KR101866556B1 - 비정상행위 탐색방법 및 탐색프로그램 - Google Patents

비정상행위 탐색방법 및 탐색프로그램 Download PDF

Info

Publication number
KR101866556B1
KR101866556B1 KR1020170027482A KR20170027482A KR101866556B1 KR 101866556 B1 KR101866556 B1 KR 101866556B1 KR 1020170027482 A KR1020170027482 A KR 1020170027482A KR 20170027482 A KR20170027482 A KR 20170027482A KR 101866556 B1 KR101866556 B1 KR 101866556B1
Authority
KR
South Korea
Prior art keywords
data
group
abnormal behavior
collected data
new
Prior art date
Application number
KR1020170027482A
Other languages
English (en)
Other versions
KR20170104931A (ko
Inventor
유경식
Original Assignee
주식회사 인피니그루
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 인피니그루 filed Critical 주식회사 인피니그루
Priority to KR1020170027482A priority Critical patent/KR101866556B1/ko
Publication of KR20170104931A publication Critical patent/KR20170104931A/ko
Application granted granted Critical
Publication of KR101866556B1 publication Critical patent/KR101866556B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2219Large Object storage; Management thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • G06F17/30318
    • G06F17/30705
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Mining & Analysis (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • Biophysics (AREA)
  • Mathematical Physics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • General Business, Economics & Management (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 비정상행위 탐색방법 및 프로그램에 관한 것이다.
본 발명의 일실시예에 따른 비정상행위 탐색방법은, 컴퓨터가 하나 이상의 수집데이터를 수신하는 수집데이터수신단계(S100); 상기 컴퓨터 내 심층신경망를 통해 각각의 수집데이터에 대한 결과데이터를 산출하는 단계(S200); 각각의 수집데이터에 대해 상기 결과데이터 산출 시 패턴정보를 도출하는 패턴정보도출단계(S300); 동일한 패턴정보를 가지는 하나 이상의 수집데이터를 특정한 그룹으로 지정하는 그룹지정단계(S400); 각 그룹의 특성을 부여하는 특성부여단계(S500); 및 신규수집데이터를 수신한 후 신규결과데이터를 산출하고, 상기 신규결과데이터에 대응하는 그룹을 추출하는 단계(S700);를 포함한다.
본 발명에 따르면, 비정상행위에 해당하는 그룹을 정상행위에 해당하는 그룹에 포함되는 것으로 오인하는 것을 방지할 수 있다.

Description

비정상행위 탐색방법 및 탐색프로그램 {METHOD AND PROGRAM FOR DETECTING ABNORMAL ACTION}
본 발명은 비정상행위 탐색방법 및 탐색프로그램에 관한 것으로, 보다 자세하게는 빅데이터 분석을 통해 컴퓨터를 통해 획득되는 수집데이터의 비정상행위 해당여부를 판단하는 방법 및 프로그램에 관한 것이다.
최근, 정보통신기술 및 반도체기술의 발달로 각종 분야에서 컴퓨터를 이용한 업무가 증가하고 있다.
이는 금융 분야에서도 마찬가지이다. 예를 들어, 고객이 직접 은행 지점에 방문하여 처리하였던 금융 거래를 인터넷뱅킹, 모바일뱅킹, 폰뱅킹 등을 이용하여 신속한 처리가 가능하고, 금융 직원은 수기로 서류를 작성하고 결재하였던 업무를 전산 도입으로 자동 결재 및 처리가 가능하게 되었다. 그런데 한편에서는 상기의 전산 도입과 함께, 전자금융 사기, 불법 거래를 통한 신종 금융 범죄가 등장하게 되었고, 최근 들어서는 이로 인한 피해가 점차 확산됨에 따라 피싱 주의보가 내려질 만큼 피싱(phishing), 스미싱(smishing), 파밍(pharming) 등에 대한 주의가 요구되고 있다. 피싱은 주로 신뢰할 수 있는 사람(개인) 또는 기업(전자 상거래 업체)을 사칭하여 전자우편 또는 메신저를 통해 수신자의 개인 정보(비밀번호나 신용정보, 보안카드 정보 등)를 빼낸 뒤 이를 이용하는 범죄를 말한다.
그런데 이러한 피싱 공격은 현재 고객의 신고나 백신업체의 악성코드 분석에 의해서만 확인할 수 있어 수동적인 탐지만 가능하며, 고객이 신고하지 않거나 알려지지 않은 피싱 사이트의 악성 코드에 감염된 경우에는 신속한 대응 및 추적이 어려운 문제점이 있다.
금융 분야뿐만 아니라 컴퓨터를 이용하여 많은 업무를 수행함에 따라 비정상적인 행위가 다수 발생하지만 이를 발견해내지 못하고 넘어가는 경우가 많다.
복수의 수집데이터(컴퓨터를 이용한 특정한 수행행위 과정에서 획득되는 데이터)를 딥러닝 알고리즘에 적용하여 획득된 각 수집데이터의 패턴정보를 이용하여 정상행위에 상응하는 값과 상이한 값 또는 구별되는 값을 가지는 비정상행위를 정확하게 구분해내는, 비정상행위 탐색방법 및 프로그램을 제공하고자 한다.
또한, 패턴정보가 상이한 그룹을 시각적으로 구별할 수 있도록 각 상황데이터에 대한 가중치를 딥러닝 알고리즘을 이용하여 조절함에 따라 관리자가 비정상행위를 용이하게 탐색할 수 있도록 하는, 비정상행위 탐색방법 및 프로그램을 제공하고자 한다.
또한, 신규수집데이터의 식별표지를 각각의 수집데이터 그룹에 상응하는 각 레이어를 가지는 다이어그램 상에 표시하도록 하여, 신규수집데이터의 특성을 관리자가 간편하게 확인할 수 있도록 하는, 비정상행위 탐색방법 및 프로그램을 제공하고자 한다.
본 발명의 일실시예에 따른 비정상행위 탐색방법은, 컴퓨터가 하나 이상의 수집데이터를 수신하되, 상기 수집데이터는 하나 이상의 상황데이터를 포함하는 것인, 수집데이터수신단계; 상기 컴퓨터 내 심층신경망를 통해 각각의 수집데이터에 대한 결과데이터를 산출하는 단계; 각각의 수집데이터에 대해 상기 결과데이터 산출 시 패턴정보를 도출하되, 상기 패턴정보는 상기 심층신경망 내에서 판단되는 순서에 상응하는 것인, 패턴정보도출단계; 동일한 패턴정보를 가지는 하나 이상의 수집데이터를 특정한 그룹으로 지정하는 그룹지정단계; 각 그룹의 특성을 부여하는 특성부여단계; 및 신규수집데이터를 수신한 후 신규결과데이터를 산출하고, 상기 신규결과데이터에 대응하는 그룹을 추출하는 단계;를 포함한다.
또한, 상기 결과데이터 산출단계는, 각각의 상황데이터에 대한 가중치를 적용하여 상기 결과데이터를 산출하는 것을 특징으로 하며, 상기 가중치는, 상기 패턴정보가 상이한 그룹 간의 이격거리를 특정값 이상으로 떨어지도록 조절하는 것일 수 있다.
또한, 상기 신규수집데이터에 상응하는 그룹이 존재하지 않는 경우, 상기 신규수집데이터에 부합하는 신규그룹을 생성하는 단계; 및 하나 이상의 상기 가중치를 변경하여, 상기 그룹간 간격을 조절하는 단계;를 더 포함할 수 있다.
또한, 구별 가능한 복수의 레이어를 포함하는 비정상행위판단다이어그램을 생성하되, 상기 레이어는 각각의 그룹이 매칭되는 것으로서, 상기 결과데이터의 수치값에 따라 생성위치가 달라지는 것인, 비정상행위판단다이어그램 생성단계; 및 상기 신규수집데이터가 대응되는 그룹의 레이어 상에 식별표지를 표시하여, 사용자 클라이언트로 제공하는 단계;를 포함할 수 있다.
또한, 상기 수집데이터에 포함된 하나 이상의 상황데이터의 획득순서가 정해져 있는 경우, 상기 심층신경망은, 상기 획득순서에 부합하는 비정상행위판단절차를 포함하며, 상기 비정상행위판단절차 내의 단계별로 상기 비정상행위판단다이어그램을 생성하는 것을 특징으로 할 수 있다.
또한, 상기 그룹의 특성이 비정상행위에 해당하는 경우, 관리자 클라이언트로 상기 비정상행위의 유형정보를 제공하는 단계;를 더 포함할 수 있다.
또한, 상기 특성부여단계는, 관리자 클라이언트로부터 상기 그룹의 수집데이터에 포함된 특정한 상황데이터의 입력값을 바탕으로 결정된 특성정보를 수신하는 것을 특징으로 할 수 있다.
또한, 상기 패턴정보도출단계는, 연속되는 하나 이상의 판단단계를 포함하는 비정상행위판단절차를 수행하며, 상기 패턴정보는, 상기 비정상행위판단절차에서 각 판단단계별 질의사항의 종류 및 순서를 포함할 수 있다.
또한, 상기 특성부여단계는, 상기 패턴정보의 역분석을 통해 상기 그룹에 상응하는 특성을 결정하는 것을 특징으로 할 수 있다.
본 발명의 또 다른 일실시예에 따른 비정상행위 탐색프로그램은, 하드웨어인 컴퓨터와 결합되어 상기 언급된 전자기기 제어방법을 실행하며, 매체에 저장된다.
상기와 같은 본 발명에 따르면, 아래와 같은 다양한 효과들을 가진다.
첫째, 단순히 수집데이터를 통해 산출된 결과데이터로 수집데이터를 분류하는 것이 아니라 각 수집데이터의 딥러닝 알고리즘 내에서 판단되는 흐름인 패턴정보를 이용하여 수집데이터를 분류하므로, 근사한 결과데이터 값을 가지는 복수의 수집데이터 그룹을 정확하게 분류할 수 있다. 따라서, 비정상행위에 해당하는 그룹을 정상행위에 해당하는 그룹에 포함되는 것으로 오인하는 것을 방지할 수 있다.
둘째, 각 상황데이터에 대한 가중치를 변경함에 따라 각 그룹의 결과데이터를 시각적으로도 구별 가능하도록 조절할 수 있다.
셋째, 비정상행위탐색다이어그램 상에 신규수집데이터의 식별표지를 표시하여 관리자에게 제공함에 따라, 관리자는 간편하게 신규수집데이터의 특성을 파악할 수 있다. 즉, 관리자는 신규수집데이터의 식별표지가 다이어그램 상의 어떤 레이어에 표시되었는지를 확인함에 따라 빠르게 신규수집데이터가 비정상행위에 해당하는지 여부를 확인할 수 있으며, 구체적인 비정상행위 유형도 빠르게 파악할 수 있다.
넷째, 새로운 피싱방식이 적용되는 것과 같이, 신규수집데이터가 속하는 그룹이 없어 신규그룹 생성하는 경우, 그룹간의 특정한 간격을 가지도록 자동으로 가중치 조절을 수행할 수 있다. 이를 통해, 새로운 그룹 유형이 등장하여도 관리자가 간편하게 비정상행위 해당여부를 확인할 수 있는 비정상행위탐색다이어그램을 제공할 수 있다.
도 1은 본 발명의 일실시예에 따른 비정상행위 판단시스템의 구성도이다.
도 2는 본 발명의 일실시예에 따른 비정상행위 판단방법의 순서도이다.
도 3은 본 발명의 일실시예에 따른 수집데이터를 이용하여 패턴정보가 산출되는 과정을 나타내는 딥러닝 알고리즘의 예시도면이다.
도 4는 본 발명의 일실시예에 따른 신규수집데이터에 상응하는 신규그룹 생성 후 가중치 조절하는 과정을 더 포함하는 비정상행위 판단방법의 순서도이다.
도 5는 본 발명의 일실시예에 따른 비정상행위판단다이어그램을 이용하여 신규수집데이터가 속하는 그룹을 표시하는 비정상행위 판단방법의 순서도이다.
도 6은 본 발명의 일실시예에 따른 비정상행위판단다이어그램의 예시도면이다.
도 7은 본 발명의 일실시예에 따른 신규수집데이터가 해당되는 비정상행위의 유형을 관리자에게 제공하는 비정상행위 판단방법의 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
본 명세서에서 컴퓨터는 연산처리를 수행하여 사용자에게 결과를 제공할 수 있는 다양한 장치들이 모두 포함된다. 예를 들어, 컴퓨터는 데스크 탑 PC, 노트북(Note Book) 뿐만 아니라 스마트폰(Smart phone), 태블릿 PC, 셀룰러폰(Cellular phone), 피씨에스폰(PCS phone; Personal Communication Service phone), 동기식/비동기식 IMT-2000(International Mobile Telecommunication-2000)의 이동 단말기, 팜 PC(Palm Personal Computer), 개인용 디지털 보조기(PDA; Personal Digital Assistant) 등도 해당될 수 있다. 또한, 컴퓨터는 클라이언트로부터 요청을 수신하여 정보처리를 수행하는 서버가 해당될 수 있다.
본 명세서에서 정상행위는 사용자의 클라이언트를 이용한 특정한 수행행위(예를 들어, 금융거래 행위, 자료 탐지 행위 등) 중에서 정상적인 수행으로 판단되는 행위를 의미한다. 반면, 본 명세서에서 비정상행위는 사용자의 클라이언트를 이용한 특정한 행위(예를 들어, 금융거래 행위, 자료 탐지 행위 등) 중에서 비정상적인 수행으로 판단되는 행위를 의미한다. 예를 들어, 특정한 금융거래 행위(예를 들어, 계좌 이체)와 관련하여, 특정 계좌의 사용자가 일반적으로 수행하는 절차에 따라 수행되면 정상행위로 분류될 수 있고, 특정 계좌의 사용자의 기존 수행절차와 상이한 수행동작(예를 들어, 계좌주인 사용자의 주사용 클라이언트가 아닌 클라이언트 장치로 이체 절차를 수행하는 경우, 이체 수행을 위해 현재 접속한 IP에 상응하는 위치가 최근 접속한 IP에 상응하는 위치와 특정 거리 이상 떨어져 있는 경우 등)을 포함하면 비정상행위로 분류될 수 있다.
본 명세서에서 수집데이터는 사용자의 특정한 수행행위 중에 획득되는 데이터를 의미한다. 즉, 수집데이터는 특정한 수행행위를 하기 위한 과정(Process) 상에서 사용자의 클라이언트로부터 획득되거나 이미지 획득되어 컴퓨터 내에 저장된 데이터이다. 본 명세서에서 상황데이터는 수집데이터에 포함되는 하나 이상의 데이터로, 특정한 수행행위를 행하는 절차 중의 각각의 상황에서 클라이언트로부터 획득되는 데이터를 의미한다. 예를 들어, 금융거래 중 계좌이체인 경우, 사용자는 '특정한 클라이언트 장치'를 이용하여 금융사 어플리케이션에 '특정한 IP'를 통해 접속하고'로그인'을 수행한 후 '상대방 계좌'를 입력하여 계좌이체를 수행한다면, 각각의 상황에서 획득되는 개별데이터인 '클라이언트의 종류', '접속IP', '로그인 계정', '상대방 계좌정보'를 '상황데이터'라고 할 수 있고, 하나의 수행행위에 대한 하나 이상의 상황데이터 집합을 '수집데이터'라고 할 수 있다. 하나 이상의 상황데이터는 순차적으로 또는 하나의 발생상황 내에서 동시에 획득될 수 있다.
본 명세서에서 그룹은 복수의 수집데이터의 분류를 통해 생성되는 하나 이상의 집합을 의미할 수 있다. 예를 들어, 후술하는 패턴정보 또는 특성을 바탕으로 분류하여, 특정한 그룹에는 동일한 패턴정보 또는 특성을 가지는 수집데이터가 포함될 수 있다.
본 명세서에서 패턴정보는 수집데이터를 하나 이상의 그룹으로 분류하는 기준이 되는 데이터를 의미한다. 예를 들어, 패턴정보는 특정한 수집데이터에 대해 컴퓨터에 의해 그룹이 분류되는 흐름(Flow)가 해당될 수 있다.
본 명세서에서 특성은 수집데이터가 가지는 속성을 의미한다. 예를 들어, 수집데이터의 특성은 컴퓨터에 의해 정상, 의심 또는 비정상으로 나누어질 수 있다. 또한, 비정상특성은 컴퓨터에 의해 비정상으로 분류된 근거(예를 들어, 비정상으로 판단되는데 기여한 상황데이터)를 세부특성으로 하여 분류될 수 있다.
본 명세서에서 신규수집데이터는 비정상행위 해당여부의 판단이 요구되는 데이터이다. 본 명세서에서 신규상황데이터는 신규수집데이터에 포함되는 하나 이상의 상황데이터를 의미한다. 신규수집데이터는 비정상행위인지 여부를 판단한 후, 특정한 그룹 내의 기존 수집데이터에 추가될 수 있다.
본 명세서에서 사용자는 수집데이터를 컴퓨터로 제공하는 클라이언트를 사용하는 사람을 의미할 수 있다. 본 명세서에서 관리자는 신규수집데이터의 비정상행위 해당여부 판단을 위해 데이터를 제공받는 사람을 의미한다. 즉, 관리자는 특정한 시스템을 관리하는 사람뿐만 아니라 본인 계정, 계좌 등의 상태를 체크하는 사람(예를 들어, 서비스 이용자)를 포함할 수 있다.
본 명세서에서 심층신경망(Deep Neural Network; DNN)은, 하나 이상의 컴퓨터 내에 하나 이상의 레이어(Layer)를 구축하여 복수의 데이터를 바탕으로 판단을 수행하는 시스템 또는 네트워크를 의미한다. 예를 들어, 심층신경망은 컨볼루션 풀링 층(Convolutional Pooling Layer), 로컬 접속 층(a locally-connected layer) 및 완전 연결 층(fully-connected layer)을 포함하는 층들의 세트로 구현될 수 있다. 일부 실시 예에서, 심층신경망의 전체적인 구조는 컨볼루션 풀링 층에 로컬 접속 층이 이어지고, 로컬 접속 층에 완전 연결 층이 이러지는 형태인 나선형 신경망(즉, Convolutional Neural Network; CNN) 구조로 이루어질 수 있다. 또한, 심층신경망은, 예를 들어, 각 레이어의 노드들에 자신을 가르키는 엣지(edge)가 포함됨에 따라 재귀적으로 연결되는 순환형 신경망(Recurrent Neural Network; RNN) 구조로 형성될 수도 있다. 심층신경망은 다양한 판단기준(즉, 파라미터(Parameter))를 포함할 수 있고, 입력되는 영상 분석을 통해 새로운 판단기준(즉, 파라미터)를 추가할 수 있다. 다만, 본 발명의 실시예들에 따른 심층신경망의 구조는 이에 한정되지 아니하고, 다양한 구조의 신경망으로 형성될 수 있다.
본 발명의 실시예들은 심층신경망을 포함하는 비정상행위 탐색시스템(이하, 비정상행위 탐색시스템)으로, 하나의 컴퓨터 내에서 구현될 수도 있고 복수의 컴퓨터가 연결되어 네트워크망을 통해 구현될 수도 있다. 예를 들어, 도 1에서와 같이, 상기 비정상행위 탐색시스템은 하나 이상의 컴퓨터(10), 에 포함될 수 있다. 상기 하나 이상의 컴퓨터는 수집데이터를 포함하는 데이터베이스서버(11)를 포함할 수 있다. 하나 이상의 컴퓨터(10)는 사용자 클라이언트(20)로부터 신규수집데이터를 입력받아서 데이터베이스서버(11) 내의 수집데이터(100)와 비교 분석하여 이상징후를 추출(즉, 비정상행위 해당여부를 판단)할 수 있고, 도출된 비정상행위의 유형을 관리자 클라이언트(30)에 제공할 수 있다. 또한, 예를 들어, 상기 비정상행위 탐색시스템은 하나의 컴퓨터(10)로 구현될 수 있어서, 하나의 컴퓨터 내의 메모리(예를 들어, 하드디스크)에 수집데이터(100)를 저장하고 신규수집데이터(200)를 획득하여 수집데이터(100)와 비교하여 비정상행위 해당여부를 산출할 수 있다.
이하, 도면을 참조하여 본 발명의 실시예들에 따른 비정상행위 탐색방법 및 프로그램에 대해 설명하기로 한다.
도 2는 본 발명의 일실시예에 따른 비정상행위 탐색방법에 대한 순서도이다.
도 2를 참조하면, 본 발명의 일실시예에 따른 비정상행위 탐색방법은, 컴퓨터(10)가 하나 이상의 수집데이터(100)를 수신하는 수집데이터수신단계(S100); 상기 컴퓨터(10) 내 심층신경망를 통해 각각의 수집데이터(100)에 대한 결과데이터(300)를 산출하는 단계(S200); 각각의 수집데이터(100)에 대해 상기 결과데이터(300) 산출 시 패턴정보를 도출하는 패턴정보도출단계(S300); 동일한 패턴정보를 가지는 하나 이상의 수집데이터(100)를 특정한 그룹으로 지정하는 그룹지정단계(S400); 각 그룹의 특성을 부여하는 특성부여단계(S500); 및 신규수집데이터(200)를 수신한 후 신규결과데이터를 산출하고, 상기 신규결과데이터에 대응하는 그룹을 추출하는 단계(S700);를 포함한다. 본 발명의 일 실시예에 따른 비정상행위 탐색방법을 순서대로 설명한다.
컴퓨터(10)가 하나 이상의 수집데이터(100)를 수신한다(S100). 상기 수집데이터(100)는 하나 이상의 상황데이터를 포함하는 것으로서, 특정한 유저(즉, 사용자)가 특정한 수행행위(예를 들어, 자료탐색행위, 계좌이체 등의 금융거래행위, 특정한 계정을 이용하여 로그인하는 등의 계정사용행위 등)를 행하는 과정에서 사용자 클라이언트(20)로부터 수신되는 데이터일 수 있다. 하나 이상의 컴퓨터(10)는, 내부에 저장되어 있는 특정한 수집데이터(100)를 로드할 수 있다. 즉, 컴퓨터(10) 내에 기존(즉, 이전)의 수행행위에 대한 수집데이터(100)가 누적되어 있는 경우, 컴퓨터(10)는 누적된 복수의 수집데이터(100)를 로드하여 후술하는 바와 같이 심층신경망에 입력할 수 있다.
컴퓨터(10)는 내부의 심층신경망를 통해 각각의 수집데이터(100)에 대한 결과데이터(300)를 산출한다(S200). 컴퓨터(10)는 심층신경망을 통한 딥러닝 알고리즘을 이용하여 결과데이터(300)를 산출할 수 있다. 결과데이터(300)는 딥러닝 알고리즘에 수집데이터(100) 내의 각각의 상황데이터 값을 적용함에 따라 산출되는 데이터를 의미한다. 컴퓨터(10)는 각각의 상황데이터를 수치값(예를 들어, 바이너리 데이터)로 변환하여, 결과데이터(300)를 산출하기 위해 상황데이터에 상응하는 수치값을 딥러닝 알고리즘에 입력할 수 있다. 따라서, 컴퓨터(10)는 각각의 수집데이터(100)에 포함된 상황데이터의 구성에 따라 상이한 결과데이터(300)를 산출할 수 있다.
상기 결과데이터산출단계(S200)는, 각각의 상황데이터에 대한 가중치를 적용하여 상기 결과데이터(300)를 산출할 수 있다. 상기 가중치는 상기 패턴정보가 상이한 그룹 간의 이격거리를 특정값 이상으로 떨어지도록 조절(즉, 패턴정보가 상이한 그룹에 상응하는 결과데이터 간의 편차가 특정값 이상이 되도록 조절)하는 것일 수 있다. 각각의 수집데이터(100)에 포함된 상황데이터 값을 가중치 적용없이 그대로 딥러닝 알고리즘에 입력하는 경우, 상이한 상황데이터 조합인 수집데이터(100)에 의해 산출된 결과데이터(300) 값이 근접하여 특정한 수치범위 내에 해당될 수 있다(즉, 상이한 그룹에 해당하는 결과데이터(300) 간의 편차가 특정한 값보다 작아서 구별하기 어려울 수 있다).
구체적으로 살펴보면, 도 3에서와 같이, 제1수집데이터와 제2수집데이터에 포함되는 상황데이터의 구성에 차이가 있어서 제1수집데이터는 정상행위이지만 제2수집데이터는 비정상행위인 경우, 산출되는 제1결과데이터(즉, 제1수집데이터에 의해 산출된 결과데이터)와 제2결과데이터 (즉, 제2수집데이터에 의해 산출된 결과데이터)는 근접한 수치값을 가질 수 있다. 따라서, 컴퓨터(10)가 제1결과데이터와 제2결과데이터를 그래프상에 표시하여 관리자에게 시각적으로 제공하면, 관리자는 제1결과데이터와 제2결과데이터를 구별하지 못할 수 있다. 이에 의해, 비정상행위에 해당하는 제2결과데이터를 정상행위에 해당하는 제1결과데이터로 오인하는 문제가 발생할 수 있다.
따라서, 이러한 문제점을 해결하기 위해서, 컴퓨터(10)는 각각의 수집데이터(100)를 구성하는 하나 이상의 상황데이터에 가중치를 반영하여, 상황데이터 값의 구성이 상이한 수집데이터(100)에 의한 결과데이터(300) 사이의 수치 차이가 특정값 이상이 되도록 할 수 있다. 예를 들어, 컴퓨터(10)는 특정범위 내에 있는(즉, 수치값이 차이가 특정값 이하에 해당하는) 제1결과데이터와 제2결과데이터를 구성하는 상황데이터 항목의 차이를 파악하고, 상이한 상황데이터 항목에 가중치를 부여할 수 있다. 이를 통해, 컴퓨터(10)는 제1결과데이터와 제2결과데이터 간의 수치차이(즉, 편차)를 크게 할 수 있고, 그래프 또는 다이어그램 상에 제1결과데이터와 제2결과데이터를 표시하는 경우에 이격거리를 시각적으로 인식 가능한 거리 이상이 되어 관리자가 구별 가능하도록 할 수 있다.
컴퓨터(10)는 각각의 수집데이터(100)에 대해 상기 결과데이터 산출 시 패턴정보를 도출한다(S300). 상기 패턴정보는 상기 심층신경망 내에서 판단되는 순서(또는 흐름(flow))에 상응하는 것일 수 있다.
일실시예로, 상기 패턴정보도출단계(S300)는, 연속되는 하나 이상의 판단단계를 포함하는 비정상행위판단절차를 수행할 수 있다. 즉, 컴퓨터(10)는 딥러닝 알고리즘 내에 하나 이상의 수집데이터(100)를 구별하기 위해 복수의 판단단계를 포함할 수 있고, 각 판단단계는 하나 이상의 상황데이터를 바탕으로 판단을 수행할 수 있다. 예를 들어, 딥러닝 알고리즘 상의 각 판단단계가 복수의 질의사항(예를 들어, 상황데이터를 바탕으로 특정한 상황에 해당하는지 여부를 판단하는 사항)을 포함하는 경우, 각 판단단계에 포함된 하나 이상의 질의사항 중 어느 하나에 대해 상황데이터 값이 입력됨에 따라 다음 판단단계에서 판단할 질의사항이 결정될 수 있다.
컴퓨터(10)가 복수의 판단단계를 포함하는 비정상행위판단절차를 수행하는 경우, 상기 패턴정보는 상기 비정상행위판단절차에서 각 판단단계별 질의사항의 종류 및 순서를 포함할 수 있다. 즉, 컴퓨터(10)는 각각의 판단단계를 거치면서, 수집데이터(100) 내에 포함된 상황데이터 값의 차이에 따라 동일한 판단단계 내에서 거치는 질의사항의 종류가 달라질 수 있다. 따라서, 수집데이터(100)에 따라 판단되는 질의사항의 종류와 순서가 패턴정보가 될 수 있다.
컴퓨터(10)는 동일한 패턴정보를 가지는 하나 이상의 수집데이터(100)를 특정한 그룹으로 지정한다(S400). 즉, 컴퓨터(10)는 결과데이터(300) 값이 아닌 패턴정보를 바탕으로 복수의 수집데이터(100)를 분류할 수 있다. 상이한 상황데이터를 가지는 수집데이터(100)이지만 인접한 결과데이터(300) 값을 가짐에 따라 동일한 그룹으로 잘못 분류될 수 있으므로, 컴퓨터(10)는 수집데이터(100)를 구성하는 상황데이터의 종류 또는 값에 따라 구별되는 명확하게 구별될 수 있는 패턴정보를 바탕으로 그룹을 생성할 수 있다.
컴퓨터(10)는 각 그룹의 특성을 부여한다(S500). 예를 들어, 컴퓨터(10)는 각 그룹이 정상행위, 의심행위 또는 비정상행위와 같은 각 그룹에 상응하는 특성을 부여할 수 있다. 컴퓨터(10)는 각 그룹의 특성을 세부적으로 부여할 수도 있다. 예를 들어, 수행행위가 비정상행위인 경우, 각 그룹이 어떠한 이유로 비정상행위로 판단되는지 식별할 수 있는 요소(예를 들어, 비정상행위의 유형별로 부여된 식별번호 또는 비정상행위로 판단되도록 한 상황데이터 정보)를 그룹 특성으로 부여할 수 있다.
컴퓨터(10)는 각 그룹에 다양한 방식으로 각 그룹에 특성을 부여할 수 있다. 다만, 각 그룹의 특성을 부여하는 방식은 이하 기재되는 방식에 한정되지 아니하고, 다양한 방식이 적용될 수 있다.
일실시예로, 상기 특성부여단계(S500)는, 관리자 클라이언트(30)로부터 상기 그룹의 수집데이터(100)에 포함된 특정한 상황데이터의 입력값을 바탕으로 결정된 특성정보를 수신할 수 있다. 즉, 관리자는 분류된 각 그룹에 포함된 수집데이터(100)를 구성하는 상황데이터를 살펴보고, 각 그룹의 특성을 결정하여 입력할 수 있다. 비정상행위탐색시스템은 관리자 클라이언트(30)에 입력된 그룹별 특성정보를 수신하여 설정할 수 있다.
다른 일 실시예로, 상기 특성부여단계(S500)는, 상기 패턴정보의 역분석을 통해 상기 그룹에 상응하는 특성을 결정할 수 있다. 예를 들어, 비정상행위탐색시스템는 결과데이터(300) 산출과정에서 특정한 결과데이터(300)에 부여된 저장공간에 판단되는 질의사항을 차례대로 저장할 수 있다. 그 후, 비정상행위탐색시스템은 각 결과데이터(300)가 산출되는 과정에서 거친 질의사항의 종류와 순서의 분석을 수행할 수 있다. 즉, 비정상행위탐색시스템은 기존에 비정상행위로 서비스이용자 또는 관리자에 의해 입력된 사례데이터를 기반으로 각각의 수집데이터(100)(또는 수집데이터(100)에 따른 결과데이터(300))가 비정상행위에 해당하는 지 여부를 판단할 수 있다. 예를 들어, 수행행위가 금융거래행위인 경우, 비정상행위탐색시스템은 금융거래시스템의 서비스이용자 또는 관리자로부터 신고된 금융거래사고 사례데이터를 획득할 수 있고, 각 금융거래사고의 사례데이터 내에는 상황데이터가 포함될 수 있다. 따라서, 비정상행위탐색시스템은 금융거래사고 사례데이터의 상황데이터와 각 그룹 내 수집데이터(100)의 상황데이터를 비교하여, 각 금융거래사고에 상응하는 그룹을 탐색(또는 각 그룹에 상응하는 금융거래상태를 매칭)할 수 있다. 이를 통해, 비정상행위탐색시스템은 누적된 사례데이터를 이용하여 자동으로 각 그룹의 특성을 부여할 수 있다. 또한, 비정상행위탐색시스템은 누적되는 사례데이터를 바탕으로 그룹의 특성을 명확하게 업데이트를 진행할 수 있다.
컴퓨터(10)는 신규수집데이터(200)를 수신한 후 신규결과데이터를 산출하고, 상기 신규결과데이터에 대응하는 그룹을 추출한다(S700). 신규수집데이터(200)가 대응되는 그룹을 산출하는 방식의 일실시예로, 컴퓨터(10)는 신규결과데이터와 일치되는 값 또는 오차범위 내의 값을 가지는 그룹으로 신규결과데이터를 판단할 수 있다. 특히, 가중치가 부여되어 각 그룹간의 차이값(즉, 편차)이 특정값 이상이 되는 경우(즉, 각 그룹간의 이격거리가 특정값 이상이 되는 경우), 결과데이터(300) 값을 통해 신규수집데이터(200)가 해당되는 그룹을 정확하게 산출할 수 있다.
신규수집데이터(200)가 대응되는 그룹을 산출하는 방식의 다른 일실시예로, 비정상행위인지 판단이 필요한 신규수집데이터(200)가 입력되는 경우, 컴퓨터(10)(즉, 비정상행위탐색시스템)는 신규수집데이터(200)를 바탕으로 결과데이터(300)를 산출하고, 결과데이터(300) 산출과정에서 파악되는 패턴정보를 통해 대응되는 그룹을 추출할 수 있다.
또한, 도 4에서와 같이, 상기 신규수집데이터(200)에 상응하는 그룹이 존재하지 않는 경우, 상기 신규수집데이터(200)에 부합하는 신규그룹을 생성하는 단계(S800); 및 하나 이상의 상기 가중치를 변경하여, 상기 그룹간 간격을 조절하는 단계(S900);를 더 포함할 수 있다. 신규수집데이터(200)에 상응하는 그룹이 탐색되지 않으면, 컴퓨터(10)는 새로운 형태의 수행행위가 발생한 것으로 판단할 수 있다. 따라서, 상기 신규수집데이터(200)에 대응하는 신규결과데이터와 신규패턴정보를 바탕으로 신규그룹을 생성할 수 있다. 신규그룹의 결과데이터(300)는 기존의 그룹의 결과데이터(300) 사이에 위치할 수 있으므로, 컴퓨터(10)는 인접그룹에 상응하는 결과데이터(300)의 차이가 특정값 이상이 되도록 가중치 조절을 수행할 수 있다.
또한, 도 5에서와 같이, 구별 가능한 복수의 레이어(410)를 포함하는 비정상행위판단다이어그램(400)을 생성하는 단계(S600);를 더 포함할 수 있다. 즉, 도 6에서와 같이, 컴퓨터(10)는 관리자가 수행행위별 그룹을 시각적으로 구별할 수 있는 비정상행위판단다이어그램(400)을 생성할 수 있다. 예를 들어, 비정상행위판단다이어그램(400)은 각각의 그룹에 상응하는 결과데이터(300) 수치값에 부합하는 생성위치를 표시되는 하나 이상의 레이어(410)를 포함할 수 있다. 즉, 각 레이어(410)는 각각의 그룹에 매칭되는 것으로서, 상기 결과데이터(300)의 수치값에 따라 생성위치가 달라질 수 있다. 또한, 각 레이어(410)는 시각적으로 구별 가능하도록 색상으로 다르게 표시하거나 식별표지(즉, 레이블)이 결합될 수 있다.
또한, 도 5에서와 같이, 상기 신규수집데이터(200)가 대응되는 그룹의 레이어(410) 상에 식별표지를 표시하여, 관리자 클라이언트(30)로 제공하는 단계(S1000);를 포함할 수 있다. 즉, 컴퓨터(10)는 신규수집데이터(200)에 대응하는 그룹의 레이어(410)에 신규수집데이터(200)를 나타내는 식별표지를 표시하여 관리자 클라이언트(30)로 제공할 수 있다. 이를 통해, 비정상행위의 발생여부를 관리하는 관리자나 도용상황이 발생(예를 들어, 본인 계정 또는 계좌를 이용하여 특정 수행행위를 수행)하는지 확인을 원하는 서비스이용자가 시각적으로 제공되는 비정상행위판단다이어그램(400) 상의 식별표지를 통해 간편하고 직관적으로 비정상행위 발생 여부 또는 발생된 비정상행위의 유형을 시각적으로 확인할 수 있다.
또한, 상기 수집데이터(100)에 포함된 하나 이상의 상황데이터의 획득순서가 정해져 있는 경우, 상기 심층신경망은, 상기 획득순서에 부합하는 비정상행위판단절차를 포함할 수 있다. 금융거래 등의 수행행위 과정에서, 수집데이터(100)에 포함되는 하나 이상의 상황데이터는 시간간격을 가지고 차례대로 획득될 수 있다. 금융거래(예를 들어, 계좌이체 등)과 같이 비정상행위(예를 들어, 이상거래(즉, 금융사고가 예상되는 거래) 등)를 신속하게 파악하여 거래 중지 등의 대처를 수행할 필요가 있는 경우, 수집데이터(100)의 모든 상황데이터가 획득된 후에 비정상행위에 해당하는 지 여부를 분석하면 대응이 늦을 수 있다.
따라서, 차례대로 상황데이터가 수신되는 경우, 수집데이터(100)를 비정상행위로 분류되도록 할 가능성이 높은 특정한 상황데이터 수신 시에 이에 대한 알림을 수행하기 위해, 컴퓨터(10)는 특정한 수행행위의 일반적인 상황데이터 획득순서에 부합하는 비정상행위판단절차를 포함할 수 있다. 예를 들어, 제1단계 상황데이터(즉, 제1단계(최초)로 획득되는 상황데이터)가 수신된 후에 제2단계 상황데이터(즉, 제2단계(두번째)로 획득되는 상황데이터)가 수신되는 경우, 컴퓨터(10)는 딥러닝 알고리즘 상에 제1단계 상황데이터로 판단을 수행하는 제1판단단계를 알고리즘의 순서상 가장 먼저 배치하고, 제2단계 상황데이터로 판단을 수행하는 제2판단단계를 제1판단단계의 다음 순서로 배치할 수 있다.
또한, 컴퓨터(10)는 상황데이터 획득순서에 부합하는 비정상행위판단절차 내의 단계별로 상기 비정상행위판단다이어그램(400)을 생성할 수 있다. 즉, 상황데이터 획득순서에 부합하는 비정상행위판단절차에서 상황데이터를 바탕으로 실시간 상황을 파악하기 위해, 컴퓨터(10)는 특정한 상황데이터가 획득된 시점에서 비정상행위 해당 가능성을 예측할 수 있는 각 판단단계별 비정상행위판단다이어그램(400)을 생성할 수 있다. 따라서, 관리자는 특정한 신규수집데이터(200)로 획득된 현재 상황데이터와 수집데이터(100)의 식별표지를 표시한 현 판단단계의 비정상행위판단다이어그램(400)을 제공함에 따라, 관리자는 발생될 비정상행위를 간편하게 인지하여 대비할 수 있다.
또한, 컴퓨터(10)는 결과데이터(300)의 수치값에 따라 배치된 비정상행위판단다이어그램(400)의 레이어(410) 순서를 재배치하여 관리자가 직관적으로 비정상행위 여부를 판단하도록 할 수 있다. 즉, 컴퓨터(10)는 결과데이터(300)에 따른 비정상행위판단다이어그램(400)(이하, 원본다이어그램)의 각 레이어(410) 배치를 변경한 수정다이어그램을 생성하여, 정상행위층과 비정상행위층으로 표시되도록 할 수 있다. 관리자는 신규수집데이터(200)가 포함된 위치를 기반으로 시각적으로 비정상행위 해당여부를 바로 확인할 수 있고, 정확한 그룹과 해당 그룹의 특성을 파악하고자 하는 경우, 수정다이어그램의 특정 레이어(410)에 매칭된 결과데이터(300) 또는 수정다이어그램의 레이어(410)와 원본다이어그램의 레이어(410)간의 매칭관계를 바탕으로 확인할 수 있다.
또한, 도 7에서와 같이, 상기 그룹의 특성이 비정상행위에 해당하는 경우, 관리자 클라이언트(30)로 상기 비정상행위의 유형정보를 제공하는 단계(S1100);를 더 포함할 수 있다. 즉, 컴퓨터(10)는, 신규수집데이터(200)가 패턴정보 비교 또는 결과데이터(300) 비교를 통해 비정상행위로 판단되면, 신규수집데이터(200)가 속하는 그룹의 비정상행위 유형을 그룹 특성을 통해 식별하여 관리자에게 제공할 수 있다.
이상에서 전술한 본 발명의 일 실시예에 따른 비정상행위 탐색방법은, 하드웨어인 컴퓨터(10)와 결합되어 실행되기 위해 프로그램(또는 어플리케이션)으로 구현되어 매체에 저장될 수 있다.
상기 전술한 프로그램은, 상기 컴퓨터가 프로그램을 읽어 들여 프로그램으로 구현된 상기 방법들을 실행시키기 위하여, 상기 컴퓨터의 프로세서(CPU)가 상기 컴퓨터의 장치 인터페이스를 통해 읽힐 수 있는 C, C++, JAVA, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다. 이러한 코드는 상기 방법들을 실행하는 필요한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Functional Code)를 포함할 수 있고, 상기 기능들을 상기 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다. 또한, 이러한 코드는 상기 기능들을 상기 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 상기 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조되어야 하는지에 대한 메모리 참조관련 코드를 더 포함할 수 있다. 또한, 상기 컴퓨터의 프로세서가 상기 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 상기 컴퓨터의 통신 모듈을 이용하여 원격에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수 있다.
상기 저장되는 매체는, 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 구체적으로는, 상기 저장되는 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있지만, 이에 제한되지 않는다. 즉, 상기 프로그램은 상기 컴퓨터가 접속할 수 있는 다양한 서버 상의 다양한 기록매체 또는 사용자의 상기 컴퓨터상의 다양한 기록매체에 저장될 수 있다. 또한, 상기 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장될 수 있다.
상기와 같은 본 발명에 따르면, 아래와 같은 다양한 효과들을 가진다.
첫째, 단순히 수집데이터를 통해 산출된 결과데이터로 수집데이터를 분류하는 것이 아니라 각 수집데이터의 딥러닝 알고리즘 내에서 판단되는 흐름인 패턴정보를 이용하여 수집데이터를 분류하므로, 근사한 결과데이터 값을 가지는 복수의 수집데이터 그룹을 정확하게 분류할 수 있다. 따라서, 비정상행위에 해당하는 그룹을 정상행위에 해당하는 그룹에 포함되는 것으로 오인하는 것을 방지할 수 있다.
둘째, 각 상황데이터에 대한 가중치를 변경함에 따라 각 그룹의 결과데이터를 시각적으로도 구별 가능하도록 조절할 수 있다.
셋째, 비정상행위탐색다이어그램 상에 신규수집데이터의 식별표지를 표시하여 관리자에게 제공함에 따라, 관리자는 간편하게 신규수집데이터의 특성을 파악할 수 있다. 즉, 관리자는 신규수집데이터의 식별표지가 다이어그램 상의 어떤 레이어에 표시되었는지를 확인함에 따라 빠르게 신규수집데이터가 비정상행위에 해당하는지 여부를 확인할 수 있으며, 구체적인 비정상행위 유형도 빠르게 파악할 수 있다.
넷째, 새로운 피싱방식이 적용되는 것과 같이, 신규수집데이터가 속하는 그룹이 없어 신규그룹 생성하는 경우, 그룹간의 특정한 간격을 가지도록 자동으로 가중치 조절을 수행할 수 있다. 이를 통해, 새로운 그룹 유형이 등장하여도 관리자가 간편하게 비정상행위 해당여부를 확인할 수 있는 비정상행위탐색다이어그램을 제공할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
10 : 컴퓨터 11 : 데이터베이스부
20 : 사용자 클라이언트 30 : 관리자 클라이언트
100 : 수집데이터 200 : 신규수집데이터
300 : 결과데이터 400 : 비정상행위판단다이어그램
410 : 레이어 420 : 신규수집데이터의 식별표지

Claims (10)

  1. 컴퓨터가 하나 이상의 수집데이터를 수신하되, 상기 수집데이터는 하나 이상의 상황데이터를 포함하는 것인, 수집데이터수신단계;
    상기 컴퓨터 내 심층신경망를 통해 각각의 수집데이터에 대한 가중치를 적용하여 결과데이터를 산출하는 단계;
    각각의 수집데이터에 대해 상기 결과데이터 산출 시 패턴정보를 도출하되, 상기 패턴정보는 상기 심층신경망 내에서 판단되는 순서에 상응하는 것인, 패턴정보도출단계;
    동일한 패턴정보를 가지는 하나 이상의 수집데이터를 특정한 그룹으로 지정하는 그룹지정단계;
    각 그룹의 특성을 부여하는 특성부여단계; 및
    신규수집데이터를 수신한 후 신규결과데이터를 산출하고, 상기 신규결과데이터에 대응하는 그룹을 추출하는 단계;를 포함하는, 비정상행위 탐색방법으로서,
    상기 가중치는, 상기 패턴정보가 상이한 그룹 간의 이격거리를 특정값 이상으로 떨어지도록 조절하며,
    상기 신규수집데이터에 상응하는 그룹이 존재하지 않는 경우,
    상기 신규수집데이터에 부합하는 신규그룹을 생성하는 단계; 및
    하나 이상의 상기 가중치를 변경하여, 상기 그룹간 간격을 조절하는 단계;를 더 포함하는 것을 특징으로 하는 비정상행위 탐색방법.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서,
    구별 가능한 복수의 레이어를 포함하는 비정상행위판단다이어그램을 생성하되, 상기 레이어는 각각의 그룹이 매칭되는 것으로서, 상기 결과데이터의 수치값에 따라 생성위치가 달라지는 것인, 비정상행위판단다이어그램 생성단계; 및
    상기 신규수집데이터가 대응되는 그룹의 레이어 상에 식별표지를 표시하여, 사용자 클라이언트로 제공하는 단계;를 포함하는, 비정상행위 탐색방법.
  5. 제4항에 있어서,
    상기 수집데이터에 포함된 하나 이상의 상황데이터의 획득순서가 정해져 있는 경우,
    상기 심층신경망은,
    상기 획득순서에 부합하는 비정상행위판단절차를 포함하며,
    상기 비정상행위판단절차 내의 단계별로 상기 비정상행위판단다이어그램을 생성하는 것을 특징으로 하는, 비정상행위 탐색방법.
  6. 제1항에 있어서,
    상기 그룹의 특성이 비정상행위에 해당하는 경우,
    관리자 클라이언트로 상기 비정상행위의 유형정보를 제공하는 단계;를 더 포함하는, 비정상행위 탐색방법.
  7. 제1항에 있어서,
    상기 특성부여단계는,
    관리자 클라이언트로부터 상기 그룹의 수집데이터에 포함된 특정한 상황데이터의 입력값을 바탕으로 결정된 특성정보를 수신하는 것을 특징으로 하는, 비정상행위 탐색방법.
  8. 제1항에 있어서,
    상기 패턴정보도출단계는,
    연속되는 하나 이상의 판단단계를 포함하는 비정상행위판단절차를 수행하며,
    상기 패턴정보는,
    상기 비정상행위판단절차에서 각 판단단계별 질의사항의 종류 및 순서를 포함하는, 비정상행위 탐색방법.
  9. 제8항에 있어서,
    상기 특성부여단계는,
    상기 패턴정보의 역분석을 통해 상기 그룹에 상응하는 특성을 결정하는 것을 특징으로 하는, 비정상행위 탐색방법.
  10. 하드웨어인 컴퓨터와 결합되어 제1항 및 제4항 내지 제9항 중 어느 한 항의 방법을 실행시키기 위하여 매체에 저장된, 비정상행위 탐색 프로그램.
KR1020170027482A 2017-03-03 2017-03-03 비정상행위 탐색방법 및 탐색프로그램 KR101866556B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170027482A KR101866556B1 (ko) 2017-03-03 2017-03-03 비정상행위 탐색방법 및 탐색프로그램

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170027482A KR101866556B1 (ko) 2017-03-03 2017-03-03 비정상행위 탐색방법 및 탐색프로그램

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020160027448A Division KR101720538B1 (ko) 2016-03-08 2016-03-08 비정상행위 탐색방법 및 탐색프로그램

Publications (2)

Publication Number Publication Date
KR20170104931A KR20170104931A (ko) 2017-09-18
KR101866556B1 true KR101866556B1 (ko) 2018-06-11

Family

ID=60034395

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170027482A KR101866556B1 (ko) 2017-03-03 2017-03-03 비정상행위 탐색방법 및 탐색프로그램

Country Status (1)

Country Link
KR (1) KR101866556B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102625864B1 (ko) 2023-09-18 2024-01-16 주식회사 인피니그루 독립구동형 상시감지 인앱을 이용한 보이스피싱 방지 방법 및 시스템
KR102657620B1 (ko) 2022-11-23 2024-04-16 주식회사 인피니그루 금융사기 방지를 위한 독립구동형 상시감지 인앱 제어 방법 및 시스템

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10944789B2 (en) * 2018-07-25 2021-03-09 Easy Solutions Enterprises Corp. Phishing detection enhanced through machine learning techniques
KR102165494B1 (ko) * 2018-12-28 2020-10-14 네이버 주식회사 온라인 서비스에서의 비정상 사용 행위 식별 방법, 장치 및 컴퓨터 프로그램
KR102359090B1 (ko) * 2021-05-27 2022-02-08 주식회사 아미크 실시간 기업정보시스템 이상행위 탐지 서비스를 제공하는 방법과 시스템

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130126814A (ko) * 2012-04-26 2013-11-21 한국전자통신연구원 데이터마이닝을 이용한 트래픽 폭주 공격 탐지 및 심층적 해석 장치 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
김종훈 외 2인, "Deep Learning 기반 기계학습 알고리즘을 이용한 야구 경기 Big Data 분석", 한국통신학회 학술대회논문집, 2015.11, pp.262-265 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102657620B1 (ko) 2022-11-23 2024-04-16 주식회사 인피니그루 금융사기 방지를 위한 독립구동형 상시감지 인앱 제어 방법 및 시스템
KR102666161B1 (ko) 2022-11-23 2024-05-17 주식회사 인피니그루 앱 상시 감지를 통해 보이스피싱을 방지하는 방법, 전자 장치 및 시스템
KR102625864B1 (ko) 2023-09-18 2024-01-16 주식회사 인피니그루 독립구동형 상시감지 인앱을 이용한 보이스피싱 방지 방법 및 시스템

Also Published As

Publication number Publication date
KR20170104931A (ko) 2017-09-18

Similar Documents

Publication Publication Date Title
KR101720538B1 (ko) 비정상행위 탐색방법 및 탐색프로그램
KR101866556B1 (ko) 비정상행위 탐색방법 및 탐색프로그램
WO2020192184A1 (zh) 基于图模型检测团伙欺诈
Ahmadian Ramaki et al. A systematic review on intrusion detection based on the Hidden Markov Model
Tahir et al. A hybrid model to detect phishing-sites using supervised learning algorithms
CN112837069B (zh) 基于区块链与大数据的安全支付方法及云平台系统
CN111447179A (zh) 一种针对以太网钓鱼诈骗的网络表示学习方法
CN106415507A (zh) 日志分析装置、攻击检测装置、攻击检测方法以及程序
CN109672674A (zh) 一种网络威胁情报可信度识别方法
CN111107096A (zh) 一种Web站点安全防护方法及装置
JP2007503034A (ja) データストリーム中の異常オブジェクトを自動的にオンラインで検出及びクラス分類するための方法及び装置
Rahim et al. Detecting the Phishing Attack Using Collaborative Approach and Secure Login through Dynamic Virtual Passwords.
JP2006079479A (ja) 時系列データ判定方法
Vanitha et al. Malicious-URL detection using logistic regression technique
Kim et al. A study on Classification of Insider threat using Markov Chain Model
Bhati et al. A new ensemble based approach for intrusion detection system using voting
More et al. Enhanced-PCA based dimensionality reduction and feature selection for real-time network threat detection
Venkatesan et al. A comprehensive study in data mining frameworks for intrusion detection
Zhu et al. Effective phishing website detection based on improved BP neural network and dual feature evaluation
Zaman et al. Phishing website detection using effective classifiers and feature selection techniques
US20230199006A1 (en) Systems and methods for machine learning-based detection of an automated fraud attack or an automated abuse attack
Al-Tamimi et al. Employing cluster-based class decomposition approach to detect phishing websites using machine learning classifiers
Goyal et al. A competent approach for type of phishing attack detection using multi-layer neural network
Al-Dhafian et al. Improving the security in healthcare information system through Elman neural network based classifier
Naoum et al. Hybrid system of learning vector quantization and enhanced resilient backpropagation artificial neural network for intrusion classification

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant