KR20090017803A - 행동패턴 분석에 기초한 계정 공유 탐지 방법 및 시스템 - Google Patents

행동패턴 분석에 기초한 계정 공유 탐지 방법 및 시스템 Download PDF

Info

Publication number
KR20090017803A
KR20090017803A KR1020070082254A KR20070082254A KR20090017803A KR 20090017803 A KR20090017803 A KR 20090017803A KR 1020070082254 A KR1020070082254 A KR 1020070082254A KR 20070082254 A KR20070082254 A KR 20070082254A KR 20090017803 A KR20090017803 A KR 20090017803A
Authority
KR
South Korea
Prior art keywords
account
pattern
user
keystroke
keystroke dynamics
Prior art date
Application number
KR1020070082254A
Other languages
English (en)
Other versions
KR100923179B1 (ko
Inventor
조성준
황성섭
Original Assignee
재단법인서울대학교산학협력재단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 재단법인서울대학교산학협력재단 filed Critical 재단법인서울대학교산학협력재단
Priority to KR1020070082254A priority Critical patent/KR100923179B1/ko
Priority to US12/133,931 priority patent/US20090049555A1/en
Publication of KR20090017803A publication Critical patent/KR20090017803A/ko
Application granted granted Critical
Publication of KR100923179B1 publication Critical patent/KR100923179B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

키스트로크 다이나믹스 분석에 기초한 계정 공유 탐지 방법 및 시스템이 개시된다. 일실시예에 따른 계정 공유 탐지 시스템은, 사용자의 단말기 내의 패턴 수집기에 의해 추출된 키스트로크 다이나믹스 패턴을 수신하여 상기 사용자의 계정에 대응되도록 저장하는 사용자 인증 정보 데이터베이스, 및 상기 사용자 인증 정보 데이터베이스에 저장된 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부를 판단하는 공유 탐지 분석기를 포함한다. 상기 키스트로크 다이나믹스 패턴은, 사용자가 복수의 키패드를 이용하여 복수의 문자로 이루어진 문자열을 입력하거나, 사용자가 하나의 키를 1회 이상 누름으로써 발생하는 것과 같은 버튼 누름 다이나믹스 패턴일 수 있다. 이러한 구성에 따르면, 복수의 사용자가 하나의 계정을 공유하는 경우를 보다 정확하게 탐지해낼 수 있으며, 특히 복수의 사용자가 동일한 IP를 통해 접속하여 하나의 계정을 공유하는 경우도 탐지함으로써 서비스 제공자가 효율적으로 사용자들을 관리할 수 있다. 또한, PC나 휴대폰 뿐만 아니라 기타 키패드기반의 단말기에서 인증하는 모든 경우에 사용 가능하므로 매우 다양한 분야에서의 인증 방식으로 적용될 수 있다.
계정 공유, 키스트로크 다이나믹스

Description

행동패턴 분석에 기초한 계정 공유 탐지 방법 및 시스템 {METHOD AND SYSTEM FOR DETECTING ACCOUNT SHARING BASED ON BEHAVIOR PATTERNS}
본 발명은 유/무선 네트워크에 의해 서비스 제공자 시스템에 사용자 시스템들이 접속된 환경에서, 키스트로크 다이나믹스와 같은 행동 패턴 분석에 기초한 사용자들의 계정공유 여부를 탐지하는 방법 및 시스템에 대한 것이다.
<종래기술의 문헌 정보>
[특허 문헌 1] 한국등록특허 제588352호
[비특허 문헌 1] Cho, S., Han, C., Han, D., & Kim, H. (2000). Web Based Keystroke Dynamics Identity Verification Using Neural Networks. Journal of Organizational Computing and Electronic Commerce, 10(4), 295-307.
[비특허 문헌 2] Yu, E. & Cho, S. (2004) Keystroke Dynamics Identity Verification - Its Problems and Practical Solutions. Computers and Security, 23(5), 428-440.
“계정 공유”는, 유/무선 인터넷과 같은 네트워크를 통하여 서비스 제공자에게 접속된 사용자가 특정 계정을 통하여 서비스를 제공받는 환경에서, 2인 이상 의 사용자가 단일 계정을 사용하여 서비스를 제공받는 경우를 의미한다. 이와 같이 여러 사용자가 하나의 계정을 공유하는 이유는 크게 두 가지로 나눌 수 있다. 첫째, 서비스 이용료를 회피하기 위해 계정 공유를 하는 경우가 있다. 최근 온라인으로 다양한 종류의 멀티미디어 서비스 및 e-learning 서비스가 제공되고 있는데, 이러한 서비스를 이용하기 위해서는 각 사용자는 해당 서비스에 대한 사용료를 지불하게 된다. 그러나, 동일한 서비스를 제공받으려고 하는 사람이 다수인 경우, 한 사람만 유료 서비스에 가입하여 계정을 할당받고 나머지 사람들이 그 계정에 관한 정보(예를 들어, 사용자 계정과 패스워드)를 공유한다면, 실제 한 사용자에 대한 서비스 이용료만을 지불하고도 다수의 사람들이 동일한 서비스를 받는 것이 가능하다. 둘째, 사용자들이 새로운 서비스 계정 할당 절차에 대해 번거로움이나 거부감을 느끼는 경우가 있다. 대부분의 인터넷 서비스 제공자들은, 중복 가입 방지 및 마케팅 정보 획득을 목적으로 사용자들이 새로운 서비스 계정을 할당받으려고 할 때 그 사용자들에게 많은 개인 정보를 요구한다. 따라서, 사용자는 이러한 계정 할당 과정을 수행하는 것을 번거롭게 여기거나 개인 정보 제공에 대한 거부감을 느낄 수 있다.
계정 공유는 인터넷 서비스 제공자에게 다음과 같은 문제점들을 일으키고 있다. 먼저, 유료 계정 또는 프리미엄 계정의 공유로 인한 기업수익의 직접적인 감소가 가장 큰 문제점이다. 둘째, 인터넷 포털 서비스의 가치 평가에 있어서 고객 수가 가장 중요한 평가기준이 되는데, 계정 공유로 인해 고객 수를 추정할 수 있는 계정 수가 감소됨으로 인해 실질적인 가치가 저평가될 수 있다. 셋째, 고객관리 측면에서 계정 공유는 각 사용자에게 개인화된 서비스를 제공하기 어렵게 하는 문제점도 있다. 마지막으로, 불법적인 계정공유로 인하여 서비스 제공자가 운영하는 네트워크에 과다한 부하가 발생하기도 한다.
따라서 대부분의 인터넷 서비스 제공자는 계정공유를 제한하는 규정을 이용하여 사용자들이 계정공유를 하지 않도록 유도하는 방법을 사용한다. 예를 들어, 포털 및 게임 사이트에서 사용자 계정 생성 시, 계정 공유를 금지하는 규정 내용 (예를 들어, 사용자 계정 및 비밀번호와 같은 계정 정보를 타인에게 양도하거나 이용하게 하는 경우에 관련 서비스의 이용을 제한하거나 관련 계약을 해지하는 규정)을 사용자에게 알려준다.
그러나, 이와 같은 계정 공유를 제한하는 규정이 있음에도 불구하고 일부 사용자들이 계정 공유를 시도하는 경우가 있으므로, 이러한 계정 공유를 탐지하는 기술이 필요하다. 예를 들어, 쥬니퍼 네트웍스(Juniper Networks) 사는 인터넷 서비스 제공자들이 계정공유를 탐지할 수 있도록 하는 네트워크 장치인 SBR 서비스 레벨 매니저(Steel-Belted Radius Service Level Manager)를 제작하여 제공하고 있다. 이 장치는, 인터넷 서비스 제공자들에게 고객의 서비스 한도를 초과하는 사용 차단, 계정 공유 탐지, 계정 도용 파악, 다양한 형태 또는 크기의 공유 가족 계정 (연결되는 사용자 계정 수는 무제한이지만, 동시 액세스는 지정된 수로 제한된 계정) 판매 등과 같은 기능을 제공한다. 특히, 이 장치는, 사용자의 IP 주소와 같은 정보를 확인하여, 사용자 IP 주소가 미리 지정된 것이 아니거나 사용자가 미리 지정된 개수를 초과는 IP 주소들로부터 접속하는 경우에는 계정 공유를 하는 것으로 추정한다. 그러나, 이러한 계정 공유 탐지 장치를 이용하는 경우에도, 여러 사용자들이 동일한 IP 주소로부터 서버에 접속함으로써 서비스 계정을 공유하는 경우를 탐지하는 것이 불가능하다.
한편, IP 주소 공유기를 이용한 IP 주소 공유를 감시하여 계정 공유를 탐지하는 몇 가지 시스템 및 방법이 제안되었다. 이 방법에서는, 인터넷 서비스 제공자(Internet Service Provider: ISP)로부터 하나의 계정을 할당받은 후에 여러 사용자들이 IP 주소 공유기를 통하여 해당 서비스를 사용하는 것을 탐지한다.
도 1은, [특허 문헌 1]에 개시된 IP 주소 공유 감시 시스템의 구성을 도시한다. 도시된 바와 같이, IP 공유기 감시 시스템(100)의 패킷 검출부(110)는 네트워크(200)를 통해 전송되는 IP 패킷을 검출하여 ID 분석부(120)로 전달한다. ID 분석부(120)는 패킷 검출부(110)로부터 전달된 IP 패킷으로부터 IP 헤더 부분의 ID 값을 추출하여 동일한 IP에 대한 ID 값의 흐름의 개수에 기초하여 IP 공유기 사용자를 추정한다. 이러한 절차를 통해 특정 IP 주소의 공유가 감지되면, 공지 전송부(140)는 추정된 IP 공유기를 사용하는 가입자 PC(300)에게 공지 패킷을 전송하고, 사설 IP 검출부(150)는 공지 전송부(140)로부터 전송된 공지 패킷으로부터 가입자 PC(300)의 사설 IP를 검출한다. 가입자 차단부(160)는 검출된 사설 IP에 기초하여 상기 IP 공유기 사용자에 대한 IP 공유기 사용 여부를 확인한 후, 확인된 IP 공유기 사용자에 대한 인터넷 연결을 차단한다. 한편, 확인된 IP 공유기 사용자에 대해 인터넷 연결을 차단하지 않고, 공지 전송부(140)에서 정상 회선으로의 가입 유도를 위한 공지 패킷을 생성하여 IP 공유기 사용자에게 전송할 수도 있다.
그러나, IP 공유기를 이용한 계정 공유 탐지 방법은, IP 공유기를 이용하여 동시에 여러 대의 PC를 통하여 하나의 서비스 계정을 이용하는 경우를 탐지할 수는 있으나, 하나의 PC를 통하여 여러 사람이 서로 다른 시간에 하나의 서비스 계정을 이용하는 경우를 탐지할 수 없는 문제점이 있다. 이러한 유형의 계정 공유를 탐지하기 위해서는, 하나의 서비스 계정을 사용하고 있는 여러 사용자 각각의 서비스 사용 패턴이나 고유한 개인적 특성에 기초하여 계정 공유를 탐지하는 방법을 고려할 수 있다. 여러 사용자의 고유한 개인 특성 중의 하나로 생체학적 정보를 이용할 수 있다. 그러나, 각 사용자의 생체학적 정보를 이용하는 방법은, 생체학적 정보를 인식하기 위한 장치가 필요하며, 그러한 장치의 사용으로 사용자들은 서비스 이용에 번거로움을 느낄 수 있다. 또한, 계정 공유 탐지 기능이 수행되고 있다는 것을 사용자들이 인식함으로써, 사용자들은 서비스 제공자가 모든 사용자들을 계정공유의 혐의자로 인식한다는 인상을 갖게 되어 불쾌감을 가질 수 있다.
본 발명은 상기한 종래기술의 문제점을 해결하기 위한 것으로, 유/무선 네트워크에 의해 서비스 제공자 시스템에 사용자 시스템들이 접속된 환경에서 사용자들에게 거부감을 주지 않으면서도 적은 비용으로 서비스 계정의 공유 여부를 탐지할 수 있는 방법 및 시스템을 제공하는 것을 목적으로 한다.
또한, 본 발명은, 동시에 여러 대의 단말기(예, PC)를 통하여 하나의 서비스 계정을 이용하는 경우 뿐만 아니라 하나의 단말기를 통하여 여러 사람이 서로 다른 시간에 하나의 서비스 계정을 이용하는 경우 등을 포함하는 다양한 형태의 서비스 계정 공유를 탐지할 수 있는 방법 및 시스템을 제공하는 것을 목적으로 한다.
상기 목적을 달성하기 위한 본 발명은, 사용자의 키스트로크 다이나믹스(keystroke dynamics)와 같은 행동패턴 분석에 기초하여 계정공유를 탐지하는 방법을 이용한다. 일 실시예에 따른 계정공유 탐지 방법에서는, 먼저 계정공유를 탐지하려고 하는 대상 서비스의 사용자에게 특정 문자열을 입력하도록 한다. 예를 들어, 특정 문자열은 서비스의 로그인 시에 입력하는 패스워드일 수 있으며, 또는 로그인 후에 임의의 특정 문자열을 제시하여 사용자에게 입력하게 할 수도 있다. 다른 실시예에 따르면, 사용자로 하여금 특정 문자열이 아닌 단말기의 특정 버튼 하나만을 1회 이상 누르도록 하여 이에 해당하는 키스트로크 패턴을 생성할 수도 있다. 다음으로, 서비스를 이용하는 사용자들이 입력하는 해당 문자열 에 대한 키스트로크 다이나믹스 데이터를 소정 기간 동안(예를 들어, 수 개월 간) 계속 수집하여 데이터베이스에 저장한다. 소정 기간이 경과된 후, 데이터베이스에 저장된 키스트로크 다이나믹스 데이터를 분석하여 계정공유 여부를 결정한다. 예를 들어, 하나 서비스 계정을 이용하는 사용자가 입력한 모든 키스트로크 다이나믹스 데이터가 서로 유사하다면 계정공유가 없었다고 판단하며, 그 데이터가 서로 유사한 2개 이상의 그룹으로 구성되어 있다면, 계정공유가 있었다고 판단한다.
이하에서 설명되는 실시예들에 따른 키스트로크 다이나믹스 분석에 기초한 계정 공유 탐지 방법 및 시스템은 복수의 사용자가 하나의 계정을 공유하는 경우를 보다 정확하게 탐지해낼 수 있으며, 특히 복수의 사용자가 동일한 IP를 통해 접속하여 하나의 계정을 공유하는 경우도 탐지함으로써 서비스 제공자가 효율적으로 사용자들을 관리할 수 있다. 뿐만 아니라, PC나 휴대폰 뿐만 아니라 기타 키패드 기반의 단말기에서 인증하는 모든 경우에 사용 가능하므로 매우 다양한 분야에서의 인증 방식으로 적용될 수 있다.
본 명세서는, 서비스 사용자들의 키스트로크 다이나믹스(keystroke dynamics)와 같은 행동패턴 분석에 기초하여 계정공유 여부를 탐지하는 방법 및 시스템을 개시한다. 예를 들어, 키스트로크 다이나믹스는 사용자가 입력하는 특정 문자열의 타이핑 패턴(typing pattern)을 나타내는 타이밍 벡터(timing vector)일 수 있다. 타이밍 벡터란 사용자가 특정 문자열을 타이핑 할 때 소요되는 시간에 관한 정보, 즉, 특정 키를 누르고 있는 시간(입력지속시간)들과 키와 키 사이의 인터벌(interval) 값들을 측정하여 그 값들을 벡터화한 것이다.
일반적으로 동일한 문자열을 타이핑하여도 각 사용자에 따라 타이핑 시간이 다르다는 것이 알려져 있다. 따라서 키스트로크 다이나믹스는 일종의 생체신호 (biometrics)로 볼 수 있으며 최근에는 사용자 인증에 사용되고 있다 ([비특허 문헌 1], [비특허 문헌 2] 참조). 예를 들어, 웹 사이트에 로그인 하는 경우, 사용자가 본인의 계정과 패스워드를 입력하면, 웹 사이트의 인증 모듈은 그 사용자가 관련 서비스 등록 시 저장해 놓은 패스워드와 현재 입력된 패스워드가 동일한지 확인한 후, 동일하면 로그인을 허용하게 된다. 따라서, 누구든지 다른 사용자의 계정과 패스워드만 알아내면 그 사용자의 계정으로 로그인할 수 있게 된다. 이에 반해 키스트로크 다이나믹스 인증 방법에서는, 웹 사이트의 인증 모듈이 사용자가 입력한 패스워드 문자열과 함께 패스워드를 입력할 때의 키스트로크 다이나믹스를 사용자 인증에 이용한다. 따라서, 제 3자가 특정 사용자의 계정 정보를 획득하더라도, 그 사용자의 키스트로크 다이나믹스까지 모방할 수는 없으므로, 인증 모듈은 제3자에 의한 불법적인 계정 도용을 방지할 수 있다. 이러한 키스트로크 다이나믹스를 이용한 사용자 인증 방법을 이용하면, 패스워드 기반의 사용자 인증 시스템의 보안이 한층 강화되는 효과가 있다. 또한, 이 방법은 사용자의 생체 정보 입력을 위한 하드웨어 없이 소프트웨어로 구현될 수 있으므로 소요 비용이 매우 낮고, 사용자 인증 절차에 대한 사용자의 거부감도 없으며, 보안 토큰(security token: 사용자 인증에 사용되는 휴대 가능한 장치로서, 사용자의 전자서명 또는 생체인식 정 보를 저장하도록 설계됨)과 같이 따로 휴대하고 다녀야 하는 불편함도 없다.
본 발명은, 사용자의 키스트로크 다이나믹스(keystroke dynamics) 분석에 기초하여 계정공유를 탐지하는 원리에 기초한다. 일 실시예에 따른 계정공유 탐지 방법 및 시스템에서는, 먼저 계정공유를 탐지하려고 하는 대상 서비스의 사용자에게 특정 문자열을 입력하도록 한다. 예를 들어, 특정 문자열은 서비스의 로그인 시에 입력하는 패스워드일 수 있다. 또는, 로그인 후에 임의의 특정 문자열을 제시하여 사용자에게 입력하게 할 수 있다. 다음으로, 서비스를 이용하는 사용자들이 입력하는 해당 문자열에 대한 키스트로크 다이나믹스 데이터를 소정 기간 동안(예를 들어, 수 개월 간) 계속 수집하여 데이터베이스에 저장한다. 소정 기간이 경과된 후, 데이터베이스에 저장된 키스트로크 다이나믹스 데이터를 클러스터링(clustering) 분석하여 계정공유 여부를 결정한다. 예를 들어, 하나의 서비스 계정을 이용하는 사용자가 입력한 모든 키스트로크 다이나믹스 데이터가 서로 유사하여 1개의 클러스터(cluster)를 형성하는 경우에는 계정공유가 없었다고 판단한다. 반면, 그 데이터가 서로 유사한 2개 이상의 클러스터로 구성되어 있다면, 계정공유가 있었다고 판단한다.
이하, 본 발명에 따른 다양한 실시예들을 첨부된 도면을 참조하여 상세히 설명한다.
도 2는 일 실시예에 따른 계정공유 분석 시스템의 구성을 도시한다. 도시된 바와 같이, 계정공유 분석 시스템(200)은, 사용자로부터 키스트로크 다이나믹스 패턴을 수집하는 패턴 수집기(210), 패턴 수집기(210)에 의해 수집된 데이터를 저 장하는 사용자 인증 정보 데이터베이스(220) 및 사용자 인증 정보 데이터베이스(220)에 저장된 데이터를 분석하여 계정공유 여부를 탐지하는 공유 탐지 분석기(230)를 포함한다. 계정 공유 분석 시스템(200)은 인터넷 상에서 제공되는 서비스 제공자 시스템에 결합되어 구현될 수 있다.
도 3은 계정공유 분석 시스템(200)이 인터넷 상의 서비스 제공자 시스템에 결합된 일 실시예를 도시한다. 도 3에 도시된 바와 같이, 계정공유 분석 시스템(200)의 패턴 수집기(210)는 사용자 단말기(312, 314)에 구현될 수 있다. 예를 들어, 사용자가 개인용 컴퓨터(312)에서 인터넷(330)을 통하여 서비스 제공자 서버(340)로부터 특정 서비스를 받는 경우를 가정한다. 이 경우, 개인용 컴퓨터(312)에 설치된 패턴 수집기(210)는, 사용자가 그 서비스를 제공하는 웹페이지의 로그인 창을 통하여 계정 정보를 입력할 때 키스트로크 다이나믹스 패턴을 추출 및 수집할 수 있다. 마찬가지로, 휴대전화와 같은 무선 단말기(314)를 통하여 서비스 제공자 서버(350)로부터 서비스를 받는 경우에도, 무선 단말기(314)에 설치된 패턴 수집기(210)가 사용자의 키스트로크 다이나믹스 패턴을 수집할 수 있다. 이와 같이 수집된 키스트로크 다이나믹스 패턴 정보는 인터넷(330)을 통하여 서비스 제공자 서버(340 및 350)에 연결된 사용자 인증 정보 데이터베이스(220)에 전송되어 저장된다. 또한, 공유 탐지 분석기(230)는 사용자 인증 정보 데이터베이스(220)에 저장된 패턴 데이터를 이용하여 계정공유 여부를 분석한다. 도 3은 개인용 컴퓨터(312) 또는 무선 단말기(314)를 통해 서비스를 받는 경우를 도시하였으나, 사용자 단말기가 이에 한정되는 것은 아니며, 상기 단말기들(312, 314) 이외에도 네트워크에 접속가능한 모든 단말기, 예를 들어, 노트북, PDA, 인터넷 접속 가능한 TV, 이동 통신 단말기, PDA, 와이파이(WiFi)폰, 와이브로(WiBro)폰 등에도 적용될 수 있음은 본 기술분야의 당업자에게 명백할 것이다.
도 4는 일 실시예에 따른 패턴 수집기(210)의 상세 구성을 나타낸 블록도이다. 도시된 바와 같이, 패턴 수집기(210)는 사용자가로부터 사용자 계정 및 패스워드 등과 같은 계정 정보를 입력하는 입력부(212), 입력된 계정 정보의 키스트로크 다이나믹스와 같은 사용자의 행동패턴을 추출하는 추출부(214), 및 추출된 사용자 행동패턴을 사용자 인증 정보 데이터베이스(220)에 전송하는 송신부(216)를 포함한다.
예를 들어, 사용자가 자신의 단말기에 설치된 키패드 등을 이용하여 서비스 계정 정보(사용자 계정과 패스워드)를 입력하면, 패턴 수집기(210)의 입력부(212)는 입력된 키스크로크 데이터를 행동패턴 추출부(214)에 전달한다. 행동패턴 추출부(214)는 키스트로크 데이터로부터 하나 이상의 키스트로크 다이나믹스 패턴을 추출할 수 있으며, 여기에는 입력지속시간(duration), 인터벌(interval), 키간 입력시간 간격(latency), 막대 그래프 기반의 패턴이 포함될 수 있다. 이하에서는, 도 5a 내지 5d를 참조하여 행동패턴 추출부(214)가 추출하는 키스트로크 다이나믹스 패턴들에 관해 상세히 설명한다.
먼저, 입력지속시간이란 사용자가 입력하는 각각의 키가 얼마나 오랫동안 지속되는 가를 나타낸다. 예를 들어, 입력부(212)를 통하여 사용자의 4자리 숫자로 구성된 패스워드(예를 들어, "1", "3", "5" 및 "7")가 입력된다고 가정한다. 도 5a에 도시된 것과 같이, "1"이 300㎳동안 입력되고, "3"이 500㎳동안 입력되고, "5"가 700㎳동안 입력되고, "7"이 250㎳동안 입력되었다면, 인증 패스워드 "1, 3, 5, 7"에 대한 입력 지속시간은 "300㎳, 500㎳, 700㎳, 250㎳"이 되고, 이중 일부 또는 전부를 키스트로크 다이나믹스 패턴 정보로서 이용할 수 있다.
인터벌이란 사용자가 입력하는 키들 사이의 입력 시간의 간격을 의미한다. 예를 들어, 도 5b에 도시된 것과 같이, 사용자가 입력부(212)를 통하여 "1"을 입력한 후, 600㎳가 경과한 시점에서 "3"을 입력하고, 다시 300㎳가 경과한 시점에서 "5"를 입력하고, 다시 1000㎳가 경과한 시점에서 "7"을 입력하였다면, 인증 패스워드"1, 3, 5, 7"에 대한 인터벌은 "600㎳, 300㎳, 1000㎳"가 되고, 이중 일부 또는 전부를 키스트로크 다이나믹스 패턴 정보로서 이용할 수 있다. 또는, 예컨대, 두 개 이상의 연속되어 입력된 키들 사이(예를 들어, "1"과 "5"사이)의 인터벌을 키스트로크 다이나믹스 패턴 정보로서 이용할 수도 있다. 또한, 사용자가 인증 패스워드를 모두 입력한 후에 추가로 확인키를 입력하는 경우라면, 인증 패스워드의 마지막 키 "7"을 입력하고 확인키가 입력될 때까지의 시간 간격도 인터벌에 포함시킬 수 있다.
한편, 키간 입력 시간 간격은, 하나의 키가 입력되는 시간으로부터 다음 키가 입력될 때까지의 시간(latency)을 의미한다. 예를 들어, 도 5c에 도시된 것과 같이, 사용자가 입력부(212)를 통하여 "1"을 입력한 시간으로부터 900㎳가 경과한 시점에서 "3"을 입력하고, "3"을 입력한 시간으로부터 800ms가 경과한 시점에서 “5"을 입력한 후, 다시 "5"를 입력한 시간으로부터 1700ms가 경과한 시점에서 ”7"을 입력하였다면, 인증 패스워드 "1, 3, 5, 7"에 대한 키간 입력 시간 간격은 "900㎳, 800ms, 1700ms"가 되고, 이를 키스트로크 다이나믹스 패턴 정보로서 이용할 수 있다.
도 5d에 도시된 바와 같이 측정된 입력지속시간을 막대 그래프로 표시하고, 막대의 정점을 잇는 선분이 수평축과 이루는 각 (α°, β°, γ°)을 키스트로크 다이나믹스 패턴 정보로서 이용할 수도 있다.
이상 설명한 입력지속시간, 인터벌, 키간 입력 시간 간격 등과 같은 키스트로크 다이나믹스 패턴들은 그대로 키스트로크 다이나믹스 패턴 정보로서 송신부(216)를 통하여 데이터베이스에 송신되거나, 일정한 기준에 따라 다른 값으로 변환되어 송신될 수도 있다. 또한, 도 5a 내지 5d에 도시된 바와 같은 키스트로크 다이나믹스 패턴들을 임의로 조합하여 패턴 정보로 이용할 수 있다. 즉, 사용자가 계정 정보를 입력할 때 추출되는 타이핑 패턴에 기초하여 구할 수 있는 모든 형태의 정보를 키스트로크 다이나믹스 패턴 정보로 이용할 수 있다.
또한, 이상 설명한 키스트로크 다이나믹스 패턴 정보는 사용자가 복수의 키패드를 이용하여 복수의 문자로 이루어진 문자열을 입력하는 경우를 전제로 하였으나, 이에 한정되는 것은 아니다. 즉, 단말기가 하나의 키만을 갖고 있는 경우, 버튼 누름 다이나믹스(button push dynamics) 패턴 정보가 추출될 수 있다. 예를 들어, 사용자가 하나의 키를 1회 이상 누를 때 발생 가능한 모든 입력패턴(예컨대, 키를 누르는 시간 간격, 키를 누르는 지속시간 등)으로부터도 키스트로크 다이나믹스 패턴 정보를 추출할 수 있다.
도 6a 및 6b는 일 실시예에 따른 사용자 인증 정보 데이터베이스(220)에 저장된 사용자 인증 정보 및 키스트로크 다이나믹스 패턴 정보의 예를 나타낸 도면이다. 사용자 인증 정보 데이터베이스(220)는 도 6a에 도시된 바와 같이, 하나의 데이터베이스에 키스트로크 다이나믹스 패턴 정보가 사용자 계정, 패스워드 및 접속정보 등 종래의 인증 정보에 대응되도록 저장되는 형태일 수 있다. 또는, 도 6b에 도시된 바와 같이, 사용자 계정, 패스워드 및 접속정보 등 종래의 인증 정보를 저장하는 제1 데이터베이스(221)와, 키스트로크 다이나믹스 패턴 정보를 사용자 계정에 대응하여 저장하는 제2 데이터베이스(222)를 포함하는 구조일 수도 있다.
다시 도 2를 살펴보면, 공유 탐지 분석기(230)는 사용자 인증 정보 데이터베이스(220)에 저장된 키스트로크 다이나믹스 패턴 정보를 분석하여 사용자 계정의 공유여부를 판단하고, 계정을 공유하고 있는 사용자의 수를 산출한다. 일 실시예에 따른 공유 탐지 분석기(230)는 키스트로크 다이나믹스 패턴 정보들이 어느정도 분산되어 있는지를 측정하는 분산도 측정 방식, 및/또는 키스트로크 다이나믹스 패턴 정보들이 몇 개의 군집으로 이루어져 있는지를 추정하는 최적 군집수 추정 방식을 사용하여 키스트로크 다이나믹스 패턴 정보를 분석할 수 있다. 예를 들어, 상기 분산도 측정 방식으로는 ASW(Adjusted Within-Cluster Scatter) 기준에 의한 단순 판별 방식이 사용될 수 있으며, 최적 군집수 추정 방식으로는 GMM(Gaussian Mixture Model) 방식이 사용될 수 있다. 이하에서는 ASW 기준에 의한 단순 판별 방식과 GMM 방식에 대해 상세히 설명하지만, 이는 적용 가능한 일 실시예일 뿐 이에 한정되는 것은 아니며, 상기 방식들 이외에도 분산도 측정 방식 또는 최적 군집 수 추정 방식에 사용될 수 있는 종래의 모든 수학적, 통계적 방법이 적용될 수 있음은 본 기술 분야의 당업자에게 자명하다.
먼저 ASW 기반의 분석 방식을 설명하면, 하나의 계정에 대하여 N개의 키스트로크 다이나믹스 패턴 정보(x1, x2, ..., xN)를 수집했다고 가정할 경우, 상기 N개의 데이터들이 분산된 정도를 나타내는 ASW 값은 아래와 같이 정의될 수 있다.
Figure 112007059130616-PAT00001
(수식 1)
여기서, distance(xi, m)은 xi와 m의 거리를 나타내는 함수이고, m은 아래와 같이 상기 N개의 데이터들(x1, x2, ..., xN)의 무게중심 또는 평균치를 의미한다.
Figure 112007059130616-PAT00002
(수식 2)
즉, 수식 1에 따르면, ASW값은 N개의 데이터들(x1, x2, ..., xN)과 평균치(m) 간의 거리의 평균치이므로, N개의 데이터들이 분산된 정도를 수치적으로 나타내게 된다.
도 7a는 소정의 실험결과에 따라 하나의 계정을 공유하는 사용자의 수에 따른 ASW값을 도시한 그래프이다. 도 7a를 참조하면, 하나의 계정을 공유하는 사용자의 수가 증가함에 따라 ASW값도 증가하는 경향을 보인다. 전술한 바와 같이 ASW값은 키스트로크 다이나믹스 패턴 정보 데이터들이 분산된 정도를 수치적으로 나타 낸 것이므로, 계정을 공유하는 사용자의 수가 증가할수록 데이터의 분산도가 증가하는 것이다. 이와 같은 경향을 고려할 때, 아래와 같은 식을 통해 특정 계정이 복수의 사용자에 의해 공유되고 있는지 여부를 판단할 수 있다.
Figure 112007059130616-PAT00003
(수식 3)
여기서 θ는 소정의 임계치이며, u는 사용자 계정이다. 즉, 도 7a의 그래프와 같은 경향을 고려하여 적절한 소정의 임계치(θ)를 설정하고 사용자 계정(u)에 대한 ASW값(ASWu)이 상기 임계치(θ)보다 크면 상기 계정(u)이 복수의 사용자에 의해 공유되고 있으며, 상기 임계치(θ) 이하일 경우에는 한명의 사용자에 의해서만 사용되고 있다고 판단할 수 있다. 이때 임계치(θ)의 값을 지나치게 높게 설정할 경우, 누락(복수의 사용자에 의해 공유되는 계정을 탐지하지 못하는 경우)이 증가하며, 반면 임계치(θ)를 지나치게 낮게 설정하는 경우, 오경보(한명의 사용자에 의해 사용되는 정상적인 계정을 공유된 계정인 것으로 판단하는 경우)가 증가하게 된다. 따라서 임계치(θ)는 이와 같은 누락과 오경보를 최소화할 수 있는 수치로 설정될 수 있다. 일실시예에 따르면 임계치(θ)는 약 30 내지 60 사이의 값일 수 있으며, 본 발명자의 실험결과에 따르면 임계치(θ)가 약 47일 때 오경보와 누락이 최소화되는 것으로 확인되었다. 그러나 임계치(θ)가 이에 한정되는 것은 아니며, 수집된 데이터의 수, 사용자 단말기의 종류, 또는 시스템의 종류 등에 따라 임계치(θ)의 최적값도 달라질 수 있다. 이하에서는 전술한 ASW 방식을 토대로 계정 공유 여부를 탐지한 실험 결과를 설명한다.
본 실험에서 데이터 셋은 16명의 사용자로 구성되어 있으며, 모든 사용자들로부터 25개의 암호에 대하여 각각 30개씩의 패턴을 수집하였다. 사용자들은 타이핑 능력이 각기 다르고, 각 암호에 대한 친근함(familiarity) 또한 다를 수 있다. 본 발명자는 이러한 상황을 고려하기 위하여 다양한 조합으로 실험을 수행하였다. 어떤 암호에 대하여 한 사람을 유효한 사용자로 설정하면, 나머지 다른 사람들의 패턴을 추가하여 계정공유 데이터로 만들게 되는 것이다. 실험을 위해 사용한 데이터는 총 25개의 암호에 대하여 16명으로부터 수집하였기 때문에, 단독 사용의 경우의 수는 25×16C1=400가지이며, 2인이 계정을 공유하는 경우의 수는 25×16C2=3000 가지이다. 마찬가지로 3인이 공유하게 되는 경우의 수는 25×16C3=14000가지, 4인이 공유하는 경우의 수는 25×16C4=45500가지가 존재하게 된다. 참고로, 5인 이상이 공유하는 경우는 실험에서 제외하였다. 수집한 데이터를 이용하여 생성한 계정 데이터 셋은 아래 표와 같다. 예를 들어, 2인 공유의 계정은 3000개이고, 각 계정은 2인이 사용하므로, 총 6000명의 사용자가 사용하고 있는 것이다.
계정수 사용인원 총사용자
단독 400 1 400
2인 3000 2 6000
3인 14000 3 42000
4인 45500 4 182000
본 실험에서는, 유효한 사용자의 패턴만을 이용한 경우를 단독사용, 2인-4인의 패턴을 조합한 경우를 계정공유로 설정하였다. 즉, 하나의 임계치를 기준으로, 단독사용과 계정공유를 판단하게 된다. 도 7b는 이러한 설정을 기준으로 했을 때의 결과를 도시한 것이다. 도 7b를 참조하면, 단독 사용하는 계정을 정확하게 탐지한 경우는 69%, 2-4인이 사용한 계정을 정확하게 탐지한 경우는 69.37%, 단독 사용한 계정을 2-4인이 공유했다고 판정(오경보)한 비율은 31%, 2-4인이 공유한 계정을 단독 사용했다고 판정(누락)한 비율이 30.63%이다.
그 다음, GMM 기반의 분석 방식을 설명하면, 하나의 계정에 대하여 N개의 키스트로크 다이나믹스 패턴 정보(x1, x2, ..., xN)를 수집하고 상기 데이터들이 소정 개수의 군집을 이루는 형태로 분포되어 있다고 가정할 경우, 적합도(goodness-of-fit)와 모델 복잡도(model complexsity)를 고려할 때 상기 데이터들의 집합을 가장 잘 표현하는 군집의 수(K*)를 선택할 수 있으며, 이와 같은 최적의 군집수(K*)가 계정을 공유하는 사용자의 수인 것으로 최종적으로 추정할 수 있다.
더욱 상세하게 설명하면, N개의 키스트로크 다이나믹스 패턴 정보(x1, x2, ..., xN)를 수집했을 때, 상기 데이터들이 K개(K≤N)의 군집을 이루고 있다고 가정하고, 군집이 K개인 경우의 GMM을 Mk라 하면, 데이터들(x1, x2, ..., xN)의 확률분포는 다음과 같이 추정된다.
Figure 112007059130616-PAT00004
(수식 4)
이때,
Figure 112007059130616-PAT00005
는 k번째 군집(클러스터)의 사전 확률(prior probability)이며, 조건부 확률(conditional probability)인
Figure 112007059130616-PAT00006
는 다음과 같이 표현된다.
Figure 112007059130616-PAT00007
(수식 5)
여기서
Figure 112007059130616-PAT00008
는 k번째 군집(클러스터)의 평균 벡터(mean vector)이며,
Figure 112007059130616-PAT00009
는 k번째 군집(클러스터)의 공분산 행렬(covariance matrix)이다.
그 다음 GMM(Mk)의 적합도(goodness-of-fit)는 일반적으로 아래와 같이 GMM(Mk)의 대수치(log-likelihood)로 산출된다.
Figure 112007059130616-PAT00010
(수식 6)
그러나 위와 같은 대수치(
Figure 112007059130616-PAT00011
)는 k의 값이 커질수록 증가하는 경향을 보이므로, 데이터들의 분포에 관계없이 최적의 군집수(K*)가 N이라고 판단할 가능성이 있다. 따라서 GMM(Mk)의 복잡도(complexity)에 대한 패널티 항(penalty term)을 상기 대수치에 추가한 다양한 기준들을 사용한다. 아래의 수식들은 패널티 항을 추가하는 예들을 나타낸 수식들이다.
(i) AIC(Alkaike information criterion)(Alkaike, 1974)
Figure 112007059130616-PAT00012
(수식 7)
(ii) BIC(Bayesian information criterion)(Schwarzp, 1978)
Figure 112007059130616-PAT00013
(수식 8)
(iii) ED(Evidence Density)(Roberts, 1997)
Figure 112007059130616-PAT00014
(수식 9)
위와 같은 AIC, BIC, 또는 ED 값 중 적어도 하나를 고려하여 데이터들의 집합을 가장 잘 표현하는 군집의 수(K*)를 추정할 수 있다. 이때, 수식 7에서 얻은 AIC(Mk) 값과 수식 8에서 얻은 BIC(Mk) 값은 그 크기를 최소로 하는 k값이 최적의 군집의 수이며, 수식 9에서 얻은 ED(Mk) 값은 그 크기를 최대로 하는 k 값이 최적의 군집의 수이다. 도 7c는 전술한 GMM 방식으로 탐지했을 때, 단독 사용인 경우와 2-4인이 공유한 경우를 어느 정도의 정확성으로 탐지했는지를 도시한 것으로서, 정상적으로 단독 사용 중인 계정과 공유되고 있는 계정을 정확하게 예측하는 비율이 각각 약 79.5%, 약 99.31%이며, 오경보 및 누락의 비율이 각각 약 20.5%, 약 0.69%인 것으로 측정되었다. 즉, GMM 방식을 사용할 경우 전술한 ASW 방식보다도 더 높은 정확도로 계정 공유 여부를 판단할 수 있다. 또한 도 7d는 전술한 ASW 방식을 통한 실험과 마찬가지로 16명의 사용자에게 25개의 암호를 각각 30회씩 타이핑하도록 하여 수집한 데이터에서 단독 사용의 경우의 수(16×25=400), 2인이 계정을 공유하는 경우의 수 (16×25×15C1=6000), 3인이 공유하는 경우의 수(16×25×15C2=42000), 및 4인이 공유하는 경우의 수(16×25×15C3=182000)에 대해서 GMM 방식을 사용하여 탐지한 결과이다. 도 7d에 도시된 바와 같이, 단독 사용한 경우는 400명이 각 하나씩 총 400개의 계정이 있는데, GMM 방식을 사용한 결과, 482명으로 판정하여 20.50%의 에러가 있었다. 또한 4인 사용의 경우, 45500의 계정이 있고 각 계정은 4인씩 사용하게 되므로 182,000명의 실제 사용자가 있는데, GMM 방식에 의하면 169,142명이라고 판정함으로써, 7.06%의 에러가 발생하였다.
결국, 전술한 ASW 방식과 같은 분산도 측정방식의 경우, 하나의 임계치를 이용하여 단독사용과 계정공유의 두 가지로 판정을 하게 되는 반면, 전술한 GMM 방식과 같은 최적 군집수 추정 방식의 경우에는, 구체적인 사용 인원을 탐지할 수 있는 장점이 있다.
더불어 ASW 방식과 GMM 방식을 조합하여 키스트로크 다이나믹스 패턴 정보를 분석할 수도 있다. 즉, 1단계로 ASW 방식을 이용하여 계정이 공유되고 있는지 여부를 판단하고, 2단계로 GMM 방식을 사용하여 계정의 공유여부 및 공유 사용자의 수를 판단할 수 있다. 이와 같이 ASW 방식과 GMM 방식을 조합하여 사용함으로써, 누락 또는 오경보가 발생할 가능성을 더욱 낮출 수 있다. 도 7e 및 7f는 ASW 방식과 GMM 방식을 조합하여 탐지한 실험 결과를 도시한 표이다. 도 7e에 도시된 바와 같이, 단독 사용하는 계정을 정확하게 탐지한 경우는 92.25%, 2-4인이 사용한 계정을 정확하게 탐지한 경우는 92.26%, 단독 사용한 계정을 2-4인이 공유했다고 판정(오경보)한 비율은 7.75%, 2-4인이 공유한 계정을 단독 사용했다고 판정(누락)한 비율이 7.74%인 것이다. 또한 도 7f에 도시된 바와 같이, 단독 사용한 경우는 400명이 각 하나씩 총 400개의 계정이 있는데, ASW 방식과 GMM 방식이 조합된 방식을 사용한 결과, 431명으로 판정하여 7.75%의 에러가 있었다. 또한 3인 사용의 경우, 14,000개의 계정이 있고 각 계정은 3인씩 사용하게 되므로 42,000명의 실제 사용자가 있는데, 43,503명이라고 판정함으로써, 3.58%의 에러가 발생하였다. 이와 같이, ASW 방식 또는 GMM 방식 중 하나만을 사용하는 경우보다 ASW 방식과 GMM 방식을 조합하여 사용하는 경우에 더 정확하게 계정 공유여부를 추정할 수 있다.
지금까지 ASW 방식, GMM 방식 또는 이들의 조합에 기반하여 키스트로크 다이나믹스 패턴 정보를 분석하는 경우를 설명하였으나, 분석 방법이 이에 한정되는 것은 아니며, 상기 방법들 이외에도 다수의 데이터를 분석할 수 있는 임의의 수학적 내지 통계적 방법을 사용하여 키스트로크 다이나믹스 패턴 정보를 분석할 수 있음은 본 기술분야의 당업자에게 자명하다 할 것이다.
이하에서는 키스트로크 다이나믹스 분석에 기초한 계정 공유 탐지 방법의 실시예들을 설명한다.
도 8은 일실시예에 따른 계정 공유 탐지 방법(800)을 도시한 흐름도이다. 도 8 및 도 3을 참조하면, 먼저, 사용자 단말기(312, 314) 내의 패턴 수집기(210)가 사용자의 키스트로크 다이나믹스 패턴을 수집하며(S810), 수집된 키스트로크 다이나믹스 패턴은 사용자 인증 정보 데이터베이스(220)에 전송되어 사용자의 계정에 대응되도록 저장된다(S820). 이와 같이 키스트로크 다이나믹스 패턴을 수집, 전송 및 저장하는 단계(S810, S820)는 사용자 인증 정보 데이터베이스(220)에 소정 개수의 키스트로크 다이나믹스 패턴이 저장되거나 또는 소정의 시간이 경과할 때까지 반복될 수 있다(S830). 그 다음, 공유 탐지 분석기(230)가 사용자 인증 정보 데이터베이스(220)에 저장된 키스트로크 다이나믹스 패턴 데이터를 분석하여 계정이 공유되고 있는지 여부 및/또는 상기 계정을 공유하는 사용자의 수를 판단한다(S840). 이때 키스트로크 다이나믹스 패턴을 분석하는 방법으로서, 전술한 바와 같은 ASW 방식, GMM 방식 또는 이들의 조합이 사용될 수 있다. 일실시예에 따르면, 상기 분석 결과, 특정 계정이 공유되고 있다고 판단되는 경우, 사용자에게 계정이 공유되고 있음을 알리는 알림 메시지를 전송하거나, 사용자에게 소정의 패널티를 부여하는 등의 조치를 수행할 수 있으며(S850), 상기 계정이 단일 사용자에 의해서 사용되고 있다고 판단되는 경우, 별도의 조치를 취하지 않도록 처리할 수 있다(S860).
또한 전술한 방법(800)을 수행하는 데에는 범용 컴퓨터 장치가 채용될 수 있다. 상기 컴퓨터 장치는 램(RAM: Random Access Memory)과 롬(ROM: Read Only Memory)을 포함하는 주기억장치와 연결되는 하나 이상의 프로세서를 포함한다. 프로세서는 중앙처리장치(CPU)로 불리기도 한다. 본 기술분야에서 널리 알려져 있는 바와 같이, 롬은 데이터와 명령(instruction)을 단방향성으로 CPU에 전송하는 역할을 하며, 램은 통상적으로 데이터와 명령을 양방향성으로 전송하는 데 사용된다. 램 및 롬은 컴퓨터 판독 가능 매체의 어떠한 적절한 형태를 포함할 수 있다. 대용량 기억장치(Mass Storage)는 양방향성으로 프로세서와 연결되어 추가적인 데이터 저장 능력을 제공하며, 상기된 컴퓨터 판독 가능 기록 매체 중 어떠한 것일 수 있다. 대용량 기억장치는 프로그램, 데이터 등을 저장하는데 사용되며, 통상적으로 주기억장치보다 속도가 느린 하드 디스크와 같은 보조기억장치이다. CD 롬과 같은 특정 대용량 기억장치가 사용될 수도 있다. 프로세서는 비디오 모니터, 트랙볼, 마우스, 키보드, 마이크로폰, 터치스크린 형 디스플레이, 카드 판독기, 자기 또는 종이 테이프 판독기, 음성 또는 필기 인식기, 조이스틱, 또는 기타 공지된 컴퓨터 입출력장치와 같은 하나 이상의 입출력 인터페이스와 연결된다. 마지막으로, 프로세서는 네트워크 인터페이스를 통하여 유선 또는 무선 통신 네트워크에 연결될 수 있다. 이러한 네트워크 연결을 통하여 상기된 방법의 절차를 수행할 수 있다. 상기된 장치 및 도구는 컴퓨터 하드웨어 및 소프트웨어 기술 분야의 당업자에게 잘 알려져 있다. 상기 하드웨어 장치는 방법(200)을 수행하기 위한 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있다.
전술한 내용들은 단지 본 발명의 몇가지 실시예들만을 설명한 것이다. 본 발명이 속하는 기술분야의 당업자는 본 발명의 상세한 설명, 도면 및 특허청구범위에 기재된 기술적 사상 및 범위를 벗어나지 않고 다양한 응용예가 실시될 수 있음을 쉽게 인지할 수 있을 것이다. 따라서 본 발명의 상세한 설명은 이에 한정되는 것이 아닌 예시적인 것으로 간주되어야 한다.
도 1은 종래의 계정 공유를 탐지하는 시스템을 도시한 도면.
도 2는 일 실시예에 따른 계정 공유 분석 시스템을 도시한 도면.
도 3은 도 2의 계정 공유 분석 시스템이 인터넷 상의 서비스 제공자 시스템에 결합된 일 실시예를 도시한 도면.
도 4는 일 실시예에 따른 패턴 수집기의 상세 구성을 도시한 블록도.
도 5a 내지 5d는 일 실시예에 따른 키스트로크 다이나믹스 패턴들을 도시한 도면.
도 6a 및 6b는 일 실시예에 따른 사용자 인증 정보 데이터베이스의 상세 구성을 도시한 도면.
도 7a 내지 7f는 일 실시예에 따라 계정 공유 여부를 판단하는 수학적 통계 분석 방식들의 실험결과를 도시한 도면.
도 8은 일실시예에 따른 계정 공유 탐지 방법을 도시한 흐름도.

Claims (26)

  1. 사용자의 단말기 내의 패턴 수집기에 의해 추출된 키스트로크 다이나믹스 패턴을 수신하여 상기 사용자의 계정에 대응되도록 저장하는 사용자 인증 정보 데이터베이스; 및
    상기 사용자 인증 정보 데이터베이스에 저장된 상기 키스트로크 다이나믹스 패턴의 클러스터링 분포를 분석하여 상기 계정의 공유 여부를 판단하는 공유 탐지 분석기
    를 포함하는 계정 공유 탐지 시스템.
  2. 제1항에 있어서, 상기 공유 탐지 분석기는 분산도 측정 방식으로 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부를 판단하는 계정 공유 탐지 시스템.
  3. 제1항에 있어서, 상기 공유 탐지 분석기는 최적 군집수 추정 방식, 또는 최적 군집수 추정 방식과 분산도 측정 방식을 조합한 방식으로 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부 및 상기 계정을 공유하는 사용자의 수를 판단하는 계정 공유 탐지 시스템.
  4. 제2항 또는 제3항에 있어서, 상기 분산도 측정 방식은 ASW(Adjusted Within-Cluster Scatter) 공식에 의한 판정 방식인 계정 공유 탐지 시스템.
  5. 제3항에 있어서, 상기 최적 군집수 추정 방식은 GMM(Gaussian Mixture Model) 방식인 계정 공유 탐지 시스템.
  6. 제1항에 있어서, 상기 패턴 수집기에 의해 추출된 키스트로크 다이나믹스 패턴은 입력지속시간(duration) 정보, 인터벌(interval) 정보 및 키간 입력시간 간격 정보 중 적어도 하나를 포함하는 계정 공유 탐지 시스템.
  7. 제1항에 있어서, 상기 사용자 인증 정보 데이터베이스는 사용자 계정 및 패스워드를 저장하는 제1 데이터베이스와 사용자 계정 및 이에 대응되는 키스트로크 다이나믹스 패턴 정보를 저장하는 제2 데이터베이스를 포함하는 계정 공유 탐지 시스템.
  8. 제1항에 있어서, 상기 키스트로크 다이나믹스 패턴은, 사용자가 복수의 키패드를 이용하여 복수의 문자로 이루어진 문자열을 입력하거나, 사용자가 하나의 키 또는 버튼을 1회 이상 누름으로써 발생하는 패턴인 계정 공유 탐지 시스템.
  9. 사용자의 키스트로크 다이나믹스 패턴을 수집하는 단계;
    상기 수집된 키스트로크 다이나믹스 패턴을 사용자 인증 정보 데이터베이스 에 전송하여 상기 사용자의 계정에 대응되도록 저장하는 단계;
    상기 사용자 인증 정보 데이터베이스에 저장된 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부를 판단하는 단계
    를 포함하는 계정 공유 탐지 방법.
  10. 제9항에 있어서, 상기 키스트로크 다이나믹스 패턴을 수집하는 단계와 상기 키스트로크 다이나믹스 패턴을 사용자 인증 정보 데이터베이스에 저장하는 단계는, 상기 사용자 인증 정보 데이터베이스에 소정 개수의 키스트로크 다이나믹스 패턴이 저장되거나 소정의 시간이 경과할 때까지 반복하여 수행되는 계정 공유 탐지 방법.
  11. 제9항에 있어서, 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부를 판단하는 단계는, 분산도 측정 방식으로 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부를 판단하는 계정 공유 탐지 방법
  12. 제9항에 있어서, 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부를 판단하는 단계는, 최적 군집수 추정 방식, 또는 최적 군집수 추정 방식과 분산도 측정 방식을 조합한 방식으로 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부 및 상기 계정을 공유하는 사용자의 수를 판단하는 계정 공유 탐지 방법.
  13. 제11항 또는 제12항에 있어서, 상기 분산도 측정 방식은 ASW(Adjusted Within-Cluster Scatter) 공식에 의한 판정 방식인 계정 공유 탐지 방법.
  14. 제12항에 있어서, 상기 최적 군집수 추정 방식은 GMM(Gaussian Mixture Model) 방식인 계정 공유 탐지 방법.
  15. 제9항에 있어서, 상기 키스트로크 다이나믹스 패턴은 입력지속시간 정보, 인터벌 정보 및 키간 입력시간 간격 정보 중 적어도 하나를 포함하는 계정 공유 탐지 방법.
  16. 제9항에 있어서, 상기 계정이 공유되고 있다고 판단되는 경우, 상기 사용자에게 상기 계정이 공유되고 있음을 알리는 메시지를 송신하는 행위 및 상기 사용자에게 소정의 패널티를 부여하는 행위 중 적어도 하나를 포함하는 계정 공유 탐지 방법.
  17. 제9항에 있어서, 상기 키스트로크 다이나믹스 패턴은, 사용자가 복수의 키패드를 이용하여 복수의 문자로 이루어진 문자열을 입력하거나, 사용자가 하나의 키 또는 버튼을 1회 이상 누름으로써 발생하는 패턴인 계정 공유 탐지 방법.
  18. 계정 공유 탐지 방법을 수행하는 컴퓨터 실행가능한 명령어를 저장하는 컴퓨 터 판독가능한 기록매체로서, 상기 방법은,
    사용자의 키스트로크 다이나믹스 패턴을 수집하는 단계;
    상기 수집된 키스트로크 다이나믹스 패턴을 사용자 인증 정보 데이터베이스에 전송하여 상기 사용자의 계정에 대응되도록 저장하는 단계;
    상기 사용자 인증 정보 데이터베이스에 저장된 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부를 판단하는 단계
    를 포함하는 컴퓨터 판독가능한 기록매체.
  19. 패턴 수집기를 포함하는 사용자 단말기;
    상기 패턴 수집기에 의해 추출된 키스트로크 다이나믹스 패턴을 수신하여 상기 사용자의 계정에 대응되도록 저장하는 사용자 인증 정보 데이터베이스; 및
    상기 사용자 인증 정보 데이터베이스에 저장된 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부를 판단하는 공유 탐지 분석기
    를 포함하며,
    상기 패턴 수집기는,
    상기 사용자 단말기로부터 키스트로크 데이터를 입력받는 입력부;
    상기 입력부로부터 상기 키스트로크 데이터를 수신하여 상기 키스트로크 다이나믹스 패턴을 추출하는 행동패턴 추출부; 및
    상기 추출된 키스트로크 다이나믹스 패턴을 상기 사용자 인증 정보 데이터베이스에 전송하는 송신부
    를 포함하는 계정 공유 탐지 시스템.
  20. 제19항에 있어서, 상기 공유 탐지 분석기는 분산도 측정 방식으로 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부를 판단하는 계정 공유 탐지 시스템.
  21. 제19항에 있어서, 상기 공유 탐지 분석기는 최적 군집수 추정 방식, 또는 최적 군집수 추정 방식과 분산도 측정 방식을 조합한 방식으로 상기 키스트로크 다이나믹스 패턴을 분석하여 상기 계정의 공유 여부 및 상기 계정을 공유하는 사용자의 수를 판단하는 계정 공유 탐지 시스템.
  22. 제20항 또는 제21항에 있어서, 상기 분산도 측정 방식은 ASW(Adjusted Within-Cluster Scatter) 공식에 의한 판정 방식인 계정 공유 탐지 시스템.
  23. 제21항에 있어서, 상기 최적 군집수 추정 방식은 GMM(Gaussian Mixture Model) 방식인 계정 공유 탐지 시스템.
  24. 제19항에 있어서, 상기 패턴 수집기에 의해 추출된 키스트로크 다이나믹스 패턴은 입력지속시간 정보, 인터벌 정보 및 키간 입력시간 간격 정보 중 적어도 하나를 포함하는 계정 공유 탐지 시스템.
  25. 제19항에 있어서, 상기 사용자 인증 정보 데이터베이스는 사용자 계정 및 패스워드를 저장하는 제1 데이터베이스와 사용자 계정 및 이에 대응되는 키스트로크 다이나믹스 패턴 정보를 저장하는 제2 데이터베이스를 포함하는 계정 공유 탐지 시스템.
  26. 제19항에 있어서, 상기 키스트로크 다이나믹스 패턴은, 사용자가 복수의 키패드를 이용하여 복수의 문자로 이루어진 문자열을 입력하거나, 사용자가 하나의 키 또는 버튼을 1회 이상 누름으로써 발생하는 패턴인 계정 공유 탐지 시스템.
KR1020070082254A 2007-08-16 2007-08-16 행동패턴 분석에 기초한 계정 공유 탐지 방법 및 시스템 KR100923179B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070082254A KR100923179B1 (ko) 2007-08-16 2007-08-16 행동패턴 분석에 기초한 계정 공유 탐지 방법 및 시스템
US12/133,931 US20090049555A1 (en) 2007-08-16 2008-06-05 Method and system of detecting account sharing based on behavior patterns

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070082254A KR100923179B1 (ko) 2007-08-16 2007-08-16 행동패턴 분석에 기초한 계정 공유 탐지 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20090017803A true KR20090017803A (ko) 2009-02-19
KR100923179B1 KR100923179B1 (ko) 2009-10-22

Family

ID=40364076

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070082254A KR100923179B1 (ko) 2007-08-16 2007-08-16 행동패턴 분석에 기초한 계정 공유 탐지 방법 및 시스템

Country Status (2)

Country Link
US (1) US20090049555A1 (ko)
KR (1) KR100923179B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101403398B1 (ko) * 2012-12-27 2014-06-03 한국과학기술원 문서 읽기 행위를 통한 사용자 인증 장치 및 그의 제어 방법
WO2018084503A1 (ko) * 2016-11-02 2018-05-11 충남대학교산학협력단 사용자의 키보드 및 마우스 입력 행위 패턴을 이용한 인증 방법 및 그 방법을 구현하는 프로그램을 기록한 기록매체

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2357596A1 (en) * 2010-01-28 2011-08-17 Psylock GmbH Secure online order confirmation method
US8856955B2 (en) * 2010-05-18 2014-10-07 ServiceSource International, Inc. Remediating unauthorized sharing of account access to online resources
US10621585B2 (en) 2010-11-29 2020-04-14 Biocatch Ltd. Contextual mapping of web-pages, and generation of fraud-relatedness score-values
US10834590B2 (en) 2010-11-29 2020-11-10 Biocatch Ltd. Method, device, and system of differentiating between a cyber-attacker and a legitimate user
US10728761B2 (en) 2010-11-29 2020-07-28 Biocatch Ltd. Method, device, and system of detecting a lie of a user who inputs data
US11223619B2 (en) 2010-11-29 2022-01-11 Biocatch Ltd. Device, system, and method of user authentication based on user-specific characteristics of task performance
US20190158535A1 (en) * 2017-11-21 2019-05-23 Biocatch Ltd. Device, System, and Method of Detecting Vishing Attacks
US10917431B2 (en) 2010-11-29 2021-02-09 Biocatch Ltd. System, method, and device of authenticating a user based on selfie image or selfie video
US11210674B2 (en) 2010-11-29 2021-12-28 Biocatch Ltd. Method, device, and system of detecting mule accounts and accounts used for money laundering
US10069837B2 (en) 2015-07-09 2018-09-04 Biocatch Ltd. Detection of proxy server
US10949514B2 (en) 2010-11-29 2021-03-16 Biocatch Ltd. Device, system, and method of differentiating among users based on detection of hardware components
US9674185B2 (en) * 2015-01-29 2017-06-06 International Business Machines Corporation Authentication using individual's inherent expression as secondary signature
GB2539705B (en) 2015-06-25 2017-10-25 Aimbrain Solutions Ltd Conditional behavioural biometrics
EP3142038B1 (en) * 2015-09-10 2019-01-23 Tata Consultancy Services Limited Authentication system and method
CN106789843B (zh) * 2015-11-23 2021-03-05 中国电信股份有限公司 用于共享上网的方法、portal服务器和系统
US10154042B2 (en) * 2016-01-04 2018-12-11 Cisco Technology, Inc. Account sharing detection
KR102450763B1 (ko) 2016-01-07 2022-10-06 한국전자통신연구원 사용자 자세에 기초한 키스트로크 패턴을 이용한 사용자 분류 장치 및 방법
US9998443B2 (en) 2016-02-22 2018-06-12 International Business Machines Corporation Retrospective discovery of shared credentials
GB2552152B (en) * 2016-07-08 2019-07-03 Aimbrain Solutions Ltd Obscuring data
GB2552032B (en) 2016-07-08 2019-05-22 Aimbrain Solutions Ltd Step-up authentication
RU2689816C2 (ru) 2017-11-21 2019-05-29 ООО "Группа АйБи" Способ для классифицирования последовательности действий пользователя (варианты)
US11640450B2 (en) 2018-08-12 2023-05-02 International Business Machines Corporation Authentication using features extracted based on cursor locations
SG11202101624WA (en) * 2019-02-27 2021-03-30 Group Ib Ltd Method and system for user identification by keystroke dynamics
KR102307966B1 (ko) * 2019-12-16 2021-10-05 네이버클라우드 주식회사 문자 자동인식이 불가한 3d 개체 기반 캡차 제공 방법, 장치 및 컴퓨터 프로그램
CN112989295A (zh) * 2019-12-16 2021-06-18 北京沃东天骏信息技术有限公司 用户识别的方法和装置
US20220012773A1 (en) * 2020-07-09 2022-01-13 Shopify Inc. Systems and methods for detecting multiple users of an online account
CN111970250B (zh) * 2020-07-27 2023-03-17 深信服科技股份有限公司 一种识别账号共享的方法及电子设备、存储介质
US11350174B1 (en) 2020-08-21 2022-05-31 At&T Intellectual Property I, L.P. Method and apparatus to monitor account credential sharing in communication services
US11630886B2 (en) 2020-09-17 2023-04-18 International Business Machines Corporation Computer security forensics based on temporal typing changes of authentication credentials
CN114528536A (zh) * 2020-10-30 2022-05-24 伊姆西Ip控股有限责任公司 用于击键模式分析的方法、设备和程序产品
CN112418294A (zh) * 2020-11-18 2021-02-26 青岛海尔科技有限公司 确定帐号类别的方法、装置、存储介质及电子装置
US11606353B2 (en) 2021-07-22 2023-03-14 Biocatch Ltd. System, device, and method of generating and utilizing one-time passwords
US11963089B1 (en) 2021-10-01 2024-04-16 Warner Media, Llc Method and apparatus to profile account credential sharing

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4805222A (en) * 1985-12-23 1989-02-14 International Bioaccess Systems Corporation Method and apparatus for verifying an individual's identity
US20070020662A1 (en) * 2000-01-07 2007-01-25 Transform Pharmaceuticals, Inc. Computerized control of high-throughput experimental processing and digital analysis of comparative samples for a compound of interest
WO2003003169A2 (en) * 2001-06-28 2003-01-09 Cloakware Corporation Secure method and system for biometric verification
US6954862B2 (en) * 2002-08-27 2005-10-11 Michael Lawrence Serpa System and method for user authentication with enhanced passwords
US7089319B2 (en) * 2002-12-09 2006-08-08 Anton Lysenko Method and system for instantaneous on-demand delivery of multimedia content over a communication network with aid of content capturing component, delivery-on-demand client and dynamically mapped resource locator server
US7506174B2 (en) * 2004-11-03 2009-03-17 Lenovo (Singapore) Pte Ltd. Method and system for establishing a biometrically enabled password
US7571326B2 (en) * 2005-05-25 2009-08-04 Hewlett-Packard Development Company, L.P. Relative latency dynamics for identity authentication
US7864987B2 (en) * 2006-04-18 2011-01-04 Infosys Technologies Ltd. Methods and systems for secured access to devices and systems
WO2007149341A2 (en) * 2006-06-14 2007-12-27 Agent Science Technologies, Inc. System to associate a demographic to a user of an electronic system
WO2008008473A2 (en) * 2006-07-11 2008-01-17 Agent Science Technologies, Inc. Behaviormetrics application system for electronic transaction authorization
JP2008062006A (ja) * 2006-09-09 2008-03-21 Junichi Ishimaru 岩盤浴装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101403398B1 (ko) * 2012-12-27 2014-06-03 한국과학기술원 문서 읽기 행위를 통한 사용자 인증 장치 및 그의 제어 방법
WO2018084503A1 (ko) * 2016-11-02 2018-05-11 충남대학교산학협력단 사용자의 키보드 및 마우스 입력 행위 패턴을 이용한 인증 방법 및 그 방법을 구현하는 프로그램을 기록한 기록매체

Also Published As

Publication number Publication date
KR100923179B1 (ko) 2009-10-22
US20090049555A1 (en) 2009-02-19

Similar Documents

Publication Publication Date Title
KR100923179B1 (ko) 행동패턴 분석에 기초한 계정 공유 탐지 방법 및 시스템
Bonneau et al. What’s in a name? Evaluating statistical attacks on personal knowledge questions
US8285658B1 (en) Account sharing detection
Saevanee et al. Continuous user authentication using multi-modal biometrics
US20130263240A1 (en) Method for authentication and verification of user identity
US20110314558A1 (en) Method and apparatus for context-aware authentication
US20110113388A1 (en) Systems and methods for security management based on cursor events
Dowland et al. Keystroke analysis as a method of advanced user authentication and response
Saevanee et al. Text-based active authentication for mobile devices
Karatzouni et al. Keystroke analysis for thumb-based keyboards on mobile devices
Traore et al. Online risk-based authentication using behavioral biometrics
Kanak et al. BioTAM: a technology acceptance model for biometric authentication systems
CN106354725B (zh) 一种事件防刷方法、装置、服务器及系统
Hazan et al. Securing keystroke dynamics from replay attacks
Marasco et al. Biometric multi‐factor authentication: On the usability of the FingerPIN scheme
WO2021175010A1 (zh) 用户性别识别的方法、装置、电子设备及存储介质
Shanmugapriya et al. Virtual key force—a new feature for keystroke
KR20180048121A (ko) 사용자의 키보드 및 마우스 입력 행위 패턴을 이용한 인증 방법 및 그 방법을 구현하는 프로그램을 기록한 기록매체
Tang et al. Niffler: A context-aware and user-independent side-channel attack system for password inference
US11606353B2 (en) System, device, and method of generating and utilizing one-time passwords
Alotaibi et al. A novel transparent user authentication approach for mobile applications
CN111782971B (zh) 信息处理方法、装置、设备及存储介质
Primo Keystroke-based continuous authentication while listening to music on your smart-phone
Shute et al. Attribution using keyboard row based behavioural biometrics for handedness recognition
JP2008181231A (ja) コンピュータ成りすまし使用防止システム、コンピュータ成りすまし使用防止方法、およびコンピュータ成りすまし使用防止プログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121010

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130930

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140929

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee