KR101565942B1 - Method and Apparatus for detecting ID theft - Google Patents
Method and Apparatus for detecting ID theft Download PDFInfo
- Publication number
- KR101565942B1 KR101565942B1 KR1020140065336A KR20140065336A KR101565942B1 KR 101565942 B1 KR101565942 B1 KR 101565942B1 KR 1020140065336 A KR1020140065336 A KR 1020140065336A KR 20140065336 A KR20140065336 A KR 20140065336A KR 101565942 B1 KR101565942 B1 KR 101565942B1
- Authority
- KR
- South Korea
- Prior art keywords
- login
- information
- log
- rate
- list
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
Abstract
Description
본 발명은 도용 아이디 검출 방법 및 장치에 관한 것이다. 상세히 24시간 이내에 로그인 시도가 있었던 아이디들에 대해 도용 시도를 검출하는 방법에 관한 것이다.FIELD OF THE INVENTION The present invention relates to a method and apparatus for detecting a forgery ID. And more particularly to a method for detecting an attempt to steal an identity that has attempted to log in within 24 hours.
일반적으로 인터넷 서비스 제공자에 의해 제공되는 인터넷 서비스 이용 시 사용자는 아이디와 비밀번호를 통해 인증을 받아 서비스를 제공받는다.Generally, when using the Internet service provided by the Internet service provider, the user is authenticated through the ID and the password and is provided with the service.
사용자들이 자신을 인증하기 위하여 사용하는 로그인 정보는 필요에 따라 다양하게 구성될 수 있으나, 아이디(ID)와 비밀번호(Password)를 이용하는 방법이 가장 널리 사용되고 있다.The login information used by the users to authenticate themselves can be variously configured as needed, but a method using an ID and a password is the most widely used.
이러한 인터넷 서비스의 증가에 따라 아이디와 비밀번호가 누출되어 타인이 이를 도용하는 사례가 빈번히 발생하고 있으나 가입자 본인은 이에 대해 알 수 있는 경우가 거의 없다. 그에 따라, 악의적 사용자가 누출된 개인정보를 이용하여 여러 서비스 계정을 만드는 등 그 피해 및 위험성이 더 커지고 있다.As the number of such Internet services increases, IDs and passwords are leaked and others steal them frequently. However, the subscribers rarely know about this. As a result, malicious users are creating various service accounts using leaked personal information, and the damage and the risk are increasing.
그러므로 타인의 로그인 정보를 도용하거나 해킹하여 부정하게 이루어지는 접근 시도를 차단할 수 있는 다양한 방안이 요구되고 있다.Therefore, various measures are needed to prevent access attempts that are illegitimate by stealing or hacking the login information of other persons.
본 발명의 바람직한 일 실시예에서는 아이디 도용이 발생한 경우, 도용된 아이디의 로그인 직후 도용 아이디를 검출함으로써 추가적인 피해를 사전에 예방하고자 한다. In a preferred embodiment of the present invention, when the identity theft occurs, an attempt is made to prevent further damage by detecting the identity theft immediately after login of the ID that is stolen.
본 발명의 바람직한 일 실시예로서, 웹서비스제공서버에서 도용ID를 검출하는 방법은 24시간 내에 발생한 로그인 시도에서 로그인 로그데이터를 로그인ID별로 저장하는 단계; 기설정된 기간동안 누적된 로그인 로그데이터를 로그인ID 별로 분류하는 단계; 상기 분류된 로그인ID들 중 상기 24시간 내에 로그인을 시도한 로그인 ID와 로그인 로그데이터가 동일하고, 로그인에 성공한 로그인ID를 추출하는 단계; 상기 추출된 로그인ID를 IP별로 재분류하고, 상기 재분류된 IP별로 로그인 성공율, 비밀번호 변경률, IP/16 미스(miss)율, 에이전트(Agent) 미스율, 쿠키(Cookie) 미스율 정보 중 적어도 하나 이상의 정보를 계산하는 단계;를 포함하는 것을 특징으로 한다. As a preferred embodiment of the present invention, a method for detecting a forgery ID in a web service providing server includes storing login log data for each login ID in a login attempt occurring within 24 hours; Classifying login log data accumulated for a predetermined period by login ID; Extracting a log-in ID that is the same as the log-in ID in which the log-in attempted to log in within the 24 hours among the log-in IDs classified and log-in log data, and succeeded in log-in; The login ID is reclassified for each IP and at least one of the login success rate, the password change rate, the IP / 16 miss rate, the agent miss rate, and the cookie miss rate information for each of the reclassified IPs And a step of calculating information.
본 발명의 또 다른 바람직한 일 실시예로서, 도용ID검출장치는 24시간이내에 저장된 로그인 로그데이터 및 90일동안 누적적으로 저장된 로그인로그 데이터를 각각 로그인ID별로 분류하는 로그인ID분류부; 로그인ID별로 분류된 24시간이내에 저장된 로그인 로그데이터와 로그인ID별로 분류된 90일동안 누적적으로 저장된 로그인 로그데이터를 비교하여 일치하는지 판단하는 비교부; 상기 로그인 로그데이터가 일치하는 로그인ID들 중 로그인에 성공한 로그인ID를 IP기준으로 재분류하는 IP분류부;및 상기 재분류된 IP별로 상기 로그인 성공율, IP/16 미스(miss)율, 에이전트(Agent) 미스율 및 쿠키(Cookie) 미스율을 계산하여 로그인ID 도용이 추정되는 아이디도용 IP목록리스트를 생성하는 아이디도용IP리스트생성부;를 포함하는 것을 특징으로 한다. In another preferred embodiment of the present invention, the forgery ID detecting device includes a login ID classifying unit for classifying login log data stored within 24 hours and log log data stored cumulatively for 90 days by login ID, respectively; A comparison unit comparing the login log data stored within the 24 hours classified by the login ID with the login log data cumulatively stored for 90 days classified by the login ID and determining whether they match; An IP classification unit for reclassifying the log-in ID of the log-in IDs that match the log-in log data to the IP-based log-in succeeding log-in, and an IP / 16 miss ratio, And an ID stealing IP list generating unit for generating an id list of ID stealing in which the login ID stealing is estimated by calculating a mistake rate and a cookie mistake rate.
바람직하게, 상기 재분류된 IP별로 비밀번호 변경률, IP/16 미스(miss)율, 에이전트(Agent) 미스율 및 쿠키(Cookie) 미스율을 계산하여 로그인ID 도용 및 비밀번호변경이 추정되는 비밀번호변경 IP목록리스트를 생성하는 비밀번호변경IP리스트생성부를 더 포함하는 것을 특징으로 한다. Preferably, the password change IP list list is calculated by calculating a password change rate, an IP / 16 miss rate, an agent miss rate, and a cookie miss rate for each reclassified IP, And a password change IP list generation unit for generating a password change IP list.
바람직하게, 상기 비밀번호변경 IP목록리스트 또는 상기 비밀번호변경 IP목록리스트에서 로그인에 성공한 로그인ID들을 추출하여 해당 사용자에게 도용사실을 통보하는 도용알림부;를 더 포함하는 것을 특징으로 하는 도용ID검출장치.And a tamper notification unit for extracting login IDs that have been successfully logged in from the password-changed IP list or the password-changed IP list and notifying the user of the stealing information.
본 발명의 바람직한 일 실시예에서는 최근 로그인 시도시 발생한 로그데이터와 과거 누적된 로그데이터를 비교하여 도용 아이디 및 도용 아이디들 중 비밀번호 변경 시도가 있었던 케이스를 빠르게 검출함으로써 추가적인 피해를 사전에 예방하는 효과가 있다. In a preferred embodiment of the present invention, the log data generated in the recent log-in attempt is compared with the past accumulated log data to quickly detect a case in which a password change attempt is made among the IDs and the IDs to prevent additional damage in advance have.
도 1 은 특정 웹사이트에서 스팸 작성에 사용된 로그인아이디의 도용일시별 도용아이디 개수를 도시한다.
도 2 는 아이디 남용이 이루어지는 전체 흐름의 일 예를 도시한다.
도 3 내지 4는 본 발명의 바람직한 일 실시예로서, 도용된 아이디를 검출하는 전체 시스템도를 도시한다.
도 5 는 본 발명의 바람직한 일 실시예로서, 도용ID검출장치의 내부 구성도를 도시한다.
도 6은 본 발명의 바람직한 일 실시예로서, 도용ID검출장치에서 로그인 ID 별로 로그인데이터를 분류한 일 예를 도시한다.
도 7 내지 8은 도용ID검출장치에서 IP별로 로그인 성공율, 비밀번호 변경률, IP/16 미스(miss)율, 에이전트(Agent) 미스율, 쿠키(Cookie) 미스율 정보 중 적어도 하나 이상의 정보를 계산한 일 예를 도시한다.
도 9 는 본 발명의 바람직한 일 실시예로서, 웹서비스제공서버에서 도용ID를 검출하는 방법의 일 예를 도시한다. Figure 1 shows the number of stolen IDs of the login IDs used to create spam at a particular web site.
2 shows an example of the entire flow of ID abuse.
Figs. 3 to 4 show a whole system diagram for detecting an ID that is stolen, according to a preferred embodiment of the present invention.
Fig. 5 shows an internal configuration diagram of a forgery-ID detecting apparatus according to a preferred embodiment of the present invention.
FIG. 6 shows an example of classifying login data by login ID in a forgery-ID detecting apparatus according to a preferred embodiment of the present invention.
7 to 8 illustrate an example in which at least one of the login success rate, the password change rate, the IP / 16 miss rate, the agent miss rate, and the cookie miss rate information is calculated for each IP in the forgery-ID detecting apparatus / RTI >
FIG. 9 illustrates an example of a method for detecting a forgery ID in a web service providing server according to a preferred embodiment of the present invention.
이하, 첨부된 도면들을 참조하여 본 발명의 바람직한 실시예를 보다 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1 은 특정 웹사이트에서 스팸 작성에 사용된 로그인아이디의 도용일시별 도용아이디 개수를 도시한다.Figure 1 shows the number of stolen IDs of the login IDs used to create spam at a particular web site.
도 1 에 도시된 일 예는 도용 아이디(이하, ID)로 특정 인터넷 웹사이트의 서비스를 어뷰징하고, 고객의 정보를 빼내간 일 예를 도시한다. 도 1 에 도시된 일 예는 인터넷 포털 사이트에서 도박 스팸 작성에 사용된 ID의 개수 및 도용된 도용일자를 표시한다. 도 1 에서 x 축은 도용일시, y축은 도용된 ID의 개수를 도시한다.An example shown in FIG. 1 shows an example in which a service of a specific Internet Web site is exposed using a fraudulent ID (hereinafter referred to as ID) and information of a customer is extracted. One example shown in FIG. 1 shows the number of IDs used in creating gambling spam and the stolen hijacked date on the Internet portal site. In Fig. 1, the x-axis shows the number of IDs stolen, and the y-axis shows the number of IDs stolen.
도 1은 2013년 5월 21에 온라인 카페에서 도박 스팸 작성에 사용된 ID가 과거 도용되었던 빈도 및 도용일자를 도시한다. 2013년 5월 20일 및 2013년 5월 21에 온라인 카페에서 도박 스팸 작성에 사용된 ID가 가장 많이 도용된 것을 알 수 있다. Figure 1 shows the frequency and the stolen date that IDs used to create gambling spam in online cafes on May 21, 2013 were stolen. On May 20, 2013 and May 21, 2013, IDs used to create gambling spam in online cafes were the most abused.
도 1의 추세를 살펴보면 도용 아이디는 당일 또는 전일에 가장 많이 도용되는 것을 파악할 수 있다. Looking at the trend of FIG. 1, it can be seen that the stealing ID is most abused on the day or the day before.
도 2 는 아이디 남용이 이루어지는 전체 흐름의 일 예를 도시한다. 2 shows an example of the entire flow of ID abuse.
해커(210)들은 제 1 인터넷 포털사이트(예, Daum)(200)으로부터 로그인 ID와 비밀번호를 탈취할 수 있다(S210). 이 경우, 해커(210)는 제 1 인터넷 포털사이트(예, Daum)(200)에서 탈취한 ID 및 비밀번호로 제 2 인터넷 포털사이트(예, Naver)(201)로 로그인을 시도한다. The
로그인에 성공한 경우, 해커(210)는 해당 ID와 비밀번호를 다른 해커(220)에게 판매하거나 유통할 수 있다(S230). 이후, 해커(220)는 자신이 구매한 ID 및 PW로 로그인을 시도하여 인터넷 웹사이트의 서비스를 남용하고, 패스워드를 변경하거나 또는 사용자 연락처를 변경하고, 사용자가 온라인에서 사용하는 캐쉬 등을 이용할 수 있다. If the login is successful, the
도 3 내지 4는 본 발명의 바람직한 일 실시예로서, 도용된 아이디를 검출하는 전체 시스템도를 도시한다. Figs. 3 to 4 show a whole system diagram for detecting an ID that is stolen, according to a preferred embodiment of the present invention.
도용된 아이디를 검출하는 시스템은 인터넷망(300), 서비스제공자(310), 사용자(320) 및 도용ID검출장치(330)를 포함한다. The system for detecting a stolen identity includes the
서비스제공자(310)는 사용자(320)에게 인터넷 서비스를 제공하는 인터넷 포털 사이트 등을 포함한다. The
사용자(320)가 이용하는 인터넷 서비스를 지원하는 단말기는 멀티미디어 기기, 컴퓨터, 노트북, 핸드헬드 장치, 스마트폰, 휴대폰, 씬 단말기를 포함하고, 유무선통신 지원 단말기, 영상처리장치, 캠코더, 카메라 등의 형태로 구현이 가능하며, 또한 디스플레이부, 통신부, 사용자 입력 수신부 및 출력부 등의 기능을 포함한 단말기의 형태로 구현이 가능하다. The terminal supporting the Internet service used by the
본 발명의 바람직한 일 실시예에서 도 3 내지 4와 같은 형태의 시스템 내에서 도용ID검출장치(330)는 사용자(320)가 서비스제공자(310)가 제공하는 인터넷 서비스를 이용할 때 이용하는 로그인ID 및/또는 비밀번호를 도용하는 아이디를 검출하도록 구현된다. In a preferred embodiment of the present invention, in the system of the type as shown in FIGS. 3 to 4, the forgery-
도용ID검출장치(330)는 도 3 에 도시된 바와 같이 인터넷 망(300)에 연결되어 서비스 제공자(310)와 별도로 구현이 가능하다. The forgery
또한, 도용ID검출장치(330)는 도 4에 도시된 바와 같이 서비스 제공자가 웹서비스제공서버 또는 인터넷 서비스를 지원하는 단말기의 형태로 직접 구현할 수 있다. 이 경우 웹서비스제공서버는 서비스 제공자(310)가 이용하는 다양한 데이터베이스(331)의 정보를 이용하도록 추가적으로 구현이 가능하다. 예를 들어, 데이터베이스(331)에 저장된 과거 기설정된 구간(예, 90일) 동안의 로그데이터 또는 기본 접속상황정보를 이용하여 ID 도용여부를 판단할 수 있다. Also, as shown in FIG. 4, the ID-for-
도 5 는 본 발명의 바람직한 일 실시예로서, 도용ID검출장치의 내부 구성도를 도시한다. Fig. 5 shows an internal configuration diagram of a forgery-ID detecting apparatus according to a preferred embodiment of the present invention.
본 발명의 바람직한 일 실시예로서 도용ID검출장치(500)는 24시간 이내에 발생한 로그데이터와 90일동안 누적 저장된 로그데이터간에 일치여부를 판단한다. 일치하는 로그인ID들 중 로그인에 성공한 ID들에 대해서는, IP별로 재분류를 수행하여 아이디가 도용된 IP 리스트 및 비밀번호가 변경된 IP 리스트를 생성한다. As a preferred embodiment of the present invention, the stealing
상세히, 도용ID검출장치(500)는 로그인ID분류부(510), 비교부(520), IP분류부(530), 아이디도용IP리스트생성부(540) 및 비밀번호변경IP리스트생성부(550)를 포함한다. 각 구성의 특징은 아래와 같다. In detail, the forgery
로그인ID분류부(510)는 24시간 이내에 로그인 시도가 있었던 아이디에 대한 로그데이터를 로그인 ID별로 분류한다. 또한, 서비스 제공자(도 3, 310 참고)가 이용하는 데이터베이스(521)에 누적 저장된 로그인 로그 데이터를 로그인 ID별로 분류한다. 로그인 ID분류부(510)의 구현의 일 예는 도 6을 참고한다. The log-in
본 발명의 바람직한 일 실시예로서, 로그 데이터는 사용자가 로그인 시도시 남겨지는 로그인 ID 정보, IP 정보, IP/16 정보, 에이전트 정보, 쿠키 정보, 패스워드 정보, 로그인 성공여부 정보, 브라우저 정보 등을 포함한다. As a preferred embodiment of the present invention, the log data includes login ID information, IP information, IP / 16 information, agent information, cookie information, password information, login success information, browser information, do.
서비스 제공자(도 3, 310 참고)는 현행법이 허여되는 최대기간 이하의 기간 동안 로그인 시도에 대한 로그데이터를 누적적으로 보유, 관리할 수 있다. 일 예로, 서비스 제공자(도 3, 310 참고)는 90일 동안 로그인 시도에 대한 로그데이터를 누적적으로 보유, 관리가 가능하다. The service provider (see FIG. 3, 310) can cumulatively hold and manage log data for login attempts for a period of time less than the maximum period for which current law is granted. As an example, a service provider (see FIG. 3, 310) can accumulate and manage log data for login attempts for 90 days.
비교부(520)는 로그인 ID별로 과거 기설정된 기간(예; 90일)동안 로그인 환경 중 최근 24시간내 로그인 환경과 실질적으로 동일한 환경이 있었는지 여부를 판단한다. The comparing
이를 위하여, 비교부(520)는 로그인ID별로 24시간이내에 저장된 로그인 로그데이터와 과거 기설정된 기간(예;90일)동안 누적적으로 저장된 로그인 로그데이터를 비교한다.To this end, the
바람직한 일 실시예로서, 비교부(520)는 24시간 내에 로그인을 시도한 로그인 ID의 IP/16 정보, 에이전트 정보 및 쿠키 정보와 과거 기설정된 기간(예; 90일)동안 로그인 시도가 있었던 로그인 ID의 IP/16 정보, 에이전트 정보 및 쿠키 정보가 일치하는지를 판단한다. As a preferred embodiment, the
비교부(520)에서 최근 24시간내 로그인 시도가 발생했던 로그인 ID가 과거에도 동일한 환경에서 로그인 시도가 있었던 것이 검출이 되고, 또한 최근 24시간 내에 로그인에 성공하는 경우, 해당 로그인ID를 추출한다. The
이 후, IP분류부(530)에서는 비교부(520)에서 추출한 로그인 ID들을 IP 기준으로 재분류를 수행한다. IP분류부(530)에서 IP를 기준으로 재분류를 수행한 일 예는 도 7 내지 8을 참고한다. Thereafter, the
도 7 은 IP기준으로 재분류한 후 아이디도용 IP목록리스트를 생성하기 위한 변수들을 계산한 일 예를 도시하고, 도 8은 비밀번호가 변경된 IP리스트를 생성하기 위해 변수들을 계산한 일 예를 도시한다. FIG. 7 shows an example of calculation of variables for generating an IP list for identity stealing after reclassification based on an IP standard, and FIG. 8 shows an example of calculation of variables to generate an IP list whose password is changed .
도 7을 참고하면, 아이디도용IP리스트생성부(540)에서는 IP분류부(530)에서 재분류된 IP별로 로그인 성공율(S_rate), IP/16 미스율(IP_miss), 에이전트 미스율(Agent_miss) 및 쿠키 미스율(Cookie_miss) 중 적어도 하나 이상을 계산하여 로그인ID 도용이 추정되는 아이디도용 IP목록리스트를 생성한다. 7, in the ID shoplifting
예를 들어, IP가 3.3.1.3 인 경우 로그인 성공율(S_rate)이 10%로 매우 낮고, IP/16 미스율(IP_miss)이 90%, 에이전트 미스율(Agent_miss)이 95%, 그리고 쿠키 미스율(Cookie_miss)이 90%임을 알 수 있다. For example, if the IP is 3.3.1.3, the login success rate (S_rate) is very low at 10%, the IP / 16 miss rate (IP_miss) is 90%, the agent miss rate (Agent_miss) is 95%, and the cookie mistake rate (Cookie_miss) 90%. ≪ / RTI >
이 경우 아이디도용IP리스트생성부 (540)에서는 기설정된 특정 조건을 만족하는 경우 로그인ID 도용으로 추정할 수 있다. In this case, the ID shoplifting IP
예를 들어, 로그인 성공율(S_rate)이 30%이하이면서 동시에 IP/16 미스율(IP_miss)이 80% 이상인 경우, 로그인 성공율(S_rate)이 30%이하이면서 동시에 에이전트 미스율(Agent_miss)이 70% 이상인 경우, 로그인 성공율(S_rate)이 20%이하이면서 동시에 쿠키 미스율(Cookie_miss)이 80%이상인 경우 등의 조건 중 적어도 하나 이상을 특정 조건으로 설정할 수 있다.For example, when the login success rate S_rate is 30% or less and the IP / 16 misfire rate IP_miss is 80% or more, the login success rate S_rate is 30% or less and the agent misissue Agent_miss is 70% A case where the login success rate (S_rate) is 20% or less and at the same time the cookie mistake rate (Cookie_miss) is 80% or more can be set as a specific condition.
웹서비스 제공 서버에서 도용ID 추정 조건을 로그인 성공율(S_rate)이 30%이하이면서 동시에 에이전트 미스율(Agent_miss)이 70% 이상인 경우로 설정한 경우 도 7에 도시된 3.3.1.3 IP는 도용IP로 추정된다. In the case where the web service provision server sets the stolen ID estimation condition to a case where the login success rate (S_rate) is 30% or less and the agent miss rate (Agent_miss) is 70% or more, 3.3.1.3 IP shown in FIG. 7 is estimated to be a stolen IP .
아이디도용IP리스트생성부(540)는 또한 IP별로 로그인 성공율, 비밀번호 변경률, IP/16 미스(miss)율, 에이전트(Agent) 미스율, 쿠키(Cookie) 미스율 정보 중 복수개의 정보를 이용하는 경우에는 각 정보별로 가중치를 부여할 수 있다. When the ID stealing IP
아이디도용IP리스트생성부 (540)에서는 3.3.1.3 IP를 아이디도용 IP목록리스트에 추가할 수 있다. 이 후, 도용알림부(미 도시)를 통해 상기 도용사실을 해당 사용자에게 통보할 수 있다. The ID stealing IP
도 8을 참고하면, 비밀번호변경IP리스트생성부(도 5, 550)는 IP분류부(530)에서 재분류된 IP별로 비밀번호 변경률(Chg_rate), IP/16 미스율(IP_miss), 에이전트 미스율(Agent_miss) 및 쿠키 미스율(Cookie_miss) 중 적어도 하나 이상을 계산하여 로그인ID 도용 및 비밀번호변경이 추정되는 비밀번호변경 IP목록리스트를 생성한다. 5, 550) generates a password change IP list (550 in FIG. 5) by the
도 8 을 참고하면, 3.3.1.3 IP의 경우 비밀번호 변경률(Chg_rate)이 90%, IP/16 미스율(IP_miss) 90%, 에이전트 미스율(Agent_miss) 95% 및 쿠키 미스율(Cookie_miss) 90% 로 계산된다.8, the password change rate (Chg_rate) is calculated as 90%, the IP / 16 miss rate (IP_miss) 90%, the agent miss rate (Agent_miss) 95%, and the cookie mistake rate (Cookie_miss) 90% in case of 3.3.1.3 IP .
본 발명의 바람직한 일 실시예에서, 비밀번호변경IP리스트생성부(도 5, 550)은 특정 조건을 기준으로 로그인ID 도용 및 비밀번호변경이 추정되는 비밀번호변경 IP목록리스트를 생성한다. In a preferred embodiment of the present invention, the password change IP list generation unit (FIG. 5, 550) generates a password change IP list list in which login ID theft and password change are estimated based on a specific condition.
예를 들어, 비밀번호 변경률(Chg_rate)이 80% 이상이면서 동시에 IP/16 미스율(IP_miss)이 80% 이상인 경우, 비밀번호 변경률(Chg_rate)이 80% 이상이면서 동시에 에이전트 미스율(Agent_miss)이 70% 이상인 경우, 비밀번호 변경률(Chg_rate)이 80% 이상이면서 동시에 쿠키 미스율(Cookie_miss)이 80%이상인 경우 등의 조건 중 적어도 하나 이상을 특정 조건으로 설정할 수 있다.For example, when the password change rate Chg_rate is 80% or more and the IP / 16 miss rate IP_miss is 80% or more, the password change rate Chg_rate is 80% or more and the agent miss rate Agent_miss is 70% , The case where the password change rate (Chg_rate) is 80% or more and the cookie mistake rate (Cookie_miss) is 80% or more can be set as the specific condition.
웹서비스 제공 서버에서 로그인ID 도용 및 비밀번호변경 추정 조건을 비밀번호 변경률(Chg_rate)이 80% 이상이면서 동시에 IP/16 미스율(IP_miss)이 80% 이상인 경우로 설정한 경우 도 7에 도시된 3.3.1.3 IP는 도용IP로 추정된다. When the password change rate (Chg_rate) is set to 80% or more and the IP / 16 miss rate (IP_miss) is set to 80% or more at the web service provision server, the login ID stealing and password change estimation conditions are set to 3.3.1.3 IP is estimated to be a stolen IP.
비밀번호변경IP리스트생성부(도 5, 550)는 또한 IP별로 로그인 성공율, 비밀번호 변경률, IP/16 미스(miss)율, 에이전트(Agent) 미스율, 쿠키(Cookie) 미스율 정보 중 복수 개의 정보를 이용하는 경우에는 각 정보별로 가중치를 부여할 수 있다. 5 and 550 may also use a plurality of pieces of information among the login success rate, the password change rate, the IP / 16 miss rate, the agent miss rate, and the cookie miss rate information for each IP In this case, weights can be assigned to each piece of information.
도 5 에는 도시되어 있지 않으나, 본 발명의 바람직한 일 실시예로서 도용ID검출장치(500)는 IP리스트생성부 (540)에서 생성한 아이디도용 IP목록리스트 또는 비밀번호변경IP리스트생성부(550)에서 생성한 비밀번호변경 IP목록리스트에서 로그인에 성공한 로그인ID들을 추출하여 해당 사용자에게 도용사실을 통보하는 도용알림부(미 도시)를 더 포함할 수 있다. Although not shown in FIG. 5, as a preferred embodiment of the present invention, the forgery-
도 6은 본 발명의 바람직한 일 실시예로서, 도용ID검출장치에서 로그인 ID 별로 로그인데이터를 분류한 일 예를 도시한다. FIG. 6 shows an example of classifying login data by login ID in a forgery-ID detecting apparatus according to a preferred embodiment of the present invention.
도용검출장치는 로그인 ID별로 로그인데이터를 분류한다. 이 경우 로그인데이터의 예로는 비밀번호 변경여부, IP, IP/16, Agent 및 Cookie 정보를 포함한다. Theft detection device classifies login data by login ID. In this case, examples of login data include password change, IP, IP / 16, Agent and Cookie information.
도 7 내지 8은 도용ID검출장치에서 IP별로 로그인 성공율, 비밀번호 변경률, IP/16 미스(miss)율, 에이전트(Agent) 미스율, 쿠키(Cookie) 미스율 정보 중 적어도 하나 이상의 정보를 계산한 일 예를 도시한다. 7 to 8 illustrate an example in which at least one of the login success rate, the password change rate, the IP / 16 miss rate, the agent miss rate, and the cookie miss rate information is calculated for each IP in the forgery-ID detecting apparatus / RTI >
도 7 은 아이디도용이 추정되는 IP리스트를 생성하기 위해 고려하는 변수들을 계산한 일 예를 도시한다. 도 8 은 아이디도용 및 비밀번호 변경이 추정되는 IP리스트를 생성하기 위해 고려하는 변수들을 계산한 일 예를 도시한다. FIG. 7 shows an example of calculating the variables considered for creating an IP list for which identity theft is estimated. FIG. 8 shows an example of calculating the parameters to be considered for generating an IP list in which ID stealing and password change are estimated.
도 9 는 본 발명의 바람직한 일 실시예로서, 웹서비스제공서버에서 도용ID를 검출하는 방법의 일 예를 도시한다. FIG. 9 illustrates an example of a method for detecting a forgery ID in a web service providing server according to a preferred embodiment of the present invention.
본 발명의 바람직한 일 실시예로서, 웹서비스제공서버에서는 도용ID를 검출하기 위하여 24시간 내에 로그인 시도가 발생했던 로그인 ID의 로그데이터와 기설정된 기간동안 누적된 로그인 로그데이터를 비교한다(S910~S930). As a preferred embodiment of the present invention, the web service providing server compares the log data of the login ID in which the login attempt occurred within 24 hours to the login log data accumulated for a preset period to detect the forgery ID (S910 to S930 ).
로그 데이터는 로그인 시도시 남겨지는 로그인 ID 정보, IP 정보, IP/16 정보, 에이전트 정보, 쿠키 정보, 패스워드 정보, 로그인 성공여부 정보 중 적어도 하나 이상을 포함한다.The log data includes at least one of login ID information, IP information, IP / 16 information, agent information, cookie information, password information, and login success / failure information remaining at the time of login attempt.
이를 위하여, 먼저 24시간 내에 발생한 로그인 시도에서 로그인 로그데이터를 로그인ID별로 저장 및 분류한다(910). 그리고, 기설정된 기간(예, 90일)동안 누적된 로그인 로그데이터를 로그인ID 별로 분류한다(920). To do this, the login log data is first stored and classified according to the login ID in the login attempt occurring within 24 hours (910). Then, the login log data accumulated for a predetermined period (for example, 90 days) is classified according to login IDs (920).
이 후, 기설정된 기간동안 누적된 로그인 로그데이터를 분류한 로그인ID들 중 24시간 내에 로그인을 시도한 로그인 ID와 로그인 로그데이터가 동일한 로그인 ID를 파악한다. 바람직하게, 로그데이터 중 IP/16 정보, 에이전트 정보 및 쿠키 정보가 동일한지 여부를 파악할 수 있다. 이 후, 파악된 로그인 ID들 중 로그인에 성공한 로그인ID를 추출한다(S930, S931). Then, among the login IDs classified in the login log data accumulated during the predetermined period, the login ID that has attempted to log in within 24 hours is identified with the login ID having the same login log data. Preferably, it is possible to determine whether the IP / 16 information, the agent information, and the cookie information among the log data are the same. Thereafter, the log-in ID that is successfully logged in among the identified log-in IDs is extracted (S930, S931).
로그인ID가 추출되면, 추출된 로그인ID를 IP별로 재분류한다(S933). 이 후, 로그인 성공율, 비밀번호 변경률, IP/16 미스(miss)율, 에이전트(Agent) 미스율, 쿠키(Cookie) 미스율 정보 중 적어도 하나 이상의 정보를 계산하여(S940), 비밀번호 변경 시도가 있었던 도용ID의 IP리스트를 생성하거나(S941) 또는 도용ID 리스트를 생성한다(S943). When the login ID is extracted, the extracted login ID is reclassified by IP (S933). Thereafter, at least one or more pieces of information of the login success rate, the password change rate, the IP / 16 miss rate, the miss rate of the agent, and the cookie miss rate information are calculated (S940) (S941) or generates a list of the IDs of the robbers (S943).
도용ID 리스트를 생성하기 위해 계산하는 변수의 일 예는 도 7의 일 실시예를 참고한다. 또한 비밀번호 변경 시도가 있었던 도용ID의 IP리스트를 생성(S941)하기 위한 변수는 도 8의 일 실시예를 참고한다. One example of a variable that is calculated to generate the list of the stolen IDs is shown in one embodiment of FIG. 8, a variable for generating an IP list of the IDs for which a password change attempt has been made (S941).
이 후, 비밀번호 변경 시도가 있었던 도용ID의 IP리스트를 생성되거나(S941) 또는 도용ID 리스트를 생성되면(S943), 이를 사용자에게 알린다(S950). Thereafter, an IP list of the stolen ID where the password change attempt has been made is generated (S941) or a stolen ID list is generated (S943), and the user is notified of this (S950).
본 방법발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.The method of the present invention can also be embodied as computer readable code on a computer readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Examples of the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like. The computer-readable recording medium may also be distributed over a networked computer system so that computer readable code can be stored and executed in a distributed manner.
이제까지 본 발명에 대하여 그 바람직한 실시예를 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다.The present invention has been described above with reference to preferred embodiments thereof. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.
그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 균등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is defined by the appended claims rather than by the foregoing description, and all differences within the scope of equivalents thereof should be construed as being included in the present invention.
Claims (13)
기설정된 시간 내에 발생한 로그인 시도에서 로그인 로그데이터를 로그인ID별로 저장하는 단계;
기설정된 기간동안 누적된 로그인 로그데이터를 로그인ID 별로 분류하는 단계;
상기 분류된 로그인ID들 중 상기 기설정된 시간 내에 로그인을 시도한 로그인 ID와 로그인 로그데이터가 동일하고, 로그인에 성공한 로그인ID를 추출하는 단계;
상기 추출된 로그인ID를 IP별로 재분류하고, 상기 재분류된 IP별로 로그인 성공율, 비밀번호 변경률, IP/16 미스(miss)율, 에이전트(Agent) 미스율, 쿠키(Cookie) 미스율 정보 중 적어도 하나 이상의 정보를 계산하고 또한 복수의 정보를 계산할 때에는 각 정보별로 가중치를 부여하여 계산하는 단계;를 포함하는 것을 특징으로 하는 도용ID검출방법.A method for detecting a fraudulent ID at a web service provision server, the method comprising:
Storing login log data for each login ID in a login attempt occurring within a predetermined time;
Classifying login log data accumulated for a predetermined period by login ID;
Extracting a log-in ID that is the same as the log-in ID in which the log-in attempted to log in within the predetermined period of time and log-in log data, and succeeded in log-in;
The login ID is reclassified for each IP and at least one of the login success rate, the password change rate, the IP / 16 miss rate, the agent miss rate, and the cookie miss rate information for each of the reclassified IPs Calculating a weighted value for each piece of information when calculating information and calculating a plurality of pieces of information.
상기 로그인 시도시 남겨지는 로그인 ID 정보, IP 정보, IP/16 정보, 에이전트 정보, 쿠키 정보, 패스워드 정보, 로그인 성공여부 정보 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 도용ID검출방법.The method according to claim 1, wherein the login log data
Wherein the login information includes at least one of login ID information, IP information, IP / 16 information, agent information, cookie information, password information, and login success / failure information remaining at the login attempt.
상기 분류된 로그인ID별로 IP/16 정보, 에이전트 정보 및 쿠키 정보가 상기 기설정된 시간 내에 로그인을 시도한 로그인 ID의 IP/16 정보, 에이전트 정보 및 쿠키 정보와 일치하는지 여부를 기준으로 상기 로그인 로그데이터가 동일한지 여부를 판단하는 것을 특징으로 하는 도용ID검출방법.The method of claim 1, wherein extracting the login ID comprises:
The log-log data is generated based on whether the IP / 16 information, the agent information, and the cookie information match the IP / 16 information, the agent information, and the cookie information of the log-in attempting to log in within the predetermined time Whether the IDs are the same or not.
상기 재분류된 IP별로 상기 로그인 성공율, IP/16 미스(miss)율, 에이전트(Agent) 미스율 및 쿠키(Cookie) 미스율을 계산하여 아이디도용IP목록리스트를 생성하는 단계;를 더 포함하는 것을 특징으로 하는 도용ID검출방법.2. The method of claim 1, wherein the calculating
Further comprising the step of generating a list of ID stealing IP lists by calculating the login success rate, the IP / 16 miss ratio, the agent miss rate, and the cookie mis-rate for each of the reclassified IPs, The method comprising:
상기 재분류된 IP별로 비밀번호 변경률, IP/16 미스(miss)율, 에이전트(Agent) 미스율 및 쿠키(Cookie) 미스율을 계산하여 비밀번호변경IP리스트를 생성하는 단계;를 더 포함하는 것을 특징으로 하는 도용ID검출방법.2. The method of claim 1, wherein the calculating
And generating a password change IP list by calculating a password change rate, an IP / 16 miss rate, an agent miss rate, and a cookie miss rate for each of the reclassified IPs A method for detecting a forgery ID.
상기 기설정된 기간은 현행법하에서 웹서비스제공서버에서 개인정보를 보유하도록 허용되는 최장기간 이하로 설정되는 것을 특징으로 하는 도용ID검출방법.The method according to claim 1,
Wherein the predetermined period is set to be equal to or less than a longest period allowed to hold personal information in the web service provision server under the current law.
상기 기설정된 시간 주기로 로그인ID별로 로그인 로그데이터를 갱신 및 저장하는 것을 특징으로 하는 도용ID검출방법.2. The method of claim 1, wherein storing login log data comprises:
Wherein the login log data is updated and stored by the login ID at the predetermined time period.
로그인ID별로 분류된 기설정된 시간이내에 저장된 로그인 로그데이터와 로그인ID별로 분류된 기설정된 기간 동안 누적적으로 저장된 로그인 로그데이터를 비교하여 일치하는지 판단하는 비교부;
상기 기설정된 시간이내에 저장된 로그인 로그데이터를 IP기준으로 재분류하는 IP분류부;및
상기 재분류된 IP별로 상기 로그인 성공율, IP/16 미스(miss)율, 에이전트(Agent) 미스율 및 쿠키(Cookie) 미스율 중 적어도 하나 이상의 정보를 계산하여 로그인ID 도용이 추정되는 아이디도용 IP목록리스트를 생성하는 아이디도용IP리스트생성부;를 포함하고, 상기 아이디도용IP리스트생성부는 상기 재분류된 IP별로 상기 로그인 성공율, IP/16 미스(miss)율, 에이전트(Agent) 미스율 및 쿠키(Cookie) 미스율 중 복수의 정보를 계산할 때에는 각 정보별로 가중치를 부여하여 계산하는 것을 특징으로 하는 도용ID검출장치.A login ID classifying unit for classifying login log data stored within a predetermined time and log log data cumulatively stored for 90 days by login ID;
A comparison unit comparing the log-in log data stored within a predetermined time period classified by the log-in ID with the log-log data stored cumulatively for a predetermined period classified by the log-in ID, and determining whether they match;
An IP classification unit for reclassifying login log data stored within the preset time to an IP standard;
The information processing apparatus according to any one of claims 1 to 3, further comprising: an information obtaining unit configured to calculate at least one of the login success rate, the IP / 16 miss rate, the agent miss rate, and the cookie miss rate for each reclassified IP, Wherein the ID stealing IP list generating unit generates the ID stealing IP list generating unit, wherein the ID stealing IP list generating unit generates the ID stealing IP list for each of the recalled IP success rate, the IP / 16 miss rate, the agent miss rate, and the cookie mistake rate The weighted value of each piece of information is calculated and calculated.
상기 아이디도용 IP목록리스트 또는 상기 비밀번호변경 IP목록리스트에서 로그인에 성공한 로그인ID들을 추출하여 해당 사용자에게 도용사실을 통보하는 도용알림부;를 더 포함하는 것을 특징으로 하는 도용ID검출장치.11. The method of claim 10,
Further comprising a fraud notification unit for extracting log-in IDs succeeding in log-in from the ID-falsification IP list or the password-changing IP list and notifying the user of the fraudulent use.
로그인 ID 정보, IP 정보, IP/16 정보, 에이전트 정보, 쿠키 정보, 패스워드 정보, 로그인 성공여부 정보 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 도용ID검출장치.The method according to claim 9, wherein the login log data
Wherein the authentication information includes at least one of login ID information, IP information, IP / 16 information, agent information, cookie information, password information, and login success / failure information.
상기 로그인ID별로 IP/16 정보, 에이전트 정보 및 쿠키 정보가 일치하는지 여부를 비교하는 것을 특징으로 하는 도용ID검출장치. 10. The apparatus of claim 9, wherein the comparing unit
And comparing whether the IP / 16 information, the agent information, and the cookie information coincide with each other by the login ID.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140065336A KR101565942B1 (en) | 2014-05-29 | 2014-05-29 | Method and Apparatus for detecting ID theft |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140065336A KR101565942B1 (en) | 2014-05-29 | 2014-05-29 | Method and Apparatus for detecting ID theft |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101565942B1 true KR101565942B1 (en) | 2015-11-04 |
Family
ID=54600260
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140065336A KR101565942B1 (en) | 2014-05-29 | 2014-05-29 | Method and Apparatus for detecting ID theft |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101565942B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112445785A (en) * | 2019-08-30 | 2021-03-05 | 深信服科技股份有限公司 | Account blasting detection method and related device |
US11244266B2 (en) * | 2017-12-26 | 2022-02-08 | Mitsubishi Electric Corporation | Incident response assisting device |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100982254B1 (en) | 2008-06-23 | 2010-09-15 | 엘지전자 주식회사 | System and method for processing log-in request |
-
2014
- 2014-05-29 KR KR1020140065336A patent/KR101565942B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100982254B1 (en) | 2008-06-23 | 2010-09-15 | 엘지전자 주식회사 | System and method for processing log-in request |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11244266B2 (en) * | 2017-12-26 | 2022-02-08 | Mitsubishi Electric Corporation | Incident response assisting device |
CN112445785A (en) * | 2019-08-30 | 2021-03-05 | 深信服科技股份有限公司 | Account blasting detection method and related device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10965668B2 (en) | Systems and methods to authenticate users and/or control access made by users based on enhanced digital identity verification | |
US10356099B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network using identity services | |
US10187369B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network based on scanning elements for inspection according to changes made in a relation graph | |
US10250583B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network using a graph score | |
CN105577608B (en) | Network attack behavior detection method and device | |
CN105939326B (en) | Method and device for processing message | |
CN106797371B (en) | Method and system for user authentication | |
EP3203403B1 (en) | Method, apparatus and system for securing web services | |
WO2019079708A1 (en) | Enhanced system and method for identity evaluation using a global score value | |
US9800574B2 (en) | Method and apparatus for providing client-side score-based authentication | |
CN109698809B (en) | Method and device for identifying abnormal login of account | |
JP2015207241A (en) | user authentication system | |
JP2015225500A (en) | Authentication information theft detection method, authentication information theft detection device, and program | |
CN110798488B (en) | Web application attack detection method | |
CN112714093A (en) | Account abnormity detection method, device and system and storage medium | |
US20170171188A1 (en) | Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus | |
CN107124420A (en) | Auth method and device | |
CN106209905B (en) | Network security management method and device | |
US10542434B2 (en) | Evaluating as to whether or not a wireless terminal is authorized | |
US10956543B2 (en) | System and method for protecting online resources against guided username guessing attacks | |
KR101565942B1 (en) | Method and Apparatus for detecting ID theft | |
CN110502896B (en) | Leakage monitoring method and system for website information and related device | |
KR101576993B1 (en) | Method and System for preventing Login ID theft using captcha | |
KR101900494B1 (en) | Method and apparatus for detecting the steeling of identifier | |
US11704679B2 (en) | Adaptive validation and remediation systems and methods for credential fraud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20181008 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20191001 Year of fee payment: 5 |