KR20190068856A - 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체 - Google Patents

확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체 Download PDF

Info

Publication number
KR20190068856A
KR20190068856A KR1020170169059A KR20170169059A KR20190068856A KR 20190068856 A KR20190068856 A KR 20190068856A KR 1020170169059 A KR1020170169059 A KR 1020170169059A KR 20170169059 A KR20170169059 A KR 20170169059A KR 20190068856 A KR20190068856 A KR 20190068856A
Authority
KR
South Korea
Prior art keywords
information
abnormal
page
normalization
usage amount
Prior art date
Application number
KR1020170169059A
Other languages
English (en)
Inventor
홍주형
김우빈
Original Assignee
주식회사 시큐센
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐센 filed Critical 주식회사 시큐센
Priority to KR1020170169059A priority Critical patent/KR20190068856A/ko
Publication of KR20190068856A publication Critical patent/KR20190068856A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Virology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Operations Research (AREA)
  • Probability & Statistics with Applications (AREA)
  • Health & Medical Sciences (AREA)
  • Algebra (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체에 관한 것으로서, 보다 상세하게는 사용자의 웹 서비스 이용 패턴을 분석하여 상기 웹 서비스 이용 패턴의 분포에 기초하여 정형 및 비정형화된 해킹, 공격 등의 비정상 행위를 탐지하는 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체에 관한 것이다.

Description

확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체{Method, Apparatus and Computer-readable medium for Detecting Abnormal Web Service Use Based on Probability Distribution}
본 발명은 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체에 관한 것으로서, 보다 상세하게는 사용자의 웹 서비스 이용 패턴을 분석하여 상기 웹 서비스 이용 패턴의 분포에 기초하여 정형 및 비정형화된 해킹, 공격 등의 비정상 행위를 탐지하는 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체에 관한 것이다.
최근 네트워크 상에서 송수신되는 데이터의 양이 급증하고 있으며, 문서 등 업무 처리 및 개인 정보 등의 온라인화가 가속되면서, 보안 대상이 되는 중요한 파일이 대량으로 네트워크를 통하여 송수신되고 있다.
이러한 보안 대상 파일의 송수신에 있어서 중요한 요소는, 예를 들어 기업의 중요 정보, 개인 정보 등 내부에서 처리되는 보안 대상 파일이 외부로 유출되는 것을 방지하는 데 있다. 특히 해킹 등의 대상이 되는 개인 정보나 기업 등의 중요 정보가 포함된 파일은, 유출 시 범죄의 대상이 됨에 따라서 필수적으로 유출이 방지되어야 하기 때문이다.
이에 따라서 데이터 보안 기술 분야에 있어서, 내부에서 서비스되는 파일들 중 외부로의 유출이 방지되어야 하는 보안 대상 파일에 대한 유출 방지 기술이 중요한 이슈로 대두되고 있다.
한편, 인터넷 네트워크의 광범위한 보급과 이동통신의 발전에 따라 모바일 기기 및 개인용 단말기는 단순한 통신 및/또는 정보검색의 수단의 의미를 넘어 우리생활에 깊숙이 자리잡게 되었다.
한편, 이와 같은 인터넷 네트워크의 발달에 개인 기기를 업무에 활용하는 사례가 빈번해졌다. 예를 들어 스마트폰, 랩탑, 태블릿 등 개인 소유의 단말기를 통하여 회사 내의 데이터베이스와 애플리케이션 등의 회사내부의 IT 리소스에 접근하여 업무를 처리하는 일이 발생하게 되었고, 이와 같은 업무환경의 변화에 의하여 업무의 신속성, 효율성, 및 생산성이 더욱 향상됨을 기대할 수 있고, 더불어 개인 기기를 활용하기 때문에 별도의 업무 기기 지급을 위한 경제적인 부담도 기업측에서 줄일 수 있는 효과가 발휘할 수 있다.
한편, 이와 같은 스마트워크 환경은 무선 인터넷 환경 구축과 태블릿 PC, 스마트폰 등 스마트 기기의 대중화, 데스크톱 가상화와 클라우드 서비스의 활용 증가, 실시간 커뮤니케이션과 업무 연속성의 중시 등으로 그 환경 형성을 가속화시켰고, 이에 더불어 기업 내부인프라가 폐쇄적 환경에서 개방적 환경으로 전환되고 있다. 따라서, 사내의 네트워크 망이 아니라 외부의 네트워크 망에 의하여도 기업의 네트워크, 데이터 서버 등의 인프라 접근이 허용되고 있는 추세이다.
통상적으로, 기업 내부에서 무선 공유기(AP) 등을 통해서 개인 기기의 기업 인프라 접근이 가능하며, 이동통신망, 공개 와이파이(Wi-Fi), VPN 등을 통해 기업외부로부터 개인 기기를 통하여 기업 인프라에 접근할 수도 있다.
다만, 이와 같은 업무 환경으로의 변화는 업무 연속성과 편의성을 획득한 반면, 이전에는 생각지 못했던 보안 위협 또한 다수 발생할 수 있다. 무엇보다도, 개인 기기들이 외부에서 특정 인증 단계를 거친 후에 기업 내부 인프라에 접근함에 따라 기업 내부 데이터가 유출될 수 있는 위험이 크다. 즉, 개인 기기의 분실이나 도난 등에 의해 기업 내부 데이터의 유출 발생 가능성이 있고, 악성코드에 감염된 개인용 기기의 내부 인트라넷 접속으로 인한 기업의 자산이 위협 받을 수도 있다.
본 발명은 사용자의 웹 서비스 이용 패턴을 분석하여 상기 웹 서비스 이용 패턴의 분포에 기초하여 정형 및 비정형화된 해킹, 공격 등의 비정상 행위를 탐지하는 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체를 제공하는 것을 그 목적으로 한다.
상기와 같은 과제를 해결하기 위하여 본 발명은, 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이 상의 메인 메모리를 포함하는, 비정상이용탐지시스템으로서, 서비스서버로부터 상황정보를 수집하고, 상기 상황정보에 기초하여 사용금액정보를 생성하는 상황정보분석모듈; 및 상기 사용금액정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 비정상탐지모듈; 을 포함하고, 상기 비정상탐지모듈은 상기 사용금액정보를 정규화하여 정규화정보를 생성하는 정규화부; 상기 정규화정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 판별부; 및 상기 정규화정보의 통계데이터를 도출하여 상기 판별부가 비정상이용이 있는지 여부를 판별하는 기준이 되는 판별기준을 생성하는 통계처리부; 를 포함하는, 비정상이용탐지시스템을 제공한다.
본 발명에서는, 상기 통계처리부는, 상기 정규화정보의 사용금액정규화정보에 대한 통계처리를 수행하는 사용금액통계처리부; 및 상기 사용금액정규화정보에 대한 통계데이터에 기초하여 상기 판별기준을 생성하는 정책결정부; 를 포함할 수 있다.
본 발명에서는, 상기 판별기준은 기준사용금액값을 포함하고, 상기 정책결정부는, 상기 사용금액정규화정보의 평균값 및 표준편차값에 기초하여, 상기 사용금액정보와 비교하여 비정상이용을 판별할 수 있는 기준사용금액값의 생성을 수행할 수 있다.
본 발명에서는, 상기 판별부는, 상기 사용금액정규화정보를 상기 기준사용금액과 비교하여 비정상이용이 있는지 여부를 판별하는, 사용금액판별부; 를 포함할 수 있다.
상기와 같은 과제를 해결하기 위하여 본 발명은, 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이 상의 메인 메모리를 포함하는, 비정상이용탐지시스템으로서, 서비스서버로부터 상황정보를 수집하고, 상기 상황정보에 기초하여 사용금액정보 및 접속페이지정보를 생성하는 상황정보분석모듈; 및 상기 사용금액정보 및 상기 접속페이지정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 비정상탐지모듈; 을 포함하고, 상기 비정상탐지모듈은 상기 사용금액정보 및 상기 접속페이지정보를 정규화하여 정규화정보를 생성하는 정규화부; 상기 정규화정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 판별부; 및 상기 정규화정보의 통계데이터를 도출하여 상기 판별부가 비정상이용이 있는지 여부를 판별하는 기준이 되는 판별기준을 생성하는 통계처리부; 를 포함하는, 비정상이용탐지시스템을 제공한다.
본 발명에서는, 상기 통계처리부는, 상기 정규화정보의 사용금액정규화정보에 대한 통계처리를 수행하는 사용금액통계처리부; 상기 정규화정보의 접속페이지정규화정보에 대한 통계처리를 수행하는 접속페이지통계처리부; 및 상기 사용금액정규화정보에 대한 사용금액통계데이터 및 상기 접속페이지정규화정보에 대한 접속페이지통계데이터에 기초하여 상기 판별기준을 생성하는 정책결정부; 를 포함 할 수 있다.
본 발명에서는, 상기 판별기준은 기준사용금액값 및 기준접속페이지값을 포함하고, 상기 정책결정부는, 상기 사용금액통계데이터의 평균값 및 표준편차값에 기초하여, 상기 사용금액정보와 비교하여 비정상이용을 판별할 수 있는 기준사용금액값의 생성; 및 상기 접속페이지통계데이터의 평균값 및 표준편차값에 기초하여, 상기 접속페이지정보와 비교하여 비정상이용을 판별할 수 있는 기준접속페이지값의 생성; 중 어느 하나 이상을 수행할 수 있다.
본 발명에서는, 상기 판별부는, 상기 사용금액정보 중 비정상이용이 있는지 여부를 판별하는 사용금액판별부; 상기 접속페이지정보 중 비정상이용이 있는지 여부를 판별하는 접속페이지판별부; 및 상기 사용금액판별부 및 상기 접속페이지판별부의 비정상이용 판별 결과에 기초하여 비정상이용을 판별하는 복합판별부; 를 포함할 수 있다.
본 발명에서는, 상기 상황정보분석모듈은, 상기 서비스서버로부터 상기 상황정보를 수신하는 상황정보수신부; 상기 상황정보에 기초하여 접속페이지정보를 추출하는 접속페이지정보추출부; 및 상기 상황정보에 기초하여 사용금액정보를 추출하는 사용금액정보추출부; 를 포함할 수 있다.
본 발명에서는, 상기 접속페이지정보는, 상기 서비스서버를 이용중인 사용자단말기가 접속한 페이지의 정보 및 접속시간에 대한 정보를 포함하고, 상기 사용금액정보는, 상기 서비스서버를 이용중인 사용자단말기가 상기 서비스서버를 통해 거래를 수행한 내역 및 거래시간에 대한 정보를 포함하고, 상기 비정상탐지모듈은, 상기 사용자단말기의 접속페이지정보 및 사용금액정보를 포함하는 사용자단말기의 프로파일정보를 저장하는 프로파일저장부; 및 상기 판별기준이 저장되는 정책저장부; 를 더 포함할 수 있다.
본 발명에서는, 상기 정규화부는, 수신한 상기 사용금액정보를 주기에 따라 분류하여, 각 주기 당 거래금액의 합계를 사용금액정규화정보로 생성하고, 수신한 상기 접속페이지정보를 상기 주기에 따라 분류하여, 각 주기 당 방문한 접속페이지 종류의 수를 접속페이지정규화정보로 생성할 수 있다.
본 발명에서는, 상기 기준접속페이지값은 제1기준접속페이지값 및 제2기준접속페이지값을 포함하고, 상기 제1기준접속페이지값은 제2기준접속페이지값보다 작고, 상기 판별기준은, 상기 사용금액정규화정보가 상기 기준사용금액값을 초과하는 경우; 상기 접속페이지정규화정보가 상기 제1기준접속페이지값 미만인 경우; 혹은 상기 접속페이지정규화정보가 상기 제2기준접속페이지값을 초과하는 경우; 비정상이용으로 판별 할 수 있다.
본 발명에서는, 상기 주기는, 기설정된 시간 경과에 따라 반복되는 주기일 수 있다.
본 발명에서는, 상기 주기는, 상기 접속페이지정보에서 사용자단말기의 접속이 시작되는 시간부터 상기 사용자단말기의 접속이 종료되는 시간까지로 정의되는 주기일 수 있다.
상기와 같은 과제를 해결하기 위하여 본 발명은, 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이 상의 메인 메모리를 포함하는 컴퓨팅장치에서 수행되는, 비정상이용탐지방법으로서, 서비스서버로부터 상황정보를 수집하고, 상기 상황정보에 기초하여 사용금액정보 및 접속페이지정보를 생성하는 상황정보분석단계; 및 상기 사용금액정보 및 상기 접속페이지정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 비정상탐지단계; 를 포함하고, 상기 비정상탐지모듈은 상기 사용금액정보 및 상기 접속페이지정보를 정규화하여 정규화정보를 생성하는 정규화단계; 상기 정규화정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 판별단계; 및 상기 정규화정보의 통계데이터를 도출하여 상기 판별단계에서 비정상이용이 있는지 여부를 판별하는 기준이 되는 판별기준을 생성하는 통계처리단계; 를 포함하는, 비정상이용탐지방법을 제공한다.
상기와 같은 과제를 해결하기 위하여 본 발명은, 비정상이용탐지방법을 구현하기 위한, 컴퓨터-판독가능 매체로서, 상기 컴퓨터-판독가능 매체는, 1 이상의 프로세서 및 1 이상의 메모리를 포함하는 컴퓨팅 장치로 하여금 이하의 단계들을 수행하도록 하는 명령들을 저장하며, 상기 단계들은: 서비스서버로부터 상황정보를 수집하고, 상기 상황정보에 기초하여 사용금액정보 및 접속페이지정보를 생성하는 상황정보분석단계; 및 상기 사용금액정보 및 상기 접속페이지정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 비정상탐지단계; 를 포함하고, 상기 비정상탐지모듈은 상기 사용금액정보 및 상기 접속페이지정보를 정규화하여 정규화정보를 생성하는 정규화단계; 상기 정규화정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 판별단계; 및 상기 정규화정보의 통계데이터를 도출하여 상기 판별단계에서 비정상이용이 있는지 여부를 판별하는 기준이 되는 판별기준을 생성하는 통계처리단계; 를 포함하는, 컴퓨터-판독가능매체를 제공한다.
본 발명의 일 실시예에 따른 비정상이용탐지시스템은 사용자의 비정상이용에 대하여 이전의 이용정보에 기초하여 검출할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 사용자의 단순 이용정보만을 이용하는 것이 아니라 사용자의 이용패턴을 분석하여 비정상이용 혹은 위협을 탐지할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 사용자 별 과거 프로파일 데이터를 이용함에 따라 사용자 별로 비정상이용 혹은 위협을 탐지할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면 사용자의 이용정보를 통계적으로 분석하여 비정상이용을 판별하는 판별기준을 변화시킬 수 있는 효과를 발휘할 수 있다.
도 1은 본 발명의 일 실시예에 따른 비정상이용탐지시스템의 전체적인 동작을 개략적으로 도시하는 블록도이다.
도 2는 본 발명의 일 실시예에 따른 비정상이용탐지시스템에서의 상황정보를 수집하는 단계를 개략적으로 도시하는 순서도이다.
도 3은 본 발명의 일 실시예에 따른 상황정보분석모듈을 개략적으로 도시하는 블록도이다.
도 4는 본 발명의 일 실시예에 따른 비정상탐지모듈의 내부 구조를 개략적으로 도시하는 블록도이다.
도 5는 본 발명의 일 실시예에 따른 접속페이지정보를 정규화하는 일 실시예를 개략적으로 도시하는 도면이다.
도 6은 본 발명의 일 실시예에 따른 사용금액정보를 정규화하는 일 실시예를 개략적으로 도시하는 도면이다.
도 7은 본 발명의 일 실시예에 따른 통계처리부의 내부 구조를 개략적으로 도시하는 블록도이다.
도 8은 본 발명의 일 실시예에 따른 통계처리부의 통계처리의 일 실시예를 개략적으로 도시하는 그래프이다.
도 9는 본 발명의 일 실시예에 따른 통계처리부의 통계처리의 일 실시예를 개략적으로 도시하는 그래프이다.
도 10은 본 발명의 일 실시예에 따른 비정상이용을 판별하는 단계를 개략적으로 도시하는 순서도이다.
도 11은 본 발명의 일 실시예에 따른 판별부의 동작을 개략적으로 도시하는 도면이다.
도 12는 본 발명의 일 실시예에 따른 통계처리부의 동작을 개략적으로 도시하는 도면이다.
도 13은 본 발명의 일 실시예에 있어서, 컴퓨팅 장치의 내부 구성의 일 예를 설명하기 위한 블록도이다.
이하에서는, 다양한 실시예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.
또한, 다양한 양상들 및 특징들이 다수의 디바이스들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있는 시스템에 의하여 제시될 것이다. 다양한 시스템들이, 추가적인 장치들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있다는 점 그리고/또는 도면들과 관련하여 논의된 장치들, 컴포넌트들, 모듈들 등 전부를 포함하지 않을 수도 있다는 점 또한 이해되고 인식되어야 한다.
본 명세서에서 사용되는 "실시예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다. 아래에서 사용되는 용어들 '~부', '컴포넌트', '모듈', '시스템', '인터페이스' 등은 일반적으로 컴퓨터 관련 엔티티(computer-related entity)를 의미하며, 예를 들어, 하드웨어, 하드웨어와 소프트웨어의 조합, 소프트웨어를 의미할 수 있다.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 발명의 실시예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1은 본 발명의 일 실시예에 따른 비정상이용탐지시스템(1000)의 전체적인 동작을 개략적으로 도시하는 블록도이다.
본 발명의 일 실시예에서는 사용자단말기(A)가 유무선 등의 네트워크 망을 통하여 서비스서버(B)에 접속한다. 이와 같은 서비스서버(B)는 사내그룹웨어 업무, 정보확인, 금융, 가상 데스크톱 등의 서비스를 제공하는 서버에 해당한다.
한편, 상기 서비스서버는 전술한 서비스를 제공하는 서비스모듈 및 상기 서비스모듈에서의 서비스를 제공하는 동안, 즉 사용자단말기와 데이터를 송수신하는 동안 발생하는 상황정보를 수집하는 상황정보수집모듈을 포함한다.
바람직하게는, 상기 상황정보수집모듈은 상기 사용자단말기와 상기 서비스서버 간의 네트워크 트래픽을 미러링 하여 이를 그대로 상기 비정상이용탐지시스템(1000)에 전송한다. 이와 같은 구성에서는 상기 서비스서버의 부하를 최소화하고, 상기 상황정보수집모듈은 네트워크 트래픽에 대한 고부하를 요하는 연산처리를 하지 않고, 트래픽을 주기 혹은 비주기적으로 상기 비정상이용탐지시스템(1000)에 전송할 수 있다.
한편, 상기 비정상이용탐지시스템(1000)은 서비스서버(B)로부터 상황정보를 수집하고, 상황정보에 기초하여 접속페이지정보를 생성하는 상황정보분석모듈(1100) 및 상기 접속페이지정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 비정상탐지모듈(1200)을 포함한다.
상기 상황정보분석모듈(1100)은 상기 상황정보수집모듈로부터 수신한 상황정보를 분석한다.
상기 상황정보는 사용자단말기(A)가 상기 서비스서버(B)에 접속하여 인증을 수행한 접속 상황정보 및 인증 후 서비스를 이용한 이용정보를 포함할 수 있다. 이에 상기 상황정보분석모듈(1100)은 상기 상황정보를 상기 상황정보수집모듈(B2)로부터 수신하여 상기 접속 상황정보에 기초하여 이용정보를 분류하고, 상기 이용정보로부터 사용자단말기(A)가 접속한 접속페이지정보 및 상기 사용자단말기(A)가 서비스서버(B)를 통하여 금전거래를 수행하거나, 온라인결제를 수행한 내역을 통해 사용금액정보를 생성할 수 있다.
상기 비정상탐지모듈(1200)은 상기 접속페이지정보로부터 비정상이용이 있는지 여부를 탐지한다. 상기 비정상탐지모듈(1200)은 비정상이용이 있다고 탐지하는 경우, 상기 서비스서버에 비정상이용을 통보한다. 혹은 상기 서비스서버에 대해 제어 신호를 송신할 수도 있다.
또한, 상기 비정상탐지모듈(1200)은 상기 접속페이지정보로부터 일정 주기 이후에 비정상이용이 없다고 판단한다면, 현재 로그인 이후의 접속페이지정보에 기초하여 해당 사용자의 프로파일데이터의 업데이트를 수행할 수도 있다.
한편, 상기 비정상이용탐지시스템(1000)은 관제서버(2000)에 연결이 되어 있다. 따라서, 상기 관제서버(2000)의 세팅에 따라서, 상기 비정상이용탐지시스템(1000)에서의 비정상이용 판단 기준, 비정상이용 판단 시점, 및 비정상이용탐지 과정에서의 정규화정보 생성과 관련된 정보가 변동될 수 있다.
여기서 사용자단말기는 스마트 폰(smart phone), 태블릿(tablet) 개인용 컴퓨터(personal computer: PC, 이하 'PC'라 칭하기로 한다), 이동 전화기, 화상 전화기, 전자책 리더(e-book reader), 데스크 탑(desktop) PC, 랩탑(laptop) PC, 넷북(netbook) PC, 개인용 복합 단말기(personal digital assistant: PDA, 이하 'PDA'라 칭하기로 한다), 휴대용 멀티미디어 플레이어(portable multimedia player: PMP, 이하 'PMP'라 칭하기로 한다), 엠피3 플레이어(mp3 player), 이동 의료 디바이스, 카메라, 웨어러블 디바이스(wearable device)(일 예로, 헤드-마운티드 디바이스(head-mounted device: HMD, 일 예로 'HMD'라 칭하기로 한다), 전자 의류, 전자 팔찌, 전자 목걸이, 전자 앱세서리(appcessory), 전자 문신, 혹은 스마트 워치(smart watch) 등이 해당될 수 있다.
도 2는 본 발명의 일 실시예에 따른 비정상이용탐지시스템(1000)에서의 상황정보를 수집하는 단계를 개략적으로 도시하는 순서도이다.
본 발명의 일 실시예에서는 상황정보의 카테고리는 접속 상황정보 및 이용정보를 포함한다.
여기서 접속 상황정보는 사용자의 접속, 로그인, 인증, 로그아웃과 관련된 상황정보를 지칭하고, 예를 들어 접속IP, 접속 네트워크, 사용자 ID, 사용자 PIN, 사용자 PW, 초기세션 ID, 추가세션 ID, 인증결과, 인증요청시각, 인증소요시간, 자동로그인 여부, 접속시각, 접속위도, 접속경도, 접속 Browser, 모바일 OS, 모바일 제조사, 모바일 모델, 추가인증여부, 추가인증시간, 추가인증결과, 목적지IP, 출발지 Port, 로그아웃 횟수, 최초 기기 UUID, 접속 시 기기 UUID, 접속 점유시간대, 로그인 실패횟수, 마지막 로그아웃 시간, 로그아웃 시 위도, 및 로그아웃 시 경도 중 1 이상과 관련된 접속 상황정보이다.
한편, 이용정보는 사용자의 서비스 혹은 데이터베이스 이용과 관련된 상황정보를 지칭하고, 예를 들어 서비스요청타입, 서비스요청시간, 서비스요청 URI, 이전 페이지 URI, 서비스 응답타입, 서비스 응답시간, 다운로드 요청 파일이름, 다운로드 요청 파일 형식, 및 다운로드 요청 파일 크기 중 1 이상과 관련된 접속 상황정보이다.
한편, 도 2에 도시된 바와 같이 통상적으로 사용자의 서비스서버로의 이용은 하기와 같은 단계에 의하여 수행이 된다.
(S10) 사용자단말기에서 서비스서버로의 접속단계
(S20) 서비스서버로부터의 인증요구단계
(S30) 사용자 단말기에서의 인증시도단계
(S40) 인증완료단계
(S50) 서비스 이용단계
(S60) 서비스 종료단계
바람직하게는 접속상황정보는 인증완료단계(S40)에서 상기 서비스서버로부터 상기 비정상이용탐지시스템(1000)으로 전송되고, 상기 비정상이용탐지시스템(1000)은 수신한 접속상황정보로부터 현재의 접속이 인가된 사용자의 정상적인 접속이 아니라 위협 혹은 비정상적인 접속인지 여부를 판별하고, 판별한 결과를 상기 서비스서버로 전송한다. 한편, 상기 접속상황정보는 도 2에서는 일 예로 로그인 후 인증이 된 형태만을 도시하였으나, 해당 시스템의 구체적인 상황에 따라서 단순히 로그인을 시도하는 경우, 로그인이 되었으나 인증이 되지 않은 경우, 혹은 로그인도 되고 인증도 된 경우 등을 모두 포함할 수 있다.
한편, 이용상황정보는 이용이 갱신될 때마다(사용자단말기로부터 요청이 있거나 혹은 이와 같은 요청에 따라서 서비스서버에서 상기 사용자단말기 등으로 데이터를 송신하는 경우) 상기 서비스서버로부터 상기 비정상이용탐지시스템(1000)으로 전송되거나, 기설정된 페이지 혹은 시간 주기에 따라서 상기 서비스서버로부터 상기 비정상이용탐지시스템(1000)으로 전송되거나, 혹은 비주기적인 방식으로 상기 서비스서버로부터 상기 비정상이용탐지시스템(1000)으로 전송될 수 있다.
한편, 사용자가 서비스서버에 대하여 접속을 종료하는 경우에, 접속(인증 로그인) 이후에 발생한 이용정보가 취합된 전체이용정보가 생성 혹은 가공될 수도 있다.
한편, 상기 상황정보는 상기 서비스서버(B)의 상황정보수집모듈(B2)에서 생성되거나, 혹은 상기 비정상탐지시스템(1000)의 상황정보분석모듈(1100)에서 상기 상황정보수집모듈(B2)로부터 수신한 네트워크 트래픽에 기초하여 생성할 수도 있다.
도 3은 본 발명의 일 실시예에 따른 상황정보분석모듈(1100)을 개략적으로 도시하는 블록도이다.
도 3에 도시된 바와 같이, 상기 상황정보분석모듈(1100)은 서비스서버의 상황정보수집모듈(B2)로부터 상황정보데이터를 수신한다.
이후, 상황정보분석모듈(1100)은 상기 상황정보데이터에 기초하여, 상기 비정상이용탐지모듈(1200)에서 탐지할 수 있는 접속페이지정보 및 사용금액정보를 생성한다.
구체적으로, 상기 상황정보분석모듈(1100)은 상기 서비스서버로부터 상기 상황정보를 수신하는 상황정보수신부(1110), 상기 상황정보에 기초하여 접속페이지정보를 추출하는 접속페이지정보추출부(1120) 및 상기 상황정보에 기초하여 사용금액정보를 추출하는 사용금액정보추출부(1130)를 포함한다.
상기 상황정보수신부(1110)는 상기 상황정보수집모듈로부터 송신된 상황정보데이터를 수신한다. 바람직하게는, 상기 상황정보데이터는 상기 접속페이지정보추출부(1120)에 의하여 이용될 수 있는 형태이다. 다만, 상기 상황정보데이터가 분절된 패킷형태 혹은 암호화된 형태에 해당하여 이에 대한 가공처리가 필요한 경우, 상기 상황정보수신부(1110)는 수신된 상황정보데이터의 형태에 상응하는 데이터 처리를 수행할 수도 있다.
상기 접속페이지정보추출부(1120)는 상기 상황정보데이터로부터 사용자단말기가 접속한 페이지의 정보를 추출하여 접속페이지정보를 생성한다. 상기 상황정보데이터는 접속상황정보 및 이용정보를 포함할 수 있고, 상기 접속페이지정보추출부(1120)는 상기 접속상황정보로부터 사용자정보를 추출하고, 상기 이용정보로부터 상기 사용자단말기(A)가 상기 서비스서버(B)로 요청한 서비스요청URI 등을 통해 접속페이지의 정보를 추출할 수 있다. 상기 접속페이지정보추출부(1120)는 이와 같은 접속페이지정보를 추출하여 비정상탐지모듈(1200)에서 이용할 수 있는 데이터의 형태로 가공한다.
상기 사용금액정보추출부(1130)는 상기 상황정보데이터로부터 사용자단말기가 온라인 쇼핑, 온라인 송금 등의 금전거래 정보를 추출하여 상기 금전거래에서의 사용금액에 대한 사용금액정보를 생성한다. 상기 상황정보데이터는 접속상황정보 및 이용정보를 포함할 수 있고, 상기 사용금액정보추출부(1120)는 상기 접속상황정보로부터 사용자정보를 추출하고, 상기 이용정보로부터 상기 사용자단말기(A)가 상기 서비스서버(B)를 통해 사용한 사용금액의 정보를 추출할 수 있다. 상기 사용금액정보추출부(1130)는 이와 같은 사용금액정보를 추출하여 비정상탐지모듈(1200)에서 이용할 수 있는 데이터의 형태로 가공한다.
한편, 이와 같이 상기 접속페이지정보추출부(1120)에서 생성된 접속페이지정보 및 상기 사용금액정보추출부(1130)에서 생성된 사용금액정보는 상기 비정상탐지모듈(1200)로 전송되고, 상기 비정상탐지모듈(1200)은 로그인 이후, 혹은 접속상황정보 수신 이후 접속 종료시까지 각각의 사용자(접속IP 및 접속 ID)에 대해 접속페이지정보를 축적한다.
이후, 비정상탐지모듈(1200)은 축적된 접속페이지정보로부터 탐지대상이 되는 데이터를 추출하여(예를 들어, 해당 사용자의 모든 접속페이지정보를 추출하거나, 혹은 최근 로그인 이후의 접속페이지정보를 추출하거나, 혹은 10분 내지 20분 사이의 이용과 관련된 접속페이지정보를 추출), 추출된 접속페이지정보에 대해 탐지를 수행한다.
도 4는 본 발명의 일 실시예에 따른 비정상탐지모듈(1200)의 내부 구조를 개략적으로 도시하는 블록도이다.
도 4에 도시된 바와 같이 본 발명의 일 실시예에 따른 비정상탐지모듈(1200)은 정규화부(1210), 판별부(1230), 프로파일저장부(1240) 정책저장부(1250) 및 통계처리부(1260)를 포함한다.
상기 정규화부(1210)는 상기 사용금액정보 및 상기 접속페이지정보를 정규화하여 정규화정보를 생성한다. 상기 사용금액정보 및 상기 접속페이지정보는 각각 사용금액정규화정보 및 접속페이지정규화정보로 정규화 될 수 있다. 상기 정규화부(1210)는 사용자단말기(A)의 이용정보에서 추출한 접속페이지정보 및 사용금액정보를 기설정된 규칙에 의하여 정규화하여 비정상이용을 쉽고 빠르게 탐지할 수 있도록 한다. 상기 정규화정보에 대해서는 도 5 내지 도 6에서 후술하도록 한다.
상기 판별부(1230)는 상기 정규화정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별한다. 이를 위해 본 발명의 일 실시예에 따른 판별부(1230)는 사용금액판별부(1231), 접속페이지판별부(1232) 및 복합판별부(1233)를 포함할 수 있다.
상기 사용금액판별부(1231)는 상기 사용금액정보 중 비정상이용이 있는지 여부를 판별한다. 상기 사용금액판별부(1231)는 이를 위해 상기 정책저장부(1250)로부터 기저장된 판별기준을 불러올 수 있고, 상기 사용금액정보 혹은 상기 사용금액정규화정보 대하여 상기 판별기준에 따라 판별하여 비정상이용을 탐지할 수 있다. 본 발명의 일 실시예 따르면 상기 판별기준은 기준사용금액값을 포함하고, 상기 사용금액정보 혹은 사용금액정규화정보가 상기 기준사용금액값을 초과하는 경우 비정상이용으로 판별할 수 있다.
상기 접속페이지판별부(1232)는 상기 접속페이지정보 중 비정상이용이 있는지 여부를 판별한다. 상기 접속페이지판별부(1232)는 이를 위해 상기 정책저장부(1250)로부터 기저장된 판별기준을 불러올 수 있고, 상기 상기 접속페이지정보 혹은 상기 접속페이지정규화정보에 대하여 상기 판별기준에 따라 판별하여 비정상이용을 탐지할 수 있다. 본 발명의 일 실시예에 따르면 상기 판별기준은 제1기준접속페이지값 및 제2기준접속페이지값을 포함하고, 상기 제1기준접속페이지값은 상기 제2기준접속페이지값보다 작고, 상기 접속페이지정규화정보는 접속페이지정보를 주기에 따라 분류하여 각 주기당 방문한 접속페이지 종류의 수일 수 있다. 이와 같이 상기 주기 동안 접속한 페이지의 종류가 상기 제1기준접속페이지값 미만 혹은 상기 제2기준접속페이지값 초과인 경우 비정상이용으로 판별할 수 있다.
상기 복합판별부(1233)는 상기 사용금액판별부(1231) 및 상기 접속페이지판별부(1232)의 비정상이용 판별 결과에 기초하여 비정상이용을 판별한다. 본 발명의 일 실시예에서 상기 복합판별부(1233)는 상기 사용금액판별부(1231) 및 상기 접속페이지판별부(1232) 중 어느 하나가 비정상이용으로 판별한 경우 이를 비정상이용으로 판별하거나, 혹은 상기 사용금액판별부(1231) 및 상기 접속페이지판별부(1232) 모두가 비정상이용으로 판별한 경우에만 비정상이용으로 판별하거나 할 수 있고, 바람직하게는 상기 사용금액판별부(1231) 및 상기 접속페이지판별부(1232)는 비정상이용 판별 결과를 비정상점수로 도출할 수 있고, 상기 사용금액판별부(1231)가 도출한 사용금액비정상점수 및 상기 접속페이지판별부(1232)가 도출한 접속페이지비정상점수에 기초하여 비정상이용을 판별할 수도 있다. 예를 들어 상기 사용금액판별부(1231)가 상기 사용금액정규화정보가 상기 기준사용금액값을 초과한 정도에 따라 도출한 사용금액비정상점수 및 상기 접속페이지판별부(1231)가 상기 접속페이지정규화정보가 상기 기준접속페이지값을 초과한 정도에 따라 도출한 접속페이지비정상점수의 합 또는 곱이 기설정된 기준점수 이하인 경우, 이를 비정상이용으로 판별할 수 있다.
상기 프로파일저장부(1240)는 상기 사용자단말기의 접속페이지정보 및 사용금액정보를 포함하는 사용자단말기의 프로파일정보를 저장한다. 상기 프로파일저장부(1240)에는 사용자 별로 프로파일정보가 저장되어 있고, 상기 프로파일저장부(1240)에서의 프로파일정보는 판별부(1230)에 의하여 생성되거나 혹은 업데이트 될 수 있다.
한편, 상기 판별부(1230)가 비정상이용이 있는지 여부를 판별하는 기준이 되는 판별기준을 포함하는 정책은 정책저장부(1250)에 저장된다. 상기 정책저장부(1250)는 상기 판별기준 외에도, 상기 전체노드생성부(1210)의 전체노드데이터의 생성에 필요한 뎁스값, 정규화하기 위한 정규화정책, 과거접속페이지정보와 현재접속페이지정보를 분류하기 위한 분류기준 등이 저장될 수 있다. 상기 정책저장부(1250)에 저장되는 상기 판별기준은 외부의 관제서버(2000) 등으로부터 입력될 수도 있고, 혹은 후술할 통계처리부(1260)로부터 생성되어 저장될 수도 있다.
상기 통계처리부(1260)는 상기 정규화정보의 통계데이터를 도출하여 상기 판별부가 비정상이용이 있는지 여부를 판별하는 기준이 되는 판별기준을 생성한다.
도 5는 본 발명의 일 실시예에 따른 접속페이지정보를 정규화하는 일 실시예를 개략적으로 도시하는 도면이다.
도 5를 참조하면 본 발명의 일 실시예에 따른 사용자단말기가 순차적으로 페이지에 접속을 하는 경우, 상기 정규화부는 이를 정규화할 수 있다.
도 5의 (a)의 실시예에서는, 상기 사용자단말기가 상기 서비스서버에 요청한 접속페이지를 그 순서에 따라 정리하여 정규화한다. 상기 사용자단말기가 처음으로 접속한 접속페이지 1(예를 들어 https://www.sample.com/index.htm)을 A1이라 하고, 이후 순차적으로 접속한 접속페이지 2(예를 들어 https://www.sample.com/about.htm)를 A2, 접속페이지 3(예를 들어 https://www.sample.com/login.htm)을 A3라 한다. 이 후 다시 접속페이지 2(예를 들어 https://www.sample.com/about.htm)로 돌아온 경우, 이는 이미 A2로 설정이 되어 있으므로 A2를 유지하고, 이후에 접속한 접속페이지 4(예를 들어 https://www.demo.com/index.htm)를 A4라 한다. 이 후 다시 접속페이지 1로 돌아온 경우는 다시 A1이 된다.
도 5의 (b)의 실시예에서는, 상기 사용자단말기가 상기 서비스서버에 요청한 접속페이지를 그 접속 도메인 등에 따라 분류하고, 그 순서에 따라 정리하여 정규화한다. 상기 사용자단말기가 처음으로 접속한 접속페이지 1-1(예를 들어 https://www.sample.com/index.htm)을 A1이라 하고, 이 후 접속한 접속페이지 1-2(예를 들어 https://www.sample.com/about.htm)을 A2라 한다. 이 후 접속한 접속페이지 2-1(예를 들어 https://www.demo.com/index.htm)은 앞선 A1 및 A2와 비교하여 접속 도메인이 상이하므로 새로운 카테고리 B를 부여하여 B1이라 한다. 이 후 접속한 접속페이지 1-3(예를 들어 https://www.sample.com/list.htm)은 앞선 정규화정보 A1 및 A2와 도메인이 동일하므로 A3라 한다. 이 후 접속한 접속페이지 1-2는 이전의 접속페이지와 동일하므로 A2가 된다. 이 후 접속한 접속페이지 2-2(예를 들어 https://www.demo.com/help.htm)는 앞서 접속한 접속페이지 2-1과 도메인이 동일하므로 B2라 한다.
이와 같이 본 발명의 일 실시예에 따른 정규화부(1210)는 상기 접속페이지정보에 있어서 그 접속 도메인에 따라 크게 분류를 하고, 해당 도메인 내에서 접속한 페이지의 순서에 따라 정리함으로써 접속페이지정보를 정규화하여 접속페이지정규화정보를 생성할 수 있다.
도 6은 본 발명의 일 실시예에 따른 사용금액정보를 정규화하는 일 실시예를 개략적으로 도시하는 도면이다.
본 발명의 일 실시예에 따른 정규화부(1210)는 수신한 사용금액정보 및 접속페이지정보를 정규화한다. 이 때, 상기 접속페이지정보는 상기 서비스서버를 이용중인 사용자단말기가 접속한 페이지의 정보 및 접속시간에 대한 정보를 포함하고, 상기 사용금액정보는 상기 서비스서버를 이용중인 사용자단말기가 상기 서비스서버를 통해 거래를 수행한 내역, 사용금액 및 거래시간에 대한 정보를 포함할 수 있다. 도 6은 상기 접속페이지정보 및 사용금액정보를 각각의 시간에 대하여 도시한 그래프이다.
도 6을 참조하면 사용자단말기(A)는 접속1을 통해 서비스서버(B)에 접속하여 A1 A2 B1 A2의 페이지에 순차적으로 접속한 후 종료1을 통해 접속을 종료하였다. 또한 상기 A2 및 B1의 접속 사이에 M1의 거래를 수행하여 \10,000의 금액을 사용하였다.
이 후, 사용자단말기(A)는 접속 2를 통해 서비스서버(B)에 접속하여 A1 B1의 페이지에 순차적으로 접속한 후 종료2를 통해 접속을 종료하였다.
이 후, 사용자단말기(A)는 접속 3을 통해 서비스서버(B)에 접속하여 A1 B1 B2의 페이지에 순차적으로 접속한 후 종료3를 통해 접속을 종료하였다. 또한 상기 A1 및 B1의 접속 사이에 M2의 거래를 수행하여 \49,000의 금액을 사용하였다.
이 후, 사용자단말기(A)는 접속 4를 통해 서비스서버(B)에 접속하여 A1 A2 B1 A2 B2 B1 C1 C2 A1 A3 A1의 페이지에 순차적으로 접속한 후 종료4를 통해 접속을 종료하였다. 또한 상기 A1 및 A2의 접속 사이에 M3의 거래를 수행하여 \14,000의 금액을 사용하였고, 상기 A3 및 A1의 접속 사이에 M4의 거래를 수행하여 \7,500의 금액을 사용하였다.
이와 같은 사용금액정보 및 접속페이지정보를 상기 정규화부(1210)는 사용금액정규화정보 및 접속페이지정규화정보로 정규화한다. 본 발명의 일 실시예에 따르면 상기 정규화부(1210)는 수신한 상기 사용금액정보를 주기에 따라 분류하여, 각 주기 당 사용금액의 합계를 사용금액정규화정보로 생성하고, 수신한 상기 접속페이지정보를 상기 주기에 따라 분류하여, 각 주기 당 방문한 접속페이지 종류의 수를 접속페이지정규화정보로 생성할 수 있다.
이 때 본 발명의 일 실시예에서 상기 주기는 기설정된 시간 경과에 따라 반복되는 주기일 수 있다. 도 6의 실시예에서는 t1, t2, t3, t4, t5의 기설정된 시간 주기에 따라 정규화정보를 생성할 수 있다.
이 경우 접속페이지정규화정보는 우선 t1의 주기에서 A1 A2 B1 A2의 페이지에 접속한 정보가 되고, t2의 주기에서는 A1 B1, t3의 주기에서는 A1 B1 B2 A1 A2, t4의 주기에서는 B1 A2 B2 B1 C1 C2 A1, t5의 주기에서는 A3 A1의 페이지에 접속한 정보가 정규화정보로 생성될 수 있다.
이 때 각 접속페이지정규화정보는 각 주기 당 방문한 접속페이지 종류의 수 이므로, t1에서는 A1 A2 B1의 3 종류, t2에서는 A1 B1의 2 종류, t3에서는 A1 A2 B1 B2의 4 종류, t4에서는 A1 A2 B1 B2 C1 C2의 6종류, t5에서는 A1 A3의 2 종류의 정보가 각각 접속페이지정규화정보로 생성될 수 있다.
혹은 본 발명의 다른 실시예에서는 각 주기에서의 접속페이지의 종류를 더 넓게 카테고리화 하여, t1에서는 A B의 2 종류, t2에서도 A B의 2 종류, t3에서도 A B의 2 종류, t4에서는 A B C의 3 종류, t5에서는 A의 1 종류로 분류하여 접속페이지정규화정보로 생성될 수 있다.
또한, 상기 기설정된 시간 주기에 따라 정규화정보를 생성하는 경우, 사용금액정규화정보는 우선 t1의 주기에서 M1의 \10,000, t2의 주기는 \0, t3의 주기는 M2의 \49,000 및 M3의 \14,000을 합산하여 \64,000, t4의 주기는 \0, t5의 주기는 M4의 \7,500이 될 수 있다.
본 발명의 다른 실시예에서 상기 주기는, 상기 접속페이지정보에서 사용자단말기의 접속이 시작되는 시간부터 상기 사용자단말기의 접속이 종료되는 시간까지로 정의되는 주기일 수 있다. 도 6의 실시예에서는 각각 a1 (접속1에서 종료1까지), a2 (접속2에서 종료2까지), a3 (접속3에서 종료3까지) 및 a4 (접속4에서 종료4까지)로 분할되는 주기에 따라 정규화정보를 생성할 수 있다.
이 경우, 접속페이지정보는 우선 a1의 주기에서 A1 A2 B1 A2의 페이지에 접속한 정보가 되고, a2의 주기에서는 A1 B1, a3의 주기에서는 A1 B1 B2, a4의 주기에서는 A1 A2 B1 A2 B2 B1 C1 C2 A1 A3 A1의 페이지에 접속한 정보가 정규화정보로 생성될 수 있다.
이 때 각 접속페이지정규화정보는 각 주기 당 방문한 접속페이지 종류의 수 이므로, a1에서는 A1 A2 B1의 3 종류, a2에서는 A1 B1의 2 종류, a3에서는 A1 B1 B2의 3 종류, a4에서는 A1 A2 A3 B1 B2 C1 C2의 7종류의 정보가 각각 접속페이지정규화정보로 생성될 수 있다.
혹은 본 발명의 다른 실시예에서는 각 주기에서의 접속페이지의 종류를 더 넓게 카테고리화 하여, a1에서는 A B의 2 종류, a2에서도 A B의 2 종류, a3에서도 A B의 2 종류, a4에서는 A B C의 3 종류로 분류하여 접속페이지정규화정보로 생성될 수 있다.
또한, 상기 기설정된 시간 주기에 따라 정규화정보를 생성하는 경우, 사용금액정규화정보는 우선 a1의 주기에서 M1의 \10,000, a2의 주기는 \0, a3의 주기는 M2의 \49,000, a4의 주기는 M3의 \14,000 및 M4의 \7,500을 합산하여 \21,500이 될 수 있다.
이와 같이 각 주기 별로 사용금액정보 및 접속페이지정보를 정규화하여 사용금액정규화정보 및 접속페이지정규화정보를 생성함으로써, 각 주기 별로 비정상이용이 있는지 여부를 판단하고, 상기 주기 별 이용정보를 저장하고 이를 통계처리 함으로써 판별기준이 되는 기준사용금액값 및 기준접속페이지값을 도출하는 효과를 발휘할 수 있게 된다.
도 7은 본 발명의 일 실시예에 따른 통계처리부(1260)의 내부 구조를 개략적으로 도시하는 블록도이다.
본 발명의 일 실시예에 따르면 상기 통계처리부(1260)는 상기 전체노드데이터의 통계데이터를 도출하여 상기 판별부가 비정상이용이 있는지 여부를 판별하는 기준이 되는 판별기준을 생성하기 위하여 사용금액통계처리부(1261), 접속페이지통계처리부(1262) 및 정책결정부(1263)을 포함할 수 있다.
상기 사용금액통계처리부(1261)는 상기 정규화정보의 사용금액정규화정보에 대한 통계처리를 수행한다. 이와 같은 통계처리는 각 사용자 별 사용금액을 분류하여 각 사용자 별로 통계처리를 수행할 수도 있고, 혹은 모든 사용자에 대하여 통계처리를 수행할 수도 있다. 이와 같이 상기 사용금액통계처리부(1261)는 통계처리를 수행한 후 사용금액통계데이터를 생성할 수 있다.
상기 접속페이지통계처리부(1262)는 상기 정규화정보의 접속페이지정규화정보에 대한 통계처리를 수행한다. 이와 같은 통계처리는 각 사용자 별 접속페이지를 분류하여 각 사용자 별로 통계처리를 수행할 수도 있고, 혹은 모든 사용자에 대하여 통계처리를 수행할 수도 있다. 이와 같이 상기 접속페이지통계처리부(1262)는 통계처리를 수행한 후 접속페이지통계데이터를 생성할 수 있다.
상기 정책결정부(1263)는 상기 사용금액정규화정보에 대한 통계데이터 및 상기 접속페이지정규화정보에 대한 통계데이터에 기초하여 판별부의 판별기준을 생성한다. 본 발명의 일 실시예에 따르면 상기 판별기준은 기준사용금액값 및 기준접속페이지값을 포함하고, 상기 정책결정부(1263)는 상기 사용금액통계데이터의 평균값 및 표준편차값에 기초하여, 상기 사용금액정보와 비교하여 비정상이용을 판별할 수 있는 기준사용금액값의 생성 및 상기 접속페이지통계데이터의 평균값 및 표준편차값에 기초하여, 상기 접속페이지정보와 비교하여 비정상이용을 판별할 수 있는 기준접속페이지값의 생성 중 어느 하나 이상을 수행할 수 있다. 바람직하게는 상기 정책결정부(1263)는 상기 기준사용금액값 및 기준접속페이지값을 모두 생성한다.
상기 기준사용금액값은 상기 사용금액정규화정보의 이상 여부를 판별할 수 있도록 하는 값으로서, 본 발명의 일 실시예에서는 상기 사용금액정규화정보의 평균값 및 표준편차값에 대한 함수로 표현될 수도 있다. 예를 들어, 상기 기준사용금액값은 사용금액정규화정보의 평균(μm)에서 서포트값의 표준편차(σm)의 두 배를 더한 μm+2σm 등으로 표현될 수 있다.
상기 기준접속페이지값은 상기 접속페이지정규화정보의 이상 여부를 판별할 수 있도록 하는 값으로서, 본 발명의 일 실시예에서는 상기 접속페이지정규화정보의 평균값 및 표준편차값에 대한 함수로 표현될 수도 있다. 예를 들어 상기 기준접속페이지값은 제1기준접속페이지값 및 제2기준접속페이지값을 포함하고, 상기 제1기기준접속페이지값은 상기 제2기준접속페이지값보다 작고, 상기 제1기준접속페이지값은 접속페이지정규화정보의 평균(μp)에서 상기 이웃노드관련도의 표준편차(σp)의 두 배를 뺀 μr-2σr로, 상기 제2기준접속페이지값은 접속페이지정규화정보의 평균(μp)에서 상기 이웃노드관련도의 표준편차(σp)의 두 배를 더한 μr+2σr 등으로 표현될 수 있다.
도 8은 본 발명의 일 실시예에 따른 통계처리부의 통계처리의 일 실시예를 개략적으로 도시하는 도면이다.
도 8은 본 발명의 일 실시예에 따른 상기 통계처리부(1260)의 사용금액통계처리부(1261) 또는 접속페이지통계처리부(1262)의 통계처리에 따라 도출된 평균(μ) 및 표준편차(σ)에 기초하여 이를 정규분포로 나타낸 것이다. 상기 사용금액통계처리부(1261) 및 상기 접속페이지통계처리부(1262)의 동작의 기본 원리는 동일하므로, 이하에서 설명하는 사용금액통계처리부(1261)의 동작과 동일하게 상기 접속페이지통계처리부(1262) 또한 동작할 수 있다.
도 8의 (a)를 참조하면, 본 발명의 일 실시예에 따른 사용금액통계처리부(1261)가 상기 사용금액정규화정보에 대한 통계처리를 수행한 결과를 확인할 수 있다. 도 8의 실시예에서 상기 사용금액정규화정보를 통계처리 한 결과 평균은 μ이고 표준편차는 σ이다.
이 때 상기 사용금액정규화정보 중 μ+σ보다 높은 사용금액을 나타내는 영역이 회색 음영처리 되어 있다. 이와 같이 음영처리 된 영역은 전체의 상위 15.87% 이내에 포함되는 사용금액이다. 본 발명의 일 실시예에서 상기 통계처리부(1260)의 정책결정부(1263)는 상기 사용금액통계처리부(1261)의 사용금액통계데이터에 기초하여 기준사용금액값을 μ+σ로 결정할 수 있고, 이 경우 상기 전체 사용금액의 상위 15.87%에 해당하는 사용금액이 비정상이용으로 판별될 수 있다. 이 때 상기 사용금액통계처리부(1261)는 통계처리를 수행할 때, 전체 사용자단말기의 사용금액에 대한 통계처리를 수행할 수도 있고, 혹은 개별 사용자단말기의 사용금액에 대해서만 통계처리를 수행하여 평균 및 표준편차를 도출할 수도 있다.
혹은, 도 8의 (b)의 실시예에서와 같이 기준사용금액값을 μ+2σ로 결정할 수도 있다. 이 경우 상기 도10의 (b)에서 회색 음영처리 된 영역이 비정상이용으로 판별될 수 있는데, 이 경우 상기 회색 음영처리 된 영역은 전체의 상위 2.28%에 해당하는 노드들이 된다. 이와 같이 기준사용금액값을 정하는 방법에 따라 비정상이용으로 판별할 사용금액이 바뀌게 되는데, 이와 같이 기준사용금액값을 정하는 기준은 관리자 등에 의해 정책저장부(1250)에 저장될 수 있고, 상기 정책결정부(1263)는 이와 같은 기준을 상기 정책저장부(1250)로부터 불러와 상기 기준사용금액값을 결정할 수 있다.
이와 같이 상기 기준사용금액값 또는 기준접속페이지값을 기설정된 고정된 값이 아닌, 상기 정규화정보를 통계처리 하여 획득한 통계데이터에 기초하여 결정함으로써, 상기 서비스서버의 이용정보가 사용자단말기(A)가 서비스서버(B)를 지속 이용함에 따라 누적되고, 이를 업데이트 함으로써 사용자의 이용정보를 학습하여 이에 적합하도록 변경될 수 있는 장점이 있다.
도 8의 (c)를 참조하면, 시간 t에서의 사용금액정규화정보의 평균 및 표준편차는 각각 μ 및 σ로 나타난다. 이 때, 사용자의 이용이 누적되면서, 상기 사용자단말기에서 더 큰 금액의 거래가 증가하는 경우, 상기 사용금액정규화정보가 점점 증가할 수 있고, 시간이 흐른 뒤 시간 t'에서의 평균 및 표준편차는 각각 μ' 및 σ'로 나타날 수 있다. 이 때 상기 정책결정부(1263)가 상기 기준사용금액값을 μ+σ로 결정하는 경우, 시간 t에서의 기준서포트값은 μ+σ이지만, 시간 t'에서의 기준서포트값은 μ'+σ'가 된다. 이와 같이 사용자의 거래금액이 서서히 증가하는 경우, 기준사용금액값 또한 증가하여, 사용자가 큰 금액을 사용하더라도 이를 비정상이용으로 판별하지 않을 수 있게 된다. 이와 같이 시간이 지나고 사용금액정규화정보가 업데이트 됨에 따라 상기 기준사용금액값 또한 업데이트 되어 판별부(1230)가 비정상이용을 탐지함에 있어 더욱 정확하게 탐지할 수 있는 효과를 발휘할 수 있게 된다.
도 9는 본 발명의 일 실시예에 따른 통계처리부(1260)의 통계처리의 일 실시예를 개략적으로 도시하는 그래프이다
도 9는 본 발명의 일 실시예에 따른 접속페이지통계처리부(1262)의 통계처리의 일 실시예를 개략적으로 도시한다. 상기 도 9의 접속페이지통계처리부(1262) 실시예에서 기준접속페이지값은 도 8의 사용금액통계처리부(1261)의 실시예의 기준사용금액값과는 달리, 제1기준접속페이지값 및 제2기준접속페이지값을 포함할 수 있다. 이 때 상기 제1기준접속페이지값은 상기 제2기준접속페이지값보다 작다.
본 발명의 일 실시예에서 상기 제1기준접속페이지값 및 상기 제2기준접속페이지값은 상기 접속페이지정규화정보의 평균(μ) 및 표준편차(σ)에 대한 함수로 나타날 수 있다. 도 9의 실시예에서는 상기 제1기준접속페이지값은 μ-2σ로 나타낼 수 있고, 상기 제2기준접속페이지값은 μ+2σ로 나타낼 수 있다.
이 때 상기 접속페이지정규화정보 중 상기 제1기준접속페이지값 미만의 접속페이지정규화정보 및 상기 제2기준접속페이지값을 초과하는 접속페이지정규화정보에 해당하는 영역이 음영처리 되어 있다. 이 중 상기 제1기준접속페이지값 미만의 접속페이지정규화정보는 전체 접속페이지정규화정보의 하위 2.28%에 해당하는 값이고, 상기 제2기준접속페이지값을 초과하는 접속페이지정규화정보는 전체 접속페이지정규화정보의 상위 2.28%에 해당하는 값이다. 이와 같이 평균에서 크게 벗어난 접속페이지정규화정보의 경우, 일반적인 사용자단말기의 사용 패턴에서 벗어난 예외적인 상황으로 판단하여, 상기 판별부에서 비정상이용으로 판단할 수 있게 된다.
이와 같이 도 8 및 도 9의 실시예와 같이, 정규화정보를 통계처리 하여, 상기 정규화정보의 평균에서 크게 벗어난 정규화정보의 경우, 비정상적인 이용패턴으로 인식하고, 이를 비정상이용으로 판단하여 상기 서비스서버(B)에서 조치를 취할 수 있도록 하는 효과를 발휘할 수 있다.
도 10은 본 발명의 일 실시예에 따른 비정상이용을 판별하는 단계를 개략적으로 도시하는 순서도이다.
도 10을 참조하면 본 발명의 일 실시예에 따른 비정상이용의 판별단계는 우선 사용금액정규화정보 및 접속페이지정규화정보의 통계처리를 통해, 기준사용금액값 및 기준접속페이지값을 설정한다(S100). 이는 본 발명의 일 실시예에 따른 통계처리부(1260)를 통해 실행될 수 있다.
이 후, 사용금액정보 또는 사용금액정규화정보에 기초하여 비정상이용을 판별한다(S200). 이는 본 발명의 일 실시예에 따른 사용금액판별부(1231)에 의해 수행될 수 있다. 상기 S200단계에서는 사용금액정보 혹은 사용금액정규화정보를 상기 기준사용금액값과 비교함으로써 비정상이용을 판별할 수 있다. 본 발명의 일 실시예에서는 상기 S200 단계에서 비정상이용이 판별된 경우 후술할 S300단계를 수행하고, 비정상이용이 판별되지 않은 경우, 후술할 S300 및 S400단계는 수행하지 않도록 할 수 있다.
이 후. 접속페이지정보 혹은 접속페이지정규화정보에 기초하여 비정상이용을 판별한다(S300). 이는 본 발명의 일 실시예에 따른 접속페이지판별부(1232)에 의해 수행될 수 있다. 상기 S300단계에서는 접속페이지정보 혹은 접속페이지정규화정보를 상기 기준접속페이지값과 비교함으로써 비정상이용을 판별할 수 있다.
이 후, 사용금액정보 혹은 사용금액정규화정보 및 접속페이지정보 혹은 접속페이지정규화정보를 종합적으로 고려하여 최종적으로 비정상이용을 판별한다(S400). 이는 본 발명의 일 실시예에 따른 복합판별부(1233)에 의해 수행될 수 있다. 본 발명의 일 실시예에서는 상기 S200단계 및 상기 S300단계에서 비정상이용을 판별함에 있어서, 상기 비정상이용의 정도에 따라 비정상점수를 도출할 수 있다. 더욱 상세하게는 상기 S200단계에서는 사용금액정보 또는 사용금액정규화정보와 상기 기준사용금액값의 차이에 따라 사용금액비정상점수를 도출할 수 있고, 상기 S300단계에서는 접속페이지정보 또는 접속페이지정규화정보와 상기 기준접속페이지값의 차이에 따라 접속페이지비정상점수를 도출할 수 있다. 상기 S400단계에서는 상기 사용금액비정상점수 및 상기 접속페이지비정상점수를 더하거나, 혹은 곱한 값이 기설정된 비정상기준 이상인 경우 비정상이용이 검출되었다고 판단할 수 있다.
도 11는 본 발명의 일 실시예에 따른 판별부의 동작을 개략적으로 도시하는 도면이다.
도 11의 (a)를 참조하면 기준사용금액값 및 사용금액정보가 판별부(1230)의 사용금액판별부(1231)에 입력되고, 상기 사용금액판별부(1231)는 상기 사용금액정보를 기설정된 판별기준에 따라 판별하여 비정상이용을 검출하고, 이를 데이터화 하여 사용금액비정상데이터를 생성한다. 본 발명의 일 실시예에 따르면 상기 사용금액판별부(1231)는 상기 사용금액정보의 사용금액정규화정보가 상기 판별기준의 기준사용금액값을 초과하는 경우 비정상이용으로 판별할 수 있다.
상기 사용금액비정상데이터는 단순 비정상이용의 검출여부만을 포함할 수도 있고, 혹은 상기 사용금액정규화정보가 상기 기준사용금액값을 초과하는 정도에 따라 이를 점수화하여 도출한 사용금액비정상점수를 포함할 수도 있다. 이와 같은 사용금액비정상데이터는 서비스서버(B)로 통보될 수 있다.
도 11의 (b)를 참조하면 기준접속페이지값 및 접속페이지정보가 판별부(1230)의 접속페이지판별부(1232)에 입력되고, 상기 접속페이지판별부(1232)는 상기 접속페이지정보를 기설정된 판별기준에 따라 판별하여 비정상이용을 검출하고, 이를 데이터화 하여 접속페이지비정상데이터를 생성한다. 본 발명의 일 실시예에 따르면 상기 접속페이지판별부(1232)는 상기 접속페이지정보의 접속페이지정규화정보가 상기 판별기준의 제1기준접속페이지값 미만인 경우 혹은 상기 판별기준의 제2기준접속페이지값을 초과하는 경우 비정상이용으로 판별할 수 있다.
상기 접속페이지비정상데이터는 단순 비정상이용의 검출여부만을 포함할 수도 있고, 혹은 상기 접속페이지정규화정보가 상기 제1기준접속페이지값에 미달인 정도 혹은 상기 제2기준접속페이지값을 초과하는 정도에 따라 이를 점수화하여 도출한 접속페이지비정상점수를 포함할 수도 있다. 이와 같은 접속페이지비정상데이터는 서비스서버(B)로 통보될 수 있다.
도 11의 (c)를 참조하면 상기 사용금액판별부(1231)에서 생성한 사용금액비정상데이터 및 상기 접속페이지판별부(1232)에서 생성한 접속페이지비정상데이터가 상기 판별부(1230)의 복합판별부(1233)에 입력되고, 상기 복합판별부(1231)는 상기 사용금액비정상데이터 및 접속페이지비정상데이터에 기초하여 비정상이용의 검출 여부를 판단하고, 비정상이용이 검출되었다고 판단한 경우 이를 데이터화하여 비정상이용데이터를 생성한다. 본 발명의 일 실시예에서 상기 판별부(1230)는 상기 사용금액비정상데이터의 사용금액비정상점수 및 상기 접속페이지비정상데이터의 접속페이지비정상점수를 더하거나, 혹은 곱한 값이 기설정된 비정상기준 이상인 경우 비정상이용이 검출되었다고 판단할 수 있다. 이와 같이 생성된 비정상이용데이터는 서비스서버(B)로 통보되어 상기 서비스서버(B)가 이에 대한 조치를 취할 수 있도록 한다.
도 12는 본 발명의 일 실시예에 따른 통계처리부(1260)의 동작을 개략적으로 도시하는 도면이다.
도 12의 (a)를 참조하면 사용금액정보추출부(1130)에서 생성된 사용금액정보가 정규화부(1210)에 입력되고, 이에 기초하여 상기 정규화부(1210)가 사용금액정규화정보를 생성한다. 생성된 상기 사용금액정규화정보가 통계처리부(1260)의 사용금액통계처리부(1261)에 입력되고, 이에 기초하여 상기 사용금액통계처리부(1261)가 사용금액통계데이터를 생성한다. 생성된 상기 사용금액통계데이터는 상기 사용금액정규화정보의 평균 및 표준편차에 대한 정보를 포함할 수 있다.
도 12의 (b)를 참조하면 접속페이지정보추출부(1120)에서 생성된 접속페이지정보가 정규화부(1210)에 입력되고, 이에 기초하여 상기 정규화부(1210)가 접속페이지정규화정보를 생성한다. 생성된 상기 접속페이지정규화정보가 통계처리부(1260)의 접속페이지통계처리부(1262)에 입력되고, 이에 기초하여 상기 접속페이지통계처리부(1262)가 접속페이지통계데이터를 생성한다. 생성된 상기 접속페이지통계데이터는 상기 접속페이지정규화정보의 평균 및 표준편차에 대한 정보를 포함할 수 있다.
도 12의 (c)를 참조하면 상기 사용금액통계데이터 및 접속페이지통계데이터가 통계처리부(1260)의 정책결정부(1263)에 입력되고, 이에 기초하여 상기 정책결정부(1263)가 판별기준을 생성한다. 본 발명의 일 실시예에 따르면 상기 판별기준은 상기 사용금액통계데이터의 사용금액정규화정보 평균 및 사용금액정규화정보 표준편차에 기초하여 기준사용금액값을 설정하고, 상기 접속페이지통계데이터의 접속페이지정규화정보 평균 및 접속페이지정규화정보 표준편차에 기초하여 제1기준접속페이지값 및 제2기준접속페이지값을 설정하고, 상기 사용금액정규화정보가 상기 기준사용금액값을 초과하는 경우, 상기 접속페이지정규화정보가 상기 제1기준접속페이지값 미만인 경우 혹은 상기 접속페이지정규화정보가 상기 제2기준접속페이지값을 초과하는 경우 비정상이용으로 판별하도록 할 수 있다. 이와 같이 생성된 상기 판별기준은 정책저장부(1250)에 저장될 수 있고, 판별부(1230)는 상기 정책저장부(1250)에 저장된 상기 판별기준에 의거하여 비정상이용을 판별할 수 있다.
도 13은 본 발명의 일 실시예에 있어서, 컴퓨팅 장치의 내부 구성의 일 예를 설명하기 위한 블록도이다.
상기 비정상이용탐지시스템 전체는 후술하는 컴퓨팅 장치에 의하여 구현이 될 수도 있고, 혹은 후술하는 컴퓨팅 장치의 2 이상이 상기 비정상이용탐지시스템을 구축할 수 있다.
바람직하게는, 상기 상황정보분석모듈과 상기 비정상탐지모듈은 별도의 컴퓨팅 장치에 의하여 구현이 됨이 바람직하다. 한편, 상기 프로파일저장부 및 상기 정책저장부는 상기 비정상탐지모듈의 다른 구성요소와 달리 별도의 컴퓨팅장치로 구성될 수도 있다.
도 13에 도시한 바와 같이, 컴퓨팅 장치(11000)은 적어도 하나의 프로세서(processor)(11100), 메모리(memory)(11200), 주변장치 인터페이스(peripheral interface)(11300), 입/출력 서브시스템(I/O subsystem)(11400), 전력 회로(11500) 및 통신 회로(11600)를 적어도 포함할 수 있다. 이때, 컴퓨팅 장치(11000)는 네트워크를 통해 서비스서버(B)에 연결된 사용자단말기(A) 혹은 전술한 서비스서버(B)에 해당될 수 있다.
메모리(11200)는, 일례로 고속 랜덤 액세스 메모리(high-speed random access memory), 자기 디스크, 에스램(SRAM), 디램(DRAM), 롬(ROM), 플래시 메모리 또는 비휘발성 메모리를 포함할 수 있다. 메모리(11200)는 컴퓨팅 장치(11000)의 동작에 필요한 소프트웨어 모듈, 명령어 집합 또는 그밖에 다양한 데이터를 포함할 수 있다.
이때, 프로세서(11100)나 주변장치 인터페이스(11300) 등의 다른 컴포넌트에서 메모리(11200)에 액세스하는 것은 프로세서(11100)에 의해 제어될 수 있다.
주변장치 인터페이스(11300)는 컴퓨팅 장치(11000)의 입력 및/또는 출력 주변장치를 프로세서(11100) 및 메모리 (11200)에 결합시킬 수 있다. 프로세서(11100)는 메모리(11200)에 저장된 소프트웨어 모듈 또는 명령어 집합을 실행하여 컴퓨팅 장치(11000)을 위한 다양한 기능을 수행하고 데이터를 처리할 수 있다.
입/출력 서브시스템(11400)은 다양한 입/출력 주변장치들을 주변장치 인터페이스(11300)에 결합시킬 수 있다. 예를 들어, 입/출력 서브시스템(11400)은 모니터나 키보드, 마우스, 프린터 또는 필요에 따라 터치스크린이나 센서 등의 주변장치를 주변장치 인터페이스(11300)에 결합시키기 위한 컨트롤러를 포함할 수 있다. 다른 측면에 따르면, 입/출력 주변장치들은 입/출력 서브시스템(11400)을 거치지 않고 주변장치 인터페이스(11300)에 결합될 수도 있다.
전력 회로(11500)는 단말기의 컴포넌트의 전부 또는 일부로 전력을 공급할 수 있다. 예를 들어 전력 회로(11500)는 전력 관리 시스템, 배터리나 교류(AC) 등과 같은 하나 이상의 전원, 충전 시스템, 전력 실패 감지 회로(power failure detection circuit), 전력 변환기나 인버터, 전력 상태 표시자 또는 전력 생성, 관리, 분배를 위한 임의의 다른 컴포넌트들을 포함할 수 있다.
통신 회로(11600)는 적어도 하나의 외부 포트를 이용하여 다른 컴퓨팅 장치와 통신을 가능하게 할 수 있다.
또는 상술한 바와 같이 필요에 따라 통신 회로(11600)는 RF 회로를 포함하여 전자기 신호(electromagnetic signal)라고도 알려진 RF 신호를 송수신함으로써, 다른 컴퓨팅 장치와 통신을 가능하게 할 수도 있다.
이러한 도 13의 실시예는, 컴퓨팅 장치(11000)의 일례일 뿐이고, 컴퓨팅 장치(11000)는 도 13에 도시된 일부 컴포넌트가 생략되거나, 도 13에 도시되지 않은 추가의 컴포넌트를 더 구비하거나, 2개 이상의 컴포넌트를 결합시키는 구성 또는 배치를 가질 수 있다. 예를 들어, 모바일 환경의 통신 단말을 위한 컴퓨팅 장치는 도 13에 도시된 컴포넌트들 외에도, 터치스크린이나 센서 등을 더 포함할 수도 있으며, 통신 회로(1160)에 다양한 통신방식(WiFi, 3G, LTE, Bluetooth, NFC, Zigbee 등)의 RF 통신을 위한 회로가 포함될 수도 있다. 컴퓨팅 장치(11000)에 포함 가능한 컴포넌트들은 하나 이상의 신호 처리 또는 어플리케이션에 특화된 집적 회로를 포함하는 하드웨어, 소프트웨어, 또는 하드웨어 및 소프트웨어 양자의 조합으로 구현될 수 있다.
본 발명의 실시예에 따른 방법들은 다양한 컴퓨팅 장치를 통하여 수행될 수 있는 프로그램 명령(instruction) 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 특히, 본 실시예에 따른 프로그램은 PC 기반의 프로그램 또는 모바일 단말 전용의 어플리케이션으로 구성될 수 있다. 본 발명이 적용되는 애플리케이션은 파일 배포 시스템이 제공하는 파일을 통해 이용자 단말에 설치될 수 있다. 일 예로, 파일 배포 시스템은 이용자 단말이기의 요청에 따라 상기 파일을 전송하는 파일 전송부(미도시)를 포함할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로 (collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨팅 장치 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
본 발명의 일 실시예에 따른 비정상이용탐지시스템은 사용자의 비정상이용에 대하여 이전의 이용정보에 기초하여 검출할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 사용자의 단순 이용정보만을 이용하는 것이 아니라 사용자의 이용패턴을 분석하여 비정상이용 혹은 위협을 탐지할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 사용자 별 과거 프로파일 데이터를 이용함에 따라 사용자 별로 비정상이용 혹은 위협을 탐지할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면 사용자의 이용정보를 통계적으로 분석하여 비정상이용을 판별하는 판별기준을 변화시킬 수 있는 효과를 발휘할 수 있다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (16)

  1. 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이 상의 메인 메모리를 포함하는, 비정상이용탐지시스템으로서,
    서비스서버로부터 상황정보를 수집하고, 상기 상황정보에 기초하여 사용금액정보를 생성하는 상황정보분석모듈; 및
    상기 사용금액정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 비정상탐지모듈; 을 포함하고,
    상기 비정상탐지모듈은 상기 사용금액정보를 정규화하여 정규화정보를 생성하는 정규화부;
    상기 정규화정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 판별부; 및
    상기 정규화정보의 통계데이터를 도출하여 상기 판별부가 비정상이용이 있는지 여부를 판별하는 기준이 되는 판별기준을 생성하는 통계처리부; 를 포함하는, 비정상이용탐지시스템.
  2. 청구항 1에 있어서,
    상기 통계처리부는,
    상기 정규화정보의 사용금액정규화정보에 대한 통계처리를 수행하는 사용금액통계처리부; 및
    상기 사용금액정규화정보에 대한 통계데이터에 기초하여 상기 판별기준을 생성하는 정책결정부; 를 포함하는, 비정상이용탐지시스템.
  3. 청구항 2에 있어서,
    상기 판별기준은 기준사용금액값을 포함하고,
    상기 정책결정부는,
    상기 사용금액정규화정보의 평균값 및 표준편차값에 기초하여, 상기 사용금액정보와 비교하여 비정상이용을 판별할 수 있는 기준사용금액값의 생성을 수행하는, 비정상이용탐지시스템.
  4. 청구항 3에 있어서,
    상기 판별부는,
    상기 사용금액정규화정보를 상기 기준사용금액과 비교하여 비정상이용이 있는지 여부를 판별하는, 사용금액판별부; 를 포함하는, 비정상이용탐지시스템.
  5. 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이 상의 메인 메모리를 포함하는, 비정상이용탐지시스템으로서,
    서비스서버로부터 상황정보를 수집하고, 상기 상황정보에 기초하여 사용금액정보 및 접속페이지정보를 생성하는 상황정보분석모듈; 및
    상기 사용금액정보 및 상기 접속페이지정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 비정상탐지모듈; 을 포함하고,
    상기 비정상탐지모듈은 상기 사용금액정보 및 상기 접속페이지정보를 정규화하여 정규화정보를 생성하는 정규화부;
    상기 정규화정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 판별부; 및
    상기 정규화정보의 통계데이터를 도출하여 상기 판별부가 비정상이용이 있는지 여부를 판별하는 기준이 되는 판별기준을 생성하는 통계처리부; 를 포함하는, 비정상이용탐지시스템.
  6. 청구항 5에 있어서,
    상기 통계처리부는,
    상기 정규화정보의 사용금액정규화정보에 대한 통계처리를 수행하는 사용금액통계처리부;
    상기 정규화정보의 접속페이지정규화정보에 대한 통계처리를 수행하는 접속페이지통계처리부; 및
    상기 사용금액정규화정보에 대한 사용금액통계데이터 및 상기 접속페이지정규화정보에 대한 접속페이지통계데이터에 기초하여 상기 판별기준을 생성하는 정책결정부; 를 포함하는, 비정상이용탐지시스템.
  7. 청구항 6에 있어서,
    상기 판별기준은 기준사용금액값 및 기준접속페이지값을 포함하고,
    상기 정책결정부는,
    상기 사용금액통계데이터의 평균값 및 표준편차값에 기초하여, 상기 사용금액정보와 비교하여 비정상이용을 판별할 수 있는 기준사용금액값의 생성; 및
    상기 접속페이지통계데이터의 평균값 및 표준편차값에 기초하여, 상기 접속페이지정보와 비교하여 비정상이용을 판별할 수 있는 기준접속페이지값의 생성; 중 어느 하나 이상을 수행하는, 비정상이용탐지시스템.
  8. 청구항 7에 있어서,
    상기 판별부는,
    상기 사용금액정보 중 비정상이용이 있는지 여부를 판별하는 사용금액판별부;
    상기 접속페이지정보 중 비정상이용이 있는지 여부를 판별하는 접속페이지판별부; 및
    상기 사용금액판별부 및 상기 접속페이지판별부의 비정상이용 판별 결과에 기초하여 비정상이용을 판별하는 복합판별부; 를 포함하는, 비정상이용탐지시스템.
  9. 청구항 8에 있어서,
    상기 상황정보분석모듈은,
    상기 서비스서버로부터 상기 상황정보를 수신하는 상황정보수신부;
    상기 상황정보에 기초하여 접속페이지정보를 추출하는 접속페이지정보추출부; 및
    상기 상황정보에 기초하여 사용금액정보를 추출하는 사용금액정보추출부; 를 포함하는, 비정상이용탐지시스템.
  10. 청구항 9에 있어서,
    상기 접속페이지정보는,
    상기 서비스서버를 이용중인 사용자단말기가 접속한 페이지의 정보 및 접속시간에 대한 정보를 포함하고,
    상기 사용금액정보는,
    상기 서비스서버를 이용중인 사용자단말기가 상기 서비스서버를 통해 거래를 수행한 내역, 사용금액 및 거래시간에 대한 정보를 포함하고,
    상기 비정상탐지모듈은,
    상기 사용자단말기의 접속페이지정보 및 사용금액정보를 포함하는 사용자단말기의 프로파일정보를 저장하는 프로파일저장부; 및
    상기 판별기준이 저장되는 정책저장부; 를 더 포함하는, 비정상이용탐지시스템.
  11. 청구항 10에 있어서,
    상기 정규화부는,
    수신한 상기 사용금액정보를 주기에 따라 분류하여, 각 주기 당 사용금액의 합계를 사용금액정규화정보로 생성하고,
    수신한 상기 접속페이지정보를 상기 주기에 따라 분류하여, 각 주기 당 방문한 접속페이지 종류의 수를 접속페이지정규화정보로 생성하는, 비정상이용탐지시스템.
  12. 청구항 11에 있어서,
    상기 기준접속페이지값은 제1기준접속페이지값 및 제2기준접속페이지값을 포함하고, 상기 제1기준접속페이지값은 상기 제2기준접속페이지값보다 작고,
    상기 판별기준은,
    상기 사용금액정규화정보가 상기 기준사용금액값을 초과하는 경우;
    상기 접속페이지정규화정보가 상기 제1기준접속페이지값 미만인 경우; 혹은
    상기 접속페이지정규화정보가 상기 제2기준접속페이지값을 초과하는 경우; 비정상이용으로 판별하는, 비정상이용탐지시스템.
  13. 청구항 11에 있어서,
    상기 주기는, 기설정된 시간 경과에 따라 반복되는 주기인, 비정상이용탐지시스템.
  14. 청구항 11에 있어서,
    상기 주기는, 상기 접속페이지정보에서 사용자단말기의 접속이 시작되는 시간부터 상기 사용자단말기의 접속이 종료되는 시간까지로 정의되는 주기인, 비정상이용탐지시스템.
  15. 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이 상의 메인 메모리를 포함하는 컴퓨팅장치에서 수행되는, 비정상이용탐지방법으로서,
    서비스서버로부터 상황정보를 수집하고, 상기 상황정보에 기초하여 사용금액정보 및 접속페이지정보를 생성하는 상황정보분석단계; 및
    상기 사용금액정보 및 상기 접속페이지정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 비정상탐지단계; 를 포함하고,
    상기 비정상탐지단계는 상기 사용금액정보 및 상기 접속페이지정보를 정규화하여 정규화정보를 생성하는 정규화단계;
    상기 정규화정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 판별단계; 및
    상기 정규화정보의 통계데이터를 도출하여 상기 판별단계에서 비정상이용이 있는지 여부를 판별하는 기준이 되는 판별기준을 생성하는 통계처리단계; 를 포함하는, 비정상이용탐지방법.
  16. 비정상이용탐지방법을 구현하기 위한, 컴퓨터-판독가능 매체로서,
    상기 컴퓨터-판독가능 매체는, 1 이상의 프로세서 및 1 이상의 메모리를 포함하는 컴퓨팅 장치로 하여금 이하의 단계들을 수행하도록 하는 명령들을 저장하며, 상기 단계들은:
    서비스서버로부터 상황정보를 수집하고, 상기 상황정보에 기초하여 사용금액정보 및 접속페이지정보를 생성하는 상황정보분석단계; 및
    상기 사용금액정보 및 상기 접속페이지정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 비정상탐지단계; 를 포함하고,
    상기 비정상탐지단계는 상기 사용금액정보 및 상기 접속페이지정보를 정규화하여 정규화정보를 생성하는 정규화단계;
    상기 정규화정보에 기초하여 상기 서비스서버에 비정상이용이 있는지 여부를 판별하는 판별단계; 및
    상기 정규화정보의 통계데이터를 도출하여 상기 판별단계에서 비정상이용이 있는지 여부를 판별하는 기준이 되는 판별기준을 생성하는 통계처리단계; 를 포함하는, 컴퓨터-판독가능매체.
KR1020170169059A 2017-12-11 2017-12-11 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체 KR20190068856A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170169059A KR20190068856A (ko) 2017-12-11 2017-12-11 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170169059A KR20190068856A (ko) 2017-12-11 2017-12-11 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체

Publications (1)

Publication Number Publication Date
KR20190068856A true KR20190068856A (ko) 2019-06-19

Family

ID=67104188

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170169059A KR20190068856A (ko) 2017-12-11 2017-12-11 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체

Country Status (1)

Country Link
KR (1) KR20190068856A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110390584A (zh) * 2019-07-24 2019-10-29 秒针信息技术有限公司 一种异常用户的识别方法、识别装置及可读存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110390584A (zh) * 2019-07-24 2019-10-29 秒针信息技术有限公司 一种异常用户的识别方法、识别装置及可读存储介质
CN110390584B (zh) * 2019-07-24 2022-05-17 秒针信息技术有限公司 一种异常用户的识别方法、识别装置及可读存储介质

Similar Documents

Publication Publication Date Title
Guezzaz et al. A reliable network intrusion detection approach using decision tree with enhanced data quality
EP3841502B1 (en) Enhancing cybersecurity and operational monitoring with alert confidence assignments
US10104107B2 (en) Methods and systems for behavior-specific actuation for real-time whitelisting
US9910984B2 (en) Methods and systems for on-device high-granularity classification of device behaviors using multi-label models
JP6227666B2 (ja) モバイルデバイスの挙動の効率的な分類のためのデバイス固有およびデバイス状態固有の分類器モデルを動的に生成し使用する方法およびシステム
US11757924B2 (en) Third-party application risk assessment in an authorization service
Wang et al. A Host‐Based Anomaly Detection Framework Using XGBoost and LSTM for IoT Devices
Garcia et al. Obfuscation-resilient, efficient, and accurate detection and family identification of android malware
US11403389B2 (en) System and method of detecting unauthorized access to computing resources for cryptomining
US20180039779A1 (en) Predictive Behavioral Analysis for Malware Detection
JP2017536594A (ja) モバイルデバイス挙動のアグリゲートマルチアプリケーション挙動分析のための方法およびシステム
US20230050771A1 (en) Method for determining risk level of instance on cloud server, and electronic device
RU2767710C2 (ru) Система и способ обнаружения удаленного управления средством удаленного администрирования с использованием сигнатур
KR20220002948A (ko) Iot 네트워크의 데이터 및 데이터 사용 관리
Mohammad et al. Machine learning with big data analytics for cloud security
US11693967B2 (en) Machine learning-based method and system for detecting plaintext passwords
Gao et al. A game-theory approach to configuration of detection software with decision errors
KR20190067994A (ko) 행위기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체
RU2723679C1 (ru) Способ и система динамической аутентификации и оценки риска пользователя
KR20190068856A (ko) 확률분포 기반 웹 서비스 비정상 이용 탐지 방법, 장치 및 컴퓨터-판독가능 매체
Wang et al. Application research of file fingerprint identification detection based on a network security protection system
Muhammad et al. Device-type profiling for network access control systems using clustering-based multivariate Gaussian outlier score
KR101770229B1 (ko) 사용자별 이용 프로파일에 기초한 위협탐지 방법, 장치, 및 컴퓨터-판독가능 매체
US11743287B2 (en) Denial-of-service detection system
Nigam et al. PCP framework to expose malware in devices

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application