KR102235566B1 - Apparatus and method for anomaly detection based on blockchain - Google Patents

Apparatus and method for anomaly detection based on blockchain Download PDF

Info

Publication number
KR102235566B1
KR102235566B1 KR1020190039620A KR20190039620A KR102235566B1 KR 102235566 B1 KR102235566 B1 KR 102235566B1 KR 1020190039620 A KR1020190039620 A KR 1020190039620A KR 20190039620 A KR20190039620 A KR 20190039620A KR 102235566 B1 KR102235566 B1 KR 102235566B1
Authority
KR
South Korea
Prior art keywords
abnormal behavior
node
authentication
authentication request
input information
Prior art date
Application number
KR1020190039620A
Other languages
Korean (ko)
Other versions
KR20200117473A (en
Inventor
김지수
신충용
김종규
배병철
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020190039620A priority Critical patent/KR102235566B1/en
Publication of KR20200117473A publication Critical patent/KR20200117473A/en
Application granted granted Critical
Publication of KR102235566B1 publication Critical patent/KR102235566B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0607Regulated
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0609Buyer or seller confidence or verification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • Finance (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

블록체인 기반 이상행위 탐지 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 방법은 블록체인 기반 이상행위 탐지 장치의 블록체인 기반 이상행위 탐지 방법에 있어서, 블록체인 상의 인증 노드가, 사전에 합의된 인증 방법을 이용하여 인증 요청 노드의 인증을 처리하는 단계; 상기 인증 노드가, 상기 인증 요청 노드에 대한 입력 정보를 생성하고, 상기 블록체인 상의 적어도 하나 이상의 참여 노드에게 상기 입력 정보를 전송하는 단계; 상기 참여 노드가, 상기 입력 정보을 이용하여 상기 인증 요청 노드의 이상행위를 판단하는 단계 및 상기 인증 노드가, 상기 참여 노드가 상기 인증 요청 노드의 이상행위를 판단한 결과에 기반하여 이상행위를 최종 판단하는 단계를 포함한다.A block chain-based abnormal behavior detection device and method are disclosed. Blockchain-based abnormal behavior detection method according to an embodiment of the present invention is a block chain-based abnormal behavior detection method of a block chain-based abnormal behavior detection device, the authentication node on the blockchain using a pre-agreed authentication method. Processing authentication of the authentication requesting node; Generating, by the authentication node, input information for the authentication request node, and transmitting the input information to at least one participating node on the block chain; The participating node determines the abnormal behavior of the authentication request node using the input information, and the authentication node finally determines the abnormal behavior based on a result of the participating node determining the abnormal behavior of the authentication request node. Includes steps.

Description

블록체인 기반 이상행위 탐지 장치 및 방법 {APPARATUS AND METHOD FOR ANOMALY DETECTION BASED ON BLOCKCHAIN}Blockchain-based abnormal behavior detection device and method {APPARATUS AND METHOD FOR ANOMALY DETECTION BASED ON BLOCKCHAIN}

본 발명은 P2P 네트워크와 같은 분산 환경에서 블록체인에 기반한 안전한 인증서비스를 제공하기 위한 기술에 관한 것이다.The present invention relates to a technology for providing a secure authentication service based on a block chain in a distributed environment such as a P2P network.

최근, IT 기술 발전에 따라 인터넷 기반 응용 서비스들은 증가하였지만, 해당 서비스에 대한 공격기법들도 다양해지고 있어 응용 서비스를 안정적으로 제공하기 위한 이상행위 탐지(AD, Anomaly Detection) 기법들이 제안되고 있다. 이상행위 탐지를 활용할 경우 통계적 기반 등 정상에서 벗어나는 행위에 대한 탐지가 가능하며 Zero day attack과 같이 사전에 알려지지 않은 공격에 대한 탐지가 가능할 수 있다. 또한 사용자 측면에서 전자결재 시 사용자 행위를 사전에 고려하여 좀 더 간결한 결제를 통한 편의성 제공과 지속적인 모니터링을 통한 보안성도 함께 제공될 수 있다. 따라서 이상행위 탐지와 같은 기능을 수행하기 위해서는 서비스 및 클라이언트 관련 로그 정보가 필요하며 다양한 사용자가 이용하는 서비스일 경우 해당 사용자 및 행위 정보 등 많은 양의 로그에 대한 관리 및 분석이 수행되어야 한다. 그러나 탈중앙화 된 P2P(Peer to Peer) 네트워크와 같은 환경에서는 각각의 노드들이 통신 할 경우 중앙화된 서버가 존재하지 않아 통신 하고자 하는 특정 노드가 다른 노드들과 통신한 내역과 같은 행위와 관련된 통합 로그정보를 조회하기 어렵다. 또한 모든 이력관련 정보들을 P2P환경에서의 모든 노드가 공유하기에는 저용량 스토리지를 가지는 기기에서는 현실적으로 부담이 될 수 있다. 따라서 본 발명에서는 저장정보 증가 또는 부담을 최소화 하면서 통합이력정보를 활용하는 블록체인 기반 비정상 탐지 기법을 제안한다.In recent years, Internet-based application services have increased with the development of IT technology, but attack techniques for the corresponding service are also diversifying, so anomaly detection (AD) techniques have been proposed to stably provide application services. When using abnormal behavior detection, it is possible to detect behaviors that deviate from normal such as statistical basis, and detect unknown attacks such as zero day attack in advance. In addition, from the user's point of view, the user's behavior is considered in advance during electronic payment, and convenience through more concise payment and security through continuous monitoring can also be provided. Therefore, in order to perform functions such as abnormal behavior detection, service and client-related log information is required, and in the case of a service used by various users, management and analysis of a large amount of logs such as corresponding user and behavior information must be performed. However, in an environment such as a decentralized P2P (Peer to Peer) network, when each node communicates, there is no centralized server, so a specific node to communicate with is an integrated log information related to actions such as the details of communication with other nodes. It is difficult to look up. In addition, in a device having a low-capacity storage, it can be a burden in reality to share all history-related information by all nodes in a P2P environment. Therefore, the present invention proposes a block chain-based abnormality detection method that utilizes integrated history information while minimizing the increase or burden of storage information.

한편, 한국등록특허 제 10-1814989 호"블록체인을 이용한 이상 금융 거래 탐지 방법 및 이를 실행하는 서버"는 금융 거래의 요청 시 거래 패턴 블록을 이용하여 금융 거래가 탐지 대상 금융 거래인지 여부를 판단하고, 상기 금융 거래가 탐지 대상 금융 거래라고 판단되면 다른 블록체인 금융 서버에 상기 탐지 대상 금융 거래에 대한 분석 요청 메시지를 다른 블록 체인 금융 서버에 제공하고, 상기 다른 블록체인 금융 서버로부터 상기 탐지 대상 금융 거래에 대한 분석 결과를 수신하면, 상기 분석 결과에 따라 상기 금융 거래를 처리하는 블록체인을 이용한 이상 금융 거래 탐지 방법 및 서버에 관하여 개시하고 있다.On the other hand, Korean Patent Registration No. 10-1814989 "A method for detecting abnormal financial transactions using a block chain and a server executing the same" determines whether a financial transaction is a target financial transaction by using a transaction pattern block when a financial transaction is requested, When it is determined that the financial transaction is a financial transaction to be detected, an analysis request message for the financial transaction to be detected is provided to another blockchain financial server to another blockchain financial server, and the financial transaction to be detected from the other blockchain financial server is provided. Disclosed is a method and a server for detecting abnormal financial transactions using a blockchain that processes the financial transaction according to the analysis result upon receiving the analysis result.

그러나, 한국등록특허 제 10-1814989 호는 블록체인이 스마트 컨트랙트 형태의 이상행위 탐지 정책을 저장 및 공유하고 있지 않아, 분산된 환경에서 중앙관리 없이 모든 노드가 동일한 기준에서 이상 행위 탐지가 불가능한 한계가 있다.However, Korean Patent Registration No. 10-1814989 says that the blockchain does not store and share anomaly detection policies in the form of smart contracts, so all nodes cannot detect anomaly under the same standard in a distributed environment without central management. have.

본 발명은 P2P 네트워크와 같은 중앙제어서버가 없는 분산환경에서 인증 과정의 효과적인 이상행위 탐지를 제공하는 것을 목적으로 한다.An object of the present invention is to provide effective detection of abnormal behavior in an authentication process in a distributed environment without a central control server such as a P2P network.

또한, 본 발명은 각 노드 별 저장공간의 사용 효율을 증가시켜 저장정보 증가 또는 부담을 최소화 하면서 통합이력정보를 활용하는 것을 목적으로 한다.In addition, an object of the present invention is to use integrated history information while minimizing the increase or burden of storage information by increasing the use efficiency of storage space for each node.

또한, 본 발명은 이상행위 탐지를 스마트 컨트랙트로 관리하여 프로그램의 무결성, 비가역성 및 추적성을 보장하는 것을 목적으로 한다.In addition, an object of the present invention is to ensure the integrity, irreversibility, and traceability of a program by managing abnormal behavior detection with a smart contract.

상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 방법은 블록체인 기반 이상행위 탐지 장치의 블록체인 기반 이상행위 탐지 방법에 있어서, 블록체인 상의 인증 노드가, 사전에 합의된 인증 방법을 이용하여 인증 요청 노드의 인증을 처리하는 단계; 상기 인증 노드가, 상기 인증 요청 노드에 대한 입력 정보를 생성하고, 상기 블록체인 상의 적어도 하나 이상의 참여 노드에게 상기 입력 정보를 전송하는 단계; 상기 참여 노드가, 상기 입력 정보를 이용하여 상기 인증 요청 노드의 이상행위를 판단하는 단계 및 상기 인증 노드가, 상기 참여 노드가 상기 인증 요청 노드의 이상행위를 판단한 결과에 기반하여 이상행위를 최종 판단하는 단계를 포함한다.Blockchain-based abnormal behavior detection method according to an embodiment of the present invention for achieving the above object, in the block chain-based abnormal behavior detection method of the block chain-based abnormal behavior detection device, the authentication node on the blockchain, in advance, Processing authentication of an authentication requesting node using an agreed authentication method; Generating, by the authentication node, input information for the authentication request node, and transmitting the input information to at least one participating node on the block chain; The participating node determines the abnormal behavior of the authentication request node using the input information, and the authentication node finally determines the abnormal behavior based on a result of the participating node determining the abnormal behavior of the authentication request node. It includes the step of.

이 때, 상기 블록체인 기반 이상행위 탐지 방법은 상기 이상행위를 최종 판단하는 단계 이후에, 상기 블록체인 상의 노드들이 이상행위로 판단된 정보를 저장하는 단계를 더 포함할 수 있다.In this case, the method for detecting abnormal behavior based on the blockchain may further include storing information determined by the nodes on the blockchain as abnormal behavior after the final determination of the abnormal behavior.

이 때, 상기 입력 정보는 상기 인증 요청 노드의 접속 시간, 위치 및 인증 기법 중 적어도 하나 이상을 포함한다.In this case, the input information includes at least one of an access time, a location, and an authentication method of the authentication request node.

상기 인증을 처리하는 단계는 상기 인증이 성공인 경우, 상기 인증 노드가 상기 인증 요청 노드에게 제공하는 서비스에 대한 제1 단계 권한을 제공할 수 있다.In the step of processing the authentication, if the authentication is successful, the authentication node may provide a first step authority for a service provided to the authentication request node.

이 때, 상기 이상행위를 판단하는 단계는 상기 참여 노드가, 기저장된 상기 인증 요청 노드에 대한 인증을 처리한 정보를 포함하는 이력 정보와 상기 입력 정보를 이용하여 이상행위를 판단할 수 있다.In this case, in the determining of the abnormal behavior, the participating node may determine the abnormal behavior using the input information and history information including information that has processed the authentication for the authentication request node previously stored.

이 때, 상기 이상행위를 최종 판단 하는 단계는 상기 블록체인 상의 복수개의 참여 노드들 중 어느 하나의 참여 노드에서 상기 인증 요청 노드의 이상행위가 판단된 경우, 상기 인증 요청 노드에 대한 이상행위가 존재하는 것으로 최종 판단할 수 있다.At this time, the final determination of the abnormal behavior is when the abnormal behavior of the authentication request node is determined by any one of the plurality of participating nodes on the blockchain, the abnormal behavior exists for the authentication request node. It can be finally judged by doing.

이 때, 상기 이상행위를 최종 판단 하는 단계는 상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하지 않는 경우, 상기 인증 노드가 상기 인증 요청 노드에게 제공하는 서비스에 대한 제2 단계 권한을 제공할 수 있다.In this case, in the final determination of the abnormal behavior, when the abnormal behavior does not exist as a result of the final determination of the abnormal behavior, the authentication node provides a second level authority for the service provided to the authentication request node. I can.

이 때, 상기 이상행위를 최종 판단 하는 단계는 상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하는 경우, 상기 인증 요청 노드에게 제공한 상기 제1 단계 권한을 취소시킬 수 있다. In this case, in the final determination of the abnormal behavior, when the abnormal behavior exists as a result of the final determination of the abnormal behavior, the authority for the first step provided to the authentication requesting node may be revoked.

또한, 상기의 목적을 달성하기 위한 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 장치는 하나 이상의 프로세서; 메모리 및 하나 이상의 프로그램을 포함하고, 상기 하나 이상의 프로그램은 상기 메모리에 저장되고, 상기 하나 이상의 프로세서에 의해 실행되고, 상기 하나 이상의 프로세서는 상기 하나 이상의 프로그램을 실행하여, 사전에 합의된 인증 방법을 이용하여 인증 요청 노드의 인증을 처리하고, 상기 인증 요청 노드에 대한 입력 정보를 생성하고, 블록체인 상의 적어도 하나 이상의 참여 노드에게 상기 입력 정보를 전송하고, 상기 참여 노드가, 상기 입력 정보를 이용하여 상기 인증 요청 노드의 이상행위를 판단한 결과를 수신하고, 상기 이상행위를 판단한 결과에 기반하여 이상행위를 최종 판단한다.In addition, the block chain-based abnormal behavior detection apparatus according to an embodiment of the present invention for achieving the above object includes one or more processors; Including a memory and one or more programs, the one or more programs are stored in the memory, executed by the one or more processors, the one or more processors execute the one or more programs, and use a pre-agreed authentication method To process the authentication of the authentication request node, generate input information for the authentication request node, transmit the input information to at least one participating node on the blockchain, and the participating node uses the input information The result of determining the abnormal behavior of the authentication request node is received, and the abnormal behavior is finally determined based on the determination result of the abnormal behavior.

이 때, 상기 하나 이상의 프로세서는 상기 이상행위를 최종 판단한 이후에, 상기 이상행위로 판단된 정보를 저장할 수 있다.In this case, the one or more processors may store information determined to be the abnormal behavior after final determination of the abnormal behavior.

이 때, 상기 입력 정보는 상기 인증 요청 노드의 접속 시간, 위치 및 인증 기법 중 적어도 하나 이상을 포함할 수 있다.In this case, the input information may include at least one of an access time, a location, and an authentication method of the authentication request node.

이 때, 상기 하나 이상의 프로세서는 상기 인증이 성공인 경우, 상기 인증 노드가 상기 인증 요청 노드에게 제공하는 서비스에 대한 제1 단계 권한을 제공할 수 있다.In this case, when the authentication is successful, the one or more processors may provide a first stage authority for a service provided by the authentication node to the authentication request node.

이 때, 상기 참여 노드는 기저장된 상기 인증 요청 노드에 대한 인증을 처리한 정보를 포함하는 이력 정보와 상기 입력 정보를 이용하여 이상행위를 판단할 수 있다.In this case, the participating node may determine the abnormal behavior by using the input information and history information including information that has processed the authentication for the authentication request node previously stored.

이 때, 상기 하나 이상의 프로세서는 상기 블록체인 상의 복수개의 참여 노드들 중 어느 하나의 참여 노드에서 상기 인증 요청 노드의 이상행위가 판단된 경우, 상기 인증 요청 노드에 대한 이상행위가 존재하는 것으로 최종 판단할 수 있다.At this time, when the at least one processor determines the abnormal behavior of the authentication request node in any one of the plurality of participating nodes on the blockchain, it is finally determined that the abnormal behavior exists for the authentication request node. can do.

이 때, 상기 하나 이상의 프로세서는 상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하지 않는 경우, 상기 인증 노드가 상기 인증 요청 노드에게 제공하는 서비스에 대한 제2 단계 권한을 제공할 수 있다.In this case, as a result of the final determination of the abnormal behavior, the one or more processors may provide a second level authority for a service provided by the authentication node to the authentication request node when the abnormal behavior does not exist.

이 때, 상기 하나 이상의 프로세서는 상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하는 경우, 상기 인증 요청 노드에게 제공한 상기 제1 단계 권한을 취소시킬 수 있다.In this case, as a result of the final determination of the abnormal behavior, the one or more processors may revoke the first stage authority provided to the authentication requesting node when the abnormal behavior exists.

본 발명은 P2P 네트워크와 같은 중앙제어서버가 없는 분산환경에서 인증 과정의 효과적인 이상행위 탐지를 제공할 수 있다.The present invention can provide effective detection of abnormal behavior in the authentication process in a distributed environment without a central control server such as a P2P network.

또한, 본 발명은 각 노드 별 저장공간의 사용 효율을 증가시켜 저장정보 증가 또는 부담을 최소화 하면서 통합이력정보를 활용할 수 있다.In addition, the present invention can utilize the integrated history information while minimizing the increase or burden of storage information by increasing the use efficiency of storage space for each node.

또한, 본 발명은 이상행위 탐지를 스마트 컨트랙트로 관리하여 프로그램의 무결성, 비가역성 및 추적성을 보장할 수 있다.In addition, the present invention manages abnormal behavior detection with a smart contract to ensure program integrity, irreversibility, and traceability.

도 1은 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 시스템을 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지의 노드간 인증 처리(1단계 인증) 과정을 나타낸 도면이다.
도 3은 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지의 이상 행위 여부 최종 판단(2단계 인증 과정)을 나타낸 도면이다.
도 4는 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 방법을 나타낸 동작흐름도이다.
도 5는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.1 is a block diagram showing a block chain-based abnormal behavior detection system according to an embodiment of the present invention.
2 is a diagram illustrating a process of authentication processing (1-step authentication) between nodes for detecting an abnormal behavior based on a block chain according to an embodiment of the present invention.
3 is a diagram showing a final determination of whether or not an abnormal behavior is detected in a block chain-based abnormal behavior according to an embodiment of the present invention (two-step authentication process).
4 is an operation flow diagram showing a method for detecting abnormal behavior based on a block chain according to an embodiment of the present invention.
5 is a diagram showing a computer system according to an embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will be described in detail with reference to the accompanying drawings. Here, repeated descriptions, well-known functions that may unnecessarily obscure the subject matter of the present invention, and detailed descriptions of configurations are omitted. Embodiments of the present invention are provided to more completely explain the present invention to those with average knowledge in the art. Accordingly, the shapes and sizes of elements in the drawings may be exaggerated for clearer explanation.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a certain part "includes" a certain component, it means that other components may be further included rather than excluding other components unless specifically stated to the contrary.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 시스템을 나타낸 블록도이다.1 is a block diagram showing a block chain-based abnormal behavior detection system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 시스템은 블록체인을 기반으로 이상행위 탐지 프로그램을 관리할 수 있다. 블록체인은 탈 중앙화된 분산환경에서 동일한 데이터를 저장, 공유하는 기법으로 앞에서 제시한 통합이력관리 효과를 위해서는 모든 노드가 동일한 기준으로 이상행위에 대한 판단이 필요하다. 따라서 동일한 기준으로 동작하는 정책이 필요하며 이를 위해 본 발명에서는 블록체인상에서 동작하는 소프트웨어인 스마트 컨트랙트(Smart Contract)로 정책을 구현, 공유하여 동일한 기준으로 로그에 대한 행위를 판단할 수 있다.Referring to FIG. 1, a block chain-based abnormal behavior detection system according to an embodiment of the present invention may manage an abnormal behavior detection program based on a block chain. Blockchain is a technique that stores and shares the same data in a decentralized, distributed environment. For the above-mentioned integrated history management effect, all nodes need to judge abnormal behavior based on the same criteria. Therefore, a policy operating with the same standard is required, and for this purpose, in the present invention, a policy can be implemented and shared with a smart contract, which is a software operating on a blockchain, so that the behavior for the log can be determined based on the same standard.

이 때, 본 발명에서 사용되는 이상행위 탐지(Anomaly Detection) 알고리즘은 다양한 기법들이 스마트 컨트랙트 상에서 구현되어 실행될 수 있으며, 어느 하나의 알고리즘 및 규칙으로 정의되진 않는다.In this case, the Anomaly Detection algorithm used in the present invention may be implemented by implementing various techniques on a smart contract, and is not defined as any one algorithm and rule.

본 발명의 일실시예에 따르면 도 1에 도시된 바와 같이 블록체인 상에는 노드는 노드 A(11), 노드 B(12), 노드 C(13), 노드 D(14) 및 노드 E(15) 포함하는 것을 알 수 있다.According to an embodiment of the present invention, as shown in FIG. 1, nodes on the blockchain include node A (11), node B (12), node C (13), node D (14), and node E (15). I can see that.

이 때, 각 노드들은 자신과 인증 했던 노드의 이력 정보(시간, 위치, 인증방식 등)를 관리할 수 있다.At this time, each node can manage the history information (time, location, authentication method, etc.) of the node that has authenticated with itself.

이 때, 각 노드들은 인증 방식에 따라 노드의 정보를 사전에 등록할 수 있다.At this time, each node may register node information in advance according to an authentication method.

각 노드들은 인증 방식이 인증서 기반 PKI 방식일 경우, Certificate Authority(CA)를 통해 노드 정보 등록할 수 있다.Each node can register node information through a Certificate Authority (CA) when the authentication method is a certificate-based PKI method.

각 노드들은 인증 방식이 개별 PKI 방식일 경우, 노드별 공개키를 블록체인에 저장할 수 있다.Each node can store the public key for each node in the blockchain if the authentication method is an individual PKI method.

각 노드들은 인증 방식이 ID/PW 기반 일 경우, ID/PW 정보를 암호화하여 블록체인에 공유할 수 있다.Each node can encrypt ID/PW information and share it on the blockchain if the authentication method is based on ID/PW.

초기 네트워크 구성 시 또는 신규 노드 유입 시 참여 노드들은 특정 노드의 인증 관련 정보가 없을 수 있으며 관련 정보가 없을 경우 해당 노드들은 현재 상황을 바탕으로 스마트 컨트랙트에서 판단하도록 설정할 수 있다.During the initial network configuration or when a new node is introduced, participating nodes may not have authentication-related information of a specific node, and if there is no related information, the nodes can be set to be determined by the smart contract based on the current situation.

도 2는 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지의 노드간 인증 처리(1단계 인증) 과정을 나타낸 도면이다.2 is a diagram illustrating a process of authentication processing (1-step authentication) between nodes for detecting an abnormal behavior based on a block chain according to an embodiment of the present invention.

도 2를 참조하면, 인증 요청 노드(ARN, authentication request node)는 인증 노드(AN, authentication node)에게 사전에 합의된 인증 방법(PKI 또는 ID/PW 등)을 이용하여 인증 요청을 할 수 있다.Referring to FIG. 2, an authentication request node (ARN) may make an authentication request using an authentication method (PKI or ID/PW, etc.) agreed in advance with an authentication node (AN).

이 때, AN은 ARN의 인증 정보를 확인 후, 1단계 인증을 완료할 수 있다.At this time, the AN can complete the 1-step authentication after checking the authentication information of the ARN.

이 때, AN은 ARN에 대한 AD 스마트 컨트랙트의 입력값(접속시간, 위치, 인증방법 등)을 생성하여 블록체인 참여 노드 일부 또는 전체에게 송신할 수 있다.At this time, the AN can generate the input value of the AD smart contract for the ARN (access time, location, authentication method, etc.) and transmit it to some or all of the nodes participating in the blockchain.

이 때, 스마트 컨트랙트의 입력값은 AD의 알고리즘에 맞추어 변경이 가능할 수 있다.At this time, the input value of the smart contract may be changed according to the algorithm of AD.

이 때, AN이 ARN의 인증 정보를 확인하여 이상이 없을 경우, 제1단계 권한을 제공하여 제공 서비스에 제한적인 접근 권한을 제공할 수 있다.At this time, if there is no abnormality after the AN checks the authentication information of the ARN, it can provide the first stage authority to provide limited access rights to the provided service.

도 3은 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지의 이상 행위 여부 최종 판단(2단계 인증 과정)을 나타낸 도면이다.3 is a diagram showing a final determination of whether or not an abnormal behavior is detected in a block chain-based abnormal behavior according to an embodiment of the present invention (two-step authentication process).

도 3을 참조하면, 정보를 수신한 참여 노드(PN, participant node)는 각자 노드에 저장된 이력 정보와 수신한 정보의 입력 정보를 스마트 컨트랙트의 입력값으로 넣어 비정상 행위 여부를 검증할 수 있다(출력값: F, fraud, NF, non-fraud).Referring to FIG. 3, a participant node (PN) that has received information may verify abnormal behavior by putting history information stored in each node and input information of the received information as an input value of a smart contract (output value : F, fraud, NF, non-fraud).

이 때, 비정상 행위 여부 정보를 출력한 PN은 AN에게 결과값을 보낼 수 있다.At this time, the PN outputting the abnormal behavior information may send the result value to the AN.

이 때, AN은 PN으로부터 수신한 정보를 기반으로 비정상 행위를 최종 판단할 수 있다.In this case, the AN may finally determine the abnormal behavior based on the information received from the PN.

최종 결정 여부는 각 노드별 인증 규칙에 따라 판단될 수 있다(예: 100% 비정상 판단 시 인증 등).Whether or not to make a final decision can be determined according to an authentication rule for each node (eg, authentication when 100% abnormality is determined).

이 때, AN은 인증결과 중 비정상 행위로 판별된 정보를 블록체인에 저장할 수 있다.At this time, the AN can store information identified as abnormal behavior among the authentication results in the blockchain.

또한, 도 3에 도시된 바와 같이, AN(도 3의 노드 B(12))이 PN으로부터 수집된 이상행위 판단 결과를 기반으로 ARN(도 3의 노드 A(11))의 인증 여부를 최종 판단할 때의 판단 기준에 따라 네트워크에서 노드간 인증 성공율과 이상행위 탐지율은 반비례 관계를 가질 수 있다.In addition, as shown in FIG. 3, the AN (node B 12 in FIG. 3) finally determines whether the ARN (node A 11 in FIG. 3) is authenticated based on the abnormal behavior determination result collected from the PN. In the network, the authentication success rate between nodes and the abnormal behavior detection rate may have an inverse relationship according to the criterion for determination.

AN이 PN의 이상행위 검증 의견 일치성를 통한 판단 기준을 Anomaly detection criteria(ADC)라고 정의하면, ADC가 높아질수록 이상행위 탐지율은 증가하지만, 일부 PN과의 통신환경이 열악하거나, 일부 PN의 이상행동으로 인해 정상적인 인증이 성공하지 못할 확률이 높아질 수 있다. 반면 ADC가 낮을 경우, 인증 성공률을 증가하지만 P2P 환경에서 분산된 인증 이력을 일부 손실하는 효과가 발생하여 이상행위 탐지에 근거가 되는 이력 정보가 줄어들고 이는 이상행위 탐지율을 낮추게 될 수도 있다. If AN defines anomaly detection criteria (ADC) as the criteria for determining PN's abnormal behavior verification opinions, the higher the ADC, the higher the abnormal behavior detection rate, but the communication environment with some PNs is poor, or the abnormal behavior of some PNs. As a result, the probability that normal authentication may not be successful may increase. On the other hand, when the ADC is low, the authentication success rate increases, but there is an effect of partially losing the distributed authentication history in the P2P environment, reducing the history information that is the basis for detecting anomalies, which may lower the anomaly detection rate.

또한, 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 장치 및 방법에 대한 일 예를 아래와 같은 예시 시나리오를 통해 상세하게 설명한다.In addition, an example of a block chain-based abnormal behavior detection apparatus and method according to an embodiment of the present invention will be described in detail through the following example scenario.

예시 시나리오에서는 이상행위 탐지 알고리즘은 인증 시간과 위치 정보를 활용할 수 있다.In the example scenario, the abnormal behavior detection algorithm can utilize authentication time and location information.

각 노드는 아래 표 1과 같은 노드 A와의 인증 이력 정보를 각자 보유하고 있을 수 있다.Each node may have its own authentication history information with Node A as shown in Table 1 below.

노드 B-A 인증 이력Node B-A certification history 노드 C-A 인증 이력Node C-A certification history 노드 D-A 인증 이력Node D-A certification history 노드 E-A 인증 이력Node E-A certification history 180810 13:10, 대전180810 13:10, Daejeon 180812 14:00, 뉴욕180812 14:00, New York 180809 14:00, 대전180809 14:00, Daejeon -- 180815 13:15, 대전180815 13:15, Daejeon 180825 12:00, 뉴욕180825 12:00, New York 180812 14:10, 대전180812 14:10, Daejeon -- 180820 13:12, 대전180820 13:12, Daejeon -- -- -- -- -- -- --

먼저, 노드 A는 노드 B에게 사전 합의된 ID/PW 방식으로 인증요청을 할 수 있다.First, node A can request authentication to node B in an ID/PW method previously agreed upon.

노드 A의 인증 정보는 (180825 13:10, 대전, ID/PW) 이다.Node A's authentication information is (180825 13:10, Daejeon, ID/PW).

이 때, 노드 B는 노드 A의 ID/PW 정보가 일치하여 제1 단계 권한을 제공할 수 있다.In this case, the node B may provide the first stage authority by matching the ID/PW information of the node A.

이 때, ㄴ노드 B의 인증 내역을 기반으로 노드 A의 인증 정보는 시간과 위치를 비교하여 특이사항 없음을 확인할 수 있다.At this time, based on the authentication details of node B, the authentication information of node A can be confirmed that there is no specific matter by comparing the time and the location.

이 때, 노드 B는 노드 A의 인증 정보의 시간과 위치 정보를 노드 C, D, E 에게 전송하여 이상행위 검증을 요청할 수 있다.At this time, node B may request abnormal behavior verification by transmitting time and location information of node A's authentication information to nodes C, D, and E.

이 때, 노드 C, D, E는 각자 보유한 노드 A와의 인증 내역을 기반으로 이상행위를 검증할 수 있다.At this time, nodes C, D, and E can verify abnormal behavior based on their respective authentication details with node A.

이 때, 노드 C는 1시간 전 뉴욕에서 인증한 정보를 바탕으로 노드 A를 이상행위가 있는 것으로 판단할 수 있다.At this time, Node C may determine that Node A has an abnormal behavior based on information authenticated in New York one hour ago.

이 때, 노드 D, E는 노드 A를 이상행위 없음으로 판단할 수 있다.At this time, nodes D and E may determine that node A has no abnormal behavior.

이 때, 노드 C, D, E는 각자 판단한 이상행위 검증 결과를 노드 B에게 전송할 수 있다.At this time, the nodes C, D, and E may transmit the each determined abnormal behavior verification result to the node B.

이 때, 노드 B는 노드 C의 이상행위 탐지 결과를 바탕으로 노드 A에게 최종인증을 거절하고 제1단계 권한을 취소시킬 수 있다.At this time, Node B may reject the final authentication to Node A based on the abnormal behavior detection result of Node C and revoke the first stage authority.

도 4는 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 방법을 나타낸 동작흐름도이다.4 is an operation flow diagram showing a method for detecting abnormal behavior based on a block chain according to an embodiment of the present invention.

도 4를 참조하면, 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 방법은 먼저 노드 간 인증 처리를 수행할 수 있다(S110).Referring to FIG. 4, the method for detecting anomalous behavior based on a block chain according to an embodiment of the present invention may first perform an authentication process between nodes (S110).

즉, 단계(S110)는 블록체인 상의 인증 노드가, 사전에 합의된 인증 방법을 이용하여 인증 요청 노드의 인증을 처리할 수 있다That is, in step S110, the authentication node on the blockchain may process the authentication of the authentication request node using a previously agreed authentication method.

이 때, 단계(S110)는 상기 인증 노드가, 상기 인증 요청 노드에 대한 입력 정보를 생성하고, 상기 블록체인 상의 적어도 하나 이상의 참여 노드에게 상기 입력 정보를 전송할 수 있다.At this time, in step S110, the authentication node may generate input information for the authentication request node, and transmit the input information to at least one participating node on the blockchain.

이 때, 상기 입력 정보는 상기 인증 요청 노드의 접속 시간, 위치 및 인증 기법 중 적어도 하나 이상을 포함한다.In this case, the input information includes at least one of an access time, a location, and an authentication method of the authentication request node.

이 때, 단계(S110)는 상기 인증이 성공인 경우, 상기 인증 노드가 상기 인증 요청 노드에게 제공하는 서비스에 대한 제1 단계 권한을 제공할 수 있다.In this case, in step S110, when the authentication is successful, the authentication node may provide a first step authority for a service provided to the authentication request node.

또한, 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 방법은 이상 행위 여부를 검증할 수 있다(S120).In addition, the method for detecting abnormal behavior based on a block chain according to an embodiment of the present invention may verify whether the abnormal behavior has occurred (S120).

즉, 단계(S120)는 상기 참여 노드가, 상기 입력 정보를 이용하여 상기 인증 요청 노드의 이상행위를 판단할 수 있다.That is, in step S120, the participating node may determine an abnormal behavior of the authentication request node using the input information.

이 때, 단계(S120)는 상기 참여 노드가, 기저장된 상기 인증 요청 노드에 대한 인증을 처리한 정보를 포함하는 이력 정보와 상기 입력 정보를 이용하여 이상행위를 판단할 수 있다.In this case, in step S120, the participating node may determine an abnormal behavior using the input information and history information including information that has processed the authentication for the authentication request node previously stored.

또한, 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 방법은 이상 행위 여부를 최종 판단할 수 있다(S130).In addition, the method for detecting abnormal behavior based on a block chain according to an embodiment of the present invention may determine whether the abnormal behavior is present (S130).

즉, 단계(S130)는 상기 인증 노드가, 상기 참여 노드가 상기 인증 요청 노드의 이상행위를 판단한 결과에 기반하여 이상행위를 최종 판단할 수 있다.That is, in step S130, the authentication node may finally determine the abnormal behavior based on a result of the participating node determining the abnormal behavior of the authentication request node.

이 때, 단계(S130)는 상기 블록체인 상의 복수개의 참여 노드들 중 어느 하나의 참여 노드에서 상기 인증 요청 노드의 이상행위가 판단된 경우, 상기 인증 요청 노드에 대한 이상행위가 존재하는 것으로 최종 판단할 수 있다.At this time, step (S130) is, if any one of the participating nodes on the blockchain determines the abnormal behavior of the authentication request node, it is finally determined that the abnormal behavior exists for the authentication request node. can do.

이 때, 단계(S130)는 상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하지 않는 경우, 상기 인증 노드가 상기 인증 요청 노드에게 제공하는 서비스에 대한 제2 단계 권한을 제공할 수 있다.In this case, in step S130, if the abnormal behavior does not exist as a result of the final determination of the abnormal behavior, the authentication node may provide a second level authority for the service provided to the authentication request node.

이 때, 단계(S130)는 상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하는 경우, 상기 인증 요청 노드에게 제공한 상기 제1 단계 권한을 취소시킬 수 있다.At this time, in step S130, when the abnormal behavior is present as a result of the final determination of the abnormal behavior, the first stage authority provided to the authentication requesting node may be revoked.

또한, 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 방법은 이상 행위 정보를 저장할 수 있다(S140).In addition, the method for detecting abnormal behavior based on a block chain according to an embodiment of the present invention may store abnormal behavior information (S140).

즉, 단계(S140)는 상기 이상행위를 최종 판단하는 단계 이후에, 상기 블록체인 상의 노드들이 이상행위로 판단된 정보를 저장할 수 있다.That is, in step S140, after the final determination of the abnormal behavior, the nodes on the blockchain may store information determined as abnormal behavior.

도 5는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.5 is a diagram showing a computer system according to an embodiment of the present invention.

도 5를 참조하면, 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 장치는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 5에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.Referring to FIG. 5, the block chain-based abnormal behavior detection apparatus according to an embodiment of the present invention may be implemented in a computer system 1100 such as a computer-readable recording medium. As shown in FIG. 5, the computer system 1100 includes one or more processors 1110, a memory 1130, a user interface input device 1140, and a user interface output device 1150 communicating with each other through a bus 1120. And a storage 1160. Further, the computer system 1100 may further include a network interface 1170 connected to the network 1180. The processor 1110 may be a central processing unit or a semiconductor device that executes processing instructions stored in the memory 1130 or the storage 1160. The memory 1130 and the storage 1160 may be various types of volatile or nonvolatile storage media. For example, the memory may include a ROM 1131 or a RAM 1132.

이 때, 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 방법에 관한 하나 이상의 프로그램은 상기 메모리(1130)에 저장되고, 상기 하나 이상의 프로세서(1110)에 의해 실행되고, 상기 하나 이상의 프로세서(1110)는 상기 하나 이상의 프로그램을 실행하여, 사전에 합의된 인증 방법을 이용하여 인증 요청 노드의 인증을 처리하고, 상기 인증 요청 노드에 대한 입력 정보를 생성하고, 블록체인 상의 적어도 하나 이상의 참여 노드에게 상기 입력 정보를 전송하고, 상기 참여 노드가, 상기 입력 정보를 이용하여 상기 인증 요청 노드의 이상행위를 판단한 결과를 수신하고, 상기 이상행위를 판단한 결과에 기반하여 이상행위를 최종 판단한다.At this time, one or more programs related to a method for detecting abnormal behavior based on a block chain according to an embodiment of the present invention are stored in the memory 1130, executed by the one or more processors 1110, and the one or more processors ( 1110) executes the one or more programs, processes authentication of the authentication request node using a pre-agreed authentication method, generates input information for the authentication request node, and provides at least one participating node on the blockchain. The input information is transmitted, the participating node receives a result of determining the abnormal behavior of the authentication request node using the input information, and finally determines the abnormal behavior based on the result of determining the abnormal behavior.

이 때, 상기 하나 이상의 프로세서(1110)는 상기 이상행위를 최종 판단한 이후에, 상기 이상행위로 판단된 정보를 저장할 수 있다.In this case, the one or more processors 1110 may store information determined as the abnormal behavior after final determination of the abnormal behavior.

이 때, 상기 입력 정보는 상기 인증 요청 노드의 접속 시간, 위치 및 인증 기법 중 적어도 하나 이상을 포함할 수 있다.In this case, the input information may include at least one of an access time, a location, and an authentication method of the authentication request node.

이 때, 상기 하나 이상의 프로세서(1110)는 상기 인증이 성공인 경우, 상기 인증 노드가 상기 인증 요청 노드에게 제공하는 서비스에 대한 제1 단계 권한을 제공할 수 있다.In this case, when the authentication is successful, the one or more processors 1110 may provide a first stage authority for a service provided by the authentication node to the authentication request node.

이 때, 상기 참여 노드는 기저장된 상기 인증 요청 노드에 대한 인증을 처리한 정보를 포함하는 이력 정보와 상기 입력 정보를 이용하여 이상행위를 판단할 수 있다.In this case, the participating node may determine the abnormal behavior by using the input information and history information including information that has processed the authentication for the authentication request node previously stored.

이 때, 상기 하나 이상의 프로세서(1110)는 상기 블록체인 상의 복수개의 참여 노드들 중 어느 하나의 참여 노드에서 상기 인증 요청 노드의 이상행위가 판단된 경우, 상기 인증 요청 노드에 대한 이상행위가 존재하는 것으로 최종 판단할 수 있다.At this time, when the one or more processors 1110 determines the abnormal behavior of the authentication request node in any one of the plurality of participating nodes on the blockchain, the abnormal behavior for the authentication request node exists. It can be finally judged.

이 때, 상기 하나 이상의 프로세서(1110)는 상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하지 않는 경우, 상기 인증 노드가 상기 인증 요청 노드에게 제공하는 서비스에 대한 제2 단계 권한을 제공할 수 있다.In this case, as a result of the final determination of the abnormal behavior, the one or more processors 1110 may provide the second level authority for the service provided by the authentication node to the authentication request node if the abnormal behavior does not exist. have.

이 때, 상기 하나 이상의 프로세서(1110)는 상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하는 경우, 상기 인증 요청 노드에게 제공한 상기 제1 단계 권한을 취소시킬 수 있다.In this case, as a result of the final determination of the abnormal behavior, the one or more processors 1110 may revoke the first stage authority provided to the authentication requesting node when the abnormal behavior exists.

따라서, 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 장치 및 방법은 이상행위 판단을 할 경우, 적용되는 P2P 네트워크의 통신 환경에 따라, 판단 기준을 Anomaly detection criteria(ADC)를 적절히 최적화할 수 있다.Therefore, the block chain-based anomaly detection apparatus and method according to an embodiment of the present invention, when determining anomalous behavior, appropriately optimizes the determination criteria according to the communication environment of the P2P network to be applied. I can.

ADC의 최소값은 해당 네트워트에서 사용하는 블록체인 합의 기술의 최소 합의 기준보다 높게 설정될 수 있다.The minimum value of ADC can be set higher than the minimum consensus standard of the blockchain consensus technology used in the network.

이상에서와 같이 본 발명에 따른 블록체인 기반 이상행위 탐지 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the block chain-based abnormal behavior detection apparatus and method according to the present invention is not limited to the configuration and method of the embodiments described as described above. All or some of the embodiments may be selectively combined and configured.

11: 노드 A 12: 노드 B
13: 노드 C 14: 노드 D
15: 노드 E
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크11: Node A 12: Node B
13: Node C 14: Node D
15: node E
1100: computer system 1110: processor
1120: bus 1130: memory
1131: ROM 1132: RAM
1140: user interface input device
1150: user interface output device
1160: storage 1170: network interface
1180: network

Claims (16)

블록체인 기반 이상행위 탐지 장치의 블록체인 기반 이상행위 탐지 방법에 있어서,
블록체인 상의 인증 노드가, 사전에 합의된 인증 방법을 이용하여 인증 요청 노드의 인증을 처리하는 단계;
상기 인증 노드가, 상기 인증 요청 노드에 대한 입력 정보를 생성하고, 상기 블록체인 상의 적어도 하나 이상의 참여 노드에게 상기 입력 정보를 전송하는 단계;
상기 참여 노드가, 상기 입력 정보을 이용하여 상기 인증 요청 노드의 이상행위를 판단하는 단계; 및
상기 인증 노드가, 상기 참여 노드가 상기 인증 요청 노드의 이상행위를 판단한 결과에 기반하여 이상행위를 최종 판단하는 단계;
를 포함하고,
상기 입력 정보는
상기 인증 노드가, 상기 인증 요청 노드의 인증을 처리한 접속 시간 및 접속 위치에 관한 정보를 포함하고,
상기 이상행위를 판단하는 단계는
상기 참여 노드가, 상기 인증 요청 노드에 대한 인증을 처리한 접속 시간, 접속 위치를 포함하는 이력 정보와 상기 입력 정보를 비교하여,
상기 입력 정보의 접속 시간과 상기 이력 정보의 접속 시간이 중복된 경우, 상기 이상행위로 판단하고,
상기 입력 정보의 접속 위치와 상기 이력 정보의 접속 위치가 상이한 경우, 상기 이상행위로 판단하는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 방법.In the block chain-based abnormal behavior detection method of a blockchain-based abnormal behavior detection device
Processing, by the authentication node on the blockchain, authentication of the authentication request node using a previously agreed authentication method;
Generating, by the authentication node, input information for the authentication request node, and transmitting the input information to at least one participating node on the block chain;
Determining, by the participating node, an abnormal behavior of the authentication request node using the input information; And
Determining, by the authentication node, an abnormal behavior based on a result of the participating node determining the abnormal behavior of the authentication requesting node;
Including,
The above input information is
The authentication node includes information on a connection time and a connection location at which authentication of the authentication request node is processed,
The step of determining the abnormal behavior is
The participating node compares the input information with the history information including the access time and the access location at which the authentication is processed for the authentication request node,
If the access time of the input information and the access time of the history information overlap, it is determined as the abnormal behavior,
When the access location of the input information and the access location of the history information are different, it is determined as the abnormal action. 청구항 1에 있어서,
상기 블록체인 기반 이상행위 탐지 방법은
상기 이상행위를 최종 판단하는 단계 이후에,
상기 블록체인 상의 노드들이 이상행위로 판단된 정보를 저장하는 단계를 더 포함하는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 방법.The method according to claim 1,
The block chain-based abnormal behavior detection method
After the final determination of the abnormal behavior,
Blockchain-based abnormal behavior detection method, characterized in that it further comprises the step of storing the information determined as the abnormal behavior by the nodes on the blockchain. 삭제delete 청구항 1에 있어서,
상기 인증을 처리하는 단계는
상기 인증이 성공인 경우, 상기 인증 노드가 상기 인증 요청 노드에게 제공하는 서비스에 대한 제1 단계 권한을 제공하는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 방법.The method according to claim 1,
The step of processing the authentication
When the authentication is successful, the authentication node provides a first-stage authority for a service provided to the authentication request node. 삭제delete 청구항 4에 있어서,
상기 이상행위를 최종 판단 하는 단계는
상기 블록체인 상의 복수개의 참여 노드들 중 어느 하나의 참여 노드에서 상기 인증 요청 노드의 이상행위가 판단된 경우, 상기 인증 요청 노드에 대한 이상행위가 존재하는 것으로 최종 판단하는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 방법.The method of claim 4,
The final determination of the abnormal behavior is
Blockchain-based, characterized in that when an abnormal behavior of the authentication request node is determined by any one of the plurality of participating nodes on the blockchain, it is finally determined that abnormal behavior exists for the authentication request node. How to detect abnormal behavior. 청구항 6에 있어서,
상기 이상행위를 최종 판단 하는 단계는
상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하지 않는 경우, 상기 인증 노드가 상기 인증 요청 노드에게 제공하는 서비스에 대한 제2 단계 권한을 제공하는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 방법.The method of claim 6,
The final determination of the abnormal behavior is
As a result of the final determination of the abnormal behavior, if the abnormal behavior does not exist, the authentication node provides a second level authority for a service provided to the authentication request node. 청구항 6에 있어서,
상기 이상행위를 최종 판단 하는 단계는
상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하는 경우, 상기 인증 요청 노드에게 제공한 상기 제1 단계 권한을 취소시키는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 방법.The method of claim 6,
The final determination of the abnormal behavior is
As a result of the final determination of the abnormal behavior, if the abnormal behavior exists, the first step authority provided to the authentication request node is revoked. 하나 이상의 프로세서;
메모리; 및
하나 이상의 프로그램을 포함하고,
상기 하나 이상의 프로그램은 상기 메모리에 저장되고, 상기 하나 이상의 프로세서에 의해 실행되고,
상기 하나 이상의 프로세서는 상기 하나 이상의 프로그램을 실행하여,
사전에 합의된 인증 방법을 이용하여 인증 요청 노드의 인증을 처리하고, 상기 인증 요청 노드에 대한 입력 정보를 생성하고, 블록체인 상의 적어도 하나 이상의 참여 노드에게 상기 입력 정보를 전송하고, 상기 참여 노드가, 상기 입력 정보를 이용하여 상기 인증 요청 노드의 이상행위를 판단한 결과를 수신하고, 상기 이상행위를 판단한 결과에 기반하여 이상행위를 최종 판단하고,
상기 입력 정보는
상기 인증 요청 노드의 인증을 처리한 접속 시간 및 접속 위치에 관한 정보를 포함하고,
상기 참여 노드는
상기 인증 요청 노드에 대한 인증을 처리한 접속 시간, 접속 위치를 포함하는 이력 정보와 상기 입력 정보를 비교하여,
상기 입력 정보의 접속 시간과 상기 이력 정보의 접속 시간이 중복된 경우, 상기 이상행위로 판단하고,
상기 하나 이상의 프로세서는
상기 입력 정보의 접속 위치와 상기 이력 정보의 접속 위치가 상이한 경우, 상기 이상행위로 판단하는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 장치.One or more processors;
Memory; And
Contains one or more programs,
The one or more programs are stored in the memory and executed by the one or more processors,
The one or more processors execute the one or more programs,
Processes authentication of the authentication request node using a pre-agreed authentication method, generates input information for the authentication request node, transmits the input information to at least one participating node on the blockchain, and the participating node , Receiving the result of determining the abnormal behavior of the authentication request node using the input information, and finally determining the abnormal behavior based on the result of determining the abnormal behavior,
The above input information is
Including information on the access time and location of the authentication process of the authentication request node,
The participating node is
By comparing the input information with the history information including the access time and the access location that processed the authentication for the authentication request node,
If the access time of the input information and the access time of the history information overlap, it is determined as the abnormal behavior,
The one or more processors
When the access location of the input information and the access location of the history information are different, it is determined as the abnormal action. 청구항 9에 있어서,
상기 하나 이상의 프로세서는
상기 이상행위를 최종 판단한 이후에, 상기 이상행위로 판단된 정보를 저장하는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 장치.The method of claim 9,
The one or more processors
After the final determination of the abnormal behavior, block chain-based abnormal behavior detection device, characterized in that storing the information determined as the abnormal behavior. 삭제delete 청구항 9에 있어서,
상기 하나 이상의 프로세서는
상기 인증이 성공인 경우, 상기 인증 요청 노드에게 제공하는 서비스에 대한 제1 단계 권한을 제공하는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 장치.The method of claim 9,
The one or more processors
When the authentication is successful, a block chain-based abnormal behavior detection device, characterized in that providing a first-stage authority for a service provided to the authentication requesting node. 삭제delete 청구항 12에 있어서,
상기 하나 이상의 프로세서는
상기 블록체인 상의 복수개의 참여 노드들 중 어느 하나의 참여 노드에서 상기 인증 요청 노드의 이상행위가 판단된 경우, 상기 인증 요청 노드에 대한 이상행위가 존재하는 것으로 최종 판단하는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 장치.The method of claim 12,
The one or more processors
Blockchain-based, characterized in that when an abnormal behavior of the authentication request node is determined by any one of the plurality of participating nodes on the blockchain, it is finally determined that abnormal behavior exists for the authentication request node. Abnormal behavior detection device. 청구항 14에 있어서,
상기 하나 이상의 프로세서는
상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하지 않는 경우, 상기 인증 요청 노드에게 제공하는 서비스에 대한 제2 단계 권한을 제공하는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 장치.The method of claim 14,
The one or more processors
As a result of the final determination of the abnormal behavior, if the abnormal behavior does not exist, a second-stage authority for a service provided to the authentication request node is provided. 청구항 15에 있어서,
상기 하나 이상의 프로세서는
상기 이상행위를 최종 판단한 결과, 상기 이상행위가 존재하는 경우, 상기 인증 요청 노드에게 제공한 상기 제1 단계 권한을 취소시키는 것을 특징으로 하는 블록체인 기반 이상행위 탐지 장치.The method of claim 15,
The one or more processors
As a result of the final determination of the abnormal behavior, if the abnormal behavior exists, the first step authority provided to the authentication request node is revoked.
KR1020190039620A 2019-04-04 2019-04-04 Apparatus and method for anomaly detection based on blockchain KR102235566B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190039620A KR102235566B1 (en) 2019-04-04 2019-04-04 Apparatus and method for anomaly detection based on blockchain

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190039620A KR102235566B1 (en) 2019-04-04 2019-04-04 Apparatus and method for anomaly detection based on blockchain

Publications (2)

Publication Number Publication Date
KR20200117473A KR20200117473A (en) 2020-10-14
KR102235566B1 true KR102235566B1 (en) 2021-04-05

Family

ID=72847198

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190039620A KR102235566B1 (en) 2019-04-04 2019-04-04 Apparatus and method for anomaly detection based on blockchain

Country Status (1)

Country Link
KR (1) KR102235566B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102261049B1 (en) * 2020-11-18 2021-06-04 주식회사 스마트엠투엠 Method and system for detecting abnormal behavior for port security based on block chain
KR102614362B1 (en) * 2021-04-14 2023-12-20 주식회사 애즈랜드 Blockchain based illegal transaction detection system and method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101921470B1 (en) * 2018-09-21 2018-11-23 유영근 System and Method for generating block chain with proof of online
KR101943228B1 (en) * 2017-12-27 2019-01-28 에이치닥테크놀로지 주식회사 한국영업소 Blockchain system for virtual currency
KR101929482B1 (en) * 2018-08-13 2019-03-12 (주)아사달 Method for sharing business information based on mutual confirmation blockchain

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170137388A (en) * 2016-06-03 2017-12-13 (주) 블록체인오에스 A method for ensuring integrity by using a blockchain technology

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101943228B1 (en) * 2017-12-27 2019-01-28 에이치닥테크놀로지 주식회사 한국영업소 Blockchain system for virtual currency
KR101929482B1 (en) * 2018-08-13 2019-03-12 (주)아사달 Method for sharing business information based on mutual confirmation blockchain
KR101921470B1 (en) * 2018-09-21 2018-11-23 유영근 System and Method for generating block chain with proof of online

Also Published As

Publication number Publication date
KR20200117473A (en) 2020-10-14

Similar Documents

Publication Publication Date Title
KR102696425B1 (en) Collaborative Risk Awareness Certification
CN110602096B (en) Data processing method, device, storage medium and equipment in block chain network
CN109618326B (en) User dynamic identifier generation method, service registration method and login verification method
US7810147B2 (en) Detecting and preventing replay in authentication systems
CN112311735B (en) Credible authentication method, network equipment, system and storage medium
US7861286B2 (en) System and method for network-based fraud and authentication services
KR101260188B1 (en) Secure node identifier assignment in a distributed hash table for peer-to-peer networks
CN112527912B (en) Data processing method and device based on block chain network and computer equipment
CN113672897B (en) Data communication method, device, electronic equipment and storage medium
US20100154040A1 (en) Method, apparatus and system for distributed delegation and verification
CN110222085B (en) Processing method and device for certificate storage data and storage medium
KR102235566B1 (en) Apparatus and method for anomaly detection based on blockchain
Le et al. A lightweight block validation method for resource-constrained iot devices in blockchain-based applications
US11075944B2 (en) System and method for protection of computer networks against man-in-the-middle attacks
CN116827601A (en) Data transmission method, device, electronic equipment and storage medium
US20210037009A1 (en) Biometric data sub-sampling during decentralized biometric authentication
US20100153274A1 (en) Method and apparatus for mutual authentication using small payments
Beltrán et al. Federated system-to-service authentication and authorization combining PUFs and tokens
CN111383110A (en) Cross-block-chain evidence transfer method and device and hardware equipment
CN112235251B (en) Block chain management method and device, computer equipment and storage medium
Wallis et al. Safeguarding data integrity by cluster-based data validation network
US11797392B2 (en) Backup and recovery of private information on edge devices onto surrogate edge devices
WO2022085154A1 (en) Control method, information processing device, and control program
CN112689834A (en) Method and system for proof of election on blockchain
CN112398836B (en) Node collector access method and device of distributed collection system and storage medium

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant