KR102472844B1 - 온라인 상에서 이상거래를 자동 탐지하기 위한 방법 - Google Patents
온라인 상에서 이상거래를 자동 탐지하기 위한 방법 Download PDFInfo
- Publication number
- KR102472844B1 KR102472844B1 KR1020220017052A KR20220017052A KR102472844B1 KR 102472844 B1 KR102472844 B1 KR 102472844B1 KR 1020220017052 A KR1020220017052 A KR 1020220017052A KR 20220017052 A KR20220017052 A KR 20220017052A KR 102472844 B1 KR102472844 B1 KR 102472844B1
- Authority
- KR
- South Korea
- Prior art keywords
- node
- transaction
- identifier
- information
- electronic device
- Prior art date
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 93
- 238000000034 method Methods 0.000 title claims abstract description 19
- 230000008859 change Effects 0.000 claims abstract description 15
- 238000001514 detection method Methods 0.000 claims description 20
- 238000004891 communication Methods 0.000 claims description 13
- 238000012544 monitoring process Methods 0.000 claims description 4
- 239000000047 product Substances 0.000 description 25
- 239000000284 extract Substances 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- TVEXGJYMHHTVKP-UHFFFAOYSA-N 6-oxabicyclo[3.2.1]oct-3-en-7-one Chemical compound C1C2C(=O)OC1C=CC2 TVEXGJYMHHTVKP-UHFFFAOYSA-N 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000006227 byproduct Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 238000005286 illumination Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/02—Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/12—Payment architectures specially adapted for electronic shopping systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/16—Payments settled via telecommunication systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
- G06Q30/0185—Product, service or business identity fraud
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0201—Market modelling; Market analysis; Collecting market data
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Finance (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Development Economics (AREA)
- Computer Security & Cryptography (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Marketing (AREA)
- Game Theory and Decision Science (AREA)
- Data Mining & Analysis (AREA)
- Human Resources & Organizations (AREA)
- Computer And Data Communications (AREA)
- Educational Administration (AREA)
- Tourism & Hospitality (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 명세서는 전자 장치가 이상거래를 자동 탐지하기 위한 방법에 있어서, 전자 상거래 서버로부터 거래 정보를 획득하는 단계;로서, 상기 거래 정보는 사용자가 임의로 변경하기 어려운 고유정보, 사용자가 임의로 변경할 수 있는 임의정보 및 접속 IP(Internet Protocol) 주소를 포함함; 상기 고유정보에 근거하여, 제1 식별자를 추출하는 단계; 상기 임의정보에 근거하여, 복수 개의 제2 식별자들을 추출하는 단계; 상기 복수 개의 제2 식별자들에 근거하여, 제3 식별자를 생성하는 단계; 상기 제1 식별자에 근거하여, 제1 노드를 생성하고, 상기 제3 식별자에 근거하여, 제2 노드를 생성하는 단계; 상기 접속 IP 주소에 근거하여, 제3 노드를 생성하는 단계; 및 상기 제1 노드, 상기 제2 노드 및 상기 제3 노드를 연결하여, 상기 이상거래를 자동 탐지하기 위한 아이덴티티(identity) 맵(map)을 생성하는 단계;를 포함할 수 있다.
Description
본 명세서는 온라인 상에서 발생하는 이상거래를 자동 탐지하기 위한 방법 및 이를 위한 장치에 관한 것이다.
온라인 시장의 규모가 커짐에 따라, 전자상거래를 비롯하여 주식 및 증권, 리셀 플랫폼, 가상화폐 거래 등에서 시세 조작 또는 자전거래 등 이상거래를 시도하여 금전적 이득을 취하려는 시도가 증가하고 있다.
이러한 이상거래는 기업의 브랜드 평판 훼손 및 소비자의 불이익을 야기할 수 있으므로, 온라인 상에서 이상거래 탐지의 필요성이 증대되고 있는 실정이다.
그러나 온라인 상에서 이상거래를 시도하는 사용자는 탐지를 피하기 위해 다수의 계정을 생성하는 경우가 많고, 이상거래 시 짧은 시간 간격내에 거래를 체결하여 가격변동 위험에 노출되지 않도록 하므로 이상거래 자동 탐지는 쉽지 않다.
본 명세서의 목적은, 사용자의 접속 IP 주소 패턴을 통해 동일하다고 예상되는 계정을 탐지하여 이상거래를 자동 탐지하기 위한 방법 및 장치를 구성하기 위한 것이다.
또한, 본 명세서의 목적은, 거래 체결 시간 및 거래 비중 등 거래 패턴을 분석하여 이상거래를 자동 탐지하기 위한 방법 및 장치를 구성하기 위한 것이다.
본 명세서가 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 이하의 명세서의 상세한 설명으로부터 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서의 일 양상은, 전자 장치가 이상거래를 자동 탐지하기 위한 방법에 있어서, 전자 상거래 서버로부터 거래 정보를 획득하는 단계;로서, 상기 거래 정보는 사용자가 임의로 변경하기 어려운 고유정보, 사용자가 임의로 변경할 수 있는 임의정보 및 접속 IP(Internet Protocol) 주소를 포함함; 상기 고유정보에 근거하여, 제1 식별자를 추출하는 단계; 상기 임의정보에 근거하여, 복수 개의 제2 식별자들을 추출하는 단계; 상기 복수 개의 제2 식별자들에 근거하여, 제3 식별자를 생성하는 단계; 상기 제1 식별자에 근거하여, 제1 노드를 생성하고, 상기 제3 식별자에 근거하여, 제2 노드를 생성하는 단계; 상기 접속 IP 주소에 근거하여, 제3 노드를 생성하는 단계; 및 상기 제1 노드, 상기 제2 노드 및 상기 제3 노드를 연결하여, 상기 이상거래를 자동 탐지하기 위한 아이덴티티(identity) 맵(map)을 생성하는 단계;를 포함할 수 있다.
또한, 상기 아이덴티티 맵에 근거하여, 클러스터를 분류하는 단계; 를 더 포함하며, 상기 클러스터는 연결된 노드들의 집합을 포함할 수 있다.
또한, 상기 클러스터에 근거하여, 상기 이상거래를 탐지하는 단계;를 포함할 수 있다.
또한, 상기 클러스터에 근거하여, 상기 이상거래를 탐지하는 단계는 상기 제3 노드와 연결된 서로 다른 제1 노드가 존재하는 경우, 상기 이상거래로 결정하는 단계; 를 포함할 수 있다.
또한, 상기 클러스터에 근거하여, 상기 이상거래를 탐지하는 단계는 상기 전자 상거래 서버를 통해, 상기 사용자의 접속이력을 모니터링하는 단계; 및 상기 모니터링의 결과 및 상기 클러스터에 근거하여, 상기 접속 IP 주소 별로 히스토리(history) 데이터를 생성하는 단계;를 포함하며, 상기 히스토리 데이터는 상기 사용자의 식별자 및 상기 사용자의 접속 시간을 포함할 수 있다.
또한, 상기 클러스터에 근거하여, 상기 이상거래를 탐지하는 단계는 상기 서로 다른 제1 노드 간의 거래 횟수가 개별 거래 횟수 대비 특정 비율 이상인 경우, 상기 이상거래로 결정하는 단계; 를 더 포함할 수 있다.
본 명세서의 또 다른 일 양상은 이상거래를 자동 탐지하기 위한 전자 장치에 있어서, 통신모듈; 메모리; 및 상기 통신모듈 및 상기 메모리를 기능적으로 제어하기 위한 프로세서; 를 포함하며, 상기 프로세서는 전자 상거래 서버로부터 거래 정보를 획득하고, 상기 거래 정보는 사용자가 임의로 변경하기 어려운 고유정보, 사용자가 임의로 변경할 수 있는 임의정보 및 접속 IP(Internet Protocol) 주소를 포함하며, 상기 고유정보에 근거하여, 제1 식별자를 추출하고, 상기 임의정보에 근거하여, 복수 개의 제2 식별자들을 추출하며, 상기 복수 개의 제2 식별자들에 근거하여, 제3 식별자를 생성하고, 상기 제1 식별자에 근거하여, 제1 노드를 생성하고, 상기 제3 식별자에 근거하여, 제2 노드를 생성하며, 상기 접속 IP 주소에 근거하여, 제3 노드를 생성하고, 상기 제1 노드, 상기 제2 노드 및 상기 제3 노드를 연결하여, 상기 이상거래를 자동 탐지하기 위한 아이덴티티(identity) 맵(map)을 생성할 수 있다.
본 명세서의 실시예에 따르면, 사용자의 접속 IP 주소 패턴을 통해 동일하다고 예상되는 계정을 탐지하여 이상거래를 자동 탐지하기 위한 방법 및 장치를 구성할 수 있다.
또한, 본 명세서의 실시예에 따르면, 거래 체결 시간 및 거래 비중 등 거래 패턴을 분석하여 이상거래를 자동 탐지하기 위한 방법 및 장치를 구성할 수 있다.
본 명세서에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 명세서와 관련된 전자 기기를 설명하기 위한 블록도이다.
도 2는 본 명세서에 적용될 수 있는 이상 거래 탐지 방법에 사용되는 아이덴티티 맵을 구축하는 방법의 예시이다.
도 3은 본 명세서에 적용될 수 있는 이상 거래 탐지 방법을 설명하기 위한 순서도이다.
도 4는 본 명세서에 적용될 수 있는 아이덴티티 맵의 예시이다.
도 5는 본 명세서에 적용될 수 있는 접속 IP 주소 패턴의 예시이다.
도 6은 본 명세서가 적용될 수 있는 자동 탐지 알고리즘의 예시이다.
도 7은 본 명세서가 적용될 수 있는 거래 체결 시간 분석의 예시이다.
도 8은 본 명세서가 적용될 수 있는 전자 장치의 일 실시예이다.
본 명세서에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 명세서에 대한 실시예를 제공하고, 상세한 설명과 함께 본 명세서의 기술적 특징을 설명한다.
도 2는 본 명세서에 적용될 수 있는 이상 거래 탐지 방법에 사용되는 아이덴티티 맵을 구축하는 방법의 예시이다.
도 3은 본 명세서에 적용될 수 있는 이상 거래 탐지 방법을 설명하기 위한 순서도이다.
도 4는 본 명세서에 적용될 수 있는 아이덴티티 맵의 예시이다.
도 5는 본 명세서에 적용될 수 있는 접속 IP 주소 패턴의 예시이다.
도 6은 본 명세서가 적용될 수 있는 자동 탐지 알고리즘의 예시이다.
도 7은 본 명세서가 적용될 수 있는 거래 체결 시간 분석의 예시이다.
도 8은 본 명세서가 적용될 수 있는 전자 장치의 일 실시예이다.
본 명세서에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 명세서에 대한 실시예를 제공하고, 상세한 설명과 함께 본 명세서의 기술적 특징을 설명한다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 명세서에 개시된 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 명세서의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 출원에서, "포함한다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
도 1은 본 명세서와 관련된 전자 기기를 설명하기 위한 블록도이다.
상기 전자 기기(100)는 무선 통신부(110), 입력부(120), 센싱부(140), 출력부(150), 인터페이스부(160), 메모리(170), 제어부(180) 및 전원 공급부(190) 등을 포함할 수 있다. 도 1에 도시된 구성요소들은 전자 기기를 구현하는데 있어서 필수적인 것은 아니어서, 본 명세서 상에서 설명되는 전자 기기는 위에서 열거된 구성요소들 보다 많거나, 또는 적은 구성요소들을 가질 수 있다.
보다 구체적으로, 상기 구성요소들 중 무선 통신부(110)는, 전자 기기(100)와 무선 통신 시스템 사이, 전자 기기(100)와 다른 전자 기기(100) 사이, 또는 전자 기기(100)와 외부서버 사이의 무선 통신을 가능하게 하는 하나 이상의 모듈을 포함할 수 있다. 또한, 상기 무선 통신부(110)는, 전자 기기(100)를 하나 이상의 네트워크에 연결하는 하나 이상의 모듈을 포함할 수 있다.
이러한 무선 통신부(110)는, 방송 수신 모듈(111), 이동통신 모듈(112), 무선 인터넷 모듈(113), 근거리 통신 모듈(114), 위치정보 모듈(115) 중 적어도 하나를 포함할 수 있다.
입력부(120)는, 영상 신호 입력을 위한 카메라(121) 또는 영상 입력부, 오디오 신호 입력을 위한 마이크로폰(microphone, 122), 또는 오디오 입력부, 사용자로부터 정보를 입력받기 위한 사용자 입력부(123, 예를 들어, 터치키(touch key), 푸시키(mechanical key) 등)를 포함할 수 있다. 입력부(120)에서 수집한 음성 데이터나 이미지 데이터는 분석되어 사용자의 제어명령으로 처리될 수 있다.
센싱부(140)는 전자 기기 내 정보, 전자 기기를 둘러싼 주변 환경 정보 및 사용자 정보 중 적어도 하나를 센싱하기 위한 하나 이상의 센서를 포함할 수 있다. 예를 들어, 센싱부(140)는 근접센서(141, proximity sensor), 조도 센서(142, illumination sensor), 터치 센서(touch sensor), 가속도 센서(acceleration sensor), 자기 센서(magnetic sensor), 중력 센서(G-sensor), 자이로스코프 센서(gyroscope sensor), 모션 센서(motion sensor), RGB 센서, 적외선 센서(IR 센서: infrared sensor), 지문인식 센서(finger scan sensor), 초음파 센서(ultrasonic sensor), 광 센서(optical sensor, 예를 들어, 카메라(121 참조)), 마이크로폰(microphone, 122 참조), 배터리 게이지(battery gauge), 환경 센서(예를 들어, 기압계, 습도계, 온도계, 방사능 감지 센서, 열 감지 센서, 가스 감지 센서 등), 화학 센서(예를 들어, 전자 코, 헬스케어 센서, 생체 인식 센서 등) 중 적어도 하나를 포함할 수 있다. 한편, 본 명세서에 개시된 전자 기기는, 이러한 센서들 중 적어도 둘 이상의 센서에서 센싱되는 정보들을 조합하여 활용할 수 있다.
출력부(150)는 시각, 청각 또는 촉각 등과 관련된 출력을 발생시키기 위한 것으로, 디스플레이부(151), 음향 출력부(152), 햅팁 모듈(153), 광 출력부(154) 중 적어도 하나를 포함할 수 있다. 디스플레이부(151)는 터치 센서와 상호 레이어 구조를 이루거나 일체형으로 형성됨으로써, 터치 스크린을 구현할 수 있다. 이러한 터치 스크린은, 전자 기기(100)와 사용자 사이의 입력 인터페이스를 제공하는 사용자 입력부(123)로써 기능함과 동시에, 전자 기기(100)와 사용자 사이의 출력 인터페이스를 제공할 수 있다.
인터페이스부(160)는 전자 기기(100)에 연결되는 다양한 종류의 외부 기기와의 통로 역할을 수행한다. 이러한 인터페이스부(160)는, 유/무선 헤드셋 포트(port), 외부 충전기 포트(port), 유/무선 데이터 포트(port), 메모리 카드(memory card) 포트, 식별 모듈이 구비된 장치를 연결하는 포트(port), 오디오 I/O(Input/Output) 포트(port), 비디오 I/O(Input/Output) 포트(port), 이어폰 포트(port) 중 적어도 하나를 포함할 수 있다. 전자 기기(100)에서는, 상기 인터페이스부(160)에 외부 기기가 연결되는 것에 대응하여, 연결된 외부 기기와 관련된 적절할 제어를 수행할 수 있다.
또한, 메모리(170)는 전자 기기(100)의 다양한 기능을 지원하는 데이터를 저장한다. 메모리(170)는 전자 기기(100)에서 구동되는 다수의 응용 프로그램(application program 또는 애플리케이션(application)), 전자 기기(100)의 동작을 위한 데이터들, 명령어들을 저장할 수 있다. 이러한 응용 프로그램 중 적어도 일부는, 무선 통신을 통해 외부 서버로부터 다운로드 될 수 있다. 또한 이러한 응용 프로그램 중 적어도 일부는, 전자 기기(100)의 기본적인 기능(예를 들어, 전화 착신, 발신 기능, 메시지 수신, 발신 기능)을 위하여 출고 당시부터 전자 기기(100)상에 존재할 수 있다. 한편, 응용 프로그램은, 메모리(170)에 저장되고, 전자 기기(100) 상에 설치되어, 제어부(180)에 의하여 상기 전자 기기의 동작(또는 기능)을 수행하도록 구동될 수 있다.
제어부(180)는 상기 응용 프로그램과 관련된 동작 외에도, 통상적으로 전자 기기(100)의 전반적인 동작을 제어한다. 제어부(180)는 위에서 살펴본 구성요소들을 통해 입력 또는 출력되는 신호, 데이터, 정보 등을 처리하거나 메모리(170)에 저장된 응용 프로그램을 구동함으로써, 사용자에게 적절한 정보 또는 기능을 제공 또는 처리할 수 있다.
또한, 제어부(180)는 메모리(170)에 저장된 응용 프로그램을 구동하기 위하여, 도 1과 함께 살펴본 구성요소들 중 적어도 일부를 제어할 수 있다. 나아가, 제어부(180)는 상기 응용 프로그램의 구동을 위하여, 전자 기기(100)에 포함된 구성요소들 중 적어도 둘 이상을 서로 조합하여 동작시킬 수 있다.
전원공급부(190)는 제어부(180)의 제어 하에서, 외부의 전원, 내부의 전원을 인가받아 전자 기기(100)에 포함된 각 구성요소들에 전원을 공급한다. 이러한 전원공급부(190)는 배터리를 포함하며, 상기 배터리는 내장형 배터리 또는 교체가능한 형태의 배터리가 될 수 있다.
상기 각 구성요소들 중 적어도 일부는, 이하에서 설명되는 다양한 실시 예들에 따른 전자 기기의 동작, 제어, 또는 제어방법을 구현하기 위하여 서로 협력하여 동작할 수 있다. 또한, 상기 전자 기기의 동작, 제어, 또는 제어방법은 상기 메모리(170)에 저장된 적어도 하나의 응용 프로그램의 구동에 의하여 전자 기기 상에서 구현될 수 있다.
본 명세서에서 전자기기(100)는 전자 장치로 통칭될 수 있으며, 이상 거래 추적 장치를 포함할 수 있다.
본 명세서에서 전자 상거래에서 발생하는 이상 거래는 사기, 불법 제품 판매, 자전 거래 등을 포함할 수 있으며, 이는 모두 전자 상거래 서버에 데이터로 저장될 수 있고, 이상 거래 추적 장치(전자 장치)는 전자 상거래 서버에 접근하여 데이터를 파싱해 이상 거래를 수행하는 사용자(비정상 사용자)를 추적할 수 있다.
거래 정보는 상품 정보, 결제 정보, 배송 정보, 사용자 정보를 포함할 수 있다.
상품 정보는 상품 명칭 및 상품 이미지를 포함하며, 결제 정보는 계좌 정보와 카드 정보를 포함하고, 배송 정보는 배송 주소지와 우편 번호를 포함하며, 사용자 정보는 판매자 정보 및 구매자 정보를 포함하되, 판매자 혹은 구매자의 이름, 연락처, 접속 디바이스 ID(디바이스 고유 식별 정보), 디바이스 모델, 접속 IP 주소, 위치 정보를 포함할 수 있다.
사용자 정보에 포함된 접속 IP 주소는 통신사에서 부여한 IP 주소와 공공시설 IP를 제외한 고정 IP를 의미할 수 있다. 이에 따라 거래 정보에 포함된 접속 IP 주소는 가정, 회사에서 소수의 사람들이 사용하는 IP 주소를 의미하기 때문에 복수 개의 거래 정보의 IP 주소가 겹치는 경우 해당 거래를 수행하는 판매자 혹은 구매자가 수상하다고 판단될 수 있다.
도 2는 본 명세서에 적용될 수 있는 이상 거래 탐지 방법에 사용되는 아이덴티티 맵을 구축하는 방법의 예시이다.
도 2를 참조하면, 전자 장치는 전자 상거래 서버에 기 저장된 복수 개의 제1 거래 정보를 수집하여 거래 정보 데이터베이스를 구축할 수 있다(S100).
예를 들어, 전자 장치는 거래 정보 데이터베이스를 구축함에 있어서, 제1 거래 정보에 포함된 제1 상품 이미지를 웹 사이트 크롤링하여 제1 상품 정보에 대응하는 제1 상품과 관련된 이미지를 더 수집할 수 있다.
또한, 전자 장치는 수집한 제1 상품과 관련된 이미지를 제1 상품 이미지로 더 포함하여 거래 정보 데이터베이스를 구축할 수 있다.
전자 상거래 서버에 포함된 거래 정보 데이터베이스에 저장된 제1 거래 정보에는 이상 거래 유무에 따른 태그가 포함될 수 있다. 보다 자세하게, 기존에 이상 거래로 판단된 제1 거래 정보는 이상 거래 태그를 포함할 수 있다.
전자 장치는 전자 상거래의 사용자로부터 사기 등으로 신고되거나 차단된 IP 주소에 대한 위험 IP 정보를 거래 정보 데이터베이스에 더 저장할 수 있다. 전자 장치는 신고된 IP 주소에 대한 IP 소유기관, 국가, 할당 대역범위(CIDR) 등의 부가정보를 수집하여 위험 IP 정보에 더 포함시킬 수 있다.
전자 장치는 거래 정보 데이터베이스에 저장된 제1 거래 정보에서 적어도 하나의 제1 식별자를 추출한다(S110). 예를 들어, 제1 식별자는 결재 정보 및/또는 사용자가 임의로 변경하기 어려운 사용자 정보(예를 들어, 디바이스 ID, 사용자 ID 등)를 포함할 수 있다.
전자 장치는 제1 거래 정보에서 제1 식별자와 다른 제2 식별자를 추출하고, 복수 개의 제2 식별자를 결합하여 제3 식별자를 생성한다(S120). 보다 자세하게, 전자 장치는 거래 정보에 포함된 정보 중 제1 식별자를 추출하기 위해 사용된 거래 정보를 제외하고 나머지 거래 정보를 이용하여 제2 식별자를 추출할 수 있다.
예를 들어, 제2 식별자는 제1 식별자와 달리 사용자가 임의로 수정할 수 있는 정보로 추출되었는 바, 단독으로는 비정상 사용자를 판단하기 어려운 요소임에 따라, 복수 개의 제2 식별자를 결합하여 비정상 사용자 판단의 충분한 근거로 사용될 수 있다.
보다 자세하게, 전자 장치는 우편번호, 배송 주소지 정보, 연락처, 이름, 연락처의 끝 4자리 등으로부터 추출된 제2 식별자 중 복수 개를 결합하여 제3 식별자를 생성할 수 있다.
제2 식별자가 조작의 가능성이 농후하나, 우편번호와 배송 주소지의 경우 사용자의 주요 생활지에서 먼 곳으로 설정하게 되면 거래 상품을 가지러 가고 오는 비용을 소모해야 하기 때문에 조작의 확률이 낮다고 판단하고 다른 제2 식별자를 결합하여 제3 식별자를 생성함으로써 비정상 사용자의 판단의 근거에 사용될 수 있다. 또한, 전자 장치는 제2 식별자 중 제3 식별자로 정의되지 않은 식별자를 제4 식별자로 더 설정할 수 있다.
전자 장치는 제1 거래 정보에 포함된 제1 주소지 정보를 제2 식별자로 사용하기 이전에 제1 주소지 정보를 정규화 할 수 있다. 사용자에 따라 도로명 주소와 지번 주소 중 어느 하나를 사용하기 때문에 주소지 정보의 통일성이 떨어져, 전자 장치는 주소지 정보가 지번 주소일 경우 지번 주소를 도로명 주소로 변환할 수 있다. 또한 전자 장치는 상세 주소에 포함된 불필요한 글자와 기호, 공란을 제거하고 하이픈을 통해 상세 주소의 형식을 통일할 수 있다. 예를 들어, 상세주소가 101동 307호와 B동 3호일 경우 전자 장치는 상세주소를 각각 101-307과 B-3으로 통일할 수 있다.
전자 장치는 제1 거래 정보에 포함된 제1 사용자의 고유 식별 정보에 대응하는 제1 노드를 생성한다(S130).
전자 장치는 제1 거래 정보에서 추출한 제1 식별자 및/또는 제3 식별자를 기반으로 제2 노드를 생성한다(S140).
예를 들어, 제1 노드와 제2 노드는 엣지(edge)로 연결될 수 있다. 이를 통해, 아이덴티티 맵은 사용자의 고유 식별 정보에 대한 노드를 중심으로 구성될 수 있다.
전자 장치는 제1 노드 및 제2 노드를 이용하여 아이덴티티 맵을 생성한다(S150). 예를 들어, 전자 장치는 또 다른 제1 노드(b)에 연결된 제2 노드가 제1 노드(a)와 동일한 경우, 제1 노드(a) - 제2 노드 - 제1 노드(b)와 같이 노드를 연결할 수 있다. 이 경우 전자 장치는 제1 노드(a)와 제1 노드(b)는 동일한 사용자가 다른 고유 식별 정보를 사용한 것으로 판단할 수 있다.
또한, 전자 장치는 아이덴티티 맵을 생성함에 있어서 제1 노드 및 제2 노드 간의 엣지의 거리를 설정할 수 있다.
예를 들어, 전자 장치는 제1 노드와 제1 식별자에 대응하는 제2 노드 간 엣지의 거리를 0으로 설정할 수 있다. 이에 따라 제2 노드에 연결된 제1 노드가 복수 개일 경우 복수 개의 제1 노드 간 엣지의 거리는 0이 될 수 있다.
또한 전자 장치는 제1 노드와 제3 식별자에 대응하는 제2 노드 간 엣지의 거리를 설정함에 있어서, 제3 식별자에 대한 관리자의 설정 값을 이용할 수 있다. 예를 들어, 전자 장치는 거래 정보의 위험도를 판단하기에 충분한 근거를 가지는 제3 식별자에 대응하는 제2 노드와 제1 노드 간 엣지의 거리를 1로 설정하고, 제4 식별자에 대응하는 제2 노드와 제1 노드 간 엣지의 거리를 2로 설정할 수 있다.
또한, 전자 장치는 이상 거래 태그를 포함하는 제1 거래 정보에 대한 제1 노드 및 제2 노드를 그렇지 않은 제1 거래 정보에 대한 제1 노드 및 제2 노드와 차별화할 수 있다. 예를 들어, 전자 장치는 이상 거래 태그를 포함하는 제1 거래 정보에 대응하는 노드의 색상 혹은 크기를 달리할 수 있다.
전자 장치는 연결된 모든 제1 노드 및 제2 노드를 일 클러스터로 설정한다(S160). 따라서 아이덴티티 맵은 적어도 하나의 클러스터를 포함할 수 있다.
전자 장치는 클러스터를 적어도 하나의 그룹으로 구분한다(S170). 예를 들어, 전자 장치는 클러스터에 속한 제1 노드와 제1 식별자에 대응하는 제2 노드의 집합을 제1 그룹으로 설정하고, 제1 노드와 제3 식별자에 대응하는 제2 노드의 집합을 제2 그룹으로 설정하고, 제1 노드와 제4 식별자에 대응하는 제2 노드의 집합을 제3 그룹으로 설정할 수 있다.
즉, 전자 장치는 제1 노드와 엣지 거리가 0인 제2 노드를 제1 그룹으로, 제1 노드와 엣지 거리가 1인 제2 노드를 제2 그룹으로, 제1 노드와 엣지 거리가 2인 제2 노드를 제3 그룹으로 설정할 수 있다.
도 3은 본 명세서에 적용될 수 있는 이상 거래 탐지 방법을 설명하기 위한 순서도이다.
도 3을 참조하면, 전자장치는 도 2에서 구축된 아이덴티티 맵을 이용하여 이상 거래를 탐지할 수 있다.
전자 장치는 전자 상거래 서버에 새로 업로드 되는 제2 거래 정보를 수집한다(S200). 예를 들어, 전자 장치는 제2 거래 정보를 수집함에 있어서 종래의 기술을 따를 수 있다. 제2 거래 정보는 거래 전, 거래 중, 거래 완료의 상태로 구분될 수 있다.
예를 들어, 새로 업로드 되는 거래 전 상태의 제2 거래 정보는 제2 상품 정보와 제2 사용자 정보(판매자)만을 포함할 수 있고, 거래 중 상태의 제2 거래 정보는 제2 상품 정보, 제2 결제 정보, 제2 배송 정보, 그리고 제2 사용자 정보(판매자 및 구매자)를 포함할 수 있다. 전자 장치는 거래가 진행되지 않은 제2 거래 정보에 대응하는 제2 결제 정보, 제2 배송 정보, 제2 사용자 정보가 추가로 수신되면, 제2 거래 정보의 상태를 거래 중으로 변경할 수 있다.
전자 장치는 제2 거래 정보를 거래 정보 데이터베이스에 저장할 수 있다(S210).
전자 장치는 제2 거래 정보에 포함된 제1 식별자 및 제2 식별자를 추출하고, 복수 개의 제2 식별자를 결합해 제3 식별자를 생성한다(S220).
도 2에서 전술한 바와 같이 제1 식별자는 사용자가 임의로 변경하기 어려운 정보이고, 제2 식별자는 제1 식별자를 제외한 것, 그리고 제3 식별자는 복수 개의 제2 식별자를 결합한 것을 의미할 수 있다.
전자 장치는 제2 거래 정보가 비정상 사용자에 의해 생성되었는 지를 판단하기 위해, 제1 식별자 및 제3 식별자를 아이덴티티 맵에 검색하여 제2 거래 정보가 이상 거래인 지 판단한다(S230).
본 명세서의 일 실시 예에 의한 이상 거래 탐지 방법은 다양한 식별자를 이용하여 복합적으로 이상 거래를 분석하기 때문에, 비정상 사용자가 이상 거래 탐지를 회피하는 것이 곤란해질 것이다.
이하에서는 제2 거래 정보에 포함된 제1 식별자 및 제3 식별자 각각을 아이덴티티 맵에 검색하여 제2 거래 정보가 이상 거래인지를 판단하는 방법을 보다 자세히 설명한다.
1) 제1 식별자
본 명세서의 일 실시 예에 의한 제1 식별자는 디바이스 ID와 결제 정보를 포함할 수 있다. 예를 들어, 제2 거래 정보의 상태가 거래 전일 경우, 제1 식별자는 디바이스 ID일 것이고, 제2 거래 정보의 상태가 거래 중 및 거래 완료일 경우, 제1 식별자는 제2 사용자(제2 판매자 및 제2 구매자)의 디바이스 ID와 결제 정보를 포함할 수 있다.
전자 장치는 제1 식별자를 아이덴티티 맵에 검색하여, 아이덴티티 맵에 제1 식별자에 대응하는 제2 노드가 존재하는 경우, 해당 제2 노드의 색상 혹은 크기를 통해 해당 제2 노드에 대응하는 제1 거래 정보가 이상 거래 태그를 포함하는 지를 판단할 수 있다. 전자 장치는 해당 제2 노드가 이상 거래와 관련이 있으면, 제2 거래 정보에 대응하는 사용자(제2 판매자 혹은 제2 구매자)가 비정상 사용자인 것으로 판단할 수 있다. 이 때, 제1 식별자에 대응하는 제2 노드는 아이덴티티 맵의 제1 그룹에 속함에 따라 전자 장치는 제2 거래 정보 및 비정상 사용자로 판단된 제2 사용자를 차단할 수 있다.
예를 들어, 제1 식별자에 제2 판매자 및 제2 구매자의 디바이스 ID가 모두 포함되어 있을 경우, 전자 장치는 제2 판매자와 제2 구매자에 대응하는 제2 노드가 동일 클러스터 내에 있는 지 더 식별할 수 있다. 전자 장치는 제2 판매자와 제2 구매자에 대응하는 제2 노드가 동일 클러스터 내에 있다고 판단하면, 제2 거래 정보를 자전 거래로 판단하고 제2 거래 정보를 차단할 수 있다.
2) 제3 식별자
본 명세서의 일 실시 예에 의한 제3 식별자는 배송 주소지와 우편 번호를 포함하는 배송 정보, 이름, 연락처, 접속 IP 주소, 위치 정보의 제2 식별자 중 복수 개를 결합한 것으로, 관리자에 의해 설정된 제2 식별자의 조합에 따를 수 있다. 제4 식별자는 제2 식별자 중 제3 식별자로 선택되지 않은 것을 의미한다. 제3 식별자 및 제4 식별자 역시 제3 거래 정보의 상태에 따라 특정 식별자가 포함되지 않을 수 있다.
전자 장치는 제3 식별자를 아이덴티티 맵에 검색하여, 아이덴티티 맵에 제3 식별자에 대응하는 제2 노드가 존재하는 경우, 제2 거래 정보에 대응하는 제2 사용자(제2 판매자 혹은 제2 구매자)가 비정상 사용자일 가능성이 높은 것으로 판단할 수 있다. 제3 식별자에 대응하는 제2 노드는 제2 그룹에 속함에 따라 전자 장치는 제3 사용자인 제3 판매자와 제3 구매자 중 비정상 사용자로 판단되지 않은 사용자와 관리자 단말에 알림을 제공할 수 있다.
또한, 전자 장치는 제4 식별자를 아이덴티티 맵에 검색하여, 아이덴티티 맵에 제4 식별자에 대응하는 제2 노드가 존재하는 경우, 제2 거래 정보에 대응하는 제2 사용자(제2 판매자 혹은 제2 구매자)가 비정상 사용자일 가능성이 있는 것으로 판단할 수 있다. 제4 식별자에 대응하는 제2 노드는 제3 그룹에 속함에 따라 전자 장치는 관리자가 모니터링을 할 수 있도록 비정상 사용자일 가능성이 있는 제3 사용자의 거래 진행 과정을 추적하여 관리자 단말에 제공할 수 있다.
예를 들어 제2 거래 정보에 판매자 A와 구매자 B에 대한 제2 사용자 정보가 포함되어 있고, 전자 장치는 제2 사용자 정보에 의해 판매자 A가 비정상 사용자라고 판단하면 제2 사용자 중 구매자 B의 단말과 관리자 단말에 위험 알림을 제공할 수 있다.
- 접속 IP 주소
한편 본 명세서의 다른 실시 예에 따라, 전자 장치는 제2 사용자 정보에 포함된 제2 접속 IP 주소를 거래 정보 데이터베이스에 더 검색할 수 있다. 전자 장치는 제2 사용자 정보에 포함된 접속 IP 주소가 이상 거래 데이터베이스에 저장된 위험 IP 주소와 동일하거나, 같은 대역범위를 사용하고 있을 경우, 비정상 사용자가 주로 사용하는 IP 대역에서 제2 거래 정보가 생성된 것으로 판단하여 제2 거래 정보를 차단할 수 있다.
- 다크 웹 노출
또한 전자 장치는 제2 사용자 정보에 포함된 이름, 연락처 등을 기반으로 다크 웹에 접속하여 비정상 사용자에게 노출되었는 지를 판단할 수 있다. 전자 장치는 제2 사용자 정보에 포함된 이름과 연락처가 다크 웹에 노출된 경우, 제2 거래 정보를 차단할 수 있다.
- 상품 이미지 도용
한편 본 명세서의 다른 실시 예에 의한 전자 장치는 제2 거래 정보의 제2 상품 이미지에서 특징 영역을 식별하고 제2 상품 이미지의 특징 기술자를 추출할 수 있다. 특징 영역은, 이미지들 사이의 동일 유사 여부를 판단하기 위한 이미지의 특징에 대한 기술자, 즉 특징 기술자를 추출하는 주요 영역을 말하며, 특징 기술자는 제2 상품 이미지의 특징들을 벡터 값으로 표현할 것이다.
본 발명의 일 실시 예에 의한 특징 영역은 이미지가 포함하고 있는 윤곽선, 윤곽선 중에서도 코너 등의 모퉁이, 주변 영역과 구분되는 블롭(blob), 이미지의 변형에 따라 불변하거나 공변하는 영역, 또는 주변 밝기보다 어둡거나 밝은 특징이 있는 극점일 수 있다.
전자 장치는 제2 상품 이미지에 대한 특징 영역의 위치, 또는 특징 영역의 밝기, 색상, 선명도, 그라디언트, 스케일 또는 패턴 정보를 이용하여 특징 기술자를 계산할 수 있다. 예를 들어 특징 기술자는 특징 영역의 밝기 값, 밝기의 변화 값 또는 분포 값 등을 벡터로 변환하여 계산될 수도 있다.
전자 장치는 제2 상품 이미지의 특징 기술자를 기반으로 거래 정보 데이터베이스에 제2 상품 이미지와 동일한 제1 상품 이미지가 저장되어 있는 지를 판단할 수 있다.
상품 정보 데이터베이스에 제2 상품 이미지와 동일한 제1 상품 이미지가 존재하는 경우, 전자 장치는 제2 상품 이미지를 도용 이미지로 판단하고, 제2 거래 정보를 차단할 수 있다.
다시 도 3을 참조하면 전자 장치는 제2 거래 정보를 기반으로 거래 정보 데이터베이스를 업데이트한다(S240). 구체적으로, 전자 장치는 이상 거래로 판단되어 차단된 제2 거래 정보에 이상 거래를 의미하는 태그를 추가하여 거래 정보 데이터베이스를 업데이트할 수 있다.
이후, 전자 장치는 제2 거래 정보를 기반으로 아이덴티티 맵을 업데이트할 수 있다. 구체적으로, 전자 장치는 제2 거래 정보의 제2 사용자에 대한 제1 노드에, 제2 거래 정보의 제1 식별자 및 제3 식별자에 대응하는 제2 노드를 생성하여 연결함으로써 아이덴티티 맵을 더 확장할 수 있다.
도 4는 본 명세서에 적용될 수 있는 아이덴티티 맵의 예시이다.
도 4를 참조하면, 전자 장치는 전술한 도 2의 방법에 따라 아이덴티티 맵을 구축할 수 있다.
예를 들어, 전자 장치는 도 3의 방법에 따라, 도 4의 아이덴티티 맵을 이용하여 이상 거래를 탐지할 수 있다.
도 5는 본 명세서에 적용될 수 있는 접속 IP 주소 패턴의 예시이다.
전술한 바와 같이 거래 정보는 사용자 정보를 포함할 수 있고, 사용자 정보는 판매자 혹은 구매자의 접속 IP 주소를 포함할 수 있으며, 접속 IP 주소는 고정 IP 주소를 의미할 수 있다.
전자 장치는 전자 상거래 서버에 포함된 거래 정보에서 특정 기간동안 동일한 IP 주소로 여러번 접속한 계정들을 탐지할 수 있다.
도 5를 참조하면, 전자 장치는 3개의 IP 주소(X.X.X.X, Y.Y.Y.Y, Z.Z.Z.Z)가 사용자 A와 사용자 B만 사용하며, 비슷한 시기에 두 사용자가 접속했던 기록이 특정값 이상 존재한다면, 사용자 A와 B를 동일한 Identity로 판단할 수 있다.
예를 들어, 전자 장치는 각기 다른 사용자가 동일한 Identity인지 여부를 판단하기 위해, IP 주소별로 사용자의 접속 히스토리를 관리할 수 있다.
다음의 표 1은 IP 주소(x.x.x.x)의 사용자 접속 히스토리 데이터의 예시이다.
| 사용자 ID | 월 (month) | 주 (week) |
| 300 | 3 | 1 |
| 500 | 3 | 2 |
| 300 | 3 | 2 |
| 300 | 3 | 3 |
| 500 | 7 | 1 |
| 500 | 7 | 2 |
| 300 | 7 | 4 |
표 1을 참조하면, 전자 장치는 IP 주소 별로 사용자 접속 히스토리를 확인하기 위한 데이터를 생성하고 주기적으로 업데이트 할 수 있다.예를 들어, 전자 장치는 사용자 300은 3월 1~3째주, 사용자 500은 3월 2째주에 X.X.X.X로 접속했음을 확인할 수 있고, 사용자 500은 7월 1~2째주, 사용자 300은 7월 4째주에 X.X.X.X로 접속했음을 확인할 수 있다.
만일, 전자 장치에 설정된 동일 아이피의 다른 사용자 ID의 접속 주기가 2주일 이내이고, 접속 주기 내에 탐지 횟수가 2번 이상이라면, 사용자 300과 500은 동일 Identity로 간주될 수 있다.
또한, 전자 장치는 거래 정보 데이터베이스를 통해, 기존에 이상거래를 시도한 사용자가 접속했던 IP 주소를 사용하는 계정 및 알려진 악성 IP 및 특정국가 IP 우회 등을 사용하는 계정을 탐지할 수 있다.
이를 통해, 탐지된 계정과 접근하는 사용자를 대조하여, 전자 장치는 IP 조작 및 우회를 통해 abusing 행위를 시도하는 사용자의 접근 여부를 확인할 수 있다. 또한, 전자 장치는 악성 사용자가 집중적으로 사용하는 IP 소유기관을 확인하고 대조하여 악성 사용자 여부를 탐지할 수 있다.
도 6은 본 명세서가 적용될 수 있는 자동 탐지 알고리즘의 예시이다.
도 6(a)를 참조하면, 전자 장치는 전술한 아이덴티티 맵에 추가하여 접속 IP 주소에 대응되는 제3 노드를 생성하고, 대응되는 제1 노드를 연결할 수 있다. 전술한 S160과 마찬가지로 제3 노드는 연결된 제1 노드와 동일한 클러스터에 포함될 수 있다.
도 6(b)를 참조하면, 전자 장치는 거래에 참여한 판매자에 대응되는 제1 노드와 구매자에 대응되는 제1 노드가 동일한 클러스터에 포함되는 경우, 자전거래로 판단할 수 있다. 즉, 제3 노드 관점에서 동일한 클러스터에 포함되었다는 것은 동일한 IP 주소로 접속되었다는 것을 나타낼 수 있다.
도 6(c)를 참조하면, 전자 장치는 이미 알려진 이상거래 사용자와 대응되는 제1 노드와 연결된 제3 노드를 역으로 추적하여, 동일한 클러스터에 포함된 새로운 이상거래 사용자에 대응되는 제1 노드를 탐지할 수 있다.
도 6에서 예시하는 자동 탐지 알고리즘에는 전술한 도 3의 이상 거래 탐지 방법이 동일하게 적용될 수 있음은 물론이다.
도 7은 본 명세서가 적용될 수 있는 거래 체결 시간 분석의 예시이다.
도 7을 참조하면, 자전거래의 경우 거래에 성공하기 위해 판매와 구매 사이의 시간 간격이 짧을 수 있으므로, 전자 장치는 예를 들어, 거래 체결 시간 간격이 짧은 상위 10%의 거래를 추출하여 이상거래를 탐지할 수 있다.
예를 들어, 체결 간격(제품(품목)별 판매/구매 사이의 시간 간격)이 짧은 거래를 추출할 수 있다.
또한, 전자 장치는 체결 주기(사용자 사이의 최근 거래 중 짧은 간격)를 고려하여 거래 비중을 분석할 수 있다.
예를 들어, 사용자A의 전체 거래의 대부분이 사용자B와의 거래라면 둘 사이의 거래는 이상거래로 의심될 수 있다. 전자 장치는 와 의 거래 횟수/A의 전체 거래 횟수가 특정값(예를 들어, 0.9) 이상인 경우, 이상 거래로 탐지할 수 있다. 이를 위해, 전자 잔치는 전술한 히스토리 데이터를 이용할 수 있다.
이를 통해, 전자 장치는 탐지에 소요되는 Cost를 절약할 수 있다.
도 8은 본 명세서가 적용될 수 있는 전자 장치의 일 실시예이다.
도 8을 참조하면, 전자 장치는 메모리에 전술한 아이덴티티 맵을 생성하고, 이에 근거하여, 전술한 예시들을 이용하여 이상거래를 탐지할 수 있다.
또한, 전자 장치는 통신 모듈을 통해 전자 상거래 서버와 통신할 수 있다.
전자 장치는 전자 상거래 서버로부터 거래 정보를 획득하고, 거래 정보에 포함된 고유정보에 근거하여 제1 식별자를 추출한다(S8010). 예를 들어, 고유 정보는 사용자가 임의로 변경하기 어려운 사용자 정보로서 사용자 ID를 포함할 수 있다.
전자 장치는 거래 정보에 포함된 임의정보에 근거하여, 복수 개의 제2 식별자들을 추출한다(S8020). 예를 들어, 임의정보는 사용자가 임의로 변경할 수 있는 정보로서, 이름, 연락처, 위치 정보 등을 포함할 수 있다.
전자 장치는 복수 개의 제2 식별자에 근거하여, 제3 식별자를 생성한다(S8030).
전자 장치는 제1 식별자에 근거하여, 제1 노드를 생성하고, 제3 식별자에 근거하여, 제2 노드를 생성한다(S8040). 예를 들어, 전자 장치는 제1 식별자에 대응하는 제1 노드를 생성하고, 제3 식별자에 대응하는 제2 노드를 생성할 수 있다.
전자 장치는 거래 정보에 포함된 접속 IP 주소에 근거하여, 제3 노드를 생성한다(S8050). 예를 들어, 전자 장치는 접속 IP 주소에 대응하는 제3 노드를 생성할 수 있다.
전자 장치는 제1 노드, 제2 노드 및 제3 노드를 연결하여 이상 거래 탐지를 위한 아이덴티티(Identity) 맵(map)을 생성한다(S8060).
이후, 전자 장치는 아이덴티티 맵에 근거하여, 클러스터를 분류한다. 예를 들어, 클러스터는 연결된 노드들의 집합일 수 있다.
전자 장치는 클러스터에 근거하여, 이상 거래를 탐지할 수 있다.
예를 들어, 전자 장치는 제3 노드와 연결된 서로 다른 제1 노드가 존재하는 경우 이상거래로 결정할 수 있다.
또한, 전자 장치는 전자 상거래 서버와 통신하여, 사용자들의 접속이력을 모니터링하고 전술한 표 1과 같은 히스토리 데이터를 생성할 수 있다. 전자 장치는 히스토리 데이터에 근거하여, 이상거래를 탐지할 수 있다.
예를 들어, 전자 장치는 히스토리 데이터를 이용하여, 서로 다른 사용자 간의 거래횟수를 카운팅할 수 있고, 전술한 바와 같이 서로 다른 사용자 간의 거래 횟수가 개별 거래 횟수 대비 특정 비율 이상인 경우, 이상거래로 결정할 수 있다.
전술한 본 명세서는, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터 시스템에 의하여 읽혀 질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 매체의 예로는, HDD(Hard Disk Drive), SSD(Solid State Disk), SDD(Silicon Disk Drive), ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 명세서의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 명세서의 등가적 범위 내에서의 모든 변경은 본 명세서의 범위에 포함된다.
또한, 이상에서 서비스 및 실시 예들을 중심으로 설명하였으나 이는 단지 예시일 뿐 본 명세서를 한정하는 것이 아니며, 본 명세서가 속하는 분야의 통상의 지식을 가진 자라면 본 서비스 및 실시 예의 본질적인 특성을 벗어나지 않는 범위에서 이상에 예시되지 않은 여러 가지의 변형과 응용이 가능함을 알 수 있을 것이다. 예를 들어, 실시 예들에 구체적으로 나타난 각 구성 요소는 변형하여 실시할 수 있는 것이다. 그리고 이러한 변형과 응용에 관계된 차이점들은 첨부한 청구 범위에서 규정하는 본 명세서의 범위에 포함되는 것으로 해석되어야 할 것이다.
Claims (7)
- 전자 장치가 이상거래를 자동 탐지하기 위한 방법에 있어서,
전자 상거래 서버로부터 거래 정보를 획득하는 단계;로서, 상기 거래 정보는 사용자가 임의로 변경하기 어려운 고유정보, 사용자가 임의로 변경할 수 있는 임의정보 및 접속 IP(Internet Protocol) 주소를 포함함;
상기 고유정보에 근거하여, 제1 식별자를 추출하는 단계;
상기 임의정보에 근거하여, 복수 개의 제2 식별자들을 추출하는 단계;
상기 복수 개의 제2 식별자들에 근거하여, 제3 식별자를 생성하는 단계;
상기 제1 식별자에 근거하여, 제1 노드를 생성하고, 상기 제3 식별자에 근거하여, 제2 노드를 생성하는 단계;
상기 접속 IP 주소에 근거하여, 제3 노드를 생성하는 단계;
상기 제1 노드, 상기 제2 노드 및 상기 제3 노드를 연결하여, 상기 이상거래를 자동 탐지하기 위한 아이덴티티(identity) 맵(map)을 생성하는 단계;
상기 아이덴티티 맵에 근거하여, 클러스터를 분류하는 단계; 및
상기 클러스터에 근거하여, 상기 이상거래를 탐지하는 단계;를 포함하며,
상기 클러스터는
연결된 노드들의 집합을 포함하고,
상기 클러스터에 근거하여, 상기 이상거래를 탐지하는 단계는
상기 제3 노드와 연결된 서로 다른 제1 노드가 존재하는 경우, 상기 이상거래로 결정하는 단계;
를 포함하는,
자동 탐지 방법.
- 삭제
- 삭제
- 제1항에 있어서,
상기 클러스터에 근거하여, 상기 이상거래를 탐지하는 단계는
상기 제3 노드와 연결된 서로 다른 제1 노드가 존재하는 경우, 상기 이상거래로 결정하는 단계;
를 포함하는, 자동 탐지 방법.
- 제1항에 있어서,
상기 클러스터에 근거하여, 상기 이상거래를 탐지하는 단계는
상기 전자 상거래 서버를 통해, 상기 사용자의 접속이력을 모니터링하는 단계; 및
상기 모니터링의 결과 및 상기 클러스터에 근거하여, 상기 접속 IP 주소 별로 히스토리(history) 데이터를 생성하는 단계;
를 포함하며,
상기 히스토리 데이터는
상기 사용자의 식별자 및 상기 사용자의 접속 시간을 포함하는, 자동 탐지 방법.
- 제5항에 있어서,
상기 클러스터에 근거하여, 상기 이상거래를 탐지하는 단계는
상기 서로 다른 제1 노드 간의 거래 횟수가 개별 거래 횟수 대비 특정 비율 이상인 경우, 상기 이상거래로 결정하는 단계;
를 더 포함하는, 자동 탐지 방법.
- 이상거래를 자동 탐지하기 위한 전자 장치에 있어서,
통신모듈;
메모리; 및
상기 통신모듈 및 상기 메모리를 기능적으로 제어하기 위한 프로세서; 를 포함하며,
상기 프로세서는
전자 상거래 서버로부터 거래 정보를 획득하고, 상기 거래 정보는 사용자가 임의로 변경하기 어려운 고유정보, 사용자가 임의로 변경할 수 있는 임의정보 및 접속 IP(Internet Protocol) 주소를 포함하며, 상기 고유정보에 근거하여, 제1 식별자를 추출하고, 상기 임의정보에 근거하여, 복수 개의 제2 식별자들을 추출하며, 상기 복수 개의 제2 식별자들에 근거하여, 제3 식별자를 생성하고, 상기 제1 식별자에 근거하여, 제1 노드를 생성하고, 상기 제3 식별자에 근거하여, 제2 노드를 생성하며, 상기 접속 IP 주소에 근거하여, 제3 노드를 생성하고, 상기 제1 노드, 상기 제2 노드 및 상기 제3 노드를 연결하여, 상기 이상거래를 자동 탐지하기 위한 아이덴티티(identity) 맵(map)을 생성하며, 상기 아이덴티티 맵에 근거하여, 클러스터를 분류하고, 상기 클러스터에 근거하여, 상기 이상거래를 탐지하며,
상기 클러스터는
연결된 노드들의 집합을 포함하고,
상기 클러스터에 근거하여, 상기 이상거래를 탐지하기 위해, 상기 제3 노드와 연결된 서로 다른 제1 노드가 존재하는 경우, 상기 이상거래로 결정하는 전자 장치.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220017052A KR102472844B1 (ko) | 2022-02-09 | 2022-02-09 | 온라인 상에서 이상거래를 자동 탐지하기 위한 방법 |
| US17/842,307 US20230252479A1 (en) | 2022-02-09 | 2022-06-16 | Method of automatically detecting abnormal transactions online |
| KR1020220161184A KR20230120553A (ko) | 2022-02-09 | 2022-11-28 | 온라인 상에서 이상거래를 자동 탐지하기 위한 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020220017052A KR102472844B1 (ko) | 2022-02-09 | 2022-02-09 | 온라인 상에서 이상거래를 자동 탐지하기 위한 방법 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220161184A Division KR20230120553A (ko) | 2022-02-09 | 2022-11-28 | 온라인 상에서 이상거래를 자동 탐지하기 위한 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102472844B1 true KR102472844B1 (ko) | 2022-12-01 |
Family
ID=84440894
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220017052A KR102472844B1 (ko) | 2022-02-09 | 2022-02-09 | 온라인 상에서 이상거래를 자동 탐지하기 위한 방법 |
| KR1020220161184A KR20230120553A (ko) | 2022-02-09 | 2022-11-28 | 온라인 상에서 이상거래를 자동 탐지하기 위한 방법 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220161184A KR20230120553A (ko) | 2022-02-09 | 2022-11-28 | 온라인 상에서 이상거래를 자동 탐지하기 위한 방법 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20230252479A1 (ko) |
| KR (2) | KR102472844B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117828449B (zh) * | 2024-03-06 | 2024-05-14 | 江苏中创供应链服务有限公司 | 一种基于云计算的跨境电商用户画像数据处理方法及*** |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070079785A (ko) * | 2006-02-03 | 2007-08-08 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
| KR101749494B1 (ko) * | 2016-01-08 | 2017-06-21 | 한국인터넷진흥원 | 악성 앱/결제 정보를 프로파일링하기 위한 시스템 및 그 방법 |
| JP2017162237A (ja) * | 2016-03-10 | 2017-09-14 | ヤフー株式会社 | 生成装置、生成方法、及び生成プログラム |
| KR20180057854A (ko) * | 2016-11-23 | 2018-05-31 | 엘에스웨어(주) | 사용자 단말을 이용한 데이터베이스 접근 제어 시스템 |
| KR20200076845A (ko) * | 2018-12-20 | 2020-06-30 | 한국인터넷진흥원 | 악성코드 분석 시스템 및 그 시스템의 동작 방법 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7562814B1 (en) * | 2003-05-12 | 2009-07-21 | Id Analytics, Inc. | System and method for identity-based fraud detection through graph anomaly detection |
| US7539644B2 (en) * | 2007-03-08 | 2009-05-26 | Softroute Corporation | Method of processing online payments with fraud analysis and management system |
| US8458069B2 (en) * | 2011-03-04 | 2013-06-04 | Brighterion, Inc. | Systems and methods for adaptive identification of sources of fraud |
| US20190295089A1 (en) * | 2018-03-23 | 2019-09-26 | Microsoft Technology Licensing, Llc | Transaction fraud detection based on entity linking |
-
2022
- 2022-02-09 KR KR1020220017052A patent/KR102472844B1/ko active IP Right Grant
- 2022-06-16 US US17/842,307 patent/US20230252479A1/en active Pending
- 2022-11-28 KR KR1020220161184A patent/KR20230120553A/ko unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070079785A (ko) * | 2006-02-03 | 2007-08-08 | 엘지엔시스(주) | 침입방지시스템에서의 자기 학습 데이터 관리방법 및 그를이용한 이상 트래픽 대응방법 |
| KR101749494B1 (ko) * | 2016-01-08 | 2017-06-21 | 한국인터넷진흥원 | 악성 앱/결제 정보를 프로파일링하기 위한 시스템 및 그 방법 |
| JP2017162237A (ja) * | 2016-03-10 | 2017-09-14 | ヤフー株式会社 | 生成装置、生成方法、及び生成プログラム |
| KR20180057854A (ko) * | 2016-11-23 | 2018-05-31 | 엘에스웨어(주) | 사용자 단말을 이용한 데이터베이스 접근 제어 시스템 |
| KR20200076845A (ko) * | 2018-12-20 | 2020-06-30 | 한국인터넷진흥원 | 악성코드 분석 시스템 및 그 시스템의 동작 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230120553A (ko) | 2023-08-17 |
| US20230252479A1 (en) | 2023-08-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10805328B2 (en) | Systems and methods for detecting and scoring anomalies | |
| CA3018682C (en) | Automated sensor-based customer identification and authorization systems within a physical environment | |
| US8917939B2 (en) | Verifying vendor identification and organization affiliation of an individual arriving at a threshold location | |
| CN107798541B (zh) | 一种用于在线业务的监控方法及*** | |
| CN110945552B (zh) | 一种产品销量提报方法、支付方法和终端设备 | |
| KR102449632B1 (ko) | 이상 금융거래 탐지 방법 및 시스템 | |
| JP2015512103A (ja) | 対話デジタルデータ間のリンクを識別するためのシステム、方法、および装置 | |
| US11928741B1 (en) | Systems and methods for detecting items at a property | |
| US9098699B1 (en) | Smart television data sharing to provide security | |
| KR102472844B1 (ko) | 온라인 상에서 이상거래를 자동 탐지하기 위한 방법 | |
| WO2021079549A1 (ja) | ネットワークシステム、不審者検知装置、および不審者検知方法 | |
| CN111951021A (zh) | 一种可疑社团的发现方法和装置、存储介质及计算机设备 | |
| JP2016099913A (ja) | 不正取引検知システム | |
| US20230206246A1 (en) | Systems for Securing Transactions Based on Merchant Trust Score | |
| KR102597616B1 (ko) | 전자 상거래에서의 이상 거래 탐지를 위한 클러스터링 방법 및 시스템 | |
| EP4239557A1 (en) | Real-time fraud detection based on device fingerprinting | |
| TW201901553A (zh) | 交易身分警示系統及交易身分警示方法 | |
| US20210366010A1 (en) | Systems and methods for proactively informing users of an age of a merchant during online transactions | |
| CN114783444A (zh) | 声纹识别方法、装置、存储介质以及电子设备 | |
| JP2016099914A (ja) | 名寄せプログラム | |
| CN118096191A (zh) | 一种智能用户信息保护的反欺诈***及方法 | |
| US20160042348A1 (en) | Information processing device and information processing system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GRNT | Written decision to grant |