[发明专利]不正当邮件判定装置、不正当邮件判定方法以及不正当邮件判定程序

说明书

不正当邮件判定装置(10)具备一贯性解析部(24)。一贯性解析部(24)将新接收到的接收邮件作为对象邮件，通过从对象邮件的正文中提取作为表示发送了对象邮件的理由的单词的功能词之类的方法来确定对象邮件的意图。一贯性解析部(24)根据过去从与对象邮件相同的发件人接收到的其它接收邮件与确定出的对象邮件的意图的关系来判定对象邮件是否为不正当邮件。

技术领域

本发明涉及一种探测针对性攻击邮件的技术。

背景技术

Advanced Persistent Threat(高级持续性威胁)之类的针对性攻击大多是将不正当邮件用作攻击的入侵手段的针对性攻击邮件。

在针对性攻击邮件中，利用使用与组织及人之类的攻击对象有关系的信息来巧妙地制作的语句。在针对性攻击邮件中，试图打开附在邮件中的恶性文件，或者试图访问正文中记载的URL(Uniform Resource Locator：统一资源定位符)所表示的恶性的Web站点。

已知关于附件和URL对内容的恶性程度静态或动态地进行解析的现有技术。例如，已知通过确认检查对象的附件是否与已知的恶意软件的模式匹配来探测恶意软件的技术。另外，还存在利用执行文件时的行为特征来探测恶意软件的技术。另外，还存在准备表示恶性的Web站点的URL的黑名单来将用户访问危险的Web站点的情况防患于未然的技术。而且，存在搭载了这些技术的恶意软件探测软件。

但是，越是高级的攻击者，越是在事先确认附件和URL是否被恶意软件探测软件探测到的基础上执行攻击。因此，关于未知的恶意软件和新的恶性的URL，难以适当地探测。

另外，存在根据邮件的头信息的不自然性来探测攻击的技术。在该技术中，基于发件人的发送域认证结果、发送路径、使用邮件软件以及经由国之类的信息判定是否为不正当邮件。但是，在该技术中，无法探测恶意使用正规用户的账户的冒充邮件。

在非专利文献1中记载了探测冒充邮件的技术。

在非专利文献1所记载的技术中，对邮件的发件人本人发出的邮件按词汇级、句法级以及结构级进行分析，制作表示个性的简档(profile)。词汇级是指单词数、以单词为单位的字符数、文本整体的字符数、以行为单位的字符数、行数、语句数、文本中的各个字符的频度以及文的末尾用的字符的频度等。句法级是指形容词的数量、副词的数量、对等连接词的数量以及过去分词的数量等。结构级是指署名、住址以及电话号码之类的确定著者的信息、问候文的形式、文的开头方法以及文的结尾方法等。文的开头方法是指大写字符的数量和小写字符的数量之类。文的结尾方法是指利用空格来分隔语句的语句的数量、利用点来分隔语句的语句的数量、利用点以外的标点符号来分隔语句的语句的数量以及在语句结束后利用空格的语句的数量之类。

在非专利文献1所记载的技术中，根据过去从发件人接收到的邮件来制作发件人的简档，在新接收到的邮件不与简档匹配的情况下判定为冒充邮件。

非专利文献1：Sevtap Duman,Kubra Kalkan Cakmakciy,Manuel Egelez,WilliamRobertson and Engin Kirda：“EmailProfiler：Spearphishing Filtering with Headerand Stylometric Features of Emails”,Computer Software and ApplicationsConference(COMPSAC),2016IEEE 40th Annual

发明内容

发明要解决的问题

但是，在攻击者准确地模仿了冒充对象的人的语句的习惯的情况以及过去的邮件被原样挪用的情况下，即使利用非专利文献1中记载的技术也无法探测。

本发明的目的在于能够适当地探测针对性攻击邮件。

用于解决问题的方案