접속 통계
접속 통계는 전체 접속 요청의 결과를 다양한 관점에서 분석하여 봇 공격 현황을 파악할 수 있게 합니다.
개요
접속 통계 화면에서는 다음 정보를 확인할 수 있습니다:
- 접속 요청 결과 비교 (차단/탐지/통과)
- 봇 접속 페이지 Top 10
- 봇 접속 IP Top 10
- 봇 공격 추이 차트
조회 기간 설정
상단에서 조회 기간을 설정할 수 있습니다:
| 설정 | 설명 |
|---|---|
| 시작 일시 | 조회 시작 시간 |
| 종료 일시 | 조회 종료 시간 |
접속 요청 결과 비교
총 접속 요청
조회 기간 동안의 총 접속 요청 건수와 결과별 분포를 표시합니다. 접속 통계는 모든 요청을 차단, 탐지, 통과 세 가지 결과로 분류하여 전체적인 봇 공격 현황을 한눈에 파악할 수 있게 합니다.
접속 요청 결과 의미
| 결과 | 설명 | 동작 모드 |
|---|---|---|
| 차단 | 정책에 의해 차단된 요청 건수 | 정책이 차단 모드로 설정된 경우, 봇으로 판정된 요청이 차단됩니다. 차단된 요청은 서버에 도달하지 않습니다. |
| 탐지 | 봇으로 탐지되었으나 통과된 요청 건수 | 정책이 탐지 모드로 설정된 경우, 봇으로 판정된 요청이 로그에만 기록되고 통과됩니다. 모니터링 목적으로 사용됩니다. |
| 통과 | 정상으로 판정된 요청 건수 | 봇 탐지 정책을 통과한 정상 사용자의 요청입니다. |
데이터 해석 가이드
접속 요청 결과를 통해 봇 공격 규모와 정책 효과를 평가할 수 있습니다.
| 상황 | 해석 | 권장 조치 |
|---|---|---|
| 차단 비율 높음 (20% 이상) | 활발한 봇 공격이 진행 중이며 정책이 효과적으로 차단하고 있음 | 정책 유지, 모니터링 강화, 봇 유형 통계에서 주요 공격 유형 확인 |
| 탐지만 많고 차단 없음 | 모든 정책이 탐지 모드로 운영 중 | 정책 설정에서 주요 정책의 차단 모드 전환 검토 |
| 통과 비율 매우 높음 (90% 이상) | 봇 공격이 적거나 정책이 충분히 활성화되지 않음 | 정책 활성화 상태 점검, 봇 유형 통계와 비교하여 탐지 누락 확인 |
| 차단 + 탐지 비율 급증 | 새로운 공격 패턴 발생 가능성 | 봇 접속 IP Top 10과 봇 접속 페이지 Top 10 확인하여 공격 패턴 분석 |
접속 통계의 특징
접속 통계는 전체 요청의 흐름을 시간, 페이지, IP 관점에서 분석합니다. 이는 봇 유형 통계가 공격 유형별 분류에 집중하는 것과 차별화됩니다.
봇 접속 페이지 Top 10
봇이 가장 많이 접속한 페이지 상위 10개를 표시합니다.
| 순위 | 페이지 | 접속 건수 |
|---|---|---|
| 1 | /api/products | 1,234 |
| 2 | /api/users | 987 |
| 3 | /login | 765 |
| ... | ... | ... |
활용 방법
분석 포인트:
- 특정 페이지에 봇 접속이 집중되는지 확인
- 이벤트/프로모션 페이지 공격 여부 파악
- API 엔드포인트 공격 패턴 분석
봇 접속 IP Top 10
봇 접속이 가장 많은 IP 주소 상위 10개를 표시합니다.
| 순위 | IP | 접속 건수 |
|---|---|---|
| 1 | 203.0.113.xxx | 5,678 |
| 2 | 198.51.100.xxx | 4,321 |
| 3 | 192.0.2.xxx | 3,210 |
| ... | ... | ... |
활용 방법
분석 포인트:
- 반복적으로 상위에 노출되는 IP 식별
- 데이터센터/클라우드 IP 대역 확인
- 악성 IP 목록 등록 검토
봇 공격 추이
시간대별 봇 공격 추이를 차트로 표시합니다.
차트 구성
시간대별 봇 공격 추이 예시:
| 시간대 | 공격 건수 |
|---|---|
| 00:00 | 100 |
| 04:00 | 150 |
| 08:00 | 800 |
| 12:00 | 600 |
| 16:00 | 450 |
| 20:00 | 200 |
| 항목 | 설명 |
|---|---|
| 최고치 | 조회 기간 내 최대 공격 건수 및 시간 |
| 최저치 | 조회 기간 내 최소 공격 건수 및 시간 |
활용 방법
분석 포인트:
- 공격 피크 시간대 파악
- 업무 시간 vs 비업무 시간 공격 패턴
- 특정 이벤트와 공격 연관성 분석
통계 데이터 상세
접속 요청 통계 구조
주요 지표
| 지표 | 계산 방식 | 의미 |
|---|---|---|
| 봇 비율 | (차단 + 탐지) / 총 요청 | 봇으로 판정된 비율 |
| 차단율 | 차단 / (차단 + 탐지) | 차단 모드 적용 비율 |
| 피크 시간 | 최대 요청 시간 | 공격 집중 시간 |
활용 시나리오
시나리오 1: 일일 모니터링 루틴
목표: 매일 봇 공격 현황을 빠르게 파악하고 이상 징후 감지
절차:
- 전일 00:00 ~ 23:59 기간으로 조회 기간 설정
- 접속 요청 결과 비교에서 차단/탐지 비율 확인
- 평소 대비 급증 시 → 봇 공격 추이에서 피크 시간 확인
- 비율이 정상 범위 내 → 일일 모니터링 완료
- 봇 접속 IP Top 10에서 반복적으로 상위에 노출되는 IP 확인
- 동일 IP가 3일 이상 상위 → 악성 IP 목록 등록 검토
- 이상 수치 발견 시 → 봇 유형 통계에서 공격 유형 확인
시나리오 2: 이벤트/프로모션 기간 집중 모니터링
목표: 특정 기간 동안 집중되는 봇 공격을 실시간으로 감지하고 대응
절차:
- 이벤트 시작 일시 ~ 종료 일시로 조회 기간 설정
- 봇 접속 페이지 Top 10에서 이벤트 관련 페이지 확인
- 이벤트 페이지가 상위에 노출 → 해당 페이지에 대한 정책 강화 검토
- 예:
/event/promotion페이지 → 특정 경로 과다 직접 요청 정책 활성화
- 봇 공격 추이에서 공격 패턴 분석
- 이벤트 시작 직후 급증 → 예상된 트래픽으로 판단
- 비정상적인 시간대에 급증 → 추가 조사 필요
- 봇 접속 IP Top 10에서 분산 공격 여부 확인
- 다양한 IP에서 소량씩 공격 → 분산 봇 공격 의심
- 특정 IP에서 집중 공격 → 해당 IP 차단 검토
시나리오 3: 특정 페이지/API 엔드포인트 보호 강화
목표: 중요한 페이지나 API에 대한 봇 공격을 식별하고 보호 수준 강화
절차:
- 최근 7일간 조회 기간 설정
- 봇 접속 페이지 Top 10에서 보호가 필요한 페이지 확인
- 예:
/api/users,/api/products등 API 엔드포인트
- 예:
- 해당 페이지의 접속 패턴 분석
- 봇 공격 추이에서 해당 페이지의 공격 시간대 확인
- 봇 접속 IP Top 10에서 해당 페이지를 공격하는 IP 확인
- 보호 조치 적용
- 특정 경로 과다 직접 요청 정책 활성화
- 반복 공격 IP는 악성 IP 목록에 등록
- 조치 후 모니터링
- 다음날 동일 기간으로 재조회하여 효과 확인
시나리오 4: 의심 IP 상세 분석 및 대응
목표: 반복적으로 공격하는 IP를 식별하고 적절한 조치 결정
절차:
- 봇 접속 IP Top 10에서 분석 대상 IP 식별
- 3일 이상 상위에 노출되는 IP
- 건수가 비정상적으로 높은 IP
- IP 상세 정보 확인
- IP 주소 전체 확인 (마스킹 해제)
- 데이터센터/클라우드 IP인지 확인 (예: AWS, GCP, Azure)
- 접속 패턴 분석
- 봇 공격 추이에서 해당 IP의 공격 시간대 확인
- 봇 접속 페이지 Top 10에서 해당 IP가 주로 공격하는 페이지 확인
- 조치 결정