KR20200035614A - Web-based brute force attack blocking device and method using machine learning - Google Patents
Web-based brute force attack blocking device and method using machine learning Download PDFInfo
- Publication number
- KR20200035614A KR20200035614A KR1020180114894A KR20180114894A KR20200035614A KR 20200035614 A KR20200035614 A KR 20200035614A KR 1020180114894 A KR1020180114894 A KR 1020180114894A KR 20180114894 A KR20180114894 A KR 20180114894A KR 20200035614 A KR20200035614 A KR 20200035614A
- Authority
- KR
- South Korea
- Prior art keywords
- login
- machine learning
- learning model
- abnormal
- attempts
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 부정 로그인 차단 장치 및 방법에 관한 것으로, 보다 자세하게는 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for blocking illegal login, and more particularly, to a web-based apparatus and method for blocking illegal login using machine learning.
인터넷 환경의 발달과 스마트폰 등의 활용이 증가하면서 웹을 이용한 다양한 서비스가 증가하고 있다. 더불어 중요 정보나 자료 등의 공유 등도 간단한 사용자 검증 과정을 거쳐서 제공되기도 한다. 이러한 이유로 인해 주요 정보나 자료 획득을 위해 사용자 계정 정보 또는 패스워드 정보를 탈취하려는 공격 시도가 많이 발생한다. 공격 방법은 여러 가지가 있을 수 있으나 가장 많이 사용되는 것이 무작위 대입 방식을 이용한 공격 방식이라 할 수 있다. 이를 무차별 대입 공격(Brute Force Attack)이라고도 하며 성공할 때까지 모든 가능성 있는 값을 무차별적으로 대입을 시도하는 것으로서 해킹 기법 중 난이도가 가장 낮으면서도 가장 강력한 공격 방법이라 할 수 있다.With the development of the Internet environment and the increasing use of smartphones, various services using the web are increasing. In addition, sharing of important information and data is also provided through a simple user verification process. For this reason, many attempts are made to steal user account information or password information to obtain key information or data. There can be various attack methods, but the most commonly used is the attack method using a random assignment method. This is also called brute force attack, and attempts to assign all possible values indiscriminately until it succeeds. It is the most powerful attack method with the lowest difficulty among hacking techniques.
일반적으로 해당 공격에 대한 대응방법은 패스워드를 최소 8자리 이상 특수기호가 포함되도록 권고하거나 로그인 횟수 제한을 통해 몇 번의 로그인 실패 시 해당 아이피(IP)를 차단 또는 일정시간 동안 계정을 잠그도록 하여 추가 로그인 시도를 차단한다. 그리고 임계치 초과 시 바로 차단하지 않고 캡차(Captcha) 인증이나 2차 인증(OTP, SNS)을 요구함으로써 추가적인 로그인 시도를 차단하기도 한다.In general, the countermeasure against the attack is to recommend that the password contain at least 8 digits or special symbols, or limit the number of logins to block the corresponding IP (IP) or lock the account for a certain period of time to log in additionally. Block attempts. In addition, when the threshold is exceeded, additional login attempts are blocked by requiring Captcha authentication or secondary authentication (OTP, SNS) without blocking immediately.
하지만 횟수에 따른 임계치 방법은 시간차를 설정 값 보다 차등 적용하거나, 다수의 ID 또는 동일 IP와 다른 IP를 혼합 적용하거나 하는 방법으로 탐지 방식을 회피할 수 있다. 또한 횟수 제한은 동일한 ID 기준으로 패스워드 입력 실패를 기준으로 하는데 이미 확보된 다수의 ID를 기준으로 하여 교차 입력 시 해당부분을 우회할 수도 있다.However, in the threshold method according to the number of times, the detection method can be avoided by applying the time difference differently than the set value, or by applying multiple IDs or mixing the same IP and other IPs. In addition, the number limit is based on the password input failure based on the same ID, but it can be bypassed when cross-inputting based on a number of IDs already secured.
캡차나 2차 인증의 경우도 바로 적용하기보다 1차 임계치 초과 시 적용하는 경우에는 정상적인 사용자 계정이 잠길 수 있어 근본적인 무작위 대입공격 대응 방안으로는 한계가 있다. 또 대부분의 임계치 방식과 2차 인증에 대한 방법은 개별 웹 서비스 시스템과 사용자 단말 등에 추가 설정 등을 필요로 한다. 결과적으로 효율적인 무작위 대입공격 차단을 위해선 단순한 임계치 방식보다는 사용자의 접속 행위 분석을 통해 정상적인 사용자와 비정상적인 사용자를 구분하여 차단할 수 있는 기술과 해당 기술이 적용된 전용 솔루션이 필요하다.In the case of CAPTCHA or secondary authentication, if applied when the first threshold is exceeded, rather than immediately applied, the normal user account may be locked, so there is a limit to the basic random assignment attack countermeasure. In addition, most threshold methods and methods for secondary authentication require additional settings such as individual web service systems and user terminals. As a result, in order to block an efficient random assignment attack, it is necessary to use a technology that can classify and block normal users and abnormal users through analysis of user access behavior, rather than a simple threshold method, and a dedicated solution to which the technology is applied.
따라서 본 발명이 해결하고자 하는 기술적 과제는 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치 및 방법을 제공하는 것이다.Therefore, the technical problem to be solved by the present invention is to provide a web-based illegal login blocking device and method using machine learning.
상기한 기술적 과제를 해결하기 위한 본 발명에 따른 머신러닝을 이용한 웹 기반 부정 로그인 차단 방법은 로그인 트래픽 정보에서 추출되는 로그인 정보를 순차적으로 1차 머신러닝 모델에 입력하여 1차 비정상 로그인 판단 결과를 출력하는 단계, 상기 1차 비정상 로그인 판단 결과와 상기 로그인 트래픽 정보에서 추출되는 로그인 정보를 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는 통계 데이터를 2차 머신러닝 모델에 입력하여 2차 비정상 로그인 판단 결과를 출력하는 단계, 그리고 상기 2차 비정상 로그인 판단 결과에 따라 비정상 로그인 시도를 차단하는 단계를 포함한다.The web-based illegal login blocking method using machine learning according to the present invention for solving the above technical problem sequentially inputs login information extracted from login traffic information into a primary machine learning model and outputs a result of the primary abnormal login determination. The second abnormal login determination result by inputting statistical data obtained based on the first abnormal login determination result and the login information extracted from the login traffic information for a predetermined time to a secondary machine learning model. And outputting an abnormal login attempt according to the result of the second abnormal login determination.
상기 1차 머신러닝 모델에 입력되는 로그인 정보는, 로그인 시간, 사용자 아이디, 사용자 패스워드, 응답코드, 로그아웃 시간 및 로그인 아이피(IP) 중 적어도 하나 이상을 포함할 수 있다.The login information input to the primary machine learning model may include at least one of a login time, a user ID, a user password, a response code, a logout time, and a login IP.
상기 2차 머신러닝 모델에 입력되는 통계 데이터는, 상기 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는, 아이피별 로그인 시도 횟수, 아이피별 로그인 실패 횟수, 아이피별 로그아웃 시도 횟수, 사용자 아이디별 로그인 시도 횟수, 사용자 아이디별 로그인 실패 횟수, 사용자 아이디별 로그아웃 시도 횟수, 동일 C class 로그인 시도 횟수, 동일 C class 로그인 실패 횟수, 동일 C class 로그아웃 시도 횟수 중 적어도 하나 이상을 포함할 수 있다.Statistical data input to the second machine learning model is obtained based on the data accumulated during the predetermined time, the number of login attempts by IP, the number of login failures by IP, the number of logout attempts by IP, the login by user ID It may include at least one of the number of attempts, the number of failed login attempts by user ID, the number of attempted logout attempts by user ID, the number of attempts to log in to the same C class, the number of failed login attempts to the same C class, and the number of attempts to log out of the same C class.
상기 1차 머신러닝 모델은 RNN(Recurrent Neural Network)일 수 있다.The primary machine learning model may be a Recurrent Neural Network (RNN).
상기 2차 머신러닝 모델은 로지스틱 모델(Logistic model)일 수 있다.The secondary machine learning model may be a logistic model.
상기 2차 머신러닝 모델은 상기 1차 머신러닝 모델의 비정상 로그인 판단 결과와 로그인 트래픽 정보에서 추출되는 로그인 정보를 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는 통계 데이터를 학습 데이터로 입력받아 학습된 모델일 수 있다.The secondary machine learning model is trained by receiving statistical data obtained based on data accumulated for a predetermined period of time based on the accumulation of login information extracted from the abnormal login decision result and login traffic information of the primary machine learning model. It can be a model.
상기한 기술적 과제를 해결하기 위한 본 발명에 따른 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치는, 로그인 트래픽 정보에서 추출되는 로그인 정보를 순차적으로 1차 머신러닝 모델에 입력하여 1차 비정상 로그인 판단 결과를 출력하는 1차 판단부, 상기 1차 비정상 로그인 판단 결과와 상기 로그인 트래픽 정보에서 추출되는 로그인 정보를 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는 통계 데이터를 2차 머신러닝 모델에 입력하여 2차 비정상 로그인 판단 결과를 출력하는 2차 판단부, 그리고 상기 2차 비정상 로그인 판단 결과에 따라 비정상 로그인 시도를 차단하는 로그인 차단부를 포함한다.In order to solve the above technical problem, the web-based illegal login blocking device using machine learning according to the present invention sequentially inputs login information extracted from login traffic information into the primary machine learning model to determine the result of the primary abnormal login determination. The primary judgment unit outputs statistical data obtained on the basis of data accumulated for a predetermined period of time based on the result of the primary abnormal login determination and the login information extracted from the login traffic information. And a secondary determination unit outputting an abnormal login determination result, and a login blocking unit blocking an abnormal login attempt according to the secondary abnormal login determination result.
본 발명에 의하면 무작위 대입 공격에 대한 지능적인 차단을 통해 계정 탈취에 따른 추가적인 정보 유출을 차단할 수 있고, 정상적인 사용자 계정이 잠금으로 인한 서비스 불가 현상을 사전에 예방할 수 있다. 또한 무작위 대입 공격으로 인한 불필요한 트래픽 발생을 최소화 할 수 있다.According to the present invention, it is possible to prevent additional information leakage due to account stealing through intelligent blocking of a random assignment attack, and to prevent a service failure phenomenon due to locking of a normal user account in advance. In addition, it is possible to minimize the occurrence of unnecessary traffic caused by random assignment attacks.
도 1은 본 발명에 따른 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치의 구성도이다.
도 2는 본 발명에 따른 머신러닝 학습 모델을 예시한 도면이다.
도 3은 본 발명에 따른 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치의 동작을 설명하는 흐름도이다.1 is a configuration diagram of a web-based illegal login blocking device using machine learning according to the present invention.
2 is a diagram illustrating a machine learning learning model according to the present invention.
3 is a flow chart illustrating the operation of the web-based illegal login blocking device using machine learning according to the present invention.
그러면 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.Then, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art to which the present invention pertains can easily practice.
도 1은 본 발명에 따른 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치의 구성도이다.1 is a configuration diagram of a web-based illegal login blocking device using machine learning according to the present invention.
도 1을 참고하면, 본 발명에 따른 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치(100)는 수집부(110), 추출부(120), 저장부(130), 1차 판단부(140), 2차 판단부(150) 및 차단부(160)를 포함한다.Referring to FIG. 1, the web-based illegal
수집부(110)는 웹 트래픽 중에 로그인 트래픽 정보를 수집하는 기능을 수행한다.The
추출부(120)는 수집된 로그인 트래픽에서 비정상 로그인 탐지 모델의 학습 기준이 되는 주요 정보, 예컨대 아이피, 아이디, 패스워드, 로그인 시간, 로그아웃 시간, 로그인 시간 간격, 로그인 성공 실패 여부, URL, 반복 ID 횟수 등을 추출할 수 있다. 통상적인 동일 IP나 ID에서 반복적인 접근 시도뿐만 아니라, 복수의 IP 나 ID를 통한 일정 횟수 이상의 접근 시도, 동일 IP에서 최근 접속 기록, 로그인을 시도한 간격, 로그인 성공 이후 바로 로그 아웃 여부 등 정상 사용자의 행위와 차별화될 수 있는 요소들을 추출할 수 있다.The
저장부(130)는 장치(100)의 동작과 관련된 각종 정보 및 데이터를 저장할 수 있다. 특히 추출부(120)에서 추출된 로그인 정보를 저장부(130)는 저장할 수 있다. 그리고 저장부(130)는 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는 통계 데이터를 저장할 수도 있다. 예컨대 미리 정해진 시간이 최근 1시간이라고 하면, 최근 1시간 동안 누적된 로그인 정보 데이터를 기초로 구해지는, 아이피별 로그인 시도 횟수, 아이피별 로그인 실패 횟수, 아이피별 로그아웃 시도 횟수, 사용자 아이디별 로그인 시도 횟수, 사용자 아이디별 로그인 실패 횟수, 사용자 아이디별 로그아웃 시도 횟수, 동일 C class 로그인 시도 횟수, 동일 C class 로그인 실패 횟수, 동일 C class 로그아웃 시도 횟수 등을 저장할 수 있다. 이를 위해 저장부(130)에 통계 데이터를 산출하기 위한 통계 데이터 처리부를 구비시키거나, 저장부(130)와 별도로 통계 데이터를 산출하는 구성 요소를 장치(100)에 추가로 포함하도록 구현할 수도 있다.The
저장부(130)는 미리 정해진 시간(예컨대 최근 1시간) 동안의 로그인 정보 누적 통계 데이터를 지속적으로 최신 상태로 유지하도록 업데이트된 상태로 저장할 수 있다.The
1차 판단부(140)는 순차적인 데이터 정보를 기반으로 학습하는 1차 머신러닝 모델을 이용하여 비정상 로그인 여부를 판단한다. 여기서 1차 머신러닝 모델은 LSTMCell, GRUCell, RNNCell 등을 이용하는 RNN(Recurrent Neural Network) 모델로 구현될 수 있는데, 아이피, 아이디, 패스워드, 로그인 시간, 로그아웃 시간, 로그인 시간 간격, 로그인 성공 실패 여부, URL, 반복 ID 횟수 등을 시간순으로 입력받고, 순차적 시간 간격 기준으로 비교 학습하여 비정상 로그인 여부를 판단할 수 있도록 학습될 수 있다.The
2차 판단부(150)는 일정 시간 동안 누적된(횟수 통계) 데이터를 기반으로 학습하는 2차 머신러닝 모델을 이용하여 비정상 로그인 여부를 판단한다. 여기서 2차 머신러닝 모델은 로지스틱 모델(Logistic model)로 구현될 수 있다. 2차 판단부(150)에서 이용되는 2차 머신러닝 모델은 1차 비정상 로그인 판단 결과와 로그인 트래픽 정보에서 추출되는 로그인 정보를 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는 통계 데이터를 입력받아 비정상 로그인 여부를 판단할 수 있도록 학습될 수 있다. 예컨대 2차 머신러닝 모델은 로그인/로그아웃 시도 횟수와 실패 횟수를 ID/IP 별로 일정 시간(예컨대 최근 1시간) 기준으로 누적하여 구해진 통계 데이터를 이용하여 학습할 수 있다. 그리고 2차 머신러닝 모델은 1차 머신러닝의 결과 값과 학습된 누적 횟수를 비교하여 최종적으로 정상과 비정상 로그인 시도를 판단할 수 있다.The
실시예에 따라 2차 판단부(150)는 1차 비정상 로그인 판단 결과와 별도로 일정 시간 동안 누적된(횟수 통계) 데이터만으로 2차 머신러닝 모델을 학습하고, 실제 비정상 로그인 여부를 판단할 때도 통계 데이터만으로 비정상 로그인 여부를 판단하도록 구현할 수도 있다. 이 경우 1차 비정상 로그인 판단 결과와 2차 비정상 로그인 판단 결과가 서로 다른 경우, 2차 비정상 로그인 판단 결과를 따르도록 구현할 수 있다. 물론 1차 비정상 로그인 판단 결과의 비정상 로그인 확률과 2차 비정상 로그인 판단 결과의 비정상 로그인 확률을 비교하여 높은 쪽을 선택하도록 구현할 수도 있다. 그리고 각 확률에 미리 정해진 가중치를 적용하여 비정상 로그인 여부를 최종 판단하도록 구현하는 것도 가능하다.According to an embodiment, the
로그인 차단부(160)는 2차 판단부(150)에서의 2차 비정상 로그인 판단 결과에 따라 비정상 로그인 시도를 차단할 수 있다.The
이와 같이 1차 머신러닝 모델은 순차적인(RNN) 시간 데이터를 기반으로 학습하고, 2차 머신러닝 모델은 미리 정해진 시간(예컨대 최근 1시간) 동안 누적된 데이터를 활용함으로써, 사용자 로그인 정보를 기반으로 다중 학습모델을 적용하여 단순 임계치 기반을 우회하는 무작위 대입 공격을 효과적으로 사전 차단할 수 있을 뿐 아니라 2차 인증 추가 등으로 인한 서버 시스템 설정 변경이나 사용자 불편 등을 최소화할 수 있다As described above, the primary machine learning model learns based on sequential (RNN) time data, and the secondary machine learning model utilizes data accumulated for a predetermined time (for example, the last 1 hour), based on user login information. By applying a multi-learning model, it is possible to effectively block random assignment attacks that bypass the simple threshold base, as well as minimize server system configuration changes or user inconvenience caused by adding secondary authentication.
아래 표 1은 본 발명에 따른 머신러닝 모델에 적용하는 데이터 셋을 예시한 것으로, x11, x12, …, x16 변수는 로그인 시간을 기준으로 정렬한 데이터로 1차 머신러닝 모델의 입력으로 활용되고, s11, s12, …, s19 등은 미리 정해진 시간 동안 누적된 로그인 정보를 기초로 구해진 통계 데이터로 2차 머신러닝 모델의 입력으로 활용된다. 물론 표 1에서 예시한 것 외에 다른 데이터가 머신러닝 모델에 입력되어 학습될 수도 있다.Table 1 below illustrates a data set applied to the machine learning model according to the present invention, x11, x12,… , x16 variable is the data sorted by login time and used as the input of the first machine learning model, s11, s12,… , s19, etc. are statistical data obtained based on log-in information accumulated for a predetermined period of time, and are used as the input of the secondary machine learning model. Of course, other data than those illustrated in Table 1 may be input to the machine learning model and learned.
도 2는 본 발명에 따른 머신러닝 학습 모델을 예시한 도면이다.2 is a diagram illustrating a machine learning learning model according to the present invention.
도 2를 참고하면, 1차 머신러닝 모델에서 로그인 시간을 기준으로 정렬한 데이터를 입력받아 1차적으로 비정상 로그인 여부를 판단하고, 2차 머신러닝 모델은 1차 판단 결과와 미리 정해진 시간 동안 누적된 로그인 정보를 기초로 구해진 통계 데이터를 입력받아 최종적으로 비정상 로그인 여부를 판단한 결과를 출력하는 것을 예시하였다. Referring to FIG. 2, the primary machine learning model receives data sorted based on the log-in time to primarily determine whether or not an abnormal login is made, and the secondary machine learning model is accumulated for a predetermined time and the primary determination result. It was exemplified to receive statistical data obtained based on login information and finally output the result of determining whether or not an abnormal login was made.
도 3은 본 발명에 따른 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치의 동작을 설명하는 흐름도이다.3 is a flow chart illustrating the operation of the web-based illegal login blocking device using machine learning according to the present invention.
도 1 내지 도 3을 참고하면, 먼저 수집부(110)는 웹 트래픽 중에 로그인 트래픽 정보를 수집할 수 있다(S310).1 to 3, first, the
다음으로 추출부(120)는 수집된 로그인 트래픽에서 비정상 로그인 탐지 모델의 학습 기준이 되는 주요 정보, 예컨대 아이피, 아이디, 패스워드, 로그인 시간, 로그아웃 시간, 로그인 시간 간격, 로그인 성공 실패 여부, URL, 반복 ID 횟수 등을 추출할 수 있다(S320).Next, the
다음으로 1차 판단부(140)는 단계(S320)에서 추출된 아이피, 아이디, 패스워드, 로그인 시간, 로그아웃 시간, 로그인 시간 간격, 로그인 성공 실패 여부, URL, 반복 ID 횟수 등을 시간순으로 입력받아 1차 머신러닝 모델을 이용하여 비정상 로그인 여부를 판단한 결과를 출력할 수 있다(S330).Next, the primary determining
한편 저장부(130)는 단계(S320)에서 추출된 아이피, 아이디, 패스워드, 로그인 시간, 로그아웃 시간, 로그인 시간 간격, 로그인 성공 실패 여부, URL, 반복 ID 횟수 등의 로그인 정보를 저장하고, 미리 정해진 시간(예컨대 최근 1시간) 동안 누적한 데이터를 기초로 구해지는 통계 데이터를 저장할 수도 있다(S340). 단계(S340)에서 저장부(130)는 미리 정해진 시간(예컨대 최근 1시간) 동안의 로그인 정보 누적 통계 데이터를 지속적으로 최신 상태로 유지하도록 업데이트된 상태로 저장할 수 있다.Meanwhile, the
다음으로 2차 판단부(150)는 일정 시간 동안 누적된(횟수 통계) 데이터를 기반으로 학습하는 2차 머신러닝 모델을 이용하여 비정상 로그인 여부를 판단할 수 있다(S350). 단계(S350)에서 이용되는 2차 머신러닝 모델은 1차 비정상 로그인 판단 결과와 로그인 트래픽 정보에서 추출되는 로그인 정보를 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는 통계 데이터를 입력받아 비정상 로그인 여부를 판단할 수 있도록 학습될 수 있다. 예컨대 2차 머신러닝 모델은 로그인/로그아웃 시도 횟수와 실패 횟수를 ID/IP 별로 일정 시간(예컨대 최근 1시간) 기준으로 누적하여 구해진 통계 데이터를 이용하여 학습할 수 있다. 그리고 2차 머신러닝 모델은 1차 머신러닝의 결과 값과 학습된 누적 횟수를 비교하여 최종적으로 정상과 비정상 로그인 시도를 판단할 수 있다.Next, the
마지막으로 로그인 차단부(160)는 2차 판단부(150)에서의 2차 비정상 로그인 판단 결과에 따라 비정상 로그인 시도를 차단할 수 있다(S360).Finally, the
본 발명의 실시예는 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터로 읽을 수 있는 매체를 포함한다. 이 매체는 지금까지 설명한 머신러닝을 이용한 웹 기반 부정 로그인 차단 방법을 실행시키기 위한 프로그램을 기록한다. 이 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 이러한 매체의 예에는 하드디스크, 플로피디스크 및 자기 테이프와 같은 자기 매체, CD 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 자기-광 매체, 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 구성된 하드웨어 장치 등이 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.Embodiments of the present invention include a computer-readable medium including program instructions for performing various computer-implemented operations. This medium records a program for executing the web based illegal login blocking method using the machine learning described so far. The medium may include program instructions, data files, data structures, or the like alone or in combination. Examples of such media include hard disks, magnetic media such as floppy disks and magnetic tapes, optical recording media such as CDs and DVDs, program instructions such as floptical disks and magnetic-optical media, ROM, RAM, flash memory, etc. And hardware devices configured to store and perform them. Examples of program instructions include high-level language code that can be executed by a computer using an interpreter, etc., as well as machine language codes produced by a compiler.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the preferred embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concept of the present invention defined in the following claims are also provided. It belongs to the scope of rights.
100: 웹 기반 부정 로그인 차단 장치
110: 수집부
120: 추출부
130: 저장부
140: 1차 판단부
150: 2차 판단부
160: 차단부100: web-based illegal login blocking device
110: collection unit
120: extraction unit
130: storage unit
140: primary judgment unit
150: secondary judgment unit
160: block
Claims (8)
상기 1차 비정상 로그인 판단 결과와 상기 로그인 트래픽 정보에서 추출되는 로그인 정보를 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는 통계 데이터를 2차 머신러닝 모델에 입력하여 2차 비정상 로그인 판단 결과를 출력하는 단계, 그리고
상기 2차 비정상 로그인 판단 결과에 따라 비정상 로그인 시도를 차단하는 단계
를 포함하는 머신러닝을 이용한 웹 기반 부정 로그인 차단 방법.The step of outputting the primary abnormal login judgment result by sequentially inputting the login information extracted from the login traffic information into the primary machine learning model,
The second abnormal login determination result is output by inputting statistical data obtained based on the first abnormal login determination result and the login information extracted from the login traffic information for a predetermined period of time into a secondary machine learning model. Step, and
Blocking abnormal login attempts according to the second abnormal login determination result
Web-based illegal login blocking method using machine learning, including.
상기 1차 머신러닝 모델에 입력되는 로그인 정보는,
로그인 시간, 사용자 아이디, 사용자 패스워드, 응답코드, 로그아웃 시간 및 로그인 아이피(IP) 중 적어도 하나 이상을 포함하고,
상기 2차 머신러닝 모델에 입력되는 통계 데이터는,
상기 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는, 아이피별 로그인 시도 횟수, 아이피별 로그인 실패 횟수, 아이피별 로그아웃 시도 횟수, 사용자 아이디별 로그인 시도 횟수, 사용자 아이디별 로그인 실패 횟수, 사용자 아이디별 로그아웃 시도 횟수, 동일 C class 로그인 시도 횟수, 동일 C class 로그인 실패 횟수, 동일 C class 로그아웃 시도 횟수 중 적어도 하나 이상을 포함하는 머신러닝을 이용한 웹 기반 부정 로그인 차단 방법.In claim 1,
The login information input to the primary machine learning model,
At least one of the login time, user ID, user password, response code, logout time and login IP (IP),
Statistical data input to the secondary machine learning model,
Based on the accumulated data during the predetermined time, the number of login attempts by IP, the number of login failures by IP, the number of logout attempts by IP, the number of login attempts by user ID, the number of login failures by user ID, by user ID Web-based illegal login blocking method using machine learning that includes at least one of the number of logout attempts, the same C class login attempts, the same C class login failures, and the same C class logout attempts.
상기 1차 머신러닝 모델은 RNN(Recurrent Neural Network)이고, 상기 2차 머신러닝 모델은 로지스틱 모델(Logistic model)인 머신러닝을 이용한 웹 기반 부정 로그인 차단 방법.In claim 1,
The primary machine learning model is a RNN (Recurrent Neural Network), the secondary machine learning model is a logistic model (Logistic model) web-based illegal login blocking method using machine learning.
상기 2차 머신러닝 모델은 상기 1차 머신러닝 모델의 비정상 로그인 판단 결과와 로그인 트래픽 정보에서 추출되는 로그인 정보를 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는 통계 데이터를 학습 데이터로 입력받아 학습된 모델인 머신러닝을 이용한 웹 기반 부정 로그인 차단 방법.In claim 1,
The secondary machine learning model is trained by receiving statistical data obtained based on data accumulated for a predetermined period of time based on the accumulation of login information extracted from the abnormal login decision result and login traffic information of the primary machine learning model. Web-based illegal login blocking method using model learning.
상기 1차 비정상 로그인 판단 결과와 상기 로그인 트래픽 정보에서 추출되는 로그인 정보를 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는 통계 데이터를 2차 머신러닝 모델에 입력하여 2차 비정상 로그인 판단 결과를 출력하는 2차 판단부, 그리고
상기 2차 비정상 로그인 판단 결과에 따라 비정상 로그인 시도를 차단하는 로그인 차단부
를 포함하는 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치.A primary judgment unit that sequentially inputs login information extracted from login traffic information into a primary machine learning model to output a primary abnormal login determination result,
The second abnormal login determination result is output by inputting statistical data obtained based on the first abnormal login determination result and the login information extracted from the login traffic information for a predetermined period of time into a secondary machine learning model. Secondary judgment unit, and
A login blocker that blocks an abnormal login attempt according to the second abnormal login determination result
Web-based illegal login blocking device using machine learning, including.
상기 1차 머신러닝 모델에 입력되는 로그인 정보는,
로그인 시간, 사용자 아이디, 사용자 패스워드, 응답코드, 로그아웃 시간 및 로그인 아이피(IP) 중 적어도 하나 이상을 포함하고,
상기 2차 머신러닝 모델에 입력되는 통계 데이터는,
상기 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는, 아이피별 로그인 시도 횟수, 아이피별 로그인 실패 횟수, 아이피별 로그아웃 시도 횟수, 사용자 아이디별 로그인 시도 횟수, 사용자 아이디별 로그인 실패 횟수, 사용자 아이디별 로그아웃 시도 횟수, 동일 C class 로그인 시도 횟수, 동일 C class 로그인 실패 횟수, 동일 C class 로그아웃 시도 횟수 중 적어도 하나 이상을 포함하는 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치.In claim 5,
The login information input to the primary machine learning model,
At least one of the login time, user ID, user password, response code, logout time and login IP (IP),
Statistical data input to the secondary machine learning model,
Obtained based on the accumulated data during the predetermined time, the number of login attempts by IP, the number of login failures by IP, the number of logout attempts by IP, the number of login attempts by user ID, the number of login failures by user ID, by user ID Web-based illegal login blocking device using machine learning that includes at least one of the number of logout attempts, the same C class login attempts, the same C class login failures, and the same C class logout attempts.
상기 1차 머신러닝 모델은 RNN(Recurrent Neural Network)이고, 상기 2차 머신러닝 모델은 로지스틱 모델(Logistic model)인 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치.In claim 5,
The primary machine learning model is a RNN (Recurrent Neural Network), and the secondary machine learning model is a logistic model (Logistic model) of a web-based illegal login blocking device using machine learning.
상기 2차 머신러닝 모델은 상기 1차 머신러닝 모델의 비정상 로그인 판단 결과와 로그인 트래픽 정보에서 추출되는 로그인 정보를 미리 정해진 시간 동안 누적한 데이터를 기초로 구해지는 통계 데이터를 학습 데이터로 입력받아 학습된 모델인 머신러닝을 이용한 웹 기반 부정 로그인 차단 장치.In claim 7,
The secondary machine learning model is trained by receiving statistical data obtained based on data accumulated for a predetermined period of time based on the accumulated log-in information extracted from the abnormal login decision result and login traffic information of the primary machine learning model. Web based illegal login blocking device using model machine learning.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180114894A KR102130582B1 (en) | 2018-09-27 | 2018-09-27 | Web-based brute force attack blocking device and method using machine learning |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180114894A KR102130582B1 (en) | 2018-09-27 | 2018-09-27 | Web-based brute force attack blocking device and method using machine learning |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200035614A true KR20200035614A (en) | 2020-04-06 |
KR102130582B1 KR102130582B1 (en) | 2020-07-06 |
Family
ID=70282115
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180114894A KR102130582B1 (en) | 2018-09-27 | 2018-09-27 | Web-based brute force attack blocking device and method using machine learning |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102130582B1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114285596A (en) * | 2021-11-16 | 2022-04-05 | 国网浙江省电力有限公司杭州供电公司 | Transformer substation terminal account abnormity detection method based on machine learning |
KR20220078742A (en) * | 2020-12-03 | 2022-06-13 | 주식회사 에이아이스페라 | Controling security device and the control method thereof |
KR102434889B1 (en) * | 2021-12-17 | 2022-08-22 | 한국전자인증 주식회사 | Method, apparatus and computer program for detecting behavior of abnormal biometric information authentication |
US11736306B1 (en) | 2021-04-13 | 2023-08-22 | Amdocs Development Limited | System, method, and computer program for using artificial intelligence for online charging |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101503701B1 (en) * | 2014-04-30 | 2015-03-20 | (주)아이비즈소프트웨어 | Method and Apparatus for Protecting Information Based on Big Data |
KR20180018238A (en) * | 2016-08-10 | 2018-02-21 | 숭실대학교산학협력단 | Method and apparatus for determining information leakage risk |
-
2018
- 2018-09-27 KR KR1020180114894A patent/KR102130582B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101503701B1 (en) * | 2014-04-30 | 2015-03-20 | (주)아이비즈소프트웨어 | Method and Apparatus for Protecting Information Based on Big Data |
KR20180018238A (en) * | 2016-08-10 | 2018-02-21 | 숭실대학교산학협력단 | Method and apparatus for determining information leakage risk |
Non-Patent Citations (1)
Title |
---|
이디엄, "정보보호통합플랫폼 기술 트렌드"(2018.07.) * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20220078742A (en) * | 2020-12-03 | 2022-06-13 | 주식회사 에이아이스페라 | Controling security device and the control method thereof |
US11736306B1 (en) | 2021-04-13 | 2023-08-22 | Amdocs Development Limited | System, method, and computer program for using artificial intelligence for online charging |
CN114285596A (en) * | 2021-11-16 | 2022-04-05 | 国网浙江省电力有限公司杭州供电公司 | Transformer substation terminal account abnormity detection method based on machine learning |
CN114285596B (en) * | 2021-11-16 | 2023-08-15 | 国网浙江省电力有限公司杭州供电公司 | Transformer substation terminal account abnormity detection method based on machine learning |
KR102434889B1 (en) * | 2021-12-17 | 2022-08-22 | 한국전자인증 주식회사 | Method, apparatus and computer program for detecting behavior of abnormal biometric information authentication |
Also Published As
Publication number | Publication date |
---|---|
KR102130582B1 (en) | 2020-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102130582B1 (en) | Web-based brute force attack blocking device and method using machine learning | |
US10686829B2 (en) | Identifying changes in use of user credentials | |
US10356114B2 (en) | Method and system of distinguishing between human and machine | |
EP3306512B1 (en) | Account theft risk identification method, identification apparatus, and prevention and control system | |
JP6530495B2 (en) | Session Security Division and Application Profiler | |
US9800594B2 (en) | Method and system for detecting unauthorized access attack | |
US10911437B2 (en) | Detection of anomalous authentication attempts in a client-server architecture | |
KR20190075861A (en) | Detection method, device, server and storage medium of DoS / DDoS attack | |
US8549314B2 (en) | Password generation methods and systems | |
CN105913257A (en) | System And Method For Detecting Fraudulent Online Transactions | |
CN107438049B (en) | Malicious login identification method and device | |
WO2011023664A2 (en) | Threat detection in a data processing system | |
AU2019401240B2 (en) | Detecting and responding to attempts to gain unauthorized access to user accounts in an online system | |
US10362055B2 (en) | System and methods for active brute force attack protection | |
US11595377B2 (en) | Method and system for monitoring for and blocking fraudulent attempts to log into remote services using list validation attacks | |
Singh et al. | Sql injection detection and correction using machine learning techniques | |
US20170171188A1 (en) | Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus | |
US10956543B2 (en) | System and method for protecting online resources against guided username guessing attacks | |
CN111800432A (en) | Anti-brute force cracking method and device based on log analysis | |
EP3174268B1 (en) | Method and apparatus for using network exhaustive resource | |
KR101576993B1 (en) | Method and System for preventing Login ID theft using captcha | |
JP5454166B2 (en) | Access discrimination program, apparatus, and method | |
CN110990810B (en) | User operation data processing method, device, equipment and storage medium | |
JP2018097660A (en) | Monitoring server, security countermeasure method and program | |
CN117134999B (en) | Safety protection method of edge computing gateway, storage medium and gateway |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |