[go: up one dir, main page]

KR102721152B1 - 로그인 이상을 탐지하기 위한 방법 및 시스템 - Google Patents

로그인 이상을 탐지하기 위한 방법 및 시스템 Download PDF

Info

Publication number
KR102721152B1
KR102721152B1 KR1020230161319A KR20230161319A KR102721152B1 KR 102721152 B1 KR102721152 B1 KR 102721152B1 KR 1020230161319 A KR1020230161319 A KR 1020230161319A KR 20230161319 A KR20230161319 A KR 20230161319A KR 102721152 B1 KR102721152 B1 KR 102721152B1
Authority
KR
South Korea
Prior art keywords
login
anomaly detection
detection rule
temporary
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020230161319A
Other languages
English (en)
Inventor
심재훈
Original Assignee
주식회사 호패
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 호패 filed Critical 주식회사 호패
Priority to KR1020230161319A priority Critical patent/KR102721152B1/ko
Application granted granted Critical
Publication of KR102721152B1 publication Critical patent/KR102721152B1/ko
Priority to PCT/KR2024/017031 priority patent/WO2025110553A1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 일 태양에 따르면, 로그인 이상을 탐지하기 위한 방법으로서, 대상 서비스를 운영하는 서비스 제공 서버에 대하여 발생하는 로그인 요청에 관한 정보를 수신하는 단계, 로그인 이상에 관한 복수의 파라미터 중에서 상기 로그인 요청에 관한 정보와 연관되는 적어도 하나의 대상 파라미터를 결정하는 단계, 및 상기 적어도 하나의 대상 파라미터를 이용하는 제1 일시적 로그인 이상 탐지 룰(rule)을 생성하는 단계를 포함하는 방법이 제공된다.

Description

로그인 이상을 탐지하기 위한 방법 및 시스템{METHOD AND SYSTEM FOR DETECTING LOGIN ANOMALY}
본 발명은 로그인 이상을 탐지하기 위한 방법 및 시스템에 관한 것이다.
웹 또는 앱을 통해 제공되는 대부분의 서비스는 사용자에게 로그인을 요구하고 있고, 이에 따라 서비스 제공 서버는 사용자로부터의 수많은 로그인 요청을 처리해야 하는 환경에 놓여 있다.
사용자 로그인 프로세스는, 사용자 디바이스가 서비스 제공 서버에 로그인 요청을 전송하고, 서비스 제공 서버는 로그인 요청을 검증하여 사용자 디바이스가 서비스 제공 페이지에 접속할 수 있게 허용하게 방식으로 진행된다. 정상적인 로그인 요청이 수신되는 경우에는 서비스 제공 서버가 로그인 요청을 처리하는 데에 문제가 없지만, 현실에서는 비정상적인 로그인 요청(굉장히 짧은 시간 간격으로 반복 수신되는 로그인 요청 등)이 수신되는 경우가 있고, 이러한 경우에는 서비스 제공 서버가 로그인 요청을 처리하는 데에 문제가 발생할 수 있다.
위와 같은 문제를 해결하기 위해, 로그인 상황에서 이상(anomaly) 이벤트가 발생하는지를 탐지하는 종래 기술이 다수 소개된 바 있다. FDS(Fraud Detection System) 등 종래 기술에 따르면, 사용자 및/또는 서비스 제공 서버로부터 제공되는 로그인 요청에 관한 정보에 기초하여 로그인 이상을 탐지함에 있어서 이상 탐지에 관한 특정 룰(rule)이 이용되는데, 이러한 특정 룰은 사업 환경이나 보안 정책 등의 변화에 대응하여 융통성 있게 작동되기가 어려웠다.
구체적으로 예를 들면, 사용자 및/또는 서비스 제공 서버로부터 제공되는 로그인 요청에 관한 정보와 연관되는 파라미터가 A, B, C 및 D 네 종류이고 이상 탐지에 관한 특정 룰이 이러한 네 종류의 파라미터를 모두 이용하는 것인 경우에, 사업 환경이나 보안 정책 등의 변화로 인하여 파라미터가 A, B 및 C 세 종류로 변경되는 상황을 가정할 수 있다. 이러한 경우에 그 특정 룰은 여전히 파라미터 D까지 이용하는 것으로 정의되어 있으므로, 이상 탐지의 정확도가 저하되거나 그 특정 룰을 이용하는 이상 탐지 모델이 오작동하지 않게 하기 위한 별도의 조치가 필요하게 되는 문제가 있었다.
이에 본 발명자(들)는, 사용자 및/또는 서비스 제공 서버로부터 제공되는 로그인 요청에 관한 정보 및/또는 해당 정보와 연관되는 파라미터의 변화에 적응적으로 대응할 수 있는 로그인 이상 탐지 룰을 생성하는 기술을 제안하는 바이다.
등록특허공보 제10-0785715호 (2007. 12. 7)
본 발명은 전술한 종래 기술의 문제점을 모두 해결하는 것을 그 목적으로 한다.
또한, 본 발명은, 대상 서비스를 운영하는 서비스 제공 서버에 대하여 발생하는 로그인 요청에 관한 정보를 수신하고, 로그인 이상에 관한 복수의 파라미터 중에서 로그인 요청에 관한 정보와 연관되는 적어도 하나의 대상 파라미터를 결정하고, 그 적어도 하나의 대상 파라미터를 이용하는 제1 일시적 로그인 이상 탐지 룰을 생성하는 것을 다른 목적으로 한다.
사용자 및/또는 서비스 제공 서버로부터 제공되는 로그인 요청에 관한 정보 및/또는 해당 정보와 연관되는 파라미터의 변화에 적응적으로 대응할 수 있는 이상 탐지 룰을 생성하는 것을 또 다른 목적으로 한다.
사용자 및/또는 서비스 제공 서버로부터 제공되는 로그인 요청에 관한 정보 및/또는 해당 정보와 연관되는 파라미터의 변화에도 이상 탐지의 정확도가 높게 유지될 수 있도록 하는 것을 또 다른 목적으로 한다.
상기 목적을 달성하기 위한 본 발명의 대표적인 구성은 다음과 같다.
본 발명의 일 태양에 따르면, 대상 서비스를 운영하는 서비스 제공 서버에 대하여 발생하는 로그인 요청에 관한 정보를 수신하는 단계, 로그인 이상에 관한 복수의 파라미터 중에서 상기 로그인 요청에 관한 정보와 연관되는 적어도 하나의 대상 파라미터를 결정하는 단계, 및 상기 적어도 하나의 대상 파라미터를 이용하는 제1 일시적 로그인 이상 탐지 룰을 생성하는 단계를 포함하는 방법이 제공된다.
본 발명의 다른 태양에 따르면, 대상 서비스를 운영하는 서비스 제공 서버에 대하여 발생하는 로그인 요청에 관한 정보를 수신하는 로그인 요청 관리부, 로그인 이상에 관한 복수의 파라미터 중에서 상기 로그인 요청에 관한 정보와 연관되는 적어도 하나의 대상 파라미터를 결정하는 파라미터 관리부, 및 상기 적어도 하나의 대상 파라미터를 이용하는 제1 일시적 로그인 이상 탐지 룰을 생성하는 룰 관리부를 포함하는 시스템이 제공된다.
이 외에도, 본 발명을 구현하기 위한 다른 방법, 다른 시스템 및 상기 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 비일시성의 컴퓨터 판독 가능한 기록 매체가 더 제공된다.
본 발명에 의하면, 대상 서비스를 운영하는 서비스 제공 서버에 대하여 발생하는 로그인 요청에 관한 정보를 수신하고, 로그인 이상에 관한 복수의 파라미터 중에서 로그인 요청에 관한 정보와 연관되는 적어도 하나의 대상 파라미터를 결정하고, 그 적어도 하나의 대상 파라미터를 이용하는 제1 일시적 로그인 이상 탐지 룰을 생성할 수 있게 된다.
또한, 본 발명에 의하면, 사용자 및/또는 서비스 제공 서버로부터 제공되는 로그인 요청에 관한 정보 및/또는 해당 정보와 연관되는 파라미터의 변화에 적응적으로 대응할 수 있는 이상 탐지 룰을 생성할 수 있게 된다.
또한, 본 발명에 의하면, 사용자 및/또는 서비스 제공 서버로부터 제공되는 로그인 요청에 관한 정보 및/또는 해당 정보와 연관되는 파라미터의 변화에도 이상 탐지의 정확도를 높게 유지할 수 있게 된다.
도 1은 본 발명의 일 실시예에 따라 로그인 이상을 탐지하기 위한 전체 시스템의 개략적인 구성을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 로그인 이상 탐지 시스템의 내부 구성을 상세하게 도시하는 도면이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이러한 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 본 명세서에 기재되어 있는 특정 형상, 구조 및 특성은 본 발명의 정신과 범위를 벗어나지 않으면서 일 실시예로부터 다른 실시예로 변경되어 구현될 수 있다. 또한, 각각의 실시예 내의 개별 구성요소의 위치 또는 배치도 본 발명의 정신과 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 행하여지는 것이 아니며, 본 발명의 범위는 특허청구범위의 청구항들이 청구하는 범위 및 그와 균등한 모든 범위를 포괄하는 것으로 받아들여져야 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 구성요소를 나타낸다.
이하에서는, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 여러 바람직한 실시예에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
전체 시스템의 구성
도 1은 본 발명의 일 실시예에 따라 로그인 이상을 탐지하기 위한 전체 시스템의 개략적인 구성을 나타내는 도면이다.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 전체 시스템은 통신망(100), 서비스 제공 서버(200), 디바이스(300) 및 로그인 이상 탐지 시스템(400)을 포함할 수 있다.
먼저, 본 발명의 일 실시예에 따른 통신망(100)은 유선 통신이나 무선 통신과 같은 통신 양태를 가리지 않고 구성될 수 있으며, 근거리 통신망(LAN; Local Area Network), 도시권 통신망(MAN; Metropolitan Area Network), 광역 통신망(WAN; Wide Area Network) 등 다양한 통신망으로 구성될 수 있다. 바람직하게는, 본 명세서에서 말하는 통신망(100)은 공지의 인터넷 또는 월드 와이드 웹(WWW; World Wide Web)일 수 있다. 그러나, 통신망(100)은, 굳이 이에 국한될 필요 없이, 공지의 유무선 데이터 통신망, 공지의 전화망 또는 공지의 유무선 텔레비전 통신망을 그 적어도 일부에 있어서 포함할 수도 있다.
예를 들면, 통신망(100)은 무선 데이터 통신망으로서, 와이파이(WiFi) 통신, 와이파이 다이렉트(WiFi-Direct) 통신, 롱텀 에볼루션(LTE; Long Term Evolution) 통신, 5G 통신, 블루투스 통신(저전력 블루투스(BLE; Bluetooth Low Energy) 통신 포함), 적외선 통신, 초음파 통신 등과 같은 종래의 통신 방법을 적어도 그 일부분에 있어서 구현하는 것일 수 있다. 다른 예를 들면, 통신망(100)은 광 통신망으로서, 라이파이(LiFi; Light Fidelity) 등과 같은 종래의 통신 방법을 적어도 그 일부분에 있어서 구현하는 것일 수 있다.
다음으로, 본 발명의 일 실시예에 따른 서비스 제공 서버(200)는 디바이스(300) 또는 로그인 이상 탐지 시스템(400)에 접속한 후 통신할 수 있는 기능을 포함하는 서버일 수 있다.
다음으로, 본 발명의 일 실시예에 따른 디바이스(300)는 서비스 제공 서버(200) 또는 로그인 이상 탐지 시스템(400)에 접속한 후 통신할 수 있는 기능을 포함하는 디지털 기기로서, 스마트폰, 태블릿, 스마트 워치, 스마트 밴드, 스마트 글래스, 데스크탑 컴퓨터, 노트북 컴퓨터, 워크스테이션, PDA, 웹 패드, 이동 전화기 등과 같이 메모리 수단을 구비하고 마이크로 프로세서를 탑재하여 연산 능력을 갖춘 디지털 기기라면 얼마든지 본 발명에 따른 디바이스(300)로서 채택될 수 있다.
특히, 디바이스(300)는, 사용자가 서비스 제공 서버(200) 또는 로그인 이상 탐지 시스템(400)으로부터 서비스를 제공받을 수 있도록 지원하는 애플리케이션(미도시됨)을 포함할 수 있다. 이와 같은 애플리케이션은 서비스 제공 서버(200), 로그인 이상 탐지 시스템(400) 또는 외부의 애플리케이션 배포 서버(미도시됨)로부터 다운로드된 것일 수 있다. 한편, 이러한 애플리케이션의 성격은 후술할 바와 같은 로그인 이상 탐지 시스템(400)의 로그인 요청 관리부(410), 파라미터 관리부(420), 룰 관리부(430), 통신부(440) 및 제어부(450)와 전반적으로 유사할 수 있다. 여기서, 애플리케이션은 그 적어도 일부가 필요에 따라 그것과 실질적으로 동일하거나 균등한 기능을 수행할 수 있는 하드웨어 장치나 펌웨어 장치로 치환될 수도 있다.
다음으로, 본 발명의 일 실시예에 따른 로그인 이상 탐지 시스템(400)은 대상 서비스를 운영하는 서비스 제공 서버에 대하여 발생하는 로그인 요청에 관한 정보를 수신하고, 로그인 이상에 관한 복수의 파라미터 중에서 로그인 요청에 관한 정보와 연관되는 적어도 하나의 대상 파라미터를 결정하고, 그 적어도 하나의 대상 파라미터를 이용하는 제1 일시적 로그인 이상 탐지 룰을 생성하는 기능을 수행할 수 있다.
본 발명에 따른 로그인 이상 탐지 시스템(400)의 구성과 기능에 관하여는 이하의 상세한 설명을 통하여 자세하게 알아보기로 한다.
로그인 이상 탐지 시스템의 구성
이하에서는, 본 발명의 구현을 위하여 중요한 기능을 수행하는 로그인 이상 탐지 시스템(400)의 내부 구성과 각 구성요소의 기능에 대하여 살펴보기로 한다.
도 2는 본 발명의 일 실시예에 따른 로그인 이상 탐지 시스템(400)의 내부 구성을 상세하게 도시하는 도면이다.
도 2에 도시된 바와 같이, 본 발명의 일 실시예에 따른 로그인 이상 탐지 시스템(400)은, 로그인 요청 관리부(410), 파라미터 관리부(420), 룰 관리부(430), 통신부(440) 및 제어부(450)를 포함하여 구성될 수 있다. 본 발명의 일 실시예에 따르면, 로그인 요청 관리부(410), 파라미터 관리부(420), 룰 관리부(430), 통신부(440) 및 제어부(450)는 그 중 적어도 일부가 서비스 제공 서버(200) 또는 외부의 시스템(미도시됨)과 통신하는 프로그램 모듈일 수 있다. 이러한 프로그램 모듈은 운영 시스템, 응용 프로그램 모듈 또는 기타 프로그램 모듈의 형태로 로그인 이상 탐지 시스템(400)에 포함될 수 있고, 물리적으로는 여러 가지 공지의 기억 장치에 저장될 수 있다. 또한, 이러한 프로그램 모듈은 로그인 이상 탐지 시스템(400)과 통신 가능한 원격 기억 장치에 저장될 수도 있다. 한편, 이러한 프로그램 모듈은 본 발명에 따라 후술할 특정 업무를 수행하거나 특정 추상 데이터 유형을 실행하는 루틴, 서브루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포괄하지만, 이에 제한되지는 않는다.
한편, 로그인 이상 탐지 시스템(400)에 관하여 위와 같이 설명되었으나, 이러한 설명은 예시적인 것이고, 로그인 이상 탐지 시스템(400)의 구성요소 또는 기능 중 적어도 일부가 필요에 따라 서비스 제공 서버(200), 디바이스(300) 또는 외부 서버(미도시됨) 내에서 실현되거나 외부 시스템(미도시됨) 내에 포함될 수도 있음은 당업자에게 자명하다.
먼저, 본 발명의 일 실시예에 따른 로그인 요청 관리부(410)는, 대상 서비스를 운영하는 서비스 제공 서버(200)에 대하여 발생하는 로그인 요청에 관한 정보를 수신하는 기능을 수행할 수 있다.
구체적으로, 본 발명의 일 실시예에 따르면, 서비스 제공 서버(200)를 통하여 대상 서비스, 예를 들면, 금융 서비스, SNS 서비스, 이-커머스 플랫폼(e-commerce) 서비스 등의 서비스를 이용하고자 하는 사용자에게는 사용자 인증이 요구될 수 있고, 사용자는 이러한 요구에 따라 대상 서비스를 운영하는 서비스 제공 서버(200)에 대하여 로그인을 요청할 수 있다.
본 발명의 일 실시예에 따른 로그인 요청 관리부(410)는, 이러한 로그인 요청에 관한 정보를 수신하고 필요에 따라 이를 가공 및/또는 저장할 수 있는데, 본 발명의 일 실시예에 따르면, 로그인 요청에 관한 정보에는, 로그인 요청이 발생한 시각에 관한 정보, 로그인 요청을 발생시킨 디바이스의 핑거프린트(fingerprint; MAC 주소, 접속 위치 등)에 관한 정보, 입력된 비밀번호에 관한 정보, 비밀번호 변경이나 재설정 요청에 관한 정보 등이 포함될 수 있다. 이를 위하여, 본 발명의 일 실시예에 따른 로그인 요청 관리부(410)는 서비스 제공 서버(200)가 로그인 요청에 관한 정보를 수집할 수 있도록 돕는 프로그램 모듈을 서비스 제공 서버(200)에게 제공할 수 있다.
또한, 본 발명의 일 실시예에 따른 로그인 요청 관리부(410)는 위와 같이 수집되는 로그인 요청에 관한 정보에 대해 비식별화 처리를 수행할 수도 있다.
한편, 본 발명의 일 실시예에 따른 로그인 요청 관리부(410)에 의하여 수신되는 로그인 요청에 관한 정보는 특정 시점에 발생되는 로그인 요청뿐만 아니라 특정 기간 동안 발생되는 로그인 요청에 관한 정보도 포함할 수 있는 개념으로 이해되어야 한다.
다음으로, 본 발명의 일 실시예에 따른 파라미터 관리부(420)는, 로그인 이상에 관한 복수의 파라미터 중에서 서비스 제공 서버(200)에 대하여 발생하는 로그인 요청에 관한 정보와 연관되는 적어도 하나의 대상 파라미터를 결정하는 기능을 수행할 수 있다.
구체적으로, 본 발명의 일 실시예에 따르면, 파라미터란 소정 기준에 따라 분류 또는 군집화되는 특정한 위험 유형 내지 공격 유형을 의미할 수 있다. 본 발명의 일 실시예에 따르면, 이러한 파라미터들은 적어도 하나의 계정들에 대하여 부여되는 값(예를 들면, 0 내지 1 사이의 값), 플래그(예를 들면, 0 또는 1), 카운트 횟수 등을 값으로 가질 수 있으나, 이러한 형식에 제한되는 것은 아니다.
예를 들면, 본 발명의 일 실시예에 따른 파라미터에는 다음과 같은 것들이 포함될 수 있다:
1. 비정상적인 로그인 시간: 사용자가 일반적으로 로그인하지 않는 시간에 로그인을 시도하는 경우
2. 로그인 시도의 갑작스러운 증가: 짧은 시간 내에 반복적인 로그인 시도가 발생하는 경우
3. 로그인 시도 실패: 로그인 시도가 연속적으로 실패하는 경우
4. 비정상적인 로그인 위치: 사용자가 평소 로그인 영역과 상당히 다른 위치에서 로그인을 시도하는 경우
5. 여러 위치에서 동시 로그인 시도: 로그인 시도가 여러 위치에서 비정상적으로 빠른 속도로 발생하는 경우
6. 비정상적인 장치, 브라우저 또는 OS의 변경: 사용자가 평소 사용하지 않는 디바이스에서 로그인을 시도하는 경우
7. VPN 또는 프록시 사용: 로그인 위치를 숨기려는 시도가 있는 경우
8. 잦은 비밀번호 변경: 사용자가 비정상적으로 비밀번호를 자주 변경하는 경우
9. 여러 계정 로그인 시도: 동일한 디바이스에서 여러 계정으로 로그인을 반복해서 시도하는 경우
10. 비밀번호 재설정 요청 증가: 짧은 시간 내에 비밀번호 재설정 요청이 여러 번 발생하는 경우
11. 서버에 대한 여러 요청: 단기간 내에 단일 계정에서 서버에 대한 요청이 급증하는 경우
12. 취약한 비밀번호 사용: 사용자가 너무 짧거나, 쉽게 추측할 수 있거나, 대문자, 소문자, 숫자, 특수 문자의 조합이 없는 등 취약한 것으로 간주되는 비밀번호를 설정하는 경우
13. 유출된 비밀번호: 제3자 서비스에서 유출된 비밀번호와 유사한 비밀번호를 사용하는 경우
다만, 본 발명의 일 실시예에 따른 파라미터는 위의 열거된 것에 한정되지 않으며, 본 발명의 목적을 달성할 수 있는 범위 내에서 다양하게 변경될 수 있다.
계속하면, 본 발명의 일 실시예에 따른 파라미터 관리부(420)는, 서비스 제공 서버(200)에 대하여 발생하는 로그인 요청에 관한 정보를 소정 기준에 따라 분류 또는 군집화함으로써, 위와 같은 로그인 이상에 관한 복수의 파라미터 중에서 해당 로그인 요청에 관한 정보가 어떤 파라미터와 연관되는지를 결정할 수 있고, 이렇게 결정되는 파라미터가 대상 파라미터가 될 수 있다. 여기서, 본 발명의 일 실시예에 따르면, 특정 로그인 요청에 관한 정보는 하나의 대상 파라미터와 연관될 수도 있지만, 경우에 따라서는 복수의 대상 파라미터와 연관될 수도 있는 것으로 이해되어야 한다.
다음으로, 본 발명의 일 실시예에 따른 룰 관리부(430)는, 본 발명의 일 실시예에 따른 파라미터 관리부(420)에 의하여 결정되는 적어도 하나의 대상 파라미터를 이용하는 제1 일시적 로그인 이상 탐지 룰을 생성하는 기능을 수행할 수 있다.
구체적으로, 본 발명의 일 실시예에 따르면, 로그인 이상 탐지 룰은 사용자의 로그인 요청에 이상이 있는지를 판단하기 위한 규칙으로서, 그 판단의 기준 내지 기초가 되는 소정의 임계치, 가중치, 결정 트리(Decision Tree) 등을 포함하는 개념일 수 있다. 본 발명의 일 실시예에 따른 룰 관리부(430)는, 이러한 로그인 이상 탐지 룰을 일시적인 성질을 갖도록 하여 일시적 로그인 이상 탐지 룰을 생성할 수 있는데, 이렇게 생성되는 일시적 로그인 이상 탐지 룰은 고정된 종류의 파라미터가 아니라 위와 같이 결정되는 적어도 하나의 대상 파라미터를 이용하는 것이므로, 사용자 및/또는 서비스 제공 서버(200)로부터 제공되는 로그인 요청에 관한 정보의 변화 및/또는 해당 정보와 연관되는 파라미터의 변화에 적응적으로 대응할 수 있게 된다. 한편, 위의 사용자란 문맥에 따라 사용자가 사용하는 디바이스(300)를 의미할 수 있으며 이상 및 이하에서도 마찬가지임을 밝혀 둔다.
또한, 본 발명의 일 실시예에 따른 룰 관리부(430)는, 로그인 요청을 발생시키는 사용자의 속성에 기초하여 맞춤화된 제1 일시적 로그인 이상 탐지 룰을 생성할 수 있다.
구체적으로, 본 발명의 일 실시예에 따르면, 사용자의 속성에는 사용자의 나이, 사용자의 접속 위치, 대상 서비스의 이용에 관한 사용자의 성향 등이 포함될 수 있다. 그리고, 예를 들면, 본 발명의 일 실시예에 따른 룰 관리부(430)는, 사용자가 늦은 새벽 시간에는 잘 로그인을 하지 않는 성향인 경우에 그러한 새벽 시간에는 로그인 요청의 이상을 엄격하게 탐지하고, 그 외의 시간에는 로그인 요청의 이상을 일반적인 수준으로 탐지하는 방향으로 맞춤화된 제1 일시적 로그인 이상 탐지 룰을 생성할 수 있다.
한편, 본 발명의 일 실시예에 따른 룰 관리부(430)는, 제2 일시적 로그인 이상 탐지 룰을 이용한 탐지 결과에 기초하여 제1 일시적 로그인 이상 탐지 룰을 생성할 수 있다. 여기서, 본 발명의 일 실시예에 따르면, 위의 제2 일시적 로그인 이상 탐지 룰은 위의 제1 일시적 로그인 이상 탐지 룰이 생성되기 전에 생성된 것일 수 있다.
구체적으로, 제1 일시적 로그인 이상 탐지 룰이 생성되기 전에 생성된 제2 일시적 로그인 이상 탐지 룰은 일시적인 것이므로 삭제되었거나 삭제될 수 있다. 그러나, 그 제2 일시적 로그인 이상 탐지 룰에 의한 탐지 결과(예를 들면, 탐지 결과 값, 탐지 로그(log) 등)는 본 발명의 일 실시예에 따른 룰 관리부(430)에 의하여 제1 일시적 로그인 이상 탐지 룰이 생성될 때에 고려될 수 있다. 이렇게 함으로써, 사용자 및/또는 서비스 제공 서버(200)로부터 제공되는 로그인 요청에 관한 정보의 변화 및/또는 해당 정보와 연관되는 파라미터의 변화에 적응적으로 대응할 수 있게 하면서도, 과거의 탐지 결과를 이용하여 보다 더 적절한(예를 들면, 이상 탐지의 정확도가 높은) 일시적 로그인 이상 탐지 룰을 생성할 수 있게 된다.
이를 위하여, 본 발명의 일 실시예에 따른 룰 관리부(430)는, 제1 일시적 로그인 이상 탐지 룰을 이용한 탐지 결과를 저장하고, 제1 일시적 로그인 이상 탐지 룰을 삭제할 수 있다.
다음으로, 본 발명의 일 실시예에 따른 통신부(440)는 로그인 요청 관리부(410), 파라미터 관리부(420) 및 룰 관리부(430)로부터의/로의 데이터 송수신이 가능하도록 하는 기능을 수행할 수 있다.
마지막으로, 본 발명의 일 실시예에 따른 제어부(450)는 로그인 요청 관리부(410), 파라미터 관리부(420), 룰 관리부(430) 및 통신부(440) 간의 데이터의 흐름을 제어하는 기능을 수행할 수 있다. 즉, 본 발명의 일 실시예에 따른 제어부(450)는 로그인 이상 탐지 시스템(400)의 외부로부터의/로의 데이터 흐름 또는 로그인 이상 탐지 시스템(400)의 각 구성요소 간의 데이터 흐름을 제어함으로써, 로그인 요청 관리부(410), 파라미터 관리부(420), 룰 관리부(430) 및 통신부(440)에서 각각 고유 기능을 수행하도록 제어할 수 있다.
이상 설명된 본 발명에 따른 실시예는 다양한 컴퓨터 구성요소를 통하여 실행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등과 같은, 프로그램 명령어를 저장하고 실행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의하여 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용하여 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위하여 하나 이상의 소프트웨어 모듈로 변경될 수 있으며, 그 역도 마찬가지이다.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항과 한정된 실시예 및 도면에 의하여 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위하여 제공된 것일 뿐, 본 발명이 상기 실시예에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정과 변경을 꾀할 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 또는 이로부터 등가적으로 변경된 모든 범위는 본 발명의 사상의 범주에 속한다고 할 것이다.
100: 통신망
200: 서비스 제공 서버
300: 디바이스
400: 로그인 이상 탐지 시스템
410: 로그인 요청 관리부
420: 파라미터 관리부
430: 룰 관리부
440: 통신부
450: 제어부

Claims (9)

  1. 로그인 이상을 탐지하기 위한 방법으로서,
    대상 서비스를 운영하는 서비스 제공 서버에 대하여 발생하는 로그인 요청에 관한 정보를 수신하는 단계,
    로그인 이상에 관한 복수의 파라미터 중에서 상기 로그인 요청에 관한 정보와 연관되는 적어도 하나의 대상 파라미터를 결정하는 단계, 및
    상기 적어도 하나의 대상 파라미터를 이용하는 제1 일시적 로그인 이상 탐지 룰(rule)을 생성하는 단계를 포함하고,
    상기 생성 단계에서, 상기 제1 일시적 로그인 이상 탐지 룰이 생성되기 전에 생성된 제2 일시적 로그인 이상 탐지 룰을 이용한 탐지 결과에 기초하여 상기 제1 일시적 로그인 이상 탐지 룰을 생성하고,
    상기 제1 일시적 로그인 이상 탐지 룰을 이용한 탐지 결과를 저장하고, 상기 제1 일시적 로그인 이상 탐지 룰을 삭제하는 단계를 더 포함하고,
    상기 제2 일시적 로그인 이상 탐지 룰은 상기 제1 일시적 로그인 이상 탐지 룰이 생성되기 전이나 생성된 후에 삭제되는
    방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 제1 일시적 로그인 이상 탐지 룰은 상기 로그인 요청을 발생시키는 사용자의 속성에 기초하여 맞춤화되는
    방법.
  4. 삭제
  5. 제1항에 따른 방법을 실행하기 위한 컴퓨터 프로그램을 기록하는 비일시성의 컴퓨터 판독 가능 기록 매체.
  6. 로그인 이상을 탐지하기 위한 시스템으로서,
    대상 서비스를 운영하는 서비스 제공 서버에 대하여 발생하는 로그인 요청에 관한 정보를 수신하는 로그인 요청 관리부,
    로그인 이상에 관한 복수의 파라미터 중에서 상기 로그인 요청에 관한 정보와 연관되는 적어도 하나의 대상 파라미터를 결정하는 파라미터 관리부, 및
    상기 적어도 하나의 대상 파라미터를 이용하는 제1 일시적 로그인 이상 탐지 룰(rule)을 생성하는 룰 관리부를 포함하고,
    상기 룰 관리부는, 상기 제1 일시적 로그인 이상 탐지 룰이 생성되기 전에 생성된 제2 일시적 로그인 이상 탐지 룰을 이용한 탐지 결과에 기초하여 상기 제1 일시적 로그인 이상 탐지 룰을 생성하고,
    상기 룰 관리부는, 상기 제1 일시적 로그인 이상 탐지 룰을 이용한 탐지 결과를 저장하고, 상기 제1 일시적 로그인 이상 탐지 룰을 삭제하고,
    상기 제2 일시적 로그인 이상 탐지 룰은 상기 제1 일시적 로그인 이상 탐지 룰이 생성되기 전이나 생성된 후에 삭제되는
    시스템.
  7. 삭제
  8. 제6항에 있어서,
    상기 제1 일시적 로그인 이상 탐지 룰은 상기 로그인 요청을 발생시키는 사용자의 속성에 기초하여 맞춤화되는
    시스템.
  9. 삭제
KR1020230161319A 2023-11-20 2023-11-20 로그인 이상을 탐지하기 위한 방법 및 시스템 Active KR102721152B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020230161319A KR102721152B1 (ko) 2023-11-20 2023-11-20 로그인 이상을 탐지하기 위한 방법 및 시스템
PCT/KR2024/017031 WO2025110553A1 (ko) 2023-11-20 2024-11-01 로그인 이상을 탐지하기 위한 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230161319A KR102721152B1 (ko) 2023-11-20 2023-11-20 로그인 이상을 탐지하기 위한 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR102721152B1 true KR102721152B1 (ko) 2024-10-24

Family

ID=93287432

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230161319A Active KR102721152B1 (ko) 2023-11-20 2023-11-20 로그인 이상을 탐지하기 위한 방법 및 시스템

Country Status (2)

Country Link
KR (1) KR102721152B1 (ko)
WO (1) WO2025110553A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2025110553A1 (ko) * 2023-11-20 2025-05-30 주식회사 호패 로그인 이상을 탐지하기 위한 방법 및 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100785715B1 (ko) 2004-04-01 2007-12-18 가부시끼가이샤 도시바 로그인 시스템 및 방법
US20220217156A1 (en) * 2021-01-04 2022-07-07 Saudi Arabian Oil Company Detecting suspicious user logins in private networks using machine learning
KR20230075326A (ko) * 2021-11-22 2023-05-31 주식회사 윈스 프로파일 룰 생성 방법 및 그 장치

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11899763B2 (en) * 2018-09-17 2024-02-13 Microsoft Technology Licensing, Llc Supervised learning system for identity compromise risk computation
KR102437910B1 (ko) * 2020-12-03 2022-08-31 주식회사 에이아이스페라 보안 관제 장치 및 그 제어방법
KR20220161790A (ko) * 2021-05-31 2022-12-07 삼성에스디에스 주식회사 크리덴셜 스터핑 탐지 모델 생성 장치 및 방법, 크리덴셜 스터핑 탐지 장치 및 방법
KR102721152B1 (ko) * 2023-11-20 2024-10-24 주식회사 호패 로그인 이상을 탐지하기 위한 방법 및 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100785715B1 (ko) 2004-04-01 2007-12-18 가부시끼가이샤 도시바 로그인 시스템 및 방법
US20220217156A1 (en) * 2021-01-04 2022-07-07 Saudi Arabian Oil Company Detecting suspicious user logins in private networks using machine learning
KR20230075326A (ko) * 2021-11-22 2023-05-31 주식회사 윈스 프로파일 룰 생성 방법 및 그 장치

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2025110553A1 (ko) * 2023-11-20 2025-05-30 주식회사 호패 로그인 이상을 탐지하기 위한 방법 및 시스템

Also Published As

Publication number Publication date
WO2025110553A1 (ko) 2025-05-30

Similar Documents

Publication Publication Date Title
US10129257B2 (en) Authorization server access system
US20200334095A1 (en) Entropy-based classification of human and digital entities
US9245145B2 (en) Methods and systems for regulating database activity
US10097667B2 (en) Methods and systems for regulating database activity
US10735433B2 (en) Discovering and evaluating privileged entities in a network environment
US9798876B1 (en) Systems and methods for creating security profiles
US20160065594A1 (en) Intrusion detection platform
US8918888B2 (en) Agent based application reputation system for operating systems
EP3660714B1 (en) Centralized security assessments of scripts in network environments
US20230134546A1 (en) Network threat analysis system
US11122438B2 (en) Map-based techniques for visualizing user access data and for configuring and enforcing location-based access policies
US11405404B2 (en) Dynamic privilege allocation based on cognitive multiple-factor evaluation
US12242650B2 (en) Systems and methods for protection of data across multiple users and devices
US10511974B2 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
KR20200045529A (ko) 신분 인증 방법, 장치, 서버 및 컴퓨터 판독 가능 매체
KR102721152B1 (ko) 로그인 이상을 탐지하기 위한 방법 및 시스템
US20190253455A1 (en) Policy strength of managed devices
US11659009B2 (en) Method and systems for analyzing security coverage of a set of enterprise access management policies
US12061690B2 (en) Security annotation of application services
EP3462359B1 (en) System and method of identifying new devices during a user's interaction with banking services
KR102710773B1 (ko) 보안 위험에 대하여 적응적으로 대응하기 위한 방법 및 시스템
US20210211470A1 (en) Evaluating a result of enforcement of access control policies instead of enforcing the access control policies
JP2024538102A (ja) 適応型ネットワーク攻撃予測システム
US12368739B2 (en) Adaptive network attack prediction system
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20231120

PA0201 Request for examination

Patent event code: PA02011R01I

Patent event date: 20231120

Comment text: Patent Application

PA0302 Request for accelerated examination

Patent event date: 20240131

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20240327

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20240910

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20241018

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20241021

End annual number: 3

Start annual number: 1

PG1601 Publication of registration