KR102151173B1 - 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치 - Google Patents

그룹웨어 사용자의 이상 행위 탐지 방법 및 장치 Download PDF

Info

Publication number
KR102151173B1
KR102151173B1 KR1020190010285A KR20190010285A KR102151173B1 KR 102151173 B1 KR102151173 B1 KR 102151173B1 KR 1020190010285 A KR1020190010285 A KR 1020190010285A KR 20190010285 A KR20190010285 A KR 20190010285A KR 102151173 B1 KR102151173 B1 KR 102151173B1
Authority
KR
South Korea
Prior art keywords
uri
sequence
user
behavior
original
Prior art date
Application number
KR1020190010285A
Other languages
English (en)
Other versions
KR20200088194A (ko
Inventor
박승영
심상규
김덕수
이석우
김명진
Original Assignee
펜타시큐리티시스템 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 펜타시큐리티시스템 주식회사 filed Critical 펜타시큐리티시스템 주식회사
Priority to US16/277,478 priority Critical patent/US11336668B2/en
Priority to JP2019027679A priority patent/JP6757991B2/ja
Publication of KR20200088194A publication Critical patent/KR20200088194A/ko
Application granted granted Critical
Publication of KR102151173B1 publication Critical patent/KR102151173B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)

Abstract

그룹웨어 사용자의 행위가 이상 행위인지 탐지하는 방법으로서, 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득하는 단계, 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성하는 단계, URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성하는 단계, 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 단계 및 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지하는 단계를 포함하는 이상 행위 탐지 방법이 개시된다.

Description

그룹웨어 사용자의 이상 행위 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING ABNORMAL BEHAVIOR OF GROUPWARE USER}
본 발명은 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치에 관한 것으로, 더욱 상세하게는 사용자가 그룹웨어(groupware)에 접속 시 생성된 URI(Uniform Resource Identifier)를 이용하여 사용자의 이상 행위를 탐지하는 방법 및 장치에 관한 것이다.
협업 소프트웨어로도 불리는 그룹웨어(groupware)는 여러 사용자가 별개의 작업 환경에서 통합된 하나의 프로젝트를 동시에 수행할 수 있도록 지원하는 소프트웨어를 의미할 수 있다. 여기서, 그룹웨어의 개별 사용자는 각자 부여된 접속 정보를 이용하여 그룹웨어에 접속할 수 있으며, 이러한 그룹웨어의 접속 정보가 공격자에 의해 탈취될 경우, 공격자가 사용자의 권한을 그대로 사용할 수 있는 문제점이 있다.
이러한 문제점을 해결하기 위하여 종래에는 접속 정보 자체에 대한 암호화 등과 같은 보안 조치를 하는 방법이 이용되거나, 공격자의 외부 접속을 차단하는 방법이 주로 이용되었다. 다만, 이러한 종래 방법들만으로는 공격자가 사용자 대신에 그룹웨어에 접속하는 것을 완전히 배제할 수 없으므로 다른 대안이 필요한 실정이다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 그룹웨어 사용자의 이상 행위 탐지 방법을 제공하는 데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은 그룹웨어 사용자의 이상 행위 탐지 장치를 제공하는 데 있다.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 이상 행위 탐지 방법은, 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득하는 단계, 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성하는 단계, URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성하는 단계, 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 단계 및 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지하는 단계를 포함할 수 있다.
여기서, 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성하는 단계는, URI가 복수인 경우, 시간적으로 인접한 URI 간의 시간 간격과 미리 결정한 시간 간격을 비교하여 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성하는 단계를 포함할 수 있다.
여기서, URI 시퀀스에 전처리를 수행하여 원시 URI 시퀀스를 생성하는 단계는, URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 원시 URI 시퀀스를 생성하는 단계를 포함할 수 있다.
여기서, 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 단계는, 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출하는 단계 및 전이 확률을 기초로 로그 확률 값을 산출하는 단계를 포함할 수 있다.
여기서, 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률을 산출하는 단계는, 원시 URI 시퀀스와 미리 설정된 날로부터 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 전이 확률을 산출하는 단계를 포함할 수 있다.
여기서, 사용자의 행위가 발생한 날에 따른 기준일은, 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정될 수 있다.
여기서, 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지하는 단계는, 로그 확률 값이 미리 결정된 문턱치 값보다 낮은 경우, 사용자의 행위를 이상 행위로 판단하는 단계를 포함할 수 있다.
상기 다른 목적을 달성하기 위한 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는, 프로세서(processor) 및 프로세서를 통해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하고, 적어도 하나의 명령은, 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득하도록 실행되고, 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성하도록 실행되고, URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성하도록 실행되고, 원시 URI 시퀀스로부터 로그 확률 값을 산출하도록 실행되고, 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지하도록 실행될 수 있다.
여기서, 적어도 하나의 명령은, URI가 복수인 경우, 시간적으로 인접한 URI 간의 시간 간격과 미리 결정한 시간 간격을 비교하여 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성하도록 실행될 수 있다.
여기서, 적어도 하나의 명령은, URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 원시 URI 시퀀스를 생성하도록 실행될 수 있다.
여기서, 적어도 하나의 명령은, 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출하도록 실행되고, 전이 확률을 기초로 로그 확률 값을 산출하도록 실행될 수 있다.
여기서, 적어도 하나의 명령은, 원시 URI 시퀀스와 미리 설정된 날로부터 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 전이 확률을 산출하도록 실행될 수 있다.
여기서, 사용자의 행위가 발생한 날에 따른 기준일은, 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정될 수 있다.
여기서, 적어도 하나의 명령은, 로그 확률 값이 미리 결정된 문턱치 값보다 낮은 경우, 사용자의 행위를 이상 행위로 판단하도록 실행될 수 있다.
본 발명에 따르면, 공격자가 그룹웨어에 접속할 수 있는 사용자의 접속 정보를 탈취하여 침투하는 것을 탐지할 수 있다.
본 발명에 따르면, 복수의 사용자가 별도의 작업 환경에서 안전하게 하나의 프로젝트를 함께 수행할 수 있다.
도 1은 본 발명의 일 실시예에 따른 원시 URI 시퀀스를 생성하는 방법을 설명하는 도면이다.
도 2는 본 발명의 일 실시예에 따른 TP 값을 업데이트하는 방법을 설명하는 도면이다.
도 3은 본 발명의 일 실시예에 따른 초기 TP 값을 산출하는 알고리즘을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 사용자의 행위 발생일로부터 기준일 이전의 원시 URI 시퀀스를 이용하는 제1 방법에 따라 TP 값을 업데이트하는 알고리즘을 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 사용자의 행위 발생일로부터 기준일 이전의 원시 URI 시퀀스 중 일부를 이용하는 제2 방법에 따라 TP 값을 업데이트하는 알고리즘을 나타낸 도면이다.
도 6은 본 발명의 일 실시예에 따른 이상 행위 탐지 장치의 블록 구성도이다.
도 7은 본 발명의 일 실시예에 따른 이상 행위 탐지 방법의 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는 데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. "및/또는"이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다. 이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
본 발명의 설명에서 그룹웨어(groupware)는 복수의 사용자가 같은 작업을 하거나 스케줄에 맞추어 공동 작업을 하는 데 적합하도록 설계된 소프트웨어를 의미할 수 있으며, 이는 기업, 기관 및 단체 등의 구성원들이 컴퓨터로 연결된 작업장에서 서로 협력하여 업무 효율을 높이기 위해 사용될 수 있다.
통합 자원 식별자(Uniform Resource Identifier, URI)는 특정 자원을 식별하는 문자열을 의미할 수 있으며, URL(Uniform Resource Locator) 및 URN(Uniform Resource Name)는 URI의 하위 개념으로 포함될 수 있다. URI는 일관성을 보장하기 위해 모든 URI는 미리 정의된 구문 규칙(syntax rule)들의 집합을 따를 수 있으며, 별도로 정의된 계층적 네이밍 스키마(naming scheme)를 통해 확상성을 유지할 수도 있다.
URI 시퀀스(sequence)는 사용자가 그룹웨어에 접속 시 사용자의 행위에 따라 차례로 발생되는 복수의 URI 또는 URI 집합을 의미할 수 있다.
본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 특정 행위에 따라 발생되는 URI 시퀀스를 이용하여 사용자의 행위를 정의할 수 있다. 다만, URI는 사용자의 행위에 따라 달라지므로, 이상 행위 탐지 장치는 사용자의 유사 행위들을 서로 다른 행위들로 판단되지 않기 위해 발생되는 URI에 대하여 전처리를 수행할 수 있다.
URI 전처리 과정은 사용자의 행위에 따라 발생하는 URI에 키 값(key value)를 제거 또는 삭제하는 과정을 의미할 수 있다. 여기서, 키 값은 URI에서 사용자의 쿠기 및 게시판의 게시물 번호 등과 같이 여러 요인에 의해 변화되는 값을 의미할 수 있다.
보다 상세하게는 사용자가 동일한 게시판에 접속한 두 행위를 예로 들어 설명하겠다. 동일한 게시판에 대하여 사용자가 첫 번째 접속한 경우와 두 번째 접속한 경우의 URI를 각각 제1 URI 및 제2 URI라고 지칭할 수 있으며, 표 1과 같다고 가정한다.
Figure 112019009526927-pat00001
표 1을 참조하면, 제1 URI의 키 값은 1010000, 0 및 1481156427을 포함할 수 있고, 제2 URI의 키 값은 1010000, 0 및 1481241824를 포함할 수 있다.
본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자의 유사 행위들을 서로 다른 행위들로 판단되지 않기 위해 URI에 대한 전처리로서 각 URI에서 키 값을 제거 또는 삭제할 수 있으며, 제1 URI 및 제2 URI는 표 2와 같이 하나의 전처리된 URI로 통일될 수 있다.
Figure 112019009526927-pat00002
표 2를 참조하면, 제1 URI 및 제2 URI는 키 값을 삭제하여 하나의 전처리된 URI로 통일될 수 있으며, 전처리된 URI는 원시 URI(primitive URI)로 정의될 수 있다.
본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 상술한 바와 같은 URI 전처리 과정을 통해 복수의 URI를 하나의 전처리된 URI 또는 원시 URI로 변환 또는 통합할 수 있으며, 원시 URI를 기초로 사용자가 동일한 게시판에 접속한 두 행위를 동일한 행위로 판단될 수 있다.
본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자가 그룹웨어에 접속하여 복수의 행위를 수행하므로, 복수의 행위 각각에 따라 발생하는 복수의 URI를 발생 순서대로 나열하여 URI 시퀀스(sequence)를 생성할 수 있다. 다시 말해, 이상 행위 탐지 장치는 사용자의 복수의 행위 각각에 따라 발생하는 복수의 URI에 대하여 각각 전처리를 수행하여 키 값을 제거할 수 있으며, 복수의 전처리된 URI 또는 복수의 원시 URI를 발생 순서에 따라 나열하여 원시 URI 시퀀스(primitive URI sequence)를 생성할 수 있다. 원시 URI 시퀀스를 생성하는 방법에 대해서는 도 1과 함께 상세히 후술하겠다.
도 1은 본 발명의 일 실시예에 따른 원시 URI 시퀀스를 생성하는 방법을 설명하는 도면이다.
도 1을 참조하면, 사용자는 그룹웨어에 접속하여 적어도 하나의 행위를 수행할 수 있으며, 행위마다 하나의 URI가 발생될 수 있다. 여기서, 하나의 행위에 대응하여 발생되는 하나의 URI는 URI 인스턴스(instance)라고 지칭될 수도 있다.
본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자가 그룹웨어를 간헐적으로 이용하는 것을 가정하여 복수의 URI를 적어도 하나의 URI 시퀀스로 구분하기 위한 시간 간격이 미리 결정될 수 있다.
다시 말해, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 복수의 URI 인스턴스가 발생되는 경우, 시간적으로 인접한 두 URI 인스턴스 간의 시간 간격(interval)이 미리 결정된 시간(Ts)을 초과하는 경우 선행 URI 인스턴스와 후행 URI 인스턴스를 서로 다른 일련의 행위로 구분하여 판단할 수 있다.
예를 들어, 제1 URI 인스턴스 내지 제6 URI 인스턴스가 순차적으로 발생하며, 제1 URI 인스턴스와 제2 URI 인스턴스 간의 시간 간격이 2초, 제2 URI 인스턴스와 제3 URI 인스턴스 간의 시간 간격이 1초, 제3 URI 인스턴스와 제4 URI 인스턴스 간의 시간 간격이 5초, 제4 URI 인스턴스와 제5 URI 인스턴스 간의 시간 간격이 3초 및 제5 URI 인스턴스와 제6 URI 인스턴스 간의 시간 간격이 2초이고, 미리 결정된 시간(Ts)이 4초인 경우, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 인접한 URI 인스턴스 간의 시간 간격이 4초보다 큰 제4 URI 인스턴스와 제4 URI 인스턴스를 서로 다른 일련의 행위로 구분할 수 있다.
다시 말해, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 제1 URI 인스턴스 내지 제4 URI 인스턴스를 나열 또는 군집하여 제1 URI 집합으로 판단할 수 있으며, 제4 URI 인스턴스 내지 제6 URI 인스턴스를 나열 또는 군집하여 제2 URI 집합으로 판단할 수 있다. 여기서, URI 집합은 URI 시퀀스로 정의될 수 있다.
이후, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 하나의 URI 시퀀스에 포함된 적어도 하나의 URI 인스턴스 각각에 대하여 상술한 전처리를 수행할 수 있으며, 적어도 하나의 URI 인스턴스가 적어도 하나의 원시 URI 변환된 경우, 변환된 적어도 하나의 원시 URI를 포함하는 원시 URI 집합을 원시 URI 시퀀스라고 정의할 수 있다. 다시 말해, 원시 URI 시퀀스는 URI 시퀀스 내의 모든 URI를 전처리한 것을 의미할 수 있다.
본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자의 그룹웨어에 접속하여 특정 행위를 수행한 경우, 상술한 바에 따라 수행한 행위에 따른 URI를 기초로 원시 URI 시퀀스를 생성할 수 있으며, 이를 기초로 정규화된 로그 확률(Normalized Log Probability, NLP) 값을 산출할 수 있고, 산출한 NLP 값과 미리 결정된 문턱치 값과 비교하여 사용자의 특정 행위가 이상 행위인지 판단할 수 있다.
보다 상세히 설명하면, 이상 행위 탐지 장치는 사용자의 행위에 따라 원시 URI 시퀀스를 생성할 수 있으며, 원시 URI 시퀀스에 대하여 미리 설정한 길이의 슬라이딩 윈도우(sliding window)를 이용하여 원시 URI 시퀀스로부터 원시 URI 서브시퀀스(subsequence)를 추출할 수 있다. 이후, 이상 행위 탐지 장치는 추출한 원시 URI 서브시퀀스로부터 로그 확률(Log Probability, LP) 값을 산출할 수 있다.
다만, 원시 URI 시퀀스의 길이가 슬라이팅 윈도우의 미리 설정한 길이보다 짧은 경우도 존재할 수 있으므로, 이러한 경우를 고려하기 위해 산출된 원시 URI 서브시퀀스의 LP 값을 원시 URI 서브시퀀스의 길이로 나누어 정규화된 로그 확률 값을 산출할 수 있다. 여기서, 원시 URI 시퀀스의 정규화된 로그 확률(NLP) 값은 수학식 1과 같이 전이 확률(Transition Probability, TP)의 곱에 대한 기하 평균(geometric mean)과 같으므로, 이를 통해 산출될 수 있다.
Figure 112019009526927-pat00003
수학식 1에서, xk는 주어진 원시 URI 서브시퀀스 내의 k번째 원시 URI를 의미할 수 있고, K는 주어진 원시 URI 서브시퀀스의 길이를 의미할 수 있다. 또한, Pr(x0)는 x0의 확률값을 의미할 수 있고, Pr(xk +1|xk)는 xk에서 xk +1로의 전이 확률을 의미할 수 있다. 여기서, 전이 확률은 수학식 2와 같이 산출될 수 있다.
Figure 112019009526927-pat00004
수학식 2에서, xk는 주어진 원시 URI 서브시퀀스 내의 k번째 원시 URI를 의미할 수 있고, Nij는 i번째 원시 URI와 j번째 원시 URI가 연속적으로 발생하는 횟수를 의미할 수 있다.
본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 상술한 바에 따라 사용자의 행위에 따른 NLP 값을 산출할 수 있으며, 산출한 NLP 값이 미리 결정된 문턱치 값보다 낮은 경우, 사용자의 행위가 이상 행위인 것으로 판단할 수 있다.
여기서, 사용자의 행위에 따른 NLP 값은 TP 값을 이용하여 산출되나, TP 값은 사용자의 과거 행위를 기초로 산출되므로, 사용자의 행위가 누적됨에 따라 업데이트될 수 있다. TP 값을 업데이트하는 방법에 대해서는 도 2와 함께 상세히 후술하겠다.
도 2는 본 발명의 일 실시예에 따른 TP 값을 업데이트하는 방법을 설명하는 도면이다.
본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 TP 값을 업데이트할 수 있다. TP 값의 업데이트는 실시간으로 수행될 수 있으나, 일정 주기마다 수행될 수도 있다. 본 발명의 설명에서는 TP 값을 실시간으로 업데이트하는 방법에 대하여 상세히 설명하겠다. 여기서, TP 값을 실시간을 업데이트하는 방법은 탐지 대상인 사용자의 행위가 발생된 일자에 따라 TP 값을 다시 산출하는 방법일 수 있으므로, 사용자의 행위가 발생된 일자를 기준으로 TP 값을 산출하는 방법을 설명하겠다.
본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자의 행위에 따른 NLP 값을 산출하는 경우, 사용자의 행위 직전까지의 원시 URI 시퀀스를 이용하여 TP 값을 산출할 수 있으나, 사용자의 행위 직전에 이상 행위가 포함되어 있는 경우, TP 값이 부정확할 수 있으므로, 사용자의 행위로부터 기준일 이전까지의 원시 URI 시퀀스만을 이용하여 TP 값을 산출할 수 있다.
도 2를 참조하면, 탐지 대상인 사용자의 행위가 발생된 일자는 d이며, 기준일은 D라고 가정할 수 있다. 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자의 행위가 발생된 일자가 Day d인 경우, 사용자의 행위에 따른 NLP 값을 산출하기 위해 Day d-D+1부터 Day d-1까지의 원시 URI 시퀀스는 이용하지 않으며, 미리 설정된 일자로부터 Day d-D까지의 원시 URI 시퀀스를 이용하여 TP 값을 산출할 수 있다.
여기서, TP 값의 산출을 위해 이용되는 원시 URI 시퀀스는 미리 설정된 기간에 따라 기준일로부터 산정된 미리 설정된 일자로부터 사용자의 행위 발생일로부터 기준일이전까지 발생된 원시 URI 시퀀스를 포함할 수 있고, 본 발명에 따른 이상 행위 탐지 방법이 수행되는 초기부터 지속적으로 누적된 원시 URI 시퀀스를 이용할 수 있으며, 누적된 원시 URI 시퀀스 중 특정 방법에 따라 일부만을 산출한 일부 원시 URI 시퀀스를 이용할 수도 있으나, 이에 한정되는 것은 아니다.
도 3은 본 발명의 일 실시예에 따른 초기 TP 값을 산출하는 알고리즘을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 사용자의 행위 발생일로부터 기준일 이전의 원시 URI 시퀀스를 이용하는 제1 방법에 따라 TP 값을 업데이트하는 알고리즘을 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 사용자의 행위 발생일로부터 기준일 이전의 원시 URI 시퀀스 중 일부를 이용하는 제2 방법에 따라 TP 값을 업데이트하는 알고리즘을 나타낸 도면이다.
도 3 내지 도 5에서, S는 원시 URI의 수를 의미할 수 있으며, U는 원시 URI가 발생되는 날자의 수를 의미할 수 있다. Nij는 i번째 원시 URI와 j번째 원시 URI가 연속적으로 발생하는 횟수를 의미할 수 있으며,
Figure 112019009526927-pat00005
는 I 번째 원시 URI에서 j번째 원시 URI로 전이하는 전이 확률을 의미할 수 잇다. Xini는 초기 TP 값 산출을 위한 원시 URI 시퀀스의 집합을 의미할 수 있으며, Xd는 Day d에서의 원시 URI 시퀀스의 집합을 의미할 수 있다. xk는 x 벡터의 k번째 요소를 의미할 수 있으며,
Figure 112019009526927-pat00006
는 0과 1 사이의 값을 가지는 망각 요소(forgetting factor)를 의미할 수 있다.
도 6은 본 발명의 일 실시예에 따른 이상 행위 탐지 장치의 블록 구성도이다.
도 6을 참조하면, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치(600)는 적어도 하나의 프로세서(610), 메모리(620) 및 저장 장치(630)를 포함할 수 있다.
프로세서(610)는 메모리(620) 및/또는 저장 장치(630)에 저장된 프로그램 명령(program command)을 실행할 수 있다. 프로세서(610)는 중앙 처리 장치(CPU, Central Processing Unit), 그래픽 처리 장치(GPU, Graphics Processing Unit) 또는 본 발명에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리(620)와 저장 장치(630)는 휘발성 저장 매체 및/또는 비휘발성 저장 매체로 구성될 수 있다. 예를 들어, 메모리(620)는 읽기 전용 메모리(ROM, Read Only Memory) 및/또는 랜덤 액세스 메모리(RAM, Random Access Memory)로 구성될 수 있다.
메모리(620)는 프로세서(610)를 통해 실행되는 적어도 하나의 명령을 저장하고 있을 수 있다. 적어도 하나의 명령은 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득하는 명령, 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성하는 명령, URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성하는 명령, 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 명령 및 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지하는 명령을 포함할 수 있다.
여기서, 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성하는 명령은, URI가 복수인 경우, 시간적으로 인접한 URI 간의 시간 간격과 미리 결정한 시간 간격을 비교하여 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성하는 명령을 포함할 수 있다.
여기서, URI 시퀀스에 전처리를 수행하여 원시 URI 시퀀스를 생성하는 명령은, URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 원시 URI 시퀀스를 생성하는 명령을 포함할 수 있다.
여기서, 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 명령은, 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출하는 명령 및 전이 확률을 기초로 로그 확률 값을 산출하는 명령을 포함할 수 있다.
여기서, 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률을 산출하는 명령은, 원시 URI 시퀀스와 미리 설정된 날로부터 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 전이 확률을 산출하는 명령을 포함할 수 있다.
여기서, 사용자의 행위가 발생한 날에 따른 기준일은, 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정될 수 있다.
여기서, 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지하는 명령은, 로그 확률 값이 미리 결정된 문턱치 값보다 낮은 경우, 사용자의 행위를 이상 행위로 판단하는 명령을 포함할 수 있다.
도 7은 본 발명의 일 실시예에 따른 이상 행위 탐지 방법의 순서도이다.
도 7을 참조하면, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득할 수 있으며(S710), 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성할 수 있다(S720). 여기서, 이상 행위 탐지 장치는 URI가 복수인 경우 시간적으로 인접한 URI 간의 시간 간격과 미리 결정한 시간 간격을 비교하여 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성할 수 있다.
이상 행위 탐지 장치는 URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성할 수 있다(S730). 여기서, 이상 행위 탐지 장치는 URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 원시 URI 시퀀스를 생성하는 단계를 포함할 수 있다.
이상 행위 탐지 장치는 원시 URI 시퀀스로부터 로그 확률 값을 산출할 수 있다(S740). 여기서, 이상 행위 탐지 장치는 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출할 수 있고, 전이 확률을 기초로 로그 확률 값을 산출하는 단계를 포함할 수 있다. 또한, 이상 행위 탐지 장치는 원시 URI 시퀀스와 미리 설정된 날로부터 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 전이 확률을 산출할 수 있으며, 사용자의 행위가 발생한 날에 따른 기준일을 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정할 수 있다.
이상 행위 탐지 장치는 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지할 수 있다(S750). 다시 말해, 이상 행위 탐지 장치는 로그 확률 값이 미리 결정된 문턱치 값보다 낮은 경우, 사용자의 행위를 이상 행위로 판단할 수 있다.
본 발명의 실시예에 따른 동작은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 또는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터로 읽을 수 있는 프로그램 또는 코드가 저장되고 실행될 수 있다.
또한, 컴퓨터가 읽을 수 있는 기록매체는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다. 프로그램 명령은 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
본 발명의 일부 측면들은 장치의 문맥에서 설명되었으나, 그것은 상응하는 방법에 따른 설명 또한 나타낼 수 있고, 여기서 블록 또는 장치는 방법 단계 또는 방법 단계의 특징에 상응한다. 유사하게, 방법의 문맥에서 설명된 측면들은 또한 상응하는 블록 또는 아이템 또는 상응하는 장치의 특징으로 나타낼 수 있다. 방법 단계들의 몇몇 또는 전부는 예를 들어, 마이크로프로세서, 프로그램 가능한 컴퓨터 또는 전자 회로와 같은 하드웨어 장치에 의해(또는 이용하여) 수행될 수 있다. 몇몇의 실시예에서, 가장 중요한 방법 단계들의 하나 이상은 이와 같은 장치에 의해 수행될 수 있다.
실시예들에서, 프로그램 가능한 로직 장치(예를 들어, 필드 프로그래머블 게이트 어레이)가 여기서 설명된 방법들의 기능의 일부 또는 전부를 수행하기 위해 사용될 수 있다. 실시예들에서, 필드 프로그래머블 게이트 어레이는 여기서 설명된 방법들 중 하나를 수행하기 위한 마이크로프로세서와 함께 작동할 수 있다. 일반적으로, 방법들은 어떤 하드웨어 장치에 의해 수행되는 것이 바람직하다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (14)

  1. 그룹웨어 사용자의 행위가 이상 행위인지 탐지하는 방법으로서,
    상기 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득하는 단계;
    미리 결정한 시간 간격을 기초로 상기 URI로부터 URI 시퀀스를 생성하는 단계;
    상기 URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성하는 단계;
    상기 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 단계; 및
    상기 로그 확률 값과 미리 결정된 문턱치 값을 기초로 상기 사용자의 행위가 이상 행위인지 탐지하는 단계를 포함하고,
    상기 미리 결정한 시간 간격을 기초로 상기 URI로부터 URI 시퀀스를 생성하는 단계는,
    상기 URI가 복수인 경우, 시간적으로 인접한 URI 간의 시간 간격과 상기 미리 결정한 시간 간격을 비교하여 상기 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성하는 단계를 포함하는, 이상 행위 탐지 방법.
  2. 삭제
  3. 청구항 1에 있어서,
    상기 URI 시퀀스에 전처리를 수행하여 원시 URI 시퀀스를 생성하는 단계는,
    상기 URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 상기 원시 URI 시퀀스를 생성하는 단계를 포함하는, 이상 행위 탐지 방법.
  4. 청구항 1에 있어서,
    상기 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 단계는,
    상기 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출하는 단계; 및
    상기 전이 확률을 기초로 상기 로그 확률 값을 산출하는 단계를 포함하는, 이상 행위 탐지 방법.
  5. 청구항 4에 있어서,
    상기 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률을 산출하는 단계는,
    상기 원시 URI 시퀀스와 미리 설정된 날로부터 상기 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 상기 전이 확률을 산출하는 단계를 포함하는, 이상 행위 탐지 방법.
  6. 청구항 5에 있어서,
    상기 사용자의 행위가 발생한 날에 따른 기준일은,
    상기 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정되는, 이상 행위 탐지 방법.
  7. 청구항 1에 있어서,
    상기 로그 확률 값과 미리 결정된 문턱치 값을 기초로 상기 사용자의 행위가 이상 행위인지 탐지하는 단계는,
    상기 로그 확률 값이 상기 미리 결정된 문턱치 값보다 낮은 경우, 상기 사용자의 행위를 이상 행위로 판단하는 단계를 포함하는, 이상 행위 탐지 방법.
  8. 그룹웨어 사용자의 행위가 이상 행위인지 탐지하는 장치으로서,
    프로세서(processor); 및
    상기 프로세서를 통해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하고,
    상기 적어도 하나의 명령은,
    상기 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득하도록 하는 명령;
    미리 결정한 시간 간격을 기초로 상기 URI로부터 URI 시퀀스를 생성하도록 하는 명령;
    상기 URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성하도록 하는 명령;
    상기 원시 URI 시퀀스로부터 로그 확률 값을 산출하도록 하는 명령; 및
    상기 로그 확률 값과 미리 결정된 문턱치 값을 기초로 상기 사용자의 행위가 이상 행위인지 탐지하도록 하는 명령을 포함하고,
    상기 미리 결정한 시간 간격을 기초로 상기 URI로부터 URI 시퀀스를 생성하도록 하는 명령은,
    상기 URI가 복수인 경우, 시간적으로 인접한 URI 간의 시간 간격과 상기 미리 결정한 시간 간격을 비교하여 상기 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성하도록 하는 명령을 포함하는, 이상 행위 탐지 장치.
  9. 삭제
  10. 청구항 8에 있어서,
    상기 URI 시퀀스에 전처리를 수행하여 원시 URI 시퀀스를 생성하도록 하는 명령은,
    상기 URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 상기 원시 URI 시퀀스를 생성하도록 하는 명령을 포함하는, 이상 행위 탐지 장치.
  11. 청구항 8에 있어서,
    상기 원시 URI 시퀀스로부터 로그 확률 값을 산출하도록 하는 명령은,
    상기 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출하도록 하는 명령; 및
    상기 전이 확률을 기초로 상기 로그 확률 값을 산출하도록 하는 명령을 포함하는, 이상 행위 탐지 장치.
  12. 청구항 11에 있어서,
    상기 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률을 산출하도록 하는 명령은,
    상기 원시 URI 시퀀스와 미리 설정된 날로부터 상기 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 상기 전이 확률을 산출하도록 하는 명령을 포함하는, 이상 행위 탐지 장치.
  13. 청구항 12에 있어서,
    상기 사용자의 행위가 발생한 날에 따른 기준일은,
    상기 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정되는, 이상 행위 탐지 장치.
  14. 청구항 8에 있어서,
    상기 로그 확률 값과 미리 결정된 문턱치 값을 기초로 상기 사용자의 행위가 이상 행위인지 탐지하도록 하는 명령은,
    상기 로그 확률 값이 상기 미리 결정된 문턱치 값보다 낮은 경우, 상기 사용자의 행위를 이상 행위로 판단하도록 하는 명령을 포함하는, 이상 행위 탐지 장치.
KR1020190010285A 2019-01-14 2019-01-28 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치 KR102151173B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US16/277,478 US11336668B2 (en) 2019-01-14 2019-02-15 Method and apparatus for detecting abnormal behavior of groupware user
JP2019027679A JP6757991B2 (ja) 2019-01-14 2019-02-19 グループウェア使用者の異常行為探知方法および装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20190004882 2019-01-14
KR1020190004882 2019-01-14

Publications (2)

Publication Number Publication Date
KR20200088194A KR20200088194A (ko) 2020-07-22
KR102151173B1 true KR102151173B1 (ko) 2020-09-02

Family

ID=71893235

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190010285A KR102151173B1 (ko) 2019-01-14 2019-01-28 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102151173B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112162911B (zh) * 2020-10-14 2024-03-29 中国民航信息网络股份有限公司 异常业务操作行为检测方法、装置、设备及可读存储介质
KR102307632B1 (ko) * 2021-05-31 2021-10-05 주식회사 아미크 적대적 재귀 오토인코더 기반 기업정보시스템 사용자 이상행위 탐지 시스템 및 방법
CN114254716B (zh) * 2022-03-02 2022-05-27 浙江鹏信信息科技股份有限公司 一种基于用户行为分析的高危操作识别方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101623071B1 (ko) 2015-01-28 2016-05-31 한국인터넷진흥원 공격의심 이상징후 탐지 시스템
KR101743269B1 (ko) 2016-01-13 2017-06-05 주식회사 엔젠소프트 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101696009B1 (ko) * 2013-02-27 2017-01-12 한국전자통신연구원 게임의 특성을 이용하여 부정 사용자를 검출하기 위한 게임 특성 검출 장치 및 방법
KR101678179B1 (ko) * 2015-05-08 2016-11-21 (주)케이사인 개인정보 부정사용 탐지 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101623071B1 (ko) 2015-01-28 2016-05-31 한국인터넷진흥원 공격의심 이상징후 탐지 시스템
KR101743269B1 (ko) 2016-01-13 2017-06-05 주식회사 엔젠소프트 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
김진, ‘IP Session Tree를 이용한 GET Flooding 형태의 DDoS 공격 탐지’, 한국정보기술학회 논문지, 2012.08.*

Also Published As

Publication number Publication date
KR20200088194A (ko) 2020-07-22

Similar Documents

Publication Publication Date Title
JP6757991B2 (ja) グループウェア使用者の異常行為探知方法および装置
KR102151173B1 (ko) 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치
US9460074B2 (en) Efficient data pattern matching
CN109063055B (zh) 同源二进制文件检索方法和装置
Wai-chee Fu et al. Mining n-most interesting itemsets
US7669119B1 (en) Correlation-based information extraction from markup language documents
Kamtuo et al. Machine Learning for SQL injection prevention on server-side scripting
Liang et al. A behavior-based malware variant classification technique
US10331441B2 (en) Source code mapping through context specific key word indexes and fingerprinting
US9251270B2 (en) Grouping search results into a profile page
US8762829B2 (en) Robust wrappers for web extraction
US20170351644A1 (en) Advertisement Filtering Method and Device
CA2882280A1 (en) System and method for matching data using probabilistic modeling techniques
US20120259792A1 (en) Automatic detection of different types of changes in a business process
US20160255109A1 (en) Detection method and apparatus
Shivaji et al. Plagiarism detection by using karp-rabin and string matching algorithm together
CN115658080A (zh) 一种软件开源代码成分的识别方法及系统
AU2017268604B2 (en) Accumulated retrieval processing method, device, terminal, and storage medium
CN116974554A (zh) 代码数据处理方法、装置、计算机设备和存储介质
US10318397B2 (en) Efficient data pattern matching
Wu et al. Learning data transformation rules through examples: Preliminary results
EP3791296A1 (en) A system and a method for sequential anomaly revealing in a computer network
Shrahili et al. Truncated Cauchy Power Odd Fréchet‐G Family of Distributions: Theory and Applications
CN107463845B (zh) 一种sql注入攻击的检测方法、系统和计算机处理设备
CN115859273A (zh) 一种数据库异常访问的检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant