KR20200044210A - Abnormal behavior packet detector for wireless IoT device - Google Patents

Abnormal behavior packet detector for wireless IoT device Download PDF

Info

Publication number
KR20200044210A
KR20200044210A KR1020180121081A KR20180121081A KR20200044210A KR 20200044210 A KR20200044210 A KR 20200044210A KR 1020180121081 A KR1020180121081 A KR 1020180121081A KR 20180121081 A KR20180121081 A KR 20180121081A KR 20200044210 A KR20200044210 A KR 20200044210A
Authority
KR
South Korea
Prior art keywords
packet
abnormal behavior
wireless
iot
detection
Prior art date
Application number
KR1020180121081A
Other languages
Korean (ko)
Inventor
임영찬
최기철
Original Assignee
임영찬
최기철
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 임영찬, 최기철 filed Critical 임영찬
Priority to KR1020180121081A priority Critical patent/KR20200044210A/en
Publication of KR20200044210A publication Critical patent/KR20200044210A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/40Flow control; Congestion control using split connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

According to the present invention, an abnormal behavior packet detection apparatus for wireless Internet of things (IoT) equipment comprises: a packet collection apparatus which captures all communication packets made by IoT devices in LAN and sends the communication packets to a packet analysis apparatus in real time; the packet analysis apparatus which receives packet information from the packet collection apparatus to a socket and selects data necessary for analysis with the received information; and a web application which delivers the detection result uploaded to a database (DB) in the form of json through a service API (RestAPI). The packet analysis apparatus determines whether the packet is abnormal and, if true, uploads the detection result to the DB.

Description

무선 IoT장비에 대한 이상행위 패킷탐지 장치 {Abnormal behavior packet detector for wireless IoT device}Abnormal behavior packet detector for wireless IoT device

본 발명은 무선장비에 대한 이상행위 탐지장치에 관한 것으로서, 구체적으로는 실생활과 밀접한 IoT디바이스가 공격에 노출되는 것을 방지 및 보안하는 장치로서, LAN 내에서 이뤄지는 무선 통신 패킷을 캡쳐해 이상행위 패킷을 탐지하여 DB에 업로드를 하며, 웹앱을 통해 사용자에게 피드백과 알람을 제공하는 무선 IoT장비에 대한 이상행위 패킷탐지 장치에 관한 것이다.The present invention relates to an abnormal behavior detection device for a wireless device, and specifically, as a device for preventing and securing an IoT device that is closely related to real life from being exposed to an attack, captures a wireless communication packet made in a LAN and captures the abnormal behavior packet It detects and uploads to DB, and it relates to an abnormal behavior packet detection device for wireless IoT equipment that provides feedback and alarm to users through a web app.

현대에는 모바일 디바이스의 사용이 빈번해지고 스마트 TV나 셋톱박스 등이 가정 내에 보편적으로 사용됨에 따라 대부분의 사용자 단말기들이 네트워크를 통해 서비스를 이용할 수 있는 형태로 진화하고 있다. 이에 따라, 사무실 뿐만 아니라 가정 내에서도 다양한 단말기들을 서로 연결하거나 특히 외부 인터넷 망에 연결하기 위하여 유무선 게이트웨이를 사용하고 있는 현실이다.In modern times, as mobile devices are frequently used and smart TVs or set-top boxes are commonly used in the home, most of the user terminals are evolving into a form that can use services through a network. Accordingly, it is a reality that a wired / wireless gateway is used to connect various terminals to each other or to an external Internet network not only in the office but also in the home.

최근에는 유무선 게이트웨이에 악성코드가 감염되어 연결된 단말기를 공격하는 것이 아니라, 유무선 게이트웨이 자체를 공격하고 주변 네트워크 장비(공유기, 게이트웨이 등)를 감염시키거나 사용하지 못하게 하는 형태로 공격 형태가 변화하고 있다. Recently, rather than attacking a terminal that is connected to a wired / wireless gateway due to malicious code, the attack type is changing to attack the wired / wireless gateway itself and prevent or infect or use surrounding network equipment (such as a router or gateway).

또한, 단말기에서의 공격이 아닌 유무선 게이트웨이 자체에서 외부 네트워크로 공격을 수행하도록 악성코드가 설정되는 경우도 발생하고 있다.In addition, there are cases in which malicious code is set to perform an attack from a wired / wireless gateway itself to an external network rather than an attack from a terminal.

현실적으로도, 2016년 9월 미국 미라이(Mirai)에 펌웨어를 조작하여 판매한 IoT(Internet Of Things) 제품으로 인해 미국에서는 인터넷 마비가 발생하여 전량 수거 폐기해야 하는 일이 발생하기도 하였다. 특히, 미라이 봇넷(Mirai Botnet)은 보안이 취약한 IoT 제품을 매개로 하여 다른 단말기로 DDOS(Distributed Denial Of Service) 공격을 하는 등 문제가 발생되고 있다.In reality, due to Internet of Things (IoT) products, which were sold to Mirai in the US in September 2016, Internet paralysis occurred in the United States, causing the entire collection to be discarded. In particular, Mirai Botnet is experiencing problems such as DDOS (Distributed Denial Of Service) attacks to other terminals through the weak IoT product.

그러나 현재 유무선 게이트웨이의 펌웨어에 악성코드에 대한 취약점들이 내포되어진 상황에서 유무선 게이트웨이를 통한 전송 기법에 대한 방어 분석 기술은 전무한 상태이다. 따라서 유무선 게이트웨이의 펌웨어에서 동작하여 데이터를 유출하거나 취약점을 이용한 악성코드 송수신에 대한 방어 및 분석을 원활하게 하기 위한 기술이 매우 필요한 상황이다.However, in the situation where the vulnerability of malicious code is implied in the firmware of the wired / wireless gateway, there is no defense analysis technology for the transmission method through the wired / wireless gateway. Therefore, there is a very need for technology to smoothly defend and analyze malicious code transmission / reception using data vulnerability by operating in the firmware of a wired / wireless gateway.

도 1은 종래 유무선 게이트웨이의 구성도이다.1 is a block diagram of a conventional wired / wireless gateway.

도시된 바와 같이,As shown,

유무선 게이트웨이(100)는 유선 또는 무선으로 연결된 단말기(미도시)를 외부 네트워크에 연결하여 데이터 패킷을 송수신하는 기능을 수행한다. 유무선 게이트웨이(100)에 연결되는 단말기는 스마트 폰, 태블릿 PC, 스마트워치 등의 모바일 디바이스, 스마트 TV, 셋톱박스, 노트북, 데스크탑 컴퓨터 등 네트워크에 연결되어 관련 기능을 제공할 수 있는 다양한 단말기를 포함한다. The wired / wireless gateway 100 connects a terminal (not shown) connected by wire or wirelessly to an external network to transmit and receive data packets. The terminal connected to the wired / wireless gateway 100 includes a variety of terminals connected to a network, such as a smart phone, a tablet PC, a mobile device such as a smart watch, a smart TV, a set-top box, a laptop, and a desktop computer to provide related functions. .

유무선 게이트웨이(100)는, 통신부(110), 메모리(120), 데이터 분석부(130), 상태 탐지부(140), 보안 처리부(150) 및 제1 보안정보 데이터베이스(160)를 포함한다. The wired / wireless gateway 100 includes a communication unit 110, a memory 120, a data analysis unit 130, a status detection unit 140, a security processing unit 150, and a first security information database 160.

보안 관리 서버(200)는 유무선 게이트웨이(100)와 통신 연결되며 유무선 게이트웨이와 연동하여 유무선 게이트웨이에 대한 악성 공격을 탐지 및 차단한다. 보안 관리 서버(200)는 웹 서버(210), 보안 관리부(220), 제2 보안정보 데이터베이스(230) 및 보안 정책 데이터베이스(240)를 포함한다.The security management server 200 communicates with the wired / wireless gateway 100 and detects and blocks malicious attacks on the wired / wireless gateway by interworking with the wired / wireless gateway. The security management server 200 includes a web server 210, a security management unit 220, a second security information database 230, and a security policy database 240.

보안 정보 제공 서버(300)는 시그니쳐 기반의 룰셋에 포함될 보안 정보, 즉 악성코드/악성파일의 확장자 변경에 대한 정보를 보안 관리 서버(200)에 제공한다.The security information providing server 300 provides security information to be included in the signature-based ruleset, that is, information about the extension change of the malicious code / malware file to the security management server 200.

상기와 같은 공지기술은 유무선 게이트웨이를 감염시켜 외부 네트워크를 공격하거나 유무선 게이트웨이 자체를 공격하는 악성 행위를 효과적으로 탐지 및 차단할 수 있는 기능을 가진다.The above-described known technology has a function of effectively detecting and blocking a malicious activity that infects a wired / wireless gateway and attacks an external network or attacks the wired / wireless gateway itself.

그러나 상기 종래의 기술은, IoT기기의 가격에 따라 CPU나 메모리 등 기기의 성능이 다양하여 소프트웨어의 업데이트 및 관리가 쉽지 않고 IoT 장비의 특성상 성능자체가 기존의 보안기술을 적용하기에 어려움이 있으며, IoT 통신 프로토콜의 불완전한 정의의 난립으로 인해 SSL(Secure Sockets Layer)에 과하게 의존하므로, IoT메시징 프로토콜인 MQTT의 표준에는 암호화를 포함하지 않아 솔루션에서 디바이스별로 암호화를 추가해야 하는 문제점이 있다.However, according to the price of the IoT device, the performance of devices such as CPU or memory varies depending on the price of the IoT device, so it is difficult to update and manage software, and the performance of the IoT device makes it difficult for the performance itself to apply the existing security technology. Because the IoT communication protocol relies heavily on the Secure Sockets Layer (SSL) due to incomplete definition, there is a problem in that the solution does not include encryption in the standard of the IoT messaging protocol MQTT, so that encryption must be added for each device in the solution.

공개특허공보 제10-2018-0059611호 (2018.06.05.공개)Publication Patent Publication No. 10-2018-0059611 (published on June 5, 2018)

본 발명은, IoT장비가 통신하는 과정의 무선패킷을 실시간으로 패킷수집장치에서 수집하고, 수집된 무선패킷의 정보를 패킷분석장치에 전송하며, 패킷분석장치에서는 전송된 패킷을 분석하여 이상행위를 판별함과 동시에, 이상행위라 판단된 패킷이 있을시 해당하는 패킷의 정보를 DB에 저장하고, 사용자가 접근하는 웹앱에 해당하는 침입정보를 제공하고자 함이다.The present invention collects a wireless packet in the process of IoT device communication in a packet collection device in real time, transmits the information of the collected wireless packet to the packet analysis device, and the packet analysis device analyzes the transmitted packet to perform abnormal behavior. At the same time, when there is a packet that is determined to be abnormal, the information of the corresponding packet is stored in the DB and the intrusion information corresponding to the web app accessed by the user is provided.

본 발명 무선 IoT장비에 대한 이상행위 패킷탐지 장치는, LAN내에서 이뤄지는 IoT 디바이스들이 이루는 모든 통신패킷을 캡처, 실시간으로 패킷분석장치로 보내는 패킷수집장치, 패킷수집장치로부터 소켓으로 패킷정보를 전달받으며, 전달받은 정보를 가지고 분석에 필요한 데이터를 선별하는 패킷분석장치, DB에 업로드 된 탐지 결과를 Service API(RestAPI)를 통해 json의 형식으로 전달하는 웹앱을 포함하되; 패킷분석장치는, 패킷의 이상 유무를 판별하고 참일 경우에는 탐지 결과를 DB에 업로드하는 것을 특징으로 한다.An abnormal behavior packet detection device for a wireless IoT device of the present invention receives packet information from a packet collection device, a packet collection device to a socket, capturing all communication packets formed by IoT devices in a LAN and sending it to a packet analysis device in real time. , Includes a packet analysis device that selects data necessary for analysis with the received information, and a web app that delivers detection results uploaded to the DB in the form of json through Service API (RestAPI); The packet analysis device is characterized in that it determines whether the packet is abnormal and uploads the detection result to the DB when it is true.

또한, 패킷수집장치는, 사용 중인 망의 IP대역을 파악하고 망 내에 모든 주소로 Ping을 보내며, 이를 통해 망 내에 있는 살아있는 모든 기기들과 Router의 IP Address와 MAC Address를 파악하여 저장하고, 저장한 정보를 이용하여 ARP-Spoofing을 실행하며, 이어서 ARP-Redirect MITM를 이행하는 것을 특징으로 한다.In addition, the packet collection device identifies the IP band of the network in use and sends a ping to all addresses in the network, through which the IP addresses and MAC addresses of all living devices and routers in the network are identified and stored. It is characterized by executing ARP-Spoofing using information, and then implementing ARP-Redirect MITM.

또한, 패킷분석장치는, 서비스(포트) 별로 분리된 각각의 Rule 파일의 파일 핸들 값을 보관하고, 패킷이 들어오면 해당 서비스(포트)의 파일 핸들 값을 가져와 관련된 룰을 비교함으로서, 검사 속도가 저하되는 것을 방지하는 것을 특징으로 한다.In addition, the packet analysis device stores the file handle value of each rule file separated for each service (port), and when a packet comes in, gets the file handle value of the service (port) and compares the related rules, thereby speeding up the inspection. It is characterized by preventing it from being deteriorated.

본 발명은, 실제적으로 효용성을 인정 받고 있는 보안 솔루션인 EDR 혹은 IDS의 형태를 갖추었으므로, 전문가가 아닌 일반 사용자가 다루기 어려운 보안을, 적용하기 쉬운 형태로 구현하는 효과가 있다.Since the present invention has the form of EDR or IDS, which is a security solution that is practically recognized for its effectiveness, it has an effect of implementing security that is difficult to handle by a general user who is not an expert in an easy to apply form.

도 1은 종래 유무선 게이트웨이의 구성도.
도 2는 본 발명 무선 IoT장비에 대한 이상행위 패킷탐지 장치에 적용된 패턴기반 탐지 엔진구조의 구성도.
도 3은 본 발명 무선 IoT장비에 대한 이상행위 패킷탐지 장치에 적용된 엠 UI 화면.
도 4는 본 발명 무선 IoT장비에 대한 이상행위 패킷탐지 장치에 적용된 엠 푸시 알림화면.1 is a block diagram of a conventional wired / wireless gateway.
2 is a configuration diagram of a pattern-based detection engine structure applied to an abnormal behavior packet detection device for a wireless IoT device of the present invention.
3 is an M UI screen applied to an abnormal behavior packet detection device for a wireless IoT device of the present invention.
4 is an M push notification screen applied to an abnormal behavior packet detection device for a wireless IoT device of the present invention.

본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 상세히 설명한다. 참고로, 본 발명을 설명하는데 참조하는 도면에 도시된 구성요소의 크기, 선의 두께 등은 이해의 편의상 다소 과장되게 표현되어 있을 수 있다. A preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings. For reference, the size of a component, the thickness of a line, and the like shown in the drawings referred to in describing the present invention may be expressed somewhat exaggerated for convenience of understanding.

또, 본 발명의 설명에 사용되는 용어들은 본 발명에서의 기능을 고려하여 정의한 것이므로 사용자, 운용자 의도, 관례 등에 따라 달라질 수 있다. 따라서, 이 용어에 대한 정의는 본 명세서의 전반에 걸친 내용을 토대로 내리는 것이 마땅하다.In addition, the terms used in the description of the present invention are defined in consideration of functions in the present invention, and thus may vary according to a user, an operator's intention, and customs. Therefore, it is reasonable to define the terminology based on the contents of the present specification.

그리고 본 출원에서, '포함하다', '가지다' 등의 용어는 명세서 상에 기재된 특정의 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지칭하는 것이지, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.And, in the present application, the terms 'include', 'have', etc., refer to the existence of a specific number, step, operation, component, part, or a combination thereof described in the specification, and one or more other It should be understood that features or numbers, steps, actions, components, parts, or combinations thereof are not excluded in advance.

또한, 본 발명은 이하에서 개시되는 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시 예는 본 발명의 개시가 완전하도록 하며, 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다.In addition, the present invention is not limited to the embodiments disclosed below, but will be implemented in various different forms, and only the present embodiments make the disclosure of the present invention complete, and the scope of the invention to those skilled in the art. It is provided to inform you completely.

그러므로, 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 구현 예(態樣, aspect)(또는 실시 예)들을 명세서에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 기술적 사상에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 하고, 본 명세서에서 사용한 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. Therefore, the present invention can be applied to various changes and may have various forms, and thus, an implementation example (態 樣, aspect) (or an embodiment) will be described in detail in the specification. However, this is not intended to limit the present invention to a specific disclosure form, and it should be understood that all modifications, equivalents, and substitutes included in the technical spirit of the present invention are included, and the expressions of the singular numbers used herein are clearly different in context. Unless you mean it, include plural expressions.

다만, 본 발명을 설명함에 있어서, 주지 또는 공지된 기능 혹은 구성에 대한 구체적인 설명은 본 발명의 요지를 명료하게 하기 위하여 생략하기로 한다.However, in describing the present invention, detailed descriptions of well-known or well-known functions or configurations will be omitted to clarify the gist of the present invention.

이하에서 본 발명의 구체적인 실시 예를 도면을 참고하여 설명한다.Hereinafter, specific embodiments of the present invention will be described with reference to the drawings.

도 2는 본 발명 무선 IoT장비에 대한 이상행위 패킷탐지 장치에 적용된 패턴기반 탐지 엔진구조의 구성도, 도 3은 본 발명 무선 IoT장비에 대한 이상행위 패킷탐지 장치에 적용된 엠 UI 화면, 도 4는 본 발명 무선 IoT장비에 대한 이상행위 패킷탐지 장치에 적용된 엠 푸시 알림화면이다.2 is a configuration diagram of a pattern-based detection engine structure applied to an abnormal behavior packet detection device for a wireless IoT device of the present invention, FIG. 3 is an M UI screen applied to an abnormal behavior packet detection device for a wireless IoT device of the present invention, and FIG. 4 is The present invention is an M push notification screen applied to an abnormal behavior packet detection device for a wireless IoT device.

도시된 바와 같이 무선 IoT장비에 대한 이상행위 패킷탐지 장치는, 패킷수집장치, 패킷분석장치, 웹앱으로 구분된다.As illustrated, an abnormal behavior packet detection device for a wireless IoT device is classified into a packet collection device, a packet analysis device, and a web app.

패킷수집장치는, LAN내에서 이뤄지는 IoT 디바이스들이 이루는 모든 통신패킷을 캡쳐, 실시간으로 패킷분석장치로 보내는 것이다. The packet collection device captures all communication packets formed by IoT devices in the LAN and sends them to the packet analysis device in real time.

패킷은 각 장비에 송수신될 때에 OSI Layer 2계층 환경에서 MAC주소를 이용한다. The packet uses the MAC address in the OSI Layer 2 layer environment when it is transmitted and received to each device.

또한, 자신과 관련 없는 패킷은 수신하지 않음으로써 네트워크 효율을 증대시킨다. 패킷수집장치는 LAN에 존재하는 모든 IoT 장치와 이뤄지는 무선통신의 패킷을 캡쳐해야 하므로, ARP-Redirect MITM(중간자 공격)을 통해 패킷수집장치의 MAC주소를 Router의 MAC주소로 Spoofing하여 Router와 통신하는 장비의 패킷을 캡처할 수 있다.Also, it increases network efficiency by not receiving packets that are not related to it. Since the packet collecting device needs to capture the packets of wireless communication that is made with all IoT devices in the LAN, the MAC address of the packet collecting device is spoofed to the MAC address of the router through ARP-Redirect MITM (man-in-the-middle attack) to communicate with the router. You can capture packets of equipment.

동작하는 방식은 패킷수집장치가 특정 LAN내에 자리를 잡게 되면 사용 중인 망의 IP대역을 파악하고 망 내에 모든 주소로 Ping을 보낸다. The method of operation is that when the packet collection device is located within a specific LAN, it identifies the IP band of the network in use and sends a ping to all addresses in the network.

이를 통해 망 내에 있는 살아있는 모든 기기들과 Router의 IP Address와 MAC Address를 파악하여 저장하게 된다. Through this, all living devices in the network and the IP address and MAC address of the router are identified and stored.

저장한 정보를 이용하여 ARP-Spoofing을 실행하며 ARP-Redirect MITM를 이행한다. ARP-Spoofing is executed using the stored information and ARP-Redirect MITM is implemented.

이러한 과정을 통해 패킷을 수집한다. Packets are collected through this process.

수집 툴로는 Scapy라는 프로그램을 사용하며, Scapy는 양방향 패킷 조작 프로그램으로 다양한 프로토콜을 패킷을 위조, 해독, 전송, 캡처, 요청 및 응답을 일치시키는 등의 작업을 이행할 수 있다. As a collection tool, a program called Scapy is used, and Scapy is a bidirectional packet manipulation program that can perform various protocols such as forgery, decryption, transmission, capture, matching request, and response.

또한 ARP-Redirect MITM와 패킷의 캡처를 위해 관련된 기능을 하는 모듈이다.It is also a module that functions related to ARP-Redirect MITM and packet capture.

패킷수집장치는 이러한 환경이 조성된 뒤에 장치를 통과하는 패킷을 Sniffing(패킷 도청) 한다. The packet collecting device sniffs packets passing through the device after such an environment is created.

그리고 Scapy가 제공하는 Sniff 함수를 통해 패킷을 도청해 내용을 추출하여 출력하고 그 내용을 패킷 분석 장비로 송신한다. 송신하는 방식은 소켓통신으로 두 장치는 패킷에 관한 데이터를 송수신을 하도록 한다. 패킷분석장치는 수신된 내용을 가지고 패턴기반 탐지를 시작한다. Then, by tapping the packet through the Sniff function provided by Scapy, the contents are extracted and output, and the contents are transmitted to the packet analysis equipment. The method of transmission is socket communication, so that both devices transmit and receive data regarding packets. The packet analysis device starts pattern-based detection with the received content.

패킷분석장치는, 패킷수집장치로부터 소켓으로 패킷정보를 전달받는다. The packet analysis device receives packet information from the packet collection device to the socket.

전달받은 정보를 가지고 분석에 필요한 데이터를 선별한다. Based on the received information, data necessary for analysis is selected.

선별한 데이터를 가지고 패턴탐지의 조건을 만족시키는지 비교하고 특별한 패턴을 보이는 패킷을 선별한다. Using the selected data, compare whether the conditions of pattern detection are satisfied, and select packets that show special patterns.

선별된 데이터는 DB에 저장이 된다. Selected data is stored in DB.

DB에 저장된 내용을 웹앱에서 시각화하여 출력함으로서 사용자가 데이터를 쉽게 확인할 수 있게 한다. By visualizing and outputting the contents stored in the DB in the web app, the user can easily check the data.

동작되는 형태는 서비스(포트) 별로 분리된 각각의 Rule 파일의 파일 핸들 값을 보관하고 패킷이 들어오면 해당 서비스(포트)의 파일 핸들 값을 가져와 관련된 룰을 비교함으로서 검사 속도가 저하되는 것을 방지한다. The operation type is to keep the file handle value of each rule file separated for each service (port), and when a packet comes in, get the file handle value of the service (port) and compare the related rules to prevent the inspection speed from being reduced. .

서비스(포트)의 구분은 0~65535번까지의 포트번호 또는 ssh, ftp, icmp와 같은 서비스 이름으로 구분한다. Service (port) is classified by port number from 0 to 65535 or service name such as ssh, ftp, icmp.

서비스(포트)에 따라 Rule을 읽어 탐색을 시작하며 주어진 Offset값과 옵션을 먼저 확인하고 해당사항이 없는 경우 패턴 비교를 시작한다. According to the service (port), the rule is read and the search is started. The given offset value and option are checked first, and if not applicable, pattern comparison is started.

Offset값의 경우 패턴이 나타나는 위치를 지정하는 값이며 옵션은 패턴을 탐지하는데 도움이 되는 기능들을 지정하는 값이다. In the case of the offset value, it is a value that designates the location where the pattern appears, and the option is a value that specifies functions that help to detect the pattern.

패킷의 목적지 포트를 비교하여 서비스(포트)에 맞는 Rule이 존재하는지 확인 후 없으면 다음 패킷을 기다린다. icmp와 같이 포트번호가 없는 프로토콜의 경우 탐지하는 방법이 포트 번호가 없다는 것을 제외하면 일반적인 탐지 방법과 같다. After comparing the destination port of the packet and checking whether a rule matching the service (port) exists, wait for the next packet. For protocols without a port number, such as icmp, the detection method is the same as a general detection method, except that there is no port number.

패킷의 이상 유무를 판별하고 참일 경우에는 탐지 결과를 DB에 업로드한다.It determines whether the packet is abnormal or not, and if it is true, uploads the detection result to the DB.

웹앱은, DB에 업로드된 탐지 결과는 Service API(RestAPI)를 통해 json의 형식으로 전달이 된다. In the web app, the detection result uploaded to the DB is delivered in the form of json through Service API (RestAPI).

웹앱을 통해 접근이 가능하며 전달받은 값은 HTML과 JavaScript로 구성된 웹으로 파싱되어 출력된다. It can be accessed through a web app and the received value is parsed and output to the web composed of HTML and JavaScript.

또한 웹앱에는 Push기능이 있어 주기적으로 확인하지 않더라도 사용자에게 자동적으로 패킷탐지에 대한 알람이 간다.In addition, the web app has a push function, so even if it is not checked periodically, the user automatically receives an alarm for packet detection.

이상과 같은 구성을 가지는 본 발명 무선 IoT장비에 대한 이상행위 패킷탐지 장치는, 실제적으로 효용성을 인정 받고 있는 보안 솔루션인 EDR 혹은 IDS의 형태를 갖추었으므로, 전문가가 아닌 일반 사용자가 다루기 어려운 보안을 적용하기 쉬운 형태로 구현하는 효과가 있다.The packet detecting device for anomalous behavior for the wireless IoT device of the present invention having the above-described configuration has a form of EDR or IDS, which is a security solution that is recognized for its practical use, and thus provides security that is difficult for general users who are not experts to handle. It has the effect of implementing in an easy-to-apply form.

Claims (3)

LAN내에서 이뤄지는 IoT 디바이스들이 이루는 모든 통신패킷을 캡쳐, 실시간으로 패킷분석장치로 보내는 패킷수집장치,
패킷수집장치로부터 소켓으로 패킷정보를 전달받으며, 전달받은 정보를 가지고 분석에 필요한 데이터를 선별하는 패킷분석장치,
DB에 업로드된 탐지 결과를 Service API(RestAPI)를 통해 json의 형식으로 전달하는 웹앱을 포함하되;
패킷분석장치는, 패킷의 이상 유무를 판별하고 참일 경우에는 탐지 결과를 DB에 업로드하는 것을 특징으로 하는 무선 IoT장비에 대한 이상행위 패킷탐지 장치.A packet collection device that captures all the communication packets made by IoT devices in the LAN and sends them to the packet analysis device in real time,
A packet analysis device that receives packet information from a packet collection device to a socket and selects data necessary for analysis with the received information.
Includes a web app that delivers the detection results uploaded to the DB in the form of json through Service API (RestAPI);
The packet analysis device determines whether the packet is abnormal and, if true, detects an abnormal behavior packet for the wireless IoT device, uploading the detection result to the DB. 청구항 제1항에 있어서,
패킷수집장치는,
사용 중인 망의 IP대역을 파악하고 망 내에 모든 주소로 Ping을 보내며, 이를 통해 망 내에 있는 살아있는 모든 기기들과 Router의 IP Address와 MAC Address를 파악하여 저장하고, 저장한 정보를 이용하여 ARP-Spoofing을 실행하며, 이어서 ARP-Redirect MITM를 이행하는 것을 특징으로 하는 무선 IoT장비에 대한 이상행위 패킷탐지 장치.The method according to claim 1,
The packet collecting device,
It identifies the IP band of the network in use and sends a ping to all addresses in the network. Through this, it identifies and stores the IP addresses and MAC addresses of all the devices and routers in the network, and uses the stored information to ARP-Spoofing. An abnormal behavior packet detection device for a wireless IoT device, characterized in that it implements ARP-Redirect MITM. 청구항 제2항에 있어서,
패킷분석장치는,
서비스(포트) 별로 분리된 각각의 Rule 파일의 파일 핸들 값을 보관하고, 패킷이 들어오면 해당 서비스(포트)의 파일 핸들 값을 가져와 관련된 룰을 비교함으로서, 검사 속도가 저하되는 것을 방지하는 것을 특징으로 하는 무선 IoT장비에 대한 이상행위 패킷탐지 장치.The method according to claim 2,
The packet analysis device,
It keeps the file handle value of each rule file separated for each service (port), and when the packet comes in, it gets the file handle value of the corresponding service (port) and compares the related rules to prevent the inspection speed from being reduced. An abnormal behavior packet detection device for wireless IoT equipment.
KR1020180121081A 2018-10-11 2018-10-11 Abnormal behavior packet detector for wireless IoT device KR20200044210A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180121081A KR20200044210A (en) 2018-10-11 2018-10-11 Abnormal behavior packet detector for wireless IoT device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180121081A KR20200044210A (en) 2018-10-11 2018-10-11 Abnormal behavior packet detector for wireless IoT device

Publications (1)

Publication Number Publication Date
KR20200044210A true KR20200044210A (en) 2020-04-29

Family

ID=70466559

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180121081A KR20200044210A (en) 2018-10-11 2018-10-11 Abnormal behavior packet detector for wireless IoT device

Country Status (1)

Country Link
KR (1) KR20200044210A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113190232A (en) * 2021-04-13 2021-07-30 浙江吉利控股集团有限公司 Data analysis method, device and storage medium

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180059611A (en) 2016-11-25 2018-06-05 (주)휴네시온 Wire and wireless gateway for detecting malignant action autonomously based on signature and method thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180059611A (en) 2016-11-25 2018-06-05 (주)휴네시온 Wire and wireless gateway for detecting malignant action autonomously based on signature and method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113190232A (en) * 2021-04-13 2021-07-30 浙江吉利控股集团有限公司 Data analysis method, device and storage medium

Similar Documents

Publication Publication Date Title
US9787700B1 (en) System and method for offloading packet processing and static analysis operations
Hoque et al. Network attacks: Taxonomy, tools and systems
Verba et al. Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS)
JP6014280B2 (en) Information processing apparatus, method, and program
US7536723B1 (en) Automated method and system for monitoring local area computer networks for unauthorized wireless access
US7216365B2 (en) Automated sniffer apparatus and method for wireless local area network security
Ndatinya et al. Network forensics analysis using Wireshark
US8707440B2 (en) System and method for passively identifying encrypted and interactive network sessions
KR101424490B1 (en) Reverse access detecting system and method based on latency
US7574741B2 (en) Method and system for preventing operating system detection
WO2014119669A1 (en) Log analysis device, information processing method and program
US20240048578A1 (en) Behavior based profiling
US10257213B2 (en) Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program
KR102244036B1 (en) Method for Classifying Network Asset Using Network Flow data and Method for Detecting Threat to the Network Asset Classified by the Same Method
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
Agrawal et al. Wireless rogue access point detection using shadow honeynet
Pavithirakini et al. Improve the Capabilities of Wireshark as a tool for Intrusion Detection in DOS Attacks
Wibowo et al. Smart Home Security Analysis Using Arduino Based Virtual Private Network
KR20200044210A (en) Abnormal behavior packet detector for wireless IoT device
Patel et al. A Snort-based secure edge router for smart home
Zeng Intrusion detection system of ipv6 based on protocol analysis
Bhuyan et al. Practical tools for attackers and defenders
CN112003839B (en) Equipment anti-identity recognition method and device, electronic device and storage medium
FIROJ DESIGN & IMPLEMENTATION OF LAYERED SIGNATURE BASED INTRUSION DETECTION SYSTEM USING SNORT
Craveiro et al. A Framework for Improved Home Network Security