KR102018348B1 - User behavior analysis based target account exploit detection apparatus - Google Patents

User behavior analysis based target account exploit detection apparatus Download PDF

Info

Publication number
KR102018348B1
KR102018348B1 KR1020190025867A KR20190025867A KR102018348B1 KR 102018348 B1 KR102018348 B1 KR 102018348B1 KR 1020190025867 A KR1020190025867 A KR 1020190025867A KR 20190025867 A KR20190025867 A KR 20190025867A KR 102018348 B1 KR102018348 B1 KR 102018348B1
Authority
KR
South Korea
Prior art keywords
account
user
user behavior
target account
target
Prior art date
Application number
KR1020190025867A
Other languages
Korean (ko)
Inventor
김민수
신동명
고상준
Original Assignee
엘에스웨어(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘에스웨어(주) filed Critical 엘에스웨어(주)
Priority to KR1020190025867A priority Critical patent/KR102018348B1/en
Application granted granted Critical
Publication of KR102018348B1 publication Critical patent/KR102018348B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/22
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Abstract

The present invention relates to an apparatus for detecting exploit of a target account based on user behavior analysis, which comprises: an account activity collecting unit collecting account activities of a user generated through data communication with an external device; an account activity graph generating unit storing an account activity area in nodes and linking the nodes in time series to generate an account activity graph; a user behavior analysis unit analyzing a behavior of the user based on the account activity graph; and a target account exploit detection unit detecting the account or the account activity abnormality based on the user behavior analysis to detect the exploit of the target account of an internal attacker.

Description

사용자 행동 분석 기반의 목표계정 탈취 감지 장치{USER BEHAVIOR ANALYSIS BASED TARGET ACCOUNT EXPLOIT DETECTION APPARATUS}Target account takeover detection device based on user behavior analysis {USER BEHAVIOR ANALYSIS BASED TARGET ACCOUNT EXPLOIT DETECTION APPARATUS}

본 발명은 사용자 행동 분석 기반의 목표계정 탈취 감지 기술에 관한 것으로, 보다 상세하게는, 계정활동 그래프를 기초로 사용자의 비정상적인 계정활동을 검출하여 내부 공격자에 의한 목표계정 탈취를 감지할 수 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치에 관한 것이다.The present invention relates to a target account takeover detection technology based on user behavior analysis, and more particularly, user behavior that can detect target account takeover by an internal attacker by detecting abnormal account activity of the user based on the account activity graph. The present invention relates to an analysis-based target account takeover detection device.

소프트웨어의 중요성은 점점 높아지고 있는 추세이고, 대부분의 기업과 회사에서는 온라인 서비스를 통해 비즈니스의 연속성을 유지해가고 있다. 이러한 서비스들은 대부분 서버 시스템의 자원을 활용하여 제공되고 있기에 비즈니스의 연속성을 보장하기 위해 서버 시스템의 보안과 가용성 측면에서 안정적인 운영이 필수적이다.Software is becoming increasingly important, and most companies and companies are maintaining business continuity through online services. Since most of these services are provided by utilizing server system resources, stable operation is essential in terms of security and availability of server systems to ensure business continuity.

최근 정보 보호 법률 및 규제 등의 강화로 서버 시스템 보호 대책 방안이 요구되고 있고, 고도화되고 있는 다양한 기법의 내부 및/또는 외부 공격으로부터 자산을 보호하기 위해 효과적인 접근 통제와 감사 추적이 포함된 전사적인 서버 시스템 통제 대응 방안이 필요하다. 또한, 기존의 서버 보안 기술은 외부 공격에 대해 중점을 두고 있어 잠재적인 내부자 위협에 대응하기에는 한계가 있었다.Recently, server system protection measures are required due to the strengthening of information protection laws and regulations, and enterprise-wide servers including effective access control and audit trails to protect assets from internal and / or external attacks of various advanced techniques. A system control response plan is needed. In addition, existing server security technologies focus on external attacks, limiting their ability to respond to potential insider threats.

한국공개특허 제10-2017-0122548호는 비정상 프로세스의 연관 데이터 분석을 이용한 APT 공격 인지 방법 및 장치에 관한 것으로, 기업이나 조직 등의 네트워크 상의 서버, PC(Personal Computer) 등 호스트 장치의 백신 프로그램이나 보안 시스템에서 실시간으로 탐지된 악성 프로세스 등 비정상 프로세스(어플리케이션)에 대해 과거 연관 데이터에서 그 프로세스와 연관된 데이터 관계 및 수행된 행위에 대한 과거 연관 정보를 생성하여 이를 기반으로 APT 5단계, 즉, 전파(Delivery), 탈취(Exploitation), 설치(Installation), C0026#C(Command 0026# Control) 통신, 목표달성(Actions)을 분석함으로써 지능형 사이버 표적 공격(APT)를 탐지하는 기술을 개시한다.Korean Patent Laid-Open No. 10-2017-0122548 relates to a method and apparatus for recognizing an APT attack using analysis of related data of an abnormal process, and includes a vaccine program of a host device such as a server or a personal computer (PC) on a network of an enterprise or an organization. For an abnormal process (application), such as a malicious process detected in real time in the security system, historical association data is generated from past association data, and past association information on data relations and actions performed associated with the process is based on the APT step 5, that is, propagation ( Disclosed are techniques for detecting advanced cyber target attacks (APTs) by analyzing delivery, exploitation, installation, C0026 # C (Command 0026 # Control) communications, and actions.

한국공개특허 제10-2014-0078329호는 내부망 타겟 공격 대응 장치 및 방법에 관한 것으로, 내부망 타겟 공격 대응 장치는 행위프로파일시 ECDMAX(Exploit, C2, Download, Lateral Movement, External Network Attack, Exfiltration)를 기초로 단계별로 공격을 추적하고 대응하는 기술을 개시한다.Korean Laid-Open Patent Publication No. 10-2014-0078329 relates to an internal network target attack response device and method, and the internal network target attack response device includes ECDMAX (Exploit, C2, Download, Lateral Movement, External Network Attack, Exfiltration) in the behavior profile. Based on the step by step attack tracking and counteracting techniques are disclosed.

한국공개특허 제10-2017-0122548호 (2017.11.06)Korean Patent Publication No. 10-2017-0122548 (2017.11.06) 한국공개특허 제10-2014-0078329호 (2014.06.25)Korean Patent Publication No. 10-2014-0078329 (2014.06.25)

본 발명의 일 실시예는 계정활동 그래프를 기초로 사용자의 비정상적인 계정활동을 검출하여 내부 공격자에 의한 목표계정 탈취를 감지할 수 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치를 제공하고자 한다.An embodiment of the present invention is to provide a target account takeover detection apparatus based on user behavior analysis that can detect abnormal account activity of the user based on the account activity graph to detect the target account takeover by the internal attacker.

본 발명의 일 실시예는 일정 기간 동안 수집된 사용자의 계정 활동의 패턴을 분석하고 공격 유형을 모델링하여 목표계정 탈취에 해당하는 공격 유형을 감지할 수 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치를 제공하고자 한다.An embodiment of the present invention is to analyze the pattern of the user's account activity collected for a certain period of time and model the type of attack to detect the target account takeover detection based on user behavior analysis that can detect the attack type corresponding to the target account takeover To provide.

본 발명의 일 실시예는 종래의 서버 보안 기술에 의해서 내부 공격이 감지되지 않는 것을 해결할 수 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치를 제공하고자 한다.An embodiment of the present invention is to provide a target account takeover detection apparatus based on user behavior analysis that can solve that the internal attack is not detected by the conventional server security technology.

실시예들 중에서, 사용자 행동 분석 기반의 목표계정 탈취 감지 장치는 외부 기기와 데이터 통신을 통해 생성되는 사용자의 계정 활동들을 수집하는 계정 활동 수집부, 계정 활동 영역을 노드에 저장하고 노드들을 시계열 순서로 링크하여 계정활동 그래프를 생성하는 계정활동 그래프 생성부, 상기 계정활동 그래프를 기초로 사용자의 행동을 분석하는 사용자 행동 분석부, 및 상기 사용자 행동 분석을 기초로 상기 계정 또는 상기 계정 활동 이상을 검출하여 내부 공격자의 목표계정 탈취를 감지하는 목표계정 탈취 감지부를 포함한다.Among the embodiments, the target account takeover detection apparatus based on user behavior analysis may include an account activity collector configured to collect account activity of a user generated through data communication with an external device, and store the account activity area in a node and arrange the nodes in time series order. An account activity graph generator for generating an account activity graph by linking, a user behavior analyzer for analyzing a user's behavior based on the account activity graph, and detecting an abnormality of the account or the account activity based on the user behavior analysis; Target account takeover detection unit for detecting the target account takeover of the internal attacker.

일 실시예에서, 상기 계정 활동 수집부는 사용자에 의한 계정 활동과 연관된 자원을 주기적 그리고 지속적으로 수집할 수 있다.In one embodiment, the account activity collector may periodically and continuously collect resources associated with account activity by the user.

일 실시예에서, 상기 계정활동 그래프 생성부는 상기 계정 활동들의 자원 간의 일정한 연결관계에 따라 정상적인 사용자의 행동 패턴에 기초한 시계열 순서에 따른 노드 및 그룹 노드를 생성할 수 있다.In one embodiment, the account activity graph generator may generate nodes and group nodes in a time series order based on a normal user's behavior pattern according to a predetermined connection relationship between the resources of the account activities.

일 실시예에서, 상기 계정활동 그래프 생성부는 상기 계정활동 그래프에서 상기 시계열 순서를 벗어나 노드들 간의 비정상적인 연결관계를 가지는 내부 공격자의 공격유형을 모델링할 수 있다.In one embodiment, the account activity graph generator may model an attacker type of an internal attacker having an abnormal connection relationship between nodes out of the time series in the account activity graph.

일 실시예에서, 상기 사용자 행동 분석부는 상기 계정활동 그래프를 기준으로 하여 사용자의 행동 패턴을 기준과 대조하여 사용자 행동 이상을 검출할 수 있다.In one embodiment, the user behavior analysis unit may detect a user behavior abnormality by comparing the user's behavior pattern with a criterion based on the account activity graph.

일 실시예에서, 상기 목표계정 탈취 감지부는 상기 사용자 행동 이상이 검출된 상기 계정활동 그래프의 노드들 간의 비정상적인 연결관계에 있는 계정 접근 또는 공격자의 단위시간당 집중도 또는 주기당 집중도를 기초로 APT (Advanced Persistent Threat)를 검출할 수 있다.In one embodiment, the target account takeover detection unit APT (Advanced Persistent) on the basis of the concentration per unit time or the concentration of the perpetual account access or attacker in the abnormal connection relationship between the nodes of the account activity graph detected the user behavior abnormality Threat) can be detected.

일 실시예에서, 상기 목표계정 탈취 감지부는 상기 단위시간당 집중도 또는 주기당 집중도가 특정 기준 이상이면 상기 비정상적인 연결관계에 있는 노드에 저장된 자원과 연관된 계정을 공격대상 계정에 해당하는 것으로 결정할 수 있다.In one embodiment, the target account takeover detection unit may determine that an account associated with a resource stored in the node having an abnormal connection corresponds to an attack target account if the concentration per unit time or the concentration per cycle is greater than or equal to a certain criterion.

일 실시예에서, 상기 목표계정 탈취 감지부는 상기 목표계정 탈취가 감지되면 계정접근 폐쇄 후 연관 스마트폰에 인증번호 송신하거나 또는 계정권한 축소 후 비밀번호 변경을 요청할 수 있다.In one embodiment, when the target account takeover detection is detected, the target account takeover may be sent to the associated smart phone after closing the account access, or may request a password change after reducing the account authority.

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The disclosed technique can have the following effects. However, since a specific embodiment does not mean to include all of the following effects or only the following effects, it should not be understood that the scope of the disclosed technology is limited by this.

본 발명의 일 실시예에 따른 사용자 행동 분석 기반의 목표계정 탈취 감지 장치는 계정활동 그래프를 기초로 사용자의 비정상적인 계정활동을 검출하여 내부 공격자에 의한 목표계정 탈취를 감지할 수 있다.The target account takeover detection apparatus based on user behavior analysis according to an embodiment of the present invention may detect abnormal account activity of the user based on an account activity graph to detect a target account takeover by an internal attacker.

본 발명의 일 실시예에 따른 사용자 행동 분석 기반의 목표계정 탈취 감지 장치는 일정 기간 동안 수집된 사용자의 계정 활동의 패턴을 분석하고 공격 유형을 모델링하여 목표계정 탈취에 해당하는 공격 유형을 감지할 수 있다.The target account takeover detection apparatus based on user behavior analysis according to an embodiment of the present invention may detect an attack type corresponding to a target account takeover by analyzing a pattern of user's account activity collected for a certain period of time and modeling an attack type. have.

본 발명의 일 실시예에 따른 사용자 행동 분석 기반의 목표계정 탈취 감지 장치는 종래의 서버 보안 기술에 의해서 내부 공격이 감지되지 않는 것을 해결할 수 있다.The target account takeover detection apparatus based on user behavior analysis according to an embodiment of the present invention can solve that an internal attack is not detected by a conventional server security technology.

도 1은 본 발명의 일 실시예에 따른 사용자 행동 분석 기반의 목표계정 탈취 감지 시스템을 설명하는 도면이다.
도 2는 도 1에 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치를 나타내는 도면이다.
도 3은 도 1에 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치의 프로세서의 기능 요소를 나타내는 도면이다.
도 4는 도 1에 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치에서 수행되는 사용자 행동 분석 기반의 목표계정 탈취 감지 방법을 설명하는 순서도이다.
도 5는 도 1에 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치의 계정활동 그래프를 나타내는 예시도이다.1 is a diagram illustrating a target account takeover detection system based on user behavior analysis according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating an apparatus for detecting a target account takeover based on user behavior analysis of FIG. 1.
FIG. 3 is a diagram illustrating functional elements of a processor of the target account takeover detecting apparatus based on user behavior analysis of FIG. 1.
FIG. 4 is a flowchart illustrating a method of detecting a target account takeover based on a user behavior analysis performed by the apparatus for detecting a target account takeover based on the user behavior analysis of FIG. 1.
FIG. 5 is an exemplary diagram illustrating a graph of an account activity of a target account takeover detecting apparatus based on user behavior analysis of FIG. 1.

본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.Description of the present invention is only an embodiment for structural or functional description, the scope of the present invention should not be construed as limited by the embodiments described in the text. That is, since the embodiments may be variously modified and may have various forms, the scope of the present invention should be understood to include equivalents capable of realizing the technical idea. In addition, the objects or effects presented in the present invention does not mean that a specific embodiment should include all or only such effects, the scope of the present invention should not be understood as being limited thereby.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.On the other hand, the meaning of the terms described in the present application should be understood as follows.

"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.Terms such as "first" and "second" are intended to distinguish one component from another component, and the scope of rights should not be limited by these terms. For example, the first component may be named a second component, and similarly, the second component may also be named a first component.

어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.When a component is referred to as being "connected" to another component, it should be understood that there may be other components in between, although it may be directly connected to the other component. On the other hand, when a component is referred to as being "directly connected" to another component, it should be understood that there is no other component in between. On the other hand, other expressions describing the relationship between the components, such as "between" and "immediately between" or "neighboring to" and "directly neighboring to", should be interpreted as well.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions should be understood to include plural expressions unless the context clearly indicates otherwise, and terms such as "comprise" or "have" refer to a feature, number, step, operation, component, part, or feature thereof. It is to be understood that the combination is intended to be present and does not exclude in advance the possibility of the presence or addition of one or more other features or numbers, steps, operations, components, parts or combinations thereof.

각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, an identification code (e.g., a, b, c, etc.) is used for convenience of description, and the identification code does not describe the order of the steps, and each step clearly indicates a specific order in context. Unless stated otherwise, they may occur out of the order noted. That is, each step may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.

본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can be embodied as computer readable code on a computer readable recording medium, and the computer readable recording medium includes all kinds of recording devices in which data can be read by a computer system. . Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, and the like. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the art unless otherwise defined. Generally, the terms defined in the dictionary used are to be interpreted to coincide with the meanings in the context of the related art, and should not be interpreted as having ideal or excessively formal meanings unless clearly defined in the present application.

도 1은 본 발명의 일 실시예에 따른 사용자 행동 분석 기반의 목표계정 정찰행위 탐지 시스템을 설명하는 도면이다.1 is a view for explaining a target account reconnaissance detection system based on user behavior analysis according to an embodiment of the present invention.

도 1을 참조하면, 사용자 행동 분석 기반의 목표계정 탈취 감지 시스템(100)은 외부 기기(110) 및 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)를 포함할 수 있다.Referring to FIG. 1, a target account takeover detection system 100 based on user behavior analysis may include an external device 110 and a target account takeover detection device 120 based on user behavior analysis.

외부 기기(110)는 데이터 통신을 통해 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)와 통신을 수행하는 컴퓨팅 장치에 해당하고, 예를 들어, 스마트폰, 노트북 또는 컴퓨터로 구현될 수 있으며 반드시 이에 한정하지 않고, 태블릿 PC 등 다양한 디바이스로도 구현될 수 있다. 외부 기기(110)는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)와 네트워크를 통해 연결될 수 있고, 적어도 하나의 외부 기기(110)는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)와 동시에 연결될 수 있다.The external device 110 corresponds to a computing device that communicates with the target account takeover detection device 120 based on user behavior analysis through data communication, and may be implemented as, for example, a smartphone, a laptop, or a computer. The present invention is not limited thereto and may be implemented in various devices such as a tablet PC. The external device 110 may be connected to the target account takeover detection device 120 based on user behavior analysis through at least one external device 110 and the target account takeover detection device 120 based on the user behavior analysis. Can be connected at the same time.

사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)는 외부 기기(110)와 데이터 통신을 통해 생성되는 사용자의 계정 활동 그래프를 기반으로 공격유형 모델을 수립하여 목표계정 탈취를 감지하는 서버에 해당할 수 있다. 일 실시예에서, 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)는 외부 기기(110)와 데이터 통신에서 공격자의 목표계정 탈취를 감지함으로써 공격에 대한 사전 대응이 가능한 별도의 서버 또는 장치로 구현될 수 있으나, 반드시 이에 한정하지 않는다.The target account takeover detecting apparatus 120 based on user behavior analysis may correspond to a server that detects a target account takeover by establishing an attack type model based on a user's account activity graph generated through data communication with the external device 110. Can be. In one embodiment, the target account takeover detection device 120 based on user behavior analysis is implemented as a separate server or device capable of proactive response to the attack by detecting the target account takeover of the attacker in the data communication with the external device 110 However, the present invention is not limited thereto.

일 실시예에서, 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)는 데이터베이스(미도시됨)를 포함하여 구현될 수 있고, 데이터베이스와 독립적으로 구현될 수 있다. 데이터베이스와 독립적으로 구현되는 경우에 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)는 데이터베이스와 유선 및/또는 무선으로 연결되어 데이터를 송수신할 수 있다. 이하, 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)와 관련한 보다 상세한 설명은 도 3을 참조하여 설명한다.In one embodiment, the target account takeover detection device 120 based on user behavior analysis may be implemented including a database (not shown), and may be implemented independently of the database. When implemented independently of the database, the target account takeover detection device 120 based on user behavior analysis may be connected to the database by wire and / or wireless to transmit and receive data. Hereinafter, a more detailed description related to the target account takeover detection apparatus 120 based on user behavior analysis will be described with reference to FIG. 3.

데이터베이스는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)의 목표계정 탈취 감지에 필요한 정보들을 저장할 수 있는 저장 장치이다. 일 실시예에서, 데이터베이스는 사용자들의 행동을 분석하여 계정을 확인하는 데 발생할 수 있는 변수에 대한 정보를 저장할 수 있고, 반드시 이에 한정하지는 않으며, 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)가 목표계정 탈취 감지를 수행하는 과정에서 다양한 형태로 수집하거나 또는 가공된 정보들을 저장할 수 있다.The database is a storage device capable of storing information necessary for detecting a target account takeover of the target account takeover detecting apparatus 120 based on user behavior analysis. In one embodiment, the database may store information about variables that may occur in analyzing the user's behavior to verify the account, but is not limited thereto, the target account takeover detection device 120 based on the user behavior analysis In the process of detecting the target account takeover, the collected information may be collected or processed in various forms.

도 2는 도 1에 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치를 나타내는 도면이다.FIG. 2 is a diagram illustrating an apparatus for detecting a target account takeover based on user behavior analysis of FIG. 1.

도 2를 참조하면, 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120, 이하, 목표계정 탈취 감지 장치)는 프로세서(210), 메모리(220), 사용자 입출력부(230) 및 네트워크 입출력부(240)를 포함할 수 있다.Referring to FIG. 2, the target account takeover detection device 120 (hereinafter, referred to as a target account takeover detection device) based on user behavior analysis may include a processor 210, a memory 220, a user input / output unit 230, and a network input / output unit 240. ) May be included.

프로세서(210)는 도 4에 있는 사용자 행동 분석 기반의 목표계정 탈취 감지를 수행할 수 있고, 이러한 과정에서 읽혀지거나 작성되는 메모리(220)를 관리할 수 있으며, 메모리(220)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄 할 수 있다.The processor 210 may perform the target account takeover detection based on the user behavior analysis in FIG. 4, manage the memory 220 that is read or written in this process, and the volatile memory in the memory 220. You can schedule synchronization times between nonvolatile memories.

프로세서(210)는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)의 동작 전반을 제어할 수 있고, 메모리(220), 사용자 입출력부(230) 및 네트워크 입출력부(240)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(210)는 목표계정 탈취 감지 장치(120)의 CPU(Central Processing Unit)로 구현될 수 있다.The processor 210 may control the overall operation of the target account takeover detection apparatus 120 based on user behavior analysis, and is electrically connected to the memory 220, the user input / output unit 230, and the network input / output unit 240. You can control the data flow between them. The processor 210 may be implemented as a central processing unit (CPU) of the target account takeover detecting apparatus 120.

메모리(220)는 SSD(Solid State Disk) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 목표계정 탈취 감지 장치(120)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다.The memory 220 may include a secondary memory device which is implemented as a nonvolatile memory such as a solid state disk (SSD) or a hard disk drive (HDD), and is used to store the entire data necessary for the target account takeover detection device 120. And a main memory device implemented with volatile memory such as random access memory (RAM).

사용자 입출력부(230)는 사용자 입력을 수신하기 위한 환경 및 사용자에게 특정 정보를 출력하기 위한 환경을 포함하고, 예를 들어, 마우스, 트랙볼, 터치 패드, 그래픽 태블릿, 스캐너, 터치 스크린, 키보드 또는 포인팅 장치와 같은 어댑터를 포함하는 입력장치 및 모니터와 같은 어댑터를 포함하는 출력장치를 포함할 수 있다. 일 실시예에서, 사용자 입출력부(230)는 원격 접속을 통해 접속되는 컴퓨팅 장치에 해당할 수 있고, 그러한 경우, 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)는 서버로서 수행될 수 있다.The user input / output unit 230 includes an environment for receiving user input and an environment for outputting specific information to the user, and includes, for example, a mouse, a trackball, a touch pad, a graphic tablet, a scanner, a touch screen, a keyboard, or a pointing. It may include an input device including an adapter such as a device and an output device including an adapter such as a monitor. In one embodiment, the user input / output unit 230 may correspond to a computing device connected through a remote connection, in which case, the target account takeover detection device 120 based on user behavior analysis may be performed as a server.

네트워크 입출력부(240)는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)와 연결하기 위한 환경을 포함할 수 있고, 예를 들어, LAN(Local Area Network) 통신을 위한 어댑터를 포함할 수 있다. 일 실시예에서, 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)는 네트워크 입출력부(240)를 통해 네트워크로 연결될 수 있다.The network input / output unit 240 may include an environment for connecting with the target account takeover detection apparatus 120 based on user behavior analysis, and may include, for example, an adapter for local area network (LAN) communication. . In one embodiment, the target account takeover detection apparatus 120 based on user behavior analysis may be connected to a network through the network input / output unit 240.

도 3은 도 1에 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치의 프로세서의 기능 요소를 나타내는 도면이다.FIG. 3 is a diagram illustrating functional elements of a processor of the target account takeover detecting apparatus based on user behavior analysis of FIG. 1.

도 3을 참조하면, 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)는 계정 활동 수집부(310), 계정활동 그래프 생성부(320), 사용자 행동 분석부(330), 목표계정 탈취 감지부(340) 및 제어부(350)를 포함한다.Referring to FIG. 3, the apparatus 120 for detecting a target account based on user behavior analysis may include an account activity collector 310, an account activity graph generator 320, a user behavior analyzer 330, and a target account deodorization detector. 340 and the control unit 350.

계정 활동 수집부(310)는 사용자의 계정 활동과 연관된 데이터를 수집할 수 있다. 구체적으로, 계정 활동 수집부(310)는 외부 기기(110)와 데이터 통신을 통해 생성되는 사용자의 계정 활동들을 수집할 수 있다. 예를 들어, 계정 활동 수집부(310)는 사용자에 의한 계정이 사용된 날짜와 시간 등 로그인(Login) 기록, 계정에 액세스하는 데 사용된 IP(Internet Protocol) 주소, 계정의 사용자 권한 등을 포함하는 계정 활동들의 자원 정보를 수집할 수 있고, 계정 활동은 반드시 이에 한정하지 않는다.The account activity collector 310 may collect data related to the user's account activity. In detail, the account activity collector 310 may collect account activities of the user generated through data communication with the external device 110. For example, the account activity collector 310 may include a login record, such as the date and time the account was used by the user, an Internet Protocol (IP) address used to access the account, user rights of the account, and the like. Resource information of account activities can be collected, and the account activity is not necessarily limited thereto.

계정 활동 수집부(310)는 사용자에 의한 계정 활동과 연관된 자원을 주기적 그리고 지속적으로 수집하고, 수집된 계정 활동들을 시계열 순서로 연결하기 위하여 계정활동 그래프 생성부(320)에 계정 활동들을 송신할 수 있다.The account activity collector 310 may periodically and continuously collect resources associated with account activity by the user, and transmit the account activities to the account activity graph generator 320 to connect the collected account activities in time series order. have.

계정활동 그래프 생성부(320)는 계정 활동 수집부(310)로부터 적어도 하나의 계정 활동을 수신할 수 있다. 보다 구체적으로, 계정활동 그래프 생성부(320)는 계정 활동 영역을 노드(node)에 저장하고 노드들을 시계열 순서로 링크하여 계정활동 그래프를 생성할 수 있다. 여기에서, 계정 활동 영역에는 계정 활동들의 자원 및 자원의 속성 등이 포함될 수 있다. 일 실시예에서, 계정활동 그래프 생성부(320)는 주기적으로 지속적으로 수집되는 사용자의 계정 활동을 그래프화하여 사용자들의 행동 패턴을 분석하는 데 있어 기준을 정할 수 있다. 즉, 계정활동 그래프에서 노드에 저장된 계정 활동 영역들 간의 링크된 시계열 순서로부터 사용자 행동의 순서들을 알 수 있다.The account activity graph generator 320 may receive at least one account activity from the account activity collector 310. More specifically, the account activity graph generator 320 may generate an account activity graph by storing an account activity area in a node and linking the nodes in time series order. Here, the account activity area may include resources of account activities, attributes of resources, and the like. In one embodiment, the account activity graph generator 320 may determine a criterion for analyzing the user's behavior pattern by graphing the user's account activity that is periodically collected. In other words, the order of user actions can be known from the linked time series order between the account activity areas stored in the node in the account activity graph.

계정활동 그래프 생성부(320)는 계정활동 영역들의 시계열 순서를 통해 그래프를 생성하여 공격유형 모델을 수립할 수 있다. 계정활동 그래프의 노드에 저장되는 자원에는 계정 탈취와 연관된 다양한 정보, 예컨대 IP주소, 도메인, 이메일 및 악성코드 등을 포함할 수 있다. 이에, 계정활동 그래프에는 계정 활동들의 자원 간의 일정한 연결관계(Relationshop)에 따라 정상적인 사용자의 행동 패턴에 기초한 시계열 순서에 따른 노드 및 그룹 노드가 생성되는 상태이며, 더 나아가 시계열 순서를 벗어나 노드들 간의 비정상적인 연결관계를 가지는 위험한 행동 및 잠재적인 위협 등의 공격 유형을 모델링할 수 있다.The account activity graph generator 320 may generate a graph through a time series order of the account activity areas to establish an attack type model. Resources stored in the node of the account activity graph may include various information related to account takeover, such as IP address, domain, email, and malware. Accordingly, the account activity graph is a state in which nodes and group nodes are created in a time series order based on a normal user's behavior pattern according to a constant relationship between resources of account activities. Attack types such as dangerous behaviors and potential threats with connections can be modeled.

사용자 행동 분석부(330)는 계정활동 그래프 생성부(320)를 통해 생성된 계정활동 그래프를 기초로 사용자의 행동을 분석할 수 있다. 여기에서, 사용자 행동 분석은 사용자가 평소 사용하는 계정 패턴을 분석하는 것을 의미할 수 있다. 보다 구체적으로, 사용자 행동 분석부(330)는 사용자가 어떤 경우에 어디서 어떻게 계정에 접근하고 사용하는지에 대한 사용자의 행동 패턴을 시계열적 분석을 통해 파악할 수 있다.The user behavior analyzer 330 may analyze the user's behavior based on the account activity graph generated by the account activity graph generator 320. Here, the user behavior analysis may mean analyzing an account pattern that a user usually uses. More specifically, the user behavior analyzer 330 may grasp the user's behavior pattern about where and how the user accesses and uses the account through time series analysis.

일 실시예에서, 사용자 행동 분석부(330)는 계정활동 그래프를 기준으로 하여 사용자의 행동 패턴을 기준과 대조하여 사용자 행동 이상을 검출할 수 있다. 사용자 행동 분석부(330)는 사용자 로그를 통해 사용자 행동을 시간의 순서에 따라 정렬함으로써 사용자 행동에 대한 시계열적 분석을 할 수 있다.In one embodiment, the user behavior analyzer 330 may detect a user behavior abnormality by comparing the user's behavior pattern with a criterion based on an account activity graph. The user behavior analyzer 330 may perform time series analysis on user behavior by arranging the user behavior in the order of time through the user log.

목표계정 탈취 감지부(340)는 APT(Advanced Persistent Threat)를 검출할 수 있다. 여기에서, APT(Advanced Persistent Threat)는 지능형 지속 공격으로 조직이나 기업을 표적으로 정한 다음에 지속적으로 공격을 시도하는 것으로, 오랜 기간을 들여 다양한 공격 기법을 활용하는 지능적인 표적 공격 방법을 말하며 '지능형 지속위협' 또는 '지능형 지속가능위협'이라고도 한다. 지능형 지속 공격(APT)은 대부분 악성코드 감염으로부터 시작되고, 이 악성코드는 주변 컴퓨터들을 감염시키면서 해커가 타겟 서버에 접속할 수 있도록 돕는다. 해커는 악성코드에 의해 만들어진 백도어를 통해 내부망에 접속할 수 있는 권한을 획득하고 타겟 서버에 접근하여 공격을 한다.The target account takeover detection unit 340 may detect an advanced persistent threat (APT). Here, APT (Advanced Persistent Threat) is an intelligent persistent attack that targets an organization or enterprise and then continuously attempts to attack it. It is also called 'sustainable threat' or 'intelligent sustainable threat'. Advanced Persistent Attacks (APTs) mostly begin with malware infections, which help hackers gain access to target servers while infecting nearby computers. The hacker gains the right to access the internal network through the backdoor created by the malware, and attacks the target server by accessing it.

목표계정 탈취 감지부(340)는 사용자 행동 이상이 검출된 계정활동 그래프의 노드들 간의 비정상적인 연결관계에 있는 계정 접근 또는 공격자의 단위시간당 집중도 또는 주기당 집중도를 기초로 지능형 지속 공격(APT)을 검출할 수 있다. 일 실시예에서, 목표계정 탈취 감지부(340)는 특정 시간에 집중되어 있는지 분석함으로써 지능형 지속 공격(APT)을 검출할 수 있다. 다른 실시예에서, 목표계정 탈취 감지부(340)는 특정 지역 즉, 특정 IP 주소에 집중되어 있는지 분석함으로써 지능형 지속 공격(APT)을 검출할 수 있다.The target account takeover detecting unit 340 detects an intelligent persistent attack (APT) based on an account access or an attacker's concentration per unit time or concentration per cycle of an abnormal connection between nodes of an account activity graph in which a user behavior abnormality is detected. can do. In one embodiment, the target account takeover detection unit 340 may detect an advanced persistent attack (APT) by analyzing whether it is concentrated at a specific time. In another embodiment, the target account takeover detection unit 340 may detect an advanced persistent attack (APT) by analyzing whether the target account is concentrated in a specific region, that is, a specific IP address.

목표계정 탈취 감지부(340)는 단위시간당 집중도 또는 주기당 집중도가 특정 기준 이상이면 비정상적인 연결관계에 있는 노드에 저장된 자원과 연관된 계정을 공격대상 계정에 해당하는 것으로 결정할 수 있다. 여기에서, 단위시간당 집중도 또는 주기당 집중도는 특정 계정을 향해 사용자 계정활동의 시간적 공간적 집중도에 해당할 수 있고, 특정 기준은 사용자에 의해 설정될 수 있는 기준에 해당할 수 있고, 공격대상 계정은 공격자에 의해 공격을 받는 계정에 해당할 수 있다. 일 실시예에서, 목표계정 탈취 감지부(340)는 특정 시간에 집중되거나 또는 특정 지역에 집중되면 해당 계정이 공격자로부터 공격을 받는 것으로 판단할 수 있고, 이러한 과정을 통해 해당 계정이 공격대상 계정에 해당하는 것으로 결정할 수 있다.The target account takeover detecting unit 340 may determine that an account associated with a resource stored in a node having an abnormal connection corresponds to an attack target account when the concentration per unit time or the concentration per cycle is greater than or equal to a certain criterion. Here, the concentration per unit time or the concentration per cycle may correspond to the temporal and spatial concentration of user account activity toward a specific account, specific criteria may correspond to criteria that can be set by the user, and the target account may be an attacker. This may correspond to an account attacked by. In one embodiment, the target account takeover detection unit 340 may determine that the account is attacked by the attacker when concentrated at a specific time or in a specific region, and through this process, the account is subject to the attacked account. It can be determined as applicable.

보다 구체적으로, 목표계정 탈취 감지부(340)는 사용자 행동 분석부(330)를 통해 분석된 사용자 행동 패턴을 기초로 계정 또는 계정활동 이상을 검출하여 내부 공격자의 목표계정 탈취를 감지할 수 있다. 목표계정 탈취 감지부(340)는 결정된 공격대상 계정을 모니터링하여 내부 공격자의 목표계정 탈취를 감지할 수 있다. 예를 들어, 공격자는 내부 공격 단말로 존재할 수 있고, 목표계정 탈취는 공격대상 계정 정찰, 공격대상 계정 탈취, 파일불법조작(복제, 변경)과 같은 목표달성을 위한 공격대상 계정접근 등을 포함할 수 있으며, 반드시 이에 한정하지 않는다.More specifically, the target account takeover detecting unit 340 may detect the target account takeover of the internal attacker by detecting an account or an abnormal activity on the basis of the user behavior pattern analyzed by the user behavior analyzing unit 330. The target account takeover detecting unit 340 may detect the target account takeover of the internal attacker by monitoring the determined attack target account. For example, the attacker may exist as an internal attack terminal, and the target account takeover may include the target account reconnaissance, the target account takeover, and the target account access for achieving the target such as file illegal manipulation (duplicate or change). It is not limited thereto.

즉, 목표계정 탈취 감지부(340)는 사용자 행동 분석을 기초로 결정된 공격대상 계정을 지속적으로 모니터링함으로써 공격자가 해당 공격대상 계정에 어떠한 공격을 하려고 하는지에 대해 사전 탐지할 수 있다. 본 발명의 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)는 공격자의 목표계정 탈취를 사전에 감지함으로써 내부 공격자에 의한 공격을 방어할 수 있다.In other words, the target account takeover detecting unit 340 may continuously detect the attack target account determined based on the user behavior analysis to detect in advance what attack the attack target accounts. The target account takeover detection apparatus 120 based on the user behavior analysis of the present invention may prevent an attack by an internal attacker by detecting the target account takeover of an attacker in advance.

목표계정 탈취 감지부(340)는 공격자의 목표계정 탈취가 감지되면 계정접근을 폐쇄한 후, 연관 스마트폰에 인증번호를 송신할 수 있다. 일 실시예에서, 목표계정 탈취 감지부(340)는 공격대상 계정과 연관된 사용자 단말 즉, 스마트폰에 인증번호를 송신할 수 있고, 사용자는 인증번호를 수신하여 목표계정 탈취 감지에 의한 계정접근 폐쇄를 해제할 수 있다. 다른 일 실시예에서, 사용자는 인증번호를 수신하더라도 계정접근이 폐쇄되도록 할 수 있다. 예를 들어, 사용자는 특정 기간동안 사용하지 않던 계정이라면 계정접근을 폐쇄하도록 할 수 있다.The target account takeover detecting unit 340 may close the account access when the attacker's target account takeover is detected, and then transmit the authentication number to the associated smartphone. In one embodiment, the target account takeover detection unit 340 may transmit an authentication number to a user terminal associated with the attack target account, that is, a smartphone, and the user receives the authentication number to close the account access by detecting the target account takeover. Can be released. In another embodiment, the user may allow the account access to be closed even if the user receives the authentication number. For example, a user may want to close an account if the account has not been used for a certain period of time.

목표계정 탈취 감지부(340)는 공격자의 목표계정 탈취가 감지되면 계정권한을 축소한 후 비밀번호 변경을 요청할 수 있다. 여기에서, 계정권한을 축소하는 것은 아래의 표 1에 나타난 바와 같이, 사용자가 계정을 이용하여 접근할 수 있는 범위를 축소하는 것을 포함할 수 있으며, 접근 범위는 관리자에 의해 설정 변경될 수 있으며 반드시 이에 한정하지 않는다.The target account takeover detection unit 340 may reduce the account authority and request a password change when the attacker's target account takeover is detected. In this case, reducing the account authority may include reducing the range that the user can access using the account, as shown in Table 1 below, and the access range may be changed and set by the administrator. It is not limited to this.

축소 전Before zoom out 축소 후After shrinking 접근 가능Accessible 접근 불가Access denied 접근 가능Accessible 접근 가능Accessible 접근 가능Accessible 접근 불가Access denied

목표계정 탈취 감지 관리자(이하, 관리자)는 목표계정 탈취 단계에 따라 계정권한 축소 범위를 상이하게 설정할 수 있다. 목표계정 탈취 단계는 1단계부터 N단계로 설정할 수 있고, N단계로 갈수록 목표계정 탈취의 위험도가 높음을 의미할 수 있으며 반드시 이에 한정하지 않는다. 관리자는 목표계정 탈취 감지부(340)를 통해 감지된 목표계정 탈취가 1단계 즉, 위험도가 낮은 단계보다 N단계 즉, 위험도가 높은 단계일수록 계정권한을 많이 축소할 수 있다. 예를 들어, 1단계는 1개를 축소하는 반면 N단계는 N개를 축소할 수 있다. The target account takeover detection manager (hereinafter, the administrator) may set the range of account authority reduction according to the target account takeover step. The target account takeover step may be set from step 1 to N step, and may mean that the risk of target account takeover increases as step N goes, but is not necessarily limited thereto. The manager may reduce the account authority as much as the target account takeover detected through the target account takeover detection unit 340 is at step N, that is, at a high risk level, rather than at a low risk level. For example, step 1 can reduce one, while step N can reduce N.

목표계정 탈취 감지부(340)는 해당 공격대상 계정의 계정권한을 축소한 후, 사용자에게 비밀번호 변경을 요청할 수 있다. 예를 들어, 목표계정 탈취 감지부(340)는 비밀번호 변경을 요청한 뒤, 사용자에 의해 비밀번호가 변경된 것으로 감지되면 해당 계정의 계정권한을 상승시킬 수 있다. 목표계정 탈취 감지부(340)는 계정권한을 축소시키기 이전으로 계정권한을 복구시킬 수 있다.The target account takeover detection unit 340 may reduce the account authority of the target account, and request the user to change the password. For example, the target account takeover detecting unit 340 may increase the account authority of the corresponding account if the password change is detected by the user after requesting a password change. The target account takeover detecting unit 340 may restore the account right before reducing the account right.

제어부(350)는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)의 전체적인 동작을 제어할 수 있고, 계정 활동 수집부(310), 계정활동 그래프 생성부(320), 사용자 행동 분석부(330) 및 목표계정 탈취 감지부(340) 간의 제어 흐름 또는 데이터 흐름을 제어할 수 있다.The control unit 350 may control the overall operation of the target account takeover detection device 120 based on the user behavior analysis, the account activity collector 310, the account activity graph generator 320, and the user behavior analyzer 330. ) And the control flow or data flow between the target account takeover detection unit 340.

도 4는 도 1에 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치에서 수행되는 사용자 행동 분석 기반의 목표계정 탈취 감지 방법을 설명하는 순서도이다.FIG. 4 is a flowchart illustrating a method of detecting a target account takeover based on a user behavior analysis performed by the apparatus for detecting a target account takeover based on the user behavior analysis of FIG. 1.

도 4에서, 계정 활동 수집부(310)는 외부 기기와 데이터 통신을 통해 생성되는 사용자의 계정 활동들을 수집할 수 있다(단계 S410).In FIG. 4, the account activity collection unit 310 may collect account activities of a user generated through data communication with an external device (step S410).

계정활동 그래프 생성부(320)는 계정 활동 영역을 노드에 저장하고 노드들을 시계열 순서로 링크하여 계정활동 그래프를 생성할 수 있다(단계 S420).The account activity graph generation unit 320 may generate an account activity graph by storing the account activity area in the node and linking the nodes in time series order (step S420).

사용자 행동 분석부(330)는 계정활동 그래프를 기초로 사용자의 행동을 분석할 수 있다(단계 S430).The user behavior analyzer 330 may analyze the user's behavior based on the account activity graph (step S430).

목표계정 탈취 감지부(340)는 사용자 행동 분석을 기초로 계정 또는 계정활동 이상을 검출하여 내부 공격자의 목표계정 탈취를 감지할 수 있다(단계 S440).The target account takeover detecting unit 340 may detect a target account takeover by an internal attacker by detecting an abnormality of an account or an account activity based on the analysis of user behavior (step S440).

도 5는 도 1에 있는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치의 계정활동 그래프를 나타내는 예시도이다.FIG. 5 is an exemplary diagram illustrating a graph of an account activity of a target account takeover detecting apparatus based on user behavior analysis of FIG. 1.

도 5를 보면, 사용자 행동 분석 기반의 목표계정 탈취 감지 장치(120)는 계정활동 수집부(310)를 통해 주기적으로 지속적으로 수집하는 사용자의 계정활동 자원에 대해 계정활동 그래프 생성부(320)를 통해 계정활동 그래프를 구성할 수 있다. 이때, 계정활동 그래프를 구성하는 노드(node)들에는 사용자의 계정활동 자원들이 저장되고 노드들을 사용자의 계정활동 시간 순서에 따라 링크하여 연결관계를 구성할 수 있다. 예를 들어, 제1 노드에서 제2 노드로, 제2 노드에서 제3 노드로, 제3 노드에서 다시 제1 노드로 연결되는 시계열 순서가 특정 시간 또는 특정 지역에서의 사용자의 계정활동 패턴을 의미하는 정상적인 루틴이라 가정할 경우 특정 시간 또는 특정 지역에서 제1 노드에 저장된 자원이 발생 또는 탐지된 후 제2 노드의 자원 대신 제7 노드의 자원이 발생 또는 탐지될 경우 비정상적인 루틴이 생성되어 계정활동 이상을 검출할 수 있다. 여기에서, 계정활동 이상은 사용자 행동 이상을 의미할 수 있다. Referring to FIG. 5, the target account takeover detection apparatus 120 based on the user behavior analysis analyzes the account activity graph generator 320 for the account activity resources of the user which is periodically and continuously collected through the account activity collector 310. The account activity graph can be constructed. In this case, the account activity resources of the user are stored in the nodes constituting the account activity graph, and the nodes may be linked in the order of account activity time of the user to form a connection relationship. For example, the sequence of time series from the first node to the second node, the second node to the third node, and the third node back to the first node means the user's account activity pattern at a specific time or region. Assuming that the routine is a normal routine, abnormal routines are generated when abnormal resources are generated or detected instead of the resources of the second node after the resources stored in the first node are generated or detected at a specific time or region. Can be detected. Here, the abnormal account activity may refer to an abnormal user behavior.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to a preferred embodiment of the present invention, those skilled in the art will be variously modified and changed within the scope of the invention without departing from the spirit and scope of the invention described in the claims below I can understand that you can.

100: 사용자 행동 분석 기반의 목표계정 탈취 감지 시스템
110: 외부 기기
120: 사용자 행동 분석 기반의 목표계정 탈취 감지 장치
210: 프로세서 220: 메모리
230: 사용자 입출력부 240: 네트워크 입출력부
310: 계정 활동 수집부 320: 계정활동 그래프 생성부
330: 사용자 행동 분석부 340: 목표계정 탈취 감지부
350: 제어부100: Target account takeover detection system based on user behavior analysis
110: external device
120: Detecting target account takeover based on user behavior analysis
210: processor 220: memory
230: user input and output unit 240: network input and output unit
310: account activity collector 320: account activity graph generator
330: user behavior analysis unit 340: target account takeover detection unit
350: control unit

Claims (8)

외부 기기와 데이터 통신을 통해 생성되는 사용자의 계정 활동들을 수집하는 계정 활동 수집부;
계정 활동 영역을 노드에 저장하고 노드들을 시계열 순서로 링크하여 계정활동 그래프를 생성하는 계정활동 그래프 생성부;
상기 계정활동 그래프를 기초로 사용자가 평소 사용하는 계정 패턴을 시계열적 분석하여 파악하는 사용자 행동 분석부; 및
상기 사용자 행동 분석을 기초로 상기 계정 또는 상기 계정 활동 이상을 검출하여 내부 공격자의 목표계정 탈취를 감지하는 목표계정 탈취 감지부를 포함하고,
상기 계정활동 그래프 생성부는
상기 계정 활동들의 자원 간의 일정한 연결관계에 따라 정상적인 사용자의 행동 패턴에 기초한 시계열 순서에 따른 노드 및 그룹 노드를 생성하고, 상기 계정활동 그래프에서 상기 시계열 순서를 벗어나 노드들 간의 비정상적인 연결관계를 가지는 내부 공격자의 공격유형을 모델링하고,
상기 사용자 행동 분석부는
상기 계정활동 그래프를 기준으로 하여 사용자의 행동 패턴을 기준과 대조하여 사용자 행동 이상을 검출하는 것을 특징으로 하는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치.
An account activity collector configured to collect account activities of a user generated through data communication with an external device;
An account activity graph generator configured to store an account activity area in a node and link the nodes in time series order to generate an account activity graph;
A user behavior analysis unit that analyzes and analyzes an account pattern which is normally used by a user based on the account activity graph; And
A target account takeover detection unit for detecting an account attack of an internal attacker by detecting an abnormality of the account or the account activity based on the user behavior analysis;
The account activity graph generation unit
An internal attacker having nodes and group nodes in a time series order based on a normal user's behavior pattern according to a constant connection relationship between resources of the account activities, and having an abnormal connection relationship between nodes out of the time series order in the account activity graph. Model attack types,
The user behavior analysis unit
The apparatus for detecting user's behavior based on user behavior analysis, characterized in that the user behavior abnormality is detected by comparing the user's behavior pattern with the criteria based on the account activity graph.
제1항에 있어서, 상기 계정 활동 수집부는
사용자에 의한 계정 활동과 연관된 자원을 주기적 그리고 지속적으로 수집하는 것을 특징으로 하는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치.
The method of claim 1, wherein the account activity collector
Target account takeover detection device based on user behavior analysis, characterized in that the collection of resources associated with the account activity by the user periodically and continuously.
삭제delete 삭제delete 삭제delete 제1항에 있어서, 상기 목표계정 탈취 감지부는
상기 사용자 행동 이상이 검출된 상기 계정활동 그래프의 노드들 간의 비정상적인 연결관계에 있는 계정 접근 또는 공격자의 단위시간당 집중도 또는 주기당 집중도를 기초로 APT (Advanced Persistent Threat)를 검출하는 것을 특징으로 하는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치.
The method of claim 1, wherein the target account takeover detection unit
User behavior characterized by detecting APT (Advanced Persistent Threat) based on the account access or the attacker's concentration per unit time or concentration per cycle of abnormal connection between the nodes of the account activity graph in which the user behavior abnormality is detected Analysis-based target account takeover detection device.
제6항에 있어서, 상기 목표계정 탈취 감지부는
상기 단위시간당 집중도 또는 주기당 집중도가 특정 기준 이상이면 상기 비정상적인 연결관계에 있는 노드에 저장된 자원과 연관된 계정을 공격대상 계정에 해당하는 것으로 결정하는 것을 특징으로 하는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치.
The method of claim 6, wherein the target account takeover detection unit
If the concentration per unit time or concentration per cycle is above a certain criterion, the target account takeover detection device based on the user behavior analysis, characterized in that the account associated with the resource stored in the node with the abnormal connection relationship is determined to correspond to the target account .
제1항에 있어서, 상기 목표계정 탈취 감지부는
상기 목표계정 탈취가 감지되면 계정접근 폐쇄 후 연관 스마트폰에 인증번호 송신하거나 또는 계정권한 축소 후 비밀번호 변경을 요청하는 것을 특징으로 하는 사용자 행동 분석 기반의 목표계정 탈취 감지 장치.
The method of claim 1, wherein the target account takeover detection unit
If the target account is detected, the target account takeover detection device based on user behavior analysis, characterized in that after closing the account access, sending a verification code to the associated smartphone or requesting a password change after reducing the account authority.
KR1020190025867A 2019-03-06 2019-03-06 User behavior analysis based target account exploit detection apparatus KR102018348B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190025867A KR102018348B1 (en) 2019-03-06 2019-03-06 User behavior analysis based target account exploit detection apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190025867A KR102018348B1 (en) 2019-03-06 2019-03-06 User behavior analysis based target account exploit detection apparatus

Publications (1)

Publication Number Publication Date
KR102018348B1 true KR102018348B1 (en) 2019-09-05

Family

ID=67949629

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190025867A KR102018348B1 (en) 2019-03-06 2019-03-06 User behavior analysis based target account exploit detection apparatus

Country Status (1)

Country Link
KR (1) KR102018348B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102508418B1 (en) * 2022-09-20 2023-03-14 알비소프트 주식회사 Method and system for providing in-house security management solution

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140078329A (en) 2012-12-17 2014-06-25 (주)나루씨큐리티 Method and apparatus for defensing local network attacks
KR20150053070A (en) * 2013-11-07 2015-05-15 유넷시스템주식회사 Unusual action decision system
KR20170122548A (en) 2016-04-27 2017-11-06 한국전자통신연구원 Method and Apparatus for Recognizing APT(Advanced Persistent Threat) using Co-Relational Data Analytics
KR20180099252A (en) * 2017-02-28 2018-09-05 한국인터넷진흥원 Method for attacker profiling in graph database corresponding incident
US20180316704A1 (en) * 2017-04-29 2018-11-01 Splunk Inc. Lateral movement detection through graph-based candidate selection

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140078329A (en) 2012-12-17 2014-06-25 (주)나루씨큐리티 Method and apparatus for defensing local network attacks
KR20150053070A (en) * 2013-11-07 2015-05-15 유넷시스템주식회사 Unusual action decision system
KR20170122548A (en) 2016-04-27 2017-11-06 한국전자통신연구원 Method and Apparatus for Recognizing APT(Advanced Persistent Threat) using Co-Relational Data Analytics
KR20180099252A (en) * 2017-02-28 2018-09-05 한국인터넷진흥원 Method for attacker profiling in graph database corresponding incident
US20180316704A1 (en) * 2017-04-29 2018-11-01 Splunk Inc. Lateral movement detection through graph-based candidate selection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102508418B1 (en) * 2022-09-20 2023-03-14 알비소프트 주식회사 Method and system for providing in-house security management solution

Similar Documents

Publication Publication Date Title
US10154066B1 (en) Context-aware compromise assessment
Allodi et al. Security events and vulnerability data for cybersecurity risk estimation
Siadati et al. Detecting structurally anomalous logins within enterprise networks
US11962611B2 (en) Cyber security system and method using intelligent agents
CN110620753B (en) System and method for countering attacks on a user's computing device
US9609006B2 (en) Detecting the introduction of alien content
US9154516B1 (en) Detecting risky network communications based on evaluation using normal and abnormal behavior profiles
US10165005B2 (en) System and method providing data-driven user authentication misuse detection
US11206281B2 (en) Validating the use of user credentials in a penetration testing campaign
US11616812B2 (en) Deceiving attackers accessing active directory data
EP4229532B1 (en) Behavior detection and verification
US11481478B2 (en) Anomalous user session detector
EP3692695B1 (en) Intrusion investigation
Nguyen et al. DGA botnet detection using collaborative filtering and density-based clustering
US9729505B2 (en) Security threat analysis
KR102018348B1 (en) User behavior analysis based target account exploit detection apparatus
Lee et al. Assessment of the Distributed Ledger Technology for Energy Sector Industrial and Operational Applications Using the MITRE ATT&CK® ICS Matrix
CN110958236A (en) Dynamic authorization method of operation and maintenance auditing system based on risk factor insight
KR102221726B1 (en) Endpoint detection and response terminal device and method
KR102002560B1 (en) Artificial intelligence based target account reconnaissance behavior detection apparatus
CN117134999B (en) Safety protection method of edge computing gateway, storage medium and gateway
KR102366846B1 (en) Security system for detecting data breach and method thereof
Singh et al. A clustering based intrusion detection system for storage area network
Stutz et al. Cyber Threat Detection and Mitigation Using Artificial Intelligence–A Cyber‐physical Perspective
CN116208392A (en) Active defense method and device for Web attack

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant