KR101293954B1 - 우회 접속을 탐지하는 장치 및 방법 - Google Patents

우회 접속을 탐지하는 장치 및 방법 Download PDF

Info

Publication number
KR101293954B1
KR101293954B1 KR1020110099949A KR20110099949A KR101293954B1 KR 101293954 B1 KR101293954 B1 KR 101293954B1 KR 1020110099949 A KR1020110099949 A KR 1020110099949A KR 20110099949 A KR20110099949 A KR 20110099949A KR 101293954 B1 KR101293954 B1 KR 101293954B1
Authority
KR
South Korea
Prior art keywords
server
client
information
hop
connection
Prior art date
Application number
KR1020110099949A
Other languages
English (en)
Other versions
KR20130035569A (ko
Inventor
김휘강
서동남
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020110099949A priority Critical patent/KR101293954B1/ko
Priority to PCT/KR2012/007780 priority patent/WO2013048125A2/ko
Priority to US14/347,913 priority patent/US9729550B2/en
Publication of KR20130035569A publication Critical patent/KR20130035569A/ko
Application granted granted Critical
Publication of KR101293954B1 publication Critical patent/KR101293954B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 우회 접속을 탐지하는 장치 및 방법에 관한 것으로, 본 발명의 일 실시예에 따라 클라이언트로부터 서버로의 우회 접속을 탐지하는 방법은, 경로 추적 에이전트(agent)를 이용하여 클라이언트로부터 서버까지의 경로 상의 홉(hop) 정보를 포함하는 접속 정보를 서버가 수신하고, 수신된 접속 정보에 포함된 홉의 IP 주소에 대하여 지역 정보를 추출하고, 추출된 지역 정보가 미리 설정된 접속 허여 지역에 속하는지 여부를 판단하며, 판단 결과에 따라 서버가 클라이언트로부터의 접속이 우회 접속인지 여부를 탐지한다.

Description

우회 접속을 탐지하는 장치 및 방법{Apparatus and method for detecting roundabout access}
본 발명은 우회 접속을 탐지하는 기술에 관한 것으로, 특히 자신의 접속 경로를 숨기고 다수의 네트워크 경로를 통해 우회하여 서버에 접속하고자 하는 클라이언트를 탐지하여 서버가 이를 배척하기 위한 장치, 방법 및 그 방법을 기록한 기록매체에 관한 것이다.
인터넷을 통해 서비스를 제공하는 온라인 서비스 제공자는 서비스의 안정적인 운영을 위해 자사의 서비스 및 설비에 위해를 가하거나 금전적인 손해를 가할 위험이 있는 불량 사용자의 접속을 차단하기 위한 다양한 운영 정책과 기술적 수단을 마련하고 있다. 통상적으로 많은 온라인 서비스 제공자들은 이러한 불량 사용자의 사용자 계정 내지 접근 IP 주소를 차단함으로써 불법적인 행위에 대한 제재를 가하고 있다. 또한, 제공 서비스의 특징상 온라인 서비스 제공자가 특정 지역 내지 국가를 대상으로만 자사의 서비스를 제공하고자 할 수가 있다. 이러한 정책 하에서, 온라인 서비스 제공자는 사용자의 접속 IP 주소로부터 국가 정보를 추출하여 서비스 대상이 아닌 지역으로 판단되는 경우에는 해당 사용자에게 서비스를 거부하는 방식을 사용할 수 있다.
그런데, 이러한 온라인 서비스 제공자의 운영 방침에 대항하여, 해당 온라인 서비스의 사용자는 프록시 서버(proxy server) 또는 가상 사설망(virtual private network, VPN) 등의 기술을 이용하여 자신의 IP 주소 및 접속 지역에 관한 정보를 조작함으로써 이러한 차단 및 서비스 거부 기술을 회피할 수 있다. 사설 네트워크 내를 대상으로 한 우회 접속에 관한 다양한 기술들은 이하에서 인용되는 비특허문헌 내에 개괄적으로 소개되어 있다. 이 경우, 사용자가 이러한 우회적인 회피 기술을 사용할 경우, 온라인 서비스 제공자는 이들 사용자를 제지할 수 없게 되어 자사의 서비스를 정상적으로 제공할 수 없는 위험에 빠질 수 있다.
인터넷 기술의 진보에 따라 온라인 상에서 다양한 상거래 행위가 증가하고 있는 시점에서 서비스 운영에 대한 안정성과 보안이 담보되어야 함은 두말할 나위가 없다. 따라서, 네트워크를 통해 온라인 서비스를 제공함에 있어, 온라인 서비스 사용자가 프록시 서버 내지 가상 사설망 등과 같은 우회적인 기술 수단을 이용하여 네트워크 내에서 자신의 위치와 접속 지역을 감춘 채, 온라인 서비스 제공자가 금지하고 있는 불법적인고 우회적인 접속 시도를 탐지할 수 있는 효과적인 기술의 개발이 요구된다.
기업 사설 네트워크 우회 접속 분석 및 통제 대책 연구, 이철원, 김휘강, 임종인, 정보보호학회논문지 20(6) 183-194, 2010.
본 발명이 해결하고자 하는 기술적 과제는, 종래의 온라인 서비스 제공자가 취하고 있는 사용자의 접근 금지 수단이 주로 사용자 계정 차단 및 IP 차단에 의존함으로써, 불법적인 사용자들이 프록시 서버나 가상 사설망과 같은 우회 수단을 이용하여 자신의 접속 IP를 변조할 경우 차단이 불가능한 한계를 극복하고, 나아가 온라인 게임 서비스나 스트리밍 서비스와 같이 특정 국가 내지 지역의 거주자만을 대상으로 온라인 서비스를 제공하려는 경우, 네트워크 우회 수단을 통해 불량 사용자 집단이 온라인 서비스 제공자의 정책을 무력화하는 문제점을 해결하고자 한다.
상기 기술적 과제를 해결하기 위하여, 본 발명의 일 실시예에 따른 클라이언트로부터 서버로의 우회 접속을 탐지하는 방법은, 경로 추적 에이전트(agent)를 이용하여 상기 클라이언트로부터 상기 서버까지의 경로 상의 홉(hop) 정보를 포함하는 접속 정보를 상기 서버가 수신하는 단계; 상기 수신된 접속 정보에 포함된 상기 홉의 IP 주소에 대하여 상기 서버가 지역 정보를 추출하는 단계; 상기 추출된 지역 정보가 미리 설정된 접속 허여 지역에 속하는지 여부를 상기 서버가 판단하는 단계; 및 상기 판단 결과에 따라 상기 서버가 상기 클라이언트로부터의 접속이 우회 접속인지 여부를 탐지하는 단계;를 포함한다.
상기된 본 발명의 일 실시예에 따른 우회 접속을 탐지하는 방법은, 상기 클라이언트로부터의 접속이 우회 접속으로 탐지된 경우, 상기 서버가 상기 우회 접속을 차단하는 단계;를 더 포함한다.
상기된 본 발명의 일 실시예에 따른 우회 접속을 탐지하는 방법에서 상기 홉 정보는, 상기 클라이언트로부터 상기 서버까지의 경유 경로들에 포함된 복수 개의 개수의 홉 IP 주소 중, 상기 클라이언트에 근접하는 순서대로 선택된 소정 개수의 홉 IP 주소이다. 또한, 상기 경로 추적 에이전트는, 상기 클라이언트에 설치됨으로써 상기 클라이언트로부터 상기 서버까지의 접속 경로 내에 존재하는 홉의 IP 주소를 수집하여 상기 서버에 전달한다.
나아가, 상기된 본 발명의 일 실시예에 따른 우회 접속을 탐지하는 방법에서 상기 서버가 지역 정보를 추출하는 단계는, 상기 수신된 접속 정보에 포함된 상기 홉의 IP 주소를 이용하여 IP 주소 대역과 지역 정보를 사상시킨 데이터베이스에 질의하는 단계; 및 상기 질의에 대응하는 지역 정보를 응답받는 단계;를 포함하고, 상기 지역 정보는 국가 코드 또는 도시 코드 중 적어도 하나이다.
상기 기술적 과제를 해결하기 위하여, 본 발명의 다른 실시예에 따른 클라이언트로부터 서버로의 우회 접속을 탐지하는 방법은, 경로 추적 에이전트를 이용하여 상기 클라이언트로부터 상기 서버까지의 경로 상의 홉 정보 및 사용자 식별 정보를 포함하는 접속 정보를 상기 서버가 수신하는 단계; 상기 수신된 접속 정보에 포함된 상기 홉의 IP 주소에 대하여 상기 서버가 지역 정보를 추출하는 단계; 상기 서버가 상기 수신된 접속 정보에 기초하여 상기 클라이언트로부터의 접속 패턴을 나타내는 복수 개의 특성 변수에 의해 정의되는 케이스 벡터(case vector)를 생성하는 단계; 및 상기 서버가 상기 생성된 케이스 벡터에 기초하여 우회 접속을 시도하는 불량 사용자 집단을 탐지하는 단계;를 포함한다.
상기된 본 발명의 다른 실시예에 따른 우회 접속을 탐지하는 방법은, 상기 불량 사용자 집단이 탐지된 경우, 상기 서버가 상기 불량 사용자 집단으로부터의 우회 접속을 차단하는 단계;를 더 포함한다.
상기된 본 발명의 다른 실시예에 따른 우회 접속을 탐지하는 방법에서 상기 홉 정보는, 상기 클라이언트로부터 상기 서버까지의 경유 경로들에 포함된 복수 개의 개수의 홉 IP 주소 중, 상기 클라이언트에 근접하는 순서대로 선택된 소정 개수의 홉 IP 주소이다. 또한, 상기 경로 추적 에이전트는, 상기 클라이언트에 설치됨으로써 상기 클라이언트로부터 상기 서버까지의 접속 경로 내에 존재하는 홉의 IP 주소 및 사용자 식별 정보를 수집하여 상기 서버에 전달한다.
나아가, 상기된 본 발명의 다른 실시예에 따른 우회 접속을 탐지하는 방법에서 상기 불량 사용자 집단을 탐지하는 단계는, 상기 생성된 복수 개의 케이스 벡터들에 대하여 케이스 벡터의 특성 변수들의 유사도를 고려하여 상기 케이스 벡터들 간의 거리를 산출하는 단계; 다차원 척도 분석(multi-dimensional scaling, MDS)을 통해 상기 산출된 케이스 벡터들 간의 거리로부터 유사도를 산출함으로써 상기 클라이언트로부터의 접속에 대한 군집을 생성하는 단계; 및 상기 생성된 군집 내에서 유사도가 제 1 임계치 이상이고, 상호 간의 거리가 제 2 임계치 이하인 집단을 불량 사용자 집단으로 판단하는 단계;를 포함한다.
한편, 이하에서는 상기 기재된 클라이언트로부터 서버로의 우회 접속을 탐지하는 방법들을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명의 다양한 실시예들은 클라이언트에 설치된 경로 추적 에이전트를 이용하여 클라이언트로부터 서버까지의 경로 상의 홉 정보를 포함하는 접속 정보를 서버에 제공하고 이를 분석함으로써, 불법적인 사용자들이 프록시 서버나 가상 사설망과 같은 우회 수단을 이용하여 서버에 접속을 시도하더라도 실제 접속 경로를 정확하게 파악할 수 있고, 이로부터 우회 접속 여부를 판단하여 차단하는 것이 가능하며, 케이스 벡터에 기초한 군집 분석을 통해 불량 사용자 집단을 탐지함으로써, 특정 국가 내지 지역의 거주자만을 대상으로 온라인 서비스를 제공하려는 경우 해당 국가 내지 지역 외로부터 우회 접속을 시도하는 불량 사용자 집단을 효과적으로 탐지하여 차단하는 것이 가능하다.
도 1은 본 발명의 실시예들이 구현되는 환경에서 나타나는 우회 접속 방법과 이를 탐지하기 위한 기본 아이디어를 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 클라이언트로부터 서버로의 우회 접속을 탐지하는 방법을 도시한 흐름도이다.
도 3은 본 발명의 다른 실시예에 따른 클라이언트로부터 서버로의 우회 접속을 시도하는 불량 사용자 집단을 탐지하는 방법을 도시한 흐름도이다.
도 4는 본 발명의 실시예들에 따른 클라이언트로부터의 우회 접속 및 불량 사용자 집단을 탐지하는 장치를 도시한 블록도이다.
도 5는 본 발명의 실시예들에 따른 다차원 척도 분석(multi-dimensional scaling, MDS)을 통해 클라이언트로부터의 접속 내에 형성된 군집을 탐지한 결과를 시각적으로 표시한 그래프이다.
도 6은 본 발명의 실시예들에 따른 우회 접속 탐지 방법을 통해 발견된 군집에 대한 케이스 벡터의 로그(log) 값을 예시한 도면이다.
도 7은 본 발명의 실시예들에 따른 우회 접속 탐지 방법을 통해 생성된 군집 내에서 탐지된 불량 사용자 집단을 예시한 도면이다.
도 8은 도 7에 예시된 군집 내에서 불량 사용자 집단을 탐지하는 방법을 설명하기 위한 도면이다.
본 발명의 실시예들을 설명하기에 앞서, 우선 본 발명의 실시예들이 구현되는 기술 분야, 즉 네트워크 상에서 불량 사용자의 우회 접속을 탐지하여 이에 대한 보안 조치를 취하는 환경에 대해 간략히 소개하고, 이러한 실시예들이 구현되는 환경의 특징으로부터 안출될 수 있는 본 발명의 기본적인 아이디어를 제시하고자 한다.
도 1은 본 발명의 실시예들이 구현되는 환경에서 나타나는 우회 접속 방법과 이를 탐지하기 위한 기본 아이디어를 설명하기 위한 도면으로서, 도시된 시스템 환경은 크게 서비스를 이용하는 사용자 단말(PC 및 스마트폰과 같은 네트워크를 통한 접속이 가능한 모든 사용자 기기를 포함한다.)(11, 12, 13)과 요청에 응답하여 온라인 서비스를 제공하는 서버(30)를 포함한다. 사용자 단말(11, 12, 13)은 다양한 네트워크(21, 22, 23, 24)를 경유하여 서버(30)에 접속할 수 있다.
이러한 환경 하에서, 서버(30)와 사용자1(11)은 지리적으로 한국에 위치하고, 사용자2(12)는 지리적으로 중국에 위치하며, 사용자3(13)은 지리적으로 일본에 위치한다고 가정하자. 이러한 가정 하에서, 온라인 서비스 제공자(30)가 보안상의 이유로 사용자1(11) 및 사용자 3(13)에 대해서는 접속을 허용하고, 사용자2(12)에 대해서는 접속을 불허한다고 결정을 내린 경우를 또한 가정하자. 이러한 경우, 사용자2(12)가 다수의 프록시 서버 내지 가상 사설망을 이용해 자신의 IP를 감춘 채 서버(30)에 접속을 시도할 경우, 서버(30)는 이러한 우회 접속을 탐지하여 차단할 수 있는 기술적 수단이 필요하다.
이를 위해, 이하에서 제시될 본 발명의 실시예들은 사용자 단말(11, 12, 13)에 특별한 에이전트(agent) 프로그램을 설치하고, 이를 통해 사용자로부터의 접속 과정에 수반되는 경로(route)를 추적(trace)함으로써 수집된 경로 정보를 통해 불법적인 접속을 탐지하는 방법을 제안한다. 특히, 온라인 서비스 제공자(30)는 이러한 에이전트 프로그램을 통해 사용자 단말(11, 12, 13)로부터 상위 5 홉(hop)의 추적 경로 정보를 수집하고, 수집한 홈의 IP 주소로부터 국가 정보 내지 도시 정보를 추출하여 활용할 수 있다. 이 때, 상위 5 홉이라 함은 사용자 접속의 시발점(사용자 단말을 의미한다.)(11, 12, 13)으로부터 서버(30)까지의 경유 경로 중, 사용자 단말(11, 12, 13)에 가까운 순서대로 5개의 홉을 의미한다. 이렇게 상위 5 홉을 선택하는 이유는 접속의 시발지가 사용자의 위치를 알려주는 가장 중요한 정보가 되기 때문이다. 물리적으로 동일한 위치라 할 지라도 장거리 패킷 전송의 경우 네트워크의 경유 경로는 다소 달라질 수 있는데, 그럼에도 불구하고 시발지의 위치 내지 홉 정보는 상당히 동일 내지 유사할 수 있다. 즉, 본 발명의 실시예들에서 접속을 시도하는 경유 경로 중에서 사용자 단말(11, 12, 13)에 가까울수록 보다 중요한 정보로서 간주될 수 있다. 물론, 이상에서 제시된 상위 5개의 홉은 예시일 뿐이며, 그 수는 필요에 따라 또한 실시 환경에 따라 적절히 가감될 수 있다.
도 1의 예시 환경 하에서, 비록 사용자2(12)가 프록시 서버 내지 가상 사설망과 같은 우회 수단을 통해 서버(30)에 접속을 시도하더라도 서버(30)는 에이전트 프로그램을 통해 수집된 홉 정보를 통해 사용자2(12)가 우회 접속을 시도하고 있음을 탐지할 수 있다. 예를 들어, 수집된 상위 5 홉의 IP 주소 중, 서비스 허여 지역 이외의 지역이 있는지를 확인함으로써 우회 접속 여부를 판단할 수 있을 것이다.
한편, 온라인 서비스 제공자(30)는 정책적으로 한국과 일본에 대한 접속은 허여하되, 중국으로부터의 접속은 불허할 수 있을 것이다. 이 경우, 중국 내에 위치한 프록시 서버, 가상 사설망 내지 라우터의 주소를 확인함으로써 중국으로부터의 접속을 불허할 수 있다. 이 때, 중국 내의 위치한 특정 라우터(22)를 통해 다수의 불법적인 접속이 시도되는 경우, 해당 라우터(22)의 주소를 탐지함으로써 이를 경유한 접속자들을 불량 사용자 집단으로 간주하여 차단할 수도 있을 것이다. 이 경우, 불량 사용자 집단을 판단하기 위해서는 앞서 기술한 상위 5 홉의 IP 주소 뿐만 아니라, 사용자 단말의 MAC 주소, 국가 정보, 도시 정보 및 계정명과 같은 보조적인 정보들을 수집하고, 이로부터 군집분석을 수행할 수 있다.
이하에서는 도면을 참조하여 본 발명의 실시예들을 보다 구체적으로 설명한다.
도 2는 본 발명의 일 실시예에 따른 클라이언트로부터 서버로의 우회 접속을 탐지하는 방법을 도시한 흐름도로서, 다음과 같은 단계들을 포함한다. 각각의 단계들은 개별적인 하드웨어, 그리고 이에 따른 연산을 수행하고 각각의 하드웨어를 제어하는 소프트웨어가 활용해 구현될 수 있으나, 보다 큰 범주에서 이하에서 소개되는 단계들은 온라인 서비스 제공자, 즉 서버를 통해 수행된다. 다만, 경로 정보를 수집하는 과정은 클라이언트에 설치된 경로 추적 에이전트를 통해 수행된다.
210 단계에서, 서버는 경로 추적 에이전트(agent)를 이용하여 클라이언트로부터 서버까지의 경로 상의 홉(hop) 정보를 포함하는 접속 정보를 수신한다. 앞서 소개한 바와 같이, 이러한 경로 추적 에이전트는, 클라이언트에 설치됨으로써 클라이언트로부터 서버까지의 접속 경로 내에 존재하는 홉의 IP 주소를 수집하여 서버에 전달한다.
여기서, 수집되는 홉 정보는 클라이언트로부터 버까지의 경유 경로들에 포함된 복수 개의 개수의 홉 IP 주소 중, 클라이언트에 근접하는 순서대로 선택된 일정 개수의 홉 IP 주소인 것이 바람직하다. 선택되는 개수는 본 발명의 실시예들이 구현되는 환경에 따라 적절히 가감될 수 있으나, 이하에서는 5개로 설정하였다고 가정하고 실시예들을 설명하도록 한다.
이렇게 전달된 홉의 IP 주소를 통해 서비스권(온라인 서비스 제공자가 접속을 허용하기로 결정한 지역을 의미한다.) 외의 지역에 위치하는 사용자가 서비스권 내의 IP 주소로 자신의 IP 주소를 변조하였다고 할 지라도, '추적 경로 상위 5 홉'은 변조되어 있는 패킷이 서버로 전송되는 경유 경로 내의 상위 5 개의 IP 주소를 기록하기 때문에, 패킷이 실제로 서비스권 내에서 출발한 것인지 아니면 서비스권 외에서 출발한 것인지 여부를 판단할 수 있다.
220 단계에서, 서버는 210 단계를 통해 수신된 접속 정보에 포함된 홉의 IP 주소에 대하여 지역 정보를 추출한다. 이 때, 지역 정보는 국가 코드 내지 도시 위치정보가 될 수 있다. 이러한 지역 정보는 GeoIP 등과 같은 데이터베이스를 이용해 추출될 수 있다. GeoIP는 주어진 호스트 또는 IP 주소에 대해 해당 주소의 국가, 도시 또는 ISP 정보를 반환할 수 있으며, 이를 위해 호스트/IP 주소를 국가/도시/ISP 정보와 사상시켜 저장한다.
요약하건대, 서버가 지역 정보를 추출하는 단계는, 수신된 접속 정보에 포함된 홉의 IP 주소를 이용하여 IP 주소 대역과 지역 정보를 사상시킨 데이터베이스에 질의하고, 질의에 대응하는 지역 정보를 응답받음으로써 수행된다. 또한, 편의상 응답받는 지역 정보는 국가 코드 또는 도시 코드 중 적어도 하나인 것이 바람직하다.
230 단계에서, 서버는 220 단계를 통해 추출된 지역 정보가 미리 설정된 접속 허여 지역에 속하는지 여부를 판단한다. 미리 설정된 접속 허여 지역은 온라인 서비스 제공자에 의해 정책적으로 결정되는 것이나, 보안 관제 시스템에 의해 자동으로 접속 허여/불허 지역으로 전환될 수도 있을 것이다. 230 단계의 판단에 따라 추출된 지역 정보가 접속 허여 지역인 경우에는 260 단계로 진행하여 지속적으로 접속을 허용하고 서비스를 제공한다. 반면, 추출된 지역 정보가 접속 불허 지역인 경우라면, 240 단계로 진행하게 된다.
240 단계에서, 서버는 230 단계의 판단 결과에 따라 클라이언트로부터의 접속이 우회 접속인지 여부를 탐지한다. 통상적으로 230 단계의 검사를 통해 추출된 지역 정보가 미리 설정된 접속 허여 지역에 속하지 않는다면 우회 접속으로 간주할 수 있으나, 이러한 처리는 서비스의 운영 환경에 따라 유연하게 조절될 수 있다.
예를 들어, 수집된 5 개의 홉 중에서 상위 2개의 홉 주소가 접속 허여 지역에 속하고, 중간 1개의 홉 주소가 접속 불허 지역에 속한다면, 이러한 사용자 접속에 대해서는 서버 접속을 허용할 수도 있을 것이다. 왜냐하면, 이러한 경우는 비록 사용자가 접속 허여 지역에 거주하지만, 네트워크 사정에 따라 접속 불허 지역 내에 위치한 라우터를 경유하여 최종적으로 서버에 접속한 것을 의미하기 때문이다. 따라서, 수집된 홉의 IP 주소를 고려하되 클라이언트에 가장 근접한 홉의 IP에 가중치를 두고 우회 접속 여부를 판단하는 것이 바람직하다. 즉, 복수 개의 홉 IP 주소 중, 클라이언트에 근접할수록 상대적으로 더 큰 가중치를 부여하고, 서버가 상기 클라이언트로부터의 접속이 우회 접속인지 여부를 탐지하는 경우, 이상에서 부여된 가중치를 고려하여 수행될 수도 있다.
한편, 온라인 서비스의 운영자의 입장에서, 클라이언트로부터의 접속이 우회 접속이라고 탐지되었다면, 이에 대한 조치가 수반되어야 할 것이다. 따라서, 250 단계에 도시된 바와 같이 서버는 클라이언트로부터의 접속이 우회 접속으로 탐지된 경우, 이러한 우회 접속을 차단하는 단계를 더 포함할 수 있다. 즉, 추출한 국가 코드 및 도시에 대한 위치 정보에 기초하여 서비스권 이외의 지역에서 접속한 것이라고 판단되면 해당 세션을 차단함으로써 자사의 서버 및 서비스를 보호할 수 있다.
이상에서는 단지 하나의 사용자가 우회 접속인지를 판단하고, 이러한 접속 시도를 차단하는 방법에 대하여 설명하였다. 이하에서는 유사한 상황 하에서 우회 접속을 시도하는 불량 사용자 집단을 탐지하고 이러한 불량 사용자 집단 자체를 차단하는 기술적 수단에 대해 제안하도록 한다.
도 3은 본 발명의 다른 실시예에 따른 클라이언트로부터 서버로의 우회 접속을 시도하는 불량 사용자 집단을 탐지하는 방법을 도시한 흐름도로서, 다음과 같은 단계들을 포함한다. 역시 클라이언트에 설치된 경로 추적 에이전트가 수행하는 정보 수집 과정 이외에는 모든 과정들이 서버 내에서 수행된다.
310 단계에서, 서버는 경로 추적 에이전트를 이용하여 클라이언트로부터 서버까지의 경로 상의 홉 정보 및 사용자 식별 정보를 포함하는 접속 정보를 수신한다. 이러한 경로 추적 에이전트는, 클라이언트에 설치됨으로써 클라이언트로부터 서버까지의 접속 경로 내에 존재하는 홉의 IP 주소 및 사용자 식별 정보를 수집하여 서버에 전달한다. 앞서 도 2를 통해 소개하였던 경로 추적 에이전트와는 다소 다르게 다음의 표 1에 도시된 바와 같은 적어도 2 가지 정보가 포함될 수 있다.
구분 수집 대상 정보
추적 경로 상위 5홉 해당 5홉의 IP 주소
MAC 주소 클라이언트 프로그램이 설치된 MAC(media access control) 주소
표 1에는 추적 경로 상의 상위 5홉의 IP 주소 이외에 클라이언트 프로그램이 설치된 사용자 단말의 MAC 주소가 추가된 것을 볼 수 있다. 이러한 사용자 단말의 MAC 주소를 수집하는 이유는 동일 IP 주소를 통한 접속의 경우 각각의 접속이 다른 사용자에 의해 이루어질 수 있다는 사실 때문이다. 예를 들어, 다수의 접속에 대해 경유 경로 상의 홉 IP 주소가 모두 동일하다고 할지라도 개별 접속들은 다른 사용자에 의한 접속일 수 있다. 따라서, 이들을 식별할 수 있는 기술적 수단으로 '사용자 식별 정보'가 필요하다. 본 발명의 실시예들은 이러한 사용자 식별 정보로서 MAC 주소 내지 사용자 계정 정보를 활용할 수 있음을 예시하고 있으나, 이에 한정되지 않음은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명하다.
또한, 앞서 기술한 도 2의 경우와 마찬가지로, 이상의 홉 정보는, 클라이언트로부터 서버까지의 경유 경로들에 포함된 복수 개의 개수의 홉 IP 주소 중, 클라이언트에 근접하는 순서대로 선택된 일정 개수의 홉 IP 주소이다.
320 단계에서, 서버는 310 단계를 통해 수신된 접속 정보에 포함된 홉의 IP 주소에 대하여 지역 정보를 추출한다. 이 과정은 앞서 도 2를 통해 설명한 220 단계와 동일하므로, 여기서는 자세한 설명을 생략한다.
330 단계에서, 서버는 수신된 접속 정보에 기초하여 클라이언트로부터의 접속 패턴을 나타내는 복수 개의 특성 변수에 의해 정의되는 케이스 벡터(case vector)를 생성한다. 여기서, 케이스 벡터란 개별 접속들에 대한 속성값(이하에서 특성 변수라고 하자.)들을 포함하여 생성된 하나의 지표 내지 로그(log) 값으로서, 접속 지역과 해당 지역 내의 유사한 사용자들을 구별할 수 있는 지표로서 활용된다. 이러한 특성 변수는 상기 사용자 식별 정보, 상기 홉 IP 주소 및 상기 추출된 지역 정보 중 적어도 하나를 포함할 수 있으며, 본 실시예에서는 사용자 식별 정보, 홉 IP 주소 및 320 단계를 통해 추출된 지역 정보를 결합하여 케이스 벡터(case vector)를 생성하였다. 그러나, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 이러한 특성 변수들이 다양하게 선택될 수 있으며, 구현상의 특성에 따라 가감이 가능함을 알 수 있다.
예를 들어, 케이스 벡터는 사용자의 접속 시간, 사용자의 접속 계정, 경유 경로 상의 상위 5 개의 홉 IP 주소, 5 개의 홉 IP 주소에 각각 대응하는 지역 정보(국가 코드 또는 도시 이름이 될 수 있다.) 및 사용자 단말의 MAC 주소 등의 결합으로써 표현될 수 있다. 즉, 케이스 벡터는 다음의 수학식 1의 형식으로 표현될 수 있다.
Figure 112011076756232-pat00001
수학식 1에서, MAC은 사용자 단말의 MAC 주소를 의미하고, ACCOUNT는 사용자 계정명을 의미하고, IP1~IP5는 홉의 IP 주소, CC1~CC5는 홉의 IP 주소에 각각 대응하는 국가 코드를 의미한다. 물론, 수학식 1의 형식 이외에 다른 특성 변수가 포함될 수 있음을 당연하다.
340 단계에서, 서버는 330 단계를 통해 생성된 케이스 벡터에 기초하여 우회 접속을 시도하는 불량 사용자 집단을 탐지한다.
보다 구체적으로, 불량 사용자 집단을 탐지하는 단계는, 우선 330 단계를 통해 생성된 복수 개의 케이스 벡터들에 대하여 케이스 벡터의 특성 변수들의 유사도를 고려하여 케이스 벡터들 간의 거리를 산출한다. 이 때, 케이스 벡터들 간의 거리를 산출하는 단계는, 케이스 벡터의 특성 변수들 간의 유사도에 반비례하는 값을 할당하고, 할당된 값을 이용하여 산출되는 유클리드 거리(Euclidean distance)를 활용할 수 있다. 즉, 특성 변수들이 서로 유사할수록 할당되는 값은 작아지게 되며, 결과적으로 산출되는 유클리드 거리를 작게 만든다. 비록 본 실시예에서는 유클리드 거리를 통해 케이스 벡터들 간의 거리를 측정하였으나, 본 발명의 구현 환경에 따라 이에 상응하는 다양한 거리 산출 방법으로 변경될 수 있다.
이상의 수학식 1의 형식에 따라 특성 변수에 대한 할당값은 다음과 같은 표 2의 방법에 따라 연산될 수 있다.
특성 변수 연산 방법
MAC address 양자가 같으면 0을 할당하고, 다르면 1을 할당한다.
(이 경우, MAC 이 비슷하다고 물리적인 거리가 비슷하다고 할 수는 없다.)
Account name 사용자 계정명의 유사도를 판단하여 판단된 결과값을 할당한다. 예를 들어, Edit Distance를 이용하여 문자열 간의 유사도를 판단할 수 있다.
IP address IPv4의 경우 4개의 클래스로 구분되는데, 클래스 전체가 같으면 0을 할당하고, C 클래스까지 같을 경우 0.25를 할당하고, B 클래스까지 같을 경우 0.5을 할당하고, A 클래스까지 같을 경우 0.75를 할당하며, 완전히 다를 경우 1을 할당할 수 있다. IPv6의 경우에는 적절히 확장할 수 있다.
Country Code 양자가 같으면 0을 할당하고, 다르면 1을 할당한다.
City Name 양자가 같으면 0을 할당하고, 다르면 1을 할당한다.
표 2에 제시된 연산 방법은 케이스 벡터를 비교하기 위한 연산 규칙으로 활용될 수 있으며, 주어진 구현 환경에 따라 적절히 변형될 수 있다.
이제, 이상과 같은 연산 방법에 따라 특성 변수에 대한 할당값이 결정되면, 케이스 벡터 간의 거리를 유클리드 거리를 통해 산출할 수 있다. 설명의 편의를 위해, 다음과 같이 수학식 1의 형식에 따르는 2 개의 케이스 벡터(A, B)가 주어졌다고 가정하자.
- 케이스 벡터 A = (00-26-66-08-F0-25, cenda001, 192.168.0.99, 192.168.0.1, 163.152.61.1, 163.152.16.33, 163.152.2.81, @P, @P, KR, KR, KR)
- 케이스 벡터 B = (00-53-22-08-FF-33, sendi02, 192.168.0.98, 192.168.0.1, 219.137.167.157, 219.137.167.1, 112.175.197.14, @P, @P, CN, CN, KR)
양자에 대해 표 2의 연산 방법에 따라 할당된 값은 다음의 표 3과 같다.
특성 변수 연산 결과
MAC address 00-26-66-08-F0-25 ≠ 00-53-22-08-FF-33 → 1
Acount name cenda001 → senda001 → sendi001 → sendi021 → sendi02
4 / 8 = 0.5
IP1 192.168.0.99 : 192.168.0.98 → 0.25
IP2 192.168.0.1 : 192.168.0.1 → 0
IP3 163.152.61.1 : 219.137.167.157 → 1
IP4 163.152.16.33 : 219.137.167.1 → 1
IP5 163.152.2.81 : 112.175.197.14 → 1
Country Code @P-@P-KR-KR-KR : @P-@P-CN-CN-KR → 0.6
표 3의 할당값에 기초하여 양자(케이스 벡터 A 및 케이스 벡터 B)의 거리를 산출하면 다음의 수학식 2와 같다.
Figure 112011076756232-pat00002
한편, 이상과 같이 케이스 벡터들 간의 거리를 산출하는 단계는, 클라이언트에 근접하는 순서를 고려하되, 근거리 네트워크의 내부 IP 주소를 배제하고, 외부 IP 주소만으로 유사도를 비교하는 것이 바람직하다. 왜냐하면, 특정 지역 내에 존재하는 내부 사설망으로 인해 경유 경로가 혼잡해지는 것을 막고, 내부 IP의 불특정성을 배제하기 위해 IP 주소의 비교는 네트워크 상의 경로를 식별하는 데 활용될 수 있는 실제하는 외부 IP만으로 이루어지는 것이 바람직하다.
이를 정확하게 탐지하기 위해, IP, 국가 코드 내지 도시 이름은 해당 번호의 순서대로 IP1~IP5끼리 서로 비교할 뿐만 아니라, 케이스 벡터 A의 IP1~IP4와 케이스 벡터 B의 IP2~IP5를 서로 비교하거나, 케이스 벡터 A의 IP1~IP3와 케이스 벡터 B의 IP3~IP5를 비교하는 방식으로 진행하는 것이 바람직하다. 또한, 거리값에 각 개수별 가중치를 부여하여 재계산하여, 거리값이 최소가 되는 지점을 찾아 대표값으로 활용하는 것이 바람직하다. 예를 들어, IP 5개를 비교하여 모두 같을 경우 가중치에 0을 부여하고, IP 4개를 비교하여 모두 같을 경우 가중치에 0.2를 부여할 수 있다.
다음으로, 다차원 척도 분석(multi-dimensional scaling, MDS)을 통해 상기 산출된 케이스 벡터들 간의 거리로부터 유사도를 산출함으로써 클라이언트로부터의 접속에 대한 군집을 생성한다. 다차원 척도 분석이란, n개의 대상물에 대해서 대상 상호간의 비유사성 또는 유사성이 주어졌을 때, 비유사성에 합치할 것 같은 점간 거리를 갖는 n개의 점을 어느 차원의 공간 속에 자리잡게 하는 방법으로서, 본 발명의 실시예에서는 수집된 복수 개의 케이스 벡터들 간의 유사도 내지 군집 형성을 판단하기 위해 사용된다. 예를 들어, 100개의 케이스 벡터가 존재할 경우, 다차원 척도 분석을 통해 100 차원의 데이터가 산출되게 되는데, 연산 및 사용자 인식의 편의를 위해 이를 재차 2차원의 데이터로 변환하게 된다. 이러한 군집 분석을 위해서는 k-means 와 같은 분집 분석 알고리즘을 활용할 수 있다. 상기된 다차원 척도 분석과 k-means는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 적절히 활용할 수 있는 성질의 기술로서, 여기서는 구체적인 설명은 생략한다.
마지막으로, 생성된 군집 내에서 유사도가 제 1 임계치 이상이고, 상호 간의 거리가 제 2 임계치 이하인 집단을 불량 사용자 집단으로 판단한다. 생성된 군집에 대해 적절한 변수(군집으로 간주할 수 있는 지표가 되는 변수를 의미한다.)를 기준으로 정렬하고, 미리 설정된 각각의 임계치와 비교함으로써 군집의 형성 여부를 판단할 수 있다. 예를 들어, 생성된 군집 데이터 내에서 유사도가 특정 임계치 이하인 경우를 군집이라고 설정하였다면, 군집 데이터를 유사도를 기준으로 정렬하고, 해당 임계치 이하에 해당하는 그룹에 대해 군집을 형성하였다고 판단할 수 있다.
다시 도 3으로 돌아와서, 이상의 과정을 통해 불량 사용자 집단이 탐지되었다면, 마지막으로 350 단계를 통해 서버는 불량 사용자 집단으로부터의 우회 접속을 차단하는 단계를 더 포함할 수 있다. 이 때, 수집한 IP, MAC 주소, 추출한 국가 코드 및 도시 정보로부터 수행된 군집 분석 결과를 지속적으로 갱신함으로써 불량 사용자 그룹을 관리할 수 있다.
도 4는 본 발명의 실시예들에 따른 클라이언트로부터의 우회 접속 및 불량 사용자 집단을 탐지하는 장치를 도시한 블록도이다. 앞서 도 2 내지 도 3을 통해 위회 접속을 탐지하는 방법을 구체적으로 설명하였으므로, 여기서는 이를 수행하는 서버(30)의 장치들을 중심으로 각각의 구성을 개괄적으로 약술하도록 한다.
통신부(31)는 클라이언트(11, 12)와 서버(30)의 통신을 직접적으로 담당하는 하드웨어로서, 사용자의 접속을 수신하고, 이에 대한 응답을 전송한다.
데이터 처리부(32)는 클라이언트(11, 12)에 설치된 경로 추적 에이전트로부터 수신되는 접속 정보(클라이언트로부터 서버까지의 경로 상의 홉 주소 및 사용자 식별 정보를 포함한다.)를 통신부(31)를 경유하여 수신하고, 이로부터 접속 정보에 포함된 홉의 IP 주소에 대응하는 지역 정보를 추출한다. 이 때, GeoIP 데이터베이스(35)를 활용할 수 있다.
제어부(33)는 데이터 처리부(32)에 의해 추출된 지역 정보가 미리 설정된 접속 허여 지역에 속하는지 여부를 판단하여 해당 접속이 우회 접속이라고 탐지된 경우 이를 차단할 수 있다. 또한, 제어부(33)는 사용자 식별 정보, 홉의 IP 주소 및 추출된 지역 정보를 결합하여 케이스 벡터를 생성하고, 이에 기초하여 우회 접속을 시도하는 불량 사용자 집단을 탐지할 수 있다. 탐지된 불량 사용자 집단은 데이터베이스(34)를 통해 지속적으로 관리될 수 있으며, 해당 불량 사용자 집단의 우회 접속을 차단하는데 활용할 수 있다. 따라서, 제어부(33)는 일련의 연산을 처리할 수 있는 하나 이상의 프로세서(processor)로 구현될 수 있으며, 이러한 연산을 처리하는데 필요한 임시 저장 공간을 제공하는 메모리(memory) 및 이에 부가된 소프트웨어가 활용될 수 있다.
도 5는 본 발명의 실시예들에 따른 다차원 척도 분석(multi-dimensional scaling, MDS)을 통해 클라이언트로부터의 접속 내에 형성된 군집을 탐지한 결과를 시각적으로 표시한 그래프이다. 앞서 도 3을 통해 설명한 바와 같이, 도 5는 다차원 데이터를 2차원 데이터로 변환 결과로서, 불량 사용자 그룹으로 판단된 '그룹 9', '그룹 A' 및 '그룹 B'가 명확하게 군집을 형성하고 있음을 보이고 있다.
도 6은 본 발명의 실시예들에 따른 우회 접속 탐지 방법을 통해 발견된 군집에 대한 케이스 벡터의 로그(log) 값을 예시한 도면으로서, 이상의 도 5의 실험에서 활용된 '그룹 9'의 데이터 중 일부를 도시하였다. 도 6에서 볼 수 있듯이, 최초의 사용자 단말로부터 전송되는 패킷, 즉 접속 시도의 경유 경로 중, 순서대로 상위 5 개의 홉 IP들이 동일하고, 그 국가 또한 동일함을 확인할 수 있다. 그러나, 이에 반해 사용자 계정명과 MAC 주소는 서로 상이함을 할 수 있다. 따라서, 이러한 '그룹 9'는 특정 공간 내에서 다수의 사용자 또는 악성 프로그램에 의해 서버로 지속적인 접속을 시도하고 있음을 알 수 있다. 이러한 불량 사용자 그룹의 예로는 최근 온라인 게임 서비스에서 문제시되고 있는 '작업장'이 될 수 있다. '작업장'이란 온라인 게임 서비스에서 금전적인 획득을 목적으로 다수의 사용자가 지속적으로 서버에 접속하여 게임 서비스에 관여하는 특정 장소를 의미한다.
도 7은 본 발명의 실시예들에 따른 우회 접속 탐지 방법을 통해 생성된 군집 내에서 탐지된 불량 사용자 집단을 예시한 도면이다. 도 7에서 클러스터 9, A 및 B의 그룹(700)은 경로의 유사도가 매우 높고, 그룹 내의 개별 케이스 벡터들 간의 거리값이 매우 작은 것을 볼 수 있다. 따라서, 이러한 그룹(700)을 불량 사용자 그룹으라고 판단할 수 있다. 물론 이러한 판단에는 해당 사용자 그룹의 접속 지역에 대한 고려도 있었음은 당연하다.
도 8은 도 7에 예시된 군집 내에서 불량 사용자 집단을 탐지하는 방법을 설명하기 위한 도면으로서, 동일한 원시 데이터에 대하여 특정 속성을 기준으로 정렬한 결과를 각각 도시하고 있다. 표 [A]는 해당 그룹 내의 개별 케이스 벡터들 간의 거리값(810)을 기준으로 정렬한 결과이고, 표 [B]는 해당 그룹이 접속한 경로에 대한 유사도(820)를 기준으로 정렬한 결과를 나타낸다.
표 [A]에 대해 해당 그룹 내의 개별 케이스 벡터들 간의 거리값의 임계값이 1이라고 설정된 경우, 이러한 임계값 이하의 그룹 3개를 불량 사용자 그룹으로 판단할 수 있을 것이다. 또한, 표 [B]에 대해 해당 그룹이 접속한 경로에 대한 유사도의 임계값이 70이라고 설정된 경우, 이러한 임계값 이상의 그룹 3개를 불량 사용자 그룹으로 판단할 수 있을 것이다. 도 8의 예시에서는 양자의 판단 기준에 따라 선택된 상위 3개의 그룹이 일치하였으며, 이는 도 7의 결과와 일치하는 바이다.
상기된 본 발명의 실시예들에 따르면, 클라이언트에 설치된 경로 추적 에이전트를 이용하여 클라이언트로부터 서버까지의 경로 상의 홉 정보를 포함하는 접속 정보를 서버에 제공하고 이를 분석함으로써, 불법적인 사용자들이 프록시 서버나 가상 사설망과 같은 우회 수단을 이용하여 서버에 접속을 시도하더라도 실제 접속 경로를 정확하게 파악할 수 있고, 이로부터 우회 접속 여부를 판단하여 차단하는 것이 가능하다.
또한, 상기된 본 발명의 실시예들에 따르면, 케이스 벡터에 기초한 군집 분석을 통해 불량 사용자 집단을 탐지함으로써, 특정 국가 내지 지역의 거주자만을 대상으로 온라인 서비스를 제공하려는 경우 해당 국가 내지 지역 외로부터 우회 접속을 시도하는 불량 사용자 집단을 효과적으로 탐지하여 차단하는 것이 가능하다. 특히, 해외의 다양한 경로를 통해 우회 접속을 시도하는 사용자의 경우, 국내의 서비스에 대해 불법 행위를 하여도, 법적인 제재가 어렵기 때문에 상기된 본 발명의 실시예들을 활용할 경우, 이들의 불법행위 예방 및 수사에 큰 도움을 줄 수 있다.
한편, 본 발명의 실시예들은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현하는 것을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술 분야의 프로그래머들에 의하여 용이하게 추론될 수 있다.
이상에서 본 발명에 대하여 그 다양한 실시예들을 중심으로 살펴보았다. 본 발명에 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
11, 12, 13 : 사용자 단말, 클라이언트
21, 22, 23, 24 : 접속 경로 상의 경유 네트워크
30 : 온라인 서비스 제공자, 서버
31 : 통신부 32 : 데이터 처리부
33 : 제어부 34 : 불량 사용자 집단 데이터베이스
35 : GeoIP 데이터베이스

Claims (16)

  1. 클라이언트로부터 서버로의 우회 접속을 탐지하는 방법에 있어서,
    경로 추적 에이전트(agent)를 이용하여 상기 클라이언트로부터 상기 서버까지의 경로 상의 홉(hop) 정보를 포함하는 접속 정보를 상기 서버가 수신하는 단계;
    상기 수신된 접속 정보에 포함된 상기 홉의 IP 주소에 대하여 상기 서버가 지역 정보를 추출하는 단계;
    상기 추출된 지역 정보가 미리 설정된 접속 허여 지역에 속하는지 여부를 상기 서버가 판단하는 단계; 및
    상기 판단 결과에 따라 상기 서버가 상기 클라이언트로부터의 접속이 우회 접속인지 여부를 탐지하는 단계;를 포함하되,
    상기 홉 정보는,
    상기 클라이언트로부터 상기 서버까지의 경유 경로들에 포함된 복수 개의 개수의 홉 IP 주소 중, 상기 클라이언트에 근접하는 순서대로 선택된 소정 개수의 홉 IP 주소인 것을 특징으로 하는 방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 복수 개의 홉 IP 주소 중, 상기 클라이언트에 근접할수록 상대적으로 더 큰 가중치를 부여하고,
    상기 서버가 상기 클라이언트로부터의 접속이 우회 접속인지 여부를 탐지하는 단계는, 상기 부여된 가중치를 고려하여 수행되는 것을 특징으로 하는 방법.
  4. 제 1 항에 있어서,
    상기 서버가 지역 정보를 추출하는 단계는,
    상기 수신된 접속 정보에 포함된 상기 홉의 IP 주소를 이용하여 IP 주소 대역과 지역 정보를 사상시킨 데이터베이스에 질의하는 단계; 및
    상기 질의에 대응하는 지역 정보를 응답받는 단계;를 포함하고,
    상기 지역 정보는 국가 코드 또는 도시 코드 중 적어도 하나인 것을 특징으로 하는 방법.
  5. 제 1 항에 있어서,
    상기 클라이언트로부터의 접속이 우회 접속으로 탐지된 경우, 상기 서버가 상기 우회 접속을 차단하는 단계;를 더 포함하는 방법.
  6. 제 1 항에 있어서,
    상기 경로 추적 에이전트는, 상기 클라이언트에 설치됨으로써 상기 클라이언트로부터 상기 서버까지의 접속 경로 내에 존재하는 홉의 IP 주소를 수집하여 상기 서버에 전달하는 것을 특징으로 하는 방법.
  7. 클라이언트로부터 서버로의 우회 접속을 탐지하는 방법에 있어서,
    경로 추적 에이전트를 이용하여 상기 클라이언트로부터 상기 서버까지의 경로 상의 홉 정보 및 사용자 식별 정보를 포함하는 접속 정보를 상기 서버가 수신하는 단계;
    상기 수신된 접속 정보에 포함된 상기 홉의 IP 주소에 대하여 상기 서버가 지역 정보를 추출하는 단계;
    상기 서버가 상기 수신된 접속 정보에 기초하여 상기 클라이언트로부터의 접속 패턴을 나타내는 복수 개의 특성 변수에 의해 정의되는 케이스 벡터(case vector)를 생성하는 단계; 및
    상기 서버가 상기 생성된 케이스 벡터에 기초하여 우회 접속을 시도하는 불량 사용자 집단을 탐지하는 단계;를 포함하는 방법.
  8. 제 7 항에 있어서,
    상기 특성 변수는 상기 사용자 식별 정보, 상기 홉 IP 주소 및 상기 추출된 지역 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.
  9. 제 7 항에 있어서,
    상기 홉 정보는,
    상기 클라이언트로부터 상기 서버까지의 경유 경로들에 포함된 복수 개의 개수의 홉 IP 주소 중, 상기 클라이언트에 근접하는 순서대로 선택된 소정 개수의 홉 IP 주소인 것을 특징으로 하는 방법.
  10. 제 7 항에 있어서,
    상기 불량 사용자 집단을 탐지하는 단계는,
    상기 생성된 복수 개의 케이스 벡터들에 대하여 케이스 벡터의 특성 변수들의 유사도를 고려하여 상기 케이스 벡터들 간의 거리를 산출하는 단계;
    다차원 척도 분석(multi-dimensional scaling, MDS)을 통해 상기 산출된 케이스 벡터들 간의 거리로부터 유사도를 산출함으로써 상기 클라이언트로부터의 접속에 대한 군집을 생성하는 단계; 및
    상기 생성된 군집 내에서 유사도가 제 1 임계치 이상이고, 상호 간의 거리가 제 2 임계치 이하인 집단을 불량 사용자 집단으로 판단하는 단계;를 포함하는 방법.
  11. 제 10 항에 있어서,
    상기 케이스 벡터들 간의 거리를 산출하는 단계는,
    상기 케이스 벡터의 특성 변수들 간의 유사도에 반비례하는 값을 할당하는 단계; 및
    상기 할당된 값을 이용하여 유클리드 거리(Euclidean distance)를 산출하는 단계;를 포함하는 방법.
  12. 제 10 항에 있어서,
    상기 케이스 벡터들 간의 거리를 산출하는 단계는,
    상기 클라이언트에 근접하는 순서를 고려하되, 근거리 네트워크의 내부 IP 주소를 배제하고, 외부 IP 주소만으로 유사도를 비교하는 것을 특징으로 하는 방법.
  13. 제 7 항에 있어서,
    상기 불량 사용자 집단이 탐지된 경우, 상기 서버가 상기 불량 사용자 집단으로부터의 우회 접속을 차단하는 단계;를 더 포함하는 방법.
  14. 제 7 항에 있어서,
    상기 특성 변수에 포함되는 사용자 식별 정보는 사용자 계정명 또는 클라이언트의 MAC(media access control) 주소 중 적어도 하나인 것을 특징으로 하는 방법.
  15. 제 7 항에 있어서,
    상기 경로 추적 에이전트는, 상기 클라이언트에 설치됨으로써 상기 클라이언트로부터 상기 서버까지의 접속 경로 내에 존재하는 홉의 IP 주소 및 사용자 식별 정보를 수집하여 상기 서버에 전달하는 것을 특징으로 하는 방법.
  16. 제 1 항, 제 3 항 내지 제 15 항 중에 어느 한 항의 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020110099949A 2011-09-30 2011-09-30 우회 접속을 탐지하는 장치 및 방법 KR101293954B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020110099949A KR101293954B1 (ko) 2011-09-30 2011-09-30 우회 접속을 탐지하는 장치 및 방법
PCT/KR2012/007780 WO2013048125A2 (ko) 2011-09-30 2012-09-27 우회 접속 및 계정 도용을 탐지하는 장치 및 방법
US14/347,913 US9729550B2 (en) 2011-09-30 2012-09-27 Device and method for detecting bypass access and account theft

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110099949A KR101293954B1 (ko) 2011-09-30 2011-09-30 우회 접속을 탐지하는 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20130035569A KR20130035569A (ko) 2013-04-09
KR101293954B1 true KR101293954B1 (ko) 2013-08-07

Family

ID=48437363

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110099949A KR101293954B1 (ko) 2011-09-30 2011-09-30 우회 접속을 탐지하는 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101293954B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11570208B2 (en) 2019-02-01 2023-01-31 Samsung Electronics Co., Ltd. Electronic device and control method thereof

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101401168B1 (ko) * 2013-09-27 2014-05-29 플러스기술주식회사 Ip 주소를 이용한 네트워크 보안 방법 및 장치
KR102496667B1 (ko) * 2015-07-22 2023-02-06 주식회사 넥슨코리아 비정상 유저 감지 방법 및 비정상 유저 감지 장치
KR101640929B1 (ko) * 2016-02-15 2016-07-19 주식회사 지오그레이트 데이터 접근 경로를 추적하는 방법 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090000824A (ko) * 2007-04-05 2009-01-08 주식회사 엔씨소프트 게임 사용자의 접속 지역 제한 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090000824A (ko) * 2007-04-05 2009-01-08 주식회사 엔씨소프트 게임 사용자의 접속 지역 제한 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11570208B2 (en) 2019-02-01 2023-01-31 Samsung Electronics Co., Ltd. Electronic device and control method thereof

Also Published As

Publication number Publication date
KR20130035569A (ko) 2013-04-09

Similar Documents

Publication Publication Date Title
US9729550B2 (en) Device and method for detecting bypass access and account theft
CN110519298B (zh) 一种基于机器学习的Tor流量识别方法及装置
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
EP3266156B1 (en) Network infrastructure device to implement pre-filter rules
US10193929B2 (en) Methods and systems for improving analytics in distributed networks
CN103490884B (zh) 用于数字证书的验证的方法
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
CN103297433B (zh) 基于网络数据流的http僵尸网络检测方法及系统
CN111786966A (zh) 浏览网页的方法和装置
KR101293954B1 (ko) 우회 접속을 탐지하는 장치 및 방법
US10348751B2 (en) Device, system and method for extraction of malicious communication pattern to detect traffic caused by malware using traffic logs
CN111028085A (zh) 一种基于主被动结合的网络靶场资产信息采集方法及装置
CN106534078B (zh) 一种建立黑名单的方法及装置
CN107733867A (zh) 一种发现僵尸网络及防护的方法和系统
CN106471772A (zh) 利用客户机路由控制系统检测问题起因客户机的方法和系统
CN107426132A (zh) 网络攻击的检测方法和装置
CN110225009B (zh) 一种基于通信行为画像的代理使用者检测方法
CN108134774B (zh) 基于内容隐私和用户安全分级的隐私保护方法及装置
Liu et al. TPII: tracking personally identifiable information via user behaviors in HTTP traffic
TWI596498B (zh) FedMR-based botnet reconnaissance method
KR101398740B1 (ko) 악성 도메인 탐지 시스템, 방법 및 컴퓨터 판독 가능한 기록 매체
JPWO2017217247A1 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
CN113794731B (zh) 识别基于cdn流量伪装攻击的方法、装置、设备和介质
Huang et al. A Hybrid Association Rule‐Based Method to Detect and Classify Botnets

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160615

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170707

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180723

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190801

Year of fee payment: 7

R401 Registration of restoration