JP2017054533A - 不正メール判定装置、及びプログラム - Google Patents
不正メール判定装置、及びプログラム Download PDFInfo
- Publication number
- JP2017054533A JP2017054533A JP2016216424A JP2016216424A JP2017054533A JP 2017054533 A JP2017054533 A JP 2017054533A JP 2016216424 A JP2016216424 A JP 2016216424A JP 2016216424 A JP2016216424 A JP 2016216424A JP 2017054533 A JP2017054533 A JP 2017054533A
- Authority
- JP
- Japan
- Prior art keywords
- new
- past
- header information
- illegal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004364 calculation method Methods 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 abstract description 31
- 230000007246 mechanism Effects 0.000 abstract description 4
- 239000000284 extract Substances 0.000 abstract 1
- 238000012545 processing Methods 0.000 description 30
- 238000000034 method Methods 0.000 description 29
- 238000007726 management method Methods 0.000 description 24
- 238000007621 cluster analysis Methods 0.000 description 23
- 230000008859 change Effects 0.000 description 20
- 230000008569 process Effects 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000012790 confirmation Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000000605 extraction Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000007417 hierarchical cluster analysis Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
中継ネットワークを介してメールを受信する受信側メールサーバから新規メールを受信する新規メール受信手段と、
過去に受信した過去メールのヘッダ情報を格納する過去メール情報格納手段と、
前記新規メールからヘッダ情報を抽出し、前記過去メールのヘッダ情報との間の距離を算出し、当該距離と所定の閾値とに基づいて前記新規メールが不正メールか否かを判定する判定手段と、
前記判定手段により、前記新規メールが不正メールであると判定された場合に、受信者に通知を行い、前記新規メールが不正メールでないと判定された場合に、当該新規メールを前記過去メール情報格納手段に格納する手段と、
前記過去メール情報格納手段に格納されたメールのヘッダ情報間の距離に基づいて、前記閾値を算出する閾値算出手段とを備えることを特徴とする不正メール判定装置として構成される。
中継ネットワークを介してメールを受信する受信側メールサーバから新規メールを受信する新規メール受信手段と、
過去に受信した過去メールのヘッダ情報を格納する過去メール情報格納手段と、
前記新規メールからヘッダ情報を抽出し、当該新規メールのヘッダ情報と前記過去メールのヘッダ情報との間の類似性に基づいて前記新規メールが不正メールか否かを判定する判定手段と、
前記判定手段により、前記新規メールが不正メールであると判定された場合に、受信者に通知を行い、前記新規メールが不正メールでないと判定された場合に、当該新規メールを前記過去メール情報格納手段に格納する手段と
を備えることを特徴とする不正メール判定装置として構成される。
図1に、本発明の実施の形態に係るシステムの全体概要構成図を示す。図1に示すように、本実施の形態におけるシステムでは、送信側ネットワーク30と受信側ネットワーク40が、中継ネットワーク50を介して接続されている。送信側ネットワーク30には、送信者端末1と送信側メールサーバ3が備えられ、受信側ネットワーク40には、受信側メールサーバ4、受信者端末20、及び本発明に係る不正メール判定装置10が備えられる。なお、図1には、送信側ネットワークを1つのみ示しているが、本実施の形態では、送信側ネットワークは複数あり、その中に、不正メールの送信元となる送信側ネットワークが含まれることを想定している。
図3に、不正メール判定装置10の機能構成図を示す。図3に示すように、本実施の形態に係る不正メール判定装置10は、新規メール受信部11、ヘッダ情報抽出部12、不正メール判定部13、メール不正判定時処理部14、メール受信時処理部15、及び管理情報格納部16を備える。
以下、図6、及び図7のフローチャートを参照して、不正メール判定装置10の処理の全体の流れを説明する。以下の説明では、図3に示す各機能部の名称を適宜用いる。また、以下では、特定の送信元アドレスを有し、受信者端末20宛てに送られたメールを対象とするものとし、当該送信元アドレスも新規メールから抽出して、各テーブルに格納するが、以下では、説明を分かり易くするために、送信元アドレスについては述べていない。
本実施の形態では、新規メールと過去メールにおける各メール間において、ヘッダ情報(本実施の形態では、From部の情報)の文字列比較を行うことにより、類似性を判断し、不正判定を行うこととしている。
本実施の形態において、例えば過去メール数が少なく、過去メールのヘッダ情報がばらばらで、過去メール間の距離が非常に大きくなる場合が考えられる。この場合、閾値も非常に大きくなってしまい、新規メールを不正メールであると判定できない場合が生じ得る。
上記の式で、T は、不正メール判定で用いる閾値である。dfは、サンプル(正常メールのみ)のクラスタ間の最大距離、すなわち、暫定閾値である。E(dm)は、ホスト名、ホストアドレスの総文字数*2 の平均、すなわち、前述した距離1の平均である。E(dn)は、ホスト名に含まれる数字部分の文字数*2 の平均、すなわち、前述した距離2の平均である。
これまでに説明した例では、ReceivedヘッダのFrom部を用いて判定を行っているが、with部又はby部、もしくはwith部とby部の両方を加えて判定を行うこととしてもよい。with部やby部を加えた場合は、判定に用いる文字列が増加するが、編集距離に基づきクラスタ分析を行って、クラスタ間の距離に基づき閾値を算出し、当該閾値を用いて新規メールの不正判定を行うという基本的な処理はFrom部のみの場合と同様である。また、必要に応じて、From部のみの場合と同様に、あり得る文字列変化を考慮して閾値を補正することも可能である。
(第1項)
受信したメールが不正メールであるかどうかを判定する不正メール判定装置であって、
中継ネットワークを介してメールを受信する受信側メールサーバから新規メールを受信する新規メール受信手段と、
過去に受信した過去メールのヘッダ情報を格納する過去メール情報格納手段と、
前記新規メールからヘッダ情報を抽出し、前記過去メールのヘッダ情報との間の距離を算出し、当該距離と所定の閾値とに基づいて前記新規メールが不正メールか否かを判定する判定手段と、
前記判定手段により、前記新規メールが不正メールであると判定された場合に、受信者に通知を行い、前記新規メールが不正メールでないと判定された場合に、当該新規メールを前記過去メール情報格納手段に格納する手段と、
前記過去メール情報格納手段に格納されたメールのヘッダ情報間の距離に基づいて、前記閾値を算出する閾値算出手段と
を備えることを特徴とする不正メール判定装置。
(第2項)
前記ヘッダ情報は、Receivedヘッダの情報、User-Agentヘッダの情報、又はX-Mailerヘッダの情報であり、前記距離は編集距離である
ことを特徴とする第1項に記載の不正メール判定装置。
(第3項)
前記閾値算出手段は、前記過去メール情報格納手段に格納されたメールのヘッダ情報間の距離に基づきクラスタ分析を行い、最大のクラスタ間の距離に基づいて前記閾値を算出する
ことを特徴とする第1項又は第2項に記載の不正メール判定装置。
(第4項)
前記閾値算出手段は、前記最大のクラスタ間の距離を暫定閾値とし、前記ヘッダ情報の中で、受信メール間で変化し得ると推定される文字が全て変化した場合における変化後のヘッダ情報と、変化前のヘッダ情報との間の距離を用いて前記暫定閾値を補正することにより前記閾値を算出する
ことを特徴とする第3項に記載の不正メール判定装置。
(第5項)
前記判定手段は、前記新規メールと前記過去メールとを含むメールのヘッダ情報間の距離に基づくクラスタ分析を行い、前記新規メールのクラスタへの結合時における当該新規メールと当該クラスタ間のヘッダ情報の距離が、前記閾値を超えた場合に、当該新規メールは不正メールであると判定する
ことを特徴とする第1項ないし第4項のうちいずれか1項に記載の不正メール判定装置。
(第6項)
受信したメールが不正メールであるかどうかを判定する不正メール判定装置が実行する不正メール判定方法であって、
前記不正メール判定装置は、過去に受信した過去メールのヘッダ情報を格納する過去メール情報格納手段を備えており、
中継ネットワークを介してメールを受信する受信側メールサーバから新規メールを受信する新規メール受信ステップと、
前記新規メールからヘッダ情報を抽出し、前記過去メールのヘッダ情報との間の距離を算出し、当該距離と所定の閾値とに基づいて前記新規メールが不正メールか否かを判定する判定ステップと、
前記判定ステップにより、前記新規メールが不正メールであると判定された場合に、受信者に通知を行い、前記新規メールが不正メールでないと判定された場合に、当該新規メールを前記過去メール情報格納手段に格納するステップと、
前記過去メール情報格納手段に格納されたメールのヘッダ情報間の距離に基づいて、前記閾値を算出する閾値算出ステップと
を備えることを特徴とする不正メール判定方法。
(第7項)
コンピュータを、第1項ないし第5項のうちのいずれか1項に記載された不正メール判定装置における各手段として機能させるためのプログラム。
2 送信側中継メールサーバ
3 送信側メールサーバ
4 受信側メールサーバ
5 攻撃者利用メールサーバ
6 攻撃者メール送信端末
10 不正メール判定装置
11 新規メール受信部
12 ヘッダ情報抽出部
13 不正メール判定部
14 メール不正判定時処理部
15 メール受信時処理部
16 管理情報格納部
20 受信者端末
30 送信側ネットワーク
40 受信側ネットワーク
50 中継ネットワーク
Claims (3)
- 受信したメールが不正メールであるかどうかを判定する不正メール判定装置であって、
中継ネットワークを介してメールを受信する受信側メールサーバから新規メールを受信する新規メール受信手段と、
過去に受信した過去メールのヘッダ情報を格納する過去メール情報格納手段と、
前記新規メールからヘッダ情報を抽出し、当該新規メールのヘッダ情報と前記過去メールのヘッダ情報との間の類似性に基づいて前記新規メールが不正メールか否かを判定する判定手段と、
前記判定手段により、前記新規メールが不正メールであると判定された場合に、受信者に通知を行い、前記新規メールが不正メールでないと判定された場合に、当該新規メールを前記過去メール情報格納手段に格納する手段と
を備えることを特徴とする不正メール判定装置。 - 前記過去メール情報格納手段に格納されたメールのヘッダ情報間の類似性に基づいて、前記判定に用いる閾値を算出する閾値算出手段
を備えることを特徴とする請求項1に記載の不正メール判定装置。 - コンピュータを、受信したメールが不正メールであるかどうかを判定する不正メール判定装置として機能させるプログラムであって、コンピュータを、
中継ネットワークを介してメールを受信する受信側メールサーバから新規メールを受信する新規メール受信手段、
過去に受信した過去メールのヘッダ情報を格納する過去メール情報格納手段、
前記新規メールからヘッダ情報を抽出し、当該新規メールのヘッダ情報と前記過去メールのヘッダ情報との間の類似性に基づいて前記新規メールが不正メールか否かを判定する判定手段、
前記判定手段により、前記新規メールが不正メールであると判定された場合に、受信者に通知を行い、前記新規メールが不正メールでないと判定された場合に、当該新規メールを前記過去メール情報格納手段に格納する手段
として機能させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016216424A JP6316380B2 (ja) | 2016-11-04 | 2016-11-04 | 不正メール判定装置、不正メール判定方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016216424A JP6316380B2 (ja) | 2016-11-04 | 2016-11-04 | 不正メール判定装置、不正メール判定方法、及びプログラム |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012254737A Division JP6039378B2 (ja) | 2012-11-20 | 2012-11-20 | 不正メール判定装置、不正メール判定方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017054533A true JP2017054533A (ja) | 2017-03-16 |
JP6316380B2 JP6316380B2 (ja) | 2018-04-25 |
Family
ID=58316899
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016216424A Active JP6316380B2 (ja) | 2016-11-04 | 2016-11-04 | 不正メール判定装置、不正メール判定方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6316380B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111669451A (zh) * | 2019-03-07 | 2020-09-15 | 顺丰科技有限公司 | 私人邮箱判断方法及判断装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009104400A (ja) * | 2007-10-23 | 2009-05-14 | Kddi Corp | 電子メールフィルタリング装置、電子メールのフィルタリング方法およびプログラム |
JP2014087023A (ja) * | 2012-10-26 | 2014-05-12 | Canon Marketing Japan Inc | 情報処理装置及びその制御方法並びにプログラム |
-
2016
- 2016-11-04 JP JP2016216424A patent/JP6316380B2/ja active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009104400A (ja) * | 2007-10-23 | 2009-05-14 | Kddi Corp | 電子メールフィルタリング装置、電子メールのフィルタリング方法およびプログラム |
JP2014087023A (ja) * | 2012-10-26 | 2014-05-12 | Canon Marketing Japan Inc | 情報処理装置及びその制御方法並びにプログラム |
Non-Patent Citations (1)
Title |
---|
梅田昴翔 他: "電子メールヘッダの特徴情報を用いた標的型攻撃の検知", コンピュータセキュリティシンポジウム2010論文集, JPN6017035751, 12 October 2010 (2010-10-12), JP, pages 109 - 114, ISSN: 0003644156 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111669451A (zh) * | 2019-03-07 | 2020-09-15 | 顺丰科技有限公司 | 私人邮箱判断方法及判断装置 |
CN111669451B (zh) * | 2019-03-07 | 2022-10-21 | 顺丰科技有限公司 | 私人邮箱判断方法及判断装置 |
Also Published As
Publication number | Publication date |
---|---|
JP6316380B2 (ja) | 2018-04-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11516248B2 (en) | Security system for detection and mitigation of malicious communications | |
US11722497B2 (en) | Message security assessment using sender identity profiles | |
US11019079B2 (en) | Detection of email spoofing and spear phishing attacks | |
US9154514B1 (en) | Systems and methods for electronic message analysis | |
US7836133B2 (en) | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources | |
US20180152471A1 (en) | Detecting computer security risk based on previously observed communications | |
US9143476B2 (en) | Real-time classification of email message traffic | |
US20140325007A1 (en) | System for reclassification of electronic messages in a spam filtering system | |
US7950047B2 (en) | Reporting on spoofed e-mail | |
CN113812130A (zh) | 网络钓鱼活动的检测 | |
US20080120704A1 (en) | Identifying unwanted electronic messages | |
US20100161734A1 (en) | Determining spam based on primary and secondary email addresses of a user | |
JP6039378B2 (ja) | 不正メール判定装置、不正メール判定方法、及びプログラム | |
US7890588B2 (en) | Unwanted mail discriminating apparatus and unwanted mail discriminating method | |
CN111752973A (zh) | 生成用于识别垃圾电子邮件的启发式规则的***和方法 | |
US8103627B1 (en) | Bounce attack prevention based on e-mail message tracking | |
CN109039874B (zh) | 一种基于行为分析的邮件审计方法及装置 | |
US8473556B2 (en) | Apparatus, a method, a program and a system for processing an e-mail | |
US10069775B2 (en) | Systems and methods for detecting spam in outbound transactional emails | |
JP4670049B2 (ja) | 電子メールフィルタリングプログラム、電子メールフィルタリング方法、電子メールフィルタリングシステム | |
JP6316380B2 (ja) | 不正メール判定装置、不正メール判定方法、及びプログラム | |
JP6247490B2 (ja) | 不正メール判定装置、及びプログラム | |
JP6480541B2 (ja) | 不正メール判定装置、及びプログラム | |
Morovati et al. | Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques. | |
CN113938311A (zh) | 一种邮件攻击溯源方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170919 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170920 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171120 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180320 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180327 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6316380 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |