KR20190043923A - 서비스 서버, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법 및 그 방법을 실행시키기 위한 컴퓨터 프로그램 - Google Patents

서비스 서버, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법 및 그 방법을 실행시키기 위한 컴퓨터 프로그램 Download PDF

Info

Publication number
KR20190043923A
KR20190043923A KR1020170136034A KR20170136034A KR20190043923A KR 20190043923 A KR20190043923 A KR 20190043923A KR 1020170136034 A KR1020170136034 A KR 1020170136034A KR 20170136034 A KR20170136034 A KR 20170136034A KR 20190043923 A KR20190043923 A KR 20190043923A
Authority
KR
South Korea
Prior art keywords
data packet
user group
client terminal
suspicious
user
Prior art date
Application number
KR1020170136034A
Other languages
English (en)
Inventor
서동필
전상훈
민경국
Original Assignee
라인 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 라인 가부시키가이샤 filed Critical 라인 가부시키가이샤
Priority to KR1020170136034A priority Critical patent/KR20190043923A/ko
Priority to JP2018196243A priority patent/JP7178863B2/ja
Publication of KR20190043923A publication Critical patent/KR20190043923A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results

Abstract

본 명세서에 따르면, 클라이언트 단말로부터 수신된 데이터 패킷의 경로를 지정하고, 지정된 경로에 따라 데이터 패킷을 전달하는 라우팅 모듈; 하나 이상의 클라이언트 단말로부터 플레이 로그들을 수신하고, 상기 수신한 플레이 로그들을 클러스터링 하고, 클러스터링한 결과를 기초로 플레이 로그들을 분류하고, 기 설정된 최소 임계 값 이하의 빈도수를 가지는 의심 유저 클러스터와 관련된 사용자 그룹을 의심 유저군으로 분류하는 일반 모드 서버 장치;를 포함하는 서비스 서버가 개시된다.

Description

서비스 서버, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법 및 그 방법을 실행시키기 위한 컴퓨터 프로그램{SERVICE SERVER, METHOD AND COMPUTER FOR MONITORING A DATA PACKET BY A SUSPICIOUS USER}
본 발명은 서비스 서버, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법 및 그 방법을 실행시키기 위한 컴퓨터 프로그램에 관한 것이다.
일반적으로 MMORPG(Massively Multiplayer Online Role Playing Game}의 경우 게이머들은 온라인 게임 내에서 플레이어 캐릭터를 조작하여 게임을 진행하게 되며, 게임 플레이 과정에서 아이템을 획득하거나 게임 머니를 지불하여 게임 내의 NPC(Non Player Character)로부터 구입하기도 한다.
아이템과 게임 내에서 통용되는 화폐인 게임 머니는 통상 온라인 게임의 진행을 용이하게 해 줄 뿐만 아니라, 게임의 즐거움을 배가시키는 요소로서 일부 인기있는 MMORPG의 경우에는 게임 내 희귀 아이템이나 게임 머니를 게이머들끼리 현금으로 사고파는 일이 벌어지기도 한다.
한편, 이러한 아이템이나 게임 머니의 현금 거래가 빈번하게 이루어지면서 아이템이나 게임 머니를 자동으로 수집하는 봇(BOT) 프로그램이 기승을 부리고 있다.
봇 프로그램의 유형에는 몇 가지 종류가 있으나 대부분 클라이언트 단에 보안 프로그램을 설치하여 봇 프로그램의 패턴을 탐지하는 등의 방식으로 검출하게 된다.
그런데, 최근에는 도 1에 개념적으로 도시된 바와 같이 다수의 PC(Personal Computer)를 구비하여 집단적으로 봇 프로그램을 구동함으로써 대량으로 아이템이나 게임 머니를 수집하여 이를 일반 게이머들에게 판매함으로써 수익을 올리는 이른바 작업장이 등장하기에 이르렀다.
이러한 작업장은 일반적으로 알려지지 않은 비공개 봇 프로그램을 구입하여 사용하는 경우가 많아 보안 프로그램을 이용한 검출이 용이하지 아니하다.
뿐만 아니라, 어렵게 봇 프로그램의 패턴을 입수하여 보안 프로그램을 통해 봇 프로그램을 구동하는 계정을 검출하여 해당 계정을 블록하는 등의 제재를 가한다고 하여도 작업장의 특성상 정작 봇 계정으로부터 아이템이나 게임 머니를 취합하는 계정은 아무런 제재를 받지 않기 때문에 언제든 쉽게 봇 프로그램을 구동할 새로운 계정들을 만들어 작업장 운영을 재개할 수 있게 된다.
따라서, 단순히 봇 프로그램을 검출하는 것만으로는 온라인 게임의 정상적인 운영에 지장을 주는 작업장 계정을 온전하게 파악하는데 한계가 존재하며, 봇 프로그램을 구동하지 않는 계정을 포함하여 작업장에 속하는 계정 전체를 파악하기 위한 새로운 접근법이 필요한 실정이다.
클라이언트 단말들로부터 수신된 플레이 로그들을 클러스터링하여 의심 유저군을 선별하고, 선별된 의심 유저군의 데이터 패킷을 별도로 구현된 감시 모드 서버 장치에 의해 모니터링할 수 있는 서비스 서버 및 방법을 제공한다.
본 발명의 실시예에 따른 컴퓨터 프로그램은 컴퓨터를 이용하여 본 발명의 실시예에 따른 의심 유저에 의한 데이터 패킷을 모니터링하는 방법 중 어느 하나의 방법을 실행시키기 위하여 매체에 저장될 수 있다.
이 외에도, 본 발명을 구현하기 위한 다른 방법, 다른 시스템 및 상기 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 컴퓨터 판독 가능한 기록 매체가 더 제공된다.
전술한 것 외의 다른 측면, 특징, 이점이 이하의 도면, 특허청구범위 및 발명의 상세한 설명으로부터 명확해 질 것이다.
본 발명의 실시예들에 따르면, 클라이언트 단말들로부터 수신된 플레이 로그들을 클러스터링하여 의심 유저군을 선별하고, 선별된 의심 유저군의 데이터 패킷을 별도로 구현된 감시 모드 서버 장치에 의해 모니터링 할 수 있다.
도 1은 본 발명의 실시예들에 따른 시스템의 구조를 나타내는 도면이다.
도 2는 본 발명의 실시예들에 따른 서비스 서버의 구조를 나타내는 도면이다.
도 3 내지 도 5는 본 발명의 실시예들에 따른 의심 유저에 의한 데이터 패킷을 모니터링하는 방법들의 흐름도들이다.
도 6a 및 도 6b는 클라이언트 단말 및 서비스 서버 사이의 데이터 패킷 처리를 설명하기 위한 도면이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 본 발명의 효과 및 특징, 그리고 그것들을 달성하는 방법은 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 다양한 형태로 구현될 수 있다.
도 1은 본 발명의 실시예들에 따른 시스템의 구성도이다.
도 1을 참조하면, 본 발명의 실시예들에 따른 게임 서비스 시스템(10)은 게임 서버(100), 클라이언트 단말(200, 201, 202, 203, 204), 통신망(300)을 포함한다. 도 1은 발명의 설명을 위한 일례로 클라이언트 단말의 수나 서버의 수가 도 1과 같이 한정되는 것은 아니다.
게임 서버(100)는 복수의 클라이언트 단말들(201, 202, 203, 204)과 통신망(300)을 통해 통신하여 명령, 코드, 파일 컨텐츠, 서비스 등을 제공하는 장치 또는 복수의 장치들로 구현될 수 있다.
일례로, 게임 서버(100)는 통신망(300)을 통해 접속한 제1 클라이언트 단말(201)로 게임 어플리케이션의 설치를 위한 파일을 제공할 수 있다. 이 경우 제1 클라이언트 단말(201)은 제공된 파일을 이용하여 어플리케이션을 설치할 수 있다. 또한, 제1 클라이언트 단말(201)이 포함하는 운영체제 및 적어도 하나의 프로그램(일례로 브라우저나 상기 설치된 어플리케이션)의 제어에 따라 서비스 서버(100)에 접속하여 서비스 서버(100)가 제공하는 서비스나 컨텐츠를 제공받을 수 있다. 예를 들어, 제1 클라이언트 단말(201)이 어플리케이션의 제어에 따라 통신망(300)을 통해 서비스 요청 메시지를 서비스 서버(100)로 전송하면, 서비스 서버(100)는 서비스 요청 메시지에 대응하는 코드를 제1 클라이언트 단말(201)로 전송할 수 있고, 제1 클라이언트 단말(201)은 어플리케이션의 제어에 따라 코드에 따른 화면을 구성하여 표시함으로써 사용자에게 컨텐츠를 제공할 수 있다.
클라이언트 단말들(200, 201, 202, 203, 204)은 컴퓨팅 시스템으로 구현되는 고정형 단말이거나 이동형 단말일 수 있다. 복수의 클라이언트 단말들(200, 201, 202, 203, 204)의 예를 들면, 스마트폰(smart phone), 휴대폰, 네비게이션, 컴퓨터, 노트북, 디지털방송용 단말, PDA(Personal Digital Assitants), PMP(Portable Multimedia Player), 태블릿 PC 등이 있다. 클라이언트 단말(201)은 무선 또는 유선 통신 방식을 이용하여 통신망(300)을 통해 다른 클라이언트 단말들(201, 202, 203, 204) 및/또는 서비스 서버(100)와 통신할 수 있다.
통신 방식은 제한되지 않으며, 통신망(300)은 이동통신망, 유선 인터넷, 무선 인터넷, 방송망을 활용하는 통신 방식 뿐만 아니라 단말들간의 근거리 무선 통신 역시 포함될 수 있다. 예를 들어, 통신망(300)은, PAN(personal area network), LAN(local area network), CAN(campus area network), MAN(metropolitan area network), WAN(wide area network), BBN(broadband network), 인터넷 등의 네트워크 중 하나 이상의 임의의 네트워크를 포함할 수 있다. 또한, 통신망(300)은 버스 네트워크, 스타 네트워크, 링 네트워크, 메쉬 네트워크, 스타-버스 네트워크, 트리 또는 계층적(hierarchical) 네트워크 등을 포함하는 네트워크 토폴로지 중 임의의 하나 이상을 포함할 수 있으나, 이에 제한되지 않는다.
도 2는 본 발명의 실시예들에 따른 서비스 서버(100)의 구조를 나타내는 블록도이다.
도 2를 참조하면, 서비스 서버(100)는 라우팅 모듈(110), 일반 모드 서버 장치(120), 감시 모드 서버 장치(130), 데이터 베이스(140)를 포함할 수 있다.
본 명세서에서, 데이터 패킷은 클라이언트 단말에 설치된 어플리케이션의 동작에 따라서 생성되는 데이터의 묶음을 말한다. 데이터 패킷은 서비스 서버(100)의 요청에 따라 형식을 변경할 수 있다. 예를 들어, 데이터 패킷은 어플리케이션의 실행 중에 발생되는 플레이 로그를 포함하거나, 어플리케이션 상에서의 사용자 입력 및 사용자 입력에 따른 동작에 대한 결과 값인, 인풋(input) 및 결과 데이터(output)를 포함할 수 있다. 데이터 패킷이 포함하고 있는 것은 ‘온라인 게임 내’에서 이루어진 행위를 포함할 수 있다.
본 발명의 실시예들에 따른 서비스 서버(100)는 어플리케이션에 접속하는 클라이언트 단말 중에서, 의심 유저가 발견되면, 의심 유저에 해당하는 클라이언트 단말의 어플리케이션 실행 행위를 별도로 동작하는 감시 모드 서버 장치를 통해 모니터링한다. 본 발명의 실시예들에 따른 서비스 서버(100)는 사용자를 일반 유저군, 의심 유저군, 이상 유저군으로 분류하여 관리하게 된다. 의심 유저군은 플레이 로그들을 클러스터링함으로써 판단되고, 이상 유저군은 의심 유저군에 해당하는 클라이언트 단말로부터의 데이터 패킷을 별도의 시뮬레이션 장치에 의해 처리함으로써, 실시간 시뮬레이션을 통해 판단될 수 있다. 서비스 서버(100)는 비지도 학습 방법을 이용하여 플레이 로그들을 분류하고, 일반 사용자에 의해 실행되지 않는 행동과 관련된 로그들을 선별한다. 서비스 서버(100)는 유사한 로그들을 하나의 클러스터로 분류하여 일반 사용자가 아닌 이상 유저에 의한 행동을 따로 분류한다.
서비스 서버(100)에 포함된 일반 모드 서버 장치(120) 및 감시 모드 서버 장치(130)는 서로 영향을 미치지 않고 동작할 수 있다. 서비스 서버(100)는 하나 이상의 프로세서들을 포함하여 일반 모드 서버 장치(120) 및 감시 모드 서버 장치(130)를 독립적으로 동작시킬 수 있다.
서비스 서버(100)는 수신된 데이터 패킷의 수가 증가함에 따라 일반 모드 서버 장치(120) 및 감시 모드 서버 장치(130)에 각각 할당된 프로세서의 수 및 메모리의 용량을 조절할 수 있다.
서비스 서버(100)는 일반 유저군, 의심 유저군, 이상 유저군의 사용자 데이터를 저장 관리하는 데이터베이스(140)를 포함할 수 있다.
라우팅 모듈(110)은 데이터 패킷의 발신자인 클라이언트의 그룹을 고려하여, 수신된 데이터 패킷의 경로를 지정하고, 지정된 경로로 데이터 패킷을 전달하는 기능을 수행한다. 클라이언트의 그룹은 클라이언트에 의해 발생된 데이터 패킷을 분석한 결과를 이용하여 결정될 수 있다. 클라이언트의 그룹은 일반 유저군, 의심 유저군, 이상 유저군 중 하나로 결정될 수 있다.
라우팅 모듈(110)은 데이터 패킷의 경로와 대응하는 플래그 값을 생성할 수 있다. 플래그 값은 일반 유저군과 대응되는 값(0), 의심 유저군과 대응되는 값(1), 이상 유저군과 대응되는 값(-1) 중 하나로 설정될 수 있다. 데이터 패킷의 플래그 값이 일반 유저군과 대응되는 값인 경우, 데이터 패킷은 일반 모드 서버 장치로 전달되고, 데이터 패킷의 플래그의 값이 의심 유저군과 대응되는 값인 경우, 데이터 패킷은 감시 모드 서버 장치로 전달된다. 데이터 패킷의 플래그의 값이 이상 유저군과 대응되는 값인 경우, 데이터 패킷은 처리되지 않고, 차단된다. 라우팅 모듈(110)은 일반 유저군 및 의심 유저군의 사용자 데이터가 저장된 데이터베이스(140) 를 참조하여 제1 클라이언트 단말의 데이터 패킷의 경로를 일반 모드 서버 장치(120) 또는 감시 모드 서버 장치(130)로 설정하거나, 데이터 패킷을 차단하게 된다. 라우팅 모듈(110)은 물리적으로 분리되어 구현될 수도 있으나, 애플리케이션 레이어(layer)에 구현되어 하나의 컴퓨팅 장치에 서버 장치들과 함께 설치 될 수 있다.
일반 모드 서버 장치(120)는 어플리케이션에 의해 생성된 데이터 패킷을 처리하는 기능을 수행한다. 일반 모드 서버 장치(120)는 라우팅 모듈에 의해 전달된 데이터 패킷을 처리하는 기능을 수행한다. 라우팅 모듈(110)은 일반 유저군에 해당하는 클라이언트 단말로부터의 데이터 패킷을 일반 모드 서버 장치(120)로 전달할 수 있다. 일반 모드 서버 장치(120)는 수신된 데이터 패킷 중에서 플레이 로그를 기초로 의심 유저군을 검색하는 기능을 수행한다.
일반 모드 서버 장치(120)는 플레이 로그 필터부(121), 사용자 클러스터링부(122)를 포함한다.
플레이 로그 필터부(121)는 데이터 패킷 중에서 플레이 로그를 필터링 할 수 있다. 플레이 로그 필터부(121)는 데이터 패킷에 포함된 헤더값을 기초로 플레이 로그를 필터링할 수 있다. 사용자 클러스터링부(122)는 다양한 알고리즘을 이용하여 플레이 로그들을 클러스터링한다. 사용자 클러스터링부(122)는 비지도 학습 방법을 이용하여 플레이 로그들을 클러스터링한다. 사용자 클러스터링부(122)는 웹 페이지 접속 순서, 오류 발생시 재시도 횟수, 테스트 중간의 유휴 시간 등을 포함하는 플레이 로그들을 클러스터링한다. 사용자 클러스터링부(122)는 다양한 기준으로 매우 많은 플레이 로그들을 서로 유사한 것들끼리 군집화할 수 있다. 플레이 로그들은 유사 또는 비유사로 구분된다.
구체적으로, 사용자 클러스터링부(122)는 머신 러닝 알고리즘을 이용하여, 플레이 로그를 벡터화, 정규화하는 작업을 수행하고 군집화한다. 플레이 로그에 포함된 단어들을 소정의 벡터 값들로 변경할 수 있다. 존재하는 단어들 사이의 관계를 미리 설정한 상관관계 매트릭스가 활용될 수 있다. 여기서, 상관관계 매트릭스는 고유 명사를 2차원 좌표에서의 점 및 연결선으로 표현하는 것을 말한다. 이때, 고유 명사들의 위치 및 연결선은 고유 명사들 사이의 관계에 따라 설정될 수 있다. 예를 들어, ‘한국’과 ‘서울’ 사이의 관계(동의 또는 반의, 상위 개념 또는 하위 개념 등)는 ‘일본’및 ‘도쿄’사이의 관계와 동일하므로, ‘한국’ 및 ‘서울’ 사이의 점의 위치 및 연결선은 ‘일본’ 및 ‘도쿄’ 사이의 점들의 위치 및 연결선와 동일한 방향을 가지게 된다. 상관관계 매트릭스를 활용하는 것은 로그에 포함된 실수 값 뿐만 아니라 로그에 포함된 단어를 분석하는데 단어의 의미까지 고려될 수 있다. 상관관계 매트릭스를 활용하는 것은 단어를 단순히 구분하는데 그치지 않고 단어의 의미까지 구분하도록 설계된다.
다른 실시예에서, 사용자 클러스터링부(122)는 k-means 알고리즘을 이용하여 군집화할 수 있다. 사용자 클러스터링부(122)는 수집된 플레이 로그를 n개 만큼 분할한 그룹으로 나눌 수 있다. 생성된 k개의 그룹 내 데이터 오브젝트 끼리의 유사도는 기 설정된 제1 값 이상으로 증가하고, 다른 그룹 과의 데이터 오브젝트와의 유사도는 상기 제2 값 이하로 감소하게 된다. 예를 들어, 사용자 클러스터링부(122)는 군집화된 그룹들 중에서, 포함된 로그들의 수가 적은 클러스터를 의심 유저 클러스터로 분류할 수 있다. 의심 유저 클러스터로 분류된 그룹에 포함된 로그들의 특징이 의심 유저군 또는 이상 유저군을 결정하는 기준이 될 수 있다. 예를 들어, 제1 행위, 제1 결과를 가지는 플레이 로그들을 제1 그룹으로 분류하고, 제2 행위, 제2 결과를 가지는 플레이 로그들을 제2 그룹으로 분류한 경우, 제1 그룹 및 제2 그룹에 속하는 플레이 로그들 사이는 비유사로 평가 된다.
다른 실시예에서, 사용자 클러스터링부(122)는 군집화된 그룹 중에서, 소정의 의심 기준을 만족하는 로그들을 의심 유저 클러스터로 분류할 수 있다. 의심 기준은 발생 빈도가 기 설정된 임계 값 이하인지 여부, 기 설정된 이상 행위 조건에 부합하는지 여부, 매우 많은 횟수 예를 들어 10,000회 이상 발생된 것인지 여부 중 적어도 하나 일 수 있다. 여기서, 의심 기준은 관리자에 의해 설정되며, 변경될 수도 있다. 사용자 클러스터링부(122)는 군집화된 그룹 중에서, 기 설정된 최소 임계 값 이하로 발생되는, 즉 최소 임계 값 이하의 로그들을 포함하는 클러스터를 의심 유저 클러스터로 선별할 수 있다. 사용자 클러스터링부(122)는 의심 유저 클러스터에 포함된 플레이 로그들을 발생 시킨 제2 클라이언트 단말을 의심 유저군으로 결정한다. 사용자 클러스터링부(122)는 데이터베이스(140)의 일반 유저군에서 제2 클라이언트 단말과 연관된 사용자 정보를 제거하는 명령어를 생성하고, 데이터베이스(140)의 의심 유저군에 제2 클라이언트 단말과 연관된 사용자 정보를 추가하는 명령어를 생성함으로써, 데이터베이스(140)의 저장 내용을 갱신한다. 사용자 클러스터링부(122)는 데이터베이스를 업데이트하는 명령어들을 데이터베이스(140)로 전달하여 처리한다.
감시 모드 서버 장치(130)는 게임 어플리케이션에 의해 생성된 데이터 패킷을 처리하는 기능을 수행한다. 감시 모드 서버 장치(130)는 라우팅 모듈에 의해 전달된 데이터 패킷을 처리하는 기능을 수행한다. 특히, 감시 모드 서버 장치(130)는 라우팅 모듈에 의해 생성된 경로에 따라 데이터베이스(140)의 의심 유저군에 해당하는 클라이언트 단말로부터의 데이터 패킷을 수신 받는다.
감시 모드 서버 장치(130)는 실시간 시뮬레이터부(131), 이상 유저 분류부(132)를 포함할 수 있다.
실시간 시뮬레이터부(131)는 클라이언트 단말로부터 데이터 패킷을 수신하고, 데이터 패킷을 실시간으로 모니터링한다. 의심 유저군에 속하는 클라이언트 단말은 감시 모드 서버 장치(130)의 제어에 의해 게임 어플리케이션 내의 행위에 따른 데이터 패킷을 실시간으로 전송한다.
본 실시예에 따르면, 실시간 시뮬레이터부(131)는 실시간으로 수신되는 데이터 패킷이 이상 행동 기준에 속하는지 여부를 판단하거나, 데이터 패킷에 포함된 결과 데이터의 정당성을 판단할 수 있다. 게임 어플리케이션 내의 행위에 따른 데이터 패킷은 인풋 이벤트, 이에 대한 로직, 클라이언트 단말에 의해 인풋 이벤트가 처리된 결과 데이터를 포함하도록 구성될 수 있다. 여기서, 인풋 이벤트는 사용자에 의해 입력된 사용자 입력과 대응되는 것인데, 어플리케이션의 코드에 따라 처리되어야 하는 로직 또는 함수에 대한 입력 변수의 형태로 변환된 값일 수 있다. 로직은 인풋 이벤트를 입력 받아 처리하도록 구현된 함수, 코드, 프로그램을 말한다. 수신된 데이터 패킷은 인풋 이벤트를 해당 로직에 적용하여 산출된 결과 데이터를 더 포함한다. 실시간 시뮬레이터부(131)는 수신된 데이터 패킷에 포함된 인풋 이벤트 및 로직을 적용하여 결과 데이터를 추론할 수 있다. 실시간 시뮬레이터부(131)는 클라이언트 단말로부터 수신된 데이터 패킷에 포함된 결과 데이터와 상기 추론된 결과 데이터 사이의 일치하는지 여부를 판단함으로써, 데이터 패킷과 대응되는 행위가 이상 행동 기준에 해당하는지 여부를 판단할 수 있다. 예를 들어, 제1 데이터 패킷에 포함된 사용자로부터 수신된 제1 공격 행위의 결과 데이터가 ‘아이템 감소’인데 반해, 실시간 시뮬레이터부(131)에 의해 추론된 결과 데이터는 ‘아이템 획득’인 경우, 제1 데이터 패킷은 이상 행동 기준에 해당한다고 판단할 수 있다. 제2 데이터 패킷에 포함된 제2 공격 행위의 결과 데이터가 ‘레벨 다운’인데 반해, 추론된 결과 데이터는 ‘레벨 업’인 경우, 제2 데이터 패킷은 이상 행동 기준에 해당한다고 판단할 수 있다.
실시간 시뮬레이터부(131)는 이상 행동 기준에 해당하는 데이터 패킷을 감시할 수 있다. 여기서, 이상 행동 기준은 사용자에 의한 행위가 아닌 봇에 의한 행위에 해당하는지 여부를 판단하는 기준을 말한다. 이상 행동 기준은 애플리케이션 내의 행위에 따른 플레이 로그들을 군집화(클러스터링)한 결과를 이용하여 설정될 수 있다. 의심 유저군에 속하는 그룹의 특징이 이상 행동 기준으로 설정할 수 있다. 이상 행동 기준은 일반 모드 서버 장치에 의해 군집화된 로그들을 이용하여 설정될 수 있다. 이상 유저 분류부(132)는 실시간 시뮬레이터부(131)에 의해 이상 행동 기준에 해당하는 데이터 패킷과 관련된 클라이언트 단말 또는 사용자 정보를 이상 유저군으로 분류할 수 있다. 이상 유저 분류부(132)는 이상 행동 기준에 해당하는 데이터 패킷을 임계 횟수 값 이상으로 발생시킨 클라이언트 단말의 사용자 정보를 이상 유저군으로 분류할 수 있다.
이상 행동 기준에 해당하는 데이터 패킷을 임계 횟수 값 이상으로 발생시킨 클라이언트 단말의 사용자 정보는 데이터베이스(140)의 이상 유저군에 추가될 수 있다. 여기서, 임계 횟수 값은 1회로 설정되기도 하지만, 복수 값으로 설정될 수 있다. 이런 경우, 복수 회 이상 행위가 발생되는 클라이언트 단말, 또는 사용자를 이상 유저군으로 분류할 수 있다. 이상 행동 기준에 해당하는 데이터 패킷을 임계 횟수 값 이상으로 발생시킨 클라이언트 단말의 사용자 정보는 일반 유저군 및 의심 유저군에서 제거되며, 이상 유저군으로 포함될 수 있다.
라우팅 모듈(110)은 데이터베이스(140)를 참조하여 이상 유저군에 해당하는 사용자의 계정의 접근, 실행을 중지시킬 수 있다. 즉, 라우팅 모듈(110)은 이상 유저군에 해당하는 클라이언트 단말로부터의 데이터 패킷의 경로를 설정하지 않고, 게임 실행이 불가능한 계정이라는 메시지를 클라이언트 단말로 송부하게 된다.
데이터베이스(140)는 일반 유저군, 의심 유저군 및 이상 유저군에 속하는 사용자 정보를 저장 관리한다. 일반 모드 서버 장치(120)로부터 수신된 명령어를 기초로 일반 유저군 및/또는 의심 유저군의 내용이 갱신된다. 감시 모드 서버 장치(130)로부터 수신된 명령어를 기초로 이상 유저군의 내용이 갱신될 수 있다. 라우팅 모듈(110)은 데이터베이스(140)의 내용을 참조하여 데이터 패킷의 경로를 지정할 수 있다.
이를 통해 본 발명의 실시예들에 따른 서비스 서버(100)는 게임 어플리케이션 내에서의 이루어진 의심 행위와 관련된 클라이언트 단말을 일반 모드 서버 장치와 별도로 실행되는 감시 모드 서버 장치를 통해 처리할 수 있다. 본 발명의 실시예들에 따라서, 별도로 실행되는 감시 모드 서버 장치에 의해 의심 유저군에 속하는 클라이언트 단말의 데이터 패킷은 실시간으로 모니터링될 수 있다. 물리적으로 또는 논리적으로 구별되어 존재하는 감시 모드 서버 장치는 의심 유저군의 행위가 이상 유저군에 해당하는지 여부를 모니터링하고, 모니터링의 결과에 따라 일반 유저군, 의심 유저군, 이상 유저군의 내용이 갱신된다.
도 3 내지 도 5는 본 발명의 실시예에 따른 의심 유저에 의한 데이터 패킷을 모니터링하는 방법의 흐름도이다.
본 발명의 실시예에 따른 의심 유저에 의한 데이터 패킷을 모니터링하는 방법은 라우팅 모듈에 의해 데이터 패킷을 수신하는 단계(S110), 라우팅 모듈에 의해 데이터 패킷의 경로를 설정하고, 설정된 경로에 따라 데이터 패킷을 전달하는 단계(S120), 데이터 패킷의 경로의 목적지가 일반 모드 서버 장치인지 여부를 판단하는 단계(S130), 데이터 패킷이 일반 모드 서버 장치에서 처리하도록 제어하는 단계(S140), 데이터 패킷이 감시 모드 서버 장치에서 처리하도록 제어하는 단계(S150)를 포함할 수 있다.
S110에서는 서비스 서버는 라우팅 모듈에 의해 데이터 패킷을 수신한다.
S120에서는 서비스 서버는 라우팅 모듈에 의해 데이터 패킷의 경로를 설정하고, 설정된 경로에 따라 데이터 패킷을 전달한다. 라우팅 모듈은 데이터베이스에 저장된 일반 유저군, 의심 유저군, 이상 유저군을 고려하여 클라이언트 단말들로부터 수신된 데이터 패킷들의 경로를 지정하고, 지정된 경로로 데이터 패킷을 전달한다. 일반 유저군에 해당하는 클라이언트 단말로부터의 데이터 패킷은 일반 모드 서버 장치로 전달되도록 경로가 설정되고, 의심 유저군에 해당하는 클라이언트 단말로부터의 데이터 패킷은 감시 모드 서버 장치로 전달되도록 경로가 설정된다. 또한, 이상 유저군에 해당하는 클라이언트 단말로부터의 데이터 패킷은 처리되지 않고, 게임 실행이 불가능한 계정이라는 메시지를 클라이언트 단말로 전달한다.
S130에서는 서비스 서버는 데이터 패킷의 경로의 목적지가 일반 모드 서버 장치인지 여부를 판단한다.
S140에서는 서비스 서버는 데이터 패킷의 경로의 목적지가 일반 모드 서버 장치인 경우, 상기 데이터 패킷이 일반 모드 서버 장치에 의해 처리되도록 제어한다.
S150에서는 서비스 서버는 데이터 패킷의 경로의 목적지가 감시 모드 서버 장치인 경우, 상기 데이터 패킷이 감시 모드 서버 장치에 의해 처리되도록 제어한다.
S130의 동작은 도 4 및 도 5에서 상세히 설명하겠다.
도 4에 도시된 바와 같이, S140의 동작 중에서, 일반 모드 서버 장치에 의해 수행되는 방법은 복수의 플레이 로그들을 수집하는 단계(S141), 플레이 로그들을 클러스터링하는 단계(S142), 기 설정된 최소 임계 값 이하로 발생되는 클러스터에 포함된 플레이 로그들과 관련된 사용자 그룹을 의심 유저군으로 분류하는 단계(S143)를 포함할 수 있다.
S141에서는 서비스 서버는 일반 유저군에 속하는 클라이언트 단말로부터 복수의 플레이 로그들을 수신한다.
S142에서는 서비스 서버는 플레이 로그들을 분석하여, 비지도 학습 방법을 이용하여, 유사도가 높은 플레이 로그들을 하나의 클러스터로 생성한다.
S143에서는 서비스 서버는 빈도수 또는 발생 사용자의 수 등을 종합적으로 고려하여, 의심 유저 클러스터로 선별할 수 있다. 서비스 서버는 기 설정된 최소 임계 값 이하의 로그들을 포함하거나, 다소 많은 빈도수를 가지는 클러스터를 의심 유저 클러스터로 선별한다. 의심 유저 클러스터는 일반적인 사용자의 행위가 아닌 봇이나 기계에 의해 발생되는 플레이 로그 및 로그 패턴을 포함하는 개념이다. 통계적으로 볼때, 자주 발생되지 않는 행위 또는 매우 자주 발생되지 않는 행위의 특징을 의심 유저 클러스터로 정하고, 의심 유저 클러스터에 속하는 플레이 로그를 선별한다.
서비스 서버는 의심 유저 클러스터에 포함된 사용자 그룹을 의심 유저군으로 분류한다. 서비스 서버는 의심 유저 클러스터에 따라 일반 유저군 및 의심 유저군을 갱신한다.
도 5에 도시된 바와 같이, S150의 동작 중에서, 감시 모드 서버 장치에 의해 수행되는 방법은 제1 클라이언트 단말로부터 데이터 패킷을 실시간으로 수신하는 단계(S151), 데이터 패킷에 포함된 인풋 이벤트 및 로직을 시뮬레이션하여 추론 결과 데이터를 산출하는 단계(S152), 상기 추론 결과 데이터 및 데이터 패킷에 포함된 결과 데이터가 일치하는지 여부를 판단하는 단계(S153), 만약, 일치하지 않는다면, 제1 클라이언트 단말을 이상 유저군으로 분류하는 단계(S154), 만약 일치한다면, 제1 클라이언트 단말을 일반 유저군으로 분류하는 단계(S155)를 포함할 수 있다.
S151에서는 서비스 서버는 제1 클라이언트 단말로부터 데이터 패킷을 수신하고, 수신한 데이터 패킷을 실시간으로 모니터링한다.
S152에서는 서비스 서버는 데이터 패킷에 포함된 인풋 이벤트 및 로직을 시뮬레이팅하여 추론 결과 데이터를 산출한다. 이때, 서비스 서버는 클라이언트 단말에 설치된 게임 어플리케이션과 동일한 프로그래밍 환경이 구현된 시뮬레이션 코드들을 가상적으로 실행시켜 추론 결과 데이터를 출력한다.
S153에서는 서비스 서버는 추론 결과 데이터 및 수신된 데이터 패킷에 포함된 결과 데이터가 일치하는지 여부를 판단한다.
S154에서는, 추론 결과 데이터 및 결과 데이터가 일치하는 경우, 서비스 서버는 제1 클라이언트 단말을 일반 유저군으로 분류할 수 있다. 제1 클라이언트 단말은 더 이상 의심 유저군에 속하지 않으며, 제1 클라이언트 단말로부터의 데이터 패킷은 일반 모드 서버 장치에 의해 처리된다. 서비스 서버는 일반 유저군 및 의심 유저군의 내용을 업데이트 하게 된다.
S155에서는, 서비스 서버는 추론 결과 데이터 및 결과 데이터가 일치하지 않는 경우, 제1 클라이언트 단말을 의심 유저군에서 이상 유저군으로 이동시켜 관리한다. 서비스 서버는 의심 유저군 및 이상 유저군의 내용을 업데이트하게 된다.
도 6a 및 도 6b는 클라이언트 단말로부터의 데이터 패킷을 처리하는 과정을 설명하기 위한 도면이다. 본 발명의 실시예들에 따른 서비스 서버는 동일한 어플리케이션을 통해 생성된 데이터 패킷이라도, 다른 경로, 다른 장치를 통해 처리할 수 있다.
도 6a에서는 일반 유저군에 속하는 클라이언트 단말(201)의 패킷을 처리하기 하는 과정에 대한 도면이다. 서비스 서버는 클라이언트 단말(201)로부터 수신한 데이터 패킷을 클라이언트 단말이 해당하는 유저군을 기초로 일반 모드 서버 장치(120)로 전달시켜 처리하도록 제어한다.
도 6b에서는 의심 유저군에 속하는 클라이언트 단말(201)의 패킷을 처리하는 과정에 대한 도면이다. 서비스 서버는 클라이언트 단말(201)로부터 수신한 데이터 패킷을 라우팅 모듈(110)에 의해 지정된 경로에 따라 감시 모드 서버 장치(120)로 전달시킨다. 의심 유저군에 속하는 클라이언트 단말(201)은 어플리케이션 내의 실행 및 실행 결과를 포함하는 데이터 패킷을 실시간으로 또는 기 설정된 시간 간격 마다 서비스 서버로 전달하게 된다. 이때, 데이터 패킷은 시간 값, 인풋 이벤트, 로직, 결과 데이터를 포함하는 형태를 가진다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
100: 서비스 서버 110: 라우팅 모듈
120: 일반 모드 서버 장치 130: 감시 모드 서버 장치
140: 데이터베이스

Claims (12)

  1. 클라이언트 단말로부터 수신된 데이터 패킷의 경로를 지정하고, 지정된 경로에 따라 데이터 패킷을 전달하는 라우팅 모듈;
    하나 이상의 클라이언트 단말로부터 플레이 로그들을 수신하고, 상기 수신한 플레이 로그들을 클러스터링 하고, 클러스터링한 결과를 기초로 플레이 로그들을 분류하고, 소정의 의심 기준을 만족하는 로그들을 의심 유저 클러스터로 선별하고, 상기 의심 유저 클러스터와 관련된 사용자 정보를 의심 유저군으로 분류하는 일반 모드 서버 장치;를 포함하는 서비스 서버.
  2. 제1항에 있어서,
    상기 라우팅 모듈은
    의심 유저군에 속하는 제1 클라이언트 단말로부터 수신된 데이터 패킷의 경로를 상기 일반 모드 서버 장치가 아닌 감시 모드 서버 장치로 설정하고,
    상기 감시 모드 서버 장치는
    상기 제1 클라이언트 단말로부터 송수신되는 데이터 패킷을 실시간으로 모니터링하고, 상기 데이터 패킷을 모니터링한 결과, 제1 클라이언트에 의한 행위가 이상 행동 기준에 해당하는지 여부를 판단하는 점을 특지응로 하는 서비스 서버.
  3. 제2항에 있어서,
    상기 감시 모드 서버 장치는
    판단 결과, 상기 제1 클라이언트 단말이 이상 유저군에 해당하지 않는 경우, 상기 제1 클라이언트 단말을 다시 일반 유저군으로 분류하고, 상기 제1 클라이언트 단말을 의심 유저군에서 제거하도록 갱신하는 점을 특징으로 하는, 서비스 서버.
  4. 제1항에 있어서,
    상기 라우팅 모듈은
    저장된 의심 유저군의 사용자 데이터를 참조하여, 데이터 패킷의 경로를 결정하는 점을 특징으로 하는, 게임 서버.
  5. 제2항에 있어서,
    상기 감시 모드 서버 장치는
    상기 제1 클라이언트 단말로부터 수신된 데이터 패킷에 포함된 인풋 이벤트 및 로직을 기초로 결과 데이터를 추론하고, 상기 결과 데이터 및 상기 데이터 패킷에 포함된 결과 데이터를 비교하여 상기 제1 클라이언트 단말이 이상 유저군에 해당하는지 여부를 판단하는 점을 특징으로 하는, 서비스 서버.
  6. 제1항에 있어서,
    상기 라우팅 모듈은
    상기 클라이언트 단말이 이상 유저군에 속하는 경우, 수신된 데이터 패킷을 바로 차단하도록 제어하는 점을 특징으로 하는, 서비스 서버.
  7. 서비스 서버는 클라이언트 단말로부터 데이터 패킷을 수신하는 단계;
    상기 서비스 서버는 데이터베이스에 일반 유저군, 의심 유저군, 이상 유저군을 고려하여, 클라이언트가 속하는 그룹을 결정하는 단계;
    상기 클라이언트가 속하는 그룹이 일반 유저군 또는 의심 유저군인지 여부를 판단하는 단계;
    판단 결과, 일반 유저군에 속하는 경우, 상기 데이터 패킷을 일반 모드 서버 장치로 전달하여 처리하는 단계;
    판단 결과, 의심 유저군에 속하는 경우, 상기 데이터 패킷을 감시 모드 서버 장치로 전달하여 처리하는 단계;
    판단 결과, 일반 유저군 및 의심 유저군에 모두 속하지 않는 경우, 상기 데이터 패킷을 처리하지 않고, 차단하는 단계;를 포함하는, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법.
  8. 제7항에 있어서,
    상기 일반 모드 서버 장치로 전달하여 처리하는 단계는
    하나 이상의 클라이언트 단말로부터 플레이 로그들을 수신하는 단계;
    상기 플레이 로그들을 클러스터링 하는 단계; 및
    소정의 의심 기준을 만족하는 로그들을 의심 유저 클러스터로 선별하고, 상기 의심 유저 클러스터와 관련된 사용자 정보를 의심 유저군으로 분류하는 단계;를 포함하는, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법.
  9. 제7항에 있어서,
    상기 감시 모드 서버 장치로 전달하여 처리하는 단계는
    제1 클라이언트 단말로부터 데이터 패킷을 수신하는 단계;
    상기 데이터 패킷에 포함된 인풋 이벤트 및 로직을 기초로 결과 데이터를 추론하는 단계;
    추론된 상기 결과 데이터 및 상기 데이터 패킷에 포함된 결과 데이터를 비교하여 상기 제1 클라이언트 단말이 이상 유저군인지 여부를 판단하는 단계;를 포함하는, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법.
  10. 제9항에 있어서,
    상기 결과 데이터를 추론하는 단계 이후에,
    상기 추론된 결과 데이터 및 상기 데이터 패킷에 포함된 결과 데이터가 일치하지 않는 경우, 제1 클라이언트의 사용자 정보를 의심 유저군에서 이상 유저군으로 이동시켜 관리하고, 상기 데이터베이스에 저장된 이상 유저군에 대한 정보를 업데이트하는 단계;를 포함하는, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법.
  11. 제9항에 있어서,
    상기 결과 데이터를 추론하는 단계 이후에,
    상기 추론된 결과 데이터 및 상기 데이터 패킷에 포함된 결과 데이터가 일치한 경우, 상기 제1 클라이언트 단말의 사용자 정보를 의심 유저군에서 일반 유저군으로 이동시켜 관리하고, 의심 유저군에 대한 정보를 업데이트하는 단계;를 포함하는, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법.
  12. 컴퓨터를 이용하여 제7항의 방법을 실행시키기 위하여 컴퓨터 판독 가능한 저장 매체에 저장된 컴퓨터 프로그램.
KR1020170136034A 2017-10-19 2017-10-19 서비스 서버, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법 및 그 방법을 실행시키기 위한 컴퓨터 프로그램 KR20190043923A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170136034A KR20190043923A (ko) 2017-10-19 2017-10-19 서비스 서버, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법 및 그 방법을 실행시키기 위한 컴퓨터 프로그램
JP2018196243A JP7178863B2 (ja) 2017-10-19 2018-10-17 サービスサーバ、データパケットをモニタリングする方法、およびその方法を実行させるためのコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170136034A KR20190043923A (ko) 2017-10-19 2017-10-19 서비스 서버, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법 및 그 방법을 실행시키기 위한 컴퓨터 프로그램

Publications (1)

Publication Number Publication Date
KR20190043923A true KR20190043923A (ko) 2019-04-29

Family

ID=66282440

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170136034A KR20190043923A (ko) 2017-10-19 2017-10-19 서비스 서버, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법 및 그 방법을 실행시키기 위한 컴퓨터 프로그램

Country Status (2)

Country Link
JP (1) JP7178863B2 (ko)
KR (1) KR20190043923A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102088378B1 (ko) * 2019-05-21 2020-04-22 주식회사 제이슨 인공지능형 통합 it관제 방법 및 시스템
KR20200134143A (ko) * 2020-03-06 2020-12-01 주식회사 제이슨 인공지능형 통합 it관제 방법 및 시스템

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3618245B2 (ja) * 1999-03-09 2005-02-09 株式会社日立製作所 ネットワーク監視システム
JP3687782B2 (ja) * 2000-09-29 2005-08-24 Kddi株式会社 不正侵入防止システム
KR101356584B1 (ko) * 2012-01-11 2014-02-04 (주)네오위즈게임즈 게임 내 부정 사용자를 감시하는 방법, 서버 및 시스템
US9462013B1 (en) * 2015-04-29 2016-10-04 International Business Machines Corporation Managing security breaches in a networked computing environment

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102088378B1 (ko) * 2019-05-21 2020-04-22 주식회사 제이슨 인공지능형 통합 it관제 방법 및 시스템
KR20200134143A (ko) * 2020-03-06 2020-12-01 주식회사 제이슨 인공지능형 통합 it관제 방법 및 시스템

Also Published As

Publication number Publication date
JP2019079517A (ja) 2019-05-23
JP7178863B2 (ja) 2022-11-28

Similar Documents

Publication Publication Date Title
US11929900B2 (en) Network anomaly detection
US10193772B1 (en) User behavior analyzer
US20080305869A1 (en) Prevention of cheating in on-line interaction
CN111859400A (zh) 风险评估方法、装置、计算机系统和介质
CN112800116B (zh) 一种业务数据的异常检测方法及装置
US20140372347A1 (en) Methods and systems for identifying action for responding to anomaly in cloud computing system
CN109818961B (zh) 一种网络入侵检测方法、装置和设备
Madbouly et al. Relevant feature selection model using data mining for intrusion detection system
US20190260797A1 (en) Method and system for verifying validity of detection result
Lee et al. In-game action sequence analysis for game bot detection on the big data analysis platform
CN108600270A (zh) 一种基于网络日志的异常用户检测方法及系统
CN114556302A (zh) 异常检测的动态配置
Bui et al. A fault detection and diagnosis approach for multi-tier application in cloud computing
Choi et al. Detecting and monitoring game bots based on large-scale user-behavior log data analysis in multiplayer online games
Mukhin et al. Method for efficiency increasing of distributed classification of the images based on the proactive parallel computing approach
KR20190043923A (ko) 서비스 서버, 의심 유저에 의한 데이터 패킷을 모니터링하는 방법 및 그 방법을 실행시키기 위한 컴퓨터 프로그램
Shojafar et al. Automatic clustering of attacks in intrusion detection systems
Eldos et al. On the KDD'99 Dataset: Statistical Analysis for Feature Selection
CN113282920B (zh) 日志异常检测方法、装置、计算机设备和存储介质
Khanchi et al. Streaming Botnet traffic analysis using bio-inspired active learning
CN113746780A (zh) 基于主机画像的异常主机检测方法、装置、介质和设备
CN110197066B (zh) 一种云计算环境下的虚拟机监控方法及监控系统
Souiden et al. Data stream mining based-outlier prediction for cloud computing
CN113032774A (zh) 异常检测模型的训练方法、装置、设备及计算机存储介质
CN114500101B (zh) 一种基于云计算的云游戏漏洞分析方法及服务器

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application