KR101743269B1 - 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치 - Google Patents

행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치 Download PDF

Info

Publication number
KR101743269B1
KR101743269B1 KR1020160004179A KR20160004179A KR101743269B1 KR 101743269 B1 KR101743269 B1 KR 101743269B1 KR 1020160004179 A KR1020160004179 A KR 1020160004179A KR 20160004179 A KR20160004179 A KR 20160004179A KR 101743269 B1 KR101743269 B1 KR 101743269B1
Authority
KR
South Korea
Prior art keywords
behavior
information
abnormal behavior
user terminal
action
Prior art date
Application number
KR1020160004179A
Other languages
English (en)
Inventor
김성
박경철
Original Assignee
주식회사 엔젠소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔젠소프트 filed Critical 주식회사 엔젠소프트
Priority to KR1020160004179A priority Critical patent/KR101743269B1/ko
Application granted granted Critical
Publication of KR101743269B1 publication Critical patent/KR101743269B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 이상행위 탐지 방법에 관한 것으로, 보다 상세하게는 특정 웹 사이트에 접속한 고객이 사이트를 접속한 동안 수행하는 행위들을 수집하며, 사용자의 행위를 분류하고 이를 이상행위 규칙과 비교하여 행위 패턴 값을 부여하는 방법을 통해 이상행위를 탐지하기 위한 방법, 그를 위한 장치에 관한 것이다.
이를 위한 본 발명의 일 실시 예에 따른 이상행위 탐지 방법은 특정 사이트에 접속한 사용자 단말로부터 행위 정보를 수집하는 단계; 상기 수집된 사용자의 행위 정보를 서로 다른 유형의 복수의 이용행위로 분류하는 단계; 상기 분류된 이용행위 별로 수집된 행위 정보를 이상행위 분석 규칙과 비교하여 행위 패턴 값을 부여하는 단계; 및 상기 복수의 이용행위 별로 부여된 행위 패턴 값을 기 설정된 임계치와 비교하여 이상행위 여부를 판단하는 제1 탐지 단계; 를 포함하여 구현된다.

Description

행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치 {Method and apparatus of fraud detection by analysis of PC information and modeling of behavior pattern}
본 발명은 이상행위 탐지 방법에 관한 것으로, 보다 상세하게는 특정 웹 사이트에 접속한 고객이 사이트를 접속한 동안 수행하는 행위들을 수집하며, 사용자의 행위를 분류하고 이를 이상행위 분석 규칙과 비교하여 행위 패턴 값을 부여하는 방법을 통해 이상행위를 탐지하기 위한 방법, 그를 위한 장치에 관한 것이다.
이 부분에 기술된 내용은 단순히 본 실시 예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.
다양한 해킹 기법으로 개인정보 유출이 쉬운 사회적 환경에서, 탈취한 사용자 계정, 주민번호, 신용카드 정보 등을 이용하여 웹 해킹 및 온라인 사기 시도 시 이에 대해 효과적으로 대응하기 위한 이상행위 탐지 기술의 필요성이 대두되고 있다. 보험, 금융, 증권, 이동통신 등 다양한 분야에서 다양한 형태의 사기 사건이 발생함에 따라, 사기 여부를 지능적으로 판단할 수 있도록 개선되고 다양한 유형의 웹사이트에 범용적으로 적용될 수 있는 기술 역시 필요하다.
또한 전자상거래 분야에서 공인인증서 의무사용 정책이 폐지됨에 따라, 보안 취약성에 관한 문제가 야기되었으며, 이 문제를 해결하기 위한 이상행위 탐지 기술이 주목을 받고 있고, 시장 공개에 따른 원천 기술 확보 역시 이슈가 되고 있다.
웹 서비스의 논리적인 결함이나 미비점을 이용한 이상행위, 사기행위를 탐지하기 위해서는 각 서비스의 논리적인 정상행위 패턴과 비정상 행위 패턴을 분리해 낼 수 있어야 하며, 정상행위 패턴을 기반으로 비정상 행위를 판단하는 기능이 필요하다.
그러나 기존의 이상행위 패턴 탐지 기술은 이상행위에 해당하는 요소들 중 일부가 나타나거나, 각 행위를 단순 나열하여 값을 매기고 이 값이 임계치 이상일 경우 해킹 또는 이상행위로 간주하는 것이 일반적이다.
이에 따라 PC와 같은 사용자 단말을 통해 사용자들의 다양한 행동 패턴을 수집하고 이를 분류하여 해킹 시도의 유형을 판별 및 탐지하고 그에 적합한 대응을 수행할 수 있는 기술적인 대안의 필요성이 커지고 있다.
한국등록특허공보 제10-1153968호, 2012년 05월 31일 등록 (명칭: 금융사기 방지 시스템 및 방법)
이에 본 발명은, 특정한 웹 사이트에 접속한 사용자의 PC에서 이루어지는 행위 정보를 수집하고, 이를 서로 다른 유형의 이용행위로 분류하며, 분류한 이용행위 별로 행위 패턴 값을 부여함을 통해 이상행위 여부를 판단하는 이상행위 탐지 방법과 그를 위한 장치를 제공하고자 한다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명은 상술한 과제를 해결하기 위한 수단으로서, 특정 사이트에 접속한 사용자 단말로부터 행위 정보를 수집하는 단계; 상기 수집된 사용자의 행위 정보를 서로 다른 유형의 복수의 이용행위로 분류하는 단계; 상기 분류된 이용행위 별로 수집된 행위 정보를 이상행위 분석 규칙과 비교하여 행위 패턴 값을 부여하는 단계; 및 상기 복수의 이용행위 별로 부여된 행위 패턴 값을 기 설정된 임계치와 비교하여 이상행위 여부를 판단하는 제1 탐지 단계; 를 포함하는 이상행위 탐지 방법을 제공한다.
본 발명의 다른 일 양상은, 특정 사이트에 접속한 사용자 단말로부터 행위 패턴을 수집하는 정보 수집부; 및 상기 수집된 사용자의 행위 정보를 서로 다른 유형의 복수의 이용행위로 분류하고, 상기 분류된 이용행위 별로 수집된 행위 정보를 이상행위 분석 규칙과 비교하여 행위 패턴 값을 부여하며, 상기 복수의 이용 행위별로 부여된 행위 패턴 값을 기 설정된 임계치와 비교하여 이상행위 여부를 판단하는 이상행위 분석탐지부; 를 포함하는 이상행위 탐지 장치를 더 제공한다.
본 발명에 따르면, 특정 웹 사이트에 접속한 사용자의 PC에서 사용 행위 정보를 수집하고, 이를 서로 다른 유형으로 분류하여 행위 패턴 값을 부여함으로써 이상행위 여부를 판단할 수 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 발명에 대한 실시 예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 특징을 설명한다.
도 1은 본 발명의 실시 예에 따른 이상행위 탐지 방법을 제공하기 위한 시스템의 구성을 설명하기 위한 도면이다.
도 2는 본 발명의 실시 예에 따른 이상행위 탐지 장치의 개략적인 구성을 설명하기 위한 블록도이다.
도 3은 본 발명의 일 실시 예에 따른 이상행위 탐지 방법의 과정을 설명하기 위한 흐름도이다.
도 4는 본 발명의 실시 예에 다른 이상행위 분석 모델의 형성 과정을 나타낸 흐름도이다.
본 발명의 과제 해결 수단의 특징 및 이점을 보다 명확히 하기 위하여, 첨부된 도면에 도시된 본 발명의 특정 실시 예를 참조하여 본 발명을 더 상세하게 설명한다.
다만, 하기의 설명 및 첨부된 도면에서 본 발명의 요지를 흐릴 수 있는 공지 기능 또는 구성에 대한 상세한 설명은 생략한다. 또한, 도면 전체에 걸쳐 동일한 구성 요소들은 가능한 한 동일한 도면 부호로 나타내고 있음에 유의하여야 한다.
이하의 설명 및 도면에서 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위한 용어의 개념으로 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
따라서 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시 예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다.
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하기 위해 사용하는 것으로, 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용될 뿐, 상기 구성요소들을 한정하기 위해 사용되지 않는다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다.
더하여, 어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급할 경우, 이는 논리적 또는 물리적으로 연결되거나, 접속될 수 있음을 의미한다.
다시 말해, 구성요소가 다른 구성요소에 직접적으로 연결되거나 접속되어 있을 수 있지만, 중간에 다른 구성요소가 존재할 수도 있으며, 간접적으로 연결되거나 접속될 수도 있다고 이해되어야 할 것이다.
또한, 본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
또한, 본 명세서에서 기술되는 "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
또한, "일(a 또는 an)", "하나(one)", "그(the)" 및 유사어는 본 발명을 기술하는 문맥에 있어서(특히, 이하의 청구항의 문맥에서) 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다.
아울러, 본 발명의 범위 내의 실시 예들은 컴퓨터 실행가능 명령어 또는 컴퓨터 판독가능 매체에 저장된 데이터 구조를 가지거나 전달하는 컴퓨터 판독가능 매체를 포함한다. 이러한 컴퓨터 판독가능 매체는, 범용 또는 특수 목적의 컴퓨터 시스템에 의해 액세스 가능한 임의의 이용 가능한 매체일 수 있다.
예로서, 이러한 컴퓨터 판독가능 매체는 RAM, ROM, EPROM, CD-ROM 또는 기타 광 디스크 저장장치, 자기 디스크 저장장치 또는 기타 자기 저장장치, 또는 컴퓨터 실행가능 명령어, 컴퓨터 판독가능 명령어 또는 데이터 구조의 형태로 된 소정의 프로그램 코드 수단을 저장하거나 전달하는 데에 이용될 수 있고, 범용 또는 특수 목적 컴퓨터 시스템에 의해 액세스 될 수 있는 임의의 기타 매체와 같은 물리적 저장 매체를 포함할 수 있지만, 이에 한정되지 않는다.
이하의 설명 및 특허 청구 범위에서, "네트워크"는 컴퓨터 시스템들 및/또는 모듈들 간의 전자 데이터를 전송할 수 있게 하는 하나 이상의 데이터 링크로서 정의된다. 정보가 네트워크 또는 다른 (유선, 무선, 또는 유선 또는 무선의 조합인) 통신 접속을 통하여 컴퓨터 시스템에 전송되거나 제공될 때, 이 접속은 컴퓨터-판독가능매체로서 이해될 수 있다.
컴퓨터 판독가능 명령어는, 예를 들면, 범용 컴퓨터 시스템 또는 특수 목적 컴퓨터 시스템이 특정 기능 또는 기능의 그룹을 수행하도록 하는 명령어 및 데이터를 포함한다. 컴퓨터 실행가능 명령어는, 예를 들면, 어셈블리어, 또는 심지어는 소스코드와 같은 이진, 중간 포맷 명령어일 수 있다.
아울러, 본 발명은 퍼스널 컴퓨터, 랩탑 컴퓨터, 핸드헬드 장치, 멀티프로세서 시스템, 마이크로프로세서-기반 또는 프로그램 가능한 가전제품(programmable consumer electronics), 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터, 모바일 전화, PDA, 페이저(pager) 등을 포함하는 다양한 유형의 컴퓨터 시스템 구성을 가지는 네트워크 컴퓨팅 환경에서 실시될 수 있다.
본 발명은 또한 네트워크를 통해 유선 데이터 링크, 무선 데이터 링크, 또는 유선 및 무선 데이터 링크의 조합으로 링크된 로컬 및 원격 컴퓨터 시스템 모두가 태스크를 수행하는 분산형 시스템 환경에서 실행될 수 있다. 분산형 시스템 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 저장 장치에 위치될 수 있다.
이제, 본 발명의 실시 예에 따른 이상행위 탐지 방법, 장치에 대하여 도면을 참조하여 상세하게 설명하도록 한다.
도 1은 본 발명의 실시 예에 따른 이상행위 탐지 방법을 제공하기 위한 시스템의 구성을 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명에 따른 이상행위 탐지 장치(200)는 통신망(500)을 통해 연결된 하나 이상의 사용자 단말 장치(100)와, 하나 이상의 웹 서비스 서버(400)를 포함하여 이루어질 수 있다.
여기서, 사용자 단말 장치(100)는 UE(User Equipment), MS(Mobile Station), MSS(Mobile Subscriber Station), SS(Subscriber Station), AMS(Advanced Mobile Station), WT(Wireless terminal), MTC(Machine-Type Communication) 장치, M2M(Machine-to-Machine) 장치, D2D 장치(Device-to-Device), 스테이션(STA: Station) 등의 용어에 의해 대체될 수 있다. 다만, 이에 한정되는 것은 아니며 본 발명에서 제공하는 유무선 통신망에 연결된 장치이면 본 명세서에서 말하는 사용자 단말 장치(100)에 해당할 수 있다. 상기 언급된 유닛들과 동등한 수준의 유닛이 본 발명에 따른 사용자 단말 장치(100)로 사용될 수도 있다. 이러한 사용자 단말 장치(100)는 본 발명에 의해 제공되는 무선 통신망을 통해 음성 또는 데이터 통신을 수행할 수 있으며 이를 위한 본 발명의 사용자 단말 장치(100)는 정보의 송수신을 위한 브라우저, 프로그램 및 프로토콜을 저장하는 메모리, 각종 프로그램을 실행하여 연산 및 제어하기 위한 마이크로프로세서 등을 구비할 수 있다.
본 발명의 실시 예에 따른 사용자 단말 장치(100)는 다양한 형태로 구현될 수 있다. 예를 들어, 본 명세서에서 기술되는 사용자 단말 장치(100)는 스마트 폰(smart phone), 타블렛 PC(Tablet PC), PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), MP3 Player 등의 무선 통신 기술이 적용되는 이동 단말기 또는 PC, IPTV, 스마트 TV 등과 같이 휴대하기 어려운 디지털 기기가 사용될 수도 있다.
특히, 본 발명의 실시 예에 따르면, 사용자 단말 장치(100)가 웹 서비스 서버(400)에 접속 시 웹 서비스 서버(400) 또는 이상행위 탐지 장치(200)는 사용자 단말 장치(100)에 정보 수집을 위한 에이전트를 설치할 수 있다.
그러나 이에 한정되지 않으며, 유/무선을 구분하지 않고, 사용자를 통신망(500)에 접속할 수 있도록 하여 일정한 기능을 수행하는 장치는 모두 본 발명에서 서술하는 단말에 해당할 수 있다.
웹 서비스 서버(400)는 사용자 단말 장치(100)를 통해 사용자가 이용하는 서비스를 제공하는 주체이다. 즉, 네트워크를 통하여 사용자에 서비스를 제공하기 위한 구성 요소이며, 사용자 단말 장치(100)로부터 요청되는 서비스 패킷을 수신하고 수신한 패킷에 대하여 이를 전송한 사용자 단말 장치(100)에 응답 패킷을 전송할 수 있다.
이러한 웹 서비스 서버(400)는 Web Application Server(WAS), Internet Information Server(IIS) 또는 Apache Tomcat 또는 Nginx를 사용하는 인터넷 상의 공지의 웹 서버(Web Server) 또는 캐시 서버(Cashe Server)일 수 있으며, 이외에도 네트워크 컴퓨팅 환경을 구성하는 장치로 예시한 장치 중 하나가 본 발명의 실시 예에 따른 웹 서비스 서버(400)가 될 수 있다.
또한, 웹 서비스 서버(400)는 Linux 또는 Windows와 같은 OS(operating system)을 지원하며, 수신된 제어명령을 실행할 수 있다. 소프트웨어적으로는 C, C++, Java, Visual Basic, Visual C 등과 같은 언어를 통하여 구현되는 프로그램 모듈(Module)을 포함할 수 있다.
본 발명의 웹 서비스 서버(400)는 보험, 금융 서비스 제공사의 온라인 거래 제공을 위한 서버가 될 수 있으며, 증권 거래를 위한 HTS(Home Trading System) 혹은 MTS(Mobile Trading System)과 연결되는 서비스 제공 서버일 수도 있다. 서비스 제공 분야가 전자상거래로 한정되는 것은 아니며, 온라인 서버를 이용해 제공되는 게임, 음악, 영상 등 각종 컨텐츠 제공 서비스를 위한 서버가 될 수 있으며, 그 분야를 한정하지 않는다.
이상행위 탐지 장치(200)는 본 발명의 주요한 구성을 이루는 부분으로, 이하 도 2에 그 구성이 나타나 있다.
도 2는 본 발명의 실시 예에 따른 이상행위 탐지 장치의 개략적인 구성을 설명하기 위한 블록도이다.
도 2를 참조하면, 본 발명에 따른 이상행위 탐지 장치(200)는 정보 수집부(210)와, 이상행위 분석 탐지부(220), 저장부(220), 모니터링부(240)를 포함하여 이루어질 수 있다.
정보 수집부(210)는 사용자 단말 장치(100)가 특정 웹 사이트에 접속한 동안 이루어지는 여러 행위 정보를 추출 및 수집하기 위한 구성이다.
정보 수집부(210)는 통신망(500)을 경유하여 PC 또는 모바일 특성에 맞는 하나 이상의 사용자 단말 장치(100) 및 하나 이상의 웹 서비스 서버(400)와 연결될 수 있다.
각 정보 수집부(210)는 정보 수집 대상으로부터 정보를 수집하기 위한 에이전트(Agent)를 구비할 수 있다. 이러한 에이전트는, 사용자 단말 장치(100)가 특정 웹 서비스 서버(400)에 접속하는 경우에 해당 사용자 단말 장치(100)로 설치될 수 있다. 에이전트는 정보 수집을 위하여 관리자를 대신하여 작업을 수행하는 자율적 프로세스로, 독자적으로 존재하지 않고 정보 수집부의 일부로 존재하는 시스템이다. 정보 수집용 에이전트는 사용자 단말 장치(100)의 종류와 이에 설치된 브라우저의 종류에 따라 다르게 구성될 수 있다. 에이전트는 관리자의 개입이 없어도 정해진 스케줄에 따라 통신망(500)을 통하여 정보를 수집한다.
에이전트가 수집하는 정보는 사용자 단말 장치(100)가 특정 웹 서비스 서버(400)에 접속하는 순간부터 떠나는 순간까지의 행위 정보가 될 수 있다.
본 발명의 실시 예에서 수집하는 사용자 단말 장치(100)에서 이루어지는 행위 정보는, 사용자 단말 장치(100)와 웹 서비스 서버(400) 간 송수신되는 모든 패킷 정보, 사용자가 제공받는 서비스에 관한 고유 정보(거래 번호, 트랜잭션(Transaction) 번호, 서비스 등록 번호 등), 사용자 단말 장치(100)에 관한 환경 정보(M/B ID, CPU ID, HDD S/N, USB S/N과 같은 하드웨어 정보, OS의 버전, 이용 브라우저나 주변 기기의 patch/plugin의 버전, 브라우저의 버전/타입/언어와 같은 소프트웨어 정보, IP주소, MAC 주소, G/W IP 주소, G/W MAC 주소와 같은 네트워크 정보, USIM 정보 등), 사용자 단말 장치(100)의 주변 하드웨어 정보(키보드, 마우스, USB 저장소, 터치패드, 이동식 키보드, 마우스 등의 BLE 제품 등의 정보), 이러한 하드웨어를 이용한 입력 정보, 사용자 단말 장치(100)의 설치 및 실행 중인 소프트웨어 정보(동작 프로세스, 특정 레지스트 정보 등) 등을 포함할 수 있다.
상기 수집한 송수신 패킷으로부터는, HTML을 추출할 수 있다. HTML을 추출하면 해킹에 사용되는 각종 언어를 통해 해킹 시도 여부를 탐지할 수 있다. 만약 웹 서비스 서버(400)에 접근한 사용자 단말 장치(100)가 오픈된 웹 서비스를 사용해야 하는 환경인 경우, 해킹하고자 하는 자의 행위를 일반 웹 사용자와 구별하기 어려우며, 웹 서비스 서버(400)의 관리자의 입장에서는 이를 동일하게 볼 수 밖에 없다. 해킹을 시도하는 자의 행위는 해당 웹 서비스 서버(400)로 데이터 요청을 관리자에 의해 기 코딩이 되어있는 형식으로 하되, 프로그램 언어에 포함된 파라미터와 변수 등을 변경하는 형식으로 이루어지게 된다. 이러한 요청, 또는 이러한 해킹 수법에 대처가 미흡한 웹 서비스 서버(400)는 적법한 업무상 절차를 거치지 않고 내부 정보를 제공하게 되는 상황이 발생할 수 있다. 예를 들어, DB Query를 DB서버로 요청할 때, 요청한 사람의 권한을 확인하거나 사용자를 확인하는 루틴이 빠졌다면 비록 해커가 아니더라도 로직적으로 맞기 때문에 아무런 문제없이 DB정보가 공개돼버리는 오류가 발생할 수 있다. 해커는 잘 알려진 이러한 수법(DB query의 복잡성을 이용한)을 통해 시스템의 로직적인 오류를 발견하려는 시도를 하는 것이 일반적이며, 그렇지 않더라도, 시스템의 각 로직에 질의하거나 내부 시스템을 짐작하여 가상의 query를 요청함을 통해 오류를 찾으려는 시도를 하게 될 것이다. 이에 따라 HTML 내에는 웹 서비스 서버(400)에서 제공하는 언어, 또는 일반적인 데이터 송수신에서 사용되는 언어가 아닌 해킹 시도에 쓰이는 언어가 포함되며, 이를 추후 설명할 행위 패턴 값 부여에 이용할 수 있다.
수집된 각 행위 정보 값은 정보 수집부 내에 구비된 저장장치에 저장되거나 별도의 저장부(220)에 저장될 수도 있다.
저장부(220)는 이를 관리하는 데이터베이스 관리 시스템(DBMS, DataBase Management System)을 포함할 수 있다. DBMS는 저장부(220) 내에 존재하는 데이터베이스를 관리하며 본 발명인 이상행위 탐지 시스템과 관련된 응용 프로그램들이 저장부(220)를 공유 및 사용할 수 있는 환경을 제공한다. DBMS에 의해 데이터베이스 구축 틀이 형성되며 응용 프로그램이 저장부(220)에 접근할 수 있는 인터페이스, 저장부(220)의 장애에 따른 복구, 보안 유지 기능 등을 제공한다.
본 발명에 따른 저장부(220)는 사용자 단말 장치(100)로부터 수집한 대용량의 각종 행위 정보, 이상행위 여부를 판단하기 위한 각종 규칙, 기계학습 수행을 위한 특성추출벡터 및 이상행위 분석 모델, 기타 사용자 단말 장치(100)로부터의 서비스 접근 기록이 저장될 수 있다.
저장부(220)에 저장되는 행위 정보에는 로그인 및 로그아웃 기록, 접속 시 연결된 파일의 수(히트, Hits), 사용자의 웹 브라우저가 HTML로 구성된 웹 문서를 다운받은 횟수(페이지뷰, PageView), 방문자가 사이트에 접속하여 다른 사이트로 떠날 때까지의 상태(세션, Session), 특정 사이트에 머무른 시간(Duration Time)이 포함될 수 있다.
또한 저장부(220)는 특정 사이트에 접속한 각 사용자의 프로파일 정보를 저장할 수 있다.
여기서 프로파일 정보란 특정 사이트에 접속한 사용자로부터 수집된 행위 정보가 어떤 사용자의 행위 정보인지 판별하는 기능을 수행하기 위한 정보이다. 프로파일 정보에 의해 각각의 사용자가 구분되며, 어떤 사용자의 행위 정보인지 구분하기 위하여 사용자 단말 장치(100)에 관한 정보(IP, MAC 주소 등) 또는 특정 웹 사이트의 로그인 ID를 이용하여 각 사용자 별로 프로파일링을 실시할 수 있다. 프로파일링 결과 프로파일 정보가 생성된다.
또한 저장부(220)는 각 사용자의 서로 다른 유형의 복수의 이용행위로 분류된 행위 정보를 저장할 수 있으며, 분류된 각 이용행위별로 부여된 행위 패턴 값을 저장할 수 있다. 또한, 각 행위 정보를 기반으로 추출해낸 특성 벡터를 저장하는 것도 가능하다.
아울러, 저장부(220)는 해킹 여부를 판단하는 규칙을 생성하기 위해, 해킹에 주로 사용되는 프로그램(프로세스)의 목록, 해킹에 주로 사용되는 용어 사전, 해킹과 관련된 알려진 웹 사이트의 오류 코드(Http Error Code)의 목록, 알려진 해킹 수법들의 '입력 문구' 정보를 저장하고 있을 수 있다. 이를 이하에서 규칙 생성 기반 정보라 지칭한다. 특정 이용행위의 패턴이 이상행위를 띄고 있다고 판단되는 경우 이와 매핑하기 위한 각종 해킹 방법론을 더 저장하고 있을 수 있다.
저장부(220)는 이러한 정보를 기반으로 기 설정된 블랙리스트와 화이트리스트를 저장하거나, 그 외 기 설정된 이상행위 분석 규칙을 저장할 수 있다. 또한 기계학습 수행을 위한 학습 데이터를 수신하고 이상행위 분석 규칙이 변경되는 경우 변경된 이상행위 분석 규칙을 저장할 수 있다.
저장부(220)는 하나의 서버 혹은 저장장치로 구성되거나, 다수의 서버 혹은 저장장치에 나뉘어 구성될 수 있다. 저장장치는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM(Compact Disk Read Only Memory), DVD(Digital Video Disk)와 같은 광 기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media) 및 롬(ROM), 램(RAM, Random Access Memory), 플래시 메모리를 포함한다.
이상행위 분석 탐지부(230)는 수집된 행위 정보를 이용한 이상행위 분석 탐지를 수행하기 위한 수단에 해당한다.
본 발명에 따른 이상행위 분석 탐지부(230)는 실시간 처리를 위한 별도의 분산 저장 데이터베이스를 가지고 있을 수 있다.
이상행위 분석 탐지부(230)는 각 사용자 단말 장치(100)로부터 수집한 행위 정보를 서로 다른 유형의 복수의 이용행위로 분류할 수 있다. 여기서 서로 다른 유형의 복수의 이용행위란, 각 사용자의 행위로 인하여 발생된 여러 가지 특징을 일정한 기준에 따라 분류한 카테고리의 일종이며, 일 실시 예로, 웹 이용행위, 하드웨어 이용행위, 소프트웨어 이용행위로 분류될 수 있다.
사용자 단말 장치(100)로부터 수집된 각 행위 정보는 상기 각 유형의 복수의 이용행위로 분류된다. 예를 들어, 네트워크 상에서 오고 가는 패킷 정보는 웹 이용행위로, 사용자의 키보드, 마우스 등의 입력 장치로부터 수집되는 입력 정보는 하드웨어 이용행위로, 사용자 단말 장치(100)가 실행하거나 실행 중인 각종 프로세스의 목록 정보는 소프트웨어 이용행위로 분류될 수 있다. 사용자 PC의 각종 네트워크 정보(IP 주소, MAC 주소, G/W IP 주소, DNS 주소 등)는 웹 이용행위로 분류될 수 있고, 사용자 PC의 OS 및 설치 프로그램 정보는 소프트웨어 이용행위로 분류될 수 있다.
이상행위 분석 탐지부(230)는, 분류된 행위 정보를 이상행위 분석 규칙과 비교하여 행위 패턴 값을 부여할 수 있다. 행위 패턴 값은 0과 1 사이에서 각 규칙 별로 지정된 값에 따라 부여할 수 있다. 여기서 이상행위 분석 규칙은 각 사용자에 적합하도록 사용자 별로 생성된 것일 수 있다.
또한, 이상행위 분석 탐지부(230)는 프로파일 정보를 기반으로 행위 패턴 값을 다르게 부여할 수 있다. 즉, 프로파일링 시 수집한 IP, ID 정보를 기반으로, 이상행위를 일으킨 경력이 있는 IP, ID 정보와 일치하는 경우 행위 패턴 값을 가중하여 부여할 수 있다.
더하여, 각 이용행위 별로 분류된 행위 정보에 대한 행위 패턴 값을 부여하는 것이므로, 분류된 행위 정보 별로 일련의 연속적인 행위가 있는지 판단이 가능하다. 만약 웹 이용행위에 있어, 수집된 IP 주소가 해킹에 자주 사용되는 우회 IP이며, 사용자 단말 장치(100)와 웹 서비스 서버(400) 사이의 송수신 패킷 안에 포함된 HTML 언어 내부에 해킹으로 의심되는 특정한 키워드(이하, 해킹 연관 언어라 지칭함)가 사용된 경우에는, 각각의 행위만이 있을 때보다 해킹 시도일 확률이 높으므로, 연속되는 행위에는 행위 패턴 값을 가중하여 부여할 수 있다.
아울러, 이상행위 분석 탐지부(230)에는 정상행위에 대응하는 화이트리스트(White List)와 이상행위에 대응하는 블랙리스트(Black List)가 기 설정 또는 저장되어 있을 수 있다. 이러한 화이트리스트와 블랙리스트는 저장부(220)에 저장되어 있는 해킹 여부 판단을 위한 각종 해킹 방법론 및 관련 정보에 의해 생성된 것일 수 있다. 이상행위 분석 탐지부(230)는 기 설정된 화이트리스트와 블랙리스트를 행위 파라미터 값과 비교하여 각 이용행위 별로 행위 패턴 값을 부여할 수 있다.
각 이용행위 별로 행위 패턴 값이 부여되면, 이를 기 설정된 임계치와 비교하여 이상행위 여부를 판단한다. 만약, 웹 이용행위, 하드웨어 이용행위, 소프트웨어 이용행위 각각의 행위 패턴을 A, B, C라 할 때, 특정 사용자 단말 장치(100)로부터 수집하여 분류한 A, B, C 각 축의 값이 0.4, 0.3, 0.45인 경우, 즉, [A, B, C]=[0.4, 0.3, 0.45]인 경우이며, 이상행위의 임계치가 0.6으로 설정되어 있는 경우, A, B, C 각각의 값이 모두 0.6 미만이므로 이상행위를 발생시키지 않는 사용자라 판단할 수 있다.
반대로, 특정 사용자 단말 장치(100)로부터 수집되어 부여된 행위 패턴 값이 [A, B, C]=[0.3, 0.2, 0.6]인 경우, C의 행위패턴이 임계치인 0.6 이상이므로 소프트웨어 행위패턴에 이상행위가 있는 것으로 판단하며, 소프트웨어 이용행위로 분류된 행위 정보들을 분석하여, 소프트웨어를 이용한 해킹 시도나 방법론과 비교 및 매핑할 수 있다. 이를 통해 어떠한 방법으로 해킹 시도가 이루어지고 있는지 파악하여, 해당 방법에 적합한 보안 정책을 수립하고 대응하는 것이 가능하다.
더하여, 본 발명의 실시 예에 따르면 임계치는 각 유형의 이용행위 별 또는 사용자 별로 각각 다르게 설정될 수 있다.
이러한 복수의 이용행위 별로 행위 패턴 값을 부여하고, 이를 기 설정된 임계치와 비교하여 이상행위 여부를 판단하는 단계를 제1 탐지 단계라 지칭한다.
또한 이상행위 분석 탐지부(230)는 각 사용자 별 프로파일 정보 및 복수의 이용행위 별로 수집된 행위 정보를 이용하여 기계학습을 위한 학습 데이터를 추출하기 위한 구성을 포함할 수 있다.
이상행위 분석 탐지부(230)는 학습데이터를 기반으로 이상행위 분석 모델을 생성하고 이상행위를 탐지할 수 있다. 이상행위 분석 탐지부(230)에는 이상행위 분석 모델이 기 저장되어 있을 수 있다. 또한, 이상행위 분석 탐지부(230)는 추출된 학습데이터를 이용하여 기계학습을 수행한다. 기계학습의 수행 결과를 통해 이상행위 분석 규칙의 변경 및 이상행위 분석 모델의 수정이 발생할 수 있다. 여기서 이상행위 분석 모델은 SVDD(Support Vector Data Description) 기법을 이용해 생성된 분석 모델일 수 있다.
SVDD는 분류 대상이 되는 하나의 학습 클래스에 속한 데이터만을 이용하여 학습을 수행할 수 있는 단일 클래스 문제(One-Class Classification Problems)를 해결하는데 유용한 기법 중 하나이다. SVDD는 특이점을 검출하여 주어진 목적 데이터 대부분을 포함하는 경계면을 찾는다. 경계면은 목적 데이터를 최대한 포함하며, 특이점을 가정 적게 포함하는 구로 구성된다. 학습 데이터의 집합은 중심 a와 반지름 r을 가지는 경계면 내부 혹은 외부에 분포되며, 학습 데이터 수만큼의 제곱에 해당하는 구를 이용해 학습 클래스의 영역을 표현한다. 학습 데이터가 경계면 외부에 분포하는 경우에는 패널티가 부과된다. 특이점과 구의 크기는 각종 변수와 상수, Lagrangean Multiplier를 이용한 함수로 나타낼 수 있으며, 고차원 특정 공간(Feature Space)을 표현하기 위한 커널이 더 이용될 수 있다.
이상행위 분석 탐지부(230)는 기계학습을 이용하여 기 생성된 이상행위 분석 모델과 현재 사용자 단말 장치(100)를 통해 수집된 각 이용행위 별 행위 정보로부터 추출한 학습 데이터를 상호 비교하여, 상기 학습 데이터가 생성된 이상행위 분석 모델의 경계면 안에 포함되는지, 경계면 밖에 존재하는지를 판단하여 이상행위 여부를 탐지한다.
이상행위 분석 탐지부(230)는 제1 탐지 단계의 결과와 제2 탐지 단계의 결과를 조합하여 이상행위 여부를 최종 판단할 수 있다.
모니터링부(240)는 이상행위 분석 탐지부(230)의 탐지 결과를 출력하며, 이상행위 탐지 시 이를 관리자에게 통지하기 위한 구성이다. 모니터링부(240)는 관리를 위한 별도의 웹 서버나 시스템을 구비할 수 있으며, 대시보드를 포함할 수 있다. 대시보드는 한 화면에서 다양한 정보를 중앙 집중적으로 관리하고 찾을 수 있는 사용자 인터페이스 기능을 포함한다.
규칙 관리부(250)는 이상행위 분석 탐지부(230)의 탐지 결과를 기반으로, 기 수집된 행위 파라미터 값들 중 정상행위로 판단된 행위 파라미터 값을 정상행위 학습 데이터로 추출하고, 추출된 정상행위 학습 데이터를 기반으로 사용자 별로 상기 이상행위 분석 규칙을 추가 및 삭제하기 위한 구성이다.
또한 규칙 관리부(250)를 통해 새로운 기기 및 웹 서비스 접근 형태에 의한 이상행위들에 관하여, 규칙의 추가 또는 삭제가 이루어질 수 있다.
이러한 규칙의 추가 또는 삭제는 관리자의 판단 하에 이루어질 수도 있으나, 규칙 관리부(250)에서 이상행위 분석 규칙과의 비교를 통해 정상행위 또는 이상행위로 판단된 행위 패턴 값을 기반으로 해당 사용자의 이상행위 분석 규칙을 추가 또는 삭제할 수 있다. 예를 들어, 일정 횟수 이상 이상행위로 판단된 행위 패턴 값의 조합은 이후부터 이상행위로 판단하도록 하는 이상행위 분석 규칙을 추가 및 적용하도록 규칙 관리부(250)에서 저장부(220) 또는 이상행위 분석 탐지부(230)를 제어할 수 있다.
도 3은 본 발명의 실시 예에 다른 이상행위 분석 모델의 형성 과정을 나타낸 흐름도이다.
이상행위 분석 탐지부(230)는 사용자의 행위 패턴 값 중 정상행위로 판단된 행위 패턴 값을 학습 데이터로 추출한다(S300). 이상행위 분석 탐지부(230)는 이상행위 분석 모델 생성을 위해 상기 학습 데이터를 특징 벡터화하며(S302), 이후, 상기 특징 벡터를 기반으로 기계학습을 수행한다(S304). 기계학습의 방식으로는 SVDD를 이용할 수 있다. 기계학습의 수행을 통해 이상행위 분석 모델이 생성된다(S306).
도 4는 본 발명의 일 실시 예에 따른 이상행위 탐지 장치(200)가 수행하는 이상행위 탐지 방법의 과정을 설명하기 위한 흐름도이다.
도 4를 참조하면, 먼저 정보 수집부(210)에서는 특정 사이트에 접속한 사용자 단말 장치(100)로부터 행위 정보를 수집한다(S400). 행위 정보의 수집은 각 사용자 단말 장치(100)에 설치된 에이전트를 통해 이루어질 수 있다. 수집되는 행위 정보는, 상기한 바와 같이 송수신 패킷 정보, 사용자 단말 장치(100)와 관련된 IP 주소 등의 각종 네트워크 정보, 하드웨어의 종류 및 그를 이용한 입력 정보, 설치된 소프트웨어 및 실행 중인 소프트웨어에 관한 정보가 포함될 수 있다.
이후, 이상행위 분석 탐지부(230)는 수집된 사용자의 행위 정보를 서로 다른 유형의 복수의 이용행위로 분류한다(S402). 여기서 복수의 이용행위는 웹 이용행위, 하드웨어 이용행위, 소프트웨어 이용행위로 분류될 수 있다. 정보 수집부(210)에 의해 수집된 행위 정보는 모두 특정한 이용행위 중 하나로 분류되어 저장부(220)에 저장될 수 있다.
분류가 이루어진 후, 이상행위 분석 탐지부(230)는 분류된 이용행위 별로 수집된 행위 정보를 이상행위 분석 규칙과 비교하여 행위 패턴 값을 부여한다(S404). 이상행위 분석 규칙에는 블랙리스트 또는 화이트리스트가 포함될 수 있다. 블랙리스트에는 이상행위를 일으킨 IP나 계좌가 등록되어 있을 수 있으며, 화이트리스트에는 정상사용자로 인증 및 등록된 특정 IP나 사용자 단말이 포함될 수 있다.
행위 패턴 값이 부여되면, 이상행위 분석 탐지부(230)는 각 이용행위 별로 부여된 행위 패턴 값을 기 설정된 임계치와 비교하여 이상행위 여부를 판단한다(S406). 임계치는 각 사용자 별로 또는 각 이용행위 별로 다르게 설정될 수 있다. 각 이용행위 중 하나의 행위 패턴 값이 임계치 이상이면 이상행위가 발생한 것으로 판단하며, 임계치 이상인 해당 이용행위와 관련된 이상행위가 발생한 것으로 판단한다. 예를 들어, 웹 이용행위에 부여된 행위 패턴 값이 임계치 이상이고 다른 이용행위는 임계치 이하인 경우 웹 이용행위와 관련된 이상행위가 발생 중인 것으로 판단한다.
이에 더하여, 행위 패턴 값 부여와 병렬적으로, 또는 행위 패턴 값을 부여하여 이상행위 여부가 판단되지 않은 경우에는, 이상행위 분석 탐지부(230)에서 행위 패턴 값을 학습 데이터로 추출하고 이상행위 분석 모델에 입력하여 이상행위 여부를 판단하는 기계학습 기반의 탐지를 수행할 수 있다(S408). 도 3에서 설명한 바와 같이, 기계학습, 특히 SVDD를 통해 이상행위 분석 모델이 생성될 수 있다. 이상행위 분석 탐지부(230)는 실시간으로 수집된 행위 정보를 기반으로 부여된 사용자의 행위 패턴 값을 기반으로 추출된 학습 데이터가 이상행위 분석 모델의 경계면 안에 포함되는지, 경계면 밖에 존재하는지를 판단하여 이상행위에 해당하는지 탐지한다.
이와 같은 과정을 거쳐 정상행위로 판단(S410)되는 경우 또는 이상행위로 판단(S412)되는 경우에는 일련의 연속적인 행위를 이상행위 분석 규칙에 정상행위 또는 이상행위로 추가 또는 삭제할 수 있으며, 필요에 따라 이상행위 분석 모델을 변경하기 위한 기계 학습을 수행할 수 있다. 더하여, 이상행위로 탐지된 경우에는 관리자에게 이상행위 발생을 통지할 수 있으며(S414), 이상행위로 탐지된 이용행위 분류에 해당하는 해킹 방법론과 이용행위를 매핑하여(S416) 발생하고 있는 이상행위에 대한 적절한 대처를 수행할 수 있다.
본 명세서와 도면에서는 예시적인 장치 구성을 기술하고 있지만, 본 명세서에서 설명하는 기능적인 동작과 주제의 구현물은 다른 유형의 디지털 전자 회로로 구현되거나, 본 명세서에서 개시하는 구조 및 그 구조적인 등가물들을 포함하는 컴퓨터 소프트웨어, 펌웨어 혹은 하드웨어로 구현되거나, 이들 중 하나 이상의 결합으로 구현 가능하다. 본 명세서에서 설명하는 주제의 구현물은 하나 이상의 컴퓨터 프로그램 제품, 다시 말해 본 발명에 따른 장치의 동작을 제어하기 위하여 혹은 이것에 의한 실행을 위하여 유형의 프로그램 저장매체 상에 인코딩된 컴퓨터 프로그램 명령에 관한 하나 이상의 모듈로서 구현될 수 있다. 컴퓨터로 판독 가능한 매체는 기계로 판독 가능한 저장 장치, 기계로 판독 가능한 저장 기판, 메모리 장치, 기계로 판독 가능한 전파형 신호에 영향을 미치는 물질의 조성물 혹은 이들 중 하나 이상의 조합일 수 있다.
본 명세서는 다수의 특정한 구현물의 세부사항들을 포함하지만, 이들은 어떠한 발명이나 청구 가능한 것의 범위에 대해서도 제한적인 것으로서 이해되어서는 안되며, 오히려 특정한 발명의 특정한 실시형태에 특유할 수 있는 특징들에 대한 설명으로서 이해되어야 한다. 개별적인 실시형태의 문맥에서 본 명세서에 기술된 특정한 특징들은 단일 실시형태에서 조합하여 구현될 수도 있다. 반대로, 단일 실시형태의 문맥에서 기술한 다양한 특징들 역시 개별적으로 혹은 어떠한 적절한 하위 조합으로도 복수의 실시형태에서 구현 가능하다. 나아가, 특징들이 특정한 조합으로 동작하고 초기에 그와 같이 청구된 바와 같이 묘사될 수 있지만, 청구된 조합으로부터의 하나 이상의 특징들은 일부 경우에 그 조합으로부터 배제될 수 있으며, 그 청구된 조합은 하위 조합이나 하위 조합의 변형물로 변경될 수 있다.
마찬가지로, 특정한 순서로 도면에서 동작들을 묘사하고 있지만, 이는 바람직한 결과를 얻기 위하여 도시된 그 특정한 순서나 순차적인 순서대로 그러한 동작들을 수행하여야 한다거나 모든 도시된 동작들이 수행되어야 하는 것으로 이해되어서는 안 된다. 특정한 경우, 멀티태스킹과 병렬 프로세싱이 유리할 수 있다. 또한, 상술한 실시형태의 다양한 시스템 컴포넌트의 분리는 그러한 분리를 모든 실시형태에서 요구하는 것으로 이해되어서는 안되며, 설명한 프로그램 컴포넌트와 시스템들은 일반적으로 단일의 소프트웨어 제품으로 함께 통합되거나 다중 소프트웨어 제품에 패키징 될 수 있다는 점을 이해하여야 한다.
본 발명은, PC의 사용 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법에 관한 것으로, 사용자 단말 장치에 설치된 에이전트를 통해 다양한 행위 정보를 수집하고, 사용자의 행동 패턴을 분류하는 모델링을 통한 실시간 이상 행위 탐지 기술을 제공할 수 있다.
특히 본 발명에 따르면, 이상행위로 탐지된 이용행위 분류에 해당하는 해킹 방법론과 이용행위를 매핑하여 발생하고 있는 이상행위에 대한 적절한 대처를 수행할 수 있다. 또한, 다수의 이상행위 분석 및 탐지 규칙을 적용하고 기계학습을 수행하여 높은 이상행위 여부 탐지 성공률을 보장할 수 있다.
이에 따라 웹 서비스 서버의 제공자가 제공하고자 하는 서비스를 원활하게 수행할 수 있으므로, 이는 곧 서비스 산업의 발전에 이바지할 수 있으며, 더불어, 본 발명은 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있다.
100: 사용자 단말 장치
200: 이상행위 탐지 장치
400: 웹 서비스 서버
210: 정보 수집부
220: 저장부
230: 이상행위 분석 탐지부
240: 모니터링부
250: 규칙 관리부

Claims (11)

  1. 이상행위 탐지 장치에 의한 이상행위 탐지 방법에 있어서,
    특정 사이트에 접속한 사용자 단말 장치로부터 복수의 행위 정보를 수집하는 단계;
    상기 수집된 복수의 행위 정보를, 네트워크 상에서 송수신되는 패킷 정보, 상기 사용자 단말 장치의 네트워크 정보를 포함하는 웹 이용행위, 입력 장치를 포함하는 상기 사용자 단말 장치의 하드웨어에 대한 사용자 이용 행위를 나타내는 하드웨어 이용행위, 상기 사용자 단말 장치가 실행하거나 실행 중인 프로세스와 관련된 정보를 포함하는 소프트웨어 이용행위로 분류하는 단계;
    상기 분류된 이용행위 별로 수집된 행위 정보를 사용자별로 설정된 이상행위 분석 규칙과 비교하여 행위 패턴 값을 부여하는 단계; 및
    상기 분류된 이용행위 별로 각각 부여된 행위 패턴 값을 기 설정된 임계치와 비교하여, 분류된 이용 행위별로 이상행위 여부를 판단하는 제1 탐지 단계;를 포함하고,
    상기 행위 패턴 값을 부여하는 단계는,
    각 분류된 이용행위 중, 이상 행위로 의심되는 행위들이 연속되는 행위일 때, 상기 행위 패턴 값을 가중하여 부여하고,
    사용자의 프로파일 정보를 기반으로, 상기 행위 패턴 값을 다르게 부여하는 것을 특징으로 하는 이상행위 탐지 방법.
  2. 제1항에 있어서,
    상기 복수의 이용행위 별로 수집된 행위 정보를 이상행위 분석 모델에 입력하여, 상기 이상행위 분석 모델의 연산을 통해, 이상행위 여부를 판단하는 제2 탐지 단계;
    를 더 포함하는 것을 특징으로 하는 이상행위 탐지 방법.
  3. 제2항에 있어서,
    상기 이상행위 분석 모델은,
    SVDD(Support Vector Data Description) 기법을 이용한 분석 모델인 것을 특징으로 하는 이상행위 탐지 방법.
  4. 제1항에 있어서,
    상기 행위 정보를 수집하는 단계는,
    각 사용자 단말과 송수신하는 패킷 정보를 수집하는 단계;
    를 포함하며,
    상기 부여하는 단계는, 상기 패킷 정보에 포함된 언어와 기 저장된 해킹 연관 언어를 비교하여 그 유사도에 따라 행위 패턴 값을 부여하는 것을 특징으로 하는 이상행위 탐지 방법.
  5. 삭제
  6. 제1항에 있어서,
    상기 부여하는 단계는,
    기 저장된 블랙리스트 및 화이트리스트와 상기 행위 패턴을 비교하여 행위 패턴 값을 부여하는 것을 특징으로 하는 이상행위 탐지 방법.
  7. 제1항에 있어서,
    상기 행위 정보는,
    각 사용자 단말에 설치된 에이전트에 의해 수집되는 것을 특징으로 하는 이상행위 탐지 방법.
  8. 특정 사이트에 접속한 사용자 단말 장치로부터 복수의 행위 정보를 수집하는 정보 수집부; 및
    상기 수집된 복수의 행위 정보를 네트워크 상에서 송수신되는 패킷 정보, 상기 사용자 단말 장치의 네트워크 정보를 포함하는 웹 이용행위, 입력 장치를 포함하는 상기 사용자 단말 장치의 하드웨어에 대한 사용자 이용 행위를 나타내는 하드웨어 이용행위, 상기 사용자 단말 장치가 실행하거나 실행 중인 프로세스와 관련된 정보를 포함하는 소프트웨어 이용행위로 분류하고, 상기 분류된 이용행위 별로 각각 수집된 행위 정보를 사용자별로 설정된 이상행위 분석 규칙과 비교하여 행위 패턴 값을 부여하며, 상기 분류된 이용 행위별로 부여된 행위 패턴 값을 각각 기 설정된 임계치와 비교하여 이용 행위별로 이상행위 여부를 판단하는 이상행위 분석탐지부;
    를 포함하는 이상행위 탐지 장치.
  9. 제8항에 있어서,
    상기 이상행위 분석탐지부는,
    상기 복수의 이용 행위별로 수집된 행위 정보를 이상행위 분석 모델에 입력하여, 상기 이상행위 분석 모델의 연산을 통해, 이상행위 여부를 판단하는 것을 특징으로 하는 이상행위 탐지 장치.
  10. 제8항에 있어서,
    상기 정보 수집부는,
    각 사용자 단말 장치와 송수신하는 패킷 정보를 수집하며,
    상기 이상행위 분석탐지부는,
    상기 패킷 정보에 포함된 언어와 기 저장된 해킹 연관 언어를 비교하여 그 유사도에 따라 행위 패턴 값을 부여하는 것을 특징으로 하는 이상행위 탐지 장치.
  11. 제8항에 있어서,
    상기 이상행위 분석탐지부의 탐지 결과를 출력하며, 이상행위 탐지 시 이를 관리자에게 통지하는 모니터링부;
    를 더 포함하는 이상행위 탐지 장치.
KR1020160004179A 2016-01-13 2016-01-13 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치 KR101743269B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160004179A KR101743269B1 (ko) 2016-01-13 2016-01-13 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160004179A KR101743269B1 (ko) 2016-01-13 2016-01-13 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치

Publications (1)

Publication Number Publication Date
KR101743269B1 true KR101743269B1 (ko) 2017-06-05

Family

ID=59222794

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160004179A KR101743269B1 (ko) 2016-01-13 2016-01-13 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치

Country Status (1)

Country Link
KR (1) KR101743269B1 (ko)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101879416B1 (ko) * 2017-06-12 2018-07-18 고려대학교 산학협력단 이상 금융거래 탐지 방법 및 그 전자 장치
KR101885232B1 (ko) * 2017-06-30 2018-08-03 기영준 비지도 학습 기반 신용카드 거래 위험도 측정 장치 및 방법
KR20190033170A (ko) * 2017-09-21 2019-03-29 캠프모바일 주식회사 어뷰저 탐지
KR20190048004A (ko) * 2017-10-30 2019-05-09 삼성에스디에스 주식회사 기계 학습 기반의 이상 행위 탐지 방법 및 그 장치
WO2019107840A1 (ko) * 2017-11-29 2019-06-06 (주) 위세아이텍 인공지능 기반의 보험금 부당청구 탐지 장치 및 방법
KR20200022593A (ko) * 2018-08-23 2020-03-04 최운영 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템
KR20200088194A (ko) * 2019-01-14 2020-07-22 펜타시큐리티시스템 주식회사 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치
US11003765B2 (en) 2018-06-11 2021-05-11 Tmax A&C Co., Ltd Container-based integrated management system
KR20210056800A (ko) * 2019-11-11 2021-05-20 (주)하몬소프트 관심 동작 영역 기반의 edr 장치 및 방법
KR20210133598A (ko) * 2020-04-29 2021-11-08 주식회사 오케이첵 개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치
KR102346885B1 (ko) * 2021-07-28 2022-01-04 주식회사 아미크 기업정보시스템에 대한 이상행위 탐지 결과를 개화 줄기 형상으로 시각화하는 방법 및 시스템
KR102577391B1 (ko) * 2022-11-15 2023-09-13 후엠아이글로벌 주식회사 온라인 방청단을 이용한 v­커머스 플랫폼 서비스 제공 시스템
CN116866069A (zh) * 2023-08-08 2023-10-10 四川企创未来科技服务有限责任公司 一种基于大数据的网络风险行为识别方法
CN117201090A (zh) * 2023-08-28 2023-12-08 山东亚泽信息技术有限公司 一种异常行为检测处理方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101153968B1 (ko) * 2009-11-03 2012-06-08 김대환 금융사기 방지 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101153968B1 (ko) * 2009-11-03 2012-06-08 김대환 금융사기 방지 시스템 및 방법

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101879416B1 (ko) * 2017-06-12 2018-07-18 고려대학교 산학협력단 이상 금융거래 탐지 방법 및 그 전자 장치
US11763308B2 (en) 2017-06-12 2023-09-19 Korea University Research And Business Foundation Apparatus and method of detecting abnormal financial transaction
KR101885232B1 (ko) * 2017-06-30 2018-08-03 기영준 비지도 학습 기반 신용카드 거래 위험도 측정 장치 및 방법
KR20190033170A (ko) * 2017-09-21 2019-03-29 캠프모바일 주식회사 어뷰저 탐지
KR102029941B1 (ko) * 2017-09-21 2019-10-08 캠프모바일 주식회사 어뷰저 탐지
KR20190048004A (ko) * 2017-10-30 2019-05-09 삼성에스디에스 주식회사 기계 학습 기반의 이상 행위 탐지 방법 및 그 장치
KR102348536B1 (ko) * 2017-10-30 2022-01-06 삼성에스디에스 주식회사 기계 학습 기반의 이상 행위 탐지 방법 및 그 장치
WO2019107840A1 (ko) * 2017-11-29 2019-06-06 (주) 위세아이텍 인공지능 기반의 보험금 부당청구 탐지 장치 및 방법
US11003765B2 (en) 2018-06-11 2021-05-11 Tmax A&C Co., Ltd Container-based integrated management system
KR102112315B1 (ko) * 2018-08-23 2020-05-18 최운영 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템
KR20200022593A (ko) * 2018-08-23 2020-03-04 최운영 디스크 보호 영역을 활용한 데이터 사용 로그 추적 시스템
KR20200088194A (ko) * 2019-01-14 2020-07-22 펜타시큐리티시스템 주식회사 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치
KR102151173B1 (ko) 2019-01-14 2020-09-02 펜타시큐리티시스템 주식회사 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치
KR102348359B1 (ko) * 2019-11-11 2022-01-11 (주)하몬소프트 관심 동작 영역 기반의 edr 장치 및 방법
KR20210056800A (ko) * 2019-11-11 2021-05-20 (주)하몬소프트 관심 동작 영역 기반의 edr 장치 및 방법
KR20210133598A (ko) * 2020-04-29 2021-11-08 주식회사 오케이첵 개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치
KR102373936B1 (ko) * 2020-04-29 2022-03-15 주식회사 오케이첵 개인정보의 오남용에 대한 이상징후를 모니터링하는 방법 및 장치
KR102346885B1 (ko) * 2021-07-28 2022-01-04 주식회사 아미크 기업정보시스템에 대한 이상행위 탐지 결과를 개화 줄기 형상으로 시각화하는 방법 및 시스템
KR102577391B1 (ko) * 2022-11-15 2023-09-13 후엠아이글로벌 주식회사 온라인 방청단을 이용한 v­커머스 플랫폼 서비스 제공 시스템
CN116866069A (zh) * 2023-08-08 2023-10-10 四川企创未来科技服务有限责任公司 一种基于大数据的网络风险行为识别方法
CN116866069B (zh) * 2023-08-08 2024-03-29 深圳市众志天成科技有限公司 一种基于大数据的网络风险行为识别方法
CN117201090A (zh) * 2023-08-28 2023-12-08 山东亚泽信息技术有限公司 一种异常行为检测处理方法及系统

Similar Documents

Publication Publication Date Title
KR101743269B1 (ko) 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치
KR101767454B1 (ko) 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치
CN110413908B (zh) 基于网站内容对统一资源定位符进行分类的方法和装置
CN113098870B (zh) 一种网络诈骗检测方法、装置、电子设备及存储介质
Ham et al. Linear SVM‐based android malware detection for reliable IoT services
KR101547999B1 (ko) 악성링크 자동 탐지 장치 및 방법
US10721245B2 (en) Method and device for automatically verifying security event
US9213990B2 (en) Method of reducing financial fraud by user devices patronizing commercial websites
CN105590055B (zh) 用于在网络交互系统中识别用户可信行为的方法及装置
JP2020510926A (ja) インテリジェントセキュリティ管理
CN109862003B (zh) 本地威胁情报库的生成方法、装置、系统及存储介质
CN103593609B (zh) 一种可信行为识别的方法和装置
JP6290659B2 (ja) アクセス管理方法およびアクセス管理システム
CN111586005B (zh) 扫描器扫描行为识别方法及装置
CN111404937B (zh) 一种服务器漏洞的检测方法和装置
Shrivastava et al. Android application behavioural analysis for data leakage
US9098699B1 (en) Smart television data sharing to provide security
CN114157568B (zh) 一种浏览器安全访问方法、装置、设备及存储介质
Demissie et al. Anflo: Detecting anomalous sensitive information flows in android apps
CN115238275A (zh) 一种基于安全态势感知的勒索软件检测方法及系统
CN110955890A (zh) 恶意批量访问行为的检测方法、装置和计算机存储介质
CN112215622A (zh) 一种基于订单信息的风险防控方法及其系统
CN110365642B (zh) 监控信息操作的方法、装置、计算机设备及存储介质
Izergin et al. Risk assessment model of compromising personal data on mobile devices
KR101602480B1 (ko) 불법 사이트 차단 시스템 및 방법, 이를 수행하기 위한 기록매체

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant