KR101809671B1 - 이상 인증 탐지 장치 및 방법 - Google Patents

이상 인증 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101809671B1
KR101809671B1 KR1020160013089A KR20160013089A KR101809671B1 KR 101809671 B1 KR101809671 B1 KR 101809671B1 KR 1020160013089 A KR1020160013089 A KR 1020160013089A KR 20160013089 A KR20160013089 A KR 20160013089A KR 101809671 B1 KR101809671 B1 KR 101809671B1
Authority
KR
South Korea
Prior art keywords
authentication
pattern
user
cluster
abnormal
Prior art date
Application number
KR1020160013089A
Other languages
English (en)
Other versions
KR20170092054A (ko
Inventor
홍성일
강대진
이형찬
Original Assignee
(주)유비앤티스랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유비앤티스랩 filed Critical (주)유비앤티스랩
Priority to KR1020160013089A priority Critical patent/KR101809671B1/ko
Publication of KR20170092054A publication Critical patent/KR20170092054A/ko
Application granted granted Critical
Publication of KR101809671B1 publication Critical patent/KR101809671B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

이상 인증 탐지 장치 및 방법이 개시된다. 본 발명에 따른 이상 인증 탐지 장치에 의해 수행되는 이상 인증 탐지 방법은, 사용자 인증 요청에 상응하는 사용자 ID를 이용하여 위치 패턴 및 인증 시각 패턴 중에서 적어도 하나를 포함하는 사용자 인증 패턴을 조회하는 단계, 조회된 상기 사용자 인증 패턴을 이용하여, 상기 사용자 인증 요청이 이상 인증인지 여부를 판단하는 단계, 상기 사용자 인증 요청이 상기 이상 인증인 것으로 판단된 경우, 상기 사용자 인증 요청에 상응하는 IP를 이용하여, 이상 인증 이력을 조회하는 단계, 그리고 상기 IP에 상응하는 상기 이상 인증 이력이 존재하는 경우, 상기 이상 인증으로 판단된 상기 사용자 인증 요청에 상응하는 상기 사용자 인증 패턴, 상기 IP의 정보, 인증 시각 정보 중에서 적어도 하나를 상기 이상 인증 이력에 저장하는 단계를 포함한다.

Description

이상 인증 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING ANOMALY AUTHENTICATION}
본 발명은 사용자 인증 발생시, 인증 이력을 이용하여 해당 사용자 인증의 이상 유무를 탐지하는 기술에 관한 것으로, 특히 인증 이력의 위치 패턴 및 인증 시각 패턴을 이용하여 요청된 사용자 인증의 이상 유무를 탐지하는 기술에 관한 것이다.
네트워크를 통해 제공되는 서비스는 서비스를 제공하는 서버와 해당 서비스를 제공받는 클라이언트로 구성된다. 서버는 서비스 제공자(Service Provider)에 의해 운영되는 시스템을 의미하며, 클라이언트는 서버가 제공하는 서비스를 이용하기 위하여 서비스 사용자(User)가 사용하는 단말기 또는 프로그램을 의미한다.
서비스 사용자를 악의적인 공격자로부터 보호하기 위하여, 서비스 제공자는 네트워크의 양 끝 단인 서버와 클라이언트 그리고 네트워크 통신 과정에 다양한 보안 기술을 적용한다.
최근에는 FDS(Fraud Detection System)와 같은 지능형 이상 탐지(Anomaly Detection) 기술이 금융 분야 등에 적용되고 있다. 지능형 이상 탐지 기술은 각 사용자의 행위를 기록하고 해당 기록을 분석하여, 사용자의 행위 등의 패턴을 생성한다. 그리고 생성된 패턴을 벗어나는 행위를 시스템 상에서 탐지하는 기술이다. 지능형 이상 탐지 기술은 악의적인 공격자가 사용자의 ID, 패스워드 등의 인증 정보를 탈취하여 인증을 시도하는 경우, 이를 탐지할 수 있다.
또한, 이상 탐지 기술은 사용자 인증 분야에도 적용된다. 예를 들어, 각 사용자별 접속 IP를 수집하고, 차후 사용자가 기 수집된 IP 목록에 없는 IP로 로그인 시도 시, 이를 탐지한다.
이러한 종래의 기술은 악의적인 공격자의 인증 시도를 탐지하지 못하는 거짓 음성(False negative)의 확률은 낮으나, 사용자의 인증 시도를 이상 인증으로 탐지하는 거짓 양성(False positive)의 확률이 높다.
악의적인 공격자가 사용자의 단말기 또는 사용자가 사용한 IP를 사용하여 사용자 인증을 시도하지 않는 한, 악의적인 공격자는 이상 사용자로 분류되지 않는다. 즉, 거짓 음성의 확률이 낮다.
그러나, 사용자가 기존 접속 인근 지역에서 접속하거나, 대중교통 등을 이용하면서 접속하는 경우, 종래의 기술은 사용자 인증 시도를 이상 인증으로 탐지하여, 거짓 양성으로 분류할 수 있다. 인근 지역이나 대중교통 사용시 접속되는 IP가 기 수집된 IP 목록에 없는 경우, 해당 사용자 인증 시도를 이상 인증으로 탐지하므로, 거짓 양성의 확률이 높다.
이와 같이, 종래의 기술은 거짓 양성의 확률이 높아 사용자에게 불필요한 이상 탐지 알림을 전송하는 경우가 많으며, 이는 사용자의 편의성을 저해한다. 따라서, 거짓 양성의 확률을 줄이며 이상 인증을 탐지하는 기술의 필요성이 절실하게 대두된다.
한국 공개 특허 제10-2009-0019443호, 2009년 02월 25일 공개(명칭: IP 주소를 이용한 사용자 인증 시스템 및 그 방법)
본 발명의 목적은 악의적인 공격자의 사용자 인증 시도를 탐지하고, 사용자에게 알림으로써, 악의적인 공격자로부터 사용자의 네트워크상 자원을 보호할 수 있도록 하는 것이다.
또한, 본 발명의 목적은 인접 지역에서 발생하는 사용자 인증의 거짓 양성 확률을 낮춰, 사용자의 편의성을 증대시키는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 이상 인증 탐지 장치에 의해 수행되는 이상 인증 탐지 방법은, 사용자 인증 요청에 상응하는 사용자 ID를 이용하여 위치 패턴 및 인증 시각 패턴 중에서 적어도 하나를 포함하는 사용자 인증 패턴을 조회하는 단계, 조회된 상기 사용자 인증 패턴을 이용하여, 상기 사용자 인증 요청이 이상 인증인지 여부를 판단하는 단계, 상기 사용자 인증 요청이 상기 이상 인증인 것으로 판단된 경우, 상기 사용자 인증 요청에 상응하는 IP를 이용하여, 이상 인증 이력을 조회하는 단계, 그리고 상기 IP에 상응하는 상기 이상 인증 이력이 존재하는 경우, 상기 이상 인증으로 판단된 상기 사용자 인증 요청에 상응하는 상기 사용자 인증 패턴, 상기 IP의 정보, 인증 시각 정보 중에서 적어도 하나를 상기 이상 인증 이력에 저장하는 단계를 포함한다.
이 때, 상기 사용자 인증 패턴은 인증 이력의 전처리 과정, 상기 인증 이력의 위치 패턴 분석 과정 및 상기 인증 이력의 인증 시각 패턴 분석 과정을 통하여 탐지된 것일 수 있다.
이 때, 상기 인증 이력의 전처리 과정은, 상기 인증 이력에 상응하는 IP를 이용하여 인터넷 사업자 정보를 조회하는 단계, 상기 인터넷 사업자 정보의 도로 정보를 이용하여 GPS 좌표를 조회하는 단계, 그리고 상기 인증 이력을 상기 인터넷 사업자 정보에 상응하는 클러스터로 분류하는 단계를 포함 할 수 있다.
이 때, 상기 분류된 클러스터의 접속 시각에 따른 확률 분포가 임계치 이하의 표준 편차를 갖는 경우, 상기 인증 이력을 상기 클러스터에서 제외하는 단계를 더 포함 할 수 있다.
이 때, 상기 인증 이력의 위치 패턴 분석 과정은, 상기 전처리 과정을 거친 상기 클러스터에 상응하는 상기 GPS 좌표의 임계 범위 내에 위치 기반 클러스터가 존재하는지 여부를 판단하는 단계, 상기 임계 범위 내에 상기 위치 기반 클러스터가 존재하는 경우, 상기 클러스터를 상기 위치 기반 클러스터에 추가하는 단계, 그리고 상기 위치 기반 클러스터의 위치 정보 및 확률 분포를 연산하여, 상기 인증 이력의 위치 패턴을 분석하는 단계를 포함 할 수 있다.
이 때, 상기 인증 이력의 인증 시각 패턴 분석 과정은, 상기 인증 이력을 복수의 요일 집합들로 분류하는 단계, 상기 요일 집합에 상응하는 접속 횟수를 이용하여 상기 요일 집합들을 병합하고, 상기 클러스터를 생성하는 단계, 상기 클러스터에 상응하는 인증 시각에 대한 누적 확률 분포를 연산하는 단계, 상기 접속 횟수 또는 상기 인증 시각에 대한 누적 확률 분포를 이용하여, 상기 클러스터의 신뢰도를 연산하는 단계, 그리고 상기 클러스터의 신뢰도가 임계 신뢰도 이상인 경우, 상기 클러스터의 상기 인증 시각에 대한 패턴 정보를 추출하는 단계를 포함 할 수 있다.
이 때, 상기 사용자 인증 요청이 이상 인증인지 여부를 판단하는 단계는, 상기 사용자 인증 요청에 상응하는 GPS 좌표를 조회하는 단계, 상기 인증 이력의 위치 패턴 중에서 상기 사용자 인증 요청에 상응하는 GPS좌표와의 거리가 기 설정된 거리 이내인 상기 위치 패턴을 조회하는 단계, 그리고 상기 GPS 좌표와의 거리가 기 설정된 거리 이내인 상기 위치 패턴이 존재하는지 여부를 이용하여, 상기 사용자 인증 요청이 정상 인증인지 여부를 판단하는 단계를 포함 할 수 있다.
이 때, 상기 사용자 인증 요청이 이상 인증인지 여부를 판단하는 단계는, 상기 사용자 인증 요청에 상응하는 상기 인증 시각을 이용하여, 상기 요일 집합을 선택하는 단계, 선택된 상기 요일 집합에 상응하는 상기 인증 시각 패턴을 조회하여, 상기 인증 시각 패턴에 대한 누적 확률 분포의 확률 값을 계산하는 단계, 상기 확률 값과 기 설정된 값을 비교하여, 상기 사용자 인증 요청이 정상 인증인지 여부를 판단하는 단계를 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 이상 인증 탐지 장치는, 사용자 인증 요청에 상응하는 사용자 ID를 이용하여 사용자 인증 패턴을 조회하는 인증 패턴 조회부, 조회된 상기 사용자 인증 패턴을 이용하여, 상기 사용자 인증 요청이 이상 인증인지 여부를 판단하는 이상 인증 여부 판단부, 상기 사용자 인증 요청이 상기 이상 인증인 것으로 판단된 경우, 상기 사용자 인증 요청에 상응하는 IP를 이용하여, 이상 인증 이력을 조회하는 이상 인증 이력 조회부, 그리고 상기 IP에 상응하는 상기 이상 인증 이력이 존재하는 경우, 상기 이상 인증으로 판단된 상기 사용자 인증 요청에 상응하는 상기 사용자 인증 패턴, 상기 IP의 정보, 인증 시각 정보 중에서 적어도 하나를 상기 이상 인증 이력에 저장하는 저장부를 포함한다.
본 발명에 따르면, 악의적인 공격자의 사용자 인증 시도를 탐지하고, 사용자에게 알림으로써, 악의적인 공격자로부터 사용자의 네트워크상 자원을 보호할 수 있다.
또한, 본 발명은 인접 지역에서 발생하는 사용자 인증의 거짓 양성 확률을 낮춰, 사용자의 편의성을 증대시킬 수 있다.
도 1은 본 발명의 일실시예에 따른 이상 인증 탐지 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 이상 인증 탐지 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 인증 패턴 탐지부의 구성을 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 이상 인증 탐지 장치에 의해 수행되는 이상 인증 탐지 방법을 나타낸 순서도이다.
도 5는 본 발명의 일실시예에 따른 사용자 위치 패턴을 이용한 사용자 인증 기록 판단 과정을 설명하기 위한 순서도이다.
도 6은 본 발명의 일실시예에 따른 사용자 인증 시각 패턴을 이용한 사용자 인증 기록 판단 과정을 설명하기 위한 순서도이다.
도 7은 본 발명의 일실시예에 따른 사용자 패턴 분석 방법을 설명하기 위한 순서도이다.
도 8은 본 발명의 일실시예에 따른 인증 이력의 전처리 과정을 설명하기 위한 순서도이다.
도 9는 본 발명의 일실시예에 따른 위치 패턴을 분석하는 방법을 설명하기 위한 순서도이다.
도 10은 본 발명의 일실시예에 따른 인증 시각 패턴을 분석하는 방법을 설명하기 위한 순서도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 이상 인증 탐지 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 1에 도시한 바와 같이, 클라이언트(50), 사용자 인증 장치(100) 및 인증 기록 저장소(150)로 구성된 일반적인 사용자 인증 시스템이 포함된 환경에 적용될 수 있다. 또한, 이상 인증 탐지 장치(200)는 IP기반 위치 정보, 사용자 인증 분석 정보, 환경설정 정보 및 이상 인증 기록 정보 중에서 적어도 하나를 저장하는 저장부(250)와 연결될 수 있다.
클라이언트(50)는 네트워크를 통하여 서비스에 접속하고자 하는 사용자의 단말기 또는 응용 프로그램일 수 있다.
그리고 사용자 인증 장치(100)는 네트워크상에 존재하는 임의의 서비스를 의미하며, 클라이언트(50)로부터 사용자 인증을 요청받아, 사용자 인증을 수행한다.
또한, 사용자 인증 장치(100)는 사용자 인증의 성공 및 실패 여부에 상관없이 사용자 인증 결과를 저장부(250)에 저장한다. 이때, 사용자 인증 장치(100)는 사용자 식별자인 사용자 ID, 인증 시각, IP 정보, 클라이언트(50)에 상응하는 접속 장치 정보 및 브라우저 정보 중에서 적어도 하나를 저장부(250)에 저장할 수 있다.
이상 인증 탐지 장치(200)는 클라이언트(50)가 사용자 인증 장치(100)에 입력한 사용자 인증 요청이 이상 인증인지 여부를 판단한다. 이상 인증 탐지 장치(200)는 기 저장된 사용자 인증 패턴 중에서 사용자 인증 요청에 상응하는 패턴을 조회한다. 그리고 조회 결과를 이용하여 해당 사용자 인증 요청이 이상 인증인지 여부를 탐지한다.
또한, 사용자 인증 요청에 상응하는 사용자에게 이상 인증 탐지 결과를 알릴 수 있다. 이때, 이상 인증 탐지 장치(200)는 메일(e-mail), SMS 등을 포함하는 사용자 연락처로 이상 인증 탐지 결과를 전송할 수 있다.
설명의 편의상, 이상 인증 탐지 장치(200)가 외부의 저장부(250)와 연결되는 것으로 설명하였으나, 이에 한정하지 않고, 이상 인증 탐지 장치(200)는 내부에 저장부(250)를 구비할 수도 있다.
도 2는 본 발명의 일실시예에 따른 이상 인증 탐지 장치의 구성을 나타낸 블록도이다.
도 2에 도시한 바와 같이, 이상 인증 탐지 장치(200)는 인증 패턴 조회부(210), 이상 인증 여부 판단부(220), 이상 인증 이력 조회부(230), 인증 패턴 탐지부(240) 및 저장부(250)를 포함한다.
먼저, 인증 패턴 조회부(210)는 사용자 인증 요청에 상응하는 사용자 ID를 이용하여, 사용자 인증 패턴을 조회한다.
그리고 이상 인증 여부 판단부(220)는 조회된 사용자 인증 패턴을 이용하여, 사용자 인증 요청이 이상 인증인지 여부를 판단한다.
또한, 이상 인증 여부 판단부(220)는 사용자 인증 요청에 상응하는 GPS 좌표를 조회하고, 인증 이력의 위치 패턴 중에서 사용자 인증 요청에 상응하는 GPS 좌표와의 거리가 기 설정된 거리 이내인 위치 패턴을 조회한다.
그리고 이상 인증 여부 판단부(220)는 GPS 좌표와의 거리가 기 설정된 거리 이내인 위치 패턴이 존재하는지 여부를 이용하여, 사용자 인증 요청이 정상 인증인지 여부를 판단한다.
또한, 이상 인증 여부 판단부(220)는 사용자 인증 요청에 상응하는 인증 시각을 이용하여, 요일 집합을 선택하고, 선택된 요일 집합에 상응하는 인증 시각 패턴을 조회하여, 인증 시각 패턴에 대한 누적 확률 분포의 확률 값을 연산한다.
그리고 이상 인증 여부 판단부(220)는 확률 값과 기 설정된 값을 비교하여, 사용자 인증 요청이 정상 인증인지 여부를 판단한다.
다음으로, 이상 인증 이력 조회부(230)는 사용자 인증 요청이 이상 인증인 것으로 판단된 경우, 사용자 인증 요청에 상응하는 IP를 이용하여, 이상 인증 이력을 조회한다.
그리고 인증 패턴 탐지부(240)는 사용자 ID로 조회한 인증 이력을 인증 패턴 분석에 용이한 형태로 변환하고, 인증 이력의 위치 패턴 및 인증 시각 패턴을 분석한다.
마지막으로 저장부(250)는 IP에 상응하는 이상 인증 이력이 존재하는 경우, 이상 인증으로 판단된 사용자 인증 요청에 상응하는 사용자 인증 패턴, IP의 정보, 인증 시각 정보 중에서 적어도 하나를 이상 인증 이력으로 저장한다.
그리고 저장부(250)는 IP기반 위치 정보 저장소, 사용자 인증 분석 정보 저장소, 환경 설정 저장소 및 이상 인증 기록 저장소를 포함할 수 있다.
도 3은 본 발명의 일실시예에 따른 인증 패턴 탐지부의 구성을 나타낸 블록도이다.
도 3에 도시한 바와 같이, 인증 패턴 탐지부(240)는 전처리 모듈(241), 위치 패턴 분석 모듈(243) 및 인증 시각 패턴 분석 모듈(245)를 포함한다.
먼저, 전처리 모듈(241)은 인증 이력에 상응하는 IP를 이용하여, 인터넷 사업자 정보를 조회하고, 인터넷 사업자 정보의 도로 정보를 이용하여 GPS 좌표를 조회한다. 그리고 전처리 모듈(241)은 인증 이력을 인터넷 사업자 정보에 상응하는 클러스터로 분류한다.
다음으로 위치 패턴 분석 모듈(243)은 전 처리된 클러스터에 상응하는 GPS 좌표의 임계 범위 내에 위치 기반 클러스터가 존재하는지 여부를 판단하고, 임계 범위 내에 위치 기반 클러스터가 존재하는 경우, 클러스터를 위치 기반 클러스터에 추가한다.
그리고 위치 패턴 분석 모듈(243)은 위치 기반 클러스터의 위치 정보 및 확률 분포를 연산하여, 인증 이력의 위치 패턴을 분석한다.
마지막으로, 인증 시각 패턴 분석 모듈(245)은 인증 이력을 복수의 요일 집합으로 분류하고, 요일 집합에 상응하는 접속 횟수를 이용하여, 요일 집합들을 병합하고, 클러스터를 생성한다.
그리고 인증 시각 패턴 분석 모듈(245)은 클러스터에 상응하는 인증 시각에 대한 누적 확률 분포를 연산하고, 접속 횟수 또는 인증 시각에 대한 누적 확률 분포를 이용하여, 클러스터의 신뢰도를 연산한다.
이때, 인증 시각 패턴 분석 모듈(245)은 클러스터의 신뢰도가 임계 신뢰도 이상인 경우, 클러스터의 인증 시각에 대한 패턴 정보를 추출한다.
이하에서는 도 4 내지 도 6을 통하여 본 발명의 일실시예에 따른 이상 인증 탐지 장치에 의한 이상 인증 탐지 방법에 대하여 더욱 상세하게 설명한다.
도 4는 본 발명의 일실시예에 따른 이상 인증 탐지 장치에 의해 수행되는 이상 인증 탐지 방법을 나타낸 순서도이다.
먼저, 이상 인증 탐지 장치(200)는 사용자 인증 패턴을 이용하여, 사용자 인증 패턴을 조회한다(S410).
이상 인증 탐지 장치(200)는 사용자 인증 요청에 상응하는 사용자 ID를 이용하여, 위치 패턴 및 인증 시각 패턴 중에서 적어도 하나를 포함하는 사용자 인증 패턴을 조회한다. 이때, 조회된 사용자 인증 패턴은 이상 인증 탐지에 사용될 데이터를 의미한다.
이상 인증 탐지 장치(200)는 조회된 사용자 인증 패턴의 수가 임계치 이상인 경우 S420 단계를 수행하고, 조회된 사용자 인증 패턴의 수가 임계치 미만인 경우, 이상 인증 탐지 과정을 종료할 수 있다. 즉, 이상 인증 탐지 장치(200)는 조회된 사용자 인증 패턴의 수가 이상 인증을 탐지하기에 충분할 경우 이상 인증 탐지를 수행하고, 이상 인증을 탐지하기에 부족하다고 판단된 경우 이상 인증 탐지를 수행하지 않을 수 있다.
그리고 이상 인증 탐지 장치(200)는 사용자 인증 패턴을 이용하여, 사용자 인증 요청이 이상 인증인지 여부를 판단한다(S420).
이때, 이상 인증 탐지 장치(200)는 사용자 인증 패턴으로 사용자 위치 패턴 또는 사용자 인증 시각 패턴 중에서 적어도 하나를 사용하여, 사용자 인증 요청이 이상 인증인지 여부를 판단할 수 있다.
도 5는 본 발명의 일실시예에 따른 사용자 위치 패턴을 이용한 사용자 인증 기록 판단 과정을 설명하기 위한 순서도이다.
도 5에 도시한 바와 같이, 이상 인증 탐지 장치(200)는 사용자 인증 요청에 상응하는 GPS 좌표를 조회한다(S510).
이상 인증 탐지 장치(200)는 사용자 인증 요청에 상응하는 IP를 이용하여, 기 저장된 IP 기반 위치 정보를 조회하거나, 외부 서비스를 활용하여 GPS 값을 조회한다.
그리고 이상 인증 탐지 장치(200)는 기 설정된 거리 이내의 위치 패턴을 조회한다(S520).
다음으로 이상 인증 탐지 장치(200)는 GPS 좌표의 기 설정된 거리 이내에 위치 패턴이 존재하는지 여부를 판단한다(S530).
이상 인증 탐지 장치(200)는 도 4의 S410 단계에서 조회된 사용자 인증 패턴에 포함된 모든 GPS 좌표와 S510 단계에서 조회한 GPS 좌표간 거리를 비교한다. 그리고 이상 인증 탐지 장치(200)는 두 GPS 좌표간 거리가 기 설정된 거리 이내인지 여부를 판단한다. 여기서, 기 설정된 거리는 저장부의 환경 설정 저장소에 정의된 값 일수 있다.
GPS 좌표에 상응하는 위치 패턴이 기 설정된 거리 이내에 존재하는 경우, 이상 인증 탐지 장치(200)는 해당 사용자 인증 요청을 정상 인증으로 판단한다(S540).
GPS 좌표간 거리를 비교한 결과, 두 GPS 좌표간 거리가 기 설정된 거리 이내에 포함되는 경우, 이상 인증 탐지 장치(200)는 해당 사용자 인증 요청을 정상 인증으로 평가한다.
반면, GPS 좌표에 상응하는 위치 패턴이 기 설정된 거리 이내에 존재하지 않는 경우, 이상 인증 탐지 장치(200)는 사용자 인증 요청을 이상 인증으로 판단한다(S550).
즉, GPS 좌표간 거리를 비교한 결과, 두 GPS 좌표간 거리가 기 설정된 거리 이내에 포함되지 않는 경우, 이상 인증 탐지 장치(200)는 해당 사용자 인증 요청을 이상 인증으로 평가한다.
또한, 이상 인증 탐지 장치(200)는 IP 기반 위치 정보 또는 GPS 값 조회에 실패한 경우, 해당 사용자 인증 요청을 정상 인증으로 평가하고 종료할 수 있다.
도 6은 본 발명의 일실시예에 따른 사용자 인증 시각 패턴을 이용한 사용자 인증 기록 판단 과정을 설명하기 위한 순서도이다.
도 6과 같이, 이상 인증 탐지 장치(200)는 사용자 인증 요청에 상응하는 요일 집합을 선택한다(S610).
이상 인증 탐지 장치(200)는 사용자 인증 요청에 상응하는 인증 요일을 계산하고, 계산된 인증 요일에 상응하는 요일 집합을 선택한다.
그리고 이상 인증 탐지 장치(200)는 요일 집합의 인증 시각 패턴을 조회한다(S620).
이상 인증 탐지 장치(200)는 S610 단계에서 선택된 요일 집합에 상응하는 인증 시각 패턴을 조회한다.
다음으로, 이상 인증 탐지 장치(200)는 누적 확률 분포의 확률 값을 연산한다(S630).
이상 인증 탐지 장치(200)는 사용자 인증 시각을 확률 변수로 누적 확률 분포의 확률 값을 연산한다.
그리고 이상 인증 탐지 장치(200)는 연산된 확률 값과 기 설정된 값을 비교한다(S640).
비교 결과, 확률 값이 기 설정된 값보다 큰 경우, 이상 인증 탐지 장치(200)는 해당 사용자 인증 요청을 정상 인증으로 판단한다(S650).
반면, 확률 값이 기 설정된 값 이하인 것으로 판단된 경우, 이상 인증 탐지 장치(200)는 해당 사용자 인증 요청을 이상 인증으로 판단한다(S660).
다시, 도 4에 대하여 설명하면, 사용자 인증 요청이 이상 인증인지 판단한 결과(S430), 이상 인증으로 판단된 경우, 이상 인증 탐지 장치(200)는 이상 인증 이력을 조회하고, 사용자 인증 요청을 이상 인증 이력에 저장한다(S440).
이상 인증 탐지 장치(200)는 사용자 인증 요청이 이상 인증인 것으로 판단된 경우, 사용자 인증 요청에 상응하는 IP를 이용하여 이상 인증 이력을 조회한다. 이때, 이상 인증 탐지 장치(200)는 정의된 임계 시간 내의 이상 인증 이력을 대상으로 IP에 상응하는 이상 인증 이력을 조회할 수 있다.
그리고 해당 IP에 상응하는 이상 인증 양성 평가 이력이 존재하는 경우, 이상 인증으로 판단된 사용자 인증 요청에 상응하는 사용자 인증 패턴, 해당 IP의 정보 및 인증 시각 정보 중에서 적어도 하나를 이상 인증 양성 평가 이력에 저장한다.
또한, 해당 IP에 상응하는 이상 인증 양성 평가 이력이 존재하지 않는 경우, 이상 인증 탐지 장치(200)는 사용자 알림 서비스를 호출한다. 이때, 사용자 알림 서비스 호출 시, 사용자 ID, 검출된 사용자 인증 패턴 등을 매개 변수로 사용할 수 있다.
그리고 이상 인증으로 판단된 사용자 인증 요청에 상응하는 사용자 인증 패턴, 해당 IP의 정보 및 인증 시각 정보 중에서 적어도 하나를 이상 인증 양성 평가 이력에 저장할 수 있다.
반면, 사용자 인증 요청이 이상 인증이 아닌 것으로 판단된 경우, 이상 인증 탐지 장치(200)는 동작을 종료할 수 있다.
이하에서는 도 7 내지 도 10을 통하여, 본 발명의 일실시예에 따른 이상 인증 탐지 장치에 의한 사용자 패턴 분석 방법에 대하여 더욱 상세하게 설명한다.
도 7은 본 발명의 일실시예에 따른 사용자 패턴 분석 방법을 설명하기 위한 순서도이다.
먼저, 이상 인증 탐지 장치(200)는 인증 이력의 전처리 과정을 수행한다(S710).
이상 인증 탐지 장치(200)는 사용자 인증 서비스에서 개별 사용자를 식별하기 위하여 사용되는 사용자 ID를 이용하여, 과거에 기 저장된 사용자 인증 이력을 조회한다. 이때, 이상 인증 탐지 장치(200)는 일정 기간 내에 저장된 사용자 인증 이력 중에서 해당 사용자에 상응하는 사용자 인증 이력을 조회할 수 있다.
또한, 이상 인증 탐지 장치(200)는 사용자 ID, 최대 조회할 인증 이력 개수 등을 매개변수로 사용할 수 있으며, 매개변수는 저장부의 환경 설정 저장소에 정의된 값일 수 있다.
그리고 이상 인증 탐지 장치(200)는 사용자 ID를 이용하여 조회한 과거에 기 저장된 사용자 인증 이력의 개수가 환경 설정 저장소에 정의된 임계 값 미만인 경우, 해당 사용자 ID에 대한 사용자 패턴 분석 과정을 종료할 수 있다.
이상 인증 탐지 장치(200)는 조회한 사용자 인증 이력들을 인증 패턴 분석에 용이한 데이터 형태로 변환하거나, 불필요한 데이터들을 제거하여 전처리 과정을 수행한다.
도 8은 본 발명의 일실시예에 따른 인증 이력의 전처리 과정을 설명하기 위한 순서도이다.
도 8에 도시한 바와 같이, 이상 인증 탐지 장치(200)는 인증 이력에 상응하는 인터넷 사업자 정보를 조회하고(S810), 이상 인증 탐지 장치(200)는 인증 이력과 인터넷 사업자 정보의 GPS 좌표를 병합한다(S820).
이상 인증 탐지 장치(200)는 사용자 인증 이력에 명시된 IP를 이용하여, 인터넷 사업자(ISP) 정보를 KRNIC 또는 APNIC에서 조회하고, 조회된 정보를 사용자 인증 이력 별로 병합한다.
그리고 이상 인증 탐지 장치(200)는 조회한 인터넷 사업자의 정보에 포함된 도로명 주소 또는 지번 주소를 이용하여 GPS 좌표를 조회하고, 조회된 GPS 좌표를 사용자 인증 이력에 병합한다.
이때, 인터넷 사업자의 정보 및 GPS 좌표는 저장부의 IP 기반 위치 정보 저장소를 참조하거나, 해당 기능을 제공하는 외부 서비스를 참조하여 조회할 수 있다.
또한, 이상 인증 탐지 장치(200)는 인증 이력의 IP를 이용하여 클러스터로 분류한다(S830).
사용자 인증 이력에 상응하는 IP가 동일한 인터넷 사업자에 속한 경우, 해당 사용자 인증 이력들을 동일한 클러스터로 분류한다. 여기서, 이상 인증 탐지 장치(200)는 분류된 클러스터의 접속 시각에 따른 확률 분포가 임계수치 이하의 표준 편차를 가질 경우를 제외할 수 있다.
다시 도 7에 대하여 설명하면, 이상 인증 탐지 장치(200)는 인증 이력의 위치 패턴을 분석한다(S720).
도 9는 본 발명의 일실시예에 따른 위치 패턴을 분석하는 방법을 설명하기 위한 순서도이다.
도 9와 같이, 이상 인증 탐지 장치(200)는 GPS 좌표와 인접한 범위 내에 위치 기반 클러스터가 존재하는지 여부를 판단한다(S910).
이때, 이상 인증 탐지 장치(200)는 전처리 과정을 거친 모든 클러스터들을 사용자 인증 이력의 개수를 기준으로 내림차순 정렬한다. 그리고 이상 인증 탐지 장치(200)는 사용자 인증 이력의 개수가 많은 클러스터부터 선택하여 위치 패턴 분석 과정을 수행할 수 있다.
그리고 이상 인증 탐지 장치(200)는 선택된 클러스터에 상응하는 GPS 좌표를 기준으로 임계 범위 내에 인접한 클러스터가 존재하는지 여부를 판단한다. 여기서, 임계 범위는 저장부의 환경 설정 저장소에 정의된 값 일 수 있다.
이때, 이상 인증 탐지 장치(200)는 위치 기반 클러스터 집합에서 인접한 클러스터를 조회하여 인접한 클러스터가 존재하는지 여부를 판단할 수 있다.
판단 결과, GPS 좌표와 인접한 범위 내에 위치 기반 클러스터가 존재하는 경우, 이상 인증 탐지 장치(200)는 클러스터를 해당 위치 기반 클러스터에 추가한다(S920).
이상 인증 탐지 장치(200)는 해당 위치 기반 클러스터에 선택된 클러스터의 사용자 접속 기록을 추가한다. 그리고 이상 인증 탐지 장치(200)는 다음 클러스터를 선택하여 S910 단계를 수행한다. 이때, 이상 인증 탐지 장치(200)는 분석 대기열에 포함된 모든 클러스터들을 처리할 때까지 S910 단계 및 S920 단계를 반복하여 수행할 수 있다.
또한, 이상 인증 탐지 장치(200)는 인증 이력의 위치 패턴을 분석한다(S930).
이상 인증 탐지 장치(200)는 위치 기반 클러스터에 상응하는 위치 정보 및 확률 밀도를 연산하고, 연산된 위치 정보 및 확률 밀도를 저장부의 사용자 인증 분석 저장소에 저장할 수 있다.
반면, GPS 좌표와 인접한 범위 내에 위치 기반 클러스터가 존재하지 않는 경우, 이상 인증 탐지 장치(200)는 신규 위치 기반 클러스터를 생성한다(S940).
위치 기반 클러스터 집합에 인접한 클러스터가 존재하지 않는 것으로 판단된 경우, 이상 인증 탐지 장치(200)는 현재 선택된 클러스터에 상응하는 신규 위치 기반 클러스터를 생성하고, 위치 기반 클러스터 집합에 신규 위치 기반 클러스터를 추가할 수 있다.
여기서, 현재 선택된 클러스터는 전처리 과정을 거친 클러스터로, 해당 클러스터에 포함된 사용자 인증 이력들의 GPS 좌표는 모두 동일하다. 그리고 이상 인증 탐지 장치(200)는 클러스터에 포함된 사용자 인증 이력의 GPS 좌표를 이용하여 신규 위치 기반 클러스터를 생성할 수 있다.
그리고 이상 인증 탐지 장치(200)는 인증 이력의 인증 시각 패턴을 분석한다(S730).
도 10은 본 발명의 일실시예에 따른 인증 시각 패턴을 분석하는 방법을 설명하기 위한 순서도이다.
도 10과 같이, 이상 인증 탐지 장치(200)는 인증 이력을 요일 집합으로 분류한다(S1010).
이때, 이상 인증 탐지 장치(200)는 도 9의 S930 단계를 거친 분석 결과열을 도 1의 S1010단계에서 분석 대기열로 사용할 수 있다.
이상 인증 탐지 장치(200)는 분석 대기열의 모든 사용자 이력을 시각 정보인 일, 월, 화, 수, 목, 금, 토 7개의 요일 집합으로 나누어 분류할 수 있다.
그리고 이상 인증 탐지 장치(200)는 요일 집합을 병합하고, 클러스터를 생성한다(S1020).
이상 인증 탐지 장치(200)는 S1010단계에서 분류된 요일별 7개의 집합 유사도를 비교함으로써, 유사한 요일들의 분류를 병합하여 클러스터를 생성할 수 있다.
이때, 이상 인증 탐지 장치(200)는 분류된 요일의 접속 횟수를 각각 계산하고, 접속 횟수에 K-평균 알고리즘을 적용하여 요일 집합들을 병합할 수 있다.
다음으로 이상 인증 탐지 장치(200)는 클러스터의 누적 확률 분포를 연산한다(S1030).
이상 인증 탐지 장치(200)는 저장부의 환경 설정 저장소에 기 저장된 단위 시간을 이용하여, 클러스터의 인증 시각에 대한 누적 확률 분포를 연산한다. 이때, 인증 시각 1개가 하나의 정규 분포를 가지며, 인증 시각이 정규 분포의 평균이고, 표준 편차 값은 환경 설정 저장소에 정의된 값일 수 있다.
또한, 이상 인증 탐지 장치(200)는 클러스터의 신뢰도와 임계 신뢰도를 비교한다(S1040).
이상 인증 탐지 장치(200)는 접속 횟수를 기준으로 집단간 거리, 집단의 표준 편차 및 인증 시각 확률 분포를 기반으로 공분산을 연산한다. 그리고 공분산과 환경 설정 저장소에 저장된 임계 신뢰도를 비교한다.
클러스터의 신뢰도 비교 결과, 클러스터의 신뢰도가 임계 신뢰도보다 큰 경우, 이상 인증 탐지 장치(200)는 클러스터의 인증 시각에 대한 패턴 정보를 추출한다(S1050).
반면, 클러스터의 신뢰도가 임계 신뢰도 이하인 경우, 이상 인증 탐지 장치(200)는 패턴 생성을 실패하였음을 알리고 패턴 생성을 종료한다(S1060).
그리고 이상 인증 탐지 장치(200)는 패턴 생성 실패에 관한 정보를 사용자 인증 분석 정보 저장소에 저장할 수 있다.
다시 도 7에 대하여 설명하면, 마지막으로, 이상 인증 탐지 장치(200)는 사용자 패턴 분석 결과를 저장한다(S740).
저장된 사용자 패턴 분석 결과는 도 4의 S410 단계에서, 사용자 인증 패턴 조회 시 사용되며, 이를 이용하여 이상 인증 탐지 장치(200)는 사용자 인증 요청이 이상 인증인지 여부를 판단할 수 있다.
이상에서와 같이 본 발명에 따른 이상 인증 탐지 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
50: 클라이언트
100: 사용자 인증 장치
150: 인증 기록 저장소
200: 이상 인증 탐지 장치
210: 인증 패턴 조회부
220: 이상 인증 여부 판단부
230: 이상 인증 이력 조회부
240: 인증 패턴 탐지부
241: 전처리 모듈
243: 위치 패턴 분석 모듈
245: 인증 시각 패턴 분석 모듈
250: 저장부

Claims (15)

  1. 이상 인증 탐지 장치에 의해 수행되는 이상 인증 탐지 방법에 있어서,
    사용자의 인증 이력에 상응하는 사용자 인증 패턴 중에서, 사용자 인증 요청에 상응하는 상기 사용자 인증 패턴을 조회하는 단계,
    조회된 상기 사용자 인증 패턴의 수가 임계 개수 이상인 경우, 상기 사용자 인증 패턴을 이용하여 상기 사용자 인증 요청이 이상 인증인지 여부를 판단하는 단계,
    상기 사용자 인증 요청이 상기 이상 인증인 것으로 판단된 경우, 상기 사용자 인증 요청에 상응하는 IP를 이용하여, 이상 인증 이력을 조회하는 단계, 그리고
    상기 IP에 상응하는 상기 이상 인증 이력이 존재하는 경우, 상기 이상 인증으로 판단된 상기 사용자 인증 요청에 상응하는 상기 사용자 인증 패턴, 상기 IP의 정보, 인증 시각 정보 중에서 적어도 하나를 상기 이상 인증 이력에 저장하는 단계를 포함하며,
    상기 사용자 인증 패턴은,
    상기 인증 이력의 위치 패턴 분석 과정으로 추출된 위치 패턴 및 상기 인증 이력의 인증 시각 패턴 분석 과정으로 추출된 인증 시각 패턴 중 적어도 어느 하나를 포함하고,
    상기 위치 패턴은,
    동일한 인터넷 사업자에 속한 상기 인증 이력들의 IP를 하나의 클러스터로 분류하고, 상기 클러스터의 GPS 좌표와 임계 범위 내에 위치한 위치 기반 클러스터와 상기 클러스터를 병합하여 분석된 것이며,
    상기 인증 시각 패턴은,
    상기 인증 이력을 시각 정보에 따라 복수 개의 요일 집합들로 분류하고, 상기 요일 집합들 간의 접속 횟수를 기반으로 상기 클러스터를 생성하여 분석된 것을 특징으로 하는 이상 인증 탐지 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 인증 이력에 상응하는 IP를 이용하여 상기 인터넷 사업자 정보를 조회하는 단계,
    상기 인터넷 사업자 정보의 주소 정보를 이용하여 상기 GPS 좌표를 조회하는 단계, 그리고
    상기 인증 이력을 상기 인터넷 사업자 정보에 상응하는 상기 클러스터로 분류하는 단계를 더 포함하는 이상 인증 탐지 방법.
  4. 제3항에 있어서,
    상기 분류된 클러스터의 접속 시각에 따른 확률 분포의 표준 편차가 임계치 이하인 경우, 상기 인증 이력을 상기 클러스터에서 제외하는 단계를 더 포함하는 이상 인증 탐지 방법.
  5. 제3항에 있어서,
    상기 인증 이력의 위치 패턴 분석 과정은,
    상기 클러스터에 상응하는 상기 GPS 좌표의 임계 범위 내에 상기 위치 기반 클러스터가 존재하는지 여부를 판단하는 단계,
    상기 임계 범위 내에 상기 위치 기반 클러스터가 존재하는 경우, 상기 클러스터를 상기 위치 기반 클러스터에 추가하는 단계, 그리고
    상기 위치 기반 클러스터의 위치 정보 및 확률 분포를 연산하여, 상기 인증 이력의 위치 패턴을 분석하는 단계를 포함하는 이상 인증 탐지 방법.
  6. 제3항에 있어서,
    상기 인증 이력의 인증 시각 패턴 분석 과정은,
    상기 인증 이력을 복수의 요일 집합들로 분류하는 단계,
    상기 요일 집합에 상응하는 접속 횟수를 이용하여 상기 요일 집합들을 병합하고, 상기 클러스터를 생성하는 단계,
    상기 클러스터에 상응하는 인증 시각에 대한 누적 확률 분포를 연산하는 단계,
    상기 접속 횟수 또는 상기 인증 시각에 대한 누적 확률 분포를 이용하여, 상기 클러스터의 신뢰도를 연산하는 단계, 그리고
    상기 클러스터의 신뢰도가 임계 신뢰도 이상인 경우, 상기 클러스터의 상기 인증 시각에 대한 패턴 정보를 추출하는 단계를 포함하는 이상 인증 탐지 방법.
  7. 제5항에 있어서,
    상기 사용자 인증 요청이 이상 인증인지 여부를 판단하는 단계는,
    상기 사용자 인증 요청에 상응하는 GPS 좌표를 조회하는 단계,
    상기 인증 이력의 위치 패턴 중에서 상기 사용자 인증 요청에 상응하는 GPS좌표와의 거리가 기 설정된 거리 이내인 상기 위치 패턴을 조회하는 단계, 그리고
    상기 GPS 좌표와의 거리가 기 설정된 거리 이내인 상기 위치 패턴이 존재하는지 여부를 이용하여, 상기 사용자 인증 요청이 정상 인증인지 여부를 판단하는 단계를 포함하는 이상 인증 탐지 방법.
  8. 제6항에 있어서,
    상기 사용자 인증 요청이 이상 인증인지 여부를 판단하는 단계는,
    상기 사용자 인증 요청에 상응하는 상기 인증 시각을 이용하여, 상기 요일 집합을 선택하는 단계,
    선택된 상기 요일 집합에 상응하는 상기 인증 시각 패턴을 조회하여, 상기 인증 시각 패턴에 대한 누적 확률 분포의 확률 값을 계산하는 단계,
    상기 확률 값과 기 설정된 값을 비교하여, 상기 사용자 인증 요청이 정상 인증인지 여부를 판단하는 단계를 포함하는 이상 인증 탐지 방법.
  9. 사용자 ID로 조회한 사용자의 인증 이력을 인증 패턴 분석에 용이한 형태로 전처리하고, 위치 패턴 및 인증 시각 패턴 중 적어도 어느 하나를 포함하는 사용자 인증 패턴을 추출하는 인증 패턴 탐지부,
    상기 사용자의 인증 이력에 상응하는 상기 사용자 인증 패턴 중에서, 사용자 인증 요청에 상응하는 상기 사용자 인증 패턴을 조회하는 인증 패턴 조회부,
    조회된 상기 사용자 인증 패턴의 수가 임계 개수 이상인 경우, 상기 사용자 인증 패턴을 이용하여 상기 사용자 인증 요청이 이상 인증인지 여부를 판단하는 이상 인증 여부 판단부,
    상기 사용자 인증 요청이 상기 이상 인증인 것으로 판단된 경우, 상기 사용자 인증 요청에 상응하는 IP를 이용하여, 이상 인증 이력을 조회하는 이상 인증 이력 조회부, 그리고
    상기 IP에 상응하는 상기 이상 인증 이력이 존재하는 경우, 상기 이상 인증으로 판단된 상기 사용자 인증 요청에 상응하는 상기 사용자 인증 패턴, 상기 IP의 정보, 인증 시각 정보 중에서 적어도 하나를 상기 이상 인증 이력에 저장하는 저장부를 포함하며,
    상기 위치 패턴은,
    동일한 인터넷 사업자에 속한 상기 인증 이력들의 IP를 하나의 클러스터로 분류하고, 상기 클러스터의 GPS 좌표와 임계 범위 내에 위치한 위치 기반 클러스터와 상기 클러스터를 병합하여 분석된 것이며,
    상기 인증 시각 패턴은,
    상기 인증 이력을 시각 정보에 따라 복수 개의 요일 집합들로 분류하고, 상기 요일 집합들 간의 접속 횟수를 기반으로 상기 클러스터를 생성하여 분석된 것을 특징으로 하는 이상 인증 탐지 장치.
  10. 삭제
  11. 제9항에 있어서,
    상기 인증 패턴 탐지부는,
    상기 인증 이력에 상응하는 IP를 이용하여 상기 인터넷 사업자 정보를 조회하고, 상기 인터넷 사업자 정보의 주소 정보를 이용하여 상기 GPS 좌표를 조회하며, 상기 인증 이력을 상기 인터넷 사업자 정보에 상응하는 상기 클러스터로 분류하는 이상 인증 탐지 장치.
  12. 제11항에 있어서,
    상기 인증 패턴 탐지부는,
    상기 클러스터에 상응하는 상기 GPS 좌표의 임계 범위 내에 상기 위치 기반 클러스터가 존재하는지 여부를 판단하고, 상기 임계 범위 내에 상기 위치 기반 클러스터가 존재하는 경우, 상기 클러스터를 상기 위치 기반 클러스터에 추가하며, 상기 위치 기반 클러스터의 위치 정보 및 확률 분포를 연산하여, 상기 인증 이력의 위치 패턴을 분석하는 이상 인증 탐지 장치.
  13. 제11항에 있어서,
    상기 인증 패턴 탐지부는,
    상기 인증 이력을 복수의 요일 집합들로 분류하고, 상기 요일 집합에 상응하는 접속 횟수를 이용하여 상기 요일 집합들을 병합하고, 상기 클러스터를 생성하며, 상기 클러스터에 상응하는 인증 시각에 대한 누적 확률 분포를 연산하고, 상기 접속 횟수 또는 상기 인증 시각에 대한 누적 확률 분포를 이용하여, 상기 클러스터의 신뢰도를 연산하며, 상기 클러스터의 신뢰도가 임계 신뢰도 이상인 경우, 상기 클러스터의 상기 인증 시각에 대한 패턴 정보인 상기 인증 시각 패턴을 추출하는 이상 인증 탐지 장치.
  14. 제12항에 있어서,
    상기 이상 인증 여부 판단부는,
    상기 사용자 인증 요청에 상응하는 GPS 좌표를 조회하고, 상기 인증 이력의 위치 패턴 중에서 상기 사용자 인증 요청에 상응하는 GPS 좌표와의 거리가 기 설정된 거리 이내인 상기 위치 패턴을 조회하며, 상기 GPS 좌표와의 거리가 기 설정된 거리 이내인 상기 위치 패턴이 존재하는지 여부를 이용하여, 상기 사용자 인증 요청이 정상 인증인지 여부를 판단하는 이상 인증 탐지 장치.
  15. 제13항에 있어서,
    상기 이상 인증 여부 판단부는,
    상기 사용자 인증 요청에 상응하는 상기 인증 시각을 이용하여, 상기 요일 집합을 선택하고, 선택된 상기 요일 집합에 상응하는 상기 인증 시각 패턴을 조회하여, 상기 인증 시각 패턴에 대한 누적 확률 분포의 확률 값을 계산하며, 상기 확률 값과 기 설정된 값을 비교하여, 상기 사용자 인증 요청이 정상 인증인지 여부를 판단하는 이상 인증 탐지 장치.
KR1020160013089A 2016-02-02 2016-02-02 이상 인증 탐지 장치 및 방법 KR101809671B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160013089A KR101809671B1 (ko) 2016-02-02 2016-02-02 이상 인증 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160013089A KR101809671B1 (ko) 2016-02-02 2016-02-02 이상 인증 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20170092054A KR20170092054A (ko) 2017-08-10
KR101809671B1 true KR101809671B1 (ko) 2017-12-18

Family

ID=59652357

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160013089A KR101809671B1 (ko) 2016-02-02 2016-02-02 이상 인증 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101809671B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116647268B (zh) * 2023-06-26 2024-01-26 深圳领航北斗信息技术有限公司 基于卫星物联网技术的通信安全智能化检测系统及方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002304376A (ja) * 2000-12-21 2002-10-18 Keiichi Kato 無線携帯端末ユーザーの認証システム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002304376A (ja) * 2000-12-21 2002-10-18 Keiichi Kato 無線携帯端末ユーザーの認証システム

Also Published As

Publication number Publication date
KR20170092054A (ko) 2017-08-10

Similar Documents

Publication Publication Date Title
US11855968B2 (en) Methods and systems for deep learning based API traffic security
CN109951500B (zh) 网络攻击检测方法及装置
US11003773B1 (en) System and method for automatically generating malware detection rule recommendations
US11425148B2 (en) Identifying malicious network devices
US20210377303A1 (en) Machine learning to determine domain reputation, content classification, phishing sites, and command and control sites
US20160055335A1 (en) Method and apparatus for detecting a multi-stage event
US20180309772A1 (en) Method and device for automatically verifying security event
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
CN108023868B (zh) 恶意资源地址检测方法和装置
US20210099484A1 (en) Phishing website detection
EP3206133B1 (en) Information security apparatus and methods for credential dump authenticity verification
US20210377304A1 (en) Machine learning to determine command and control sites
US20170171188A1 (en) Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus
WO2020016906A1 (en) Method and system for intrusion detection in an enterprise
CN113704328A (zh) 基于人工智能的用户行为大数据挖掘方法及系统
CN115622803A (zh) 基于协议分析的权限控制系统及方法
Bortolameotti et al. Headprint: detecting anomalous communications through header-based application fingerprinting
CN111182002A (zh) 基于http首个问答包聚类分析的僵尸网络检测装置
CN115211075A (zh) 网络环境中的网络攻击识别
CN113196265A (zh) 安全检测分析
KR101809671B1 (ko) 이상 인증 탐지 장치 및 방법
EP3965362A1 (en) Machine learning to determine domain reputation, content classification, phishing sites, and command and control sites
CN112861160A (zh) 一种数据隐私保护系统及保护方法
Park et al. A study on risk index to analyze the impact of port scan and to detect slow port scan in network intrusion detection
Ghourabi et al. Automatic analysis of web service honeypot data using machine learning techniques

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
GRNT Written decision to grant