことができるため、このために、周知の人工知能意志決定ツリーデータ処理に基づく行為検出及びランサムウェアコードデータ検出プロセスが利用可能である。
【0137】
より具体的に、セキュリティ脅威検査部130は、仮想環境において電子メールを閲覧することにより、検出された行為情報とランサムウェア情報をデータベースに格納することができ、格納されたデータに意志決定ツリーアルゴリズムを適用して行為検出及びランサムウェア検出モデルを学習することができる。
【0138】
そして、セキュリティ脅威検査部130は、学習されたモデルのデータ属性条件に準じて、以降に取り集められるリアルタイムの電子メールの行為検出及びランサムウェア検出及び類型の判断を行うことができる。
【0139】
また、例えば、セキュリティ脅威検査部130は、悪性URL検出の場合、URL、HTMLデータに基づいて自己組織化マップ(Self Organizing Map)を構築して前記悪性URLを検出することができる。
【0140】
この場合、セキュリティ脅威検査部130は、仮想環境においてURLを実行し、HTMLデータを取り集めかつ学習し、自己組織化マップアルゴリズムに基づく悪性URL遮断モデルが共通的な特徴をもったデータを群集に仕分けてマップ形式の学習モデルデータを構築することができる。
【0141】
そして、セキュリティ脅威検査部130は、前記学習モデルデータを用いたリアルタイムの悪性URLの探知にてリアルタイムのネットワークトラフィックの特性を反映して時間差をおいた攻撃に対しても探知を行うことができる。
【0142】
さらに、セキュリティ脅威検査部130は、仕分けられた悪性コード疑いメールに対して永久的に削除可能にしたり、ユーザーの要請があったときに再送信したりする機能を提供することができ、悪性コードの攻撃に対応するために仮想マシン(virtual machine)内において検査する場合、様々なファイル拡張子に対して検査を行うことができる。
【0143】
特に、セキュリティ脅威検査部130は、ゼロデイ脆弱点を用いる新型悪性コードの攻撃に対応するために行為に基づく検査を行って、パターンに登録されていない新型ウィルスを検出することができるだけではなく、URLに悪性コードを含んでいるか否かを検査するときに多重に接続されたURLの最終URLまで検査することができる。
【0144】
また、セキュリティ脅威検査部130は、URLに悪性コードが含まれているか否かを検査するときに、悪性の疑いがあるURLの場合、ユーザーがうっかり実行してしまう事態が起きることを防げるように、URLのハイパーリンクを除去したり、URLを別途の語句にて表記したり、URLを画像に変換したりするなどの別途の機能をユーザー端末200に提供することができる。
【0145】
さらに、セキュリティ脅威検査部130は、URLに悪性コードが含まれているか否かを検査するとき、事後のURLの活性攻撃を遮断するために、ユーザーが電子メールに受信されたURLを実行するたびに安全有無を検査することができ、URLに悪性コードが含まれているか否かを検査するとき、URLに悪性要素があるときに当該URLが分離されてセキュリティウェブゲートウェイに導かれた後、そこで危険な要素を除去して安全なウェブサイトコンテンツしかユーザー端末200に提供されないように処理することができる。
【0146】
さらにまた、セキュリティ脅威検査部130は、発信元の変更及びヘッダー改ざんの探知のために、相関ルールアルゴリズムに基づく顧客社アカウント、発信元、ヘッダー値及びIPアドレスの分析を行うことができる。例えば、セキュリティ脅威検査部130は、顧客社アカウントの発信元、既存のヘッダー値、IPアドレスデータなどのアカウントに受信されたメールの発信元、ヘッダー値、IPアドレス間の相関関係を相関ルールアルゴリズムに基づいて分析する改ざん探知モデルを構築することができる。
【0147】
これにより、セキュリティ脅威検査部130は、改ざん度探知モデル内の相関ルールに違背する発信元、ヘッダー値とIPアドレスデータが探知されれば、当該メールを遮断し、発信元の変更及びヘッダー改ざんが検出されたと処理することができる。
【0148】
一方、セキュリティ脅威検査部130は、類似ドメインの探知及び遮断のために、ランダムフォレストに基づく顧客社アカウントドメインのテキストデータを分析することができる。例えば、セキュリティ脅威検査部130は、ランダムフォレストアルゴリズムに基づく類似ドメイン探知モデルが顧客社アカウントドメインデータを取り集める学習モデルを構築することができる。
【0149】
これにより、セキュリティ脅威検査部130は、学習モデルが顧客社の実際のドメインデータを学習して人間の目で識別できない類似ドメイン内の変更済みのテキストデータを取り出して類似ドメインメールであると判断し、遮断し、検出情報を処理することができる。
【0150】
図6は、本発明の実施形態による電子メールセキュリティ診断サービス部をより具体的に説明するためのブロック図である。
【0151】
図6を参照すると、本発明の実施形態による電子メールセキュリティ診断サービス部190は、アーキテクチャー処理情報定量分析部191と、セキュリティ要素ごとの脅威レベル決定部192及び脅威レベルベースのガイドコンテンツ提供部193を備える。
【0152】
アーキテクチャー処理情報定量分析部191は、セキュリティ脅威検査部130のセキュリティ脅威アーキテクチャーのレベルごとのプロセスを行うことによるマッチング結果情報を取り集め、電子メール受発信のセキュリティ時に生じる一つ以上の脅威レベル要素仕分け基準の仕分け条件に準じて予め設定された脅威レベル割合要素ごとの定量分析情報を算出する。
【0153】
より具体的に、アーキテクチャー処理情報定量分析部191は、診断の対象となる電子メールシステムに対応して、診断期間及び診断ドメインを取得することができる。なお、診断期間及び診断ドメインに対するセキュリティ脅威アーキテクチャーに基づくメール受発信セキュリティ処理結果を踏まえて、前記脅威レベル要素仕分け基準の仕分け条件に対応して処理された定量的なマッチング件数を算出することができる。
【0154】
ここで、前記脅威レベル要素仕分け基準の仕分け条件には、各セキュリティ脅威アーキテクチャーのレベルごとの処理結果に対応して設定されることができ、例えば、悪性コードメール検出、悪性コード行為検出、ウィルス検出、ランサムウェア検出、悪性URL検出、本文内のURL検出、添付ファイル内のURL検出、ソーシャルエンジニアリングメール検出、ヘッダー改ざん検出、返信時のアドレス変更検出、ID変更検出、ドメイン変更検出、ID&ドメイン順序変更検出、発信元変更検出、類似ドメイン検出、ヘッダー改ざん注意メール検出、スパムメール(広告性、業務性)検出、信頼度注意メール検出のうちの少なくとも一つが盛り込まれていてもよい。
【0155】
このような各仕分け条件に相当する場合、全体の受発信メール件数対比のそれぞれのセキュリティ脅威類型ごとの検出件数の割合が算出されることができるため、割合情報は、前記定量分析情報に盛り込まれることができる。
【0156】
例えば、悪性コード脅威割合条件仕分けの定量分析情報は、(悪性コード検出件数+悪性URL検出件数+ランサムウェア検出件数)/(全体の受発信メール数)X100%により算出されることができる。
【0157】
また、例えば、ソーシャルエンジニアリング脅威割合条件仕分けの定量分析情報は、(ヘッダー改ざん検出件数+類似ドメイン検出件数)/(全体の受発信メール数)X100%により算出されることができる。
【0158】
さらに、例えば、スパムメール脅威割合条件仕分けの定量分析情報は、スパムメール件数それ自体により算出されることができる。
【0159】
さらにまた、例えば、信頼度注意脅威割合条件仕分けの定量分析情報は、信頼度80%未満にてマッチングされたメールの件数対比の全体の受発信メール数の割合情報により算出されることができる。
【0160】
さらにまた、例えば、信頼度注意脅威割合条件仕分けの定量分析情報は、信頼度80%未満にてマッチングされたメールの件数対比の全体の受発信メール数の割合情報により算出されることができる。
【0161】
さらにまた、例えば、発信元注意脅威割合条件仕分けの定量分析情報は、発信元の国、サーバーまたは経路のうちの少なくとも一つが変更されたと検出されたメール件数の、全体の受発信メール数対比の割合情報により算出されることができる。
【0162】
ここで、前記条件仕分けごとの危険要素は、重複して数えられてもよく、同一のメールに対してもヘッダー改ざん検出と、類似ドメイン検出件数は同時に数えられてもよい。
【0163】
そして、セキュリティ要素ごとの脅威レベル決定部192は、前記定量分析情報に基づいて、診断の対象となるメールシステムの脅威レベル段階分類ごとのスコアを決定することができる。
【0164】
より具体的に、脅威レベル段階分類ごとに前記仕分け条件がそれぞれ割り当てられることができ、前記仕分け条件に準じて検出された定量分析値が前記各脅威レベル段階分類に対応して合算処理されることができ、合算処理された値に基づいて各脅威レベル段階分類ごとのスコアが決定されることができる。
【0165】
例えば、脅威レベル段階は、その危険度に応じて、第1段階、第2段階、第3段階、第4段階に分類されることができ、各段階ごとに前記定量分析情報が配置されることができる。前記定量分析情報に盛り込まれている各割合値は合算処理され、セキュリティ要素ごとの脅威レベル決定部192は、合算処理された値に基づいて各脅威レベル段階ごとのスコアを取得することができる。
【0166】
さらに、セキュリティ要素ごとの脅威レベル決定部192は、前記各脅威レベル段階に対応する危険度の重み付け値を設定することができる。危険度の重み付け値は、第1レベルに対応して10%、第2レベルに対応して20%、第3レベルに対応して30%、第4レベルに対応して40%といったように割り当てられることができる。
【0167】
これにより、セキュリティ要素ごとの脅威レベル決定部192は、各脅威レベル段階ごとのスコアに、前記各危険度の重み付け値を積演算し、その結果を合算することにより、総合的なセキュリティ脅威アーキテクチャーに基づく電子メール受発信セキュリティ脅威の危険度を算出することができる。
【0168】
このようなセキュリティ脅威アーキテクチャーに基づく電子メール受発信セキュリティ脅威の危険度は、予め設定された等級に応じて、A、B、C、D、Eなどといったセキュリティ等級にマッピングされることができ、このようなマッピングにより、脅威レベルベースのガイドコンテンツ提供部193は、総合的な電子メールセキュリティシステムのドメイン/期間ごとのセキュリティ脅威の危険度をセキュリティ等級として表示する脅威レベルベースのガイドコンテンツを構成して、ユーザー端末200に提供することができる。
【0169】
ここで、脅威レベルベースのガイドコンテンツは、前記セキュリティ要素ごとの脅威レベル情報と、前記アーキテクチャー処理情報定量分析部の定量分析情報とに基づいて構成されることができる。脅威レベルベースのガイドコンテンツは、セキュリティ脅威アーキテクチャーにおいて検出されるメール類型ごとの検出件数と、検出統計情報に基づく診断グラフ、診断等級、診断類型ごとのメール検出割合情報、措置事項などの電子メールセキュリティ診断分析レポートインターフェースを備えていてもよい。
【0170】
図7は、本発明の実施形態による電子メールセキュリティ診断サービス部の動作を説明するためのフローチャートである。
【0171】
図7を参照すると、本発明の実施形態による電子メールセキュリティ診断サービス部190は、電子メール受発信のセキュリティ時に生じる一つ以上の脅威レベル割合要素を決定する(S201)。
【0172】
また、電子メールセキュリティ診断サービス部190は、診断の対象となるメールシステムの診断ドメイン及び診断期間に対応して、セキュリティ脅威検査部130からアーキテクチャー処理情報を取得し、前記アーキテクチャー処理情報から前記脅威レベル割合要素に対応する定量分析情報を算出する(S203)。
【0173】
次いで、電子メールセキュリティ診断サービス部190は、前記定量分析情報に基づいて、診断の対象となるメールシステムの脅威レベル段階分類ごとのスコアを決定する(S205)。
【0174】
さらに、電子メールセキュリティ診断サービス部190は、前記脅威レベル段階分類ごとのスコアに基づいて、電子メールセキュリティ診断分析レポートを構成する(S207)。
【0175】
次いで、電子メールセキュリティ診断サービス部190は、電子メールセキュリティ診断分析レポートをユーザー端末に提供し(S209)、提供結果に対応するユーザー端末200のフィードバック情報を確認し、次いで、期間の診断情報の更新を行う(S211)。
【0176】
図8及び図9は、本発明の実施形態による脅威レベル割合要素と、段階分類ごとのスコアの算出のための参照テーブルを例示した図である。
【0177】
図8を参照すると、脅威レベル割合要素を決定するための仕分け条件が予め設定されることができ、仕分け条件に相当するか否かとその件数は、セキュリティ脅威検査部130のセキュリティ脅威アーキテクチャー処理によるマッチング結果情報から算出されることができる。
【0178】
このような仕分け条件には、図11に示すように、行為検出、ウィルス、本文内のURL、添付ファイルURL、ランサムウェア、ヘッダー改ざん、類似ドメインのうちの少なくとも一つが盛り込まれていてもよい。
【0179】
ここで、悪性コード、悪性URL、ランサムウェアの場合に悪性コードメールに仕分けられることができ、ヘッダー改ざん、類似ドメインの場合にターゲット型の電子メール攻撃を含むソーシャルエンジニアリング的な攻撃メールに仕分けられることができる。
【0180】
より具体的に、前記行為検出は、電子メールに登録されていないパターンの悪性コードである場合、あるいは、ユーザーの許可なしにインストールされるファイルが存在する場合に相当し得る。
【0181】
また、ウィルス検出の場合、既知のパターンの悪性コードが検出された場合に相当し得る。
【0182】
さらに、ランサムウェア検出の場合、データを暗号化して使えないようにする悪性プログラムが検出された場合に相当し得る。
【0183】
さらにまた、悪性URLのうち、本文内のURL検出の場合、電子メールの本文にあるURLリンクにおいて悪性コードが検出される場合に相当し得る。
【0184】
さらにまた、悪性URLのうち、添付ファイル内のURL検出の場合、電子メール添付ファイルにあるリンクにおいて悪性コードが検出される場合に相当し得る。
【0185】
一方、スパムメールの場合には、予め設定された電子メールのルールに違反する要素が存在する広告性または業務性のメールが検出される場合に相当し得る。
【0186】
また、信頼度注意メールの場合には、同一のメールサーバーから発信されていない電子メールが検出される場合に相当し得る。
【0187】
さらに、ヘッダー改ざんメールのうち、返信時のアドレス変更検出の場合には、アドレスが変更されて発信された電子メールに返信するときに、実際の差出人(発信者)の電子メールアドレスとは異なる電子メールアドレスに変更されるメールが検出される場合に相当し得る。
【0188】
さらにまた、ヘッダー改ざんメールのうち、ID変更検出の場合には、実際の差出人の電子メールアドレス中のID部分を変更して発信したメールが検出される場合に相当し得る。
【0189】
さらにまた、ヘッダー改ざんメールのうち、ドメイン変更検出の場合には、実際の差出人の電子メールアドレス中のドメイン部分を変更して発信したメールが検出される場合に相当し得る。
【0190】
これらに加えて、ヘッダー改ざんメールのうち、ID&ドメイン順序変更検出の場合には、実際の差出人の電子メールアドレス中のIDとドメインの順序を変更して発信したメールが検出される場合に相当し得る。
【0191】
一方、図8に示されてはいないが、発信元変更検出もまた仕分け条件に盛り込まれることができる。発信元変更検出が行われる場合には、発信元の国の変更前に電子メールが発信された履歴と比較したときに発信元の国が変更されたと検出された場合、あるいは、発信メールサーバーの変更前に電子メールが発信された履歴と比較したときに発信メールサーバーが変更されたことが検出された場合、あるいは、発信経路の変更前に電子メールが発信された履歴と比較したときに発信経路が変更されたと検出された場合のうちのいずれか一つであってもよい。
【0192】
また、類似ドメインは、その変更の度合いに応じて、上、中、下に仕分けられることができる。
【0193】
類似ドメイン検出が「上」である場合、以前に受信した電子メールアドレスと文字が3つ以上変更された類似の電子メールアドレスが検出された場合であってもよく、「中」である場合、以前に受信した電子メールアドレスと文字が2つ以上変更された類似の電子メールアドレスが検出された場合に相当してもよく、「下」である場合、以前に受信した電子メールアドレスと文字が1つ以上変更された類似の電子メールアドレスが検出された場合に相当し得る。
【0194】
また、類似ドメイン検出が最上位ドメイン(Top Level Domain;TLD)である場合は、以前に受信した電子メールアドレスにおいて上位ドメインが変更された類似の電子メールアドレスが検出された場合に相当し得る。
【0195】
さらに、図9に示すように、各仕分け条件に準じて検出された定量分析情報は、脅威レベル段階ごとに分類されることができ、各段階ごとの定量分析情報は、合算処理されて段階ごとのスコアの算出に利用可能である。
【0196】
例えば、図9に示すように、第1段階(通常脅威)には、信頼度注意メールの割合、類似ドメイン(下)の割合が盛り込まれ、第2段階(通常脅威)には、ウィルスメールの割合、本文内URLの割合、発信経路変更メールの割合、類似ドメイン(中)の割合、ID変更メールの割合、ドメイン変更メールの割合が盛り込まれていてもよく、第3段階(多少危険)には、発信元国変更メールの割合、ID&ドメイン順序変更メールの割合、類似ドメイン(上)メールの割合、返信時のアドレス変更メールの割合が盛り込まれ、第4段階(非常に危険)には、発信メールサーバー変更の割合、ランサムウェアメールの割合、添付ファイル内のURLメールの割合、類似度(上)及びTLDメールの割合が盛り込まれていてもよい。
【0197】
これにより、セキュリティ要素ごとの脅威レベル決定部192は、前記各脅威レベル段階に対応する危険度の重み付け値を設定することができ、各段階ごとの定量分析に基づいて取得された割合情報を合算した値に危険度の重み付け値が積演算されることができ、段階ごとに積演算された値を合算して最終的なセキュリティ脅威スコアが等級に応じて決定されることができる。前記重み付け値としては、前述したように、第1レベルに対応して10%、第2レベルに対応して20%、第3レベルに対応して30%、第4レベルに対応して40%のように割り当てられるものが挙げられるが、これは、各ドメインの属性や管理者の設定に応じて可変となる。
【0198】
図10から図12は、本発明の実施形態によりユーザー端末に提供される診断レポートインターフェースの例示図である。
【0199】
ここで、前記診断レポートインターフェースは、電子メールセキュリティ診断サービス部190からユーザー端末200に提供されることができるため、ここで、ユーザー端末200としては、電子メールシステムのセキュリティ管理者のユーザー端末200が挙げられる。
【0200】
図10に示すように、本発明の実施形態による診断レポートインターフェースは、各セキュリティ脅威割合要素(注意メール類型)の仕分け条件ごとの検出件数と、仕分け類型ごとの検出件数とに基づくグラフインターフェースを備えていてもよい。
【0201】
図10を参照すると、グラフインターフェースは、行為検出、ランサムウェア、ウィルス、悪性URL、添付ファイル内のURL、ヘッダー改ざん、発信元変更、類似ドメインを各頂点とし、各頂点の中心点から外郭までの距離が前記仕分け条件に対応する定量分析算出値に基づいて決定される多角形インターフェースを備えていてもよい。
【0202】
ユーザーまたは電子メールセキュリティ管理者は、このような多角形インターフェースを参照して、現在のシステムにおいて脆弱な部分を手軽に視認することができる。
【0203】
また、本発明の実施形態による診断レポートインターフェースは、ユーザー端末200に、上記のようなインターフェースの検出情報とともに、診断期間に対応するセキュリティ等級と、情報流出に関わるメール受信の割合、誤送金詐欺に関わるメール受信の割合、電算麻痺に関わるメール受信の割合などの付加的な分析情報を一緒に提供することができる。
【0204】
さらに、本発明の実施形態による診断レポートインターフェースは、脆弱な攻撃類型に特化したセキュリティソリューションを利用することを推奨したり、再び診断することを提案したりする電子メールセキュリティ診断に基づくガイド情報を一緒に出力することができる。
【0205】
また、図11を参照すると、本発明の実施形態による診断レポートインターフェースは、前記仕分け条件ごとの定量分析情報をに基づいて算出される非正常メールの発信国及びランキング診断レポートを提供することができる。図14に示すように、非正常メールの発信国及びランキングがグラフィックオブジェクトとして表示されることができるため、ユーザーは、手軽にかつ直観的に国ごとのメールセキュリティ脅威の危険度を確認することができる。
【0206】
一方、図12は、検出情報に対応する対応方案ガイド提供インターフェースを示すものであって、図12に示すように、特定のセキュリティ脅威の仕分け条件が選択されれば、選択されたセキュリティ脅威の仕分け条件に対応する定量分析情報が数値化されて表示され、前記定量分析情報に基づく検出分析情報と、対応方案ガイド情報とが予め構築されたデータベースから取り出されてユーザー端末200に提供されることができる。
【0207】
図12においては、悪性URLの検出に関する検出情報及び対応方案ガイドが表示されているが、行為検出、ヘッダー改ざん、発信元変更、類似ドメイン、スパムメールなどの様々な仕分け条件の定量分析情報に基づく検出情報及び対応方案ガイドが構成されてそれぞれユーザー端末200に提供されることもできる。
【0208】
上述した本発明による方法は、コンピューターにおいて実行されるためのプログラムとして作成されてコンピューターにて読み取り可能な記録媒体に記憶されることができ、コンピューターにて読み取り可能な記録媒体の例としては、読み取り専用メモリー(ROM)、ランダムアクセスメモリー(RAM)、コンパクトディスク-読み取り専用メモリー(CD-ROM)、磁気テープ、フロッピーディスク、光データ記憶装置などが挙げられる。
【0209】
コンピューターにて読み取り可能な記録媒体は、ネットワークで結ばれたコンピューターシステムに分散されて、分散方式によりコンピューターにて読み取り可能なコードが記憶されかつ実行されることができる。そして、上記の方法を実現するための機能的な(function)プログラム、コード及びコードセグメントは、本発明が属する技術分野におけるプログラマーにより容易に推論されることができる。
【0210】
また、以上においては、本発明の好適な実施形態について図示及び説明したが、本発明は、上述した特定の実施形態に何ら限定されるものではなく、特許請求の範囲において請求する本発明の要旨から逸脱することなく、当該発明が属する技術分野において通常の知識を有する者により種々の変形実施が可能であるということはいうまでもなく、これらの変形された実施形態は、本発明の技術的思想や見通しから個別的に理解されてはならない。

図1
図2
図3a
図3b
図4
図5a
図5b
図5c
図6
図7
図8
図9
図10
図11
図12
【国際調査報告】
Copyright © 2010-2024 Science Impact Inc. All Rights Reserved.