KR100628325B1 - 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 - Google Patents

무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 Download PDF

Info

Publication number
KR100628325B1
KR100628325B1 KR1020040108999A KR20040108999A KR100628325B1 KR 100628325 B1 KR100628325 B1 KR 100628325B1 KR 1020040108999 A KR1020040108999 A KR 1020040108999A KR 20040108999 A KR20040108999 A KR 20040108999A KR 100628325 B1 KR100628325 B1 KR 100628325B1
Authority
KR
South Korea
Prior art keywords
access point
intrusion detection
wireless
detection sensor
attack
Prior art date
Application number
KR1020040108999A
Other languages
English (en)
Other versions
KR20060070309A (ko
Inventor
이석준
오경희
김신효
함영환
정병호
정교일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040108999A priority Critical patent/KR100628325B1/ko
Priority to US11/289,224 priority patent/US7640585B2/en
Publication of KR20060070309A publication Critical patent/KR20060070309A/ko
Application granted granted Critical
Publication of KR100628325B1 publication Critical patent/KR100628325B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Abstract

하나 이상의 무선 단말기에 무선 통신을 제공하는 무선 네트워크의 침입 탐지 시스템 및 방법 및 무선 네트워크의 공격을 탐지할 수 있는 침입 탐지 센서가 제공된다. 무선 네트워크 침입 탐지 시스템은, 무선 단말기에 무선 통신을 제공하는 액세스 포인트 및 액세스 포인트 및 무선 단말기 간에 송수신되는 패킷을 소정의 탐지룰에 따라 검사하는 침입 탐지 센서를 포함한다. 액세스 포인트는, 액세스 포인트 및 무선 단말기 간의 무선 회선의 연결 여부에 대한 치명적인 정보를 포함하는 이벤트 패킷을 송신하였는지 여부에 대한 확인 정보를 침입 탐지 센서에 송신하고, 침입 탐지 센서는 확인 정보를 이용하여 이벤트 패킷을 검사한다. 본 발명에 의하여 무선 네트워크 상에서 발생되는 다양한 공격을 효과적으로 탐지하며, 체계적으로 관리할 수 있다.

Description

무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지 센서 및 무선 네트워크 침입 탐지 시스템 및 방법{Intrusion detection sensor detecting attacks against wireless network and system and method for detecting wireless network intrusion}
도 1은 종래 기술에 의한 무선 네트워크에서 발생하는 2계층 서비스 거부 공격을 설명하기 위한 도면이다.
도 2는 종래 기술에 의한 무선 네트워크에서 발생하는 ARP 포이즈닝(ARP poisoning) 공격을 설명하기 위한 도면이다.
도 3은 본 발명의 일면에 따르는 무선 네트워크 침입 탐지 시스템을 나타내는 도면이다.
도 4는 본 발명의 일면에 따르는 무선 네트워크 침입 탐지 시스템에서 동작하는 액세스 포인트의 동작을 설명하는 블록도이다.
도 5는 본 발명의 다른 면에 따르는 무선 네트워크 침입 탐지 시스템에서 동작하는 침입 탐지 센서의 동작을 설명하는 블록도이다.
도 6은 본 발명의 일면에 따른 무선 네트워크 침입 탐지 시스템에서 동작하는 무선 보안 관리 서버의 동작을 설명하는 블록도이다.
도 7은 본 발명의 또다른 면에 따른 무선 네트워크 침입 탐지 방법을 설명하 는 도면이다.
도 8은 본 발명의 일면에 따른 무선 네트워크 침입 탐지 시스템에 포함되는 액세스 포인트, 침입 탐지 센서 및 무선 보안 관리 서버 간에 송수신되는 프로토콜 패킷의 구성을 나타내는 도면이다.
도 9는 본 발명의 일면에 따른 무선 네트워크 침입 탐지 시스템에 포함되는 액세스 포인트 및 침입 탐지 센서간에 송수신되는 프로토콜 패킷의 구성을 나타내는 도면이다.
본 발명은 무선 네트워크에 관한 것으로서, 특히, 본 발명은 공중망 무선랜 혹은 기업용 무선랜 네트워크에서 이루어질 수 있는 다양한 형태의 침입, 2계층 서비스 거부 공격, 불량 액세스 포인트를 탐지하는 기능을 포함하는 침입 탐지 센서 및 그 침입 탐지 방법에 관한 것이다.
유선으로 구성된 인터넷은 전세계 어디에서나 TCP/IP 프로토콜이라는 공통 기술을 통해 상대방의 컴퓨터에 손쉽게 접근할 수 있도록 함으로써 데이터의 교환이 용이하게 하고, 이를 활용하여 파일 교환, 웹 서비스, 온라인 게임 등 다양한 형태의 응용이 가능하다. 이러한 인터넷의 장점은 무선 네트워크의 상용화에 의하여 극대화된다.
현재 무선 네트워크에 사용되는 대부분의 제품들은 IEEE에서 제정한 IEEE 802.11b 규격을 따른다. IEEE 802.11b 규격의 무선랜 제품은 2.4GHz 대역의 주파수를 사용하며 DSSS(Direct Sequence Spread Spectrum) 방식을 물리 계층(PHY)에서 채택하고 있다. 데이터 링크 계층에서의 프로토콜은 IEEE 802.11을 따르고 있으며 인증 및 보안 규격 역시 IEEE 802.11 규격을 따르고 있다. 최근에 소개되는 IEEE 802.11a 규격의 제품 혹은 IEEE 802.11g 규격의 제품 역시 물리 계층만 다를 뿐 데이터 링크 계층에서의 프로토콜은 IEEE 802.11과 동일하다. IEEE 802.11a 규격은 5.2GHz 혹은 5.8GHz 대역의 주파수를 사용하고 있으며 OFDM(Orthogonal Frequency Division Multiplexing) 방식을 물리 계층에서 채택하고 있으며 IEEE 802.11g의 경우 2.4GHz 대역에서 OFDM 방식을 채택하고 있다.
무선랜은 크게 두 가지 콤포넌트로 구성된다. 하나는 액세스 포인트(Access Point, 이하 AP)이고 하나는 무선랜 네트워크 어댑터(Wireless Network Interface Card, 이하 WNIC)이다. 액세스 포인트는 유선 네트워크에 접속되어 무선 사용자들의 트래픽을 중계하는 역할을 담당하는 장비이고 WNIC은 무선 단말기에서 액세스 포인트로 접속하기 위한 네트워크 인터페이스를 담당하는 장비이다.
그런데, 이와 같은 유선 및 무선 네트워크의 발달을 악용하여 상대방의 정보를 악의적으로 활용하거나 파괴함으로써 이득을 얻으려는 사람들이 있으며, 이들은 TCP/IP 프로토콜 혹은 그 상위 프로토콜의 약점을 이용하여 그 목적을 달성하고자 하였다. 이러한 예로, 각종 바이러스, 트로이 목마, 웹 서버에 대한 분산 서비스 거부 공격 등이 존재하고 있다. 그리하여, 이들 공격에 대해 자신의 서브 네트워크 혹은 호스트 컴퓨터를 방어하기 위한 방화벽, 침입 탐지 시스템, 침입 방지 시 스템 등의 보안 시스템들이 출현하게 되었고, 각 회사의 네트워크 관리자는 이들을 이용하여 내외부에서 이루어지는 네트워크 흐름을 감시하고 각종 공격에 대비한다.
그런데, 네트워크 보안 문제는 유선 네트워크의 경우에 비하여 무선 네트워크의 경우에 훨씬 심각하다. 그 이유는 종래의 기업용 네트워크 혹은 인터넷 접속은 모두 유선으로만 이뤄져 있어 물리적으로 침투 위치를 확보해야만 하는 문제가 있었으나 무선랜의 경우 전파가 도달 가능한 거리에 있는 경우 어디에서든지 스니핑(sniffing)과 침투 공격이 가능하기 때문이다. 또한, 무선랜에는 암호화 및 인증이 불가능한 패킷이 존재하며, 이는 얼마든지 위조가 가능하다. 이러한 패킷에는 802.11 관리 프레임, 그리고 인증이 이루어지기 전까지의 EAPOL(EAP on LAN) 패킷이 있다. 또한, 인증된 사용자로부터의 공격도 가능하다. 따라서, 무선 네트워크에는 기존 인터넷 접속 망에 적용되는 보안 정책을 적용하기가 쉽지 않다.
이러한 무선 네트워크의 보안을 보장하기 위하여 사용자 인증을 통한 접속 제어 규격인 IEEE 802.1x, 무선상의 기밀성과 무결성을 보장하기 위한 WPA(Wi-Fi Protected Access), IEEE 802.11i와 같은 규격이 존재하지만, 그럼에도 불구하고 기존의 유선에서 활용하는 침입 탐지 시스템 등이 탐지하기 어려운 새로운 형태의 공격이 등장하기 시작하였다. 이러한 공격의 몇 가지를 예를 들면 다음과 같다.
도 1은 종래 기술에 의한 무선 네트워크에서 발생하는 2계층 서비스 거부 공격을 설명하기 위한 도면이다.
도 1에서 정상 단말(120)은 무선랜 액세스 포인트(110)와 정상적으로 연결이 맺어진 상태에 있다. 이 때 공격자(130)가 나타나 무선상의 패킷을 분석하여 현재 연결되어 있는 정상 단말(120)과 액세스 포인트(110)의 MAC 주소를 알아낸 후, 802.11 관리 프레임중 연결을 종료하게 만드는 메시지인 단절(disassociation) 메시지를 위조하여, 액세스 포인트(110)가 정상 단말(120)에게 보내는 것처럼 정상 단말(120)에게 보내면 정상 단말(120)은 연결이 끊어지게 되며, 이 메시지를 계속 받는 경우 이 단말은 액세스 포인트(110)와 연결을 할 수 없게 된다.
도 2는 종래 기술에 의한 무선 네트워크에서 발생하는 ARP 포이즈닝(ARP poisoning) 공격을 설명하기 위한 도면이다.
도 2에서 제1 정상 단말(220)과 제2 정상 단말(230), 그리고 공격자(240)는 정상적으로 인증을 받아 무선랜 액세스 포인트(210)에 연결이 맺어진 상태에 있다. 공격자(240)는 제1 정상 단말(220)이 ARP 요구 메시지를 보내지 않았음에도 (제2 정상 단말의 IP 주소, 공격자의 MAC 주소) 쌍으로 이루어진 ARP 응답 메시지를 보낸다. 제1 정상 단말(220)이 제2 정상 단말(230)에게 전송하고자 하는 TCP/IP 데이터가 있는 경우, 자신의 주소 테이블을 참조하여 공격자의 MAC 주소를 제2 정상 단말(230)의 IP 주소에 대응하는 MAC주소로 착각하고, 공격자(240)에게 그 데이터를 전송하게 된다. 무선상의 데이터를 암호화하지 않는 경우는 어차피 공격자(240)가 직접 무선상의 데이터를 모니터링 하여 제1 정상 단말(220)이 제2 정상 단말(230)에게 보내는 데이터들을 모두 알아낼 수 있지만, WPA 혹은 IEEE 802.11i와 같은 규격이 적용된 무선랜 네트워크에서 동적 키 할당에 의한 무선상의 데이터 암호화가 이루어지는 경우에는 그렇지 못하다. 따라서, 도 2와 같은 방식으로 이루어지는 ARP 포이즈닝 공격을 통해 이같이 다른 단말에게 보낼 데이터를 중간에서 보고, 수정하는 것이 가능하다.
도 1에서 이루어지는 2계층 서비스 거부 공격은 유선 침입 탐지 시스템이 일반적으로 3계층 이상의 프레임만을 분석하는 특성으로 인하여 탐지가 불가능하며, 도 2의 무선랜상의 ARP 포이즈닝 공격은 3계층 공격임에도 유선 침입 탐지 시스템이 유선상의 프레임만을 분석하는 특성으로 인하여 탐지가 불가능하다.
도 1과 도 2에 제시한 공격 외에도 불량 액세스 포인트 공격, 802.11i MIC Failure에 기반한 공격, 802.11f 프로토콜의 특성을 이용한 서비스 거부 공격 등 무선랜 네트워크 상에서는 기존의 유선 침입 탐지 시스템에서 탐지해낼 수 없는 다양한 형태의 공격이 존재한다.
따라서, 무선 네트워크에서 발생되는 다양한 공격을 효과적으로 탐지할 수 있는 기술이 절실히 요구된다.
본 발명의 목적은 무선랜 네트워크 상에서 존재가능하며, 기존의 유선 침입 탐지 시스템에서 탐지할 수 없는 형태의 공격을 탐지하고 관리자가 공격에 대해 대처할 수 있는 방법 및 시스템을 제공하는 것이다.
본 발명의 다른 목적은, 무선상에서 주고받는 모든 패킷들을 TCP/IP 프로토콜보다 하위 계층인 2계층에서 수집하고 분석할 수 있으며, 종래 기술에 의한 유선 침입 탐지 시스템이 수집할 수 없는 범위에서만 전송되는 패킷에 대해서는 3계층 이상의 공격도 탐지할 수 있어야 하고, 가능한 경우 공격을 일으킨 사용자를 찾아내어 서비스를 제한할 수 있는 침입 탐지 방법 및 시스템을 제공하는 것이다.
본 발명의 또다른 목적은, 무선 보안 관리 서버를 이용하여 분산되어 있는 수많은 액세스 포인트, 침입 탐지 센서 그리고 액세스 포인트가 관장하는 무선랜 네트워크를 중앙에서 손쉽게 감시 및 관리할 수 있는 침입 탐지 시스템 및 방법을 제공하는 것이다.
상기와 같은 목적들을 달성하기 위한 본 발명의 일면은, 하나 이상의 무선 단말기에 무선 통신을 제공하는 액세스 포인트에 대한 공격을 탐지하기 위한 침입 탐지 센서에 관한 것이다. 침입 탐지 센서는 상기 액세스 포인트 및 상기 무선 단말기 간에 송수신되는 패킷을 소정의 탐지룰에 따라 검사하되, 상기 액세스 포인트 및 상기 무선 단말기 간의 무선 회선의 연결 여부에 대한 치명적인 정보를 포함하는 이벤트 패킷에 대해서는, 상기 액세스 포인트로부터 수신한 확인 정보를 추가적으로 이용하여 검사하며, 상기 확인 정보는 상기 이벤트 패킷을 송신하였는지의 여부에 대한 확인 정보인 것을 특징으로 한다. 특히, 이벤트 패킷은 액세스 포인트로부터 무선 단말기로 송신되는 802.11 단절(disassociation) 패킷, 비인증(deauthentication) 패킷 및 인증 실패(EAP-Failure) 패킷 중 하나인 것이 바람직하다. 또한, 확인 정보는, 액세스 포인트가 무선 단말기로 이벤트 패킷을 송신할 때, 그 취지 또는 이벤트 패킷 자체를 침입 탐지 센서로 송신함으로써 전달되는 것이 바람직하다. 뿐만 아니라, 확인 정보는 액세스 포인트 및 침입 탐지 센서 간 보안화된 통신 채널로서, IAPP(Inter Access Point Protocol), IPSec(Internet Protocol Security protocol) 및 SSL(secure socket layer) 및 TLS 프로토콜 중 하나를 이용하여 구현되는 통신 채널을 통하여 전송되는 것이 바람직하다.
상기와 같은 목적들을 달성하기 위한 본 발명의 다른 면은, 하나 이상의 무선 단말기에 무선 통신을 제공하는 무선 네트워크의 침입 탐지 시스템으로서, 무선 단말기에 무선 통신을 제공하는 액세스 포인트 및 액세스 포인트 및 무선 단말기 간에 송수신되는 패킷을 소정의 탐지룰에 따라 검사하는 침입 탐지 센서를 포함하는 침입 탐지 시스템에 관한 것이다. 특히, 본 발명의 다른 면에 의한 침입 탐지 시스템에 포함되는 액세스 포인트는, 액세스 포인트 및 무선 단말기 간의 무선 회선의 연결 여부에 대한 치명적인 정보를 포함하는 이벤트 패킷을 송신하였는지 여부에 대한 확인 정보를 침입 탐지 센서에 송신하고, 침입 탐지 센서는 확인 정보를 이용하여 이벤트 패킷을 검사하는 것을 특징으로 한다. 바람직하게는, 침입 탐지 센서는 탐지룰을 이용하여, 불량 액세스 포인트 공격(Rogue Access Point Access) 및 2계층 중간자 공격(Man-in-the-Middle Attack) 중 하나 이상을 탐지하는 것을 특징으로 한다. 또한, 액세스 포인트는 탐지룰을 이용하여 ARP 포이즈닝 공격(ARP Poisoning Attack), 802.11i MIC 실패 공격(MIC Failure Attack) 및 802.11f 프로토콜의 특성을 이용한 서비스 거부 공격(802.11f Denial of Service Attack) 중 하나 이상을 탐지하는 것이 바람직하다. 본 발명의 다른 면에 의한 침입 탐지 시스템은 복수 개의 액세스 포인트를 포함하는 분산된 네트워크의 보안 상황을 모니터링하고, 탐지룰을 침입 탐지 센서 및 액세스 포인트에 전송하는 무선 보안 관리 서버를 더 포함하는 것을 특징으로 한다.
상기와 같은 목적들을 달성하기 위한 본 발명의 또다른 면은 하나 이상의 무선 단말기에 무선 통신을 제공하는 무선 네트워크의 침입 탐지 센서에 의한 침입 탐지 방법에 관한 것이다. 무선 네트워크의 침입 탐지 센서에 의한 침입 탐지 방법은 무선 단말기에 무선 통신을 제공하는 액세스 포인트 및 무선 단말기 간에 송수신되는 패킷을 소정의 탐지룰에 따라 검사하는 일반 패킷 검사 단계, 일반 패킷 중 액세스 포인트 및 무선 단말기 간의 무선 회선의 연결 여부에 대한 치명적인 정보를 포함하는 이벤트 패킷을 식별하는 이벤트 패킷 식별 단계, 이벤트 패킷이 식별되면, 액세스 포인트로부터 이벤트 패킷을 송신하였는지 여부에 대한 확인 정보를 수신하는 확인 정보 수신 단계 및 확인 정보를 이용하여 이벤트 패킷을 검사하는 이벤트 패킷 검사 단계를 포함하는 것을 특징으로 한다. 특히, 이벤트 패킷은 액세스 포인트로부터 무선 단말기로 송신되는 802.11 단절(disassociation) 패킷, 비인증(deauthentication) 패킷 및 인증 실패(EAP-Failure) 패킷 중 하나이며, 확인 정보는 액세스 포인트가 무선 단말기로 이벤트 패킷을 송신할 때, 그 취지 또는 이벤트 패킷 자체를 침입 탐지 센서로 송신함으로써 전달되는 것을 특징으로 한다.
본 발명에 의하여 무선 네트워크 상에서 발생되는 다양한 공격을 효과적으로 탐지하며, 체계적으로 관리할 수 있다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로서, 본 발명을 상세히 설명한다. 각 도면에 대하여, 동일한 참조부호는 동일한 부재임 을 나타낸다.
도 3은 본 발명의 일면에 따르는 무선 네트워크 침입 탐지 시스템을 나타내는 도면이다.
도 3에 도시된 무선 네트워크 침입 탐지 시스템은 무선 보안 관리 서버(310), 무선랜 액세스 포인트(320), 무선 침입 탐지 센서(330)를 포함한다. 또한, 무선 네트워크의 상태와 환경에 따라 다수 개의 정상 무선 단말기(340, 350) 및 하나 이상의 공격자(360)가 포함될 수 있다.
정상 무선 단말기(340, 350)란 무선 네트워크를 사용할 권한을 가지고 인증을 받은 단말기들을 의미한다. 무선 단말기(340, 350)로는 일반적으로 무선랜 접속이 가능한 컴퓨터 혹은 PDA와 같은 휴대 장치들이 포함된다. 사용자는 사용자 인증 과정 혹은 MAC 주소 인증 등의 방법을 이용하여 무선랜 액세스 포인트(320)를 통해 네트워크에 접속한다. 정상 무선 단말기(340, 350)들이 무선랜 액세스 포인트를 통해 네트워크에 접속하는 과정과 그를 위해 필요한 기능은 일반적인 무선랜 액세스 포인트에서의 경우와 동일하다.
도 3의 공격자(360)는 무선랜의 특성에 맞는 다양한 공격을 시도하는 공격자이다. 이 공격자(360)는 무선랜 네트워크에 접속할 수 없는 불법 침입자일 수도 있고, 인증을 받아 정상적으로 서비스를 받으면서 내부망의 정상 단말기(340, 350) 및 액세스 포인트(320)를 공격하려는 사용자일 수도 있다.
공격자(360)가 위와 같은 공격을 시도하는 것에 대해 탐지하고 대처할 수 있도록 하기 위하여 무선랜 액세스 포인트(320) 내부에 별도의 침입 탐지 모듈이 포 함되며, 별도의 장비로서 무선 침입 탐지 센서(330)가 무선랜 액세스 포인트에 대응하도록 제공된다. 액세스 포인트(320) 및 침입 탐지 센서(330) 간에는 침입을 좀 더 용이하게 탐지하기 위하여 둘 간에 통신 채널을 활용할 수 있다.
무선랜 액세스 포인트(320)는 일반적인 무선랜 액세스 포인트와 달리 내부적으로 침입 탐지 모듈을 포함하고, 무선 보안 관리 서버(310)로부터 수신된 탐지룰에 따라서 공격자(360)로부터의 공격을 감지한다. 무선랜 액세스 포인트(320)가 탐지하고자 하는 침입 유형의 예로 ARP 포이즈닝(Poisoning) 공격과 IEEE 802.11i MIC(Message Integrity Code) Failure 공격, 802.11f 서비스 거부 공격(802.11f Denial of Service Attack) 등이 있다. 이러한 공격들은 대체로 WPA 혹은 IEEE 802.11i가 적용되는 환경인 경우 사용자 단말기(340, 350) 및 액세스 포인트(320) 사이의 무선 데이터가 암호화되어 무선 침입 탐지 센서(330)가 분석하기 어려운 공격들을 포함한다. 액세스 포인트(320)의 동작에 대한 상세한 설명은 도 4를 참조하여 후술된다.
또한, 침입 탐지 센서(330)도 액세스 포인트(320) 및 무선 단말기(340) 간에 송수신되는 패킷을 소정의 탐지룰에 따라 검사한다. 침입 탐지 센서(330)가 액세스 포인트(320) 및 무선 단말기(340) 간의 패킷을 외부에서 감지함으로써 액세스 포인트(320)가 침입 탐지 모듈을 이용하여 감지하기 어려운 공격도 감지할 수 있다. 즉, 침입 탐지 센서(330)는 액세스 포인트 및 무선 단말기 간에 송수신되는 데이터 패킷 중 무선 회선의 연결 여부에 대한 치명적인 정보를 포함하는 이벤트 패킷에 대해서는, 액세스 포인트(320)가 무선 단말기(340, 350)로 이벤트 패킷을 송신하였는지 여부에 대한 확인 정보를 추가적으로 이용하여 공격 여부를 검사한다. 이러한 이벤트 패킷은, 액세스 포인트로부터 무선 단말기로 송신되는 802.11 단절(disassociation) 패킷, 비인증(deauthentication) 패킷 및 인증 실패(EAP-Failure) 패킷들일 수 있다. 액세스 포인트(320)는 이벤트 패킷을 무선 단말기(340)로 송신할 때, 동일한 이벤트 패킷을 침입 탐지 센서(330)에도 송신하거나, 무선 단말기(340)로 이벤트 패킷을 송신하였다는 취지를 침입 탐지 센서(330)에 송신할 수 있다. 그러면, 침입 탐지 센서(330)는 확인 정보가 수신되었을 경우에만 이벤트 패킷이 유효한 것으로 판단하고, 확인 정보가 수신되지 않으면 액세스 포인트(320)에 대한 공격이 발생된 것으로 판단할 수 있다.
침입 탐지 센서(330)로 전달되는 확인 정보는, 액세스 포인트(320) 및 침입 탐지 센서(330) 간 보안화된 통신 채널을 이용하여 전송되는 것이 바람직하다. 보안화된 통신 채널로써는, IAPP(Inter Access Point Protocol), IPSec(Internet Protocol Security protocol), SSL(secure socket layer) 및 TLS(Transport Layer Security) 프로토콜 중 하나가 이용될 수 있다.
본 명세서에서 액세스 포인트(320) 및 침입 탐지 센서(330)가 감지할 수 있는 공격들을 설명하기 위하여 본 명세서에서 사용되는 용어들 중 몇 가지를 정리하면 다음과 같다.
IEEE 802.11이란 무선랜 규격 중 대표적인 규격으로 물리 계층 및 MAC 계층을 작성하여 무선에서도 802.3과 유사한 데이터 통신이 가능하도록 만든 규격을 나타낸다. IEEE 802.11 프로토콜 위에 Internet 프로토콜이 존재할 수 있다.
IEEE 802.1x란 IEEE 802 계열의 네트워크들(802.3, 802.11, 802.15, 등)이 사용자 인증을 필요로 하는 경우가 생김에 따라, EAPOL을 이용하여 사용자 인증 및 서비스 접근 제어를 할 수 있도록 만든 규격을 나타낸다. IEEE 802.1x는 엄밀히 말하면 무선랜 규격은 아니나 대부분의 무선랜 공중망 서비스에서 사용된다.
IEEE 802.11i란 기존의 IEEE 802.11 규격의 보안성에 문제가 많다는 지적에 따라 IEEE 802.11 MAC 계층을 일부 보완하여 메시지 암호화 및 무결성이 가능하도록 만든 규격을 나타낸다.
IEEE 802.11f란 기존의 IEEE 802.11 규격에서 무선 단말기가 액세스 포인트들 간에 이동할 수 있도록 액세스 포인트간에 주고받을 메시지 및 프로토콜의 규격이다. IEEE 802.11f에서 액세스 포인트 간에 전송되는 프로토콜을 IAPP(Inter Access Point Protocol)라고 한다.
공격자(360)가 수행할 수 있는 다양한 공격들 중 일부를 설명하면 다음과 같으며, 이 외에도 알려져 있거나 알려지지 않은 많은 공격들이 존재할 수 있다.
- 2계층 서비스 거부공격
종래 기술에 의한 2계층 서비스 거부 공격 탐지 기술은 개별 탐지 센서를 이용한다. 그러나, 본 발명에 의한 침입 탐지 시스템에서는 전술된 바와 같이 액세스 포인트(320) 및 침입 탐지 센서(330)가 상호 작용에 의하여 공격 감지 성능을 향상시킨다. 즉, 액세스 포인트(320)가 이벤트 패킷을 생성하였을 경우 그에 상응하는 확인 정보가 침입 탐지 센서(330)로 전달되고, 침입 탐지 센서(330)는 확인 정보를 이용하여 2계층 서비스 거부 공격을 감지한다.
- ARP Poisoning 공격
ARP(Address Resolution Protocol)는 3계층 네트워크 주소를 MAC 주소로 동적 매핑(mapping)하는데 사용되는 프로토콜이다. ARP 포이즈닝은 존재하지 않는 ARP 주소나, 잘못된 ARP 주소를 시스템의 ARP 캐시에 삽입시키는 것이다.
종래 기술에 의한 유선랜의 경우 탐지할 수 있는 방법이 존재하지만, 무선랜의 경우에는 ARP 포이즈닝 공격을 감지하기가 힘들다. 그 이유는 무선랜 상에서 공격을 하는 ARP 포이즈닝 공격의 경우, 공격을 당하는 무선 단말기(340, 350) 및 공격자(360)가 모두 무선으로 통신을 수행하므로, 공격 관련 패킷의 이동 경로상 액세스 포인트(320)에 탐지룰이 존재해야 하기 때문이다.
본 발명에 따른 액세스 포인트(320)는 내부에 탐지 모듈을 포함하므로 무선 보안 관리 서버(310)로부터 수신된 탐지룰을 이용하여 ARP 포이즈닝 공격을 감지할 수 있다. 뿐만 아니라, 802.1x 사용자 인증을 기본으로 하는 무선랜 망인 경우, 공격을 한 사용자를 식별할 수도 있다.
- 불량 액세스 포인트(Rogue Access Point) 공격
이 공격은 공격자(360)가 "액세스 포인트가 존재함을 나타내는 802.11 표지 프레임(Beacon frame)을 위조"하여 공격자(360)가 액세스 포인트로서 정상적인 서비스를 하고 있는 것으로 속이는 공격이다. 불량 액세스 포인트 공격에는 단지 표지 프레임만을 송신하여 혼란을 주는 허위 액세스 포인트(Fake Access Point) 공격과, 실제로 불법적으로 유선랜에 몰래 연결하여 인터넷 서비스까지 제공하여 중간에서 사용자의 정보를 가로채는 미등록 액세스 포인트(Unregistered Access Point) 공격 등이 있다.
본 발명에 의한 침입 탐지 시스템에서는 침입 탐지 센서(330)가 자신이 가지고 있거나 무선 보안 관리 서버(310)로부터 전송받은 정상 액세스 포인트 리스트와 표지 프레임을 비교함으로써 수행하는 것이 바람직하다.
- 802.11i MIC(Message Integrity Code) Failure에 기반한 공격
이 공격은 802.11i 환경에서만 가능한 공격으로, 공격자가 1x와 같은 사용자 인증을 통하여 접속을 한 후 802.11i MIC Failure를 의도적으로 일으키는 공격을 나타낸다. MIC는 802.11i에서 메시지 무결성을 증명하기 위한 코드로, 이 코드에서 1분에 두 번 이상 에러가 날 경우 액세스 포인트(320)는 자신에게 접속하고 있는 모든 무선 단말기(340, 350)의 접속을 종료하는데, 악의적인 공격자(360)가 이러한 성질을 이용하여 의도적으로 MIC Failure를 일으키는 공격을 감행할 수 있다. 물론 공격자(360)는 정상적인 사용자 인증을 거쳐야 한다.
본 발명에 의한 침입 탐지 시스템에서는 액세스 포인트(320) 내의 탐지 모듈이 이 공격을 감지하는 것이 바람직하다. 뿐만 아니라, 본 발명에 의한 침입 탐지 시스템에서는, 이 공격을 탐지하는 것뿐만 아니라, 공격이 탐지될 경우 그 취지를 무선 보안 관리 서버(310)에 전달하기 때문에 공격자(360)에 대해 접속 서비스 제한까지 수행할 수 있다.
- 802.11f 프로토콜의 특성을 이용한 서비스 거부 공격
802.11f 환경에서는 무선 단말기(340, 350)가 제1 액세스 포인트에서 제2 액세스 포인트로 이동하고자 하는 경우, 제2 액세스 포인트에게 재연결 (reassociation) 혹은 연결(association) 메시지를 보낸다. 그러면, 제2 액세스 포인트는 이를 제1 액세스 포인트에게 알려 제 1 액세스 포인트 및 무선 단말기 간의 현재 연결을 종료하도록 한다. 이 공격은 802.11f 환경의 이러한 특성을 이용하여, 공격자가 제1 액세스 포인트에 연결된 무선 단말기의 MAC 주소를 위조하여 제2 액세스 포인트에게 재연결 혹은 연결 프레임을 전송하는 공격이다. 그러면, 제1 액세스 포인트와 무선 단말기 간의 연결이 무단으로 단절된다.
본 발명에 따른 침입 탐지 시스템에서는 액세스 포인트(320) 내의 탐지 모듈이 재연결 또는 연결 메시지를 검사하여 공격을 감지할 수 있다.
- EAPOL 인증 프레임을 이용한 단말 서비스 거부 공격
EAPoL 공격에는 두 가지가 있다. EAP-Failure 공격은 802.1x를 통해 사용자 인증을 받고자 할 때, 인증이 실패했음을 나타내는 EAP-Failure를 액세스 포인트가 무선 단말기에게 보내는 것처럼 위장한 프레임을 공격자가 전송하는 공격이다. 또한, EAPOL-Logoff 공격은 사용자가 사용자 인증 세션을 종료하겠다는 것을 의미하는 EAPOL-Logoff 프레임을 공격자가 위조하는 공격이다.
본 발명에서는 침입 탐지 센서(330) 및 액세스 포인트(320) 간의 이벤트 패킷 및 확인 정보의 송수신에 의하여 이 공격 여부가 탐지되므로 탐지 정확도를 높일 수 있다.
- 2계층을 이용한 중간자 공격
불량 액세스 포인트 공격과 유사한 공격이다. 즉, 유선에는 물려 있지 않으면서 인증을 받을 때 무선 단말기(340)가 보내는 패킷을 그대로 액세스 포인트 (320)에 전달하고, 액세스 포인트(320)에 전달하는 패킷은 다시 무선 단말기(340)에 그대로 전달함으로써 중간에서 정보를 빼내고자 하는 공격이다.
본 발명에서는 불량 액세스 포인트 공격과 동일하게 침입 탐지 센서(330)에서 탐지하는 것이 바람직하다.
- 세션 가로채기 공격
정상적으로 인증을 받은 후 액세스 포인트(320)와 연결된 무선 단말기(340, 350)에 대해 액세스 포인트(320)가 보내는 것으로 위조한 비인증(deauthentication) 혹은 단절(disassociation) 프레임을 보내어 무선 단말기(340, 350)는 연결이 끊어진 것으로 착각하게 만들고, 액세스 포인트(320)는 연결이 끊어진 것을 모르게 하는 공격이다. 이 과정에서 공격자(360)가 대신 그 연결 세션을 가로챈다. 공격자(360)는 무선 단말기(340, 350)의 MAC 주소를 위조하여 세션 가로채기 공격을 시도한다.
본 발명에서는 2계층 서비스 거부 공격과 유사하게 액세스 포인트(320) 및 침입 탐지 센서(330)의 상호작용에 의하여 세션 가로채기 공격을 감지한다. 종래 기술의 경우 공격 여부를 판별하기가 힘드나, 본 발명은 이벤트 패킷 및 확인 정보를 이용하여 액세스 포인트(320)로부터 직접 비인증 또는 단절 패킷을 수신하므로 감지 정확도가 향상된다.
도 4는 본 발명의 일면에 따르는 무선 네트워크 침입 탐지 시스템에서 동작하는 액세스 포인트의 동작을 설명하는 블록도이다.
무선랜 액세스 포인트(320)는 무선 보안 관리 서버(310)로부터 침입 탐지 룰 을 수신(450)하여 이를 바탕으로, 무선 데이터 수신 블록(460)에서 수신한 무선 데이터 중 일부를 침입 탐지 블록(430)으로 보낸다. 여기에서 침입이 탐지가 되는 경우, 침입 경고 전송 블록(410)을 통해 무선 보안 관리 서버에게 침입이 일어났음을 경고한다. 무선랜 액세스 포인트로서의 기본 서비스로 무선랜 서비스 블록(440)과 무선 데이터 수신 블록(460), 유선 데이터 수신 블록(470)을 통해 무선랜 서비스 기능을 제공하며, 여기에서 802.11 단절(disassociation), EAP-Failure 메시지와 같이 침입에 민감한 이벤트가 발생할 경우 이를 이벤트 패킷에 담아 무선 침입 탐지 센서(330)에게 보내는 기능을 AP 이벤트 송신 블록(420)에서 담당한다.
본 명세서에서 탐지룰(액세스포인트 탐지룰, 센서 탐지룰)이란 액세스 포인트 또는 침입 탐지 센서에서 악의적인 공격들을 검출할 수 있도록 적용하는 탐지 규칙을 의미한다. 이는 바이러스 백신의 엔진과 유사한 개념이며, 액세스 포인트(320) 및 침입 탐지 센서(330)는 무선랜 망에서 잡히는 모든 프레임을 입력으로 받고, 수신된 모든 프레임을 탐지룰을 이용하여 검사한다. 유선 네트워크에서 미지의 공격을 감지하기 위한 '침입 방지 시스템(Intrusion Protection System; IPS)'이 소개된 바 있으며, 본 발명에 따른 침입 탐지 시스템에서도 기지의 탐지룰을 이용하여 미지의 공격을 탐지하는 것이 바람직하다. 탐지룰이 액세스 포인트(320) 또는 침입 탐지 센서(330) 내에 고정되는 것이 아니라 무선 보안 관리 서버(310)로부터 전송되므로, 새로운 기법의 공격이 알려졌을 경우 이러한 공격도 용이하게 액세스 포인트(320) 및 침입 탐지 센서(330)에서 탐지할 수 있도록 시스템을 업그레이드하는 것이 가능하다.
도 5는 본 발명의 다른 면에 따르는 무선 네트워크 침입 탐지 시스템에서 동작하는 침입 탐지 센서의 동작을 설명하는 블록도이다.
무선 침입 탐지 센서(330)는 무선 보안 관리 서버(310)로부터 침입 탐지 룰을 수신(570)하여 이를 바탕으로, 데이터 수집 블록(560)에서 모니터링 한다. 또한, 침입 탐지 센서(330)는 모니터링 결과를 이용하여 네트워크 상태 감시 블록(540)에서 네트워크 상태 정보를 저장함과 동시에 침입 탐지 블록(530)에서 침입 여부를 탐지한다. 이 때 침입이 일어난 경우, 침입 경고 전송 블록(510)을 통해 무선 보안 관리 서버에게 침입이 일어났음을 경고하며, 무선 보안 관리 서버(310)가 네트워크 상태에 대한 요청을 한 경우 네트워크 상태 정보 전송 블록(520)을 통해 이를 전송한다. 2계층 서비스 거부 공격을 보다 정확하게 판단하기 위해 802.11 disassociation, EAP-Failure 메시지와 같은 이벤트를 수신하기 위한 액세스 포인트 이벤트 수0신 블록(550)이 제공된다.
무선 침입 탐지 센서(330)는 전문적으로 무선랜 패킷을 모니터링하면서 침입 여부를 탐지하고 네트워크 상황을 감시하는 기능을 가진다. 무선 침입 탐지 센서가 탐지하고자 하는 침입 유형의 예로 802.11 관리 프레임 서비스 거부 공격, 인증 프레임을 이용한 서비스 거부 공격, 불량 액세스 포인트 공격, 세션 가로채기 공격 등이 있다. 이들 공격은 무선랜 액세스 포인트에서는 탐지가 어려운데, 그 이유는 무선랜 액세스 포인트는 자신을 목적지로 하는 패킷만 수신하도록 장비 드라이버가 설계되어, 패킷 위조, 불량 액세스 포인트 등을 능동적으로 탐지하는 것이 불가능하기 때문이다.
도 6은 본 발명의 일면에 따른 무선 네트워크 침입 탐지 시스템에서 동작하는 무선 보안 관리 서버의 동작을 설명하는 블록도이다.
도 6은 중앙에서 무선랜 액세스 포인트(320)와 무선 침입 탐지 센서(330)들로부터 받은 침입 경고 및 네트워크 상태 정보를 확인하고, 네트워크 장비를 관리할 수 있는 무선 보안 관리 서버(310)의 내부 구조이다. 네트워크 설정 블록(670)을 통해 네트워크 장비를 관리하고 탐지 룰을 설정한다. 그러면, 무선 보안 관리 서버(310)는 탐지 룰 송신 블록(630)을 통해 탐지룰을 액세스 포인트(320) 및 침입 탐지 센서(330)에 전송한다. 탐지 룰에 따라서 무선랜 액세스 포인트(320)와 무선 침입 탐지 센서들(330)이 공격을 감지하여 침입 경고를 무선 보안 관리 서버(310)로 전송한다. 그러면, 무선 보안 관리 서버(310)의 침입 경고 수신 블록(650)이 침입 경고를 수신하여 침입 경고 알림 블록(620)을 통해 관리자에게 보고한다. 이 경우, 무선 보안 관리 서버(310)는 침입 통계의 관리를 위한 로그를 남기는 것이 바람직하다. 또한, 등록된 사용자의 불법 행위가 파악되는 경우 사용자 서비스 제한 블록(610)을 통해 공격 사용자의 서비스를 제한할 수 있다.
무선 보안 관리 서버(310)에서는 침입 경고 뿐만 아니라 각 분산된 네트워크의 상황을 중앙에서 모니터링 하도록 네트워크 상태 정보 수신 블록(660)과 네트워크 상태 알림 블록(630)을 포함한다. 이 때 무선 침입 탐지 센서(330)로부터 전송받는 네트워크 상태 정보를 단순히 그대로 기록만 하는 것이 아니라, 시간대별로 단말과 액세스 포인트, 불량 액세스 포인트 들간에 무선 패킷이 어떻게 흘러 다녔는지, 접속을 어떻게 맺고 끊었는지에 대한 내용으로 가공을 하여 저장할 수 있다.
도 7은 본 발명의 또다른 면에 따른 무선 네트워크 침입 탐지 방법을 설명하는 도면이다.
무선 네트워크의 침입 탐지 방법은 다음과 같이 수행된다. 우선, 무선 단말기에 무선 통신을 제공하는 액세스 포인트(720) 및 무선 단말기 간에 송수신되는 패킷을 검사하는데 사용될 탐지룰이 무선 보안 관리 서버(710)로부터 침입 탐지 센서(730) 및 액세스 포인트(720)로 송신된다. 그러면, 침입 탐지 센서(730) 및 액세스 포인트(720)는 수신된 탐지룰을 이용하여 일반 패킷을 검사한다.
이때, 일반 패킷 중 액세스 포인트(720) 및 무선 단말기 간의 무선 회선의 연결 여부에 대한 치명적인 정보를 포함하는 이벤트 패킷이 전송되는지 여부가 식별된다. 이벤트 패킷이 식별되면, 액세스 포인트(720)로부터 이벤트 패킷을 송신하였는지 여부에 대한 확인 정보를 수신한다. 그리하여, 수신된 확인 정보를 이용하여 침입 탐지 센서(730)가 이벤트 패킷을 검사한다.
무선랜 액세스 포인트(720)와 무선 침입 탐지 센서(730), 그리고 무선 보안 관리 서버(710)간의 동작은 도 7에 도시된 인터페이스를 이용하여 수행된다. 도 7에서, 무선 보안 관리 서버(710)는 무선랜 액세스 포인트(730)와 무선 침입 탐지 센서(720)에게 각각에 해당하는 탐지 룰을 전송한다. 그러면, 무선랜 액세스 포인트(720)와 무선 침입 탐지 센서(730)는 수신된 탐지룰을 이용하여 네트워크 공격을 감지한다. 이 경우, 액세스 포인트(720) 및 무선 단말기 간의 연결의 종결에 대한 치명적 정보를 포함하는 이벤트 패킷의 경우 액세스 포인트(720) 및 침입 탐지 센서(730) 간의 상호 작용에 의하여 공격을 효율적으로 감지하는 것이 가능함은 전술된 바와 같다. 또한 무선 침입 탐지 센서(730)는 네트워크 상태 정보도 같이 전송하여 관리자가 손쉽게 네트워크 상황을 파악할 수 있도록 한다.
도 8은 본 발명의 일면에 따른 무선 네트워크 침입 탐지 시스템에 포함되는 액세스 포인트, 침입 탐지 센서 및 무선 보안 관리 서버 간에 송수신되는 프로토콜 패킷의 구성을 나타내는 도면이다.
도 8에 도시된 프로토콜을 이용하여 탐지 룰 및 침입 보고, 네트워크 상태 정보 등이 전송될 수 있다. PDU(Protocol Data Unit) 타입(801)에는 각각 네트워크 상태 정보를 얻어오기 위한 GET, 탐지 룰을 설정하기 위한 SET, 침입 경고를 위한 ALARM 등이 있을 수 있다. 또한, 내부적으로 여러 개의 속성 집합(820)을 포함할 수 있게 하였다. 속성 집합(820)에는 PDU 타입(801)에 따르는 타입 설정(821)이 존재하여, 어떤 설정인지, 어떤 공격에 대한 보고인지 등을 표기할 수 있다. 속성 집합(820)은 속성(830)을 내부적으로 여러 개 포함하며, 여기에는 실제 데이터 값이 들어가게 된다. 예를 들어, 속성 집합에 불량 액세스 포인트 공격이라는 타입이 정해진 경우, 내부적으로 포함하는 속성 들에는 각각 불량 액세스 포인트의 SSID(Service Set IDentifier) 값, MAC 주소, 패킷 개수, 처음 보낸 시각과 마지막으로 보낸 시각 등 다양한 값들이 포함될 수 있다.
도 9는 본 발명의 일면에 따른 무선 네트워크 침입 탐지 시스템에 포함되는 액세스 포인트 및 침입 탐지 센서간에 송수신되는 프로토콜 패킷의 구성을 나타내는 도면이다.
액세스 포인트 이벤트 프로토콜은 앞서도 밝혔듯, 탐지의 정확도를 올리기 위해서 활용될 수 있다. 예를 들어, 2계층 802.11 관리 프레임을 이용한 서비스 거부 공격을 탐지하기 위하여, 무선 침입 탐지 센서(720)가 무선랜 액세스 포인트(730)가 특정 단말에게 보내는 단절(disassociation) 메시지를 수신했다고 가정한다. 만약 액세스 포인트 이벤트 프로토콜을 통해 이 메시지를 무선랜 액세스 포인트(730)가 직접 송신했다는 이벤트를 받으면, 이 메시지는 서비스 거부 공격과 관계가 없게 된다. 그러나, 이 메시지를 무선랜 액세스 포인트가 송신했다는 이벤트가 충분한 시간 이내에 없으면 서비스 거부 공격으로 확인할 수 있다.
본 발명에서의 AP 이벤트 프로토콜은 802.11f 규격에 포함되어 있는 IAPP 프로토콜을 이용할 수 있으며, 무선 침입 탐지 센서(720)와 무선랜 액세스 포인트 사이에 인증만 이루어진다면 IPSec(Internet Protocol Security protocol), SSL(secure socket layer) 및 TLS(Transport Layer Security) 등의 프로토콜 위에서 구현할 수도 있다. 이벤트 프로토콜을 통해 전달할 수 있는 이벤트의 예로는 다음과 같은 것들이 있으며, 반드시 액세스 포인트가 확신을 할 수 있는 이벤트여야 한다. 예를 들어, 액세스 포인트가 단말로부터 802.11 단절(disassociation) 패킷을 수신했다면, 이는 정상 단말로부터 전송된 패킷인지, 공격자가 위조하여 마치 정상 단말로부터 전송된 것처럼 위조한 패킷인지는 확인할 방법이 없으므로, 이러한 이벤트는 액세스 포인트 이벤트 프로토콜에 활용될 수 없다.
- 액세스 포인트가 무선 단말기에 802.11 단절(disassociation) 패킷을 전송하는 이벤트
- 액세스 포인트가 무선 단말기에 802.11 비인증(deauthentication) 패킷을 전송하는 이벤트
- 액세스 포인트가 무선 단말기에 EAP-Failure 패킷을 전송하는 이벤트
본 명세서에서 IPSec이란 네트워크나 네트워크 통신의 패킷 처리 계층에서의 보안을 위해, 제안된 표준을 나타낸다. IPSec은, 본질적으로 데이터 송신자의 인증을 허용하는 인증 헤더 (AH)와, 송신자의 인증 및 데이터 암호화를 함께 지원하는 ESP(Encapsulating Security Payload) 등, 두 종류의 보안 서비스를 제공한다. 이러한 각 서비스에 관련된 명확한 정보는 IP 패킷 헤더의 뒤를 잇는 헤더 속의 패킷에 삽입된다. IPSec의 커다란 장점은 개별 사용자 컴퓨터의 변경 없이도 보안에 관한 준비가 처리될 수 있다는 것이다.
또한, SSL이란 인터넷 프로토콜이 보안면에서 기밀성을 유지하지 못한다는 문제를 극복하기 위해 개발된 보안 기법으로서 인터넷 상거래시 요구되는 개인 정보와 크레디트카드 정보의 보안 유지에 가장 많이 사용되고 있는 프로토콜이다. TLS는 두 개의 통신응용프로그램 사이에서 개인의 정보보호와 데이터의 무결성을 제공하기 위해 만들어졌고, TLS 레코드(Record) 프로토콜과 TLS 핸드쉐이크(Handshake) 프로토콜로 구성되어 있다. TLS 레코드 프로토콜은 TCP 계층의 바로 위에 위치하여 호스트 사이의 통신 연결 시 보안을 제공하며, 개인정보보호(Privacy)와 신뢰성 서비스(Reliability service)를 제공한다. TLS 레코드 프로토콜은 상위계층 프로토콜의 캡슐화를 위해 사용된다. TLS 핸드쉐이크 프로토콜은 서버와 클라이언트가 데이터를 전송하기 전에 서로 인증할 수 있도록 해주며, 사용할 암호화 알고리즘과 암호키를 협상하도록 한다.
본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 예를 들면, 본 발명에 의한 침입 탐지 시스템에 포함되는 액세스 포인트 및 침입 탐지 센서에 의하여 감지할 수 있는 공격은 본 명세서에 기술된 공격에 한정되는 것은 아니며, 오히려 ARP 스푸핑(spoofing) 등 다양한 공격이나 미지의 공격이 존재할 수 있다.
따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명에 의하여 등록 액세스 포인트 및 침입 탐지 센서는 각각 내부적으로 수집하는 패킷 정보를 통해 무선랜의 취약점을 이용한 공격을 탐지 및 분류하고, 이를 관리자에게 경고하여 관리자가 신속히 대처할 수 있다.
또한, 본 발명에 의하여 무선랜 네트워크 상에서 존재가능하며, 기존의 유선 침입 탐지 시스템에서 탐지할 수 없는 형태의 공격을 탐지하고 관리자가 공격에 대해 대처할 수 있는 방법 및 시스템을 제공된다.
더 나아가, 본 발명에 의하여 무선 상에서 주고받는 모든 패킷들을 TCP/IP 프로토콜보다 하위 계층인 2계층에서 수집하고 분석할 수 있으며, 종래 기술에 의한 유선 침입 탐지 시스템이 수집할 수 없는 범위에서만 전송되는 패킷에 대해서는 3계층 이상의 공격도 탐지할 수 있을 뿐만 아니라, 공격자를 찾아내어 서비스를 제한할 수 있는 침입 탐지 방법 및 시스템을 제공된다.
뿐만 아니라, 본 발명에 의하여 무선 보안 관리 서버를 이용하여 분산되어 있는 수많은 액세스 포인트, 침입 탐지 센서 그리고 액세스 포인트가 관장하는 무선랜 네트워크를 중앙에서 손쉽게 감시 및 관리할 수 있는 침입 탐지 시스템 및 방법이 제공된다.

Claims (24)

  1. 하나 이상의 무선 단말기에 무선 통신을 제공하는 액세스 포인트를 포함하는 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지 센서에 있어서,
    상기 액세스 포인트 및 상기 무선 단말기 간에 송수신되는 패킷을 소정의 탐지룰에 따라 검사하되, 상기 액세스 포인트 및 상기 무선 단말기 간의 무선 회선의 연결 여부에 대한 치명적인 정보를 포함하는 이벤트 패킷에 대해서는, 상기 액세스 포인트로부터 수신한 확인 정보를 추가적으로 이용하여 검사하며, 상기 확인 정보는 상기 이벤트 패킷을 송신하였는지 여부에 대한 확인 정보인 것을 특징으로 하는 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지 센서.
  2. 제1항에 있어서, 상기 이벤트 패킷은,
    상기 액세스 포인트로부터 상기 무선 단말기로 송신되는 802.11 단절(disassociation) 패킷, 비인증(deauthentication) 패킷 및 인증 실패(EAP-Failure) 패킷 중 하나인 것을 특징으로 하는 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지 센서.
  3. 제2항에 있어서, 상기 확인 정보는,
    상기 액세스 포인트가 상기 무선 단말기로 상기 이벤트 패킷을 송신할 때, 그 취지 또는 상기 이벤트 패킷 자체를 상기 침입 탐지 센서로 송신함으로써 전달되는 것을 특징으로 하는 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지 센서.
  4. 제3항에 있어서, 상기 확인 정보는,
    상기 액세스 포인트 및 상기 침입 탐지 센서 간 보안화된 통신 채널을 통하여 전송되는 것을 특징으로 하는 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지 센서.
  5. 제4항에 있어서, 상기 보안화된 통신 채널은,
    IAPP(Inter Access Point Protocol), IPSec(Internet Protocol Security protocol), SSL(secure socket layer) 및 TLS(Transport Layer Security) 프로토콜 중 하나를 이용하여 구현되는 것을 특징으로 하는 액세스 포인트 포인트에 대한 공격을 탐지하기 위한 침입 탐지 센서.
  6. 제1항에 있어서, 상기 탐지룰은,
    불량 액세스 포인트 공격(Rogue Access Point Access) 및 2계층 중간자 공격 (Man-in-the-Middle Attack) 중 하나 이상을 탐지하는데 사용되는 것을 특징으로 하는 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지 센서.
  7. 제6항에 있어서, 상기 탐지룰은,
    ARP 포이즈닝 공격(ARP Poisoning Attack), 802.11i MIC 실패 공격(MIC Failure Attack) 및 802.11f 프로토콜의 특성을 이용한 서비스 거부 공격(802.11f Denial of Service Attack) 중 하나 이상을 더 탐지하는데 사용되는 것을 특징으로 하는 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지 센서.
  8. 제1항에 있어서, 상기 탐지룰은,
    복수 개의 액세스 포인트를 포함하는 분산된 네트워크의 보안 상황을 모니터링 하는 무선 보안 관리 서버에 의하여 전송되는 것을 특징으로 하는 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지 센서.
  9. 하나 이상의 무선 단말기에 무선 통신을 제공하는 무선 네트워크의 침입 탐지 시스템에 있어서,
    상기 무선 단말기에 무선 통신을 제공하는 액세스 포인트 및
    상기 액세스 포인트 및 상기 무선 단말기 간에 송수신되는 패킷을 소정의 탐지룰에 따라 검사하는 침입 탐지 센서를 포함하며,
    상기 액세스 포인트는, 상기 액세스 포인트 및 상기 무선 단말기 간의 무선 회선의 연결 여부에 대한 치명적인 정보를 포함하는 이벤트 패킷을 송신하였는지 여부에 대한 확인 정보를 상기 침입 탐지 센서에 송신하고,
    상기 침입 탐지 센서는 상기 확인 정보를 이용하여 상기 이벤트 패킷을 검사하는 것을 특징으로 하는 무선 네트워크 침입 탐지 시스템.
  10. 제9항에 있어서, 상기 이벤트 패킷은,
    상기 액세스 포인트로부터 상기 무선 단말기로 송신되는 802.11 단절(disassociation) 패킷, 비인증(deauthentication) 패킷 및 인증 실패(EAP-Failure) 패킷 중 하나인 것을 특징으로 하는 무선 네트워크 침입 탐지 시스템.
  11. 제10항에 있어서, 상기 확인 정보는,
    상기 액세스 포인트가 상기 무선 단말기로 상기 이벤트 패킷을 송신할 때, 그 취지 또는 상기 이벤트 패킷 자체를 상기 침입 탐지 센서로 송신함으로써 전달되는 것을 특징으로 하는 무선 네트워크 침입 탐지 시스템.
  12. 제11항에 있어서, 상기 확인 정보는,
    상기 액세스 포인트 및 상기 침입 탐지 센서 간 보안화된 통신 채널을 통하여 전송되는 것을 특징으로 하는 무선 네트워크 침입 탐지 시스템.
  13. 제12항에 있어서, 상기 보안화된 통신 채널은,
    IAPP, IPSec, SSL 및 TLS 프로토콜 중 하나를 이용하여 구현되는 것을 특징으로 하는 무선 네트워크 침입 탐지 시스템.
  14. 제9항에 있어서, 상기 침입 탐지 센서는,
    상기 탐지룰을 이용하여, 불량 액세스 포인트 공격(Rogue Access Point Access) 및 2계층 중간자 공격(Man-in-the-Middle Attack) 중 하나 이상을 탐지하는 것을 특징으로 하는 무선 네트워크 침입 탐지 시스템.
  15. 제9항에 있어서, 상기 액세스 포인트는,
    상기 탐지룰을 이용하여 ARP 포이즈닝 공격(ARP Poisoning Attack), 802.11i MIC 실패 공격(MIC Failure Attack) 및 802.11f 프로토콜의 특성을 이용한 서비스 거부 공격(802.11f Denial of Service Attack) 중 하나 이상을 탐지하는 것을 특징으로 하는 무선 네트워크 침입 탐지 시스템.
  16. 제9항에 있어서,
    복수 개의 액세스 포인트를 포함하는 분산된 네트워크의 보안 상황을 모니터링하고, 상기 탐지룰을 상기 침입 탐지 센서 및 상기 액세스 포인트에 전송하는 무선 보안 관리 서버를 더 포함하는 것을 특징으로 하는 무선 네트워크 침입 탐지 시스템.
  17. 하나 이상의 무선 단말기에 무선 통신을 제공하는 무선 네트워크의 침입 탐지 센서에 의한 침입 탐지 방법에 있어서,
    상기 무선 단말기에 무선 통신을 제공하는 액세스 포인트 및 상기 무선 단말기 간에 송수신되는 패킷을 소정의 탐지룰에 따라 검사하는 일반 패킷 검사 단계;
    상기 일반 패킷 중 상기 액세스 포인트 및 상기 무선 단말기 간의 무선 회선의 연결 여부에 대한 치명적인 정보를 포함하는 이벤트 패킷을 식별하는 이벤트 패킷 식별 단계;
    상기 이벤트 패킷이 식별되면, 상기 액세스 포인트로부터 상기 이벤트 패킷을 송신하였는지 여부에 대한 확인 정보를 수신하는 확인 정보 수신 단계 및
    상기 확인 정보를 이용하여 상기 이벤트 패킷을 검사하는 이벤트 패킷 검사 단계를 포함하는 것을 특징으로 하는 무선 네트워크 침입 탐지 방법.
  18. 제17항에 있어서, 상기 이벤트 패킷은,
    상기 액세스 포인트로부터 상기 무선 단말기로 송신되는 802.11 단절(disassociation) 패킷, 비인증(deauthentication) 패킷 및 인증 실패(EAP-Failure) 패킷 중 하나인 것을 특징으로 하는 무선 네트워크 침입 탐지 방법.
  19. 제18항에 있어서, 상기 확인 정보는,
    상기 액세스 포인트가 상기 무선 단말기로 상기 이벤트 패킷을 송신할 때, 그 취지 또는 상기 이벤트 패킷 자체를 상기 침입 탐지 센서로 송신함으로써 전달 되는 것을 특징으로 하는 무선 네트워크 침입 탐지 방법.
  20. 제19항에 있어서, 상기 확인 정보는,
    상기 액세스 포인트 및 상기 침입 탐지 센서 간 보안화된 통신 채널을 통하여 전송되는 것을 특징으로 하는 무선 네트워크 침입 탐지 방법.
  21. 제20항에 있어서, 상기 보안화된 통신 채널은,
    IAPP, IPSec, SSL 및 TLS 프로토콜 중 하나를 이용하여 구현되는 것을 특징으로 하는 무선 네트워크 침입 탐지 방법.
  22. 제17항에 있어서, 상기 탐지룰은,
    불량 액세스 포인트 공격(Rogue Access Point Access) 및 2계층 중간자 공격(Man-in-the-Middle Attack) 중 하나 이상을 탐지하는 데 이용되는 것을 특징으로 하는 무선 네트워크 침입 탐지 방법.
  23. 제22항에 있어서, 상기 탐지룰은,
    ARP 포이즈닝 공격(ARP Poisoning Attack), 802.11i MIC 실패 공격(MIC Failure Attack) 및 802.11f 프로토콜의 특성을 이용한 서비스 거부 공격(802.11f Denial of Service Attack) 중 하나 이상을 더 탐지하는데 사용되는 것을 특징으로 하는 무선 네트워크 침입 탐지 방법.
  24. 제17항에 있어서, 상기 탐지룰은,
    복수 개의 액세스 포인트를 포함하는 분산된 네트워크의 보안 상황을 모니터링 하는 무선 보안 관리 서버로부터 전송되는 것을 특징으로 하는 무선 네트워크 침입 탐지 방법.
KR1020040108999A 2004-12-20 2004-12-20 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 KR100628325B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040108999A KR100628325B1 (ko) 2004-12-20 2004-12-20 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법
US11/289,224 US7640585B2 (en) 2004-12-20 2005-11-29 Intrusion detection sensor detecting attacks against wireless network and system and method of detecting wireless network intrusion

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040108999A KR100628325B1 (ko) 2004-12-20 2004-12-20 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20060070309A KR20060070309A (ko) 2006-06-23
KR100628325B1 true KR100628325B1 (ko) 2006-09-27

Family

ID=36642229

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040108999A KR100628325B1 (ko) 2004-12-20 2004-12-20 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법

Country Status (2)

Country Link
US (1) US7640585B2 (ko)
KR (1) KR100628325B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220022322A (ko) 2020-08-18 2022-02-25 세종대학교산학협력단 네트워크 공격 탐지 장치 및 방법

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7536723B1 (en) * 2004-02-11 2009-05-19 Airtight Networks, Inc. Automated method and system for monitoring local area computer networks for unauthorized wireless access
US8196199B2 (en) * 2004-10-19 2012-06-05 Airdefense, Inc. Personal wireless monitoring agent
US7827608B2 (en) * 2005-02-08 2010-11-02 International Business Machines Corporation Data leak protection system, method and apparatus
KR100718094B1 (ko) * 2005-09-21 2007-05-16 삼성전자주식회사 무선 센서 네트워크에서의 이상 데이터 처리 방법
US8099495B2 (en) 2005-12-29 2012-01-17 Intel Corporation Method, apparatus and system for platform identity binding in a network node
US7809354B2 (en) * 2006-03-16 2010-10-05 Cisco Technology, Inc. Detecting address spoofing in wireless network environments
US8205238B2 (en) * 2006-03-30 2012-06-19 Intel Corporation Platform posture and policy information exchange method and apparatus
TWI316345B (en) * 2006-04-28 2009-10-21 Hon Hai Prec Ind Co Ltd System and method for identifying beacon
TWI324454B (en) * 2006-07-21 2010-05-01 Hon Hai Prec Ind Co Ltd Electronic device and association detection method thereof
CN100544288C (zh) * 2006-07-26 2009-09-23 鸿富锦精密工业(深圳)有限公司 客户端及其连接侦测方法
WO2008016778A2 (en) * 2006-07-31 2008-02-07 Agito Networks, Inc. System and method to facilitate handover
US8281392B2 (en) * 2006-08-11 2012-10-02 Airdefense, Inc. Methods and systems for wired equivalent privacy and Wi-Fi protected access protection
US8239943B2 (en) * 2006-08-18 2012-08-07 Microsoft Corporation Network security page
WO2008043110A2 (en) * 2006-10-06 2008-04-10 Smobile Systems, Inc. System and method of malware sample collection on mobile networks
WO2008043109A2 (en) * 2006-10-06 2008-04-10 Smobile Systems, Inc. System and method of reporting and visualizing malware on mobile networks
US8069483B1 (en) * 2006-10-19 2011-11-29 The United States States of America as represented by the Director of the National Security Agency Device for and method of wireless intrusion detection
US8087085B2 (en) * 2006-11-27 2011-12-27 Juniper Networks, Inc. Wireless intrusion prevention system and method
KR100847145B1 (ko) * 2006-12-04 2008-07-18 한국전자통신연구원 불법 액세스 포인트 검출 방법
EP2109986A2 (en) * 2007-02-05 2009-10-21 Bandspeed, Inc. Approach for mitigating the effects of rogue wireless access points
US7966660B2 (en) * 2007-05-23 2011-06-21 Honeywell International Inc. Apparatus and method for deploying a wireless network intrusion detection system to resource-constrained devices
US20090019539A1 (en) * 2007-07-11 2009-01-15 Airtight Networks, Inc. Method and system for wireless communications characterized by ieee 802.11w and related protocols
KR101131185B1 (ko) * 2008-12-03 2012-04-02 한국전자통신연구원 이동 단말 및 이를 이용한 서비스 제공 방법
US8694624B2 (en) * 2009-05-19 2014-04-08 Symbol Technologies, Inc. Systems and methods for concurrent wireless local area network access and sensing
WO2010150052A2 (en) * 2009-06-24 2010-12-29 Nokia Corporation Methods and apparatuses for avoiding denial of service attacks by rogue access points
KR20110071709A (ko) * 2009-12-21 2011-06-29 삼성전자주식회사 배터리 소진 공격에 대한 방어 방법 및 이 기능을 갖는 배터리 기반 무선 통신 기기와 기록 매체
JP2013523043A (ja) 2010-03-22 2013-06-13 エルアールディシー システムズ、エルエルシー ソースデータセットの完全性を識別及び保護する方法
US8479290B2 (en) 2010-06-16 2013-07-02 Alcatel Lucent Treatment of malicious devices in a mobile-communications network
US9202049B1 (en) 2010-06-21 2015-12-01 Pulse Secure, Llc Detecting malware on mobile devices
KR101060620B1 (ko) * 2010-11-22 2011-08-31 주식회사 정보보호기술 암호화 기능을 가지는 무선 통신 시스템 및 그 방법
DE102010062469A1 (de) * 2010-12-06 2012-06-06 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur verschlüsselten Funk-Übertragung von Daten
WO2012091529A2 (ko) * 2010-12-30 2012-07-05 (주)노르마 단말기
US9185132B1 (en) * 2011-01-12 2015-11-10 Symantec Corporation Techniques for sensor based attack reflection
US8984114B2 (en) * 2011-10-06 2015-03-17 Varmour Networks, Inc. Dynamic session migration between network security gateways
KR101279909B1 (ko) * 2011-12-16 2013-07-30 (주)시큐리티존 일체형 침입차단 시스템
KR101186874B1 (ko) * 2011-12-30 2012-10-02 주식회사 정보보호기술 유무선 통합시스템의 무선침입 탐지 시스템의 운영방법
KR20140035600A (ko) * 2012-09-14 2014-03-24 한국전자통신연구원 무선 침입방지 동글 장치
US9717005B2 (en) * 2012-11-21 2017-07-25 Empire Technology Development Llc Schemes for connecting to wireless network
KR101382526B1 (ko) * 2012-11-30 2014-04-07 유넷시스템주식회사 맥 스푸핑 방지를 위한 네트워크 보안방법 및 보안시스템
KR20140071776A (ko) * 2012-12-04 2014-06-12 한국전자통신연구원 무선랜 침입 탐지 방법 및 시스템
US9198118B2 (en) * 2012-12-07 2015-11-24 At&T Intellectual Property I, L.P. Rogue wireless access point detection
KR101414176B1 (ko) 2013-06-07 2014-07-02 한국전자통신연구원 지그비 네트워크 취약점 분석 장치 및 방법
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US9628502B2 (en) 2014-06-09 2017-04-18 Meadow Hills, LLC Active attack detection system
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US9483317B1 (en) 2015-08-17 2016-11-01 Varmour Networks, Inc. Using multiple central processing unit cores for packet forwarding in virtualized networks
KR102329493B1 (ko) * 2015-11-27 2021-11-22 삼성전자 주식회사 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치
WO2017210198A1 (en) 2016-05-31 2017-12-07 Lookout, Inc. Methods and systems for detecting and preventing network connection compromise
US10218697B2 (en) 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
KR101878248B1 (ko) * 2018-01-24 2018-07-13 주식회사 엘지유플러스 액세스 포인트에서 단말의 무선 접속을 차단하는 방법 및 그 장치
US11336621B2 (en) * 2018-05-08 2022-05-17 Shlomo Touboul WiFiwall
US11134081B2 (en) 2019-10-31 2021-09-28 International Business Machines Corporation Authentication mechanism utilizing location corroboration
KR102157661B1 (ko) * 2020-03-11 2020-09-18 주식회사 시큐아이 무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법
DE102020129228B4 (de) 2020-11-05 2022-10-06 genua GmbH Datenverarbeitungsvorrichtung zum Aufbauen einer sicheren Kommunikationsverbindung
CN112671801B (zh) * 2021-01-12 2022-10-28 哈尔滨财富通科技发展有限公司 一种网络安全检测方法和系统
US11523293B1 (en) * 2021-10-12 2022-12-06 Levi Gundert Wireless network monitoring system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040107219A1 (en) * 2002-09-23 2004-06-03 Wimetrics Corporation System and method for wireless local area network monitoring and intrusion detection

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100341000B1 (ko) 2000-10-14 2002-06-20 장문수 보안 관리 시스템 및 방법
US20020083344A1 (en) * 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
KR100432168B1 (ko) 2001-12-27 2004-05-17 한국전자통신연구원 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법
US7778606B2 (en) 2002-05-17 2010-08-17 Network Security Technologies, Inc. Method and system for wireless intrusion detection

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040107219A1 (en) * 2002-09-23 2004-06-03 Wimetrics Corporation System and method for wireless local area network monitoring and intrusion detection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220022322A (ko) 2020-08-18 2022-02-25 세종대학교산학협력단 네트워크 공격 탐지 장치 및 방법

Also Published As

Publication number Publication date
US20060150250A1 (en) 2006-07-06
KR20060070309A (ko) 2006-06-23
US7640585B2 (en) 2009-12-29

Similar Documents

Publication Publication Date Title
KR100628325B1 (ko) 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
US20030084321A1 (en) Node and mobile device for a mobile telecommunications network providing intrusion detection
US20080052779A1 (en) Methods and Systems For Wired Equivalent Privacy and Wi-Fi Protected Access Protection
EP1554837A2 (en) System and method for remotely monitoring wirless networks
WO2006026099A2 (en) An automated sniffer apparatus and method for wireless local area network security
EP3433749B1 (en) Identifying and trapping wireless based attacks on networks using deceptive network emulation
KR20070054067A (ko) 무선 액세스 포인트 장치 및 그를 이용한 네트워크 트래픽침입탐지 및 차단방법
CN111988289B (zh) Epa工业控制网络安全测试系统及方法
Baraković et al. Security issues in wireless networks: An overview
Agrawal et al. The performance analysis of honeypot based intrusion detection system for wireless network
Agrawal et al. Wireless rogue access point detection using shadow honeynet
CN104660572A (zh) 新型接入网络中拒绝服务攻击的模式数据的控制方法及装置
Lovinger et al. Detection of wireless fake access points
Guo Survey on WiFi infrastructure attacks
KR101186876B1 (ko) 유무선 통합시스템에서 실시간 침입차단 방법
Lu et al. Client-side evil twin attacks detection using statistical characteristics of 802.11 data frames
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
US9100429B2 (en) Apparatus for analyzing vulnerability of wireless local area network
Letsoalo et al. Survey of Media Access Control address spoofing attacks detection and prevention techniques in wireless networks
Mohammed et al. Detailed DoS attacks in wireless networks and countermeasures
Hsu et al. A passive user‐side solution for evil twin access point detection at public hotspots
Nasser et al. An Effective Approach to Detect and Prevent ARP Spoofing Attacks on WLAN.
Ghosh et al. Analysis of network security issues and threats analysis on 5G wireless networks
Kamal et al. Analysis of network communication attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120910

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130829

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140827

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150827

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160826

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170828

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190826

Year of fee payment: 14