KR20200027649A - 활동 데이터 분석을 통해 비정상 사용자 그룹을 탐지하는 방법 및 시스템 - Google Patents

활동 데이터 분석을 통해 비정상 사용자 그룹을 탐지하는 방법 및 시스템 Download PDF

Info

Publication number
KR20200027649A
KR20200027649A KR1020180105710A KR20180105710A KR20200027649A KR 20200027649 A KR20200027649 A KR 20200027649A KR 1020180105710 A KR1020180105710 A KR 1020180105710A KR 20180105710 A KR20180105710 A KR 20180105710A KR 20200027649 A KR20200027649 A KR 20200027649A
Authority
KR
South Korea
Prior art keywords
abnormal
user
abnormal user
similarity
activity
Prior art date
Application number
KR1020180105710A
Other languages
English (en)
Other versions
KR102209100B1 (ko
Inventor
김태욱
문지형
최인식
박효균
Original Assignee
네이버 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 네이버 주식회사 filed Critical 네이버 주식회사
Priority to KR1020180105710A priority Critical patent/KR102209100B1/ko
Publication of KR20200027649A publication Critical patent/KR20200027649A/ko
Application granted granted Critical
Publication of KR102209100B1 publication Critical patent/KR102209100B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0609Buyer or seller confidence or verification

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

활동 데이터 분석을 통해 비정상 사용자 그룹을 탐지하는 방법 및 시스템이 개시된다. 어뷰저 탐지 방법은, 컨텐츠에 대한 사용자 활동에 따른 트랜잭션 데이터의 분석을 통해 비정상적인 활동을 규정하기 위한 것으로, 사용자 별 트랜잭션 데이터를 이용하여 비정상 사용자 후보를 선정하는 단계; 및 상기 비정상 사용자 후보 간의 활동 유사도를 바탕으로 조직적 활동 패턴을 가진 비정상 사용자 그룹을 탐지하는 단계를 포함한다.

Description

활동 데이터 분석을 통해 비정상 사용자 그룹을 탐지하는 방법 및 시스템{METHOD AND SYSTEM FOR DETECTING ABUSER USING LOG DATA ANALYSIS}
아래의 설명은 조직적으로 행동하는 비정상 사용자 그룹을 탐지하는 기술에 관한 것이다.
인터넷 기술의 발전으로 인해 인터넷 사용이 보급화됨에 따라 인터넷 사용 연령대가 어린이에서부터 노인들까지 넓어지고 언제 어디서든 손쉽게 원하는 컨텐츠를 얻을 수 있다.
인터넷 상의 컨텐츠는 각종 서비스 대상이나 정보 전달 목적은 물론이고, 마케팅 수단, 비즈니스 모델 등 다양한 역할이나 목적을 가진 수단으로 진화되고 있다.
컨텐츠 제공 플랫폼에서는 컨텐츠에 대한 트랜잭션 데이터(transaction data)로서 조회수(클릭수), 공감수, 댓글수, 저장/스크랩수, 회신/전달수 등의 다양한 지표를 집계하여 제공할 수 있다.
컨텐츠에 대한 지표는 컨텐츠를 평가하거나 소비 규모를 산정하는 등의 기준으로 활용되기 때문에 악의적인 목적을 가지고 컨텐츠 지표를 의도적으로 조작하는 어뷰징(abusing) 문제가 증가하고 있다.
최근 어뷰징을 탐지 및 방어하는 기술들이 개발되어 제공되고 있으며, 예컨대 한국 등록특허공보 제10-0857148호(등록일 2008년 09월 01일)에는 광고에 대한 무효클릭을 처리하는 기술이 개시되어 있다.
사용자 활동에 따른 트랜잭션 데이터를 사용하여 조직적으로 행동하는 비정상 사용자 그룹을 탐지할 수 있는 방법 및 시스템을 제공한다.
컴퓨터 시스템에서 수행되는 어뷰저 탐지 방법에 있어서, 컨텐츠에 대한 사용자 활동에 따른 트랜잭션 데이터의 분석을 통해 비정상적인 활동을 규정하기 위한 것으로, 사용자 별 트랜잭션 데이터를 이용하여 비정상 사용자 후보를 선정하는 단계; 및 상기 비정상 사용자 후보 간의 활동 유사도를 바탕으로 조직적 활동 패턴을 가진 비정상 사용자 그룹을 탐지하는 단계를 포함하는 어뷰저 탐지 방법을 제공한다.
일 측면에 따르면, 상기 선정하는 단계는, 컨텐츠를 소비하는 각 사용자 별로 트랜잭션 데이터의 비정상적인 정도를 나타내는 이상 스코어(anomaly score)를 산출하는 단계; 및 상기 이상 스코어를 바탕으로 상기 비정상 사용자 후보를 선정하는 단계를 포함할 수 있다.
다른 측면에 따르면, 상기 산출하는 단계는, 각 컨텐츠에서 사용자가 남긴 트랜잭션 간 시간 간격의 평균 값에 대하여 사용자가 단위 시간 동안 남긴 전체 트랜잭션 개수의 비율로 상기 이상 스코어를 산출할 수 있다.
또 다른 측면에 따르면, 상기 이상 스코어를 바탕으로 상기 비정상 사용자 후보를 선정하는 단계는, 컨텐츠를 소비하는 전체 사용자 중에서 상기 이상 스코어가 임계치 이상인 사용자를 상기 비정상 사용자 후보로 선정할 수 있다.
또 다른 측면에 따르면, 상기 이상 스코어를 바탕으로 상기 비정상 사용자 후보를 선정하는 단계는, 컨텐츠를 소비하는 전체 사용자 중에서 상기 이상 스코어가 상기 전체 사용자의 이상 스코어 평균보다 임계치 이상 높은 사용자를 상기 비정상 사용자 후보로 선정할 수 있다.
또 다른 측면에 따르면, 상기 탐지하는 단계는, 상기 비정상 사용자 후보 간의 활동 유사도를 바탕으로 상기 비정상 사용자 후보를 클러스터링하는 단계; 및 상기 클러스터링된 클러스터 중 규정된 기준에 속하는 클러스터를 상기 비정상 사용자 그룹으로 결정하는 단계를 포함할 수 있다.
또 다른 측면에 따르면, 상기 클러스터링하는 단계는, 상기 비정상 사용자 후보로 선정된 각 사용자의 트랜잭션 데이터를 이용하여 상기 비정상 사용자 후보 간의 활동 유사도를 산출하는 단계; 상기 비정상 사용자 후보 간 활동 유사도를 이용하여 상기 비정상 사용자 후보 각각의 유사도 특징(similarity signature)을 생성하는 단계; 및 클러스터링 알고리즘을 통해 상기 비정상 사용자 후보 별 유사도 특징을 클러스터링하는 단계를 포함할 수 있다.
또 다른 측면에 따르면, 상기 결정하는 단계는, 상기 클러스터의 밀도와 비정상 사용자 후보 수 및 평균 유사도 크기 중 적어도 하나를 기준으로 상기 비정상 사용자 그룹을 결정할 수 있다.
또 다른 측면에 따르면, 상기 결정하는 단계는, 상기 클러스터에 포함된 비정상 사용자 후보 수가 임계 범위를 벗어나면 해당 클러스터를 상기 비정상 사용자 그룹으로 결정할 수 있다.
또 다른 측면에 따르면, 상기 결정하는 단계는, 상기 클러스터의 밀도가 임계치 이상이면 해당 클러스터를 상기 비정상 사용자 그룹으로 결정할 수 있다.
또 다른 측면에 따르면, 상기 결정하는 단계는, 상기 클러스터에 속한 비정상 사용자 후보 별 유사도 특징에 대한 평균 유사도 크기가 임계치 이상이면 해당 클러스터를 상기 비정상 사용자 그룹으로 결정할 수 있다.
또 다른 측면에 따르면, 상기 어뷰저 탐지 방법은, 상기 비정상 사용자 그룹을 이용하여 상기 컨텐츠의 트랜잭션 데이터를 관리하는 단계를 더 포함할 수 있다.
또 다른 측면에 따르면, 상기 관리하는 단계는, 상기 비정상 사용자 그룹에 속한 사용자의 활동에 따른 트랜잭션 데이터를 제외시키거나 마이너스 가중치를 반영하여 상기 컨텐츠의 트랜잭션 데이터를 집계할 수 있다.
상기 어뷰저 탐지 방법을 컴퓨터에 실행시키기 위한 프로그램이 기록되어 있는 비-일시적인 컴퓨터 판독 가능한 기록 매체를 제공한다.
컴퓨터 시스템에 있어서, 메모리; 및 상기 메모리와 연결되고, 상기 메모리에 포함된 컴퓨터 판독 가능한 명령들을 실행하도록 구성된 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는, 컨텐츠에 대한 사용자 활동에 따른 트랜잭션 데이터의 분석을 통해 비정상적인 활동을 규정하기 위한 것으로, 사용자 별 트랜잭션 데이터를 이용하여 비정상 사용자 후보를 선정하는 후보 선정부; 및 상기 비정상 사용자 후보 간의 활동 유사도를 바탕으로 조직적 활동 패턴을 가진 비정상 사용자 그룹을 탐지하는 어뷰저 탐지부를 포함하는 컴퓨터 시스템을 제공한다.
본 발명의 실시예들에 따르면, 사용자 활동에 따른 트랜잭션 데이터를 이용하여 비정상적인 트랜잭션을 발생시킨 사용자를 선별한 후 선별된 사용자 간 활동의 유사도를 바탕으로 조직적인 활동을 탐지하여 비정상 사용자 그룹을 결정할 수 있다.
도 1은 본 발명의 일실시예에 따른 네트워크 환경의 예를 도시한 도면이다.
도 2는 본 발명의 일실시예에 있어서 전자 기기 및 서버의 내부 구성을 설명하기 위한 블록도이다.
도 3은 본 발명의 일실시예에 따른 서버의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 도면이다.
도 4는 본 발명의 일실시예에 따른 서버의 프로세서가 수행할 수 있는 방법의 예를 도시한 도면이다.
도 5는 본 발명의 일실시예에 있어서 비정상 사용자 후보를 클러스터링하는 과정의 일례를 도시한 것이다.
도 6은 본 발명의 일실시예에 있어서 비정상 사용자 후보 간의 활동 유사도를 산출하는 과정을 설명하기 위한 예시 도면이다.
도 7은 본 발명의 일실시예에 있어서 비정상 사용자 후보 별 유사도 특징을 클러스터링하는 과정을 설명하기 위한 예시 도면이다.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
본 발명의 실시예들은 활동 데이터 분석을 통해 조직적으로 행동하는 비정상 사용자 그룹을 탐지할 수 있는 방법 및 시스템에 관한 것이다.
본 명세서에서 구체적으로 개시되는 것들을 포함하는 실시예들은 활동 데이터 분석을 통해 조직적으로 행동하는 비정상 사용자 그룹을 탐지할 수 있고, 이를 통해 효율성, 어뷰징 탐지 성능, 구현 복잡도 개선, 비용 절감 등의 측면에 있어서 상당한 장점들을 달성할 수 있다.
도 1은 본 발명의 일실시예에 따른 네트워크 환경의 예를 도시한 도면이다. 도 1의 네트워크 환경은 복수의 전자 기기들(110, 120, 130, 140), 복수의 서버들(150, 160) 및 네트워크(170)를 포함하는 예를 나타내고 있다. 이러한 도 1은 발명의 설명을 위한 일례로 전자 기기의 수나 서버의 수가 도 1과 같이 한정되는 것은 아니다.
복수의 전자 기기들(110, 120, 130, 140)은 컴퓨터 장치로 구현되는 고정형 단말이거나 이동형 단말일 수 있다. 복수의 전자 기기들(110, 120, 130, 140)의 예를 들면, 스마트폰(smart phone), 휴대폰, 내비게이션, 컴퓨터, 노트북, 디지털방송용 단말, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 태블릿 PC, 게임 콘솔(game console), 웨어러블 디바이스(wearable device), IoT(internet of things) 디바이스, VR(virtual reality) 디바이스, AR(augmented reality) 디바이스 등이 있다. 일례로 도 1에서는 전자 기기(110)의 예로 스마트폰의 형상을 나타내고 있으나, 본 발명의 실시예들에서 전자 기기(110)는 실질적으로 무선 또는 유선 통신 방식을 이용하여 네트워크(170)를 통해 다른 전자 기기들(120, 130, 140) 및/또는 서버(150, 160)와 통신할 수 있는 다양한 물리적인 컴퓨터 장치들 중 하나를 의미할 수 있다.
통신 방식은 제한되지 않으며, 네트워크(170)가 포함할 수 있는 통신망(일례로, 이동통신망, 유선 인터넷, 무선 인터넷, 방송망, 위성망 등)을 활용하는 통신 방식뿐만 아니라 기기들간의 근거리 무선 통신 역시 포함될 수 있다. 예를 들어, 네트워크(170)는, PAN(personal area network), LAN(local area network), CAN(campus area network), MAN(metropolitan area network), WAN(wide area network), BBN(broadband network), 인터넷 등의 네트워크 중 하나 이상의 임의의 네트워크를 포함할 수 있다. 또한, 네트워크(170)는 버스 네트워크, 스타 네트워크, 링 네트워크, 메쉬 네트워크, 스타-버스 네트워크, 트리 또는 계층적(hierarchical) 네트워크 등을 포함하는 네트워크 토폴로지 중 임의의 하나 이상을 포함할 수 있으나, 이에 제한되지 않는다.
서버(150, 160) 각각은 복수의 전자 기기들(110, 120, 130, 140)과 네트워크(170)를 통해 통신하여 명령, 코드, 파일, 컨텐츠, 서비스 등을 제공하는 컴퓨터 장치 또는 복수의 컴퓨터 장치들로 구현될 수 있다. 예를 들어, 서버(150)는 네트워크(170)를 통해 접속한 복수의 전자 기기들(110, 120, 130, 140)로 제1 서비스를 제공하는 시스템일 수 있으며, 서버(160) 역시 네트워크(170)를 통해 접속한 복수의 전자 기기들(110, 120, 130, 140)로 제2 서비스를 제공하는 시스템일 수 있다. 보다 구체적인 예로, 서버(150)는 복수의 전자 기기들(110, 120, 130, 140)에 설치되어 구동되는 컴퓨터 프로그램으로서의 어플리케이션을 통해, 해당 어플리케이션이 목적하는 서비스(일례로, 컨텐츠 제공 서비스 등)를 제1 서비스로서 복수의 전자 기기들(110, 120, 130, 140)로 제공할 수 있다. 다른 예로, 서버(160)는 상술한 어플리케이션의 설치 및 구동을 위한 파일을 복수의 전자 기기들(110, 120, 130, 140)로 배포하는 서비스를 제2 서비스로서 제공할 수 있다.
도 2는 본 발명의 일실시예에 있어서 전자 기기 및 서버의 내부 구성을 설명하기 위한 블록도이다. 도 2에서는 전자 기기에 대한 예로서 전자 기기(110), 그리고 서버(150)의 내부 구성을 설명한다. 또한, 다른 전자 기기들(120, 130, 140)이나 서버(160) 역시 상술한 전자 기기(110) 또는 서버(150)와 동일한 또는 유사한 내부 구성을 가질 수 있다.
전자 기기(110)와 서버(150)는 메모리(211, 221), 프로세서(212, 222), 통신 모듈(213, 223) 그리고 입출력 인터페이스(214, 224)를 포함할 수 있다. 메모리(211, 221)는 비-일시적인 컴퓨터 판독 가능한 기록매체로서, RAM(random access memory), ROM(read only memory), 디스크 드라이브, SSD(solid state drive), 플래시 메모리(flash memory) 등과 같은 비소멸성 대용량 저장 장치(permanent mass storage device)를 포함할 수 있다. 여기서 ROM, SSD, 플래시 메모리, 디스크 드라이브 등과 같은 비소멸성 대용량 저장 장치는 메모리(211, 221)와는 구분되는 별도의 영구 저장 장치로서 전자 기기(110)나 서버(150)에 포함될 수도 있다. 또한, 메모리(211, 221)에는 운영체제와 적어도 하나의 프로그램 코드(일례로 전자 기기(110)에 설치되어 구동되는 브라우저나 특정 서비스의 제공을 위해 전자 기기(110)에 설치된 어플리케이션 등을 위한 코드)가 저장될 수 있다. 이러한 소프트웨어 구성요소들은 메모리(211, 221)와는 별도의 컴퓨터에서 판독 가능한 기록매체로부터 로딩될 수 있다. 이러한 별도의 컴퓨터에서 판독 가능한 기록매체는 플로피 드라이브, 디스크, 테이프, DVD/CD-ROM 드라이브, 메모리 카드 등의 컴퓨터에서 판독 가능한 기록매체를 포함할 수 있다. 다른 실시예에서 소프트웨어 구성요소들은 컴퓨터에서 판독 가능한 기록매체가 아닌 통신 모듈(213, 223)을 통해 메모리(211, 221)에 로딩될 수도 있다. 예를 들어, 적어도 하나의 프로그램은 개발자들 또는 어플리케이션의 설치 파일을 배포하는 파일 배포 시스템(일례로, 상술한 서버(160))이 네트워크(170)를 통해 제공하는 파일들에 의해 설치되는 컴퓨터 프로그램(일례로 상술한 어플리케이션)에 기반하여 메모리(211, 221)에 로딩될 수 있다.
프로세서(212, 222)는 기본적인 산술, 로직 및 입출력 연산을 수행함으로써, 컴퓨터 프로그램의 명령을 처리하도록 구성될 수 있다. 명령은 메모리(211, 221) 또는 통신 모듈(213, 223)에 의해 프로세서(212, 222)로 제공될 수 있다. 예를 들어 프로세서(212, 222)는 메모리(211, 221)와 같은 기록 장치에 저장된 프로그램 코드에 따라 수신되는 명령을 실행하도록 구성될 수 있다.
통신 모듈(213, 223)은 네트워크(170)를 통해 전자 기기(110)와 서버(150)가 서로 통신하기 위한 기능을 제공할 수 있으며, 전자 기기(110) 및/또는 서버(150)가 다른 전자 기기(일례로 전자 기기(120)) 또는 다른 서버(일례로 서버(160))와 통신하기 위한 기능을 제공할 수 있다. 일례로, 전자 기기(110)의 프로세서(212)가 메모리(211)와 같은 기록 장치에 저장된 프로그램 코드에 따라 생성한 요청이 통신 모듈(213)의 제어에 따라 네트워크(170)를 통해 서버(150)로 전달될 수 있다. 역으로, 서버(150)의 프로세서(222)의 제어에 따라 제공되는 제어 신호나 명령, 컨텐츠, 파일 등이 통신 모듈(223)과 네트워크(170)를 거쳐 전자 기기(110)의 통신 모듈(213)을 통해 전자 기기(110)로 수신될 수 있다. 예를 들어 통신 모듈(213)을 통해 수신된 서버(150)의 제어 신호나 명령, 컨텐츠, 파일 등은 프로세서(212)나 메모리(211)로 전달될 수 있고, 컨텐츠나 파일 등은 전자 기기(110)가 더 포함할 수 있는 저장 매체(상술한 영구 저장 장치)로 저장될 수 있다.
입출력 인터페이스(214)는 입출력 장치(215)와의 인터페이스를 위한 수단일 수 있다. 예를 들어, 입력 장치는 키보드, 마우스, 마이크로폰, 카메라 등의 장치를, 그리고 출력 장치는 디스플레이, 스피커, 햅틱 피드백 디바이스(haptic feedback device) 등과 같은 장치를 포함할 수 있다. 다른 예로 입출력 인터페이스(214)는 터치스크린과 같이 입력과 출력을 위한 기능이 하나로 통합된 장치와의 인터페이스를 위한 수단일 수도 있다. 입출력 장치(215)는 전자 기기(110)와 하나의 장치로 구성될 수도 있다. 또한, 서버(150)의 입출력 인터페이스(224)는 서버(150)와 연결되거나 서버(150)가 포함할 수 있는 입력 또는 출력을 위한 장치(미도시)와의 인터페이스를 위한 수단일 수 있다. 보다 구체적인 예로, 전자 기기(110)의 프로세서(212)가 메모리(211)에 로딩된 컴퓨터 프로그램의 명령을 처리함에 있어서 서버(150)나 전자 기기(120)가 제공하는 데이터를 이용하여 구성되는 서비스 화면이나 컨텐츠가 입출력 인터페이스(214)를 통해 디스플레이에 표시될 수 있다.
또한, 다른 실시예들에서 전자 기기(110) 및 서버(150)는 도 2의 구성요소들보다 더 많은 구성요소들을 포함할 수도 있다. 그러나, 대부분의 종래기술적 구성요소들을 명확하게 도시할 필요성은 없다. 예를 들어, 전자 기기(110)는 상술한 입출력 장치(215) 중 적어도 일부를 포함하도록 구현되거나 또는 트랜시버(transceiver), GPS(Global Positioning System) 모듈, 카메라, 각종 센서, 데이터베이스 등과 같은 다른 구성요소들을 더 포함할 수도 있다. 보다 구체적인 예로, 전자 기기(110)가 스마트폰인 경우, 일반적으로 스마트폰이 포함하고 있는 가속도 센서나 자이로 센서, 카메라 모듈, 각종 물리적인 버튼, 터치패널을 이용한 버튼, 입출력 포트, 진동을 위한 진동기 등의 다양한 구성요소들이 전자 기기(110)에 더 포함되도록 구현될 수 있다.
이하에서는 조직적으로 행동하는 비정상 사용자 그룹을 탐지하는 방법 및 시스템의 구체적인 실시예를 설명하기로 한다.
뉴스나 소셜 네트워크 서비스(SNS) 등 컨텐츠 서비스 관점에서 어뷰징이란 개인의 의견을 다수의 의견인 것처럼 조직적으로 선동하여 여론을 조장하는 행위라 할 수 있다. 즉, 어뷰저란 비정상적인 트랜잭션을 조직적으로 발생시키는 비정상 사용자 그룹이라 할 수 있다.
본 명세서에서 컨텐츠는 인터넷을 통하여 제공되는 각종 정보나 그 내용물을 포괄하여 의미할 수 있고, 뉴스 기사나 커뮤니티 게시물과 같이 문자, 음성, 이미지, 동영상 등 인터넷 상에 게재 가능한 모든 유형의 디지털 컨텐츠를 의미할 수 있다.
특히, 트랜잭션 데이터는 컨텐츠에 대한 사용자 활동에 따른 로그 데이터를 의미하는 것으로, 조회수(클릭수), 공감수, 댓글수, 저장 또는 스크랩수, 회신 또는 전달수 등 사용자 활동으로 기록 가능한 모든 메트릭(metric)을 포괄하여 의미할 수 있다.
어뷰징을 탐지하는 기존 기술 중 하나는 딥러닝을 이용한 지도 학습과 같은 표준 모델을 이용하여 비정상 행위를 탐지할 수 있다. 그러나, 표준 모델을 이용하는 방법은 비정상 행위에 대한 정답(label) 데이터가 없으면 적용할 수 없다. 다른 하나는 자연어 처리를 통해 사용자가 작성한 글의 의도를 파악하여 비정상 행위를 탐지할 수 있다.
기존 기술과 달리, 본 실시예들은 어떠한 데이터가 비정상 행위인지를 결정하여 비정상 사용자를 정의하는 정답 데이터를 직접 만들어 낼 수 있다. 더 나아가, 본 실시예들은 사용자가 작성한 글의 의도를 파악할 필요가 없고 사용자의 트랜잭션 데이터를 분석하는 것만으로 비정상 사용자를 찾아낼 수 있다.
도 3은 본 발명의 일실시예에 따른 서버의 프로세서가 포함할 수 있는 구성요소의 예를 도시한 블록도이고, 도 4는 본 발명의 일실시예에 따른 서버가 수행할 수 있는 방법의 예를 도시한 흐름도이다.
본 실시예에 따른 서버(150)는 서버(150)와 관련된 플랫폼 상의 컨텐츠에 대해 비정상적인 트랜잭션을 조직적으로 발생시키는 비정상 사용자 그룹을 탐지하는 기능을 제공할 수 있다. 다시 말해, 서버(150)는 클라이언트(client)인 복수의 전자 기기들(110, 120, 130, 140)에 의해 소비되는 컨텐츠에 대한 어뷰저를 탐지할 수 있다.
서버(150)의 프로세서(222)는 도 4에 따른 어뷰저 탐지 방법을 수행하기 위한 구성요소로서 도 3에 도시된 바와 같이, 후보 선정부(310), 클러스터링부(320), 및 어뷰저 탐지부(330)를 포함할 수 있다. 실시예에 따라 프로세서(222)의 구성요소들은 선택적으로 프로세서(222)에 포함되거나 제외될 수도 있다. 또한, 실시예에 따라 프로세서(222)의 구성요소들은 프로세서(222)의 기능의 표현을 위해 분리 또는 병합될 수도 있다.
이러한 프로세서(222) 및 프로세서(222)의 구성요소들은 도 4의 어뷰저 탐지 방법이 포함하는 단계들(S410 내지 S440)을 수행하도록 서버(150)를 제어할 수 있다. 예를 들어, 프로세서(222) 및 프로세서(222)의 구성요소들은 메모리(221)가 포함하는 운영체제의 코드와 적어도 하나의 프로그램의 코드에 따른 명령(instruction)을 실행하도록 구현될 수 있다.
여기서, 프로세서(222)의 구성요소들은 서버(150)에 저장된 프로그램 코드가 제공하는 명령에 따라 프로세서(222)에 의해 수행되는 프로세서(222)의 서로 다른 기능들(different functions)의 표현들일 수 있다. 예를 들어, 서버(150)가 비정상 사용자 후보를 선정하도록 상술한 명령에 따라 서버(150)를 제어하는 프로세서(222)의 기능적 표현으로서 후보 선정부(310)가 이용될 수 있다.
단계(S410)에서 프로세서(222)는 서버(150)의 제어와 관련된 명령이 로딩된 메모리(221)로부터 필요한 명령을 읽어들일 수 있다. 이 경우, 상기 읽어들인 명령은 프로세서(222)가 이후 설명될 단계들(S420 내지 S440)을 실행하도록 제어하기 위한 명령을 포함할 수 있다.
단계(S420)에서 후보 선정부(310)는 컨텐츠에 대한 사용자 활동에 따른 트랜잭션 데이터를 이용하여 비정상 사용자 후보를 선정할 수 있다. 후보 선정부(310)는 정상적인 활동으로 보기 어려운 트랜잭션을 발생시킨 사용자를 선별하는 역할을 한다.
본 발명에서는 사용자 활동에 따른 트랜잭션 데이터에 대한 비정상적인 정도를 수치화하기 위해 이상 스코어(anomaly score)를 도입한다.
이상 스코어는 수학식 1과 같이 정의된다.
[수학식 1]
anomaly score=n/
Figure pat00001
여기서, n은 사용자가 단위 기간 동안 남긴 전체 트랜잭션의 개수를 의미하고,
Figure pat00002
는 각 컨텐츠에서 사용자가 남긴 트랜잭션 간 시간 간격의 평균 값을 의미한다. 예를 들어, 단위 기간은 1일이나 1주일 등으로 설정될 수 있으며, 컨텐츠 특성이나 컨텐츠를 제공하는 서비스 도메인 특성 등을 고려하여 설정될 수 있다.
후보 선정부(310)는 컨텐츠를 소비하는 각 사용자 별로 이상 스코어를 산출할 수 있고 이상 스코어를 바탕으로 비정상 트랜잭션을 발생시킨 사용자로 의심되는 후보 사용자를 선정할 수 있다.
일례로, 후보 선정부(310)는 컨텐츠를 소비하는 전체 사용자 중에서 이상 스코어가 전체 사용자의 이상 스코어 평균보다 임계치 이상 높은 사용자들을 비정상 사용자 후보로 선정할 수 있다. 예를 들어, 후보 선정부(310)는 이상 스코어가 전체 평균보다 3 표준편차(3 sigma) 이상 높은 사용자들을 비정상 사용자 후보로 선정할 수 있다. 다른 예로, 후보 선정부(310)는 컨텐츠를 소비하는 각 사용자 별로 이상 스코어가 임계치 이상이면 해당 사용자를 비정상 사용자 후보로 선정할 수 있다. 이때, 비정상 사용자 후보를 선별하기 위한 이상 스코어 임계치는 컨텐츠를 제공하는 서비스 도메인 특성 등에 따라 다르게 설정될 수 있다.
단계(S430)에서 클러스터링부(320)는 비정상 사용자 후보로 선정된 사용자 간의 활동 유사도를 바탕으로 비정상 사용자 후보를 클러스터링할 수 있다. 비정상 사용자 후보의 클러스터링은 사용자 간에 조직적인 활동이 있는지 탐지하기 위함이다. 클러스터링부(320)는 비정상 사용자 후보들의 조직성 파악을 위한 특징(signature)을 추출한 후 추출된 특징들을 클러스터링함으로써 조직적인 활동을 보이는 비정상 사용자 그룹을 추출할 수 있다.
도 5는 본 발명의 일실시예에 있어서 비정상 사용자 후보를 클러스터링하는 과정의 일례를 도시한 것이다.
도 5를 참조하면, 단계(S501)에서 클러스터링부(320)는 각 사용자의 트랜잭션 데이터를 이용하여 비정상 사용자 후보로 선정된 사용자 간에 활동 유사도를 산출할 수 있다. 이때, 클러스터링부(320)는 두 사용자가 얼마나 유사한 활동을 했는지 측정하는 역할을 한다.
예를 들어, 도 6에 도시한 바와 같이 사용자 1이 트랜잭션을 남긴 뉴스 기사의 URL 집합 S1이 {url1, url2, ...}과 같고, 사용자 2가 트랜잭션을 남긴 뉴스 기사의 URL 집합 S2가 {url2, url3, ...}과 같다고 할 때, 사용자 1과 사용자 2의 활동 유사도는 URL 집합 S1과 URL 집합 S2의 교집합 크기로 측정될 수 있다.
상기에서는 사용자가 트랜잭션을 남긴 URL 집합을 이용하여 사용자 간 활동 유사도를 산출하는 것으로 설명하고 있으나, 이는 예시적인 것이다. 사용자 간의 활동 유사도를 정의하는 방법은 여러 가지가 있을 수 있으며, 예를 들어 두 사용자가 활동한 컨텐츠가 얼마나 많이 중복되는지를 사용자 간 유사도의 척도로 사용할 수 있다.
다시 도 5에서, 단계(S502)에서 클러스터링부(320)는 비정상 사용자 후보 간 활동 유사도를 이용하여 각 비정상 사용자 후보 별 유사도 특징을 생성할 수 있다. 클러스터링부(320)는 비정상 사용자 후보 각각에 대하여 다른 후보와의 유사도로 이루어진 벡터(co-similarity vector)를 유사도 특징으로 생성할 수 있다.
예를 들어, <사용자 1, 사용자 2, 사용자 3, ..., 사용자 n>이 비정상 사용자 후보로 선정된 경우(이때, 자기 자신과의 유사도는 0.0으로 정한다.),
사용자 1의 유사도 특징 S1은 [0.0, 사용자 2와의 유사도, 사용자 3과의 유사도, ...]와 같고, 사용자 2의 유사도 특징 S2는 [사용자 1과의 유사도, 0.0, 사용자 3과의 유사도, ...]와 같고, 사용자 3의 유사도 특징 S3은 [사용자 1과의 유사도, 사용자 2와의 유사도, 0.0, ...]와 같고, ..., 사용자 n의 유사도 특징 Sn은 [사용자 1과의 유사도, 사용자 2와의 유사도, 사용자 3과의 유사도, ..., 0.0]와 같다.
비정상 사용자 후보로 700명의 사용자가 선정된다고 할 때, 후보 각각에 대해 자신과의 유사도를 포함한 700개의 사이즈를 가진 벡터를 생성할 수 있다.
단계(S503)에서 클러스터링부(320)는 클러스터링 알고리즘을 통해 비정상 사용자 후보 별 유사도 특징을 클러스터링할 수 있다. 일례로, 클러스터링부(320)는 K 평균(K-mean) 알고리즘을 이용하여 비정상 사용자 후보 별 유사도 특징을 클러스터링할 수 있다.
K 평균 알고리즘은 주어진 데이터를 K개의 클러스터로 묶는 알고리즘으로, 각 클러스터와 거리 차이의 분산을 최소화하는 방식으로 동작한다. 이때, 클러스터의 개수 K를 결정하기 위해서는 Elbow method을 이용할 수 있다.
Elbow method는 클러스터의 수를 순차적으로 늘려가면서 결과를 모니터링 하다가 만약 하나의 클러스터를 추가했을 때 이전보다 더 나은 결과를 나타내지 않는다면 이전의 클러스터의 수를 구하고자 하는 클러스터의 수로 설정하는 방식이다.
다시 말해, 클러스터링부(320)는 Elbow method로 찾고자 하는 클러스터의 개수 K를 결정하게 되는데, 예를 들어 2의 지수로 K를 늘려가며(K=2, 4, 8, 16, ...) K 평균 클러스터링을 하고 매번 클러스터 전체의 SSM(sum squared error)을 계산하여 이때 결정된 elbow point를 최적의 클러스터 개수 K로 설정할 수 있다.
클러스터링부(320)는 비정상 사용자 후보 별 유사도 특징을 Elbow method로 설정된 최적의 개수 K로 K 평균 클러스터링을 할 수 있다.
상기에서는 Elbow method을 이용하여 클러스터 개수 K를 결정하는 것으로 설명하고 있으나, 이외에도 Rule of Thumb, 정보 기준 접근법(information criterion approach) 등 다양한 방법론을 적용하는 것 또한 가능하다.
여기서, Rule of Thumb는 주어진 데이터 집합이 n개라 할 때 구하고자 하는 클러스터의 수를
Figure pat00003
로 설정하는 방식이다. 그리고, 정보 기준 접근법은 클러스터링 모델에 대해 가능도(likelihood)를 계산하는 것이 가능할 때 사용되는 방법으로, K 평균 클러스터링 모델의 경우 가우시안 혼합 모델과 가깝기 때문에 가우시안 혼합 모델에 대한 가능도를 만들어 정보 기준 값을 구하고자 하는 클러스터의 수로 설정할 수 있다.
도 7은 클러스터링 결과 예시를 도시한 것이다.
도 7의 그래프의 가로축과 세로축은 단계(S420)에서 선정된 비정상 사용자 후보의 수를 나타내고, 그래프 상의 각 셀(cell)의 명도는 i번째 사용자와 j번째 사용자 간 활동 유사도를 나타낸다.
도 7은 클러스터 개수 K를 10으로 한 K 평균 클러스터링 결과 예시를 나타내고 있다(그래프의 대각선 상의 정사각형에 해당되는 10개의 클러스터).
도 7을 참조하면, 비정상 사용자 후보 별 유사도 특징을 클러스터링함으로써 유사한 활동을 보이는 사용자 그룹이 존재하는 것을 확인할 수 있다.
사용자 간의 유사도를 구할 때 URL 집합과 함께 유사도 특징(co-similarity)을 이용함으로써 다음과 같은 이점이 있다. 먼저, URL은 무한대에 가까운 반면에 사용자 수는 유한하다는 점에서 클러스터링 대상이 되는 유사도 특징의 차원이 대폭 감소할 수 있다. 그리고, URL에 대한 트랜잭션 데이터는 비정상 사용자 후보를 선별하는 과정에서 이미 이상 스코어에 반영되므로 URL에 대한 트랜잭션 데이터와 분리하여 유사도 특징으로부터 사용자들의 조직성을 파악할 수 있다. 즉, 유사도 특징은 URL에 대한 트랜잭션 데이터에 독립적인 장점이 있다.
다시 도 4에서, 단계(S440)에서 어뷰저 탐지부(330)는 비정상 사용자 후보 간의 활동 유사도를 바탕으로 조직적 활동 패턴을 가진 비정상 사용자 그룹을 탐지할 수 있다. 어뷰저 탐지부(330)는 단계(S430)에서 클러스터링된 클러스터 중 사전에 규정된 기준에 속하는 클러스터의 비정상 사용자 후보들을 비정상적인 트랜잭션을 조직적으로 발생시키는 비정상 사용자 그룹인 어뷰저로 결정할 수 있다.
일례로, 어뷰저 탐지부(330)는 클러스터의 크기(즉, 클러스터에 포함된 비정상 사용자 후보 수)가 임계 범위를 벗어난 경우 해당 클러스터의 사용자들을 비정상 사용자 그룹으로 판단할 수 있다. 다른 예로, 어뷰저 탐지부(330)는 클러스터의 밀도가 임계치 이상인 경우 해당 클러스터의 사용자들을 비정상 사용자 그룹으로 판단할 수 있다. 또 다른 예로, 어뷰저 탐지부(330)는 클러스터에 속한 비정상 사용자 후보 별 유사도 특징에 대한 평균 유사도 크기가 임계치 이상인 경우 해당 클러스터의 사용자들을 비정상 사용자 그룹으로 판단할 수 있다.
요컨대, 비정상 사용자 그룹으로 규정하는 기준은 아래와 같다.
1) 클러스터의 크기(비정상 사용자 후보 수)가 임계치 범위 이상 또는 이하일 때
2) 클러스터의 밀도가 임계치 이상일 때
3) 클러스터의 평균 유사도 크기가 임계치 이상일 때
컨텐츠를 제공하는 서비스 도메인 특성 등을 고려하여 상기한 기준 중 하나 혹은 둘 이상의 기준을 선택적으로 사용할 수 있으며, 어뷰저 탐지부(330)는 적어도 하나 이상의 기준에 속한 클러스터를 어뷰저로 판단할 수 있다.
더 나아가, 프로세서(222)는 비정상 사용자 그룹을 이용하여 컨텐츠 내지 컨텐츠를 소비하는 사용자를 관리할 수 있다. 일례로, 프로세서(222)는 각 컨텐츠에 대해 사용자 행동에 따른 트랜잭션 데이터를 집계함에 있어 비정상 사용자 그룹에 속한 사용자의 활동에 따른 트랜잭션 데이터를 제외시키거나 마이너스 가중치를 반영할 수 있다. 다른 예로, 프로세서(222)는 플랫폼 상의 컨텐츠 지표 패턴을 분석하거나 컨텐츠 지표 조작과 관련된 방어 코드를 추가 설계함에 있어 비정상 사용자 그룹에 속한 사용자의 트랜잭션 데이터를 활용할 수 있다.
이처럼 본 발명의 실시예들에 따르면, 사용자 활동에 따른 트랜잭션 데이터를 이용하여 비정상적인 트랜잭션을 발생시킨 사용자를 선별한 후 선별된 사용자 간 활동의 유사도를 바탕으로 조직적인 활동을 탐지하여 비정상 사용자 그룹을 결정할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 이때, 매체는 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수 개의 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 어플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (19)

  1. 컴퓨터 시스템에서 수행되는 어뷰저 탐지 방법에 있어서,
    컨텐츠에 대한 사용자 활동에 따른 트랜잭션 데이터의 분석을 통해 비정상적인 활동을 규정하기 위한 것으로,
    사용자 별 트랜잭션 데이터를 이용하여 비정상 사용자 후보를 선정하는 단계; 및
    상기 비정상 사용자 후보 간의 활동 유사도를 바탕으로 조직적 활동 패턴을 가진 비정상 사용자 그룹을 탐지하는 단계
    를 포함하는 어뷰저 탐지 방법.
  2. 제1항에 있어서,
    상기 선정하는 단계는,
    컨텐츠를 소비하는 각 사용자 별로 트랜잭션 데이터의 비정상적인 정도를 나타내는 이상 스코어(anomaly score)를 산출하는 단계; 및
    상기 이상 스코어를 바탕으로 상기 비정상 사용자 후보를 선정하는 단계
    를 포함하는 어뷰저 탐지 방법.
  3. 제2항에 있어서,
    상기 산출하는 단계는,
    각 컨텐츠에서 사용자가 남긴 트랜잭션 간 시간 간격의 평균 값에 대하여 사용자가 단위 시간 동안 남긴 전체 트랜잭션 개수의 비율로 상기 이상 스코어를 산출하는 것
    을 특징으로 하는 어뷰저 탐지 방법.
  4. 제2항에 있어서,
    상기 이상 스코어를 바탕으로 상기 비정상 사용자 후보를 선정하는 단계는,
    컨텐츠를 소비하는 전체 사용자 중에서 상기 이상 스코어가 임계치 이상인 사용자를 상기 비정상 사용자 후보로 선정하는 것
    을 특징으로 하는 어뷰저 탐지 방법.
  5. 제2항에 있어서,
    상기 이상 스코어를 바탕으로 상기 비정상 사용자 후보를 선정하는 단계는,
    컨텐츠를 소비하는 전체 사용자 중에서 상기 이상 스코어가 상기 전체 사용자의 이상 스코어 평균보다 임계치 이상 높은 사용자를 상기 비정상 사용자 후보로 선정하는 것
    을 특징으로 하는 어뷰저 탐지 방법.
  6. 제1항에 있어서,
    상기 탐지하는 단계는,
    상기 비정상 사용자 후보 간의 활동 유사도를 바탕으로 상기 비정상 사용자 후보를 클러스터링하는 단계; 및
    상기 클러스터링된 클러스터 중 규정된 기준에 속하는 클러스터를 상기 비정상 사용자 그룹으로 결정하는 단계
    를 포함하는 어뷰저 탐지 방법.
  7. 제6항에 있어서,
    상기 클러스터링하는 단계는,
    상기 비정상 사용자 후보로 선정된 각 사용자의 트랜잭션 데이터를 이용하여 상기 비정상 사용자 후보 간의 활동 유사도를 산출하는 단계;
    상기 비정상 사용자 후보 간 활동 유사도를 이용하여 상기 비정상 사용자 후보 각각의 유사도 특징(similarity signature)을 생성하는 단계; 및
    클러스터링 알고리즘을 통해 상기 비정상 사용자 후보 별 유사도 특징을 클러스터링하는 단계
    를 포함하는 어뷰저 탐지 방법.
  8. 제6항에 있어서,
    상기 결정하는 단계는,
    상기 클러스터의 밀도와 비정상 사용자 후보 수 및 평균 유사도 크기 중 적어도 하나를 기준으로 상기 비정상 사용자 그룹을 결정하는 것
    을 특징으로 하는 어뷰저 탐지 방법.
  9. 제6항에 있어서,
    상기 결정하는 단계는,
    상기 클러스터에 포함된 비정상 사용자 후보 수가 임계 범위를 벗어나면 해당 클러스터를 상기 비정상 사용자 그룹으로 결정하는 것
    을 특징으로 하는 어뷰저 탐지 방법.
  10. 제6항에 있어서,
    상기 결정하는 단계는,
    상기 클러스터의 밀도가 임계치 이상이면 해당 클러스터를 상기 비정상 사용자 그룹으로 결정하는 것
    을 특징으로 하는 어뷰저 탐지 방법.
  11. 제6항에 있어서,
    상기 결정하는 단계는,
    상기 클러스터에 속한 비정상 사용자 후보 별 유사도 특징에 대한 평균 유사도 크기가 임계치 이상이면 해당 클러스터를 상기 비정상 사용자 그룹으로 결정하는 것
    을 특징으로 하는 어뷰저 탐지 방법.
  12. 제1항에 있어서,
    상기 어뷰저 탐지 방법은,
    상기 비정상 사용자 그룹을 이용하여 상기 컨텐츠의 트랜잭션 데이터를 관리하는 단계
    를 더 포함하는 어뷰저 탐지 방법.
  13. 제12항에 있어서,
    상기 관리하는 단계는,
    상기 비정상 사용자 그룹에 속한 사용자의 활동에 따른 트랜잭션 데이터를 제외시키거나 마이너스 가중치를 반영하여 상기 컨텐츠의 트랜잭션 데이터를 집계하는 것
    을 특징으로 하는 어뷰저 탐지 방법.
  14. 제1항 내지 제13항 중 어느 한 항의 어뷰저 탐지 방법을 컴퓨터에 실행시키기 위한 프로그램이 기록되어 있는 비-일시적인 컴퓨터 판독 가능한 기록 매체.
  15. 컴퓨터 시스템에 있어서,
    메모리; 및
    상기 메모리와 연결되고, 상기 메모리에 포함된 컴퓨터 판독 가능한 명령들을 실행하도록 구성된 적어도 하나의 프로세서
    를 포함하고,
    상기 적어도 하나의 프로세서는,
    컨텐츠에 대한 사용자 활동에 따른 트랜잭션 데이터의 분석을 통해 비정상적인 활동을 규정하기 위한 것으로,
    사용자 별 트랜잭션 데이터를 이용하여 비정상 사용자 후보를 선정하는 후보 선정부; 및
    상기 비정상 사용자 후보 간의 활동 유사도를 바탕으로 조직적 활동 패턴을 가진 비정상 사용자 그룹을 탐지하는 어뷰저 탐지부
    를 포함하는 컴퓨터 시스템.
  16. 제15항에 있어서,
    상기 후보 선정부는,
    컨텐츠를 소비하는 각 사용자 별로 트랜잭션 데이터의 비정상적인 정도를 나타내는 이상 스코어를 산출하고,
    컨텐츠를 소비하는 전체 사용자 중에서 상기 이상 스코어가 상기 전체 사용자의 이상 스코어 평균보다 임계치 이상 높은 사용자를 상기 비정상 사용자 후보로 선정하는 것
    을 특징으로 하는 컴퓨터 시스템.
  17. 제15항에 있어서,
    상기 어뷰저 탐지부는,
    상기 비정상 사용자 후보 간의 활동 유사도를 바탕으로 상기 비정상 사용자 후보를 클러스터링하고,
    상기 클러스터링된 클러스터 중 규정된 기준에 속하는 클러스터를 상기 비정상 사용자 그룹으로 결정하는 것
    을 특징으로 하는 컴퓨터 시스템.
  18. 제17항에 있어서,
    상기 어뷰저 탐지부는,
    상기 비정상 사용자 후보로 선정된 각 사용자의 트랜잭션 데이터를 이용하여 상기 비정상 사용자 후보 간의 활동 유사도를 산출하고,
    상기 비정상 사용자 후보 간 활동 유사도를 이용하여 상기 비정상 사용자 후보 각각의 유사도 특징을 생성하고,
    클러스터링 알고리즘을 통해 상기 비정상 사용자 후보 별 유사도 특징을 클러스터링하는 것
    을 특징으로 하는 컴퓨터 시스템.
  19. 제17항에 있어서,
    상기 어뷰저 탐지부는,
    상기 클러스터의 밀도와 비정상 사용자 후보 수 및 평균 유사도 크기 중 적어도 하나를 기준으로 상기 비정상 사용자 그룹을 결정하는 것
    을 특징으로 하는 컴퓨터 시스템.
KR1020180105710A 2018-09-05 2018-09-05 활동 데이터 분석을 통해 비정상 사용자 그룹을 탐지하는 방법 및 시스템 KR102209100B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180105710A KR102209100B1 (ko) 2018-09-05 2018-09-05 활동 데이터 분석을 통해 비정상 사용자 그룹을 탐지하는 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180105710A KR102209100B1 (ko) 2018-09-05 2018-09-05 활동 데이터 분석을 통해 비정상 사용자 그룹을 탐지하는 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20200027649A true KR20200027649A (ko) 2020-03-13
KR102209100B1 KR102209100B1 (ko) 2021-01-28

Family

ID=69938555

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180105710A KR102209100B1 (ko) 2018-09-05 2018-09-05 활동 데이터 분석을 통해 비정상 사용자 그룹을 탐지하는 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102209100B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102707276B1 (ko) * 2023-05-12 2024-09-19 에이비씨디 주식회사 서비스 평가 방법 및 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110067630A (ko) * 2009-12-15 2011-06-22 주식회사 엔씨소프트 온라인 게임 서비스를 위한 불량유저 모니터링 시스템 및 그 방법
KR20120114040A (ko) * 2011-04-06 2012-10-16 주식회사 바닐라하우스텐 Cpc 광고 기법에서의 어뷰징 감시 방법 및 어뷰징 감시 시스템
KR20140022258A (ko) * 2012-08-13 2014-02-24 (주)나루씨큐리티 소셜네트워크서비스 메시지 분석 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110067630A (ko) * 2009-12-15 2011-06-22 주식회사 엔씨소프트 온라인 게임 서비스를 위한 불량유저 모니터링 시스템 및 그 방법
KR20120114040A (ko) * 2011-04-06 2012-10-16 주식회사 바닐라하우스텐 Cpc 광고 기법에서의 어뷰징 감시 방법 및 어뷰징 감시 시스템
KR20140022258A (ko) * 2012-08-13 2014-02-24 (주)나루씨큐리티 소셜네트워크서비스 메시지 분석 방법 및 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102707276B1 (ko) * 2023-05-12 2024-09-19 에이비씨디 주식회사 서비스 평가 방법 및 시스템

Also Published As

Publication number Publication date
KR102209100B1 (ko) 2021-01-28

Similar Documents

Publication Publication Date Title
CN107613022B (zh) 内容推送方法、装置及计算机设备
US11086646B2 (en) Tenant-side detection, classification, and mitigation of noisy-neighbor-induced performance degradation
US9569536B2 (en) Identifying similar applications
CN104765874B (zh) 用于检测点击作弊的方法及装置
KR20180121466A (ko) 딥러닝을 활용한 개인화 상품 추천
JP2018181326A (ja) ディープラーニングを活用した個人化商品推薦
JP6911603B2 (ja) ユーザによって訪問される施設のカテゴリの予測モデルを生成する方法、プログラム、サーバ装置、及び処理装置
KR20180044481A (ko) 검색 컨텍스트를 이용한 질의 추천 방법 및 시스템
JP6987209B2 (ja) ディープラーニングに基づく文書類似度測定モデルを利用した重複文書探知方法およびシステム
JP2021026779A (ja) 個人化コンテンツ推薦のためのリアルタイムグラフに基づく埋め込み構築方法およびシステム
US20210390152A1 (en) Method, system, and non-transitory computer-readable record medium for providing multiple models of federated learning using personalization
CN107908616B (zh) 预测趋势词的方法和装置
WO2010084839A1 (ja) 尤度推定装置、コンテンツ配信システム、尤度推定方法および尤度推定プログラム
KR20210006122A (ko) 사용자의 위치 정보와 행사장 별 이벤트 정보를 이용하여 사용자의 관심사를 분석하는 방법, 시스템, 및 비-일시적인 컴퓨터 판독가능한 기록 매체에 저장되는 컴퓨터 프로그램
KR102209100B1 (ko) 활동 데이터 분석을 통해 비정상 사용자 그룹을 탐지하는 방법 및 시스템
US9330209B1 (en) Characterizing an entity in an identifier space based on behaviors of unrelated entities in a different identifier space
WO2021100109A1 (ja) イベント予測方法、イベント予測装置及びプログラム
US11128722B2 (en) Evaluating the authenticity of geographic data based on user activity correlations
KR102242042B1 (ko) 데이터 라벨링 방법, 시스템 및 컴퓨터 프로그램
JP2022087835A (ja) コミュニティ分類方法、コンピュータプログラム、およびコンピュータ装置
CN111612280B (zh) 一种数据分析方法和装置
JP2022111020A (ja) 文書類似度学習に基づくディープラーニングモデルの転移学習方法およびコンピュータ装置
KR102147496B1 (ko) 유사 댓글의 연속 입력을 차단하기 위한 방법 및 시스템
US20180285366A1 (en) Method and system for subject-based ranking considering writer-reader interaction
KR102392209B1 (ko) 급상승 검색어의 시간적 변화 정보 제공 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right