KR20200088194A - Method and apparatus for detecting abnormal behavior of groupware user - Google Patents

Method and apparatus for detecting abnormal behavior of groupware user Download PDF

Info

Publication number
KR20200088194A
KR20200088194A KR1020190010285A KR20190010285A KR20200088194A KR 20200088194 A KR20200088194 A KR 20200088194A KR 1020190010285 A KR1020190010285 A KR 1020190010285A KR 20190010285 A KR20190010285 A KR 20190010285A KR 20200088194 A KR20200088194 A KR 20200088194A
Authority
KR
South Korea
Prior art keywords
uri
sequence
raw
user
behavior
Prior art date
Application number
KR1020190010285A
Other languages
Korean (ko)
Other versions
KR102151173B1 (en
Inventor
박승영
심상규
김덕수
이석우
김명진
Original Assignee
펜타시큐리티시스템 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 펜타시큐리티시스템 주식회사 filed Critical 펜타시큐리티시스템 주식회사
Priority to US16/277,478 priority Critical patent/US11336668B2/en
Priority to JP2019027679A priority patent/JP6757991B2/en
Publication of KR20200088194A publication Critical patent/KR20200088194A/en
Application granted granted Critical
Publication of KR102151173B1 publication Critical patent/KR102151173B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Provided is a method for detecting whether behavior of a groupware user is an abnormal behavior, which comprises the steps of: obtaining a uniform resource identifier (URI) from a behavior of a user; generating a URI sequence from the URI based on a predetermined time interval; pre-processing the URI sequence to generate a primitive URI sequence; calculating a log probability value from the original URI sequence; and detecting whether the behavior of the user is an abnormal behavior based on the log probability value and the predetermined threshold value.

Description

그룹웨어 사용자의 이상 행위 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING ABNORMAL BEHAVIOR OF GROUPWARE USER}METHOD AND APPARATUS FOR DETECTING ABNORMAL BEHAVIOR OF GROUPWARE USER}

본 발명은 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치에 관한 것으로, 더욱 상세하게는 사용자가 그룹웨어(groupware)에 접속 시 생성된 URI(Uniform Resource Identifier)를 이용하여 사용자의 이상 행위를 탐지하는 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for detecting anomalous behavior of a groupware user, and more specifically, a method and apparatus for detecting anomalous behavior of a user using a Uniform Resource Identifier (URI) generated when a user accesses groupware. It is about.

협업 소프트웨어로도 불리는 그룹웨어(groupware)는 여러 사용자가 별개의 작업 환경에서 통합된 하나의 프로젝트를 동시에 수행할 수 있도록 지원하는 소프트웨어를 의미할 수 있다. 여기서, 그룹웨어의 개별 사용자는 각자 부여된 접속 정보를 이용하여 그룹웨어에 접속할 수 있으며, 이러한 그룹웨어의 접속 정보가 공격자에 의해 탈취될 경우, 공격자가 사용자의 권한을 그대로 사용할 수 있는 문제점이 있다.Groupware, also called collaborative software, may refer to software that enables multiple users to simultaneously perform a single integrated project in separate work environments. Here, the individual users of the groupware can access the groupware by using the access information respectively provided, and when the access information of the groupware is captured by an attacker, there is a problem that the attacker can use the user's authority as it is.

이러한 문제점을 해결하기 위하여 종래에는 접속 정보 자체에 대한 암호화 등과 같은 보안 조치를 하는 방법이 이용되거나, 공격자의 외부 접속을 차단하는 방법이 주로 이용되었다. 다만, 이러한 종래 방법들만으로는 공격자가 사용자 대신에 그룹웨어에 접속하는 것을 완전히 배제할 수 없으므로 다른 대안이 필요한 실정이다.In order to solve this problem, a method of performing security measures such as encryption of access information itself has been conventionally used, or a method of blocking an external access of an attacker has been mainly used. However, these conventional methods alone cannot completely exclude an attacker from accessing groupware on behalf of the user, and thus, other alternatives are required.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 그룹웨어 사용자의 이상 행위 탐지 방법을 제공하는 데 있다.An object of the present invention for solving the above problems is to provide a method for detecting abnormal behavior of a groupware user.

상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은 그룹웨어 사용자의 이상 행위 탐지 장치를 제공하는 데 있다.Another object of the present invention for solving the above problems is to provide an apparatus for detecting abnormal behavior of a groupware user.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 이상 행위 탐지 방법은, 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득하는 단계, 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성하는 단계, URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성하는 단계, 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 단계 및 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지하는 단계를 포함할 수 있다.An abnormal behavior detection method according to an embodiment of the present invention for achieving the above object includes: obtaining a Uniform Resource Identifier (URI) from a user's behavior, and generating a URI sequence from the URI based on a predetermined time interval , Pre-processing the URI sequence to generate a primitive URI sequence, calculating a log probability value from the raw URI sequence, and detecting whether the user's behavior is an abnormal behavior based on the log probability value and a predetermined threshold value It may include the steps.

여기서, 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성하는 단계는, URI가 복수인 경우, 시간적으로 인접한 URI 간의 시간 간격과 미리 결정한 시간 간격을 비교하여 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성하는 단계를 포함할 수 있다.Here, the step of generating a URI sequence from the URI based on a predetermined time interval includes, when there are multiple URIs, comparing the time interval between temporally adjacent URIs and a predetermined time interval to include at least one URI among the plurality of URIs. It may include the step of generating at least one URI sequence.

여기서, URI 시퀀스에 전처리를 수행하여 원시 URI 시퀀스를 생성하는 단계는, URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 원시 URI 시퀀스를 생성하는 단계를 포함할 수 있다.Here, the step of generating a raw URI sequence by preprocessing the URI sequence may include generating a raw URI sequence by deleting a key value from at least one URI included in the URI sequence.

여기서, 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 단계는, 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출하는 단계 및 전이 확률을 기초로 로그 확률 값을 산출하는 단계를 포함할 수 있다.Here, the step of calculating the log probability value from the raw URI sequence includes: calculating a transition probability based on at least one raw URI included in the raw URI sequence and calculating a log probability value based on the transition probability It may include the steps.

여기서, 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률을 산출하는 단계는, 원시 URI 시퀀스와 미리 설정된 날로부터 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 전이 확률을 산출하는 단계를 포함할 수 있다.Here, the step of calculating the transition probability based on at least one raw URI included in the raw URI sequence is based on the raw URI sequence and the raw URI sequence from a preset date to a reference date according to the day when the user's action occurred. And calculating a probability.

여기서, 사용자의 행위가 발생한 날에 따른 기준일은, 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정될 수 있다.Here, the reference date according to the day when the user's action occurs may be determined before a preset number of days from the day when the user's action occurs.

여기서, 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지하는 단계는, 로그 확률 값이 미리 결정된 문턱치 값보다 낮은 경우, 사용자의 행위를 이상 행위로 판단하는 단계를 포함할 수 있다.Here, the step of detecting whether the user's behavior is an abnormal behavior based on the log probability value and the predetermined threshold value may include determining the user's behavior as an abnormal behavior when the log probability value is lower than the predetermined threshold value. Can.

상기 다른 목적을 달성하기 위한 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는, 프로세서(processor) 및 프로세서를 통해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하고, 적어도 하나의 명령은, 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득하도록 실행되고, 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성하도록 실행되고, URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성하도록 실행되고, 원시 URI 시퀀스로부터 로그 확률 값을 산출하도록 실행되고, 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지하도록 실행될 수 있다.An abnormal behavior detection apparatus according to an embodiment of the present invention for achieving the other object includes a processor and a memory in which at least one instruction executed through the processor is stored, and the at least one instruction is , Is executed to obtain a Uniform Resource Identifier (URI) from the user's action, is generated to generate a URI sequence from the URI based on a predetermined time interval, and performs preprocessing on the URI sequence to generate a primitive URI sequence It is executed, and is executed to calculate a log probability value from the original URI sequence, and may be executed to detect whether the user's action is an abnormal action based on the log probability value and a predetermined threshold value.

여기서, 적어도 하나의 명령은, URI가 복수인 경우, 시간적으로 인접한 URI 간의 시간 간격과 미리 결정한 시간 간격을 비교하여 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성하도록 실행될 수 있다.Here, the at least one command may be executed to generate a sequence of at least one URI including at least one URI among a plurality of URIs by comparing a time interval between a temporally adjacent URI and a predetermined time interval when there are multiple URIs. have.

여기서, 적어도 하나의 명령은, URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 원시 URI 시퀀스를 생성하도록 실행될 수 있다.Here, the at least one command may be executed to generate a raw URI sequence by deleting a key value from at least one URI included in the URI sequence.

여기서, 적어도 하나의 명령은, 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출하도록 실행되고, 전이 확률을 기초로 로그 확률 값을 산출하도록 실행될 수 있다.Here, the at least one instruction is executed to calculate a transition probability based on at least one raw URI included in the original URI sequence, and may be executed to calculate a log probability value based on the transition probability.

여기서, 적어도 하나의 명령은, 원시 URI 시퀀스와 미리 설정된 날로부터 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 전이 확률을 산출하도록 실행될 수 있다.Here, the at least one command may be executed to calculate a transition probability based on the raw URI sequence and the raw URI sequence from a preset date to a reference date according to the day when the user's action occurred.

여기서, 사용자의 행위가 발생한 날에 따른 기준일은, 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정될 수 있다.Here, the reference date according to the day when the user's action occurs may be determined before a preset number of days from the day when the user's action occurs.

여기서, 적어도 하나의 명령은, 로그 확률 값이 미리 결정된 문턱치 값보다 낮은 경우, 사용자의 행위를 이상 행위로 판단하도록 실행될 수 있다.Here, when the log probability value is lower than a predetermined threshold value, at least one command may be executed to determine the user's behavior as an abnormal behavior.

본 발명에 따르면, 공격자가 그룹웨어에 접속할 수 있는 사용자의 접속 정보를 탈취하여 침투하는 것을 탐지할 수 있다.According to the present invention, it is possible to detect that an attacker steals and penetrates the access information of a user who can access the groupware.

본 발명에 따르면, 복수의 사용자가 별도의 작업 환경에서 안전하게 하나의 프로젝트를 함께 수행할 수 있다.According to the present invention, a plurality of users can safely perform one project together in a separate work environment.

도 1은 본 발명의 일 실시예에 따른 원시 URI 시퀀스를 생성하는 방법을 설명하는 도면이다.
도 2는 본 발명의 일 실시예에 따른 TP 값을 업데이트하는 방법을 설명하는 도면이다.
도 3은 본 발명의 일 실시예에 따른 초기 TP 값을 산출하는 알고리즘을 나타낸 도면이다.
도 4는 본 발명의 일 실시예에 따른 사용자의 행위 발생일로부터 기준일 이전의 원시 URI 시퀀스를 이용하는 제1 방법에 따라 TP 값을 업데이트하는 알고리즘을 나타낸 도면이다.
도 5는 본 발명의 일 실시예에 따른 사용자의 행위 발생일로부터 기준일 이전의 원시 URI 시퀀스 중 일부를 이용하는 제2 방법에 따라 TP 값을 업데이트하는 알고리즘을 나타낸 도면이다.
도 6은 본 발명의 일 실시예에 따른 이상 행위 탐지 장치의 블록 구성도이다.
도 7은 본 발명의 일 실시예에 따른 이상 행위 탐지 방법의 순서도이다.1 is a diagram illustrating a method of generating a raw URI sequence according to an embodiment of the present invention.
2 is a diagram illustrating a method of updating a TP value according to an embodiment of the present invention.
3 is a diagram showing an algorithm for calculating an initial TP value according to an embodiment of the present invention.
4 is a diagram illustrating an algorithm for updating a TP value according to a first method using a raw URI sequence before a reference date from a user's action occurrence date according to an embodiment of the present invention.
5 is a diagram illustrating an algorithm for updating a TP value according to a second method using a portion of a raw URI sequence before a reference date from a user's action occurrence date according to an embodiment of the present invention.
6 is a block diagram of an abnormal behavior detection device according to an embodiment of the present invention.
7 is a flowchart of an abnormal behavior detection method according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. The present invention can be applied to various changes and can have various embodiments, and specific embodiments will be illustrated in the drawings and described in detail in the detailed description. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention. In describing each drawing, similar reference numerals are used for similar components.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는 데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. "및/또는"이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. Terms such as first, second, A, and B may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from other components. For example, the first component may be referred to as a second component without departing from the scope of the present invention, and similarly, the second component may be referred to as a first component. The term “and/or” includes a combination of a plurality of related described items or any one of a plurality of related described items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When an element is said to be "connected" or "connected" to another component, it is understood that other components may be directly connected to or connected to the other component, but there may be other components in between. It should be. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that no other component exists in the middle.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in this application are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, terms such as “include” or “have” are intended to indicate that a feature, number, step, operation, component, part, or combination thereof described in the specification exists, and that one or more other features are present. It should be understood that the existence or addition possibilities of fields or numbers, steps, operations, components, parts or combinations thereof are not excluded in advance.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by a person skilled in the art to which the present invention pertains. Terms, such as those defined in a commonly used dictionary, should be interpreted as having meanings consistent with meanings in the context of related technologies, and should not be interpreted as ideal or excessively formal meanings unless explicitly defined in the present application. Does not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다. 이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate the overall understanding in describing the present invention, the same reference numerals are used for the same components in the drawings, and duplicate descriptions for the same components are omitted. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명의 설명에서 그룹웨어(groupware)는 복수의 사용자가 같은 작업을 하거나 스케줄에 맞추어 공동 작업을 하는 데 적합하도록 설계된 소프트웨어를 의미할 수 있으며, 이는 기업, 기관 및 단체 등의 구성원들이 컴퓨터로 연결된 작업장에서 서로 협력하여 업무 효율을 높이기 위해 사용될 수 있다.In the description of the present invention, groupware (groupware) may mean software designed to be suitable for a plurality of users to perform the same task or collaborate on a schedule, which is a workplace where members of companies, institutions, and organizations are connected to a computer. In cooperation with each other can be used to increase work efficiency.

통합 자원 식별자(Uniform Resource Identifier, URI)는 특정 자원을 식별하는 문자열을 의미할 수 있으며, URL(Uniform Resource Locator) 및 URN(Uniform Resource Name)는 URI의 하위 개념으로 포함될 수 있다. URI는 일관성을 보장하기 위해 모든 URI는 미리 정의된 구문 규칙(syntax rule)들의 집합을 따를 수 있으며, 별도로 정의된 계층적 네이밍 스키마(naming scheme)를 통해 확상성을 유지할 수도 있다. The Uniform Resource Identifier (URI) may mean a string that identifies a specific resource, and a Uniform Resource Locator (URL) and Uniform Resource Name (URN) may be included as a sub-concept of the URI. To ensure consistency, all URIs may follow a set of predefined syntax rules, and maintain scalability through a hierarchical naming scheme defined separately.

URI 시퀀스(sequence)는 사용자가 그룹웨어에 접속 시 사용자의 행위에 따라 차례로 발생되는 복수의 URI 또는 URI 집합을 의미할 수 있다.The URI sequence may mean a plurality of URIs or a set of URIs that are sequentially generated according to a user's behavior when a user accesses groupware.

본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 특정 행위에 따라 발생되는 URI 시퀀스를 이용하여 사용자의 행위를 정의할 수 있다. 다만, URI는 사용자의 행위에 따라 달라지므로, 이상 행위 탐지 장치는 사용자의 유사 행위들을 서로 다른 행위들로 판단되지 않기 위해 발생되는 URI에 대하여 전처리를 수행할 수 있다.The apparatus for detecting anomalies according to an embodiment of the present invention may define a user's behavior using a URI sequence generated according to a specific behavior. However, since the URI varies according to the user's behavior, the apparatus for detecting anomalies may perform pre-processing on the URI generated in order not to judge similar behaviors of the user as different behaviors.

URI 전처리 과정은 사용자의 행위에 따라 발생하는 URI에 키 값(key value)를 제거 또는 삭제하는 과정을 의미할 수 있다. 여기서, 키 값은 URI에서 사용자의 쿠기 및 게시판의 게시물 번호 등과 같이 여러 요인에 의해 변화되는 값을 의미할 수 있다.The URI preprocessing process may refer to a process of removing or deleting a key value in a URI generated according to a user's action. Here, the key value may mean a value changed by various factors such as a user's cookie and a bulletin board post number in the URI.

보다 상세하게는 사용자가 동일한 게시판에 접속한 두 행위를 예로 들어 설명하겠다. 동일한 게시판에 대하여 사용자가 첫 번째 접속한 경우와 두 번째 접속한 경우의 URI를 각각 제1 URI 및 제2 URI라고 지칭할 수 있으며, 표 1과 같다고 가정한다.In more detail, two actions of a user accessing the same bulletin board will be described as an example. URIs of the first access case and the second access case of the same bulletin board may be referred to as a first URI and a second URI, respectively, and are assumed to be in Table 1.

Figure pat00001
Figure pat00001

표 1을 참조하면, 제1 URI의 키 값은 1010000, 0 및 1481156427을 포함할 수 있고, 제2 URI의 키 값은 1010000, 0 및 1481241824를 포함할 수 있다.Referring to Table 1, key values of the first URI may include 1010000, 0, and 1481156427, and key values of the second URI may include 1010000, 0, and 1481241824.

본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자의 유사 행위들을 서로 다른 행위들로 판단되지 않기 위해 URI에 대한 전처리로서 각 URI에서 키 값을 제거 또는 삭제할 수 있으며, 제1 URI 및 제2 URI는 표 2와 같이 하나의 전처리된 URI로 통일될 수 있다.The apparatus for detecting anomalies according to an embodiment of the present invention may remove or delete a key value from each URI as a pre-processing for a URI in order not to judge similar behaviors of the user as different behaviors, the first URI and the second The URI may be unified into one pre-processed URI as shown in Table 2.

Figure pat00002
Figure pat00002

표 2를 참조하면, 제1 URI 및 제2 URI는 키 값을 삭제하여 하나의 전처리된 URI로 통일될 수 있으며, 전처리된 URI는 원시 URI(primitive URI)로 정의될 수 있다.Referring to Table 2, the first URI and the second URI may be unified into one pre-processed URI by deleting the key value, and the pre-processed URI may be defined as a primitive URI.

본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 상술한 바와 같은 URI 전처리 과정을 통해 복수의 URI를 하나의 전처리된 URI 또는 원시 URI로 변환 또는 통합할 수 있으며, 원시 URI를 기초로 사용자가 동일한 게시판에 접속한 두 행위를 동일한 행위로 판단될 수 있다.The apparatus for detecting anomalies according to an embodiment of the present invention may convert or integrate a plurality of URIs into a single pre-processed URI or a raw URI through the URI pre-processing process as described above, and the user may be identical based on the raw URI. Two actions that access the bulletin board can be judged as the same action.

본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자가 그룹웨어에 접속하여 복수의 행위를 수행하므로, 복수의 행위 각각에 따라 발생하는 복수의 URI를 발생 순서대로 나열하여 URI 시퀀스(sequence)를 생성할 수 있다. 다시 말해, 이상 행위 탐지 장치는 사용자의 복수의 행위 각각에 따라 발생하는 복수의 URI에 대하여 각각 전처리를 수행하여 키 값을 제거할 수 있으며, 복수의 전처리된 URI 또는 복수의 원시 URI를 발생 순서에 따라 나열하여 원시 URI 시퀀스(primitive URI sequence)를 생성할 수 있다. 원시 URI 시퀀스를 생성하는 방법에 대해서는 도 1과 함께 상세히 후술하겠다.An abnormal behavior detection apparatus according to an embodiment of the present invention generates a URI sequence by listing a plurality of URIs generated according to each of a plurality of behaviors in order of occurrence because a user accesses groupware to perform a plurality of behaviors can do. In other words, the apparatus for detecting anomalies may remove key values by preprocessing each of the plurality of URIs generated according to each of the plurality of actions of the user, and the plurality of preprocessed URIs or the plurality of raw URIs in the order of occurrence. You can create a primitive URI sequence by listing accordingly. The method of generating the raw URI sequence will be described later in detail with reference to FIG. 1.

도 1은 본 발명의 일 실시예에 따른 원시 URI 시퀀스를 생성하는 방법을 설명하는 도면이다.1 is a diagram illustrating a method of generating a raw URI sequence according to an embodiment of the present invention.

도 1을 참조하면, 사용자는 그룹웨어에 접속하여 적어도 하나의 행위를 수행할 수 있으며, 행위마다 하나의 URI가 발생될 수 있다. 여기서, 하나의 행위에 대응하여 발생되는 하나의 URI는 URI 인스턴스(instance)라고 지칭될 수도 있다.Referring to FIG. 1, a user may perform at least one action by accessing groupware, and one URI may be generated for each action. Here, one URI generated in response to one action may be referred to as a URI instance.

본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자가 그룹웨어를 간헐적으로 이용하는 것을 가정하여 복수의 URI를 적어도 하나의 URI 시퀀스로 구분하기 위한 시간 간격이 미리 결정될 수 있다.The apparatus for detecting anomalies according to an embodiment of the present invention may predetermine a time interval for classifying a plurality of URIs into at least one URI sequence, assuming that the user uses the groupware intermittently.

다시 말해, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 복수의 URI 인스턴스가 발생되는 경우, 시간적으로 인접한 두 URI 인스턴스 간의 시간 간격(interval)이 미리 결정된 시간(Ts)을 초과하는 경우 선행 URI 인스턴스와 후행 URI 인스턴스를 서로 다른 일련의 행위로 구분하여 판단할 수 있다.In other words, the apparatus for detecting anomalies according to an embodiment of the present invention, when a plurality of URI instances are generated, precedes when the time interval between two temporally adjacent URI instances exceeds a predetermined time T s A URI instance and a trailing URI instance can be determined by dividing them into a series of different actions.

예를 들어, 제1 URI 인스턴스 내지 제6 URI 인스턴스가 순차적으로 발생하며, 제1 URI 인스턴스와 제2 URI 인스턴스 간의 시간 간격이 2초, 제2 URI 인스턴스와 제3 URI 인스턴스 간의 시간 간격이 1초, 제3 URI 인스턴스와 제4 URI 인스턴스 간의 시간 간격이 5초, 제4 URI 인스턴스와 제5 URI 인스턴스 간의 시간 간격이 3초 및 제5 URI 인스턴스와 제6 URI 인스턴스 간의 시간 간격이 2초이고, 미리 결정된 시간(Ts)이 4초인 경우, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 인접한 URI 인스턴스 간의 시간 간격이 4초보다 큰 제4 URI 인스턴스와 제4 URI 인스턴스를 서로 다른 일련의 행위로 구분할 수 있다.For example, the first to sixth URI instances occur sequentially, the time interval between the first URI instance and the second URI instance is 2 seconds, and the time interval between the second URI instance and the third URI instance is 1 second. , The time interval between the third URI instance and the fourth URI instance is 5 seconds, the time interval between the fourth URI instance and the fifth URI instance is 3 seconds, and the time interval between the fifth URI instance and the sixth URI instance is 2 seconds, When the predetermined time (T s ) is 4 seconds, the apparatus for detecting anomalies according to an embodiment of the present invention includes a series of different URIs and fourth URI instances having a time interval between adjacent URI instances greater than 4 seconds. It can be divided into actions.

다시 말해, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 제1 URI 인스턴스 내지 제4 URI 인스턴스를 나열 또는 군집하여 제1 URI 집합으로 판단할 수 있으며, 제4 URI 인스턴스 내지 제6 URI 인스턴스를 나열 또는 군집하여 제2 URI 집합으로 판단할 수 있다. 여기서, URI 집합은 URI 시퀀스로 정의될 수 있다.In other words, the apparatus for detecting anomalies according to an embodiment of the present invention may determine the first URI set by listing or clustering the first URI instance to the fourth URI instance, and determine the fourth URI instance to the sixth URI instance. It can be determined as a second set of URIs by listing or clustering. Here, the URI set may be defined as a URI sequence.

이후, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 하나의 URI 시퀀스에 포함된 적어도 하나의 URI 인스턴스 각각에 대하여 상술한 전처리를 수행할 수 있으며, 적어도 하나의 URI 인스턴스가 적어도 하나의 원시 URI 변환된 경우, 변환된 적어도 하나의 원시 URI를 포함하는 원시 URI 집합을 원시 URI 시퀀스라고 정의할 수 있다. 다시 말해, 원시 URI 시퀀스는 URI 시퀀스 내의 모든 URI를 전처리한 것을 의미할 수 있다. Thereafter, the apparatus for detecting anomalies according to an embodiment of the present invention may perform the above-described preprocessing for each of the at least one URI instance included in one URI sequence, and at least one URI instance may include at least one raw URI. When converted, a set of raw URIs including at least one of the converted raw URIs may be defined as a sequence of raw URIs. In other words, the raw URI sequence may mean preprocessing all URIs in the URI sequence.

본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자의 그룹웨어에 접속하여 특정 행위를 수행한 경우, 상술한 바에 따라 수행한 행위에 따른 URI를 기초로 원시 URI 시퀀스를 생성할 수 있으며, 이를 기초로 정규화된 로그 확률(Normalized Log Probability, NLP) 값을 산출할 수 있고, 산출한 NLP 값과 미리 결정된 문턱치 값과 비교하여 사용자의 특정 행위가 이상 행위인지 판단할 수 있다.The apparatus for detecting anomalous behavior according to an embodiment of the present invention may generate a raw URI sequence based on a URI according to an action performed as described above when a specific action is performed by accessing a user's groupware. The normalized log probability (NLP) value may be calculated, and compared with the calculated NLP value and a predetermined threshold value, it may be determined whether the user's specific behavior is an abnormal behavior.

보다 상세히 설명하면, 이상 행위 탐지 장치는 사용자의 행위에 따라 원시 URI 시퀀스를 생성할 수 있으며, 원시 URI 시퀀스에 대하여 미리 설정한 길이의 슬라이딩 윈도우(sliding window)를 이용하여 원시 URI 시퀀스로부터 원시 URI 서브시퀀스(subsequence)를 추출할 수 있다. 이후, 이상 행위 탐지 장치는 추출한 원시 URI 서브시퀀스로부터 로그 확률(Log Probability, LP) 값을 산출할 수 있다.In more detail, the anomaly detection apparatus may generate a raw URI sequence according to a user's behavior, and a raw URI sub from the raw URI sequence by using a sliding window having a preset length for the raw URI sequence. Subsequence can be extracted. Thereafter, the apparatus for detecting anomalies may calculate a log probability (LP) value from the extracted raw URI subsequence.

다만, 원시 URI 시퀀스의 길이가 슬라이팅 윈도우의 미리 설정한 길이보다 짧은 경우도 존재할 수 있으므로, 이러한 경우를 고려하기 위해 산출된 원시 URI 서브시퀀스의 LP 값을 원시 URI 서브시퀀스의 길이로 나누어 정규화된 로그 확률 값을 산출할 수 있다. 여기서, 원시 URI 시퀀스의 정규화된 로그 확률(NLP) 값은 수학식 1과 같이 전이 확률(Transition Probability, TP)의 곱에 대한 기하 평균(geometric mean)과 같으므로, 이를 통해 산출될 수 있다.However, since the length of the raw URI sequence may be shorter than the preset length of the slitting window, the LP value of the calculated raw URI subsequence is considered to be normalized by dividing it by the length of the raw URI subsequence. Log probability values can be calculated. Here, the normalized log probability (NLP) value of the raw URI sequence is the same as the geometric mean of the product of the transition probability (Transition Probability, TP) as in Equation 1, and thus can be calculated through this.

Figure pat00003
Figure pat00003

수학식 1에서, xk는 주어진 원시 URI 서브시퀀스 내의 k번째 원시 URI를 의미할 수 있고, K는 주어진 원시 URI 서브시퀀스의 길이를 의미할 수 있다. 또한, Pr(x0)는 x0의 확률값을 의미할 수 있고, Pr(xk +1|xk)는 xk에서 xk +1로의 전이 확률을 의미할 수 있다. 여기서, 전이 확률은 수학식 2와 같이 산출될 수 있다.In Equation 1, x k may mean the k-th original URI in a given native URI subsequence, and K may mean the length of a given native URI subsequence. In addition, Pr(x 0 ) may mean a probability value of x 0 , and Pr(x k +1 |x k ) is from x k It may mean the probability of transition to x k +1 . Here, the transition probability may be calculated as in Equation 2.

Figure pat00004
Figure pat00004

수학식 2에서, xk는 주어진 원시 URI 서브시퀀스 내의 k번째 원시 URI를 의미할 수 있고, Nij는 i번째 원시 URI와 j번째 원시 URI가 연속적으로 발생하는 횟수를 의미할 수 있다.In Equation 2, x k may refer to a k-th raw URI in a given raw URI subsequence, and N ij may refer to the number of consecutive occurrences of the i-th raw URI and the j-th raw URI.

본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 상술한 바에 따라 사용자의 행위에 따른 NLP 값을 산출할 수 있으며, 산출한 NLP 값이 미리 결정된 문턱치 값보다 낮은 경우, 사용자의 행위가 이상 행위인 것으로 판단할 수 있다.The apparatus for detecting anomalies according to an embodiment of the present invention may calculate an NLP value according to a user's behavior as described above, and when the calculated NLP value is lower than a predetermined threshold value, the user's behavior is an abnormal behavior You can judge that.

여기서, 사용자의 행위에 따른 NLP 값은 TP 값을 이용하여 산출되나, TP 값은 사용자의 과거 행위를 기초로 산출되므로, 사용자의 행위가 누적됨에 따라 업데이트될 수 있다. TP 값을 업데이트하는 방법에 대해서는 도 2와 함께 상세히 후술하겠다.Here, the NLP value according to the user's behavior is calculated using the TP value, but since the TP value is calculated based on the user's past behavior, it may be updated as the user's behavior is accumulated. The method of updating the TP value will be described later in detail with reference to FIG. 2.

도 2는 본 발명의 일 실시예에 따른 TP 값을 업데이트하는 방법을 설명하는 도면이다.2 is a diagram illustrating a method of updating a TP value according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 TP 값을 업데이트할 수 있다. TP 값의 업데이트는 실시간으로 수행될 수 있으나, 일정 주기마다 수행될 수도 있다. 본 발명의 설명에서는 TP 값을 실시간으로 업데이트하는 방법에 대하여 상세히 설명하겠다. 여기서, TP 값을 실시간을 업데이트하는 방법은 탐지 대상인 사용자의 행위가 발생된 일자에 따라 TP 값을 다시 산출하는 방법일 수 있으므로, 사용자의 행위가 발생된 일자를 기준으로 TP 값을 산출하는 방법을 설명하겠다. The apparatus for detecting anomalies according to an embodiment of the present invention may update the TP value. Update of the TP value may be performed in real time, but may also be performed at regular intervals. In the description of the present invention, a method of updating the TP value in real time will be described in detail. Here, the method of updating the TP value in real time may be a method of re-calculating the TP value according to the date of occurrence of the user to be detected, so the method of calculating the TP value based on the date of occurrence of the user's behavior Let me explain.

본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자의 행위에 따른 NLP 값을 산출하는 경우, 사용자의 행위 직전까지의 원시 URI 시퀀스를 이용하여 TP 값을 산출할 수 있으나, 사용자의 행위 직전에 이상 행위가 포함되어 있는 경우, TP 값이 부정확할 수 있으므로, 사용자의 행위로부터 기준일 이전까지의 원시 URI 시퀀스만을 이용하여 TP 값을 산출할 수 있다.The apparatus for detecting anomalous behavior according to an embodiment of the present invention may calculate a TP value by using a raw URI sequence until immediately before the user's behavior, when calculating the NLP value according to the user's behavior, but immediately before the user's behavior When an abnormal behavior is included, since the TP value may be incorrect, the TP value can be calculated using only the raw URI sequence from the user's behavior to the reference date or earlier.

도 2를 참조하면, 탐지 대상인 사용자의 행위가 발생된 일자는 d이며, 기준일은 D라고 가정할 수 있다. 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자의 행위가 발생된 일자가 Day d인 경우, 사용자의 행위에 따른 NLP 값을 산출하기 위해 Day d-D+1부터 Day d-1까지의 원시 URI 시퀀스는 이용하지 않으며, 미리 설정된 일자로부터 Day d-D까지의 원시 URI 시퀀스를 이용하여 TP 값을 산출할 수 있다.Referring to FIG. 2, it can be assumed that the date on which the user's action to be detected occurs is d, and the reference date is D. The apparatus for detecting anomalous behavior according to an embodiment of the present invention, from the day d-D+1 to the day d-1, calculates an NLP value according to the user's behavior when the date on which the user's behavior occurs is Day d. The raw URI sequence is not used, and the TP value can be calculated using the raw URI sequence from a preset date to Day dD.

여기서, TP 값의 산출을 위해 이용되는 원시 URI 시퀀스는 미리 설정된 기간에 따라 기준일로부터 산정된 미리 설정된 일자로부터 사용자의 행위 발생일로부터 기준일이전까지 발생된 원시 URI 시퀀스를 포함할 수 있고, 본 발명에 따른 이상 행위 탐지 방법이 수행되는 초기부터 지속적으로 누적된 원시 URI 시퀀스를 이용할 수 있으며, 누적된 원시 URI 시퀀스 중 특정 방법에 따라 일부만을 산출한 일부 원시 URI 시퀀스를 이용할 수도 있으나, 이에 한정되는 것은 아니다.Here, the raw URI sequence used for the calculation of the TP value may include a raw URI sequence generated from a preset date calculated from a reference date according to a preset period of time to a day before the reference date of the user's action. From the beginning of the anomaly detection method according to the method, the accumulated raw URI sequence may be continuously used, and some raw URI sequences obtained by calculating only a portion of the accumulated raw URI sequences may be used, but are not limited thereto. .

도 3은 본 발명의 일 실시예에 따른 초기 TP 값을 산출하는 알고리즘을 나타낸 도면이다.3 is a diagram showing an algorithm for calculating an initial TP value according to an embodiment of the present invention.

도 4는 본 발명의 일 실시예에 따른 사용자의 행위 발생일로부터 기준일 이전의 원시 URI 시퀀스를 이용하는 제1 방법에 따라 TP 값을 업데이트하는 알고리즘을 나타낸 도면이다.4 is a diagram illustrating an algorithm for updating a TP value according to a first method using a raw URI sequence before a reference date from a user's action occurrence date according to an embodiment of the present invention.

도 5는 본 발명의 일 실시예에 따른 사용자의 행위 발생일로부터 기준일 이전의 원시 URI 시퀀스 중 일부를 이용하는 제2 방법에 따라 TP 값을 업데이트하는 알고리즘을 나타낸 도면이다.5 is a diagram illustrating an algorithm for updating a TP value according to a second method using a portion of a raw URI sequence before a reference date from a user's action occurrence date according to an embodiment of the present invention.

도 3 내지 도 5에서, S는 원시 URI의 수를 의미할 수 있으며, U는 원시 URI가 발생되는 날자의 수를 의미할 수 있다. Nij는 i번째 원시 URI와 j번째 원시 URI가 연속적으로 발생하는 횟수를 의미할 수 있으며,

Figure pat00005
는 I 번째 원시 URI에서 j번째 원시 URI로 전이하는 전이 확률을 의미할 수 잇다. Xini는 초기 TP 값 산출을 위한 원시 URI 시퀀스의 집합을 의미할 수 있으며, Xd는 Day d에서의 원시 URI 시퀀스의 집합을 의미할 수 있다. xk는 x 벡터의 k번째 요소를 의미할 수 있으며,
Figure pat00006
는 0과 1 사이의 값을 가지는 망각 요소(forgetting factor)를 의미할 수 있다.3 to 5, S may mean the number of raw URIs, and U may mean the number of dates in which the raw URI is generated. N ij can mean the number of consecutive occurrences of the i-th raw URI and the j-th raw URI,
Figure pat00005
Can mean a transition probability of transitioning from the I-th raw URI to the j-th raw URI. X ini may mean a set of raw URI sequences for calculating the initial TP value, and Xd may mean a set of raw URI sequences in Day d. x k may mean the kth element of the x vector,
Figure pat00006
Can mean a forgetting factor having a value between 0 and 1.

도 6은 본 발명의 일 실시예에 따른 이상 행위 탐지 장치의 블록 구성도이다.6 is a block diagram of an abnormal behavior detection device according to an embodiment of the present invention.

도 6을 참조하면, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치(600)는 적어도 하나의 프로세서(610), 메모리(620) 및 저장 장치(630)를 포함할 수 있다.Referring to FIG. 6, the apparatus 600 for detecting anomalies according to an embodiment of the present invention may include at least one processor 610, a memory 620, and a storage device 630.

프로세서(610)는 메모리(620) 및/또는 저장 장치(630)에 저장된 프로그램 명령(program command)을 실행할 수 있다. 프로세서(610)는 중앙 처리 장치(CPU, Central Processing Unit), 그래픽 처리 장치(GPU, Graphics Processing Unit) 또는 본 발명에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리(620)와 저장 장치(630)는 휘발성 저장 매체 및/또는 비휘발성 저장 매체로 구성될 수 있다. 예를 들어, 메모리(620)는 읽기 전용 메모리(ROM, Read Only Memory) 및/또는 랜덤 액세스 메모리(RAM, Random Access Memory)로 구성될 수 있다.The processor 610 may execute program commands stored in the memory 620 and/or the storage device 630. The processor 610 may refer to a central processing unit (CPU), a graphics processing unit (GPU), or a dedicated processor on which methods according to the present invention are performed. The memory 620 and the storage device 630 may be composed of volatile storage media and/or non-volatile storage media. For example, the memory 620 may be composed of read only memory (ROM) and/or random access memory (RAM).

메모리(620)는 프로세서(610)를 통해 실행되는 적어도 하나의 명령을 저장하고 있을 수 있다. 적어도 하나의 명령은 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득하는 명령, 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성하는 명령, URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성하는 명령, 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 명령 및 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지하는 명령을 포함할 수 있다.The memory 620 may store at least one instruction executed through the processor 610. At least one command is a command for obtaining a Uniform Resource Identifier (URI) from a user's action, a command for generating a URI sequence from a URI based on a predetermined time interval, and preprocessing the URI sequence to generate a primitive URI sequence. It may include a command to generate, a command to calculate a log probability value from a raw URI sequence, and a command to detect whether a user's action is an abnormal action based on a log probability value and a predetermined threshold value.

여기서, 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성하는 명령은, URI가 복수인 경우, 시간적으로 인접한 URI 간의 시간 간격과 미리 결정한 시간 간격을 비교하여 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성하는 명령을 포함할 수 있다.Here, the command for generating a URI sequence from a URI based on a predetermined time interval, when there are multiple URIs, compares a time interval between temporally adjacent URIs and a predetermined time interval to include at least one URI among the plurality of URIs It may include a command for generating at least one URI sequence.

여기서, URI 시퀀스에 전처리를 수행하여 원시 URI 시퀀스를 생성하는 명령은, URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 원시 URI 시퀀스를 생성하는 명령을 포함할 수 있다.Here, the command for generating a raw URI sequence by preprocessing the URI sequence may include a command for generating a raw URI sequence by deleting a key value from at least one URI included in the URI sequence.

여기서, 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 명령은, 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출하는 명령 및 전이 확률을 기초로 로그 확률 값을 산출하는 명령을 포함할 수 있다.Here, the command for calculating the log probability value from the raw URI sequence calculates the log probability value based on the transition probability and the command for calculating a transition probability based on at least one raw URI included in the raw URI sequence. It may contain a command.

여기서, 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률을 산출하는 명령은, 원시 URI 시퀀스와 미리 설정된 날로부터 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 전이 확률을 산출하는 명령을 포함할 수 있다.Here, the command for calculating the transition probability based on at least one raw URI included in the raw URI sequence is transferred based on the raw URI sequence and a raw URI sequence from a preset date to a reference date according to the day when the user's action occurred. It may include instructions for calculating the probability.

여기서, 사용자의 행위가 발생한 날에 따른 기준일은, 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정될 수 있다.Here, the reference date according to the day when the user's action occurs may be determined before a preset number of days from the day when the user's action occurs.

여기서, 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지하는 명령은, 로그 확률 값이 미리 결정된 문턱치 값보다 낮은 경우, 사용자의 행위를 이상 행위로 판단하는 명령을 포함할 수 있다.Here, the command for detecting whether the user's action is an abnormal action based on the log probability value and the predetermined threshold value includes a command for determining the user's action as an abnormal action when the log probability value is lower than the predetermined threshold value. Can.

도 7은 본 발명의 일 실시예에 따른 이상 행위 탐지 방법의 순서도이다.7 is a flowchart of an abnormal behavior detection method according to an embodiment of the present invention.

도 7을 참조하면, 본 발명의 일 실시예에 따른 이상 행위 탐지 장치는 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득할 수 있으며(S710), 미리 결정한 시간 간격을 기초로 URI로부터 URI 시퀀스를 생성할 수 있다(S720). 여기서, 이상 행위 탐지 장치는 URI가 복수인 경우 시간적으로 인접한 URI 간의 시간 간격과 미리 결정한 시간 간격을 비교하여 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성할 수 있다.Referring to FIG. 7, the apparatus for detecting anomalies according to an embodiment of the present invention may obtain a Uniform Resource Identifier (URI) from a user's behavior (S710), and may generate a URI sequence from the URI based on a predetermined time interval. It can be generated (S720). Here, the apparatus for detecting anomalies may generate a sequence of at least one URI including at least one URI among a plurality of URIs by comparing a time interval and a predetermined time interval between temporally adjacent URIs when there are multiple URIs.

이상 행위 탐지 장치는 URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성할 수 있다(S730). 여기서, 이상 행위 탐지 장치는 URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 원시 URI 시퀀스를 생성하는 단계를 포함할 수 있다. The anomaly detection apparatus may generate a primitive URI sequence by performing pre-processing on the URI sequence (S730 ). Here, the apparatus for detecting anomalies may include generating a raw URI sequence by deleting a key value from at least one URI included in the URI sequence.

이상 행위 탐지 장치는 원시 URI 시퀀스로부터 로그 확률 값을 산출할 수 있다(S740). 여기서, 이상 행위 탐지 장치는 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출할 수 있고, 전이 확률을 기초로 로그 확률 값을 산출하는 단계를 포함할 수 있다. 또한, 이상 행위 탐지 장치는 원시 URI 시퀀스와 미리 설정된 날로부터 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 전이 확률을 산출할 수 있으며, 사용자의 행위가 발생한 날에 따른 기준일을 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정할 수 있다. The anomaly detection apparatus may calculate a log probability value from the raw URI sequence (S740). Here, the apparatus for detecting anomalies may calculate a transition probability based on at least one raw URI included in the original URI sequence, and include calculating a log probability value based on the transition probability. . In addition, the apparatus for detecting anomalies may calculate a transition probability based on a raw URI sequence and a raw URI sequence from a preset date to a reference date according to the day when the user's action occurred, and determine a reference date according to the day when the user's action occurs. It can be determined before the preset number of days from the day when the user's action occurred.

이상 행위 탐지 장치는 로그 확률 값과 미리 결정된 문턱치 값을 기초로 사용자의 행위가 이상 행위인지 탐지할 수 있다(S750). 다시 말해, 이상 행위 탐지 장치는 로그 확률 값이 미리 결정된 문턱치 값보다 낮은 경우, 사용자의 행위를 이상 행위로 판단할 수 있다.The abnormal behavior detection device may detect whether the user's behavior is an abnormal behavior based on the log probability value and a predetermined threshold value (S750 ). In other words, when the log probability value is lower than a predetermined threshold value, the abnormal behavior detection device may determine the user's behavior as an abnormal behavior.

본 발명의 실시예에 따른 동작은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 또는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터로 읽을 수 있는 프로그램 또는 코드가 저장되고 실행될 수 있다. The operation according to the embodiment of the present invention can be implemented as a computer-readable program or code on a computer-readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system are stored. The computer-readable recording medium can also be distributed over network coupled computer systems so that computer-readable programs or codes are stored and executed in a distributed fashion.

또한, 컴퓨터가 읽을 수 있는 기록매체는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다. 프로그램 명령은 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다.In addition, the computer-readable recording medium may include a hardware device specially configured to store and execute program instructions, such as a ROM, a RAM, and a flash memory. Program instructions may include high-level language code that can be executed by a computer using an interpreter or the like, as well as machine code such as those produced by a compiler.

본 발명의 일부 측면들은 장치의 문맥에서 설명되었으나, 그것은 상응하는 방법에 따른 설명 또한 나타낼 수 있고, 여기서 블록 또는 장치는 방법 단계 또는 방법 단계의 특징에 상응한다. 유사하게, 방법의 문맥에서 설명된 측면들은 또한 상응하는 블록 또는 아이템 또는 상응하는 장치의 특징으로 나타낼 수 있다. 방법 단계들의 몇몇 또는 전부는 예를 들어, 마이크로프로세서, 프로그램 가능한 컴퓨터 또는 전자 회로와 같은 하드웨어 장치에 의해(또는 이용하여) 수행될 수 있다. 몇몇의 실시예에서, 가장 중요한 방법 단계들의 하나 이상은 이와 같은 장치에 의해 수행될 수 있다. While some aspects of the invention have been described in the context of an apparatus, it can also represent a description according to a corresponding method, where a block or apparatus corresponds to a method step or a feature of a method step. Similarly, aspects described in the context of a method can also be characterized by a corresponding block or item or characteristic of a corresponding device. Some or all of the method steps may be performed by (or using) a hardware device, such as, for example, a microprocessor, programmable computer, or electronic circuit. In some embodiments, one or more of the most important method steps may be performed by such an apparatus.

실시예들에서, 프로그램 가능한 로직 장치(예를 들어, 필드 프로그래머블 게이트 어레이)가 여기서 설명된 방법들의 기능의 일부 또는 전부를 수행하기 위해 사용될 수 있다. 실시예들에서, 필드 프로그래머블 게이트 어레이는 여기서 설명된 방법들 중 하나를 수행하기 위한 마이크로프로세서와 함께 작동할 수 있다. 일반적으로, 방법들은 어떤 하드웨어 장치에 의해 수행되는 것이 바람직하다.In embodiments, a programmable logic device (eg, field programmable gate array) may be used to perform some or all of the functionality of the methods described herein. In embodiments, the field programmable gate array may work with a microprocessor to perform one of the methods described herein. In general, the methods are preferably performed by some hardware device.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to preferred embodiments of the present invention, those skilled in the art variously modify and change the present invention without departing from the spirit and scope of the present invention as set forth in the claims below. You can understand that you can.

Claims (14)

그룹웨어 사용자의 행위가 이상 행위인지 탐지하는 방법으로서,
상기 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득하는 단계;
미리 결정한 시간 간격을 기초로 상기 URI로부터 URI 시퀀스를 생성하는 단계;
상기 URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성하는 단계;
상기 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 단계; 및
상기 로그 확률 값과 미리 결정된 문턱치 값을 기초로 상기 사용자의 행위가 이상 행위인지 탐지하는 단계를 포함하는, 이상 행위 탐지 방법.As a method to detect whether the behavior of groupware users is abnormal,
Obtaining a Uniform Resource Identifier (URI) from the user's action;
Generating a URI sequence from the URI based on a predetermined time interval;
Generating a primitive URI sequence by preprocessing the URI sequence;
Calculating a log probability value from the raw URI sequence; And
And detecting whether the user's action is an abnormal action based on the log probability value and a predetermined threshold value. 청구항 1에 있어서,
상기 미리 결정한 시간 간격을 기초로 상기 URI로부터 URI 시퀀스를 생성하는 단계는,
상기 URI가 복수인 경우, 시간적으로 인접한 URI 간의 시간 간격과 상기 미리 결정한 시간 간격을 비교하여 상기 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성하는 단계를 포함하는, 이상 행위 탐지 방법.The method according to claim 1,
Generating a URI sequence from the URI based on the predetermined time interval,
When the URI is plural, comparing the time interval between temporally adjacent URIs and the predetermined time interval to generate at least one URI sequence including at least one URI among the plurality of URIs; Detection method. 청구항 1에 있어서,
상기 URI 시퀀스에 전처리를 수행하여 원시 URI 시퀀스를 생성하는 단계는,
상기 URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 상기 원시 URI 시퀀스를 생성하는 단계를 포함하는, 이상 행위 탐지 방법.The method according to claim 1,
The pre-processing of the URI sequence to generate a raw URI sequence may include:
And generating the raw URI sequence by deleting a key value from at least one URI included in the URI sequence. 청구항 1에 있어서,
상기 원시 URI 시퀀스로부터 로그 확률 값을 산출하는 단계는,
상기 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출하는 단계; 및
상기 전이 확률을 기초로 상기 로그 확률 값을 산출하는 단계를 포함하는, 이상 행위 탐지 방법.The method according to claim 1,
The step of calculating a log probability value from the raw URI sequence is:
Calculating a transition probability based on at least one raw URI included in the raw URI sequence; And
And calculating the log probability value based on the transition probability. 청구항 4에 있어서,
상기 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률을 산출하는 단계는,
상기 원시 URI 시퀀스와 미리 설정된 날로부터 상기 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 상기 전이 확률을 산출하는 단계를 포함하는, 이상 행위 탐지 방법.The method according to claim 4,
The step of calculating a transition probability based on at least one raw URI included in the raw URI sequence may include:
And calculating the transition probability based on the raw URI sequence and a raw URI sequence from a preset date to a reference date according to the day when the user's action occurred. 청구항 5에 있어서,
상기 사용자의 행위가 발생한 날에 따른 기준일은,
상기 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정되는, 이상 행위 탐지 방법.The method according to claim 5,
The reference date according to the day when the user's behavior occurred,
A method for detecting anomalies determined by a predetermined number of days prior to the day when the user's behavior occurs. 청구항 1에 있어서,
상기 로그 확률 값과 미리 결정된 문턱치 값을 기초로 상기 사용자의 행위가 이상 행위인지 탐지하는 단계는,
상기 로그 확률 값이 상기 미리 결정된 문턱치 값보다 낮은 경우, 상기 사용자의 행위를 이상 행위로 판단하는 단계를 포함하는, 이상 행위 탐지 방법.The method according to claim 1,
The step of detecting whether the user's behavior is an abnormal behavior based on the log probability value and a predetermined threshold value is:
And if the log probability value is lower than the predetermined threshold value, determining the user's behavior as an abnormal behavior. 그룹웨어 사용자의 행위가 이상 행위인지 탐지하는 장치으로서,
프로세서(processor); 및
상기 프로세서를 통해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하고,
상기 적어도 하나의 명령은,
상기 사용자의 행위로부터 URI(Uniform Resource Identifier)를 획득하도록 실행되고,
미리 결정한 시간 간격을 기초로 상기 URI로부터 URI 시퀀스를 생성하도록 실행되고,
상기 URI 시퀀스에 전처리를 수행하여 원시(primitive) URI 시퀀스를 생성하도록 실행되고,
상기 원시 URI 시퀀스로부터 로그 확률 값을 산출하도록 실행되고,
상기 로그 확률 값과 미리 결정된 문턱치 값을 기초로 상기 사용자의 행위가 이상 행위인지 탐지하도록 실행되는, 이상 행위 탐지 장치.As a device that detects whether the behavior of groupware users is abnormal,
A processor; And
And a memory in which at least one instruction executed through the processor is stored,
The at least one command,
Is executed to obtain a Uniform Resource Identifier (URI) from the user's action,
Is executed to generate a URI sequence from the URI based on a predetermined time interval,
Is executed to generate a primitive URI sequence by performing pre-processing on the URI sequence,
Is executed to calculate a log probability value from the raw URI sequence,
An apparatus for detecting anomalies, which is executed to detect whether the user's behavior is an abnormal behavior based on the log probability value and a predetermined threshold value. 청구항 8에 있어서,
상기 적어도 하나의 명령은,
상기 URI가 복수인 경우, 시간적으로 인접한 URI 간의 시간 간격과 상기 미리 결정한 시간 간격을 비교하여 상기 복수의 URI 중 적어도 하나의 URI를 포함하는 적어도 하나의 URI 시퀀스를 생성하도록 실행되는, 이상 행위 탐지 장치.The method according to claim 8,
The at least one command,
When the URI is plural, an abnormal behavior detection apparatus is executed to compare a time interval between temporally adjacent URIs and the predetermined time interval to generate at least one URI sequence including at least one URI among the plurality of URIs. . 청구항 8에 있어서,
상기 적어도 하나의 명령은,
상기 URI 시퀀스에 포함된 적어도 하나의 URI에서 키 값(key value)를 삭제하여 상기 원시 URI 시퀀스를 생성하도록 실행되는, 이상 행위 탐지 장치.The method according to claim 8,
The at least one command,
An apparatus for detecting anomalies, which is executed to generate a key URI sequence by deleting a key value from at least one URI included in the URI sequence. 청구항 8에 있어서,
상기 적어도 하나의 명령은,
상기 원시 URI 시퀀스에 포함된 적어도 하나의 원시 URI를 기초로 전이 확률(transition probability)을 산출하도록 실행되고,
상기 전이 확률을 기초로 상기 로그 확률 값을 산출하도록 실행되는, 이상 행위 탐지 장치.The method according to claim 8,
The at least one command,
Is executed to calculate a transition probability based on at least one raw URI included in the raw URI sequence,
An anomaly detection device, executed to calculate the log probability value based on the transition probability. 청구항 11에 있어서,
상기 적어도 하나의 명령은,
상기 원시 URI 시퀀스와 미리 설정된 날로부터 상기 사용자의 행위가 발생한 날에 따른 기준일까지의 원시 URI 시퀀스를 기초로 상기 전이 확률을 산출하도록 실행되는, 이상 행위 탐지 장치.The method according to claim 11,
The at least one command,
And performing the calculation of the probability of the transition based on the raw URI sequence and a raw URI sequence from a preset date to a reference date according to the day when the user's action occurred. 청구항 12에 있어서,
상기 사용자의 행위가 발생한 날에 따른 기준일은,
상기 사용자의 행위가 발생한 날로부터 미리 설정된 일수 전으로 결정되는, 이상 행위 탐지 장치.The method according to claim 12,
The reference date according to the day when the user's behavior occurred,
An abnormal behavior detection device that is determined before a preset number of days from the day when the user's behavior occurs. 청구항 8에 있어서,
상기 적어도 하나의 명령은,
상기 로그 확률 값이 상기 미리 결정된 문턱치 값보다 낮은 경우, 상기 사용자의 행위를 이상 행위로 판단하도록 실행되는, 이상 행위 탐지 장치.The method according to claim 8,
The at least one command,
When the log probability value is lower than the predetermined threshold value, the abnormal behavior detection apparatus is executed to determine the user's behavior as an abnormal behavior.
KR1020190010285A 2019-01-14 2019-01-28 Method and apparatus for detecting abnormal behavior of groupware user KR102151173B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US16/277,478 US11336668B2 (en) 2019-01-14 2019-02-15 Method and apparatus for detecting abnormal behavior of groupware user
JP2019027679A JP6757991B2 (en) 2019-01-14 2019-02-19 Groupware user's abnormal behavior detection method and device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020190004882 2019-01-14
KR20190004882 2019-01-14

Publications (2)

Publication Number Publication Date
KR20200088194A true KR20200088194A (en) 2020-07-22
KR102151173B1 KR102151173B1 (en) 2020-09-02

Family

ID=71893235

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190010285A KR102151173B1 (en) 2019-01-14 2019-01-28 Method and apparatus for detecting abnormal behavior of groupware user

Country Status (1)

Country Link
KR (1) KR102151173B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112162911A (en) * 2020-10-14 2021-01-01 中国民航信息网络股份有限公司 Abnormal business operation behavior detection method, device, equipment and readable storage medium
KR102307632B1 (en) * 2021-05-31 2021-10-05 주식회사 아미크 Unusual Insider Behavior Detection Framework on Enterprise Resource Planning Systems using Adversarial Recurrent Auto-encoder
CN114254716A (en) * 2022-03-02 2022-03-29 浙江鹏信信息科技股份有限公司 High-risk operation identification method and system based on user behavior analysis

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140106837A (en) * 2013-02-27 2014-09-04 한국전자통신연구원 Game characteristics detection apparatus and method for illegal user detection using game characteristics
KR101623071B1 (en) * 2015-01-28 2016-05-31 한국인터넷진흥원 System for detecting attack suspected anomal event
KR20160131619A (en) * 2015-05-08 2016-11-16 (주)케이사인 Device of detecting wrongful use of personal information
KR101743269B1 (en) * 2016-01-13 2017-06-05 주식회사 엔젠소프트 Method and apparatus of fraud detection by analysis of PC information and modeling of behavior pattern

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140106837A (en) * 2013-02-27 2014-09-04 한국전자통신연구원 Game characteristics detection apparatus and method for illegal user detection using game characteristics
KR101623071B1 (en) * 2015-01-28 2016-05-31 한국인터넷진흥원 System for detecting attack suspected anomal event
KR20160131619A (en) * 2015-05-08 2016-11-16 (주)케이사인 Device of detecting wrongful use of personal information
KR101743269B1 (en) * 2016-01-13 2017-06-05 주식회사 엔젠소프트 Method and apparatus of fraud detection by analysis of PC information and modeling of behavior pattern

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
김진, ‘IP Session Tree를 이용한 GET Flooding 형태의 DDoS 공격 탐지’, 한국정보기술학회 논문지, 2012.08.* *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112162911A (en) * 2020-10-14 2021-01-01 中国民航信息网络股份有限公司 Abnormal business operation behavior detection method, device, equipment and readable storage medium
CN112162911B (en) * 2020-10-14 2024-03-29 中国民航信息网络股份有限公司 Abnormal business operation behavior detection method, device, equipment and readable storage medium
KR102307632B1 (en) * 2021-05-31 2021-10-05 주식회사 아미크 Unusual Insider Behavior Detection Framework on Enterprise Resource Planning Systems using Adversarial Recurrent Auto-encoder
CN114254716A (en) * 2022-03-02 2022-03-29 浙江鹏信信息科技股份有限公司 High-risk operation identification method and system based on user behavior analysis

Also Published As

Publication number Publication date
KR102151173B1 (en) 2020-09-02

Similar Documents

Publication Publication Date Title
JP6757991B2 (en) Groupware user's abnormal behavior detection method and device
Xin et al. Production machine learning pipelines: Empirical analysis and optimization opportunities
Kamtuo et al. Machine Learning for SQL injection prevention on server-side scripting
KR102151173B1 (en) Method and apparatus for detecting abnormal behavior of groupware user
US9959254B2 (en) Representation of an element in a page via an identifier
Hosseini et al. Anomaly process detection using negative selection algorithm and classification techniques
US8661004B2 (en) Representing incomplete and uncertain information in graph data
Liang et al. A behavior-based malware variant classification technique
US20160255109A1 (en) Detection method and apparatus
US20140310291A1 (en) Efficient data pattern matching
US20130246416A1 (en) Grouping search results into a profile page
US20180074818A1 (en) Source code mapping through context specific key word indexes and fingerprinting
US20120259792A1 (en) Automatic detection of different types of changes in a business process
KR20180076753A (en) System and Method for Anomaly Pattern
Shivaji et al. Plagiarism detection by using karp-rabin and string matching algorithm together
Robu et al. Mining frequent patterns in data using apriori and eclat: A comparison of the algorithm performance and association rule generation
Wu et al. Learning data transformation rules through examples: Preliminary results
EP3791296A1 (en) A system and a method for sequential anomaly revealing in a computer network
KR102532216B1 (en) Method for establishing ESG database with structured ESG data using ESG auxiliary tool and ESG service providing system performing the same
CN116980321A (en) Method and system for anomaly detection in a network
CN115859273A (en) Method, device and equipment for detecting abnormal access of database and storage medium
Yu et al. Application of closed gap-constrained sequential pattern mining in web log data
Nembhard et al. Extracting knowledge from open source projects to improve program security
CN110472125B (en) Multistage page cascading crawling method and equipment based on web crawler
Chivilikhin et al. Inferring automata-based programs from specification with mutation-based ant colony optimization

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant