WO2019066099A1 - System for detecting abnormal behavior on basis of integrated analysis model, and method therefor - Google Patents

System for detecting abnormal behavior on basis of integrated analysis model, and method therefor Download PDF

Info

Publication number
WO2019066099A1
WO2019066099A1 PCT/KR2017/010760 KR2017010760W WO2019066099A1 WO 2019066099 A1 WO2019066099 A1 WO 2019066099A1 KR 2017010760 W KR2017010760 W KR 2017010760W WO 2019066099 A1 WO2019066099 A1 WO 2019066099A1
Authority
WO
WIPO (PCT)
Prior art keywords
abnormal behavior
model
analysis
integrated
analysis model
Prior art date
Application number
PCT/KR2017/010760
Other languages
French (fr)
Korean (ko)
Inventor
조창훈
민정기
Original Assignee
(주)알티캐스트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)알티캐스트 filed Critical (주)알티캐스트
Publication of WO2019066099A1 publication Critical patent/WO2019066099A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N99/00Subject matter not provided for in other groups of this subclass
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B20/00Signal processing not specific to the method of recording or reproducing; Circuits therefor
    • G11B20/00086Circuits for prevention of unauthorised reproduction or copying, e.g. piracy
    • G11B20/00971Circuits for prevention of unauthorised reproduction or copying, e.g. piracy involving measures for monitoring the industrial media production and distribution channels, e.g. for controlling content providers or the official manufacturers or replicators of recording media
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/24Monitoring of processes or resources, e.g. monitoring of server load, available bandwidth, upstream requests

Definitions

  • the present invention relates to a system and a method for detecting abnormal behavior according to the use of digital contents, and more particularly, to a technical idea for detecting abnormal behavior based on a machine-learned analysis model.
  • the detection system based on the rule or the policy can detect the abnormal behavior only when the behavior of the client terminal or the user corresponds to the specific condition, the limit of detecting the abnormal behavior gradually becomes intelligent have.
  • An object of the present invention is to provide a technology capable of minimizing traffic generation due to data transmission by transmitting only analysis models obtained through machine learning to each of the analysis servers to a cloud server.
  • the present invention aims at proactively detecting an abnormal behavior based on an analytical model including a predictive symptom, and by proactively detecting the abnormal behavior before occurrence of the abnormal behavior.
  • a system for detecting abnormal behavior includes an information receiver for receiving usage information according to use of digital contents, A model generating unit for generating an analysis model; a model transmitting unit for transmitting the analysis model to the cloud server; and an integrated analysis model from the cloud server, receiving the abnormal behavior based on at least one of the integrated analysis model and the generated analysis model And the cloud server collects the transmitted analysis models and generates the integrated analysis models by machine learning the collected analysis models.
  • the information receiving unit can receive usage information from at least one of a CAS (Conditional Access System) server and a DRM (Digital Rights Management) server.
  • a CAS Content Access System
  • DRM Digital Rights Management
  • the information receiving unit includes at least one of information (log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and extended display identification data (EDID) Lt; / RTI >
  • information log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and extended display identification data (EDID) Lt; / RTI >
  • the model generating unit may extract an occurrence event of an abnormal behavior from usage information, and may generate an analysis model including a predictive indication for predicting an abnormal behavior by machine learning of the occurrence event of the abnormal behavior.
  • the model generating unit generates an analytical model for mechanically learning the usage information to predict and detect an abnormal behavior in real time or before the occurrence of the abnormality, wherein the abnormal behavior is an entity that is authenticated at the time of purchase, Lt; / RTI >
  • the model generating unit may perform an operation other than a procedure, such as an attempt to hack and infringe threatening copyright and security, an illegal downloading of digital contents, an illegal copying of digital contents,
  • An analysis model for detecting at least one operation among the operations using the content and the operation of frequently exchanging suspicious data between the client terminal and the server managing the digital content can be created.
  • At least one of a blocking operation of the digital content distribution through the CAS or the DRM server, a connection blocking operation to the client terminal in which the abnormal behavior is detected, and a user authentication request operation are performed based on the detection result of the abnormal behavior
  • a signal generator for generating a control signal for controlling the control signal.
  • the system for detecting abnormal behavior includes a model collection unit for collecting analysis models from at least two analysis servers, an integrated model generation unit for generating an integrated analysis model by machine learning of the collected analysis models, And an integrated model transmitter for providing an integrated analysis model to each of the analysis servers.
  • the analysis server generates an analysis model for detecting abnormal behavior according to the use of digital contents by mechanically learning usage information, And detects abnormal behavior based on at least one of the model and the integrated analysis model.
  • the analysis server includes at least one of information (log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and extended display identification data (EDID) Lt; / RTI >
  • information log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and extended display identification data (EDID) Lt; / RTI >
  • the analysis server can extract an occurrence of an abnormal behavior from the usage information, and generate an analysis model including predictive indications for predictive detection of abnormal behavior by machine learning of the occurrence event of the abnormal behavior.
  • the analysis server generates an analysis model for mechanically learning usage information to predict and detect an abnormal behavior in real time or before the occurrence of the abnormality, and the abnormal behavior may be an entity that is authenticated at the time of purchase, Lt; / RTI >
  • the analysis server is an operation other than a procedure, including an operation of attempting hacking and infringement that threatens copyright and security, an operation of illegally downloading digital contents, an operation of illegally copying digital contents,
  • An analysis model for detecting at least one operation among the operations using the content and the operation of frequently exchanging suspicious data between the client terminal and the server managing the digital content can be created.
  • the analysis server may perform at least one of a blocking operation of the digital contents distribution through the CAS or the DRM server, a connection blocking operation to the client terminal in which the abnormal behavior is detected, And generate a control signal that controls the operation to be performed.
  • a method for detecting abnormal behavior includes receiving information on use of digital content in an information receiving unit, mechanically learning usage information received from the model generating unit, Generating an analysis model for detecting abnormal behavior, transmitting the analysis model to the cloud server in the model transmission unit, receiving the integrated analysis model from the cloud server in the abnormal behavior detection unit, And detecting an abnormal behavior based on at least one of the analysis models.
  • the cloud server collects the analysis models to be transmitted, and mechanically learns the collected analysis models to generate an integrated analysis model.
  • the step of receiving usage information includes receiving at least one of information (log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and EDID As shown in Fig.
  • a method of analyzing an object comprising: collecting an analysis model transmitted from a model collection unit; generating an integrated analysis model by mechanically learning an analysis model collected by the integrated model generation unit; To the behavior sensing unit.
  • only the analysis model obtained through machine learning at each analysis server is transmitted to the cloud server, thereby minimizing traffic generation due to data transmission.
  • the integrated analysis models can be shared among the analysis servers, thereby improving the accuracy and reliability of abnormal behavior detection according to the use of digital contents.
  • FIG. 1 is a diagram illustrating a system for detecting abnormal behavior according to an embodiment of the present invention.
  • FIG. 2 is a diagram illustrating an analysis server according to an embodiment of the present invention.
  • FIG. 3 is a diagram illustrating a cloud server according to an embodiment of the present invention.
  • FIG. 4 is a diagram illustrating a method for detecting abnormal behavior according to an embodiment of the present invention.
  • first, second, or the like may be used to describe various elements, but the elements should not be limited by the terms.
  • the terms may be named for the purpose of distinguishing one element from another, for example without departing from the scope of the right according to the concept of the present invention, the first element being referred to as the second element, Similarly, the second component may also be referred to as the first component.
  • FIG. 1 is a block diagram showing a system for detecting abnormal behavior according to an embodiment of the present invention.
  • the system 100 for detecting an abnormal behavior can minimize traffic generation due to data transmission, improve the accuracy and reliability of abnormal behavior detection according to digital content use, , It is possible to provide a technique capable of detecting and responding to an abnormal behavior before occurrence.
  • the system 100 for detecting anomalous behavior may include a cloud server 110 and at least two analysis servers 120.
  • At least two analysis servers 120 may be servers operated by respective providers providing digital contents.
  • the cloud server 110 collects analysis models for detecting abnormal behavior from at least two analysis servers 120, and can generate an integrated analysis model by mechanically learning the collected analysis models.
  • the analysis server 120 may generate an analysis model through machine learning, and may detect abnormal behavior based on at least one of the generated analysis model and the integrated analysis model.
  • FIG. 2 is a configuration diagram showing an analysis server according to an embodiment of the present invention.
  • the analysis server 200 generates an analysis model through machine learning, transmits the generated analysis model to the cloud server of FIG. 1, and analyzes the integrated analysis model received from the cloud server And an analysis model based on at least one of the generated analysis models.
  • an information receiving unit 210 a model generating unit 220, a model transmitting unit 230, and an abnormal behavior detecting unit 240 are included.
  • the analysis server 200 may further include a controller for controlling operations of the information receiving unit 210, the model generating unit 220, the model transmitting unit 230, and the abnormal behavior detecting unit 240 have.
  • the information receiving unit 210 receives usage information according to use of digital contents.
  • the information receiving unit 210 may receive usage information from at least one of a CAS (Conditional Access System) server and a DRM (Digital Rights Management) server.
  • a CAS Content Access System
  • DRM Digital Rights Management
  • the information receiving unit 210 may receive usage information collected from at least one client terminal using digital content in at least one server among the CAS server and the DRM server.
  • the information receiving unit 210 may directly receive usage information from each client terminal.
  • the information receiving unit 210 may use, as usage information, log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and extended display identification data (EDID) One information can be received.
  • usage information log information according to use of digital contents
  • ID information of a client terminal using digital contents ID information of a client terminal using digital contents
  • manufacturer information of a client terminal manufacturer information of a client terminal
  • EDID extended display identification data
  • the model generation unit 220 generates an analysis model for detecting an abnormal behavior according to the use of the digital contents by mechanically learning the received usage information.
  • the model generation unit 220 may generate a model using at least one learning algorithm among a neural network, a decision tree, a Bayesian network, and a support vector machine (SVM)
  • An analytical model can be created by machine learning of usage information.
  • the model generating unit 220 may extract an occurrence event of an abnormal behavior from the usage information, and may generate an analysis model including expected indications for predictive detection of an abnormal behavior by machine learning of the occurrence event of the abnormal behavior have.
  • the model generation unit 220 may analyze the log information in the usage information to extract a case of occurrence of an abnormal behavior.
  • Examples of the occurrence of the abnormal behavior include a symptom of the abnormal behavior and a corresponding action .
  • the present invention it is possible to predict the abnormal behavior based on the analytical model including the expected symptom, and to proactively detect the abnormal behavior before the abnormal behavior occurs.
  • the model generation unit 220 may generate an analysis model for mechanically learning usage information to predict and detect abnormal behavior in real time or before generation.
  • the analysis model according to an exemplary embodiment may detect an operation other than a procedure generated by an authenticated entity when purchasing, using, and distributing digital contents as an abnormal behavior.
  • the model generation unit 220 can generate an analysis model for detecting an operation other than a procedure.
  • operations other than the procedures include an operation of attempting hacking and infringement that threatens copyright and security, an operation of illegally downloading digital contents, an operation of illegally copying digital contents, an operation of using digital contents in unauthenticated client terminals, An operation of frequently exchanging suspicious data between a client terminal and a server managing digital contents, and the like.
  • the server for managing digital contents may include at least one of a CAS server, a DRM server, and a server for distributing digital contents.
  • the model transmitting unit 230 transmits the analysis model to the cloud server.
  • the model transmitting unit 230 may transmit the entire analysis model to the cloud server, or may transmit only some analytical models that do not conflict with the business policy or the customer policy to the cloud server.
  • the cloud server collects transmitted analysis models, and generates a combined analysis model by mechanically learning the collected analysis models.
  • the cloud server may collect analytical models from at least two analysis servers 200.
  • At least two analysis servers 200 may be servers operated by respective providers providing digital contents.
  • an analysis model generated by a first-order analysis through machine learning is collected in a cloud server in each analysis server 200, and an analysis model collected in a cloud server is integrated into a second analysis through machine learning Create an analysis model.
  • the abnormal behavior detection unit 240 receives the integrated analysis model from the cloud server and detects an abnormal behavior based on at least one of the integrated analysis model and the analysis model generated by the model generation unit 220 do.
  • the abnormal behavior detection unit 240 may generate an analysis model in which a part of the integrated analysis model is combined with the generated analysis model, and detect abnormal behavior based on the combined analysis model.
  • the abnormal behavior detection unit 240 extracts some analytical models that can be applied according to business policy or customer policy among the integrated analytical models received from the cloud server, and extracts some extracted analytical models and the generated analytical models
  • the combined analysis model can be integrated and the abnormal behavior can be detected based on the combined analysis model.
  • the analysis server 200 may perform a blocking operation of the digital content distribution through the CAS or the DRM server, a connection blocking operation to the client terminal in which the abnormal behavior is detected, And a signal generator 250 for generating a control signal for controlling at least one operation to be performed.
  • the signal generator generates a control signal based on the detection result, and transmits the generated control signal to a management server that manages the distribution of the digital contents, thereby making a connection to the client terminal, Block or block distribution of content.
  • the management server can control the client terminal to request the user authentication.
  • FIG. 3 is a configuration diagram illustrating a cloud server according to an embodiment of the present invention.
  • FIG. 3 The description of FIG. 3 will not be repeated in the analysis server according to an embodiment of the present invention.
  • the cloud server 300 collects analysis models from at least two analysis servers, generates an integrated analysis model by machine learning the collected analysis models, Provided to each analysis server.
  • a model collecting unit 310 For this, a model collecting unit 310, an integrated model generating unit 320, and an integrated model transmitting unit 330 are included.
  • the cloud server 300 may further include a controller for controlling operations of the model collecting unit 310, the integrated model generating unit 320, and the integrated model transmitting unit 330 according to an exemplary embodiment of the present invention.
  • the model collecting unit 310 collects analytic models from at least two analysis servers.
  • the analysis server according to an exemplary embodiment of the present invention generates an analysis model for detecting an abnormal behavior due to use of digital contents by mechanically learning usage information.
  • At least two analysis servers may be servers operated by respective providers providing digital contents.
  • the analysis server includes at least one of information (log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and extended display identification data (EDID) Lt; / RTI >
  • information log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and extended display identification data (EDID) Lt; / RTI >
  • the analysis server can extract an occurrence of an abnormal behavior from the usage information, and generate an analysis model including predictive indications for predictive detection of abnormal behavior by machine learning of the occurrence event of the abnormal behavior.
  • the present invention it is possible to predict the abnormal behavior based on the analytical model including the expected symptom, and to proactively detect the abnormal behavior before the abnormal behavior occurs.
  • the analysis server may generate an analysis model for machine learning of usage information to predict and detect anomalous behavior in real time or before occurrence.
  • the analysis model may detect an operation other than a procedure generated by an authenticated entity when purchasing, using, and distributing digital contents as an abnormal behavior.
  • the analysis server can generate an analysis model for detecting actions other than the procedure.
  • operations other than the procedures include an operation of attempting hacking and infringement that threatens copyright and security, an operation of illegally downloading digital contents, an operation of illegally copying digital contents, an operation of using digital contents in unauthenticated client terminals, An operation of frequently exchanging suspicious data between a client terminal and a server managing digital contents, and the like.
  • the integrated model generation unit 320 generates an integrated analysis model by mechanically learning the collected analysis models.
  • the integrated model transmitter 330 provides an integrated analysis model to each analysis server.
  • the analysis server detects abnormal behavior based on at least one of the generated analysis model and the integrated analysis model.
  • the integrated model generation unit 320 when collecting the analysis models from the respective analysis servers operated by the first to third parties, the integrated model generation unit 320 generates the integrated analysis models by machine learning the collected analysis models, An integrated analysis model including an additional analysis model for abnormal behavior detection that is not present in the analysis model generated by the first business entity can be generated.
  • the integrated model transmission unit 330 can improve the accuracy and reliability of the abnormal behavior detection operation performed in the analysis server by providing the integrated analysis model including the additional analysis model to the analysis server of the first provider.
  • the analytical model generated by the first analysis through machine learning is collected in the cloud server in each analysis server, and the analysis model collected in the cloud server is integrated into the second analysis through machine learning
  • the analysis server may perform at least one of a blocking operation of the digital contents distribution through the CAS or the DRM server, a connection blocking operation to the client terminal in which the abnormal behavior is detected, And generate a control signal that controls the operation to be performed.
  • FIG. 4 is a flowchart illustrating a method for detecting abnormal behavior according to an embodiment of the present invention.
  • the method of detecting an abnormal behavior according to an embodiment of FIG. 4 may be performed by a system that detects abnormal behavior according to an embodiment.
  • a method for detecting abnormal behavior receives usage information according to usage of digital contents in an information receiving unit.
  • a method for detecting abnormal behavior includes logging information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and EDID data) information including at least one piece of information.
  • step 420 the method for detecting abnormal behavior according to an exemplary embodiment of the present invention generates an analysis model for detecting an abnormal behavior according to the use of digital contents by mechanically learning usage information received by the model generation unit.
  • an analysis model including expected signs for predicting abnormal behavior by extracting occurrence cases of abnormal behavior from usage information and mechanically learning occurrence cases of abnormal behavior.
  • a method for detecting abnormal behavior transmits an analysis model to a cloud server in a model transmission unit.
  • the cloud server collects analysis models transmitted through steps 440 to 460, and generates a combined analysis model by machine learning the collected analysis models.
  • a method of detecting an abnormal behavior may collect an analysis model transmitted from a model collecting unit.
  • the integrated analysis model may be generated by mechanically learning the analysis model collected by the integrated model generation unit.
  • the integrated model transmission unit may provide an integrated analysis model to the abnormal behavior sensing unit.
  • the method of detecting an abnormal behavior includes receiving an integrated analysis model from a cloud server in an abnormal behavior detection unit and detecting an abnormal behavior based on at least one of the integrated analysis model and the generated analysis model do.
  • a method of detecting an abnormal behavior includes: a blocking operation of digital content distribution through a CAS or a DRM server; A connection blocking operation for the client terminal, and a user authentication request operation may be performed.
  • the analytical model generated from the first analysis through machine learning is collected from the cloud server in each analysis server, the integrated analysis model is generated by the second analysis through the machine learning on the analysis model collected from the cloud server, By sharing the integrated analysis model with each analysis server, it is possible to improve the accuracy and reliability of abnormal behavior detection according to the use of digital contents.
  • the apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components.
  • the apparatus and components described in the embodiments may be implemented within a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable array (FPA) A programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions.
  • the processing device may execute an operating system (OS) and one or more software applications running on the operating system.
  • the processing device may also access, store, manipulate, process, and generate data in response to execution of the software.
  • the processing apparatus may be described as being used singly, but those skilled in the art will recognize that the processing apparatus may have a plurality of processing elements and / As shown in FIG.
  • the processing unit may comprise a plurality of processors or one processor and one controller.
  • Other processing configurations are also possible, such as a parallel processor.
  • the software may include a computer program, code, instructions, or a combination of one or more of the foregoing, and may be configured to configure the processing device to operate as desired or to process it collectively or collectively Device can be commanded.
  • the software and / or data may be in the form of any type of machine, component, physical device, virtual equipment, computer storage media, or device , Or may be permanently or temporarily embodied in a transmitted signal wave.
  • the software may be distributed over a networked computer system and stored or executed in a distributed manner.
  • the software and data may be stored on one or more computer readable recording media.
  • the method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium.
  • the computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination.
  • the program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software.
  • Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like.
  • program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like.
  • the hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Debugging And Monitoring (AREA)

Abstract

The present invention is a technology relating to a system for detecting an abnormal behavior and a method therefor. The system for detecting an abnormal behavior, according to one embodiment, comprises: an information reception unit for receiving usage information based on the use of digital content; a model generation unit for generating, by machine-learning the received usage information, an analysis model for detecting the abnormal behavior on the basis of the use of the digital content; a model transmission unit for transmitting the analysis model to a cloud server; and an abnormal behavior detection unit for receiving an integrated analysis model from the cloud server and detecting the abnormal behavior on the basis of the integrated analysis model and/or the generated analysis model, wherein the cloud server collects the transmitted analysis model and generates the integrated analysis model by machine-learning the collected analysis model.

Description

통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템 및 그 방법System and method for detecting abnormal behavior based on integrated analysis model
본 발명은 디지털 컨텐츠의 이용에 따른 이상 행동을 감지하는 시스템 및 그 방법에 관한 기술로서, 구체적으로는 기계 학습된 분석 모델에 기초하여 이상 행동을 감지하는 기술적 사상에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a system and a method for detecting abnormal behavior according to the use of digital contents, and more particularly, to a technical idea for detecting abnormal behavior based on a machine-learned analysis model.
최근, 클라이언트 단말간의 컨텐츠를 주고 받을 수 있는 연결된 디바이스(Connected Device)의 수요가 증가함에 따라, 저작권 보호 기술에 대한 해킹 및 침해 시도와 같은 이상 행동이 점차 지능화 되고 있다. 이를 해결하기 위하여 종래에는 이상 행동에 대응하기 위하여 규칙(Rule) 또는 정책(Policy)에 기반한 감지 시스템을 적용하고 있다.2. Description of the Related Art [0002] In recent years, as the demand for connected devices capable of exchanging contents between client terminals has increased, abnormal behavior such as hacking and infringement attempts against copyright protection technology is becoming more and more intelligent. In order to solve this problem, a detection system based on a rule or a policy is applied in order to cope with an abnormal behavior.
그러나, 규칙(Rule) 또는 정책(Policy)에 기반한 감지 시스템은 클라이언트 단말 또는 사용자의 행위가 특정 조건에 해당하는 경우에만 이상 행동에 대한 감지가 가능하기 때문에 점차 지능화 되어가는 이상 행동을 감지하는데 한계가 있다.However, since the detection system based on the rule or the policy can detect the abnormal behavior only when the behavior of the client terminal or the user corresponds to the specific condition, the limit of detecting the abnormal behavior gradually becomes intelligent have.
따라서, 이상 행동에 대한 실시간 감지뿐만 아니라 유사 시도에 대한 예측을 통하여 이상 행동을 발생 이전에 예측 감지할 수 있는 새로운 감지 시스템의 필요성이 증가하고 있다.Therefore, there is an increasing need for a new sensing system capable of predicting anomalous behavior before the occurrence of anomalous behavior through prediction of similar attempts as well as real-time sensing of abnormal behavior.
본 발명은, 각 분석 서버에서 기계 학습을 통하여 획득된 분석 모델만을 클라우드 서버로 전송함으로써, 데이터 전송에 따른 트래픽 발생을 최소화할 수 있는 기술을 제공하는 것을 목적으로 한다.An object of the present invention is to provide a technology capable of minimizing traffic generation due to data transmission by transmitting only analysis models obtained through machine learning to each of the analysis servers to a cloud server.
또한, 본 발명은, 통합된 분석 모델을 각 분석 서버에서 서로 공유 함으로써, 디지털 컨텐츠의 이용에 따른 이상 행동 감지의 정확성 및 신뢰성을 향상시키는 것을 목적으로 한다.It is another object of the present invention to improve the accuracy and reliability of abnormal behavior detection according to the use of digital contents by sharing integrated analysis models with each analysis server.
또한, 본 발명은, 예상 징후를 포함하는 분석 모델에 기초하여 이상 행동을 예측 감지함으로써, 이상 행동의 발생 이전에 사전 대응하는 것을 목적으로 한다. Further, the present invention aims at proactively detecting an abnormal behavior based on an analytical model including a predictive symptom, and by proactively detecting the abnormal behavior before occurrence of the abnormal behavior.
본 발명의 일실시예에 따른 이상 행동을 감지하는 시스템은 디지털 컨텐츠의 이용에 따른 사용 정보를 수신하는 정보 수신부와, 수신한 사용 정보를 기계 학습하여 디지털 컨텐츠의 이용에 따른 이상 행동을 감지하기 위한 분석 모델을 생성하는 모델 생성부와, 분석 모델을 클라우드 서버로 전송하는 모델 송신부 및 클라우드 서버로부터 통합된 분석 모델을 수신하고, 통합된 분석 모델 및 생성한 분석 모델 중에서 적어도 하나에 기초하여 이상 행동을 감지하는 이상 행동 감지부를 포함하고, 클라우드 서버는 전송되는 분석 모델을 수집하고, 수집한 분석 모델을 기계 학습하여 통합된 분석 모델을 생성한다.A system for detecting abnormal behavior according to an embodiment of the present invention includes an information receiver for receiving usage information according to use of digital contents, A model generating unit for generating an analysis model; a model transmitting unit for transmitting the analysis model to the cloud server; and an integrated analysis model from the cloud server, receiving the abnormal behavior based on at least one of the integrated analysis model and the generated analysis model And the cloud server collects the transmitted analysis models and generates the integrated analysis models by machine learning the collected analysis models.
일측에 따르면, 정보 수신부는 CAS(Conditional Access System) 서버 및 DRM(Digital Rights Management) 서버 중에서 적어도 하나의 서버로부터 사용 정보를 수신할 수 있다. According to one aspect, the information receiving unit can receive usage information from at least one of a CAS (Conditional Access System) server and a DRM (Digital Rights Management) server.
일측에 따르면, 정보 수신부는 사용 정보로서, 디지털 컨텐츠의 이용에 따른 로그 정보, 디지털 컨텐츠를 이용하는 클라이언트 단말의 아이디 정보, 클라이언트 단말의 제조사 정보, 및 EDID(Extended display identification data) 정보 중에서 적어도 하나의 정보를 수신할 수 있다. According to one aspect, the information receiving unit includes at least one of information (log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and extended display identification data (EDID) Lt; / RTI >
일측에 따르면, 모델 생성부는 사용 정보에서 이상 행동의 발생 사례를 추출하고, 이상 행동의 발생 사례를 기계학습하여 이상 행동을 예측 감지하기 위한 예상 징후를 포함하는 분석 모델을 생성할 수 있다.According to one aspect, the model generating unit may extract an occurrence event of an abnormal behavior from usage information, and may generate an analysis model including a predictive indication for predicting an abnormal behavior by machine learning of the occurrence event of the abnormal behavior.
일측에 따르면, 모델 생성부는 사용 정보를 기계학습하여 이상 행동을 실시간 또는 발생 이전에 예측 감지하기 위한 분석 모델을 생성하되, 이상 행동은 디지털 컨텐츠의 구매, 이용, 유통 시 인증된 엔티티(entity)에 의해 발생하는 절차 이외의 동작일 수 있다. According to one aspect of the present invention, the model generating unit generates an analytical model for mechanically learning the usage information to predict and detect an abnormal behavior in real time or before the occurrence of the abnormality, wherein the abnormal behavior is an entity that is authenticated at the time of purchase, Lt; / RTI >
일측에 따르면, 모델 생성부는 절차 이외의 동작으로서, 저작권과 보안을 위협하는 해킹 및 침해를 시도하는 동작, 디지털 컨텐츠를 불법 다운로드하는 동작, 디지털 컨텐츠를 불법 복제하는 동작, 인증되지 않은 클라이언트 단말에서 디지털 컨텐츠를 이용하는 동작 및 클라이언트 단말과 디지털 컨텐츠를 관리하는 서버간에 의심스러운 데이터를 빈번하게 주고받는 동작 중에서 적어도 하나의 동작을 감지하기 위한 분석 모델을 생성할 수 있다. According to one aspect of the present invention, the model generating unit may perform an operation other than a procedure, such as an attempt to hack and infringe threatening copyright and security, an illegal downloading of digital contents, an illegal copying of digital contents, An analysis model for detecting at least one operation among the operations using the content and the operation of frequently exchanging suspicious data between the client terminal and the server managing the digital content can be created.
일측에 따르면, 이상 행동의 감지 결과에 기초하여, CAS 또는 DRM 서버를 통한 디지털 컨텐츠 유통의 차단 동작, 이상 행동이 감지된 클라이언트 단말에 대한 연결 차단 동작, 사용자 인증 요구 동작 중에서 적어도 하나의 동작이 수행 되도록 제어하는 제어 신호를 생성하는 신호 생성부를 더 포함할 수 있다. According to one aspect of the present invention, at least one of a blocking operation of the digital content distribution through the CAS or the DRM server, a connection blocking operation to the client terminal in which the abnormal behavior is detected, and a user authentication request operation are performed based on the detection result of the abnormal behavior And a signal generator for generating a control signal for controlling the control signal.
본 발명의 일실시예에 따른 이상 행동을 감지하는 시스템은 적어도 둘 이상의 분석 서버로부터 분석 모델을 수집하는 모델 수집부와, 수집된 분석 모델을 기계 학습하여 통합된 분석 모델을 생성하는 통합 모델 생성부 및 통합된 분석 모델을 각각의 분석 서버로 제공하는 통합 모델 송신부를 포함하고, 분석 서버는 사용 정보를 기계 학습하여 디지털 컨텐츠의 이용에 따른 이상 행동을 감지하기 위한 분석 모델을 생성하며, 생성한 분석 모델 및 통합된 분석 모델 중에서 적어도 하나에 기초하여 이상 행동을 감지한다.The system for detecting abnormal behavior according to an embodiment of the present invention includes a model collection unit for collecting analysis models from at least two analysis servers, an integrated model generation unit for generating an integrated analysis model by machine learning of the collected analysis models, And an integrated model transmitter for providing an integrated analysis model to each of the analysis servers. The analysis server generates an analysis model for detecting abnormal behavior according to the use of digital contents by mechanically learning usage information, And detects abnormal behavior based on at least one of the model and the integrated analysis model.
일측에 따르면, 분석 서버는 사용 정보로서, 디지털 컨텐츠의 이용에 따른 로그 정보, 디지털 컨텐츠를 이용하는 클라이언트 단말의 아이디 정보, 클라이언트 단말의 제조사 정보, 및 EDID(Extended display identification data) 정보 중에서 적어도 하나의 정보를 수신할 수 있다. According to one aspect, the analysis server includes at least one of information (log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and extended display identification data (EDID) Lt; / RTI >
일측에 따르면, 분석 서버는 사용 정보에서 이상 행동의 발생 사례를 추출하고, 이상 행동의 발생 사례를 기계학습하여 이상 행동을 예측 감지하기 위한 예상 징후를 포함하는 분석 모델을 생성할 수 있다. According to one aspect, the analysis server can extract an occurrence of an abnormal behavior from the usage information, and generate an analysis model including predictive indications for predictive detection of abnormal behavior by machine learning of the occurrence event of the abnormal behavior.
일측에 따르면, 분석 서버는 사용 정보를 기계학습하여 이상 행동을 실시간 또는 발생 이전에 예측 감지하기 위한 분석 모델을 생성하되, 이상 행동은 디지털 컨텐츠의 구매, 이용, 유통 시 인증된 엔티티(entity)에 의해 발생하는 절차 이외의 동작일 수 있다. According to one aspect of the present invention, the analysis server generates an analysis model for mechanically learning usage information to predict and detect an abnormal behavior in real time or before the occurrence of the abnormality, and the abnormal behavior may be an entity that is authenticated at the time of purchase, Lt; / RTI >
일측에 따르면, 분석 서버는 절차 이외의 동작으로서, 저작권과 보안을 위협하는 해킹 및 침해를 시도하는 동작, 디지털 컨텐츠를 불법 다운로드하는 동작, 디지털 컨텐츠를 불법 복제하는 동작, 인증되지 않은 클라이언트 단말에서 디지털 컨텐츠를 이용하는 동작 및 클라이언트 단말과 디지털 컨텐츠를 관리하는 서버간에 의심스러운 데이터를 빈번하게 주고받는 동작 중에서 적어도 하나의 동작을 감지하기 위한 분석 모델을 생성할 수 있다. According to one aspect of the present invention, the analysis server is an operation other than a procedure, including an operation of attempting hacking and infringement that threatens copyright and security, an operation of illegally downloading digital contents, an operation of illegally copying digital contents, An analysis model for detecting at least one operation among the operations using the content and the operation of frequently exchanging suspicious data between the client terminal and the server managing the digital content can be created.
일측에 따르면, 분석 서버는 이상 행동의 감지 결과에 기초하여, CAS 또는 DRM 서버를 통한 디지털 컨텐츠 유통의 차단 동작, 이상 행동이 감지된 클라이언트 단말에 대한 연결 차단 동작, 사용자 인증 요구 동작 중에서 적어도 하나의 동작이 수행 되도록 제어하는 제어 신호를 생성할 수 있다. According to one aspect of the present invention, the analysis server may perform at least one of a blocking operation of the digital contents distribution through the CAS or the DRM server, a connection blocking operation to the client terminal in which the abnormal behavior is detected, And generate a control signal that controls the operation to be performed.
본 발명의 일실시예에 따른 이상 행동을 감지하는 방법은 정보 수신부에서 디지털 컨텐츠의 이용에 따른 사용 정보를 수신하는 단계와, 모델 생성부에서 수신한 사용 정보를 기계 학습하여 디지털 컨텐츠의 이용에 따른 이상 행동을 감지하기 위한 분석 모델을 생성하는 단계와, 모델 송신부에서 분석 모델을 클라우드 서버로 전송하는 단계 및 이상 행동 감지부에서 클라우드 서버로부터 통합된 분석 모델을 수신하고, 통합된 분석 모델 및 생성한 분석 모델 중에서 적어도 하나에 기초하여 이상 행동을 감지하는 단계를 포함하고, 클라우드 서버는 전송되는 분석 모델을 수집하고, 수집한 분석 모델을 기계 학습하여 통합된 분석 모델을 생성한다.A method for detecting abnormal behavior according to an exemplary embodiment of the present invention includes receiving information on use of digital content in an information receiving unit, mechanically learning usage information received from the model generating unit, Generating an analysis model for detecting abnormal behavior, transmitting the analysis model to the cloud server in the model transmission unit, receiving the integrated analysis model from the cloud server in the abnormal behavior detection unit, And detecting an abnormal behavior based on at least one of the analysis models. The cloud server collects the analysis models to be transmitted, and mechanically learns the collected analysis models to generate an integrated analysis model.
일측에 따르면, 사용 정보를 수신하는 단계는 디지털 컨텐츠의 이용에 따른 로그 정보, 디지털 컨텐츠를 이용하는 클라이언트 단말의 아이디 정보, 클라이언트 단말의 제조사 정보, 및 EDID(Extended display identification data) 정보 중에서 적어도 하나의 정보를 포함하는 사용 정보를 수신할 수 있다. According to one aspect, the step of receiving usage information includes receiving at least one of information (log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and EDID As shown in Fig.
일측에 따르면, 신호 생성부에서 이상 행동의 감지 결과에 기초하여, CAS 또는 DRM 서버를 통한 디지털 컨텐츠 유통의 차단 동작, 이상 행동이 감지된 클라이언트 단말에 대한 연결 차단 동작, 사용자 인증 요구 동작 중에서 적어도 하나의 동작이 수행 되도록 제어하는 제어 신호를 생성하는 단계를 더 포함할 수 있다. According to one aspect of the present invention, at least one of a blocking operation of the digital content distribution through the CAS or the DRM server, a connection blocking operation to the client terminal in which the abnormal behavior is detected, and a user authentication request operation, And generating a control signal for controlling the operation of the first and second processors to be performed.
일측에 따르면, 모델 수집부에서 전송되는 분석 모델을 수집하는 단계와, 통합 모델 생성부에서 수집된 분석 모델을 기계 학습하여 통합된 분석 모델을 생성하는 단계 및 통합 모델 송신부에서 통합된 분석 모델을 이상 행동 감지부로 제공하는 단계를 더 포함할 수 있다.  According to one aspect of the present invention, there is provided a method of analyzing an object, comprising: collecting an analysis model transmitted from a model collection unit; generating an integrated analysis model by mechanically learning an analysis model collected by the integrated model generation unit; To the behavior sensing unit.
일실시예에 따르면, 각 분석 서버에서 기계 학습을 통하여 획득된 분석 모델만을 클라우드 서버로 전송함으로써, 데이터 전송에 따른 트래픽 발생을 최소화할 수 있다.According to an embodiment, only the analysis model obtained through machine learning at each analysis server is transmitted to the cloud server, thereby minimizing traffic generation due to data transmission.
또한, 일실시예에 따르면, 통합된 분석 모델을 각 분석 서버에서 서로 공유 함으로써, 디지털 컨텐츠의 이용에 따른 이상 행동 감지의 정확성 및 신뢰성을 향상시킬 수 있다.In addition, according to the embodiment, the integrated analysis models can be shared among the analysis servers, thereby improving the accuracy and reliability of abnormal behavior detection according to the use of digital contents.
또한, 일실시예에 따르면, 예상 징후를 포함하는 분석 모델에 기초하여 이상 행동을 예측 감지함으로써, 이상 행동의 발생 이전에 사전 대응을 할 수 있다.In addition, according to one embodiment, it is possible to proactively detect an abnormal behavior before occurrence of an abnormal behavior, by predictively detecting an abnormal behavior based on an analysis model including a predicted symptom.
도 1은 본 발명의 일실시예에 따른 이상 행동을 감지하는 시스템을 도시하는 도면이다.1 is a diagram illustrating a system for detecting abnormal behavior according to an embodiment of the present invention.
도 2는 본 발명의 일실시예에 따른 분석 서버를 도시하는 도면이다.2 is a diagram illustrating an analysis server according to an embodiment of the present invention.
도 3은 본 발명의 일실시예에 따른 클라우드 서버를 도시하는 도면이다.3 is a diagram illustrating a cloud server according to an embodiment of the present invention.
도 4는 본 발명의 일실시예에 따른 이상 행동을 감지하는 방법을 도시하는 도면이다.4 is a diagram illustrating a method for detecting abnormal behavior according to an embodiment of the present invention.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시예들은 다양한 형태로 실시될 수 있으며 본 명세서에 설명된 실시예들에 한정되지 않는다.It is to be understood that the specific structural or functional descriptions of embodiments of the present invention disclosed herein are presented for the purpose of describing embodiments only in accordance with the concepts of the present invention, May be embodied in various forms and are not limited to the embodiments described herein.
본 발명의 개념에 따른 실시예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시예들을 특정한 개시형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 변경, 균등물, 또는 대체물을 포함한다.Embodiments in accordance with the concepts of the present invention are capable of various modifications and may take various forms, so that the embodiments are illustrated in the drawings and described in detail herein. However, it is not intended to limit the embodiments according to the concepts of the present invention to the specific disclosure forms, but includes changes, equivalents, or alternatives falling within the spirit and scope of the present invention.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만, 예를 들어 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.The terms first, second, or the like may be used to describe various elements, but the elements should not be limited by the terms. The terms may be named for the purpose of distinguishing one element from another, for example without departing from the scope of the right according to the concept of the present invention, the first element being referred to as the second element, Similarly, the second component may also be referred to as the first component.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 표현들, 예를 들어 "~사이에"와 "바로~사이에" 또는 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between. Expressions that describe the relationship between components, for example, "between" and "immediately" or "directly adjacent to" should be interpreted as well.
본 명세서에서 사용한 용어는 단지 특정한 실시예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In this specification, the terms " comprises ", or " having ", and the like, are used to specify one or more of the features, numbers, steps, operations, elements, But do not preclude the presence or addition of steps, operations, elements, parts, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the meaning of the context in the relevant art and, unless explicitly defined herein, are to be interpreted as ideal or overly formal Do not.
이하, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 특허출원의 범위가 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the scope of the patent application is not limited or limited by these embodiments. Like reference symbols in the drawings denote like elements.
도 1은 본 발명의 일실시예에 따른 이상 행동을 감지하는 시스템을 도시하는 구성도이다.1 is a block diagram showing a system for detecting abnormal behavior according to an embodiment of the present invention.
도 1을 참조하면, 일실시예에 따른 이상 행동을 감지하는 시스템(100)은 데이터 전송에 따른 트래픽 발생을 최소화할 수 있고, 디지털 컨텐츠 이용에 따른 이상 행동 감지의 정확성 및 신뢰성을 향상시킬 수 있으며, 이상 행동을 발생 이전에 예측 감지하여 대응할 수 있는 기술을 제공할 수 있다.Referring to FIG. 1, the system 100 for detecting an abnormal behavior according to an exemplary embodiment can minimize traffic generation due to data transmission, improve the accuracy and reliability of abnormal behavior detection according to digital content use, , It is possible to provide a technique capable of detecting and responding to an abnormal behavior before occurrence.
이를 위해, 일실시예에 따른 이상 행동을 감지하는 시스템(100)은 클라우드 서버(110) 및 적어도 둘 이상의 분석 서버(120)를 포함할 수 있다. To this end, the system 100 for detecting anomalous behavior according to one embodiment may include a cloud server 110 and at least two analysis servers 120.
예를 들어, 적어도 둘 이상의 분석 서버(120)는 디지털 컨텐츠를 제공하는 각각의 사업자들이 운용하는 서버일 수 있다.For example, at least two analysis servers 120 may be servers operated by respective providers providing digital contents.
일실시예에 따른 클라우드 서버(110)는 적어도 둘 이상의 분석 서버(120)로부터 이상 행동 감지를 위한 분석 모델을 수집하고, 수집한 분석 모델을 기계 학습하여 통합된 분석 모델을 생성할 수 있다.The cloud server 110 according to an exemplary embodiment collects analysis models for detecting abnormal behavior from at least two analysis servers 120, and can generate an integrated analysis model by mechanically learning the collected analysis models.
일실시예에 따른 분석 서버(120)는 기계 학습을 통하여 분석 모델을 생성하고, 생성한 분석 모델 및 통합된 분석 모델 중에서 적어도 하나에 기초하여 이상 행동을 감지할 수 있다. The analysis server 120 according to an exemplary embodiment may generate an analysis model through machine learning, and may detect abnormal behavior based on at least one of the generated analysis model and the integrated analysis model.
도 2는 본 발명의 일실시예에 따른 분석 서버를 도시하는 구성도이다.2 is a configuration diagram showing an analysis server according to an embodiment of the present invention.
도 2를 참조하면, 일실시예에 따른 분석 서버(200)는 기계 학습을 통하여 분석 모델을 생성하고, 생성한 분석 모델을 도 1의 클라우드 서버로 전송하며, 클라우드 서버로부터 수신한 통합된 분석 모델 및 생성한 분석 모델 중에서 적어도 하나에 기초하여 이상 행동을 감지한다.2, the analysis server 200 generates an analysis model through machine learning, transmits the generated analysis model to the cloud server of FIG. 1, and analyzes the integrated analysis model received from the cloud server And an analysis model based on at least one of the generated analysis models.
이를 위해, 정보 수신부(210), 모델 생성부(220), 모델 송신부(230) 및 이상 행동 감지부(240)를 포함한다. For this, an information receiving unit 210, a model generating unit 220, a model transmitting unit 230, and an abnormal behavior detecting unit 240 are included.
또한, 일실시예에 따른 분석 서버(200)는 정보 수신부(210), 모델 생성부(220), 모델 송신부(230) 및 이상 행동 감지부(240)의 동작을 제어하는 제어부를 더 포함할 수 있다. The analysis server 200 may further include a controller for controlling operations of the information receiving unit 210, the model generating unit 220, the model transmitting unit 230, and the abnormal behavior detecting unit 240 have.
먼저, 일실시예에 따른 정보 수신부(210)는 디지털 컨텐츠의 이용에 따른 사용 정보를 수신한다.First, the information receiving unit 210 according to an embodiment receives usage information according to use of digital contents.
일측에 따르면, 정보 수신부(210)는 CAS(Conditional Access System) 서버 및 DRM(Digital Rights Management) 서버 중에서 적어도 하나의 서버로부터 사용 정보를 수신할 수 있다. According to one aspect, the information receiving unit 210 may receive usage information from at least one of a CAS (Conditional Access System) server and a DRM (Digital Rights Management) server.
예를 들어, 정보 수신부(210)는 CAS 서버 및 DRM 서버에 중에서 적어도 하나의 서버에서 디지털 컨텐츠를 이용하는 적어도 하나 이상의 클라이언트 단말로부터 수집한 사용 정보를 수신할 수 있다. For example, the information receiving unit 210 may receive usage information collected from at least one client terminal using digital content in at least one server among the CAS server and the DRM server.
또한, 정보 수신부(210)는 각각의 클라이언트 단말로부터 직접 사용 정보를 수신할 수도 있다.In addition, the information receiving unit 210 may directly receive usage information from each client terminal.
일측에 따르면, 정보 수신부(210)는 사용 정보로서, 디지털 컨텐츠의 이용에 따른 로그 정보, 디지털 컨텐츠를 이용하는 클라이언트 단말의 아이디 정보, 클라이언트 단말의 제조사 정보, 및 EDID(Extended display identification data) 정보 중에서 적어도 하나의 정보를 수신할 수 있다.According to one aspect, the information receiving unit 210 may use, as usage information, log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and extended display identification data (EDID) One information can be received.
일실시예에 따른 모델 생성부(220)는 수신한 사용 정보를 기계 학습하여 디지털 컨텐츠의 이용에 따른 이상 행동을 감지하기 위한 분석 모델을 생성한다.The model generation unit 220 generates an analysis model for detecting an abnormal behavior according to the use of the digital contents by mechanically learning the received usage information.
예를 들어, 모델 생성부(220)는 신경망(Neural Network), 의사결정나무(Decision Tree), 베이지안 망(Bayesian network), 서포트 벡터 머신(Support Vector Machine, SVM) 중에서 적어도 하나의 학습 알고리즘을 통해 사용 정보를 기계 학습하여 분석 모델을 생성할 수 있다. For example, the model generation unit 220 may generate a model using at least one learning algorithm among a neural network, a decision tree, a Bayesian network, and a support vector machine (SVM) An analytical model can be created by machine learning of usage information.
일측에 따르면, 모델 생성부(220)는 사용 정보에서 이상 행동의 발생 사례를 추출하고, 이상 행동의 발생 사례를 기계학습하여 이상 행동을 예측 감지하기 위한 예상 징후를 포함하는 분석 모델을 생성할 수 있다. According to one aspect, the model generating unit 220 may extract an occurrence event of an abnormal behavior from the usage information, and may generate an analysis model including expected indications for predictive detection of an abnormal behavior by machine learning of the occurrence event of the abnormal behavior have.
예를 들어, 모델 생성부(220)는 사용 정보 중 로그 정보를 분석하여 이상 행동의 발생 사례를 추출할 수 있으며, 이상 행동의 발생 사례는 이상 행동의 징후 및 이상 행동의 발생에 따른 대응 동작을 포함할 수 있다.For example, the model generation unit 220 may analyze the log information in the usage information to extract a case of occurrence of an abnormal behavior. Examples of the occurrence of the abnormal behavior include a symptom of the abnormal behavior and a corresponding action .
즉, 본 발명을 이용하면 예상 징후를 포함하는 분석 모델에 기초하여 이상 행동을 예측 감지함으로써, 이상 행동의 발생 이전에 사전 대응을 할 수 있다.That is, by using the present invention, it is possible to predict the abnormal behavior based on the analytical model including the expected symptom, and to proactively detect the abnormal behavior before the abnormal behavior occurs.
일측에 따르면, 모델 생성부(220)는 사용 정보를 기계학습하여 이상 행동을 실시간 또는 발생 이전에 예측 감지하기 위한 분석 모델을 생성할 수 있다. 일실시예에 따른 분석 모델은 이상 행동으로서 디지털 컨텐츠의 구매, 이용, 유통 시 인증된 엔티티(entity)에 의해 발생하는 절차 이외의 동작을 감지할 수 있다.According to one aspect, the model generation unit 220 may generate an analysis model for mechanically learning usage information to predict and detect abnormal behavior in real time or before generation. The analysis model according to an exemplary embodiment may detect an operation other than a procedure generated by an authenticated entity when purchasing, using, and distributing digital contents as an abnormal behavior.
일측에 따르면, 모델 생성부(220)는 절차 이외의 동작을 감지하기 위한 분석 모델을 생성할 수 있다.According to one aspect, the model generation unit 220 can generate an analysis model for detecting an operation other than a procedure.
구체적으로, 절차 이외의 동작은 저작권과 보안을 위협하는 해킹 및 침해를 시도하는 동작, 디지털 컨텐츠를 불법 다운로드하는 동작, 디지털 컨텐츠를 불법 복제하는 동작, 인증되지 않은 클라이언트 단말에서 디지털 컨텐츠를 이용하는 동작 및 클라이언트 단말과 디지털 컨텐츠를 관리하는 서버간에 의심스러운 데이터를 빈번하게 주고받는 동작 등을 포함할 수 있다.Specifically, operations other than the procedures include an operation of attempting hacking and infringement that threatens copyright and security, an operation of illegally downloading digital contents, an operation of illegally copying digital contents, an operation of using digital contents in unauthenticated client terminals, An operation of frequently exchanging suspicious data between a client terminal and a server managing digital contents, and the like.
예를 들어, 디지털 컨텐츠를 관리하는 서버는 CAS 서버, DRM 서버 및 기타 디지털 컨텐츠를 유통하는 서버 중에서 적어도 하나를 포함할 수 있다. For example, the server for managing digital contents may include at least one of a CAS server, a DRM server, and a server for distributing digital contents.
일실시예에 따른 모델 송신부(230)는 분석 모델을 클라우드 서버로 전송한다.The model transmitting unit 230 according to an embodiment transmits the analysis model to the cloud server.
예를 들어, 모델 송신부(230)는 생성한 분석 모델 전체를 클라우드 서버로 전송할 수도 있고, 비즈니스 정책 또는 고객 정책에 저촉되지 않는 일부 분석 모델만을 클라우드 서버로 전송할 수도 있다.For example, the model transmitting unit 230 may transmit the entire analysis model to the cloud server, or may transmit only some analytical models that do not conflict with the business policy or the customer policy to the cloud server.
즉, 본 발명을 이용하면 분석 서버(200)에서 기계 학습을 통하여 획득된 분석 모델만을 클라우드 서버로 전송하고, 클라우드 서버에서는 각 분석 서버로부터 분석 모델만을 수집하여 관리함으로써, 데이터 전송에 따른 트래픽 발생을 최소화할 수 있다.That is, when the present invention is used, only the analysis model acquired through the machine learning in the analysis server 200 is transmitted to the cloud server, and in the cloud server, only the analysis model is collected and managed from each analysis server, Can be minimized.
일실시예에 따른 클라우드 서버는 전송되는 분석 모델을 수집하고, 수집한 분석 모델을 기계 학습하여 통합된 분석 모델을 생성한다.The cloud server according to an exemplary embodiment collects transmitted analysis models, and generates a combined analysis model by mechanically learning the collected analysis models.
예를 들어, 클라우드 서버는 적어도 둘 이상의 분석 서버(200)로부터 분석 모델을 수집할 수 있다. For example, the cloud server may collect analytical models from at least two analysis servers 200.
또한, 적어도 둘 이상의 분석 서버(200)는 디지털 컨텐츠를 제공하는 각각의 사업자들이 운용하는 서버일 수 있다.In addition, at least two analysis servers 200 may be servers operated by respective providers providing digital contents.
즉, 본 발명은 각 분석 서버(200)에서 기계 학습을 통한 1차 분석으로 생성된 분석 모델을 클라우드 서버에서 수집하고, 클라우드 서버에서 수집된 분석 모델에 대하여 기계 학습을 통한 2차 분석으로 통합된 분석 모델을 생성한다.That is, according to the present invention, an analysis model generated by a first-order analysis through machine learning is collected in a cloud server in each analysis server 200, and an analysis model collected in a cloud server is integrated into a second analysis through machine learning Create an analysis model.
또한, 클라우드 서버에서 생성한 통합된 분석 모델을 각 분석 서버(200)에서 서로 공유 함으로써, 디지털 컨텐츠의 이용에 따른 이상 행동 감지의 정확성 및 신뢰성을 향상시킬 수 있다.In addition, by sharing the integrated analysis models generated by the cloud server with each other in the analysis server 200, it is possible to improve the accuracy and reliability of abnormal behavior detection according to the use of digital contents.
일실시예에 따른 이상 행동 감지부(240)는 클라우드 서버로부터 통합된 분석 모델을 수신하고, 통합된 분석 모델 및 모델 생성부(220)에서 생성한 분석 모델 중에서 적어도 하나에 기초하여 이상 행동을 감지한다.The abnormal behavior detection unit 240 according to an exemplary embodiment receives the integrated analysis model from the cloud server and detects an abnormal behavior based on at least one of the integrated analysis model and the analysis model generated by the model generation unit 220 do.
예를 들어, 이상 행동 감지부(240)는 통합된 분석 모델 중의 일부와 생성한 분석 모델을 조합한 분석 모델을 생성하고, 조합한 분석 모델에 기초하여 이상 행동을 감지할 수 있다. For example, the abnormal behavior detection unit 240 may generate an analysis model in which a part of the integrated analysis model is combined with the generated analysis model, and detect abnormal behavior based on the combined analysis model.
보다 구체적으로, 이상 행동 감지부(240)는 클라우드 서버로부터 수신한 통합된 분석 모델 중에서 사업자별 비즈니스 정책 또는 고객 정책에 따라 적용 가능한 일부 분석 모델을 추출하고, 추출한 일부 분석 모델과 생성한 분석 모델을 통합하여 조합된 분석 모델을 생성하며, 조합된 분석 모델에 기초하여 이상 행동을 감지할 수 있다. More specifically, the abnormal behavior detection unit 240 extracts some analytical models that can be applied according to business policy or customer policy among the integrated analytical models received from the cloud server, and extracts some extracted analytical models and the generated analytical models The combined analysis model can be integrated and the abnormal behavior can be detected based on the combined analysis model.
일측에 따르면, 분석 서버(200)는 이상 행동의 감지 결과에 기초하여, CAS 또는 DRM 서버를 통한 디지털 컨텐츠 유통의 차단 동작, 이상 행동이 감지된 클라이언트 단말에 대한 연결 차단 동작, 사용자 인증 요구 동작 중에서 적어도 하나의 동작이 수행 되도록 제어하는 제어 신호를 생성하는 신호 생성부(250)를 더 포함할 수 있다. According to one aspect of the present invention, the analysis server 200 may perform a blocking operation of the digital content distribution through the CAS or the DRM server, a connection blocking operation to the client terminal in which the abnormal behavior is detected, And a signal generator 250 for generating a control signal for controlling at least one operation to be performed.
보다 구체적으로, 신호 생성부는 감지 결과에 기초하여 제어 신호를 생성하고, 생성된 제어 신호를 디지털 컨텐츠의 유통을 관리하는 관리 서버에 전달함으로써, 관리 서버에서 이상 행동이 감지된 클라이언트 단말에 대하여 연결을 차단 하거나 컨텐츠의 유통을 차단할 수 있다. 또한, 관리 서버에서 클라이언트 단말에 사용자 인증을 요구 하도록 제어할 수 있다.More specifically, the signal generator generates a control signal based on the detection result, and transmits the generated control signal to a management server that manages the distribution of the digital contents, thereby making a connection to the client terminal, Block or block distribution of content. In addition, the management server can control the client terminal to request the user authentication.
도 3은 본 발명의 일실시예에 따른 클라우드 서버를 도시하는 구성도이다.3 is a configuration diagram illustrating a cloud server according to an embodiment of the present invention.
도 3에서 설명하는 내용 중에서 일실시예에 따른 분석 서버에서 도 2를 통하여 설명한 내용과 중복되는 설명은 생략 하기로 한다.The description of FIG. 3 will not be repeated in the analysis server according to an embodiment of the present invention.
도 3을 참조하면, 일실시예에 따른 클라우드 서버(300)는 적어도 둘 이상의 분석 서버로부터 분석 모델을 수집하고, 수집된 분석 모델을 기계 학습하여 통합된 분석 모델을 생성하며, 통합된 분석 모델을 각 분석 서버로 제공한다.Referring to FIG. 3, the cloud server 300 according to an exemplary embodiment collects analysis models from at least two analysis servers, generates an integrated analysis model by machine learning the collected analysis models, Provided to each analysis server.
이를 위해, 모델 수집부(310), 통합 모델 생성부(320) 및 통합 모델 송신부(330)를 포함한다. For this, a model collecting unit 310, an integrated model generating unit 320, and an integrated model transmitting unit 330 are included.
또한, 일실시예에 따른 클라우드 서버(300)는 모델 수집부(310), 통합 모델 생성부(320) 및 통합 모델 송신부(330)의 동작을 제어하는 제어부를 더 포함할 수 있다.The cloud server 300 may further include a controller for controlling operations of the model collecting unit 310, the integrated model generating unit 320, and the integrated model transmitting unit 330 according to an exemplary embodiment of the present invention.
먼저, 일실시예에 따른 모델 수집부(310)는 적어도 둘 이상의 분석 서버로부터 분석 모델을 수집한다. First, the model collecting unit 310 collects analytic models from at least two analysis servers.
일실시예에 따른 분석 서버는 사용 정보를 기계 학습하여 디지털 컨텐츠의 이용에 따른 이상 행동을 감지하기 위한 분석 모델을 생성한다. The analysis server according to an exemplary embodiment of the present invention generates an analysis model for detecting an abnormal behavior due to use of digital contents by mechanically learning usage information.
예를 들어, 적어도 둘 이상의 분석 서버는 디지털 컨텐츠를 제공하는 각각의 사업자들이 운용하는 서버일 수 있다.For example, at least two analysis servers may be servers operated by respective providers providing digital contents.
일측에 따르면, 분석 서버는 사용 정보로서, 디지털 컨텐츠의 이용에 따른 로그 정보, 디지털 컨텐츠를 이용하는 클라이언트 단말의 아이디 정보, 클라이언트 단말의 제조사 정보, 및 EDID(Extended display identification data) 정보 중에서 적어도 하나의 정보를 수신할 수 있다. According to one aspect, the analysis server includes at least one of information (log information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and extended display identification data (EDID) Lt; / RTI >
일측에 따르면, 분석 서버는 사용 정보에서 이상 행동의 발생 사례를 추출하고, 이상 행동의 발생 사례를 기계학습하여 이상 행동을 예측 감지하기 위한 예상 징후를 포함하는 분석 모델을 생성할 수 있다.According to one aspect, the analysis server can extract an occurrence of an abnormal behavior from the usage information, and generate an analysis model including predictive indications for predictive detection of abnormal behavior by machine learning of the occurrence event of the abnormal behavior.
즉, 본 발명을 이용하면 예상 징후를 포함하는 분석 모델에 기초하여 이상 행동을 예측 감지함으로써, 이상 행동의 발생 이전에 사전 대응을 할 수 있다.That is, by using the present invention, it is possible to predict the abnormal behavior based on the analytical model including the expected symptom, and to proactively detect the abnormal behavior before the abnormal behavior occurs.
일측에 따르면, 분석 서버는 사용 정보를 기계학습하여 이상 행동을 실시간 또는 발생 이전에 예측 감지하기 위한 분석 모델을 생성할 수 있다. 일실시예에 따른 분석 모델은 이상 행동으로서 디지털 컨텐츠의 구매, 이용, 유통 시 인증된 엔티티(entity)에 의해 발생하는 절차 이외의 동작을 감지할 수 있다.According to one aspect, the analysis server may generate an analysis model for machine learning of usage information to predict and detect anomalous behavior in real time or before occurrence. The analysis model according to an exemplary embodiment may detect an operation other than a procedure generated by an authenticated entity when purchasing, using, and distributing digital contents as an abnormal behavior.
일측에 따르면, 분석 서버는 절차 이외의 동작을 감지하기 위한 분석 모델을 생성할 수 있다.According to one aspect, the analysis server can generate an analysis model for detecting actions other than the procedure.
구체적으로, 절차 이외의 동작은 저작권과 보안을 위협하는 해킹 및 침해를 시도하는 동작, 디지털 컨텐츠를 불법 다운로드하는 동작, 디지털 컨텐츠를 불법 복제하는 동작, 인증되지 않은 클라이언트 단말에서 디지털 컨텐츠를 이용하는 동작 및 클라이언트 단말과 디지털 컨텐츠를 관리하는 서버간에 의심스러운 데이터를 빈번하게 주고받는 동작 등을 포함할 수 있다.Specifically, operations other than the procedures include an operation of attempting hacking and infringement that threatens copyright and security, an operation of illegally downloading digital contents, an operation of illegally copying digital contents, an operation of using digital contents in unauthenticated client terminals, An operation of frequently exchanging suspicious data between a client terminal and a server managing digital contents, and the like.
일실시예에 따른 통합 모델 생성부(320)는 수집된 분석 모델을 기계 학습하여 통합된 분석 모델을 생성한다.The integrated model generation unit 320 according to an exemplary embodiment of the present invention generates an integrated analysis model by mechanically learning the collected analysis models.
일실시예에 따른 통합 모델 송신부(330)는 통합된 분석 모델을 각각의 분석 서버로 제공한다.The integrated model transmitter 330 according to an embodiment provides an integrated analysis model to each analysis server.
일실시예에 따른 분석 서버는 생성한 분석 모델 및 통합된 분석 모델 중에서 적어도 하나에 기초하여 이상 행동을 감지한다.The analysis server according to an exemplary embodiment detects abnormal behavior based on at least one of the generated analysis model and the integrated analysis model.
예를 들어, 통합 모델 생성부(320)는 제1 내지 제3 사업자가 운영하는 각각의 분석 서버로부터 분석 모델을 수집하는 경우에, 수집한 분석 모델을 기계 학습하여 통합된 분석 모델을 생성함으로써, 제1 사업자에서 생성한 분석 모델에는 존재하지 않는 이상 행동 감지를 위한 추가 분석 모델을 포함하는 통합된 분석 모델을 생성할 수 있다.For example, when collecting the analysis models from the respective analysis servers operated by the first to third parties, the integrated model generation unit 320 generates the integrated analysis models by machine learning the collected analysis models, An integrated analysis model including an additional analysis model for abnormal behavior detection that is not present in the analysis model generated by the first business entity can be generated.
다음으로, 통합 모델 송신부(330)는 제1 사업자의 분석 서버로 추가 분석 모델을 포함하는 통합된 분석 모델을 제공함으로써, 분석 서버에서 수행되는 이상 행동 감지 동작의 정확성 및 신뢰성을 향상시킬 수 있다. Next, the integrated model transmission unit 330 can improve the accuracy and reliability of the abnormal behavior detection operation performed in the analysis server by providing the integrated analysis model including the additional analysis model to the analysis server of the first provider.
다시 말해, 본 발명을 이용하면 각 분석 서버에서 기계 학습을 통한 1차 분석으로 생성된 분석 모델을 클라우드 서버에서 수집하고, 클라우드 서버에서 수집된 분석 모델에 대하여 기계 학습을 통한 2차 분석으로 통합된 분석 모델을 생성하며, 통합된 분석 모델을 각 분석 서버에서 서로 공유 함으로써, 디지털 컨텐츠의 이용에 따른 이상 행동 감지의 정확성 및 신뢰성을 향상시킬 수 있다.In other words, using the present invention, the analytical model generated by the first analysis through machine learning is collected in the cloud server in each analysis server, and the analysis model collected in the cloud server is integrated into the second analysis through machine learning By creating an analysis model and sharing the integrated analysis models with each analysis server, it is possible to improve the accuracy and reliability of abnormal behavior detection according to the use of digital contents.
일측에 따르면, 분석 서버는 이상 행동의 감지 결과에 기초하여, CAS 또는 DRM 서버를 통한 디지털 컨텐츠 유통의 차단 동작, 이상 행동이 감지된 클라이언트 단말에 대한 연결 차단 동작, 사용자 인증 요구 동작 중에서 적어도 하나의 동작이 수행 되도록 제어하는 제어 신호를 생성할 수 있다. According to one aspect of the present invention, the analysis server may perform at least one of a blocking operation of the digital contents distribution through the CAS or the DRM server, a connection blocking operation to the client terminal in which the abnormal behavior is detected, And generate a control signal that controls the operation to be performed.
도 4는 본 발명의 일실시예에 따른 이상 행동을 감지하는 방법을 도시하는 순서도이다. 4 is a flowchart illustrating a method for detecting abnormal behavior according to an embodiment of the present invention.
도 4의 일 실시예에 따른 이상 행동을 감지하는 방법은 일실시예에 따른 이상 행동을 감지하는 시스템에 의해 수행될 수 있다. The method of detecting an abnormal behavior according to an embodiment of FIG. 4 may be performed by a system that detects abnormal behavior according to an embodiment.
따라서, 도 4에서 설명하는 내용 중 일실시예에 따른 이상 행동을 감지하는 시스템에서 도 1 내지 도 3을 통하여 설명한 내용과 중복되는 설명은 생략 하기로 한다.Therefore, in the system for detecting an abnormal behavior according to an embodiment of the present invention shown in FIG. 4, a description overlapping with the contents described with reference to FIG. 1 through FIG. 3 will be omitted.
도 4를 참조하면, 410 단계에서 일실시예에 따른 이상 행동을 감지하는 방법은 정보 수신부에서 디지털 컨텐츠의 이용에 따른 사용 정보를 수신한다. Referring to FIG. 4, in step 410, a method for detecting abnormal behavior according to an exemplary embodiment receives usage information according to usage of digital contents in an information receiving unit.
일측에 따르면, 410 단계에서 일실시예에 따른 이상 행동을 감지하는 방법은 디지털 컨텐츠의 이용에 따른 로그 정보, 디지털 컨텐츠를 이용하는 클라이언트 단말의 아이디 정보, 클라이언트 단말의 제조사 정보, 및 EDID(Extended display identification data) 정보 중에서 적어도 하나의 정보를 포함하는 사용 정보를 수신할 수 있다. According to one aspect, a method for detecting abnormal behavior according to an exemplary embodiment of the present invention includes logging information according to use of digital contents, ID information of a client terminal using digital contents, manufacturer information of a client terminal, and EDID data) information including at least one piece of information.
420 단계에서 일실시예에 따른 이상 행동을 감지하는 방법은 모델 생성부에서 수신한 사용 정보를 기계 학습하여 디지털 컨텐츠의 이용에 따른 이상 행동을 감지하기 위한 분석 모델을 생성한다.In step 420, the method for detecting abnormal behavior according to an exemplary embodiment of the present invention generates an analysis model for detecting an abnormal behavior according to the use of digital contents by mechanically learning usage information received by the model generation unit.
예를 들어, 사용 정보에서 이상 행동의 발생 사례를 추출하고, 이상 행동의 발생 사례를 기계학습하여 이상 행동을 예측 감지하기 위한 예상 징후를 포함하는 분석 모델을 생성할 수 있다.For example, it is possible to generate an analysis model including expected signs for predicting abnormal behavior by extracting occurrence cases of abnormal behavior from usage information and mechanically learning occurrence cases of abnormal behavior.
430 단계에서 일실시예에 따른 이상 행동을 감지하는 방법은 모델 송신부에서 분석 모델을 클라우드 서버로 전송한다.In step 430, a method for detecting abnormal behavior according to an exemplary embodiment transmits an analysis model to a cloud server in a model transmission unit.
일실시예에 따른 클라우드 서버는 440 단계 내지 460 단계를 통하여 전송되는 분석 모델을 수집하고, 수집한 분석 모델을 기계 학습하여 통합된 분석 모델을 생성한다. The cloud server according to an exemplary embodiment collects analysis models transmitted through steps 440 to 460, and generates a combined analysis model by machine learning the collected analysis models.
일측에 따르면, 440 단계에서 일실시예에 따른 이상 행동을 감지하는 방법은 모델 수집부에서 전송되는 분석 모델을 수집할 수 있다. According to one aspect, in step 440, a method of detecting an abnormal behavior according to an exemplary embodiment may collect an analysis model transmitted from a model collecting unit.
일측에 따르면, 450 단계에서 일실시예에 따른 이상 행동을 감지하는 방법은 통합 모델 생성부에서 수집된 분석 모델을 기계 학습하여 통합된 분석 모델을 생성할 수 있다. According to one aspect, in the method of detecting an abnormal behavior according to an embodiment, the integrated analysis model may be generated by mechanically learning the analysis model collected by the integrated model generation unit.
일측에 따르면, 460 단계에서 일실시예에 따른 이상 행동을 감지하는 방법은 통합 모델 송신부에서 통합된 분석 모델을 이상 행동 감지부로 제공할 수 있다. According to one aspect, in the method of detecting abnormal behavior according to an embodiment, the integrated model transmission unit may provide an integrated analysis model to the abnormal behavior sensing unit.
470 단계에서 일실시예에 따른 이상 행동을 감지하는 방법은 이상 행동 감지부에서 클라우드 서버로부터 통합된 분석 모델을 수신하고, 통합된 분석 모델 및 생성한 분석 모델 중에서 적어도 하나에 기초하여 이상 행동을 감지한다. The method of detecting an abnormal behavior according to an exemplary embodiment of the present invention includes receiving an integrated analysis model from a cloud server in an abnormal behavior detection unit and detecting an abnormal behavior based on at least one of the integrated analysis model and the generated analysis model do.
일측에 따르면, 470 단계에서 일실시예에 따른 이상 행동을 감지하는 방법은 신호 생성부에서 이상 행동의 감지 결과에 기초하여, CAS 또는 DRM 서버를 통한 디지털 컨텐츠 유통의 차단 동작, 이상 행동이 감지된 클라이언트 단말에 대한 연결 차단 동작, 사용자 인증 요구 동작 중에서 적어도 하나의 동작이 수행 되도록 제어하는 제어 신호를 생성할 수 있다.According to one aspect, a method of detecting an abnormal behavior according to an exemplary embodiment of the present invention includes: a blocking operation of digital content distribution through a CAS or a DRM server; A connection blocking operation for the client terminal, and a user authentication request operation may be performed.
결국, 본 발명을 이용하면 각 분석 서버에서 기계 학습을 통하여 획득된 분석 모델만을 클라우드 서버로 전송하고, 클라우드 서버에서는 각 분석 서버로부터 분석 모델만을 수집하여 관리함으로써, 데이터 전송에 따른 트래픽 발생을 최소화할 수 있다.As a result, according to the present invention, only the analysis models obtained through machine learning are transmitted to the cloud server in each analysis server, and only the analysis models are collected from each analysis server in the cloud server, .
또한, 각 분석 서버에서 기계 학습을 통한 1차 분석으로 생성된 분석 모델을 클라우드 서버에서 수집하고, 클라우드 서버에서 수집된 분석 모델에 대하여 기계 학습을 통한 2차 분석으로 통합된 분석 모델을 생성하며, 통합된 분석 모델을 각 분석 서버에서 서로 공유 함으로써, 디지털 컨텐츠의 이용에 따른 이상 행동 감지의 정확성 및 신뢰성을 향상시킬 수 있다.In addition, the analytical model generated from the first analysis through machine learning is collected from the cloud server in each analysis server, the integrated analysis model is generated by the second analysis through the machine learning on the analysis model collected from the cloud server, By sharing the integrated analysis model with each analysis server, it is possible to improve the accuracy and reliability of abnormal behavior detection according to the use of digital contents.
또한, 이상 행동에 대한 예상 징후를 포함하는 분석 모델에 기초하여 이상 행동을 예측 감지함으로써, 이상 행동의 발생 이전에 사전 대응을 할 수 있다. In addition, it is possible to proactively respond to an abnormal behavior before occurrence of an abnormal behavior by predicting abnormal behavior based on an analysis model including a predicted symptom of the abnormal behavior.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components. For example, the apparatus and components described in the embodiments may be implemented within a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable array (FPA) A programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For ease of understanding, the processing apparatus may be described as being used singly, but those skilled in the art will recognize that the processing apparatus may have a plurality of processing elements and / As shown in FIG. For example, the processing unit may comprise a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as a parallel processor.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the foregoing, and may be configured to configure the processing device to operate as desired or to process it collectively or collectively Device can be commanded. The software and / or data may be in the form of any type of machine, component, physical device, virtual equipment, computer storage media, or device , Or may be permanently or temporarily embodied in a transmitted signal wave. The software may be distributed over a networked computer system and stored or executed in a distributed manner. The software and data may be stored on one or more computer readable recording media.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

Claims (17)

  1. 디지털 컨텐츠의 이용에 따른 사용 정보를 수신하는 정보 수신부;An information receiving unit for receiving usage information according to use of digital contents;
    상기 수신한 사용 정보를 기계 학습하여 상기 디지털 컨텐츠의 이용에 따른 이상 행동을 감지하기 위한 분석 모델을 생성하는 모델 생성부;A model generating unit for generating an analysis model for detecting abnormal behavior according to use of the digital contents by mechanically learning the received usage information;
    상기 분석 모델을 클라우드 서버로 전송하는 모델 송신부; 및A model transmitter for transmitting the analysis model to a cloud server; And
    상기 클라우드 서버로부터 통합된 분석 모델을 수신하고, 상기 통합된 분석 모델 및 상기 생성한 분석 모델 중에서 적어도 하나에 기초하여 이상 행동을 감지하는 이상 행동 감지부An abnormal behavior detection unit for receiving an integrated analysis model from the cloud server and detecting abnormal behavior based on at least one of the integrated analysis model and the generated analysis model,
    를 포함하고,Lt; / RTI >
    상기 클라우드 서버는The cloud server
    상기 전송되는 분석 모델을 수집하고, 상기 수집한 분석 모델을 기계 학습하여 통합된 분석 모델을 생성하는 Collecting the transmitted analysis models, and mechanically learning the collected analysis models to generate an integrated analysis model
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템. A system that detects abnormal behavior based on an integrated analytical model.
  2. 제1항에 있어서,The method according to claim 1,
    상기 정보 수신부는 The information receiver
    CAS(Conditional Access System) 서버 및 DRM(Digital Rights Management) 서버 중에서 적어도 하나의 서버로부터 상기 사용 정보를 수신하는And receives the usage information from at least one server among a CAS (Conditional Access System) server and a DRM (Digital Rights Management) server
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템.A system that detects abnormal behavior based on an integrated analytical model.
  3. 제1항에 있어서,The method according to claim 1,
    상기 정보 수신부는 The information receiver
    상기 사용 정보로서, 상기 디지털 컨텐츠의 이용에 따른 로그 정보, 상기 디지털 컨텐츠를 이용하는 클라이언트 단말의 아이디 정보, 상기 클라이언트 단말의 제조사 정보, 및 EDID(Extended display identification data) 정보 중에서 적어도 하나의 정보를 수신하는Receiving at least one piece of information among log information according to use of the digital contents, ID information of a client terminal using the digital contents, manufacturer information of the client terminal, and EDID (Extended Display Identification Data) information as the use information
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템.A system that detects abnormal behavior based on an integrated analytical model.
  4. 제1항에 있어서,The method according to claim 1,
    상기 모델 생성부는The model generation unit
    상기 사용 정보에서 상기 이상 행동의 발생 사례를 추출하고, 상기 이상 행동의 발생 사례를 기계학습하여 상기 이상 행동을 예측 감지하기 위한 예상 징후를 포함하는 상기 분석 모델을 생성하는Extracting a case of occurrence of the abnormal behavior from the usage information, and generating the analysis model including a predictive indication for predicting the abnormal behavior by machine learning of the occurrence event of the abnormal behavior
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템.A system that detects abnormal behavior based on an integrated analytical model.
  5. 제1항에 있어서,The method according to claim 1,
    상기 모델 생성부는The model generation unit
    상기 사용 정보를 기계학습하여 상기 이상 행동을 실시간 또는 발생 이전에 예측 감지하기 위한 상기 분석 모델을 생성하되, 상기 이상 행동은 상기 디지털 컨텐츠의 구매, 이용, 유통 시 인증된 엔티티(entity)에 의해 발생하는 절차 이외의 동작인 것을 특징으로 하는 And generating the analysis model for predicting the abnormal behavior in real time or before the occurrence of the abnormal behavior by mechanically learning the usage information, wherein the abnormal behavior is generated by an entity that is authenticated during purchase, use, and distribution of the digital content Is an operation other than the procedure
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템. A system that detects abnormal behavior based on an integrated analytical model.
  6. 제5항에 있어서,6. The method of claim 5,
    상기 모델 생성부는 The model generation unit
    상기 절차 이외의 동작으로서, 저작권과 보안을 위협하는 해킹 및 침해를 시도하는 동작, 상기 디지털 컨텐츠를 불법 다운로드하는 동작, 상기 디지털 컨텐츠를 불법 복제하는 동작, 인증되지 않은 클라이언트 단말에서 상기 디지털 컨텐츠를 이용하는 동작 및 상기 클라이언트 단말과 상기 디지털 컨텐츠를 관리하는 서버간에 의심스러운 데이터를 빈번하게 주고받는 동작 중에서 적어도 하나의 동작을 감지하기 위한 상기 분석 모델을 생성하는As an operation other than the above procedures, an operation of attempting hacking and infringement threatening copyright and security, an operation of illegally downloading the digital contents, an operation of illegally copying the digital contents, an operation of using the digital contents And generating the analysis model for detecting at least one operation among operations of the client terminal and the server managing the digital content,
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템. A system that detects abnormal behavior based on an integrated analytical model.
  7. 제3항에 있어서,The method of claim 3,
    상기 이상 행동의 감지 결과에 기초하여, CAS 또는 DRM 서버를 통한 디지털 컨텐츠 유통의 차단 동작, 상기 이상 행동이 감지된 클라이언트 단말에 대한 연결 차단 동작, 사용자 인증 요구 동작 중에서 적어도 하나의 동작이 수행 되도록 제어하는 제어 신호를 생성하는 신호 생성부를 더 포함하는A control unit configured to perform at least one of an operation for interrupting the digital content distribution through the CAS or the DRM server, a connection blocking operation for the client terminal in which the abnormal behavior is detected, and a user authentication request operation based on the detection result of the abnormal behavior And a signal generator for generating a control signal
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템. A system that detects abnormal behavior based on an integrated analytical model.
  8. 적어도 둘 이상의 분석 서버로부터 분석 모델을 수집하는 모델 수집부;A model collection unit for collecting analysis models from at least two analysis servers;
    상기 수집된 분석 모델을 기계 학습하여 통합된 분석 모델을 생성하는 통합 모델 생성부; 및 An integrated model generation unit for generating an integrated analysis model by mechanically learning the collected analysis model; And
    상기 통합된 분석 모델을 상기 각각의 분석 서버로 제공하는 통합 모델 송신부An integrated model transmitter for providing the integrated analysis model to each of the analysis servers,
    를 포함하고, Lt; / RTI >
    상기 분석 서버는 The analysis server
    사용 정보를 기계 학습하여 상기 디지털 컨텐츠의 이용에 따른 이상 행동을 감지하기 위한 상기 분석 모델을 생성하며, 상기 생성한 분석 모델 및 상기 통합된 분석 모델 중에서 적어도 하나에 기초하여 상기 이상 행동을 감지하는Generating an analysis model for detecting an abnormal behavior according to the use of the digital content by mechanically learning usage information, and detecting the abnormal behavior based on at least one of the generated analysis model and the integrated analysis model
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템. A system that detects abnormal behavior based on an integrated analytical model.
  9. 제8항에 있어서,9. The method of claim 8,
    상기 분석 서버는The analysis server
    상기 사용 정보로서, 상기 디지털 컨텐츠의 이용에 따른 로그 정보, 상기 디지털 컨텐츠를 이용하는 클라이언트 단말의 아이디 정보, 상기 클라이언트 단말의 제조사 정보, 및 EDID(Extended display identification data) 정보 중에서 적어도 하나의 정보를 수신하는Receiving at least one piece of information among log information according to use of the digital contents, ID information of a client terminal using the digital contents, manufacturer information of the client terminal, and EDID (Extended Display Identification Data) information as the use information
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템. A system that detects abnormal behavior based on an integrated analytical model.
  10. 제8항에 있어서,9. The method of claim 8,
    상기 분석 서버는The analysis server
    상기 사용 정보에서 상기 이상 행동의 발생 사례를 추출하고, 상기 이상 행동의 발생 사례를 기계학습하여 상기 이상 행동을 예측 감지하기 위한 예상 징후를 포함하는 상기 분석 모델을 생성하는 Extracting a case of occurrence of the abnormal behavior from the usage information, and generating the analysis model including a predictive indication for predicting the abnormal behavior by machine learning of the occurrence event of the abnormal behavior
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템.A system that detects abnormal behavior based on an integrated analytical model.
  11. 제8항에 있어서,9. The method of claim 8,
    상기 분석 서버는The analysis server
    상기 사용 정보를 기계학습하여 상기 이상 행동을 실시간 또는 발생 이전에 예측 감지하기 위한 상기 분석 모델을 생성하되, 상기 이상 행동은 상기 디지털 컨텐츠의 구매, 이용, 유통 시 인증된 엔티티(entity)에 의해 발생하는 절차 이외의 동작인 것을 특징으로 하는 And generating the analysis model for predicting the abnormal behavior in real time or before the occurrence of the abnormal behavior by mechanically learning the usage information, wherein the abnormal behavior is generated by an entity that is authenticated during purchase, use, and distribution of the digital content Is an operation other than the procedure
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템. A system that detects abnormal behavior based on an integrated analytical model.
  12. 제11항에 있어서,12. The method of claim 11,
    상기 분석 서버는 The analysis server
    상기 절차 이외의 동작으로서, 저작권과 보안을 위협하는 해킹 및 침해를 시도하는 동작, 상기 디지털 컨텐츠를 불법 다운로드하는 동작, 상기 디지털 컨텐츠를 불법 복제하는 동작, 인증되지 않은 클라이언트 단말에서 상기 디지털 컨텐츠를 이용하는 동작 및 상기 클라이언트 단말과 상기 디지털 컨텐츠를 관리하는 서버간에 의심스러운 데이터를 빈번하게 주고받는 동작 중에서 적어도 하나의 동작을 감지하기 위한 상기 분석 모델을 생성하는As an operation other than the above procedures, an operation of attempting hacking and infringement threatening copyright and security, an operation of illegally downloading the digital contents, an operation of illegally copying the digital contents, an operation of using the digital contents And generating the analysis model for detecting at least one operation among operations of the client terminal and the server managing the digital content,
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템. A system that detects abnormal behavior based on an integrated analytical model.
  13. 제9항에 있어서,10. The method of claim 9,
    상기 분석 서버는 The analysis server
    상기 이상 행동의 감지 결과에 기초하여, CAS 또는 DRM 서버를 통한 디지털 컨텐츠 유통의 차단 동작, 상기 이상 행동이 감지된 클라이언트 단말에 대한 연결 차단 동작, 사용자 인증 요구 동작 중에서 적어도 하나의 동작이 수행 되도록 제어하는 제어 신호를 생성하는 A control unit configured to perform at least one of an operation for interrupting the digital content distribution through the CAS or the DRM server, a connection blocking operation for the client terminal in which the abnormal behavior is detected, and a user authentication request operation based on the detection result of the abnormal behavior Generating a control signal
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 시스템.A system that detects abnormal behavior based on an integrated analytical model.
  14. 정보 수신부에서 디지털 컨텐츠의 이용에 따른 사용 정보를 수신하는 단계;Receiving information on use of digital contents in an information receiving unit;
    모델 생성부에서 상기 수신한 사용 정보를 기계 학습하여 상기 디지털 컨텐츠의 이용에 따른 이상 행동을 감지하기 위한 분석 모델을 생성하는 단계;Generating an analysis model for detecting an abnormal behavior according to use of the digital content by mechanically learning the received usage information in a model generation unit;
    모델 송신부에서 상기 분석 모델을 클라우드 서버로 전송하는 단계; 및Transmitting the analysis model from the model transmission unit to the cloud server; And
    이상 행동 감지부에서 상기 클라우드 서버로부터 통합된 분석 모델을 수신하고, 상기 통합된 분석 모델 및 상기 생성한 분석 모델 중에서 적어도 하나에 기초하여 이상 행동을 감지하는 단계Receiving an integrated analysis model from the cloud server in an abnormal behavior detection unit, and detecting an abnormal behavior based on at least one of the integrated analysis model and the generated analysis model
    를 포함하고,Lt; / RTI >
    상기 클라우드 서버는 The cloud server
    상기 전송되는 분석 모델을 수집하고, 상기 수집한 분석 모델을 기계 학습하여 통합된 분석 모델을 생성하는Collecting the transmitted analysis models, and mechanically learning the collected analysis models to generate an integrated analysis model
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 방법. A method for detecting abnormal behavior based on an integrated analytical model.
  15. 제14항에 있어서,15. The method of claim 14,
    상기 사용 정보를 수신하는 단계는 The step of receiving the usage information
    상기 디지털 컨텐츠의 이용에 따른 로그 정보, 상기 디지털 컨텐츠를 이용하는 클라이언트 단말의 아이디 정보, 상기 클라이언트 단말의 제조사 정보, 및 EDID(Extended display identification data) 정보 중에서 적어도 하나의 정보를 포함하는 상기 사용 정보를 수신하는The usage information including at least one of log information according to use of the digital content, ID information of a client terminal using the digital content, manufacturer information of the client terminal, and extended display identification data (EDID) doing
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 방법. A method for detecting abnormal behavior based on an integrated analytical model.
  16. 제15항에 있어서,16. The method of claim 15,
    신호 생성부에서 상기 이상 행동의 감지 결과에 기초하여, CAS 또는 DRM 서버를 통한 디지털 컨텐츠 유통의 차단 동작, 상기 이상 행동이 감지된 클라이언트 단말에 대한 연결 차단 동작, 사용자 인증 요구 동작 중에서 적어도 하나의 동작이 수행 되도록 제어하는 제어 신호를 생성하는 단계를 더 포함하는At least one of a blocking operation of the digital contents distribution through the CAS or the DRM server, a connection blocking operation to the client terminal in which the abnormal behavior is detected, and a user authentication request operation, based on the detection result of the abnormal behavior in the signal generation unit Lt; RTI ID = 0.0 > a < / RTI >
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 방법.A method for detecting abnormal behavior based on an integrated analytical model.
  17. 제14항에 있어서,15. The method of claim 14,
    모델 수집부에서 상기 전송되는 분석 모델을 수집하는 단계;Collecting the transmitted analysis model at a model collection unit;
    통합 모델 생성부에서 상기 수집된 분석 모델을 기계 학습하여 통합된 분석 모델을 생성하는 단계; 및 Generating an integrated analysis model by mechanically learning the collected analysis model in an integrated model generation unit; And
    통합 모델 송신부에서 상기 통합된 분석 모델을 이상 행동 감지부로 제공하는 단계를 더 포함하는And providing the integrated analysis model to an abnormal behavior sensing unit at an integrated model transmission unit
    통합된 분석 모델에 기초하여 이상 행동을 감지하는 방법.A method for detecting abnormal behavior based on an integrated analytical model.
PCT/KR2017/010760 2017-09-27 2017-09-27 System for detecting abnormal behavior on basis of integrated analysis model, and method therefor WO2019066099A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2017-0125014 2017-09-27
KR1020170125014A KR101971790B1 (en) 2017-09-27 2017-09-27 System and method for detecting abnormal behavior based on unified model

Publications (1)

Publication Number Publication Date
WO2019066099A1 true WO2019066099A1 (en) 2019-04-04

Family

ID=65903646

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2017/010760 WO2019066099A1 (en) 2017-09-27 2017-09-27 System for detecting abnormal behavior on basis of integrated analysis model, and method therefor

Country Status (2)

Country Link
KR (1) KR101971790B1 (en)
WO (1) WO2019066099A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024079668A1 (en) * 2022-10-13 2024-04-18 Cybersentry.Ai, Inc. Program execution anomaly detection for cybersecurity

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102295948B1 (en) * 2019-11-26 2021-08-30 한전케이디엔주식회사 System and method for security management based artificial intelligence using federated learning
KR102393109B1 (en) 2020-04-29 2022-05-03 한국전력공사 Big data platform for collaboration among heterogeneous organizations and big data learning method using common learning model

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130110565A (en) * 2012-03-29 2013-10-10 삼성전자주식회사 Apparatus and method for recognizing user activity
US20140279614A1 (en) * 2013-03-14 2014-09-18 Wayne D. Lonstein Methods and systems for detecting, preventing and monietizing attempted unauthorized use and unauthorized use of media content
KR20150009727A (en) * 2013-07-17 2015-01-27 양진호 Apparatus and method for transmitting digital contents using termial authentication
KR20160029671A (en) * 2014-09-05 2016-03-15 주식회사 좋은친구 Early Detecting Method for Hacking Trial, and Security Server Used Therein
KR101662489B1 (en) * 2016-02-12 2016-10-07 주식회사 디지캡 Cloud based protection proxy server supporting common encryption and its operation method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100933986B1 (en) 2007-10-22 2009-12-28 한국전자통신연구원 Integrated Signature Management and Distribution System and Method for Network Attack
WO2011011441A1 (en) * 2009-07-20 2011-01-27 Verimatrix, Inc. Systems and methods for detecting clone playback devices
EP2956884B1 (en) * 2013-02-15 2020-09-09 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
KR20160095856A (en) 2015-02-04 2016-08-12 한국전자통신연구원 System and method for detecting intrusion intelligently based on automatic detection of new attack type and update of attack type
US10210453B2 (en) * 2015-08-17 2019-02-19 Adobe Inc. Behavioral prediction for targeted end users

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130110565A (en) * 2012-03-29 2013-10-10 삼성전자주식회사 Apparatus and method for recognizing user activity
US20140279614A1 (en) * 2013-03-14 2014-09-18 Wayne D. Lonstein Methods and systems for detecting, preventing and monietizing attempted unauthorized use and unauthorized use of media content
KR20150009727A (en) * 2013-07-17 2015-01-27 양진호 Apparatus and method for transmitting digital contents using termial authentication
KR20160029671A (en) * 2014-09-05 2016-03-15 주식회사 좋은친구 Early Detecting Method for Hacking Trial, and Security Server Used Therein
KR101662489B1 (en) * 2016-02-12 2016-10-07 주식회사 디지캡 Cloud based protection proxy server supporting common encryption and its operation method

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024079668A1 (en) * 2022-10-13 2024-04-18 Cybersentry.Ai, Inc. Program execution anomaly detection for cybersecurity
US11989296B2 (en) 2022-10-13 2024-05-21 Cybersentry.Ai, Inc. Program execution anomaly detection for cybersecurity

Also Published As

Publication number Publication date
KR101971790B1 (en) 2019-05-13
KR20190036144A (en) 2019-04-04

Similar Documents

Publication Publication Date Title
WO2013048111A2 (en) Method and apparatus for detecting an intrusion on a cloud computing service
WO2016114601A1 (en) Method for disaster notification service not requiring collecting of location information, and disaster notification server and application system therefor
WO2018056601A1 (en) Device and method for blocking ransomware using contents file access control
WO2019088686A1 (en) Content distribution management system and method using blockchain technology
WO2019066099A1 (en) System for detecting abnormal behavior on basis of integrated analysis model, and method therefor
WO2018097344A1 (en) Method and system for verifying validity of detection result
WO2021162473A1 (en) System and method for detecting intrusion into in-vehicle network
WO2019088688A1 (en) Content distribution management system and method using blockchain technology
WO2021112494A1 (en) Endpoint-based managing-type detection and response system and method
WO2019039730A1 (en) Device and method for preventing ransomware
KR101971799B1 (en) System and method for detecting abnormal behavior based on unified model
WO2017086757A1 (en) Method and device for controlling security of target device using secure tunnel
WO2020159053A1 (en) Integrity verification chain for verifying integrity of device, and method for verifying integrity of device by using same
WO2016064024A1 (en) Abnormal connection detection device and method
WO2023106504A1 (en) Method, device, and computer-readable recording medium for machine learning-based observation level measurement using server system log, and for risk level calculation according to same measurement
WO2018199366A1 (en) Method and system for detecting whether obfuscation has been applied to dex file and evaluating security
WO2019103443A1 (en) Method, apparatus and system for managing electronic fingerprint of electronic file
WO2016200045A1 (en) Hardware-based kernel code insertion attack detecting device and method therefor
WO2016064040A1 (en) User terminal using signature information to detect whether application program has been tampered and method for tamper detection using the user terminal
WO2011065768A2 (en) Method for protecting application and method for executing application using the same
WO2018143510A1 (en) Internet of things security module
WO2019066098A1 (en) System for detecting illegal use of content, and method therefor
WO2018056582A1 (en) Method for inspecting packet using secure sockets layer communication
WO2018088680A1 (en) Security system and method for processing request for access to blocked site
WO2018076539A1 (en) Method and system for identifying rogue wireless access point

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17927443

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17927443

Country of ref document: EP

Kind code of ref document: A1