KR101445817B1 - 서비스 이용 제어 방법 및 장치 - Google Patents

서비스 이용 제어 방법 및 장치 Download PDF

Info

Publication number
KR101445817B1
KR101445817B1 KR1020130043792A KR20130043792A KR101445817B1 KR 101445817 B1 KR101445817 B1 KR 101445817B1 KR 1020130043792 A KR1020130043792 A KR 1020130043792A KR 20130043792 A KR20130043792 A KR 20130043792A KR 101445817 B1 KR101445817 B1 KR 101445817B1
Authority
KR
South Korea
Prior art keywords
server
service
network identifier
reference list
user behavior
Prior art date
Application number
KR1020130043792A
Other languages
English (en)
Inventor
장충률
Original Assignee
(주)네오위즈게임즈
인텔렉추얼디스커버리 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)네오위즈게임즈, 인텔렉추얼디스커버리 주식회사 filed Critical (주)네오위즈게임즈
Priority to KR1020130043792A priority Critical patent/KR101445817B1/ko
Application granted granted Critical
Publication of KR101445817B1 publication Critical patent/KR101445817B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 서비스 이용 제어 방법 및 장치에 관한 것으로서, 특히, 서비스를 이용하려는 정상적인 사용자에게 불편함이나 불이익 등의 피해를 주지 않으면서도, 비정상적인 사용자의 서비스 이용 시도 또는 보안 공격(예: DDoS 공격)에 대하여 유효 적절한 대응을 할 수 있는 효율적인 서비스 이용 제어 방법 및 장치에 관한 것이다.

Description

서비스 이용 제어 방법 및 장치{METHOD AND APPARATUS FOR CONTROLLING USE OF SERVICE}
본 발명은 서비스 이용 제어 방법 및 장치에 관한 것이다.
종래, 게임 서비스 등의 서비스를 사용자에게 제공하다 보면, 사용자들 중에는 서비스를 비정상적으로 서비스를 이용하여 전체 서비스는 물론 다른 정상적인 사용자에게도 불편이나 불이익을 주는 경우가 있다.
하지만, 종래의 서비스를 제공하는 시스템은, 정상적인 사용자와 비정상적인 사용자를 정확하게 구별하여, 정상적인 사용자에게는 서비스 이용에 대한 불이익이나 불편함을 주지 않으면서, 비정상적인 사용자가 서비스를 이용하는 것을 효율적으로 차단해주지 못하고 있는 문제점이 있어 왔다.
또한, 종래의 서비스를 제공하는 시스템은, 분산 서비스 거부(DDoS: Distributed Denial of Service) 공격 등과 같은 보안 공격을 받게 되면, 보안 공격에 대응하기 위하여, 보안 공격자 등의 비정상 사용자는 물론, 정상적인 사용자에 대한 서비스 이용도 차단하게 되어, 정상적인 사용자가 서비스를 이용하는 것에 불편함을 주는 문제점이 있다.
다시 말해, 종래의 서비스를 제공하는 시스템은, 정상적인 사용자가 서비스를 이용하는 것에 불편함이나 불이익 등의 피해를 주지 않으면서도, 비정상적인 사용자 또는 보안 공격에 대하여 유효 적절한 대응을 할 수 있는 효율적인 서비스 이용 제어를 제공하고 있지 못하는 문제점이 있다.
이러한 배경에서, 본 발명의 목적은, 서비스를 이용하려는 정상적인 사용자에게 불편함이나 불이익 등의 피해를 주지 않으면서도, 비정상적인 사용자의 서비스 이용 시도 또는 보안 공격(예: DDoS 공격)에 대하여 유효 적절한 대응을 할 수 있는 효율적인 서비스 이용 제어 방법 및 장치를 제공하는 데 있다.
전술한 목적을 달성하기 위하여, 일 측면에서, 본 발명은, 제1서버에 접속한 단말기에 대하여 트래픽을 분석하거나 서버 처리 결과를 확인하여 사용자 행위를 분석하는 사용자 행위 분석부; 상기 사용자 행위의 분석 결과를 토대로 제2서버를 통한 서비스 이용을 제어하기 위한 참조 리스트를 생성 또는 갱신하는 참조 리스트 관리부; 및 상기 참조 리스트를 참조하여 상기 제2서버를 통한 서비스 이용을 제어하는 서비스 이용 제어부를 포함하는 서비스 이용 제어 장치를 제공한다.
다른 측면에서, 본 발명은, 서비스 이용 제어 방법에 있어서, 제1서버에 접속한 단말기에 대하여 트래픽을 분석하거나 서버 처리 결과를 확인하여 사용자 행위를 분석하는 단계; 상기 사용자 행위의 분석 결과를 토대로 제2서버를 통한 서비스 이용을 제어하기 위한 참조 리스트를 생성 또는 갱신하는 단계; 및 상기 참조 리스트를 참조하여 상기 제2서버를 통한 서비스 이용을 제어하는 단계를 포함하는 서비스 이용 제어 방법을 제공한다.
이상에서 설명한 바와 같이 본 발명에 의하면, 서비스를 이용하려는 정상적인 사용자에게 불편함이나 불이익 등의 피해를 주지 않으면서도, 비정상적인 사용자의 서비스 이용 시도 또는 보안 공격(예: DDoS 공격)에 대하여 유효 적절한 대응을 할 수 있는 효율적인 서비스 이용 제어 방법 및 장치를 제공하는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 서비스 이용 제어를 위한 시스템 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 서비스 이용 제어 장치에 대한 블록도이다.
도 3은 본 발명의 일 실시예에 따른 서비스 이용 제어를 위한 참조 리스트 관리 방법을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 서비스 이용 제어를 위한 참조 리스트를 예시적으로 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 서비스 이용 제어와 이와 관련된 서비스 이용 제어 이벤트를 예시적으로 나타낸 도면이다.
도 6은 본 발명의 일 실시예에 따른 서비스 이용 제어와 관련하여, 정상 사용자와 비정상 사용자의 사용자 행위 및 서비스 이용 방식의 차이점을 나타낸 도면이다.
도 7은 본 발명의 일 실시예에 따른 서비스 이용 제어 방법에 대한 흐름도이다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 어떤 구성 요소가 다른 구성요소에 "연결", "결합" 또는 "접속"된다고 기재된 경우, 그 구성 요소는 그 다른 구성요소에 직접적으로 연결되거나 또는 접속될 수 있지만, 각 구성 요소 사이에 또 다른 구성 요소가 "연결", "결합" 또는 "접속"될 수도 있다고 이해되어야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 서비스 이용 제어를 위한 시스템 환경을 개략적으로 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 서비스 이용 제어는, 사용자가 게임 등의 서비스를 실제로 제공하는 서버(이하, 제2서버(120)라 함)를 통해 서비스를 이용하려고 하는 시도에 대하여, 사용자가 제2서버(120)를 통해 서비스를 이용하는 것에 대한 허용 또는 제한을 제어하는 것을 의미한다.
이러한 본 발명의 일 실시예에 따른 서비스 이용 제어를 위한 시스템은, 도 1에 도시된 바와 같이, 게임 등의 서비스를 단말기(101)로 실제로 제공하는 서비스 제공 서버인 제2서버(120)와, 서비스를 실제로 제공해주지는 않지만 서비스 제공과 관련된 사용자 정보를 관리하거나 사용자의 인증 처리를 수행하거나 또는 제2서버(120)가 단말기(101)로 서비스를 실제로 제공하기 위한 환경(예: 웹 페이지 제공 등)을 제공하는 등의 각종 기능을 수행하는 제1서버(110) 등을 포함한다.
도 1을 참조하면, 게임 등의 서비스를 정상적으로 이용하는 정상 사용자와 서비스를 비정상적(악의적)으로 이용하는 비정상 사용자는 서비스 이용 패턴에서 차이점이 있는데, 본 발명의 일 실시예에 따른 서비스 이용 제어는 이러한 사용자 간의 서비스 이용 패턴의 차이점을 이용한다.
예를 들어, 정상 사용자의 경우, 게임 등의 서비스를 이용하기 위해서, 자신의 단말기(101)를 이용하여 제1서버(110)에 접속하여 제1서버(110)에서 제공하는 웹 페이지를 통해 로그인 등의 인증 절차를 거친 후, 제1서버(110)에서 제공한 웹 페이지 상의 버튼 조작을 통해 서비스 실행 요청을 제1서버(110) 또는 제2서버(120)로 보내서 제2서버(120)를 통하여 실제로 서비스를 이용한다.
이에 비해, 비정상 사용자의 경우, 게임 등의 서비스를 이용하기 위해서, 자신의 단말기(101)를 이용하여 제1서버(110)에 접속하지 않고 제2서버(120)에 바로 접속을 시도하여 제2서버(120)를 통하여 실제로 서비스를 이용하려는 악의적인 의도를 갖는다. 따라서, 비정상 사용자의 경우, 제1서버(110)와의 접속을 하지 않을 뿐만 아니라, 제1서버(110) 또는 제2서버(120)를 통해 로그인 등의 인증 절차도 거치지 않는다.
따라서, 본 발명의 일 실시예에 따른 서비스 이용 제어를 위해서, 사용자의 사용자 행위를 분석하여 정상 사용자와 비정상 사용자를 구별하고 정상 사용자의 단말기(101)에 대한 네트워크 식별자 등을 추출하여 참조 리스트로 구성해두고, 제2서버(120)를 통해 서비스 이용을 시도하는 상황이 발생하면 참조 리스트를 참조하여 해당 사용자에 대한 제2서버(120)를 통한 서비스 이용을 허용 또는 차단할 수 있다. 그리고, 해당 사용자에 대한 제2서버(120)를 통한 서비스 이용을 허용 또는 차단하는 서비스 이용 제어는, 보안 공격 이벤트 탐지 등과 같이 특정 이벤트 발생이 감지된 경우에 실행될 수 있다.
한편, 본 명세서에서 기재된 서비스는, 일 예로, 게임 서비스, 콘텐츠 제공 서비스 등일 수 있으며, 게임 서비스의 이 경우, 제1서버(110)는 게임 퍼블리싱 업체에 운영하는 서버로서 여러 게임 업체의 게임들을 퍼블리싱(Publishing) 하기 위한 게임 퍼블리싱 서버이고, 제2서버(120)는 각 게임 업체의 게임 서버로서 게임을 실제로 제공하는 서버일 수 있다.
도 1에서는 제2서버(120)가 한 개인 것으로 도시되었으나, 이는 설명의 편의를 위한 것일 뿐, 실제로는, 복 수개의 제2서버(120)가 존재할 수 있다.
본 발명의 일 실시예에 따른 서비스 이용 제어를 제공하는 서비스 이용 제어 장치(100)는, 사용자가 제2서버(120)를 통해 서비스를 이용하려고 하는 시도에 대하여, 제2서버(120)를 통해 서비스를 이용하는 것에 대한 허용 또는 제한을 제어하는 장치로서, 이는, 단말기(101)가 제1서버(110) 및 제2서버(120)로 접속하기 위한 경로 상에 위치한 게이트웨이 장치(130)와 연결되어 트래픽을 모니터링 할 수 있는 장치일 수 있으며, 또는 게이트웨이 장치(130) 그 자체일 수도 있고, 게이트웨이 장치(130)의 내부 장치일 수도 있다.
그리고, 본 발명의 일 실시예에 따른 서비스 이용 제어를 제공하는 서비스 이용 제어 장치(100)는, 서비스 이용 제어를 위한 각종 기능을 수행하기 위하여, 제1서버(110) 및 제2서버(120)와 통신할 수 있다.
도 1에서 도시된 단말기(101)는, 일반적인 데스크 탑이나 노트북 등의 일반 PC를 포함하고, 스마트 폰, 태블릿 PC, PDA(Personal Digital Assistants) 및 이동통신 단말기 등의 모바일 단말기 등을 포함할 수 있으며, 이에 제한되지 않고, 제1서버(110), 제2서버(120)와 통신 가능한 어떠한 전자 기기로 폭넓게 해석되어야 할 것이다.
전술한 제1서버(110)는 하드웨어적으로 통상적인 웹 서버(Web Server)로 구현되고, 제2서버(1200)는 하드웨어적으로 통상적인 어플리케이션 서버(Web Application Server)와 동일한 구성을 하고 있다. 그러나, 소프트웨어적으로는, C, C++, Java, PHP, .Net, Python, Ruby 등 여하한 언어를 통하여 구현되어 여러 가지 기능을 하는 프로그램 모듈(Module)을 포함할 수 있다.
서비스 이용 제어 장치(100)는 제1서버(110), 제2서버(120) 등과 통신하기 위한 서버로 구현될 수 있으며, 도 2에 도시된 바와 같이, 소프트웨어적으로는, C, C++, Java, PHP, .Net, Python, Ruby 등 여하한 언어를 통하여 구현되어 여러 가지 기능을 하는 프로그램 모듈(Module)을 포함할 수 있다.
또한, 서비스 이용 제어 장치(100)는, 네트워크를 통하여 제1서버(110), 제2서버(120)와 연결되어, 작업 수행과 관련된 요청 및 응답을 주고받는 컴퓨터 시스템 또는 이러한 컴퓨터 시스템을 위하여 설치되어 있는 컴퓨터 소프트웨어(서버 프로그램)를 뜻하는 것일 수도 있다.
또한, 서비스 이용 제어 장치(100)는, 서비스 이용 제어 기능을 위한 일련의 응용 프로그램(Application Program)과, 경우에 따라서는 내부 또는 외부에 구축되어 있는 각종 데이터베이스를 포함하는 넓은 개념으로 이해되어야 할 것이다.
여기서, 데이터베이스는, 서버 또는 다른 장치 등에 의해 사용될 목적으로 정보나 자료 등의 데이터가 구조화되어 관리되는 데이터의 집합체를 의미할 수 있으며, 이러한 데이터의 집합체를 저장하는 저장매체를 의미할 수도 있다.
또한, 이러한 데이터베이스는 데이터의 구조화 방식, 관리 방식, 종류 등에 따라 분류된 복수의 데이터베이스를 포함하는 것일 수도 있다.
경우에 따라서, 데이터베이스는 정보나 자료 등을 추가, 수정, 삭제 등을 할 수 있도록 해주는 소프트웨어인 데이터베이스 관리시스템(Database Management System, DBMS)을 포함할 수도 있다.
아래에서는, 이상에서 간략하게 설명한 본 발명의 일 실시예에 따른 서비스 이용 제어 방법과 그 장치(100)에 대하여 설명한다.
도 2는 본 발명의 일 실시예에 따른 서비스 이용 제어 장치(100)에 대한 블록도이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 서비스 이용 제어 장치(100)는, 제1서버(110)에 접속한 단말기(101)에 대하여 트래픽을 분석하거나 서버 처리 결과를 확인하여 사용자 행위를 분석하는 사용자 행위 분석부(210)와, 사용자 행위의 분석 결과를 토대로 제2서버(120)를 통한 서비스 이용을 제어하기 위한 참조 리스트를 생성 또는 갱신하여 참조 리스트 데이터베이스(200)에 저장시켜 관리하는 참조 리스트 관리부(220)와, 참조 리스트를 참조하여 제2서버(120)를 통한 서비스 이용을 제어하는 서비스 이용 제어부(230) 등을 포함한다.
아래에서는, 간략하게 설명한 각 구성(사용자 행위 분석부(210), 사용자 행위 분석부(210), 서비스 이용 제어부(230))을 더욱 상세하게 설명한다.
먼저, 사용자 행위 분석부(210)는, 제1서버(110)에 접속한 단말기(101)에 대하여 트래픽을 분석하거나 서버 처리 결과를 확인하여, 사용자 행위와 관련된 각종 정보를 사용자 행위 분석 결과 정보로서 파악함으로써 사용자 행위를 분석한다.
일 예로서, 사용자 행위 분석부(210)는, 제1서버(110)에 접속한 단말기(101)에 대하여 트래픽을 분석하거나 서버 처리 결과를 확인하여, 제1서버(110)에 접속한 단말기(101)의 접속 현황 정보와, 제1서버(110)에 접속한 단말기(101)의 방문 페이지 관련 정보와, 제1서버(110) 또는 제2서버(120)에 의한 인증 처리 결과 정보와, 제1서버(110)에 접속한 단말기(101)로부터의 서비스 실행 요청 정보 등 중에서 하나 이상을 사용자 행위 분석 결과 정보로서 파악함으로써, 사용자 행위를 분석할 수 있다.
사용자 행위 분석 결과 정보로서 언급된 접속 현황 정보는, 일 예로, 단말기(101)가 제1서버(110)에 접속하였는지를 나타내는 접속 유무 정보, 단말기(101)가 제1서버(110)에 접속한 접속 날짜 및 시간 정보, 단말기(101)가 제1서버(110)에 접속한 접속 횟수 정보, 제1서버(110)에 접속한 단말기(101)에 대한 접속 정보(예: IP 주소, MAC 주소, 연결 정보 등) 등 중 하나 이상을 포함할 수 있다.
사용자 행위 분석 결과 정보로서 언급된 방문 페이지 관련 정보는, 단말기(101)가 제1서버(110)에 접속하여 열어본 페이지(방문 페이지)에 대한 정보로서, 일 예로, 페이지 방문 순서 정보, 방문 페이지의 식별 정보, 각 페이지에 머문 시간 정보 등 중 하나 이상을 포함할 수 있다.
사용자 행위 분석 결과 정보로서 언급된 인증 처리 결과 정보는, 단말기(101)가 제1서버(110) 또는 제2서버(120)에 구현되어 있는 인증 처리 프로그램을 통해 인증 처리를 받은 결과에 대한 정보로서, 일 예로, 인증 결과(성공, 실패), 인증 처리 횟수, 인증 시간, 인증 시 접속 현황 정보 등 중 하나 이상을 포함할 수 있다. 여기서, 인증 처리는, 로그인 절차 등에서의 웹 인증 처리일 수 있다.
사용자 행위 분석 결과 정보로서 언급된 서비스 실행 요청 정보는, 단말기(101)가 제1서버(110)에 접속하여 제1서버(110)가 제공하는 웹 페이지가 출력된 상태에서, 사용자가 제2서버(120)를 통해 서비스를 이용하기 위해 상기 웹 페이지 상의 서비스 시작 버튼 등을 조작하여 서비스 실행 요청 정보일 수 있다.
전술한 바와 같이, 사용자 행위 분석부(210)에 의해 사용자 행위가 분석되고 나면, 즉, 사용자 행위 분석부(210)에 의해 사용자 행위 분석 결과 정보가 파악되고 나면, 참조 리스트 관리부(220)는, 사용자 행위 분석 결과를 이용하여, 제2서버(120)를 통해 서비스를 이용하려고 시도하는 단말기(101)에 대하여 서비스 이용을 허용해줄지 아니면 제한할지를 결정하기 위해 참조되는 참조 리스트를 생성하거나 이미 생성된 참조 리스트를 갱신하게 된다.
더욱 상세하게 설명하면, 참조 리스트 관리부(220)는, 사용자 행위의 분석 결과를 토대로, 제2서버(120)를 통한 서비스 이용이 허용 또는 제한되어야 하는 단말기(101)의 네트워크 식별자를 추출하는 네트워크 식별자 추출 프로세스를 수행하고, 이러한 네트워크 식별자 추출 프로세스의 수행 결과, 추출된 네트워크 식별자를 토대로 참조 리스트를 생성 또는 갱신할 수 있다.
본 명세서에서 기재된 참조 리스트는, 제2서버(120)를 통해 서비스를 이용해도 되는 단말기(101)를 확인하기 위한 정보로서, 정상적으로 서비스를 이용하는 단말기(101)의 네트워크 식별자 또는 그와 대응되는 정보(네트워크 식별자 인덱스, 네트워크 식별자 해싱값)를 포함하여 만들어진 정보 테이블이다. 일종의 화이트리스트(White List)와도 유사하다.
위에서 언급한 네트워크 식별자 추출 프로세스는, 서버 접속, 인증 완료, 서비스 실행 요청 등의 사용자 행위와 이와 관련된 서버 처리 결과 등을 고려하여 진행될 수 있다. 이는 도 3을 참조하여 예시적으로 보다 상세하게 설명한다.
도 3은 본 발명의 일 실시예에 따른 서비스 이용 제어를 위한 참조 리스트 관리 방법을 설명하기 위한 도면이다.
도 3을 참조하면, 참조 리스트 관리부(220)는, 일 예로, 사용자 행위와 이와 관련된 서버 처리 결과 등을 고려하여, 네트워크 식별자 추출 프로세스를 통해 여러 단계로 네트워크 식별자를 추출하고, 최종적으로 추출된 네트워크 식별자를 토대로 참조 리스트의 생성 또는 갱신을 수행한다.
도 3을 참조하면, 참조 리스트 관리부(220)는, 사용자 행위의 분석 결과를 토대로, 제1서버(110)에 접속한 단말기(101)에 대한 네트워크 식별자를 1차 추출하고, 이렇게 1차 추출된 네트워크 식별자 중에서 제1서버(110) 또는 제2서버(120)를 통해 인증이 완료된 단말기(101)에 대한 네트워크 식별자를 2차 추출하며, 이렇게 2차 추출된 네트워크 식별자 중에서 제1서버(110)에 접속하여 제2서버(120)를 통한 서비스 이용을 위해 서비스 실행을 요청한 단말기(101)에 대한 네트워크 식별자를 3차 추출하는 네트워크 식별자 추출 프로세스를 수행하고, 이러한 네트워크 식별자 추출 프로세스의 수행 결과, 최종적으로 3차 추출된 네트워크 식별자 또는 이와 대응되는 네트워크 식별자 대응정보를 포함하는 참조 리스트를 생성하거나, 이미 생성되어 있던 참조 리스트가 최종적으로 3차 추출된 네트워크 식별자를 토대로 참조 리스트를 생성 또는 갱신할 수 있다.
전술한 바에 따르면, 참조 리스트 관리부(220)에 의해 관리되는 참조 리스트는, 일 예로, 하나 이상의 네트워크 식별자를 포함할 수 있는데, 만약, 참조 리스트에 너무 많은 네트워크 식별자가 포함된 경우, 서비스 이용을 허용할지 제한할지를 확인해야 하는 단말기(101)의 네트워크 식별자가 참조 리스트에 포함되어 있는지를 확인하기 위한 참조 리스트 검색에 너무 많은 시간이 걸릴 수 있다.
따라서, 참조 리스트 관리부(220)는, 네트워크 식별자 추출 프로세스를 통해 추출된 네트워크 식별자를 토대로 참조 리스트의 생성 또는 갱신을 수행함에 있어서, 추출된 네트워크 식별자를 포함시켜 참조 리스트를 생성 또는 갱신할 수도 있지만, 참조 리스트 검색 속도를 높이기 위하여, 추출된 네트워크 식별자 대신에, 추출된 네트워크 식별자를 인덱싱(Indexing) 한 네트워크 식별자 인덱스를 포함시켜 참조 리스트를 생성 또는 갱신하거나, 또는 추출된 네트워크 식별자 대신에, 추출된 네트워크 식별자를 해싱(Hashing) 한 해싱값을 포함시켜 참조 리스트를 생성 또는 갱신할 수도 있다.
한편, 어떠한 액션도 없이 로그인 상태를 너무 오랫동안 유지한 사용자, 어떠한 액션도 없이 어느 한 페이지에 너무 오랫동안 머물러 있는 사용자, 또는 자신의 네트워크 식별자 또는 그 관련 정보를 참조 리스트에 인위적으로 포함되도록 유도하는 사용자 등과 같이 비정상적인 사용자가 있을 수 있다.
따라서, 이러한 비정상적인 사용자가 이용하는 단말기(101)의 네트워크 식별자 또는 그 관련 정보(네트워크 식별자 인덱스, 네트워크 식별자 해싱값)가 참조 리스트에 포함되지 않도록 하거나, 혹시 참조 리스트에 포함되었다고 하더라도 참조 리스트에서 신속히 삭제될 수 있도록 하기 위하여, 참조 리스트 관리부(220)는, 네트워크 식별자 또는 그 관련 정보(네트워크 식별자 인덱스, 네트워크 식별자 해싱값)와 함께, 참조 리스트의 신뢰성 보장을 위한 정보로서 타임 투 리브(TTL: Time To Live, 이하 "TTL"이라 함)를 참조 리스트에 더 포함시켜 참조 리스트를 관리할 수 있다.
즉, 참조 리스트 관리부(220)는, 네트워크 식별자 추출 프로세스를 통해 추출된 네트워크 식별자와 대응되는 TTL을 더 추출하고, 이렇게 추출된 TTL을 해당 네트워크 식별자 또는 해당 네트워크 식별자 인덱스 또는 해당 네트워크 식별자 해싱값과 대응시켜 참조 리스트를 생성 또는 갱신할 수도 있다.
이러한 참조 리스트 관리부(220)는, 추출된 네트워크 식별자 또는 그 인덱스(네트워크 식별자 인덱스) 또는 해싱값(네트워크 식별자 해싱값)이 참조 리스트 데이터베이스(200)에 저장되어 관리되고 있던 기존의 참조 리스트에 이미 포함되어 있는 경우, 참조 리스트에 이미 포함되어 있던 네트워크 식별자 또는 네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값에 대응되어 있던 TTL을 새롭게 추출된 TTL로 갱신한다.
또한, 참조 리스트 관리부(220)는, 갱신된 TTL이 미리 정해진 기준 시간 이상이 되면, 해당 네트워크 식별자 또는 네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값을 참조 리스트에서 삭제함으로써 참조 리스트를 갱신할 수 있다. 여기서, 미리 정해진 기준 시간은, 어떠한 액션도 없이 로그인 상태를 너무 오랫동안 유지하는 사용자 행위, 어떠한 액션도 없이 어느 한 페이지에 너무 오랫동안 머물러 있는 사용자 행위, 또는 자신의 네트워크 식별자 또는 그 관련 정보를 참조 리스트에 인위적으로 포함되도록 유도하는 사용자 행위 등을 판단하기 위하여 기준이 되는 시간이다.
전술한 바와 같이, 비정상적인 사용자의 사용자 행위로 판단된 경우, 즉, TTL이 기준 시간 이상이 된 경우, 해당 네트워크 식별자 또는 네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값을 참조 리스트에서 삭제함으로써, 비정상적인 사용자가 제2서버(120)를 통해 서비스를 이용하는 것을 차단할 수 있다.
한편, 참조 리스트 관리부(220)는, 네트워크 식별자 추출 프로세스의 수행 결과, 추출된 네트워크 식별자와 대응되는 사용자 위치 정보를 더 추출하고, 추출된 사용자 위치 정보를 추출된 네트워크 식별자 또는 네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값과 대응시켜 참조 리스트를 생성 또는 갱신할 수 있다.
여기서, 사용자 위치 정보는, 일 예로, 접근 페이지 정보, 페이지 뷰 정보 등 일 수 있다. 즉, 이러한 사용자 위치 정보를 통해, 사용자가 어떤 서비스를 이용하고 있는지, 어떠한 서비스의 홈 페이지를 보고 있는지 등을 확인할 수 있다.
한편, 전술한 참조 리스트 관리부(220)는, 네트워크 식별자 추출 프로세스를 실시간으로 또는 주기적으로 또는 이벤트 적으로 수행하여, 참조 리스트를 실시간으로 또는 주기적으로 또는 이벤트 적으로 갱신할 수 있다.
아래에서는, 이상에서 전술한 참조 리스트 관리 기능에 대하여 다시 한번 간략하게 설명한다.
도 4는 본 발명의 일 실시예에 따른 서비스 이용 제어를 위한 참조 리스트를 예시적으로 나타낸 도면이다.
도 4의 (a) 내지 (c)를 참조하면, 참조 리스트는, 하나 이상의 네트워크 식별자 또는 이와 대응되는 네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값을 포함할 수 있다. 또한, 참조 리스트는, 하나 이상의 네트워크 식별자 또는 이와 대응되는 네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값 이외에도, TTL과 사용자 위치 정보 등 중 하나 이상을 더 포함할 수 있다.
여기서, 네트워크 식별자 대신에 네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값을 이용하여 참조 리스트를 생성 또는 갱신하는 이유는, 참조 리스트 검색 속도, 즉, 네트워크 식별자 탐색 속도를 높이기 위함이다. 그리고, TTL을 포함시키는 이유는, 참조 리스트의 신뢰성을 높이기 위함이고, 비정상적인 사용자와 관련된 네트워크 식별자 또는 그 대응 정보가 참조 리스트에 포함되지 않도록 하기 위함이다.
그리고, 본 명세서에서 기재된 네트워크 식별자는, 네트워크상에서 단말기(101)를 식별하기 위한 정보로서, 일 예로, IP 주소일 수 있으며, 경우에 따라서는, MAC 주소일 수도 있고, 단말기(101)가 스마트 폰 등과 같이 전화 기능이 있는 이동통신단말기인 경우, 전화번호일 수도 있다.
참조 리스트의 최초 생성과 관련하여, 참조 리스트 관리부(220)는, 네트워크 식별자 추출 프로세스를 통해 추출된 하나 이상의 네트워크 식별자 또는 이와 대응되는 정보(네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값)를 포함하는 참조 리스트를 최초로 생성한다.
전술한 참조 리스트 관리 시, 이미 생성된 참조 리스트의 갱신과 관련하여, 참조 리스트 관리부(220)는, 참조 리스트가 이미 생성되어 관리되고 있는 상황에서, 네트워크 식별자 추출 프로세스의 재수행을 통해 하나 이상의 네트워크 식별자가 추출되면, 추출된 하나 이상의 네트워크 식별자 또는 이와 대응되는 정보(네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값)가 이미 생성된 참조 리스트에 포함되어 있는지를 확인하고, 포함되어 있지 않다면, 새롭게 추출된 하나 이상의 네트워크 식별자 또는 이와 대응되는 정보(네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값)를 이미 생성되어 있던 참조 리스트에 추가로 포함시켜서 참조 리스트를 갱신할 수 있다.
또한, 전술한 참조 리스트 관리 시, 이미 생성된 참조 리스트의 갱신과 관련하여, 참조 리스트 관리부(220)는, 참조 리스트가 이미 생성되어 관리되고 있는 상황에서, 네트워크 식별자 추출 프로세스의 재수행을 통해 하나 이상의 네트워크 식별자와 이와 대응되는 TTL이 추출되면, 추출된 하나 이상의 네트워크 식별자 또는 이와 대응되는 정보(네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값)가 이미 생성된 참조 리스트에 포함되어 있는지를 확인하고, 포함되어 있으면, 참조 리스트에서 하나 이상의 네트워크 식별자 또는 이와 대응되는 정보(네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값)와 대응되어 이미 포함된 TTL을 새롭게 추출된 TTL로 갱신할 수 있다.
또한, 전술한 참조 리스트 관리부(220)는, 갱신된 TTL이 미리 정해진 기준 시간 이상이 되면, 참조 리스트에서 이미 포함된 해당 네트워크 식별자 또는 네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값을 삭제함으로써 참조 리스트를 갱신할 수 있다.
전술한 바와 같이, 참조 리스트는 실시간으로 갱신될 수 있는데, 이러한 참조 리스트의 실시간 갱신을 통해, 정상적인 사용자의 네트워크 식별자가 참조 리스트에 포함되지 않거나 비정상적인 사용자의 네트워크 식별자가 참조 리스트에 포함되게 되어 정상적인 사용자에 대한 서비스 이용을 차단하는 피해를 주거나 비정상적인 사용자(보안 공격자 포함)에 대한 서비스 이용을 차단하지 못하는 문제점이 발생할 가능성을 현격히 줄여줄 수 있다.
전술한 바와 같이 참조 리스트 관리가 되고 있을 때, 서비스 이용 제어부(230)는, 참조 리스트를 참조하여, 제2서버(120)를 통해 서비스를 이용하고자 하는 단말기(101)에 대하여, 제2서버(120)를 통한 서비스 이용을 허용할지 제한(차단)할지를 제어하게 된다.
이러한 서비스 이용 제어부(230)가 제2서버(120)를 통한 서비스 이용을 허용하거나 제한하는 제어는, 지속적으로 이루어질 수도 있고, 특정 이벤트 발생시에 이루어질 수도 있다.
제2서버(120)를 통한 서비스 이용을 허용하거나 제한하는 제어가 특정 이벤트 발생 시에 수행되는 경우, 사용자 행위 분석부(210)의 사용자 행위 분석 기능과 참조 리스트 관리부(220)의 참조 리스트 관리 기능은 서비스 이용 제어 이벤트의 발생이 감지되기 이전에 수행되는 기능일 수 있다.
제2서버(120)를 통한 서비스 이용을 허용하거나 제한하는 제어가 특정 이벤트 발생 시에 수행되는 경우, 서비스 이용 제어부(230)는, 제2서버(120)를 통한 서비스 이용을 제어하기 위한 서비스 이용 제어 이벤트의 발생이 감지된 경우, 참조 리스트를 참조하여 제2서버(120)를 통한 서비스 이용을 제어할 수 있다.
서비스 이용 제어 이벤트 발생 감지의 일 예로서, 서비스 이용 제어부(230)는, 보안 공격(Security Attac) 탐지 이벤트의 발생을 서비스 이용 제어 이벤트의 발생으로 감지할 수 있다.
여기서, 보안 공격 탐지 이벤트는, 일 예로, 분산 서비스 거부(DDoS: Distributed Denial of Service) 공격 탐지 이벤트일 수 있다.
분산 서비스 거부 공격 탐지 이벤트의 발생이 감지된 경우에 대한 서비스 이용 제어에 대하여 도 5를 참조하여 설명한다.
도 5는 본 발명의 일 실시예에 따른 서비스 이용 제어와 이와 관련된 서비스 이용 제어 이벤트를 예시적으로 나타낸 도면이다.
도 5를 참조하면, 서비스 이용 제어 장치(100)는, 제2서버(120)를 통한 서비스 이용을 제어하기 위한 분산 서비스 거부 공격 탐지 이벤트의 발생이 감지된 경우, 게이트웨이 장치(130) 또는 서비스 이용 제어 장치(100)를 통해 제1서버(110) 또는 제2서버(120)에 접속을 시도하려는 모든 패킷으로부터 네트워크 식별자를 확인하고, 확인된 네트워크 식별자가 참조 리스트에서 확인되면, 제1서버(110) 또는 제2서버(120)에 대한 해당 단말기(101a)의 접속을 허용해줌으로써, 해당 단말기(101a)가 제2서버(120)를 통해 서비스를 이용할 수 있도록 해준다.
도 5를 참조하면, 서비스 이용 제어 장치(100)는, 게이트웨이 장치(130) 또는 서비스 이용 제어 장치(100)를 통해 제1서버(110) 또는 제2서버(120)에 접속을 시도하려는 모든 패킷의 네트워크 식별자를 확인하고, 확인된 네트워크 식별자가 참조 리스트에서 확인되지 않으면, 제1서버(110) 또는 제2서버(120)로 패킷이 전혀 전달되지 못하도록 차단함으로써, 분산 서비스 거부 공격으로부터 제2서버(120) 또는 제1서버(110)를 보호할 수 있다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 서비스 이용 제어를 이용하면, 분산 서비스 거부 공격이 발생한 상황에서, 정상적인 사용자는 아무 문제 없이 서비스를 정상적으로 받을 수 있도록 해주면서도, 분산 서비스 거부 공격에 대해서는 효과적인 대응이 가능하다.
한편, 서비스 이용 제어부(230)는, 서비스 이용 제어 이벤트의 발생이 감지된 경우, 참조 리스트를 참조하여 상기 제2서버(120)를 통한 서비스 이용을 시도하기 위한 패킷(Packet)에 대한 제2서버(120)로의 전달 여부를 제어함으로써, 제2서버(120)를 통한 서비스 이용을 제어할 수 있다.
더 상세한 예로서, 서비스 이용 제어부(230)는, 제2서버(120)를 통한 서비스 이용을 시도하기 위한 패킷으로부터 네트워크 식별자를 확인하고, 확인된 네트워크 식별자 또는 그와 대응되는 정보(네트워크 식별자 인덱스 또는 네트워크 식별자 해싱값)이 참조 리스트에 포함되어 있는지를 확인하여, 패킷에 대한 패킷 드롭(Packet Drop) 여부를 제어함으로써, 패킷에 대한 제2서버(120)로의 전달 여부를 제어할 수 있다.
여기서, 제2서버(120)를 통한 서비스 이용을 시도하기 위한 패킷은, TCP(Transmission Control Protocol) 연결 요청을 위한 TCP SYN(Transmission Control Protocol Synchronize) 패킷일 수 있다.
서비스 이용 제어부(230)는, 패킷 후킹(Packing Hooking) 기법을 이용하여, 제2서버(120)를 통한 서비스 이용을 시도하기 위한 패킷으로부터 네트워크 식별자를 확인할 수 있다.
따라서, 본 발명의 일 실시예에 따른 서비스 이용 장치(100)는, 도 1에 도시된 바와 같이, 단말기(101)가 제1서버(110) 및 제2서버(120)로 접속하기 위한 경로 상에 위치한 게이트웨이 장치(130)와 연결되어 트래픽(패킷)을 모니터링 할 수 있는 장치일 수 있으며, 게이트웨이 장치(130)에 포함되거나 그 자체일 수도 있다.
한편, 도 6에 도시된 바와 같이, 정상 사용자와 비정상 사용자(악의적인 사용자로서, 보안 공격자를 포함함)는, 제2서버(120)를 통해 서비스를 이용하기 위해 제2서버(120)에 접근하는 방식에서 차이점이 있다.
도 6을 참조하면, 정상 사용자는 제1서버(110)에 접속한 이후 인증을 받고 난 이후 제2서버(120)에 접속하여 서비스를 이용하지만, 비정상 사용자는 제1서버(110)에 접속하지 않고 제2서버(120)에 바로 접속을 시도하여 서비스를 무단으로 이용하는 경향이 있다.
이러한 정상 사용자와 비정상 사용자 간의 사용자 행위 및 서비스 이용 방식의 차이점 때문에, 전술한 참조 리스트 관리부(220)는 사용자 행위 분석 결과를 이용하여 참조 리스트를 생성 또는 갱신한다. 방식도 정상 사용자와 비정상 사용자의 서비스 이용 방식의 차이점을 고려한 것이다(도 3 참조).
따라서, 서비스 이용 제어부(230)는, 참조 리스트를 참조하여, 제2서버(120)를 통한 서비스 이용을 시도하는 단말기(101)가 제1서버(110)를 경유하거나 인증이 완료된 정상 단말기(101a)인지 제2서버(120)로 바로 접속을 시도하거나 인증이 미완료된 비정상 단말기(101b)인지를 식별하고, 정상 단말기(101a)로 식별된 경우 정상 단말기(101a)가 제2서버(120)를 통해 서비스를 이용하는 것을 허용하고, 비정상 단말기(101b)로 식별된 경우 비정상 단말기(101b)가 제2서버(120)를 통해 서비스를 이용하는 것을 제한(차단)할 수 있다.
아래에서는, 도 1 내지 도 6을 참조하여 전술한 본 발명의 일 실시예에 따른 서비스 이용 제어 방법에 대하여 도 7을 참조하여 간략하게 다시 설명한다.
도 7은 본 발명의 일 실시예에 따른 서비스 이용 제어 장치(100)가 제공하는 서비스 이용 제어 방법에 대한 흐름도이다.
도 7을 참조하면, 본 발명의 일 실시예에 따른 서비스 이용 제어 방법은, 사용자 행위 분석부(210)가 제1서버(110)에 접속한 단말기(101)에 대하여 트래픽을 분석하거나 서버 처리 결과를 확인하여 사용자 행위를 분석하는 단계(S710)와, 사용자 행위의 분석 결과를 토대로 제2서버(120)를 통한 서비스 이용을 제어하기 위한 참조 리스트를 생성 또는 갱신하는 단계(S720)와, 참조 리스트를 참조하여 제2서버(120)를 통한 서비스 이용을 제어하는 단계(S730) 등을 포함한다.
이상에서는 본 발명의 일 실시예에 따른 서비스 이용 제어 방법이 도 6에서와 같은 절차로 수행되는 것으로 설명되었으나, 이는 설명의 편의를 위한 것일 뿐, 본 발명의 본질적인 개념을 벗어나지 않는 범위 내에서, 구현 방식에 따라 각 단계의 수행 절차가 바뀌거나 둘 이상의 단계가 통합되거나 하나의 단계가 둘 이상의 단계로 분리되어 수행될 수도 있다.
이상에서 설명한 바와 같이 본 발명에 의하면, 서비스를 이용하려는 정상적인 사용자에게 불편함이나 불이익 등의 피해를 주지 않으면서도, 비정상적인 사용자의 서비스 이용 시도 또는 보안 공격(예: DDoS 공격)에 대하여 유효 적절한 대응을 할 수 있는 효율적인 서비스 이용 제어 방법 및 장치를 제공하는 효과가 있다.
이상에서, 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합되거나 결합되어 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. 또한, 그 모든 구성 요소들이 각각 하나의 독립적인 하드웨어로 구현될 수 있지만, 각 구성 요소들의 그 일부 또는 전부가 선택적으로 조합되어 하나 또는 복수 개의 하드웨어에서 조합된 일부 또는 전부의 기능을 수행하는 프로그램 모듈을 갖는 컴퓨터 프로그램으로서 구현될 수도 있다. 그 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 본 발명의 기술 분야의 당업자에 의해 용이하게 추론될 수 있을 것이다. 이러한 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 저장매체(Computer Readable Media)에 저장되어 컴퓨터에 의하여 읽혀지고 실행됨으로써, 본 발명의 실시예를 구현할 수 있다. 컴퓨터 프로그램의 저장매체로서는 자기 기록매체, 광 기록매체, 등이 포함될 수 있다.
또한, 이상에서 기재된 "포함하다", "구성하다" 또는 "가지다" 등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소가 내재될 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다. 기술적이거나 과학적인 용어를 포함한 모든 용어들은, 다르게 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥 상의 의미와 일치하는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (13)

  1. 제1서버에 접속한 단말기에 대하여 트래픽을 분석하고 서버 처리 결과를 확인하여 사용자 행위를 분석하는 사용자 행위 분석부;
    상기 사용자 행위의 분석 결과를 토대로 제2서버를 통한 서비스 이용을 제어하기 위한 참조 리스트를 생성 또는 갱신하는 참조 리스트 관리부; 및
    상기 참조 리스트를 참조하여 상기 제2서버를 통한 서비스 이용을 제어하는 서비스 이용 제어부를 포함하고,
    상기 사용자 행위 분석부는,
    상기 제1서버에 접속한 단말기의 방문 페이지 관련 정보를 파악함으로써, 사용자 행위를 분석하고,
    상기 참조 리스트 관리부는,
    상기 사용자 행위의 분석 결과를 토대로,
    상기 제2서버를 통한 서비스 이용이 허용 또는 제한되어야 하는 단말기의 네트워크 식별자를 추출하는 네트워크 식별자 추출 프로세스를 수행하고,
    상기 추출된 네트워크 식별자를 인덱싱한 네트워크 식별자 인덱스를 포함시켜 상기 참조 리스트를 생성 또는 갱신하거나, 상기 추출된 네트워크 식별자를 해싱한 해싱값을 포함시켜 상기 참조 리스트를 생성 또는 갱신하는 서비스 이용 제어 장치.
  2. 제1항에 있어서,
    상기 사용자 행위 분석부는,
    상기 제1서버에 접속한 단말기의 접속 현황 정보, 상기 제1서버 또는 상기 제2서버에 의한 인증 처리 결과 정보 및 상기 제1서버에 접속한 단말기로부터의 서비스 실행 요청 정보 중 하나 이상을 파악함으로써, 사용자 행위를 분석하는 것을 특징으로 하는 서비스 이용 제어 장치.
  3. 제1항에 있어서,
    상기 참조 리스트 관리부는,
    상기 네트워크 식별자 추출 프로세스의 수행 결과, 상기 추출된 네트워크 식별자를 토대로 상기 참조 리스트를 생성 또는 갱신하는 것을 특징으로 하는 서비스 이용 제어 장치.
  4. 제3항에 있어서,
    상기 참조 리스트 관리부는,
    상기 사용자 행위의 분석 결과를 토대로,
    상기 제1서버에 접속한 단말기에 대한 네트워크 식별자를 1차 추출하고, 상기 1차 추출된 네트워크 식별자 중에서 상기 제1서버 또는 상기 제2서버를 통해 인증이 완료된 단말기에 대한 네트워크 식별자를 2차 추출하며, 상기 2차 추출된 네트워크 식별자 중에서 상기 제1서버에 접속하여 상기 제2서버를 통한 서비스 이용을 위해 서비스 실행을 요청한 단말기에 대한 네트워크 식별자를 3차 추출하는 상기 네트워크 식별자 추출 프로세스를 수행하고, 상기 네트워크 식별자 추출 프로세스의 수행 결과, 상기 3차 추출된 네트워크 식별자를 토대로 상기 참조 리스트를 생성 또는 갱신하는 것을 특징으로 하는 서비스 이용 제어 장치.
  5. 삭제
  6. 제3항에 있어서,
    상기 참조 리스트 관리부는,
    상기 네트워크 식별자 추출 프로세스의 수행 결과, 상기 추출된 네트워크 식별자와 대응되는 사용자 위치 정보를 더 추출하고, 상기 추출된 사용자 위치 정보를 상기 추출된 네트워크 식별자 또는 상기 네트워크 식별자 인덱스 또는 상기 네트워크 식별자 해싱값과 대응시켜 상기 참조 리스트를 생성 또는 갱신하는 것을 특징으로 하는 서비스 이용 제어 장치.
  7. 제1항에 있어서,
    상기 참조 리스트 관리부는,
    상기 참조 리스트를 실시간으로 또는 주기적으로 또는 이벤트 적으로 갱신하는 것을 특징으로 하는 서비스 이용 제어 장치.
  8. 제1항에 있어서,
    상기 서비스 이용 제어부는,
    상기 제2서버를 통한 서비스 이용을 제어하기 위한 서비스 이용 제어 이벤트의 발생이 감지된 경우, 상기 참조 리스트를 참조하여 상기 제2서버를 통한 서비스 이용을 제어하는 것을 특징으로 하는 서비스 이용 제어 장치.
  9. 제8항에 있어서,
    상기 서비스 이용 제어부는,
    상기 서비스 이용 제어 이벤트의 발생이 감지된 경우,
    상기 참조 리스트를 참조하여 상기 제2서버를 통한 서비스 이용을 시도하기 위한 패킷에 대한 상기 제2서버로의 전달 여부를 제어함으로써, 상기 제2서버를 통한 서비스 이용을 제어하는 것을 특징으로 하는 서비스 이용 제어 장치.
  10. 제9항에 있어서,
    상기 서비스 이용 제어부는,
    상기 제2서버를 통한 서비스 이용을 시도하기 위한 패킷으로부터 네트워크 식별자를 확인하고, 상기 확인된 네트워크 식별자 또는 상기 확인된 네트워크 식별자의 대응 정보가 상기 참조 리스트에 포함되어 있는지를 확인하여, 상기 패킷에 대한 패킷 드롭(Packet Drop) 여부를 제어함으로써, 상기 패킷에 대한 상기 제2서버로의 전달 여부를 제어하는 것을 특징으로 하는 서비스 이용 제어 장치.
  11. 제10항에 있어서,
    상기 제2서버를 통한 서비스 이용을 시도하기 위한 패킷은,
    TCP(Transmission Control Protocol) 연결 요청을 위한 TCP SYN(Transmission Control Protocol Synchronize) 패킷인 것을 특징으로 하는 서비스 이용 제어 장치.
  12. 제1항에 있어서,
    서비스 이용 제어 장치는,
    단말기가 상기 제1서버 및 상기 제2서버로 접속하기 위한 경로 상에 위치한 게이트웨이 장치와 연결되어 트래픽을 모니터링할 수 있는 장치이거나, 상기 게이트웨이 장치이거나, 상기 게이트웨이에 포함된 내부 장치인 것을 특징으로 하는 서비스 이용 제어 장치.
  13. 서비스 이용 제어 방법에 있어서,
    제1서버에 접속한 단말기에 대하여 트래픽을 분석하고 서버 처리 결과를 확인하여 사용자 행위를 분석하는 단계;
    상기 사용자 행위의 분석 결과를 토대로 제2서버를 통한 서비스 이용을 제어하기 위한 참조 리스트를 생성 또는 갱신하는 단계; 및
    상기 참조 리스트를 참조하여 상기 제2서버를 통한 서비스 이용을 제어하는 단계를 포함하고,
    상기 사용자 행위를 분석하는 단계는,
    상기 제1서버에 접속한 단말기의 방문 페이지 관련 정보를 파악함으로써, 사용자 행위를 분석하고,
    상기 참조 리스트를 생성 또는 갱신하는 단계는,
    상기 사용자 행위의 분석 결과를 토대로,
    상기 제2서버를 통한 서비스 이용이 허용 또는 제한되어야 하는 단말기의 네트워크 식별자를 추출하는 네트워크 식별자 추출 프로세스를 수행하고, 상기 추출된 네트워크 식별자를 인덱싱한 네트워크 식별자 인덱스를 포함시켜 상기 참조 리스트를 생성 또는 갱신하거나, 상기 추출된 네트워크 식별자를 해싱한 해싱값을 포함시켜 상기 참조 리스트를 생성 또는 갱신하는 서비스 이용 제어 방법.
KR1020130043792A 2013-04-19 2013-04-19 서비스 이용 제어 방법 및 장치 KR101445817B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130043792A KR101445817B1 (ko) 2013-04-19 2013-04-19 서비스 이용 제어 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130043792A KR101445817B1 (ko) 2013-04-19 2013-04-19 서비스 이용 제어 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101445817B1 true KR101445817B1 (ko) 2014-10-01

Family

ID=51996131

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130043792A KR101445817B1 (ko) 2013-04-19 2013-04-19 서비스 이용 제어 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101445817B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101996018B1 (ko) * 2018-08-13 2019-10-01 넷마블 주식회사 비정상 유저 검출 장치 및 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012003383A (ja) * 2010-06-15 2012-01-05 Mitsubishi Electric Corp 認証システム
JP2012173866A (ja) * 2011-02-18 2012-09-10 Docomo Technology Inc 認証装置、情報処理システム及びプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012003383A (ja) * 2010-06-15 2012-01-05 Mitsubishi Electric Corp 認証システム
JP2012173866A (ja) * 2011-02-18 2012-09-10 Docomo Technology Inc 認証装置、情報処理システム及びプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101996018B1 (ko) * 2018-08-13 2019-10-01 넷마블 주식회사 비정상 유저 검출 장치 및 방법

Similar Documents

Publication Publication Date Title
US9848016B2 (en) Identifying malicious devices within a computer network
US7464407B2 (en) Attack defending system and attack defending method
CN101496025B (zh) 用于向移动设备提供网络安全的系统和方法
EP2779574B1 (en) Attack detection and prevention using global device fingerprinting
WO2016006520A1 (ja) 検知装置、検知方法及び検知プログラム
EP2933973A1 (en) Data protection method, apparatus and system
WO2015200308A1 (en) Entity group behavior profiling
WO2016025081A1 (en) Collaborative and adaptive threat intelligence for computer security
CN101802837A (zh) 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法
US11706628B2 (en) Network cyber-security platform
TW201928750A (zh) 比對伺服器、比對方法及電腦程式
CN110611682A (zh) 一种网络访问系统及网络接入方法和相关设备
Jeyanthi Internet of things (iot) as interconnection of threats (iot)
KR101658450B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
KR101910496B1 (ko) 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법
KR101445817B1 (ko) 서비스 이용 제어 방법 및 장치
US10320784B1 (en) Methods for utilizing fingerprinting to manage network security and devices thereof
JP2013069016A (ja) 情報漏洩防止装置及び制限情報生成装置
WO2021242496A1 (en) User interface for web server risk awareness
Kalil Policy Creation and Bootstrapping System for Customer Edge Switching
US11843946B2 (en) Device-specific wireless access point password authentication
KR101370244B1 (ko) 응용 계층 디도스 공격의 탐지 및 차단 방법과 그 장치
KR101914044B1 (ko) 내부네트워크 보안강화방법 및 이를 구현하는 보안시스템
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
CN113221053A (zh) 一种防抓取方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee