탐지 엔진 동작 원리
BotManager 탐지 엔진은 접속 요청에 대한 다양한 검증과 탐지 과정을 거쳐, 정상 또는 봇 여부를 판단하고 차단 응답 여부를 결정합니다.
개요
탐지 엔진은 에이전트(웹페이지 또는 서버측 라이브러리)로부터 요청을 수신하여 정책 기반 탐지를 수행합니다.
처리 흐름
1. 요청 수신
탐지 엔진은 에이전트로부터 다음 정보를 포함한 요청을 수신합니다:
- 클라이언트 IP 주소
- User-Agent 헤더
- 요청 URL 경로
- 세션 ID / 로그인 ID
- 기타 HTTP 헤더 정보
2. URL 적용 여부 확인
현재 요청이 정책이 설정된 API 경로 또는 하위 경로에 해당하는지 확인합니다.
- 정책은 경로별로 세분화하여 설정 가능
- 미적용 경로인 경우 정책 탐지 생략
3. 차단 이력 확인
현재 요청의 login_id 또는 session_id가 이미 차단된 상태인지 확인합니다.
차단 이력이 없는 경우, 정책별 탐지 로직을 실행합니다.
정책별 탐지 로직
정적 정책
헤더 분석
에이전트에서 전송한 HTTP 헤더 값이 사전에 등록된 값과 일치하거나 포함되는 경우 탐지합니다.
- User-Agent 헤더 검사
- 비정상적인 쿠키, 커스텀 브라우저 헤더 탐지
IP 분석
요청 IP가 CIDR 형식으로 콘솔에 등록된 IP 목록에 포함될 경우 탐지합니다.
- 공용 VPN, 프록시 IP
- 공격 패턴의 주요 발신지
개발자 도구 탐지
브라우저에서 개발자 도구가 활성화된 상태일 때 클라이언트 측에서 특정 정보를 전송합니다.
- 클라이언트 에이전트 설치 필요
- 자동화 스크립트 탐지 목적
Selenium 탐지
자동화 도구(Selenium 등)가 요청한 경우 클라이언트 측에서 탐지 정보를 전달합니다.
- 클라이언트 측 라이브러리를 통한 탐지
- 브라우저 자동화 도구 식별
해외 IP 탐지
클라이언트 IP를 GeoIP 기반으로 조회 후, 도메인 설정과 다른 국가일 경우 탐지합니다.
- 불법 해외 접근 방지 목적
- 국가별 접근 제어
행위 분석 (Behavioral Detection)
복잡하고 정밀한 탐지를 위해 다양한 시간/경로/식별자 조건을 기준으로 사용자의 행동을 분석합니다.
접속 빈도 기반
| 탐지 유형 | 설명 |
|---|---|
| 특정 경로 과다 요청 | 특정 경로에 하루 N회 이상 접속 시 |
| 전체 경로 과다 요청 | 모든 경로에 하루/1분/1초 동안 N회 이상 접속 시 |
일정성 기반 (패턴 접속)
| 탐지 유형 | 설명 |
|---|---|
| 반복 접속 패턴 | 최근 N분 동안 매 분 동일 횟수로 접속 시 |
다중 식별자 기반
| 탐지 유형 | 설명 |
|---|---|
| 세션 ID - IP | 같은 session_id가 하루 동안 N개의 IP로 접속 시 |
| IP - 로그인 ID | 같은 IP에서 하루 동안 N개의 login_id로 접속 시 |
시간대 기반
| 탐지 유형 | 설명 |
|---|---|
| 허용 시간 외 접속 | 특정 경로에 대해 설정된 허용 시간 외에 N회 접속 시 |
지역 기반
| 탐지 유형 | 설명 |
|---|---|
| 다국가 접속 | 하루 동안 N개의 국가에서 동일 login_id로 접속 시 |
다중 기기 감지
| 탐지 유형 | 설명 |
|---|---|
| 동시 세션 | 같은 login_id가 1시간 동안 여러 session_id로 접속 시 |
| 경로별 다중 세션 | 특정 경로에서만 login_id가 여러 session_id로 접속 시 |
통계 기반 분석
현재 접속 중인 전체 사용자들의 평균 접속 패턴을 실시간으로 분석하여, 평균 대비 비정상적으로 높은 요청 빈도를 감지합니다.
탐지 결과 처리
정책 탐지 결과에 따라 다음과 같이 처리됩니다:
| 결과 | 설명 | 후속 처리 |
|---|---|---|
| 통과 | 정상 사용자로 판정 | 서비스 이용 허용 |
| 탐지 | 봇으로 탐지, 탐지 모드 | 로그 기록 후 서비스 이용 허용 |
| 차단 | 봇으로 탐지, 차단 모드 | 차단 응답 또는 2차 검증 |