KR101576993B1 - Method and System for preventing Login ID theft using captcha - Google Patents

Method and System for preventing Login ID theft using captcha Download PDF

Info

Publication number
KR101576993B1
KR101576993B1 KR1020140059178A KR20140059178A KR101576993B1 KR 101576993 B1 KR101576993 B1 KR 101576993B1 KR 1020140059178 A KR1020140059178 A KR 1020140059178A KR 20140059178 A KR20140059178 A KR 20140059178A KR 101576993 B1 KR101576993 B1 KR 101576993B1
Authority
KR
South Korea
Prior art keywords
login
threshold value
log
adaptation threshold
information
Prior art date
Application number
KR1020140059178A
Other languages
Korean (ko)
Other versions
KR20150131846A (en
Inventor
김회록
Original Assignee
네이버 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 네이버 주식회사 filed Critical 네이버 주식회사
Priority to KR1020140059178A priority Critical patent/KR101576993B1/en
Publication of KR20150131846A publication Critical patent/KR20150131846A/en
Application granted granted Critical
Publication of KR101576993B1 publication Critical patent/KR101576993B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 캡차를 이용한 아이디도용 차단방법 및 차단 시스템에 관한 것이다. 본 발명에서는 IP의 특성에 따라 캡차를 제공하는 시기를 가변적으로 제공함으로써 도난빈도가 높은 IP에 대해 도난 가능성을 사전에 차단하는 효과를 높일 수 있다.The present invention relates to a blocking method and a blocking system for ID stealing using a capcha. According to the present invention, since the timing of providing the capcha is variably provided according to the characteristics of the IP, it is possible to enhance the effect of blocking the possibility of the theft of the IP with high frequency of theft in advance.

Description

캡차를 이용한 아이디도용 차단방법 및 차단 시스템{Method and System for preventing Login ID theft using captcha}[0001] The present invention relates to a method and a system for preventing identity theft using a camera,

본 발명은 캡차를 이용한 아이디도용 차단방법 및 차단 시스템에 관한 것이다. The present invention relates to a blocking method and a blocking system for ID stealing using a capcha.

캡차(CAPTCHA, Completely Automated Public Turing test to tell Computers and Humans Aparts)는 웹서버에 액세스한 사용자에게 캡차 문제를 제공하고, 상기 캡차 문제에 상응하는 응답을 제공한 사용자만 상기 웹서버를 이용할 수 있도록 한다. A CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Aparts) provides a CAPTCHA problem to a user who accesses a web server and allows only the user who provided a response corresponding to the CAPTCHA problem to use the web server .

캡차는 자동화된 프로그램이 해결하기 어려운 문제를 제공함으로써, 자동화된 프로그램이 상기 웹서버를 이용하는 것을 차단하고, 실제 사람만 상기 웹서버를 이용할 수 있도록 한다. 자동화된 프로그램은 보트 프로그램(Bot Program) 등일 수 있다. 즉, 캡차 방식은 사람이 쉽게 풀 수 있지만 현재의 컴퓨터 기술로는 풀 수 없는 테스트를 통하여 응답자가 실제 인간인지 혹은 컴퓨터 프로그램인지를 구별하기 위해 사용된다. The cap car provides an issue that is difficult for an automated program to solve, thereby preventing an automated program from using the web server and allowing only the actual person to use the web server. An automated program can be a bot program or the like. In other words, the Capcha method is used to distinguish whether a respondent is a real human or a computer program through a test that can be easily solved by a person but can not be solved by current computer technology.

이와 같은 캡차 방식은 웹에서의 보안 문제에 대한 효과적인 해결책으로서 중대한 역할을 해 왔다. 예를 들어, 어떤 사용자가 웹사이트에 접속하여 아이디를 생성하려는 경우(회원 가입) 해당 사용자에게 캡차 테스트를 제시하고, 제시된 테스트에 대해 정답을 응답한 사용자만이 아이디를 생성할 수 있도록 한다. 이를 통해, 악의적인 해킹 프로그램(Bot Program)에 의한 아이디 자동 생성을 방지하여 스팸 메일 발송 및 설문조사결과 조작 등을 방지 할 수 있다.Such a CAPTCHA approach has played an important role as an effective solution to security problems on the Web. For example, if a user accesses a website to create an ID (subscription), the user is presented with a CAPTCHA test and only the user who has answered the correct answer for the presented test can generate the ID. Through this, it is possible to prevent the automatic generation of the ID by a malicious hacking program (Bot Program), thereby preventing the sending of spam and manipulation of the survey result.

KR 2012-0056748KR 2012-0056748

본 발명의 바람직한 일 실시예에서는 아이디를 도용하고자 하는 도용 시도를 무력화 하여 사용자의 개인정보를 보호하고자 한다. In a preferred embodiment of the present invention, a user attempts to steal an identity by disabling an attempt to steal an ID, thereby protecting the user's personal information.

본 발명의 바람직한 일 실시예로서 웹서비스 제공장치에서 캡차를 이용한 아이디도용 차단방법은 과거 기설정된 기간동안 1일 단위로 로그인 실패가 발생한 회수를 누적한 정보를 이용하여, IP별로 1일단위 로그인실패통계값을 생성하는 단계; IP별로 각각 상기 1일단위 로그인실패통계값을 반영하여, 로그인 시도 회수를 제한한 적응임계값(Adaptable Threshold)을 설정하는 단계; IP별로 각각 로그인 실패회수를 카운팅하여 상기 적응임계값을 초과하는 경우 캡차(Captcha)를 제공하는 단계;및 상기 적응임계값을 1일 단위로 업데이트하는 단계;를 포함하고, 이 경우 상기 적응임계값은 IP별로 각각 상이하게 설정되는 것을 특징으로 한다. As a preferred embodiment of the present invention, in the Web service providing apparatus, the ID shoplifting method using the CAPTCHA is performed by using information obtained by accumulating the number of times that the login failure has occurred in the unit of one day in the past predetermined period, Generating a statistical value; Setting an adaptable threshold value that limits the number of log-in attempts by reflecting the daily log-on failure statistic value for each IP; IP, and providing a captcha when the number of failed login attempts exceeds the adaptation threshold value, and updating the adaptation threshold value in units of one day. In this case, the adaptation threshold value Are set differently for each IP.

바람직하게, 적응임계값(Adaptable Threshold)을 설정하는 단계는 과거 기설정된 기간동안 누적된 로그인 로그데이터를 로지스틱 회귀분석 방법으로 분석하여, IP를 로그인 아이디 도용시도가 없었던 정상IP그룹, 로그인 아이디 도용시도가 발생했던 도용IP그룹, 과거 사용기록이 없는 무사용IP그룹으로 분류한 후, 상기 정상IP그룹, 상기 도용IP그룹, 상기 무사용IP그룹마다 각각 적응임계값을 상이하계 설정하는 것을 특징으로 한다. Preferably, the step of setting an adaptive threshold value comprises: analyzing login log data accumulated over a predetermined period of time in the past by a logistic regression analysis method to determine whether a normal IP group in which there is no attempt to use a login ID, The unauthorized IP group having no previous use record, and then setting the adaptive threshold value for each of the normal IP group, the forgery IP group, and the unused IP group differently from each other .

바람직하게, 상기 적응임계값은 IP별로 IP가 국내IP인지 해외IP인지 여부, 과거 기설정된 기간동안 도용시도 회수. 과거 기설정된 기간동안 전체 로그인 시도 중 도용시도의 비율, 과거 기설정된 기간동안 도용시도가 검출됐던 검출일의 비율, 과거 기설정된 기간동안 도용시도가 미검출된 미검출일의 비율 중 적어도 하나 이상을 추가로 반영하여 설정되는 것을 특징으로 한다. Preferably, the adaptation threshold value indicates whether the IP is a domestic IP or an overseas IP by IP, the number of times of abuse for a predetermined period of time. A ratio of detection attempts during a predetermined period of time, a ratio of detection days during which the attempted theft attempt was detected in the past predetermined period, and a ratio of undetected days in which no attempted theft attempt has been detected in the past predetermined period And is further reflected and set.

본 발명의 바람직한 일 실시예로서, 단말기에서 구현되는 인터넷 포털사이트에서 캡차를 이용한 아이디도용 차단방법은 IP별로 로그인 실패회수를 카운팅하는 단계; IP별로 카운팅된 로그인 실패회수가 적응임계값을 초과하면 캡차(Captcha)를 디스플레이에 표시하는 단계;및 상기 적응임계값을 1일 단위로 업데이트하는 단계;를 포함하는 단계를 포함하고, 상기 적응임계값은 IP별로 상이하게 설정되는 것을 특징으로 한다. As a preferred embodiment of the present invention, an ID shoplifting method using a CAPTCHA in an Internet portal site implemented in a terminal includes counting login failure counts by IP; Displaying a Capcha on the display if the number of login failures counted by IP exceeds the adaptation threshold; and updating the adaptation threshold in units of a day, wherein the adaptation threshold Values are set differently for each IP.

본 발명의 또 다른 바람직한 일 실시예로서, 캡차를 이용한 아이디도용 차단시스템은 IP별로 적응임계값을 생성하는 적응임계값생성부; IP별로 로그인 시도 회수를 저장하는 로그인관리부; IP별로 상기 로그인 시도 회수가 IP별로 할당된 상기 적응임계값을 초과하는지 판단하는 판단부; 및 상기 적응임계값을 초과한 IP로 캡차를 제공하는 캡차제공부;를 포함하고, 상기 적응임계값은 IP마다 로그인 시도 회수를 제한한 값인 것을 특징으로 한다. In another preferred embodiment of the present invention, an ID blocking system using a capcha includes an adaptive threshold value generation unit for generating an adaptive threshold value for each IP; A login manager for storing the number of login attempts by IP; A judging unit for judging whether the number of log-in attempts exceeds IP-allocated adaptation threshold value for each IP; And a cap carer for providing a cap car with an IP exceeding the adaptation threshold value, wherein the adaptation threshold value is a value that limits the number of login attempts per IP.

본 발명의 바람직한 일 실시예에서는 아이디를 도용하고자 하는 도용 시도를 무력화 하여 사용자의 개인정보를 보호하는 효과가 있다. In a preferred embodiment of the present invention, the user's personal information is protected by disabling the attempt to steal the identity.

본 발명의 바람직한 일 실시예에서는, IP별로 로그인 실패 허용 회수를 상이하게 설정하여 캡차를 제공하는 보안을 강화함으로써 아이디가 도용되는 것을 방지하는 효과가 있다. 또한, IP별로 1일 단위로 로그인 실패 허용 회수를 변경시킴으로써, 도난, 도용 등의 문제가 발생할 수 있는 상황에 적응적으로 대응할 수 있는 효과가 있다. In a preferred embodiment of the present invention, there is an effect of preventing the ID from being stolen by enhancing the security of providing the CAPTCHA by setting the number of allowed login failures different by IP. In addition, by changing the number of allowed log-in failures in units of one day for each IP, it is possible to adaptively cope with a situation where problems such as theft and theft can occur.

도 1 은 본 발명의 바람직한 일 실시예로서, 캡차를 이용한 아이디도용 차단 시스템의 내부 구성도를 도시한다.
도 2 (a) 내지 (c)는 정상 아이디와 도용 아이디에서 캡차 사용 회수 및 비율을 도시한다.
도 3 은 본 발명의 바람직한 일 실시예로서 검출된 도용시도 로그인 중 캡차의 비율을 도시한다.
도 4(a) 및 (b)는 본 발명의 바람직한 일 실시예로서, IP 통계 및 IP/24 통계를 이용하여 정상 IP와 도용 IP를 구분한 일 예를 도시한다.
도 5는 본 발명의 바람직한 일 실시예로서, IP/24 통계에서 구간별 로그인 성공 비율에 대한 로그인 실패 비율의 누적 비율을 도시한다.
도 6은 과거 사용기록이 없는 무사용IP그룹에 대해 IP분류별 통계 및 IP분류별 로그인시도를 파악하여 도용IP를 분류하는 일 예를 도시한다.
도 7은 본 발명의 바람직한 일 실시예로서, 아이디도용 차단 시스템에서 로그인 ID 별로 로그인데이터를 분류한 일 예를 도시한다.
도 8 은 캡차를 이용한 아이디도용 차단 시스템에서 IP별로 로그인 성공율, IP/24 미스(miss)율, 에이전트(Agent) 미스율, 쿠키(Cookie) 미스율 정보 중 적어도 하나 이상의 정보를 계산한 일 예를 도시한다.
도 9는 본 발명의 바람직한 일 실시예로서, 캡차를 이용한 아이디도용 차단 시스템의 일 예를 도시한다.
도 10은 본 발명의 바람직한 일 실시예로서, 캡차를 이용한 아이디도용 차단방법의 일 예를 도시한다.
도 11은 본 발명의 또 바람직한 일 실시예로서, 캡차를 이용한 아이디도용 차단방법의 일 예를 도시한다.
도 12는 본 발명의 바람직한 일 실시예로서, 도 9의 캡차를 이용한 아이디도용 차단 시스템에서 아이디도용 차단방법의 과정을 도시한다. FIG. 1 is a block diagram illustrating an internal configuration of an ID stealing interception system using a capcha according to an embodiment of the present invention.
Figs. 2 (a) to 2 (c) show the number of times of using the capcha in the normal ID and the ID of the stolen ID.
FIG. 3 illustrates a ratio of a captured car during a stealing attempt login detected as a preferred embodiment of the present invention.
4 (a) and 4 (b) illustrate an example of distinguishing a normal IP and a stolen IP using IP statistics and IP / 24 statistics according to a preferred embodiment of the present invention.
FIG. 5 shows a cumulative ratio of log-in failure ratios to log-in success ratios by interval in IP / 24 statistics, which is a preferred embodiment of the present invention.
FIG. 6 shows an example of classifying a stealth IP by grasping a log-on attempt according to IP classification and IP classification for an unused IP group having no history of use.
FIG. 7 illustrates an example of classifying log-in data by log-in ID in the ID-blocking system according to a preferred embodiment of the present invention.
FIG. 8 shows an example of calculating at least one or more information among the login success rate, the IP / 24 miss rate, the agent miss rate, and the cookie miss rate information by IP in the ID shoplifting system using the capcha .
FIG. 9 shows an example of an ID stealing interception system using a capsule, which is a preferred embodiment of the present invention.
FIG. 10 shows an example of a method for blocking an ID stealing using a capcha, which is a preferred embodiment of the present invention.
FIG. 11 is a block diagram illustrating an ID shading method using a CAPTCHA according to another embodiment of the present invention.
FIG. 12 is a flowchart illustrating a method for blocking an ID stealing in an ID stealing interception system using a cab of FIG. 9 according to an embodiment of the present invention.

도 1 은 본 발명의 바람직한 일 실시예로서, 캡차를 이용한 아이디도용 차단 시스템의 내부 구성도를 도시한다. FIG. 1 is a block diagram illustrating an internal configuration of an ID stealing interception system using a capcha according to an embodiment of the present invention.

캡차를 이용한 아이디도용 차단 시스템(100)은 적응임계값 생성부(110), 로그인관리부(120), 판단부(130) 및 캡차제공부(140)를 포함한다. The ID shading blocking system 100 using a CAPTCHA includes an adaptation threshold value generation unit 110, a log-in management unit 120, a determination unit 130, and a cap-

본 발명의 바람직한 일 실시예로서, 캡차를 이용한 아이디도용 차단 시스템(100)은 IP별로 로그인 시도 실패회수에 대한 임계값을 상이하도록 설정이 가능하다. 본 발명의 바람직한 일 실시예에서는 이를 적응임계값이라 지칭한다. As a preferred embodiment of the present invention, the ID shovel blocking system 100 using a CAPTCHA can be set such that the threshold value for the number of unsuccessful login attempt attempts is different for each IP. In a preferred embodiment of the present invention this is referred to as an adaptation threshold.

도 2(a) 내지 (c)를 참고하면, 도용된 IP의 경우 캡차가 발생하는 비율이 90% 를 초과하는 것을 볼 수 있다. Referring to FIGS. 2 (a) to 2 (c), it can be seen that the ratio of occurrence of the cap difference in the case of the stolen IP exceeds 90%.

캡차를 이용한 아이디도용 차단 시스템(100)은 IP별로 적응임계값을 상이하게 설정하고, 설정된 적응임계값을 1일마다 갱신하여, 도용빈도가 높은 IP의 경우에는 적응임계값을 낮게 설정하고, 도용빈도가 낮은 IP의 경우에는 적응임계값을 높게 설정하도록 구현된다. The ID stealing interception system 100 using a CAPTCHA sets different adaptation threshold values for each IP and updates the set adaptation threshold values every day to set the adaptation threshold value to a low value for an IP with a high frequency of use, In the case of low frequency IP, the adaptation threshold value is set to be high.

바람직하게, 도용빈도가 높은 IP의 경우 2회의 로그인 실패가 발생하면 캡차를 제공하고, 도용빈도가 낮은 IP의 경우 6회의 로그인 실패가 발생하면 캡차를 제공하는 방식으로 구현이 가능하다. Preferably, an IP having a high frequency of occurrence may be implemented by providing a CAPTCHA when two login failures occur, and a CAPTCHA when providing a login failure of six times with an IP having a low theft frequency.

이를 위하여, 적응임계값 생성부(110)는 1일 단위로 IP별로 적응임계값을 각각 생성한다. 이 경우, 적응임계값 생성부(110)는 과거 기설정된 기간동안(예, 90일) 누적된 로그인 로그데이터를 로지스틱 회귀분석 방법으로 분석하여, IP를 로그인 아이디 도용시도가 없었던 정상IP그룹 및 로그인 아이디 도용시도가 발생했던 도용IP그룹으로 분류할 수 있다(도 4(a) 및 (b) 참고). 또한 추가적으로 과거 사용기록이 없는 무사용IP그룹으로 분류한 후, 정상IP그룹, 도용IP그룹, 무사용IP그룹마다 각각 적응임계값을 상이하게 설정할 수 있다. To this end, the adaptive threshold generator 110 generates an adaptive threshold value for each IP in units of one day. In this case, the adaptation threshold value generation unit 110 analyzes log-log data accumulated during a predetermined period (for example, 90 days) using a logistic regression analysis method, and transmits the IP to the normal IP group in which no login- It can be classified into a fraudulent IP group in which an ID stealing attempt has occurred (see FIGS. 4 (a) and 4 (b)). In addition, it is also possible to set different adaptation threshold values for the normal IP group, the stolen IP group, and the unused IP group after classifying them into an unused IP group having no past record.

본 발명의 바람직한 일 실시예로서, 적응임계값 생성부(110)에서 정상IP그룹의 적응임계값을 다음과 같이 설정할 수 있다. As a preferred embodiment of the present invention, the adaptive threshold generator 110 may set the adaptive threshold value of the normal IP group as follows.

* 정상IP그룹의 적응임계값=MAX(15,0.8*max(mean(로그인성공ID)+3*stdev(로그인성공ID), max(로그인성공ID)))* Adaptation threshold of normal IP group = MAX (15,0.8 * max (mean (login success ID) + 3 * stdev (login success ID), max (login success ID)))

또한, 적응임계값 생성부(110)에서 도용IP그룹의 적응임계값을 다음과 같이 설정할 수 있다. In addition, the adaptation threshold value generator 110 may set the adaptation threshold value of the forged IP group as follows.

* 도용IP그룹의 적응임계값= MAX(5,0.5*max(mean(로그인성공ID)+3*stdev(로그인성공ID), max(로그인성공ID)))* Adaptation threshold of the stolen IP group = MAX (5,0.5 * max (mean (login success ID) + 3 * stdev (login success ID), max (login success ID)))

적응임계값 생성부(110)는 이 외에 IP별로 로그인관리부(120)에서 저장한 로그인 시도 회수, 로그인 시도시 로그인 성공 회수, 로그인 시도시 로그인 실패 회수 및 캡차제공 회수 중 적어도 하나 이상을 1일 단위로 누적하여 적응임계값을 생성할 때 추가적으로 반영할 수 있다. The adaptation threshold value generation unit 110 may generate at least one of the number of log-in attempts stored in the log management unit 120 for each IP, the number of successful log-in attempts, the number of unsuccessful log-in attempts, And can be additionally reflected when the adaptive threshold value is generated.

로그인관리부(120)는 IP별로 로그인 시도 회수를 저장하고, 로그인 시도 중 로그인 실패 회수 및 로그인 시도 중 로그인 성공회수에 대한 정보를 저장하도록 구현이 가능하다. The login management unit 120 may store the number of log-in attempts by IP, and may store information about the number of log-in failures and the number of successful log-in attempts during log-in attempts.

판단부(130)는 적응임계값 생성부(110)에서 생성한 IP별 적응임계값 테이블(도 9, S910 참고) 또는 적응임계값DB를 미리 저장하도록 구현된다. 이 후, 로그인관리부(120)로부터 IP 별로 로그인 시도가 실패된 회수에 대한 정보를 수신하여 저장한다(도 9, S920 참고). The determination unit 130 is configured to previously store the IP-specific adaptive threshold table (see FIG. 9, S910) or the adaptive threshold value DB generated by the adaptive threshold generator 110 in advance. Thereafter, the login manager 120 receives and stores information about the number of unsuccessful login attempts by IP (refer to FIG. 9, S920).

판단부(130)에서는 IP별로 로그인 시도 실패 회수가 기저장된 적응임계값(도 9, S910 참고)을 초과하는지 여부를 판단한다. 캡차제공부(140)에서는 판단부(130)에서 적응임계값을 초과한 IP에 캡차를 제공한다. The determination unit 130 determines whether the number of unsuccessful log-in attempt attempts by IP exceeds the pre-stored adaptive threshold value (see FIG. 9, S910). In the cap subtraction study 140, the determination unit 130 provides the capcha to the IP exceeding the adaptation threshold value.

도 2 (a) 내지 (c)는 정상 아이디와 도용 아이디에서 캡차 사용 회수 및 비율을 도시한다. Figs. 2 (a) to 2 (c) show the number of times of using the capcha in the normal ID and the ID of the stolen ID.

도 2 (a)는 로그인 실패 회수가 5회 이상되는 IP 중 정상 로그인 시도와 도용 로그인 시도를 각각 도시한다. 전체 로그인 ID 중 4,146,175건은 정상 로그인 시도로 2,624,322는 도용 로그인 시도로 검출되었다. 2 (a) shows a normal log-in attempt and a log-on log-in attempt among the IPs whose login failure count is five or more times. 4,146,175 out of all login IDs were detected as normal login attempts and 2,624,322 as fraudulent login attempts.

도 2(b)는 도 2(a)에서 캡차가 뜰것으로 예상되는 회수를 나타내고, 도 2(c)는 캡차의 비율을 도시한다. Fig. 2 (b) shows the number of times the cap difference is expected to appear in Fig. 2 (a), and Fig. 2 (c) shows the ratio of the cap sensor.

도 2(b)를 참고하면, 정상 로그인 시도에서는 1,966건의 캡차가 뜰것으로 예상되고, 도용 로그인 시도에서는 2,463,253 건의 캡차가 뜰것으로 예상된다. 도 2(c)를 참고하면, 정상 로그인 시도에서 캡차의 비율은 0.05%인 반면, 도용 로그인 시도에서 캡차의 비율은 93.86%에 달한다. Referring to FIG. 2 (b), it is expected that 1,966 cap cars will be displayed in the normal login attempt, and 2,463,253 cap cars in the login attempt. Referring to FIG. 2 (c), the ratio of the capcha in the normal login attempt is 0.05%, while the ratio of the capcha in the stealing login attempt is 93.86%.

이를 참고하면, 도용 로그인 시도에서는 캡차의 비율이 상당히 높은 것으로 파악되는 바, 본 발명의 바람직한 일 실시예에서는 로그인 시도 중 실패 회수를 반영하여 캡차를 더 빠르게 제공함으로서 도용시도를 초기에 무력화 할 수 있다. It can be seen from the above that the ratio of the capcha is considerably high in the forgery log-on attempt, and in the preferred embodiment of the present invention, .

도 3 은 본 발명의 바람직한 일 실시예로서 검출된 도용시도 로그인 중 캡차의 비율을 도시한다. 도 3은 2013년 11월부터 2014년 2월 동안 검출된 도용시도 로그인 중 캡차가 뜬 실제 비율의 일 예를 도시한다. FIG. 3 illustrates a ratio of a captured car during a stealing attempt login detected as a preferred embodiment of the present invention. Figure 3 shows an example of the actual rate at which a cap difference occurs during the attempted hijacking attempt detected during the period from November 2013 to February 2014.

도 4(a) 및 (b)는 본 발명의 바람직한 일 실시예로서, IP 통계 및 IP/24 통계를 이용하여 정상 IP와 도용 IP를 구분한 일 예를 도시한다.4 (a) and 4 (b) illustrate an example of distinguishing a normal IP and a stolen IP using IP statistics and IP / 24 statistics according to a preferred embodiment of the present invention.

도 4(a) 및 (b)에서 x축은 로지스틱 회귀분석으로 분석시 도용IP 일 확률값을 나타내고, y축은 정상IP의 누적비율을 나타낸다. 4 (a) and 4 (b), the x-axis represents the probability of the stealing IP at the time of analysis by the logistic regression analysis, and the y-axis represents the cumulative ratio of the normal IP.

IP 통계 및 IP/24에 로지스틱 회귀분석을 적용하면, 정상 IP(410)의 경우 도용IP일 확률값이 낮으므로, 누적 비율값이 일정하다. 그러나, 도용IP(420)의 경우 도용IP일 확률값이 높으므로, 도용IP 확률값이 낮은 0.1~0.8 구간에서는 누적비율값이 낮게 유지되다가 도용IP 확률값이 높은 0.9 구간부터 누적 비율이 갑작스럽게 증가하는 것을 볼 수 있다. Applying IP statistic and logistic regression analysis to IP / 24, the probability of stealing IP is low for normal IP 410, so the cumulative value is constant. However, since the stolen IP 420 has a high probability of being stolen, the cumulative ratio is kept low in the range of 0.1 to 0.8 where the stolen IP probability value is low, and the cumulative ratio is suddenly increased from 0.9 when the stolen IP probability is high can see.

도 5의 그래프에서 x 축은 IP/24에서 "일별 평균 로그인 실패ID/일별 평균 로그인 성공 ID" 비율을 나타내고, y 축은 누적비율을 나타낸다. 도 5의 그래프를 참고하면 일별로 로그인에 성공한 ID 에 대한 로그인에 실패한 ID의 비율을 알 수 있다. In the graph of FIG. 5, the x-axis represents the ratio of "average login failure ID / daily average login success ID per day" at IP / 24, and the y-axis represents the cumulative ratio. Referring to the graph of FIG. 5, it is possible to know the ratio of the failed IDs to the IDs that successfully log in each day.

도 5를 참고하면, IP/24에서 "일별 평균 로그인 실패ID/일별 평균 로그인 성공 ID" 비율이 0.3 이상으로 커질수록 로그인 시도 누적비중이 50%를 초과하고, "일별 평균 로그인 실패ID/일별 평균 로그인 성공 ID" 비율이 0.35를 초과하는 경우 로그인 시도 누적비중이 80%를 초과하는 것을 볼 수 있다. Referring to FIG. 5, as the ratio of "average daily log-in failure ID / daily average log-in success ID" per day in IP / 24 becomes larger than 0.3, the cumulative logon load ratio exceeds 50% Login success ID "ratio exceeds 0.35, it can be seen that the cumulative proportion of login attempts exceeds 80%.

도 6은 과거 사용기록이 없는 무사용IP그룹에 대해 IP분류별 통계 및 IP분류별 로그인시도를 파악하여 도용IP를 분류하는 일 예를 도시한다.FIG. 6 shows an example of classifying a stealth IP by grasping a log-on attempt according to IP classification and IP classification for an unused IP group having no history of use.

도 6 의 일 실시예는 과거 기설정된 기간(예, 70일, 2013년 11월 25일에서 2014년 2월 2일간)동안 IP/24 기록이 없는데, 2014년 2월 3일에 나타난 IP에 대한 조사 결과의 일 예이다. One embodiment of FIG. 6 shows that there is no IP / 24 record for a predetermined period of time (e.g., 70 days, November 25, 2013 to February 2, 2014) This is an example of the survey result.

본 발명의 바람직한 일 실시예에서는 과거 사용기록이 없는 무사용IP그룹에 대해 적응임계값을 설정할 때 국내에서 사용된 IP의 개수, 그리고 이중 로그인에 성공한 ID의 개수를 검출한다. 마찬가지로 해외에서 사용된 IP의 개수, 그리고 이중 로그인에 성공한 ID의 개수를 검출한다. 그 후, 국내 및 해외에서 도용 빈도를 파악한다. 이상의 과정을 적응 임계값 설정에 반영이 가능하다.In a preferred embodiment of the present invention, when setting an adaptation threshold value for an unused IP group having no past use record, the number of IPs used in Korea and the number of successful IDs are detected. Similarly, it detects the number of IPs used abroad and the number of IDs that succeeded in double login. After that, we determine the frequency of theft in Korea and overseas. The above process can be reflected in the adaptive threshold setting.

도 7 내지 8은 도용시도를 판단하기 위한 일 예를 도시한다. 본 발명의 바람직한 일 실시예에서 아이디도용 차단 시스템은 도 7과 같이 로그인ID별로 24시간이내에 저장된 로그인 로그데이터의 IP/16 정보, 에이전트 정보 및 쿠키 정보와, 90일동안 누적적으로 저장된 로그인 로그데이터의 IP/16 정보, 에이전트 정보 및 쿠키 정보를 비교하여 일치하는 로그인ID를 검출한다. 이 후, 도 8과 같이 검출된 로그인ID들을 IP별로 재분류한 후, 도용시도를 판단하기 위한 변수들을 계산한다.7 to 8 show an example for judging a stealing attempt. In the preferred embodiment of the present invention, the ID stealing blocking system is configured such that the IP / 16 information, the agent information and the cookie information of the login log data stored within 24 hours for each login ID, the login log data stored cumulatively for 90 days IP / 16 information, agent information, and cookie information of the login ID, and detects a matching login ID. Thereafter, the login IDs are reclassified for each IP as shown in FIG. 8, and the parameters for determining the abuse attempt are calculated.

도 8 은 캡차를 이용한 아이디도용 차단 시스템에서 IP별로 로그인 성공율, IP/24 미스(miss)율, 에이전트(Agent) 미스율, 쿠키(Cookie) 미스율 정보 중 적어도 하나 이상의 정보를 계산한 일 예를 도시한다. FIG. 8 shows an example of calculating at least one or more information among the login success rate, the IP / 24 miss rate, the agent miss rate, and the cookie miss rate information by IP in the ID shoplifting system using the capcha .

도 8을 참고하면, 재분류된 IP별로 로그인 성공율(S_rate), IP/16 미스율(IP_miss), 에이전트 미스율(Agent_miss) 및 쿠키 미스율(Cookie_miss) 중 적어도 하나 이상을 계산하여 로그인ID 도용이 추정되는 아이디도용 IP목록리스트를 생성한다. 8, at least one of the login success rate (S_rate), the IP / 16 miss rate (IP_miss), the agent miss rate (Agent_miss) and the cookie mistake rate (Cookie_miss) is calculated for each reclassified IP, Create a list of forged IP lists.

예를 들어, IP가 3.3.1.3 인 경우 로그인 성공율(S_rate)이 10%로 매우 낮고, IP/16 미스율(IP_miss)이 90%, 에이전트 미스율(Agent_miss)이 95%, 그리고 쿠키 미스율(Cookie_miss)이 90%임을 알 수 있다. For example, if the IP is 3.3.1.3, the login success rate (S_rate) is very low at 10%, the IP / 16 miss rate (IP_miss) is 90%, the agent miss rate (Agent_miss) is 95%, and the cookie mistake rate (Cookie_miss) 90%. ≪ / RTI >

이 경우 기설정된 특정 조건을 만족하는 경우 로그인ID 도용으로 추정할 수 있다. 예를 들어, 로그인 성공율(S_rate)이 30%이하이면서 동시에 IP/16 미스율(IP_miss)이 80% 이상인 경우, 로그인 성공율(S_rate)이 30%이하이면서 동시에 에이전트 미스율(Agent_miss)이 70% 이상인 경우, 로그인 성공율(S_rate)이 20%이하이면서 동시에 쿠키 미스율(Cookie_miss)이 80%이상인 경우 등의 조건 중 적어도 하나 이상을 특정 조건으로 설정할 수 있다.In this case, it can be estimated that the login ID is stolen if the predetermined condition is satisfied. For example, when the login success rate S_rate is 30% or less and the IP / 16 misfire rate IP_miss is 80% or more, the login success rate S_rate is 30% or less and the agent misissue Agent_miss is 70% A case where the login success rate (S_rate) is 20% or less and at the same time the cookie mistake rate (Cookie_miss) is 80% or more can be set as a specific condition.

웹서비스 제공 서버에서 도용ID 추정 조건을 로그인 성공율(S_rate)이 30%이하이면서 동시에 에이전트 미스율(Agent_miss)이 70% 이상인 경우로 설정한 경우 도 8에 도시된 3.3.1.3 IP는 도용IP로 추정된다. When the web service provision server sets the stolen ID estimation condition to a case where the login success rate (S_rate) is 30% or less and the agent misissuation rate (Agent_miss) is 70% or more, 3.3.1.3 IP shown in FIG. 8 is estimated to be a stealing IP .

도 9는 본 발명의 바람직한 일 실시예로서, 캡차를 이용한 아이디도용 차단 시스템의 일 예를 도시한다. 도 12는 본 발명의 바람직한 일 실시예로서, 도 9의 캡차를 이용한 아이디도용 차단 시스템에서 아이디도용 차단방법의 과정을 도시한다. FIG. 9 shows an example of an ID stealing interception system using a capsule, which is a preferred embodiment of the present invention. FIG. 12 is a flowchart illustrating a method for blocking an ID stealing in an ID stealing interception system using a cab of FIG. 9 according to an embodiment of the present invention.

도 9 및 12를 참고하여 캠차를 이용한 아이디 도용 차단방법을 기술하면 다음과 같다. 도 1 과 연관하여, 도 9를 살펴보면 도 1의 적응임계값 생성부(도 1, 110 참고)은 도 9의 IP Threshold maker 서버(910)로, 도 1의 로그인관리부(120)는 도 9의 Login Server(920)로, 도 1의 판단부(130)는 도 9의 Decision Server(930)로, 도 1의 캡차제공부(140)는 도 9의 Captcha IP Server(940)의 형태로 구현이 가능하다. Referring to FIGS. 9 and 12, a method for blocking an ID stealing using a camcorder will be described as follows. Referring to FIG. 1, the adaptation threshold value generator (see FIG. 1, 110) of FIG. 1 is an IP Threshold maker server 910 of FIG. 9, and the login manager 120 of FIG. The deciding server 130 of FIG. 1 may be implemented as the Decision Server 930 of FIG. 1 and the Capping Server 140 of FIG. 1 may be implemented as a Captcha IP Server 940 of FIG. It is possible.

도 9를 참고하여 설명하면 아래와 같다. Referring to FIG. 9, description will be made below.

본 발명의 바람직한 일 실시예로서, IP Threshold maker 서버(910)에서는 1일마다 각 IP에 대한 적응임계값을 갱신한다(S910). As a preferred embodiment of the present invention, the IP Threshold maker server 910 updates the adaptation threshold value for each IP every day (S910).

또한 IP Threshold maker 서버(910)는 IP(S910)들을 로그인 아이디 도용시도가 없었던 정상IP그룹, 로그인 아이디 도용시도가 발생했던 도용IP그룹, 과거 사용기록이 없는 무사용IP그룹으로 분류한 후, 정상IP그룹, 상기 도용IP그룹, 무사용IP그룹마다 각각 적응임계값을 상이하계 설정하도록 구현될 수 있다. In addition, the IP Threshold maker server 910 classifies the IPs (S910) into a normal IP group in which no login ID hijacking attempt is made, a hijacked IP group in which the login ID hijacking attempt has occurred, The adaptive threshold value may be set differently for each of the IP group, the forgery IP group, and the unused IP group.

이 후, IP Threshold maker 서버(910)는 IP별 적응임계값을 Decision Server(930)로 전송하고, Decision Server(930)에서는 1일마다 IP Threshold maker 서버(910)로부터 적응임계값(S920)을 수신하여 갱신한다. Thereafter, the IP Threshold maker server 910 transmits the IP-specific adaptation threshold value to the Decision Server 930, and the Decision Server 930 transmits the adaptation threshold value S920 from the IP Threshold maker server 910 every day And updates it.

사용자가 ID 및 패스워드를 입력하여 로그인 서버(920)로 접속을 시도하면 로그인 서버(920)에서는 사용자의 로그인 실패 회수를 누적하여 Decision Server(930)로 전송한다. When the user attempts to access the login server 920 by inputting the ID and the password, the login server 920 cumulatively transmits the number of login failures of the user to the Decision Server 930.

Decision Server(930)에서는 로그인 서버(920)로부터 수신한 사용자의 로그인 시도가 Decision Server(930)에서 관리하는 적응임계값(S920)을 초과하는 경우, Captcha IP Server(940)로 이 사실을 통지한다. When the user's login attempt received from the login server 920 exceeds the adaptation threshold value S920 managed by the Decision Server 930, the Decision Server 930 notifies the Captcha IP Server 940 of this fact .

Captcha IP Server(940)는 Decision Server(930)로부터 로그인 실패회수가 적응임계값을 초과했다는 사실을 통지받으면, 로그인 서버(920)로 캡차를 제공한다. 로그인 서버(920)에서는 사용자에게 캡차와 ID 및 비밀번호를 입력하라는 창을 띄운다. The Captcha IP Server 940 provides a CAPTCHA to the login server 920 when it is notified from the Decision Server 930 that the number of unsuccessful login attempts has exceeded the adaptation threshold value. The login server 920 prompts the user to input the CAPTCHA, the ID and the password.

도 12 는 본 발명의 바람직한 일 실시예로서, 도 9의 각 서버간 흐름도를 도시한다. FIG. 12 shows a flowchart of each server in FIG. 9 as a preferred embodiment of the present invention.

도 9에 도시된 것은 본 발명의 이해를 돕기 위한 일 실시예일 뿐, 도 1 의 각 구성이 도 9와 같은 실시예로 제한되는 것이 아님을 유의하여야 한다. 또한 도 1의 각 구성이 도 9와 같이 복수의 장치로 구현될 수도 있으나, 단일 통합장치로 구현이 가능함을 유의하여야 한다. It should be noted that the configuration shown in FIG. 9 is only one embodiment for facilitating understanding of the present invention, and the configuration shown in FIG. 1 is not limited to the embodiment shown in FIG. 1 may be implemented by a plurality of devices as shown in FIG. 9, but it should be noted that the present invention can be implemented by a single integrated device.

도 12에서 IP Threshold maker 서버(1230)은 1일 1회씩 적응임계값을 생성하여 Decision Server(1240)에 전송하고(S1210), Decision Server(1240)에서는 매일 적응임계값을 갱신하도록 구현된다. 12, the IP Threshold maker server 1230 generates an adaptive threshold value once a day and transmits the adaptive threshold value to the decision server 1240 (S1210). The decision server 1240 updates the adaptive threshold value every day.

사용자는 자신이 이용하는 단말기(1210)를 통해 ID 및 패스워드를 입력한다(S1211). Login Server(1120)에서는 사용자의 로그인 시도를 확인하고, 로그인 실패가 발생한 경우 Decision Server(1140)에 이를 통지한다(S1230). Decision Server(1240)에서는 Login Server(1220)로부터 수신한 로그인 실패의 회수가 적응임계값을 초과하는 경우(S1220) Captcha IP Server(1250)로 메시지를 전송한다. The user inputs the ID and the password through the terminal 1210 used by the user (S1211). The login server 1120 confirms the login attempt of the user, and notifies the decision server 1140 of the login failure (S1230). Decision Server 1240 transmits a message to Captcha IP Server 1250 when the number of login failures received from Login Server 1220 exceeds the adaptation threshold value (S1220).

Captcha IP Server(1250)는 로그인 실패의 회수가 적응임계값을 초과했다는 메시지를 수신하면(S1220), Login Server(1220)로 캡차를 제공한다(S1221). Login Server(1220)에서는 사용자 단말기(1210)에 캡차 로그인 페이지를 리다이렉팅한다(S1223). When the Captcha IP Server 1250 receives a message indicating that the number of failed login attempts exceeds the adaptation threshold value (S1220), the Captcha IP Server 1250 provides a capcha to the Login Server 1220 (S1221). The login server 1220 redirects the cabin login page to the user terminal 1210 (S1223).

본 발명의 또 다른 일 실시예로서, Login Server(1220)는 기설정된 회수 이상의 캡차를 제공한 IP에 대해서는 바로 Captcha IP Server(1250)로 메시지를 전송하여(S1250) 캡차를 제공하도록 구현이 가능하다(S1251)As another embodiment of the present invention, the Login Server 1220 may implement a method of transmitting a message directly to the Captcha IP Server 1250 (S1250) and providing a Capcha for an IP providing a predetermined number of times or more (S1251)

도 10은 본 발명의 바람직한 일 실시예로서, 캡차를 이용한 아이디도용 차단방법의 일 예를 도시한다. FIG. 10 shows an example of a method for blocking an ID stealing using a capcha, which is a preferred embodiment of the present invention.

본 발명의 캡차를 이용한 아이디 도용 차단 방법은 웹서비스 제공장치에서 구현이 가능하다. 웹서비스 제공장치는 인터넷망을 통하여 인터넷 서비스를 제공하는 단말기를 모두 포함한다. 이러한 단말기의 예로는 컴퓨터, 노트북, 휴대폰, 스마트폰, 테블릿PC, 핸드헬드 장치, 씬(thin) 단말기 등을 포함하고, 멀티미디어 기기, 영상처리장치, 캠코더, 카메라 등으로 구현이 가능하다. 또한 통신부, 입출력부 기능을 구현한 단말기도 포함된다. The ID shoplifting method using the capcha of the present invention can be implemented in a web service providing apparatus. The web service provision apparatus includes all terminals that provide Internet service through the Internet network. Examples of such terminals include a computer, a notebook, a mobile phone, a smart phone, a tablet PC, a handheld device, a thin terminal, and the like, and can be implemented as a multimedia device, an image processing device, a camcorder, and a camera. It also includes a communication unit and a terminal that implements the function of the input / output unit.

본 발명의 바람직한 일 실시예에서는 캡차를 이용하여 아이디도용을 차단하기 위하여, IP별로 각각 적응임계값(Adaptable Threshold)을 설정한다. 이를 위하여, 웹서비스 제공장치에서는 과거 기설정된 기간동안(예, 90일) 1일 단위로 로그인 실패가 발생한 회수를 누적한 정보를 이용한다. In an exemplary embodiment of the present invention, an Adaptable Threshold is set for each IP in order to block ID stealing using a CAPTCHA. To this end, in the web service providing apparatus, information that accumulates the number of times the login failure has occurred is used for a predetermined period (for example, 90 days) in units of one day.

일 실시예로서, 1.1.2.1 IP에서 90일동안 1일단위로 로그인 실패가 발생한 회수가 평균적으로 3회를 초과한 적이 없는 경우, 1일단위 로그인실패통계값은 3 이하의 값이 산출된다. In one embodiment, if the number of unsuccessful login failures has not exceeded three times on average in one day for 90 days in IP, the daily login failure statistics value is calculated to be 3 or less.

또 다른 일 실시예로서, 3.3.1.3 IP에서 90일동안 1일단위로 로그인 실패가 발생한 회수가 평균적으로 5회를 초과하는 경우, 1일단위 로그인 실패 통계값은 5 이상의 값이 산출된다. In another embodiment, if the number of unsuccessful login failures occurs one time over 90 days in IP 3.3.1.3 IP on average exceeds 5 times, the daily login failure statistics value is calculated to be 5 or more.

이상과 같이 과거의 누적 로그인 실패값을 반영하여(S1010), IP별로 1일단위 로그인실패통계값을 생성한다(S1020). 이 경우, 로지스틱 회귀분석 방법을 이용할 수 있다. As described above, the past cumulative login failure value is reflected (S1010), and the daily login failure statistic value for each IP is generated (S1020). In this case, a logistic regression analysis method can be used.

그 후, IP별로 각각 1일단위 로그인실패통계값을 반영하여, 로그인 시도 회수를 제한한 적응임계값(Adaptable Threshold)을 설정한다. 적응임계값은 로그인실패통계값이 증가할수록 낮은값으로 설정된다.Thereafter, an adaptive threshold value is set to limit the number of log-in attempts by reflecting the daily login failure statistics value for each IP. The adaptation threshold value is set to a lower value as the login failure statistic value increases.

일 예를 들어, 1.1.2.1 IP의 1일단위 로그인실패통계값이 3 이하의 값이고, 3.3.1.3 IP의 1일단위 로그인실패통계값이 5 이상의 값인 경우, 1.1.2.1 IP의 적응임계값은 4로, 3.3.1.3 IP의 로그인실패통계값은 2로 설정할 수 있다. For example, if the daily login failure statistics value of 1.1.2.1 IP is less than 3 and the daily login failure statistics value of 3.3.1.3 IP is more than 5, then 1.1.2.1 adaptation threshold of IP Is 4, and the login failure statistics value of 3.3.1.3 IP can be set to 2.

또한, 본 발명의 바람직한 일 실시예로서, 적응임계값은 IP별로 IP가 국내IP인지 해외IP인지 여부, 과거 기설정된 기간동안 도용시도 회수. 과거 기설정된 기간동안 전체 로그인 시도 중 도용시도의 비율, 과거 기설정된 기간동안 도용시도가 검출됐던 검출일의 비율, 과거 기설정된 기간동안 도용시도가 미검출된 미검출일의 비율 중 적어도 하나 이상을 추가로 반영하여 설정될 수 있다. Also, as a preferred embodiment of the present invention, the adaptation threshold value may include whether the IP is a domestic IP or an overseas IP by IP, the number of times of theft attempt for a predetermined period of time. A ratio of detection attempts during a predetermined period of time, a ratio of detection days during which the attempted theft attempt was detected in the past predetermined period, and a ratio of undetected days in which no attempted theft attempt has been detected in the past predetermined period And can be further reflected and set.

바람직하게, 적응임계값을 설정은 또한 과거 기설정된 기간동안 누적된 로그인 로그데이터를 로지스틱 회귀분석 방법으로 분석하여, IP를 로그인 아이디 도용시도가 없었던 정상IP그룹, 로그인 아이디 도용시도가 발생했던 도용IP그룹으로 나눌 수 있다. 또한,과거 기설정된 기간동안 누적된 로그인 로그데이터를 분석하여 과거 사용기록이 없는 무사용IP그룹을 추가로 분류할 수 있다. Preferably, the adaptation threshold value is set by analyzing the login log data accumulated in the past predetermined period by a logistic regression analysis method, and the IP is classified into a normal IP group in which no attempt is made to steal the login ID, It can be divided into groups. In addition, it is possible to further classify the unused IP group having no past record by analyzing the log-log data accumulated during the predetermined period.

그리고, 분류된 정상IP그룹, 도용IP그룹 및 무사용IP그룹 각각에 대해 적응임계값을 상이하게 설정이 가능하다. 바람직하게, 적응임계값은 도용시도 회수와 반비례 관계를 갖는 것을 특징으로 한다. The adaptation threshold value can be set differently for each of the classified normal IP group, the forgery IP group, and the unused IP group. Preferably, the adaptive threshold value has an inversely proportional relationship with the number of times of theft attempt.

본 발명의 바람직한 일 실시예에서 도용시도는 도 7에 도시된 일 예와 같이 로그인ID별로 24시간이내에 저장된 로그인 로그데이터의 IP/16 정보, 에이전트 정보 및 쿠키 정보와 90일동안 누적적으로 저장된 로그인 로그데이터의 IP/16 정보, 에이전트 정보 및 쿠키 정보를 비교하여 일치하는 로그데이터가 있는지 검출한다.In the preferred embodiment of the present invention, the stealing attempt is performed by using IP / 16 information, agent information and cookie information of login log data stored within 24 hours for each login ID, IP / 16 information, agent information, and cookie information of the log data are compared with each other to detect whether there is log data that matches.

이후, 도 8의 일 실시예와 같이 검출된 로그데이터의 해당 로그인ID가 로그인에 성공하였을 경우 IP별로 로그인 성공율, IP/16 미스(miss)율, 에이전트(Agent) 미스율 및 쿠키(Cookie) 미스율을 계산하여 검출하는 것을 특징으로 한다. 또한, 도용시도 검출시 도 2(a)~(c) 및 도 3 에 기술한 바와 같이 캡차제공빈도가 이용될 수 있다. 8, when the log-in ID of the log data detected is successful, the log-in success rate, the IP / 16 miss rate, the agent mis-rate, and the cookie mis- And calculating and detecting. In addition, when the theft attempt is detected, the frequency of providing the capsule may be used as shown in Figs. 2 (a) to (c) and Fig.

과거의 로그인 실패 통계값을 반영하여 적응임계값을 설정한 이후, 로그인 시도가 있는 IP별로 로그인 실패회수를 카운팅한다(S1040). 그 후, IP별로 발생한 로그인 실패회수가 적응임계값(S1050)을 초과하는지 여부를 판단하여, 초과하는 경우 캡차를 제공한다(S1060). After setting the adaptation threshold value reflecting the login failure statistics in the past, the login failure count is counted for each IP having the login attempt (S1040). Thereafter, it is determined whether the number of log-in failures that occur for each IP exceeds the adaptation threshold value (S1050). If the number exceeds the adaptation threshold value (S1050), a capcha is provided (S1060).

본 발명의 바람직한 일 실시예로서 웹서비스 제공장치는 캡차를 제공한 IP 정보를 추가로 저장하도록 구현이 가능하다. 또한 적응임계값 갱신시 캡차를 제공했던 정보를 추가로 반영하여 적응임계값을 갱신할 수 있다. 캡차의 제공 빈도가 높을수록 적응임계값은 낮게 설정될 수 있다. 본 발명의 바람직한 일 실시예는 적응임계값을 1일 단위로 업데이트하여(S1070) 지속적으로 도용시도가 있는 아이디를 차단한다. As a preferred embodiment of the present invention, the web service provision apparatus may be configured to further store IP information providing the capcha. In addition, the adaptation threshold value can be updated by further reflecting the information providing the capcha when updating the adaptation threshold value. The higher the frequency of providing the capcha, the lower the adaptive threshold value can be set. In a preferred embodiment of the present invention, the adaptive threshold value is updated in units of one day (S1070), thereby blocking IDs continuously stolen.

도 11은 본 발명의 또 바람직한 일 실시예로서, 캡차를 이용한 아이디도용 차단방법의 일 예를 도시한다. 도 11은 단말기에서 구현되는 인터넷 포털사이트에서 캡차를 이용한 아이디도용 검출방법의 흐름도를 도시한다. FIG. 11 is a block diagram illustrating an ID shading method using a CAPTCHA according to another embodiment of the present invention. 11 is a flowchart illustrating a method of detecting identity theft using a CAPTCHA in an Internet portal site implemented in a terminal.

단말기에서는 로그인 시도가 발생한 IP별로 로그인 실패회수를 카운팅한다(S1110). IP별로 카운팅된 로그인 실패회수가 적응임계값을 초과하면 캡차(Captcha)를 디스플레이에 표시한다(S1120). 이 경우 적응임계값은 도 10과 관련하여 기술한 설명과 같이 1일 단위로 업데이트되며 IP별로 각각 설정되는 것을 특징으로 한다. The terminal counts the number of log-in failures by the IP in which the log-in attempt occurred (S1110). If the number of log-in failures counted by IP exceeds the adaptation threshold value, a capcha is displayed on the display (S1120). In this case, the adaptive threshold value is updated in units of one day as described with reference to FIG. 10, and is set for each IP.

또한 적응임계값은 IP별로 IP가 국내IP인지 해외IP인지 여부, 과거 기설정된 기간동안 도용시도 회수. 과거 기설정된 기간동안 전체 로그인 시도 중 도용시도의 비율, 과거 기설정된 기간동안 도용시도가 검출됐던 검출일의 비율, 과거 기설정된 기간동안 도용시도가 미검출된 미검출일의 비율 중 적어도 하나 이상을 고려하여 설정된다. Also, the adaptation threshold value is whether the IP is a domestic IP or an overseas IP according to IP, the number of times of attempted abuse during a predetermined period. A ratio of detection attempts during a predetermined period of time, a ratio of detection days during which the attempted theft attempt was detected in the past predetermined period, and a ratio of undetected days in which no attempted theft attempt has been detected in the past predetermined period .

본 방법발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.The method of the present invention can also be embodied as computer readable code on a computer readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored.

컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Examples of the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like. The computer-readable recording medium may also be distributed over a networked computer system so that computer readable code can be stored and executed in a distributed manner.

이제까지 본 발명에 대하여 그 바람직한 실시예를 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다.The present invention has been described above with reference to preferred embodiments thereof. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 균등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is defined by the appended claims rather than by the foregoing description, and all differences within the scope of equivalents thereof should be construed as being included in the present invention.

Claims (17)

웹서비스 제공장치에서 캡차를 이용한 아이디도용 차단방법으로서,
과거 기설정된 기간동안 1일 단위로 로그인 실패가 발생한 회수를 누적한 정보를 이용하여, IP별로 1일단위 로그인실패통계값을 생성하는 단계;
IP별로 각각 상기 1일단위 로그인실패통계값을 반영하여, 로그인 시도 회수를 제한한 적응임계값(Adaptable Threshold)을 설정하는 단계;
IP별로 각각 로그인 실패회수를 카운팅하여 상기 적응임계값을 초과하는 경우 캡차(Captcha)를 제공하는 단계;및
상기 적응임계값을 1일 단위로 업데이트하는 단계;를 포함하고, 이 경우 상기 적응임계값은 IP별로 각각 설정되는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단방법. A method for blocking an identity theft using a web service providing apparatus,
Generating a daily log-in failure statistic value for each IP by using information obtained by accumulating the number of log-in failures in one day for a predetermined period;
Setting an adaptable threshold value that limits the number of log-in attempts by reflecting the daily log-on failure statistic value for each IP;
Counting the number of unsuccessful logins for each IP and providing a captcha when the adaptation threshold value is exceeded;
And updating the adaptation threshold value in units of one day, wherein the adaptation threshold value is set for each IP. 제 1 항에 있어서, 적응임계값(Adaptable Threshold)을 설정하는 단계는
과거 기설정된 기간동안 누적된 로그인 로그데이터를 로지스틱 회귀분석 방법으로 분석하여,
IP를 로그인 아이디 도용시도가 없었던 정상IP그룹, 로그인 아이디 도용시도가 발생했던 도용IP그룹, 과거 사용기록이 없는 무사용IP그룹으로 분류한 후, 상기 정상IP그룹, 상기 도용IP그룹, 상기 무사용IP그룹마다 각각 적응임계값을 설정하는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단방법. 2. The method of claim 1, wherein the step of setting an adaptive threshold comprises:
Log log data accumulated during the previous period are analyzed by logistic regression analysis,
A normal IP group in which the IP ID is not attempted to be stolen, a stolen IP group in which the login ID has been attempted to be stolen, and an unused IP group in which there is no history in use, and then the normal IP group, And an adaptation threshold value is set for each IP group. 제 1 항에 있어서, 상기 적응임계값은
도용시도 회수를 추가로 반영하여 설정되고, 상기 적응임계값은 상기 도용시도 회수와 반비례 관계인 것을 특징으로 하는 캡차를 이용한 아이디도용 차단방법. 2. The method of claim 1, wherein the adaptation threshold
And the adaptation threshold value is inversely related to the number of times of the theft attempt. 제 2 항에 있어서, 상기 도용시도는
로그인ID별로 24시간이내에 저장된 로그인 로그데이터의 IP/16 정보, 에이전트 정보 및 쿠키 정보와 90일동안 누적적으로 저장된 로그인 로그데이터의 IP/16 정보, 에이전트 정보 및 쿠키 정보를 비교하여 일치하는 로그데이터가 있는지 검출하고,
검출된 로그데이터의 해당 로그인ID가 로그인에 성공하였을 경우 IP별로 로그인 성공율, IP/16 미스(miss)율, 에이전트(Agent) 미스율 및 쿠키(Cookie) 미스율을 계산하여 검출하는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단방법. 3. The method of claim 2,
Agent information and cookie information of login log data stored cumulatively for 90 days with IP / 16 information, agent information and cookie information of login log data stored within 24 hours by login ID, Is detected,
And when the corresponding log-in ID of the detected log data is successfully logged, the login success rate, the IP / 16 miss rate, the agent mis-rate, and the cookie mis-rate are calculated and detected for each IP. How to block identity theft using. 제 1 항에 있어서, 상기 적응임계값은
IP별로 IP가 국내IP인지 해외IP인지 여부, 과거 기설정된 기간동안 도용시도 회수. 과거 기설정된 기간동안 전체 로그인 시도 중 도용시도의 비율, 과거 기설정된 기간동안 도용시도가 검출됐던 검출일의 비율, 과거 기설정된 기간동안 도용시도가 미검출된 미검출일의 비율 중 적어도 하나 이상을 추가로 반영하여 설정되는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단방법. 2. The method of claim 1, wherein the adaptation threshold
Whether the IP is a domestic IP or an overseas IP by IP, the number of times of attempted abuse for a predetermined period of time. A ratio of detection attempts during a predetermined period of time, a ratio of detection days during which the attempted theft attempt was detected in the past predetermined period, and a ratio of undetected days in which no attempted theft attempt has been detected in the past predetermined period Wherein the identification information of the ID card is set to be further reflected. 제 1 항에 있어서,
상기 캡차를 제공한 IP 정보를 저장하여, 상기 적응임계값 설정시 상기 저장된 정보를 추가로 반영하는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단방법. The method according to claim 1,
Storing the IP information providing the capcha and further reflecting the stored information when setting the adaptation threshold value. 제 1 항에 있어서,
상기 1일단위 로그인실패통계값이 높아질수록 상기 적응임계값은 낮아지는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단방법. The method according to claim 1,
Wherein the adaptive threshold value is lowered as the daily login failure statistic value becomes higher. 제 1항에 있어서, 상기 1일단위 로그인실패통계값은
로지스틱 회귀분석을 이용하여 추론되는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단방법. 2. The method of claim 1, wherein the daily login failure statistics
Logistic regression analysis. ≪ RTI ID = 0.0 > 11. < / RTI > 제 1 항에 있어서, 상기 과거 기설정된 기간은
현행법하에서 인터넷 포털업체가 개인정보를 보유할 수 있는 최장기간 이하로 설정되는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단방법. 2. The method of claim 1,
The method comprising the steps of: determining whether a user is allowed to hold personal information of an Internet portal company under a current law; 단말기에서 구현되는 캡차를 이용한 아이디도용 검출방법으로서,
IP별로 로그인 실패회수를 카운팅하는 단계;
IP별로 카운팅된 로그인 실패회수가 적응임계값을 초과하면 캡차(Captcha)를 디스플레이에 표시하는 단계;및
상기 적응임계값을 1일 단위로 업데이트하는 단계;를 포함하는 단계를 포함하고,
상기 적응임계값은 IP별로 각각 설정되고, IP별로 상기 로그인 실패 회수, 캡차를 디스플레이에 표시한 회수 중 적어도 하나 이상이 1일 단위로 누적되어 상기 적응임계값 생성시 반영되는 것을 특징으로 하는 캡차를 이용한 아이디도용 검출방법. 1. A method for detecting identity theft using a cep-
Counting the number of failed login attempts by IP;
Displaying a Capcha on the display if the number of login failures counted by IP exceeds the adaptation threshold; and
And updating the adaptation threshold value in units of one day,
Wherein the adaptation threshold value is set for each IP, and at least one or more times of the number of times of the login failures and the number of times of displaying the capscha on the display for each IP are accumulated in units of one day, and are reflected upon generation of the adaptation threshold value. Detection method using ID. 제 10 항에 있어서, 상기 적응임계값은
IP별로 IP가 국내IP인지 해외IP인지 여부, 과거 기설정된 기간동안 도용시도 회수. 과거 기설정된 기간동안 전체 로그인 시도 중 도용시도의 비율, 과거 기설정된 기간동안 도용시도가 검출됐던 검출일의 비율, 과거 기설정된 기간동안 도용시도가 미검출된 미검출일의 비율 중 적어도 하나 이상을 추가로 반영하여 설정되는 것을 특징으로 하는 캡차를 이용한 아이디도용 검출방법. 11. The method of claim 10, wherein the adaptation threshold
Whether the IP is a domestic IP or an overseas IP by IP, the number of times of attempted abuse for a predetermined period of time. A ratio of detection attempts during a predetermined period of time, a ratio of detection days during which the attempted theft attempt was detected in the past predetermined period, and a ratio of undetected days in which no attempted theft attempt has been detected in the past predetermined period Wherein the identification information is set to be further reflected. IP별로 적응임계값을 생성하는 적응임계값생성부;
IP별로 로그인 시도 회수를 저장하는 로그인관리부;
IP별로 상기 로그인 시도 회수가 IP별로 할당된 상기 적응임계값을 초과하는지 판단하는 판단부; 및
상기 적응임계값을 초과한 IP로 캡차를 제공하는 캡차제공부;를 포함하고, 상기 적응임계값은 IP마다 로그인 시도 회수를 제한한 값이며, 또한 IP별로 상기 로그인관리부에서 저장한 상기 로그인 시도 회수, 상기 로그인 시도시 로그인 성공 회수, 상기 로그인 시도시 로그인 실패 회수, 상기 캡차를 제공한 회수 중 적어도 하나 이상이 1일 단위로 누적되어 상기 적응임계값 생성시 반영되는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단시스템. An adaptation threshold value generation unit for generating an adaptation threshold value for each IP;
A login manager for storing the number of login attempts by IP;
A judging unit for judging whether the number of log-in attempts exceeds IP-allocated adaptation threshold value for each IP; And
Wherein the adaptation threshold value is a value obtained by limiting the number of login attempts per IP, and the adaptation threshold value is a value obtained by limiting the number of login attempts , At least one or more of the number of successful login attempts at the login attempt, the number of unsuccessful login attempts at the login attempt, and the number of times the provided capcha is provided are reflected in the generation of the adaptive threshold value in units of one day. Theft blocking system. 제 12 항에 있어서, 상기 적응임계값은
IP마다 1일 단위로 갱신되는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단시스템. 13. The method of claim 12, wherein the adaptation threshold
And the IP address is updated every 1 day for each IP. 삭제delete 제 12 항에 있어서, 상기 적응임계값생성부는
과거 기설정된 기간동안 누적된 로그인 로그데이터를 로지스틱 회귀분석 방법으로 분석하여,
IP를 로그인 아이디 도용시도가 없었던 정상IP그룹, 로그인 아이디 도용시도가 발생했던 도용IP그룹, 과거 사용기록이 없는 무사용IP그룹으로 분류한 후, 상기 정상IP그룹, 상기 도용IP그룹, 상기 무사용IP그룹마다 각각 적응임계값을 상이하계 설정하는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단시스템. 13. The apparatus of claim 12, wherein the adaptive threshold generator
Log log data accumulated during the previous period are analyzed by logistic regression analysis,
A normal IP group in which the IP ID is not attempted to be stolen, a stolen IP group in which the login ID has been attempted to be stolen, and an unused IP group in which there is no history in use, and then the normal IP group, Wherein the adaptive threshold value is set differently for each IP group. 제 15 항에 있어서, 상기 도용시도는
로그인ID별로 24시간이내에 저장된 로그인 로그데이터의 IP/16 정보, 에이전트 정보 및 쿠키 정보와 90일동안 누적적으로 저장된 로그인 로그데이터의 IP/16 정보, 에이전트 정보 및 쿠키 정보를 비교하여 일치하는 로그데이터가 있는지 검출하고,
검출된 로그데이터의 해당 로그인ID가 로그인에 성공하였을 경우 IP별로 로그인 성공율, IP/16 미스(miss)율, 에이전트(Agent) 미스율 및 쿠키(Cookie) 미스율을 계산하여 검출하는 것을 특징으로 하는 캡차를 이용한 아이디도용 차단시스템. 16. The method of claim 15,
Agent information and cookie information of login log data stored cumulatively for 90 days with IP / 16 information, agent information and cookie information of login log data stored within 24 hours by login ID, Is detected,
And when the corresponding log-in ID of the detected log data is successfully logged, the login success rate, the IP / 16 miss rate, the agent mis-rate, and the cookie mis-rate are calculated and detected for each IP. ID blocking system used. 제 1 항 내지 제 11 항 중 어느 한 항에 따른 방법을 실행하기 위한 컴퓨터 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체.
12. A computer program for executing the method according to any one of claims 1 to 11.
KR1020140059178A 2014-05-16 2014-05-16 Method and System for preventing Login ID theft using captcha KR101576993B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140059178A KR101576993B1 (en) 2014-05-16 2014-05-16 Method and System for preventing Login ID theft using captcha

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140059178A KR101576993B1 (en) 2014-05-16 2014-05-16 Method and System for preventing Login ID theft using captcha

Publications (2)

Publication Number Publication Date
KR20150131846A KR20150131846A (en) 2015-11-25
KR101576993B1 true KR101576993B1 (en) 2015-12-21

Family

ID=54845610

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140059178A KR101576993B1 (en) 2014-05-16 2014-05-16 Method and System for preventing Login ID theft using captcha

Country Status (1)

Country Link
KR (1) KR101576993B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109740327A (en) * 2019-01-03 2019-05-10 杭州云英网络科技有限公司 Identity identifying method, apparatus and system
KR102563274B1 (en) * 2021-05-24 2023-08-07 전대연 Smart Log-in app system
CN114301688B (en) * 2021-12-29 2023-08-01 天翼物联科技有限公司 Login verification method and device based on client permission, internet of things terminal and medium

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101212343B1 (en) 2010-11-25 2012-12-13 중앙대학교 산학협력단 System and method for operating microgrid

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Adams, Carlisle, et al., "Lightweight protection against brute force login attacks on Web applications.", Privacy Security and Trust (PST), 2010 Eighth Annual International Conference on. IEEE, 2010.*

Also Published As

Publication number Publication date
KR20150131846A (en) 2015-11-25

Similar Documents

Publication Publication Date Title
CN109951500B (en) Network attack detection method and device
JP6432210B2 (en) Security system, security method, security device, and program
CN107465648B (en) Abnormal equipment identification method and device
US9369479B2 (en) Detection of malware beaconing activities
US8819816B2 (en) Differentiating between good and bad content in a user-provided content system
US8522349B2 (en) Detecting and defending against man-in-the-middle attacks
CN105939326B (en) Method and device for processing message
US11902307B2 (en) Method and apparatus for network fraud detection and remediation through analytics
CN105577608B (en) Network attack behavior detection method and device
US20200028876A1 (en) Phishing detection and targeted remediation system and method
US20160006761A1 (en) Anti-phishing filter
CN109660556B (en) User login method, device, equipment and storage medium based on information security
US11269978B2 (en) Detection of slow brute force attacks based on user-level time series analysis
CN110519208B (en) Anomaly detection method, device and computer readable medium
KR20170045699A (en) Automated verification method of security event and automated verification apparatus of security event
US20210234877A1 (en) Proactively protecting service endpoints based on deep learning of user location and access patterns
EP3888326A1 (en) Detection of remote fraudulent activity in a client-server-system
US8601574B2 (en) Anti-phishing methods based on an aggregate characteristic of computer system logins
US20170171188A1 (en) Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus
CN105516211A (en) Method, device and system for recognizing database accessing behaviors based on behavior model
KR101576993B1 (en) Method and System for preventing Login ID theft using captcha
Nalini et al. Network Intrusion Detection System for Feature Extraction based on Machine Learning Techniques
KR101900494B1 (en) Method and apparatus for detecting the steeling of identifier
CN110912869A (en) Big data-based monitoring and reminding method
US10255558B1 (en) Managing knowledge-based authentication systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20191001

Year of fee payment: 5