KR100678390B1 - 침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크및 이와 관한 방법 - Google Patents

침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크및 이와 관한 방법 Download PDF

Info

Publication number
KR100678390B1
KR100678390B1 KR1020057002224A KR20057002224A KR100678390B1 KR 100678390 B1 KR100678390 B1 KR 100678390B1 KR 1020057002224 A KR1020057002224 A KR 1020057002224A KR 20057002224 A KR20057002224 A KR 20057002224A KR 100678390 B1 KR100678390 B1 KR 100678390B1
Authority
KR
South Korea
Prior art keywords
stations
packets
network
data
mac
Prior art date
Application number
KR1020057002224A
Other languages
English (en)
Other versions
KR20050049471A (ko
Inventor
토마스 제이 빌하르쯔
Original Assignee
해리스 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 해리스 코포레이션 filed Critical 해리스 코포레이션
Priority to KR1020057002224A priority Critical patent/KR100678390B1/ko
Publication of KR20050049471A publication Critical patent/KR20050049471A/ko
Application granted granted Critical
Publication of KR100678390B1 publication Critical patent/KR100678390B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

무선 근거리 또는 도시권 네트워크는 상호간 및 폴리싱 지국 사이에 데이터 전송을 위한 복수의 지국을 포함한다. 폴리싱 지국은 비공인 주기동안 전송을 검출하기 위한 복수의 지국들 사이의 전송을 모니터링 함으로서 무선 네트워크 내부로의 침입을 감지하고 이에 기초하여 침입 경보를 생성한다. 폴리싱 지국은 또한 하나 또는 그 이상의 통합체크값에 기초하여 침입을 검출하고, 이는 각 데이터 패킷. 그리고 지국에 의한 비연속 미디어 액세스 콘트롤(MAC) 시퀀스 갯수의 사용, 및 패킷 타입 및/또는 MAC 어드레스의 충돌에 대응하지 않는다.
무선 네트워크, 무선 지국, 기지국, 폴리싱 지국, 로우그 지국, 침입 경보.

Description

침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크 및 이와 관한 방법 {Wireless local or metropolitan area network with intrusion detection features and related methods}
무선 네트워크은 과거 몇년동안 지속적인 발전을 해왔다. 무선 근거리 네트워크(LAN), 무선 도시권 네트워크(MAN)가 그 두가지 예이다. 기본 서비스 셋(BSS)에서, 이러한 네트워크는 예를들면 라디오 주파수 신호를 통하여 액세스 포인트 또는 기지국(예를들면, 서버)과 통신할 수 있는 하나 또는 그 이상의 무선 지국(예를들면, 무선 네트워크 인터페이스 카드(NIC)를 갖는 휴대용 컴퓨터)을 포함한다. 기지국은 예를들면, 동기화와 조정, 방송 패킷의 발송, 무선 LAN/MAN과 전화 네트워크 같은 유선 네트워크 사이의 교량 제공 등과 같은 수많은 기능을 수행한다.
확장 서비스 셋(ESS)에서는, 네트워크에 복수개의 기지국이 포함된다. 다른 한편으로, 어떤 무선 LAN/MAN에서는 단지 서로간의 동등 계층 통신만 관여하는 무선 지국만을 갖고, 기지국은 전혀 없을 수도 있다. 이런 유형은 독립적인 기본 서비스 셋(IBSS)이라 불리운다. 그리고, IBSS에서는 무선 지국중의 하나가 특유하게 선택되어 존재하지 않는 기지국을 대신하는 프럭시처럼 행동한다.
아마, 무선 LAN/MAN의 인기에 대한 가장 중요한 이유는 이러한 네트워크는 유선 인프라스트럭쳐가 요구되지 않는다는 점에서 상대적으로 저렴하고 배치하기가 쉽다는 것이다. 그러나, 무선 LAN/MAN 또한 유선 네트워크에서 발견되지 않는 몇개의 중요한 결점을 가진다. 예를들면, 무선 LAN/MAN 장치들은 널리 보급되었기에 이러한 장치들은 인가받지 않은 무선 지국을 사용하면서 (말하자면 로우그 지국) 네트워크에 침입하고 네트워크 보안을 위태롭게 할려고 할지도 모르는 예비 해커들에게 쉽게 이용될 수 있다. 또한, 만일 무선 LAN/MAN이 서로간에 너무 가까이서 작동된다면 그 네트워크는 서로를 침입하고 네트워크 파괴의 원인을 제공할 수도 있다. 특히, 네트워크들이 같은 채널을 공유하는 경우 이러한 가능성은 더욱 커진다.
무선 LAN/MAN 안에서 통신을 규제하기 위해 개발된 중요한 표준중의 하나는 "정보 기술에 대한 IEEE 표준 -- 원격 통신 및 정보 시스템 -- 근거리 및 도시권 통신 -- 특정한 요구사항 -- 제 11부 : 무선 LAN 미디어 액세스 콘트롤(MAC) 그리고 물리층(PHY) 상세"의 표제를 갖는 1999년도의 전기 및 전자기술자 협회' 802 LAN/MAN 표준 위원회의 표준이며, 여기에 개시된 사항은 이곳에서 참고로 통합된다. 무선통신규약을 제공함에 부가하여, 802.11 표준은 또한 무선 신호를 도청으로부터 보호하는데 사용되는 유선과 동등한 프라이버시(WEP) 알고리즘을 규정한다. 좀더 상세히, WEP는 본래 전송된 메시지가 위태롭게 되지 않았다는 것을 확실하게 하기 위한 무결성 체크뿐 아니라, 지국간에 보내진 메시지의 암호화를 규정한다.
WEP 알고리즘은 네트워크 보안의 약간의 수단을 제공하지만, 그것은 네트워크 안으로의 잠재적인 침입을 탐지하거나 통보할수 없다. 이러한 침입 탐지 시스템은 전형적으로 침입 탐지가 요구되는 지국상에 설치되는 보안 모니터링 소프트웨어 를 포함한다. 이러한 소프트웨어는 미디어 액세스 컨트롤(MAC) 어드레스 또는 인터넷 프로토콜(IP) 어드레스를 모니터링하거나 레코딩하고 그것들을 인가된 네트워크 지국의 알려진 어드레스와 비교하여 침입자를 탐지하려고 시도할 수 있다. 더욱이 이런 시스템은 WEP가 작동하지 않을 때 감시할 수 있다.
와일드패킷사의 침입탐지시스템의 특유한 예는 아이로피크로 불리운다. 아이로피크는 네트워크에서 사용중인 ESS 및 BSS ID(ESSIDs, BSSIDs)에 기초를 둔 인가받지 않은 로우그 지국을 찾아낸다. 말하자면, 네트워크에서 사용중인 모든 인가받은 BSSIDs와 ESSIDs의 목록이 생성된다. 필터는 모든 인가받지 않은 지국을 배제하는데 사용된다. 이 필터는 통상의 네트워크 트래픽을 포착하거나, ESSIDs 또는 BSSIDs에 부합하는 802.11 프레임내에서 데이터 오프셋을 결정함으로써 생성될 수 있다.
또한 아이로피크는 프레임 카운트에 기초하여 개시되는 경보를 포함하고 있다. 말하자면, 프레임 카운트가 영을 초과하면 경보가 개시된다(즉, 어떤 프레임들이 로우그 지국으로부터 탐지되면, 그 때 경보가 개시된다). 더우기, 아이로피크는 경보를 이메일을 통하거나 시스템 외부로 전화를 거는 모뎀을 이용하여 경보를 통보할 수 있다.
상기의 시스템에 의하여 진보가 있었음에도 불구하고, 무선 LAN/MAN으로의 의 다소의 침입은 아직도 이러한 시스템에 의하여 탐지되지 않고 있다. 말하자면, 예를들어 로우그 지국이 인가된 어드레스 및/또는 ID의 접근에 성공하였을 때, 상기의 입문단계의 접근법은 네트워크로의 로우그 지국의 침입을 탐지하지 못할 것이 다.
전술한 배경 기술을 고려하여, 무선의 LAN/MAN에 침입 탐지 특징과 관련된 방법을 제공하는 것이 본 발명의 목적이다.
본 발명에 따는 상기 또는 다른 목적, 특징, 그리고 장점들은 상호간 데이터를 전송하기 위한 복수의 지국과 폴리싱 지국을 포함하는 무선 근거리 또는 도시권 네트워크에 의하여 제공된다.
폴리싱 지국은 인가되지 않은 기간 동안의 전송을 탐지하기 위하여 복수의 지국 사이의 전송을 모니터링함에 의하여 무선 네트워크로의 침입을 탐지할 수 있고 이에 기초하여 바로 침입 경보를 발생시킬 수 있다.
좀더 상세히, 지국들은 패킷으로 데이터를 전송할 수 있고 각각의 패킷에 관해서 전송에 대한 각각의 무결성 체크값을 발생시킨다. 이처럼, 폴리싱 지국은 각각의 데이터에 부합하지 않는 무결성 체크값을 탐지하기 위하여 복수의 지국 사이의 전송을 모니터링함으로써 무선 네트워크로의 침입을 탐지할 수 있고 그리고 이에 기초하여 침입 경보를 발생시킬 수 있다. 더욱이, 데이터 패킷은 미디엄 액세스 콘트롤(MAC) 층을 통해서 전송될 수 있고, 지국들은 각각의 데이터 패킷에 관한 각각의 MAC 시퀀스 숫자를 또한 전송할 수 있다. 이와같이, 폴리싱 지국은 하나의 지국에 의한 불연속적인 MAC 시퀀스 숫자의 사용을 탐지하기 위하여 복수의 지국 사이의 전송을 모니터링함으로써 무선 네트워크로의 침입을 탐지할 수 있고, 이에 기초하여 침입 경보를 발생시킬 수 있다.
더욱이, 각각의 데이터는 그것과 함께 관련된 하나의 패킷 타입을 가질 수 있고, 그래서 폴리싱 지국은 소정의 패킷타입을 갖는 패킷들의 충돌들을 탐지하기 위해 복수의 지국 사이의 전송을 모니터링함으로써 무선 네트워크로의 침입을 탐지할 수 있고 그리고 이에 기초하여 바로 침입 경보를 발생시킬 수 있다. 특히, 소정의 패킷 타입은 매니지먼트 프레임 패킷들(예를들어, 인증, 연합, 및 비콘 패킷들), 컨트롤 프레임 패킷들(예를 들어, 발송요청(RTS) 및 발송취소(CTS) 패킷들), 그리고 데이터 프레임 패킷들 중의 하나를 포함한다. 소정의 패킷 타입을 갖는 패킷들의 충돌들의 횟수의 한계값은 예를들면 대략 3보다 클 수 있다. 더욱이 한계값은 소정의 패킷 타입을 갖는 모니터된 패킷의 총수의 백분율에 기초할 수 있다.
각각의 지국은 거기서부터 데이터와 함께 전송되는 부가의 MAC 어드레스를 가질수 있다. 이렇듯, 폴리싱 지국은 MAC 어드레스의 충돌들을 탐지하기 위하여 복수의 지국 사이의 전송을 모니터링함으로써 무선 네트워크로의 침입을 탐지할 수 있고, 이에 기초하여 침입 경보를 발생시킬수 있다. 예로서, 동일한 MAC 어드레스의 충돌들의 횟수의 한계값은 대략 3보다 클 수 있다.
부가적으로, 무선 네트워크는 그것과 함께 관련된 적어도 하나의 서비스 셋 증명(ID)을 가질 수 있다. 따라서, 폴리싱 지국은 그것과 함께 관련된 서비스 셋 ID들을 탐지하기 위하여 복수의 지국 사이의 전송을 모니터링함으로써 무선 네트워크로의 침입을 탐지할 수 있고, 그 무선 네트워크의 적어도 하나의 서비스 셋 ID와 일치하지 않는 탐지된 서비스 셋 ID들에 기초하여 침입 경보를 발생시킬수 있다. 또한, 복수의 지국들은 적어도 하나의 채널을 통하여 전송할 수 있고 폴리싱 지국 은 그 복수의 지국중의 하나로부터 발원하지 않은 적어도 하나의 채널을 통한 전송을 탐지할 수 있고, 그리고 이에 기초하여 침입 경보를 발생시킬수 있다.
폴리싱 지국은 더욱이 침입 경보를 복수의 지국 중의 적어도 하나에 전송할 수 있고, 더욱더, 폴리싱 지국은 기지국일 수 있고, 그리고 그것은 또한 무선 지국일 수 있다.
본 발명에 있어서 침입 탐지방법은 복수의 지국을 포함하는 무선 근거리 또는 도시권 네트워크에 대한 것이다. 더욱 상세히, 본 발명은 복수의 지국 사이에 데이터 전송 그리고 인가되지 않은 기간 동안의 전송을 탐지하기 위하여 복수의 지국 사이의 전송을 모니터링함을 포함한다. 더욱더, 인가되지 않은 기간 동안의 전송 탐지에 기초하여 침입 경보가 발생된다.
이에 부가하여, 복수의 지국은 패킷으로 데이터를 전송할 수 있고 그리고 각각의 무결성 체크값을 발생시킬수 있다. 이렇듯히, 본 방법은 그들의 각각의 데이터 패킷에 부합하지 않는 무결성 체크값을 탐지하기 위하여 복수의 지국 사이의 전송을 모니터링하는 것을 포함하고, 그리고 이에 기초하여 침입 경보를 발생시킬 수 있다.
데이터 패킷은 미디엄 액세스 컨트롤(MAC) 층을 거쳐서 전송될 수 있고, 그리고 복수의 지국은 또한 각각의 데이터 패킷과 관련된 각각의 MAC 시퀀스 숫자를 전송할 수 있다. 이와같이, 본 방법은 하나의 지국에 의한 불연속적인 MAC 시퀀스 숫자의 사용을 탐지하기 위하여 복수의 지국 사이의 전송을 모니터링함으로써 무선 네트워크로의 침입을 탐지할 수 있고, 이에 기초하여 그 뒤에 바로 침입 경보를 발 생시킬 수 있다.
각각의 데이터는 또한 그것과 함께 관련된 하나의 패킷 타입을 가질 수 있다. 본 방법은 따라서 소정의 패킷타입을 갖는 패킷들의 충돌들을 탐지하기 위하여 복수의 지국 사이의 전송을 모니터링, 그리고 소정의 패킷 타입을 갖는 패킷들의 충돌들의 한계 횟수를 탐지함에 기초하여 침입 경보를 발생시키는 것을 포함한다. 예로서, 소정의 패킷 타입은 적어도 매니지먼트 프레임 패킷들, (예를들면, 인증, 연합, 및 지침 패킷들), 컨트롤 프레임 패킷들(예를들면, 발송요청(RTS) 그리고 발송취소(CTS) 패킷들), 그리고 데이터 프레임 패킷들 중의 하나를 포함한다. 더욱이, 소정의 패킷 타입을 갖는 패킷들의 충돌들의 한계 횟수는 예를들면 대략 3보다 클 수 있다. 더욱이, 그 한계 횟수은 소정의 패킷 타입을 갖는 모니터된 패킷의 총수의 백분율에 기초할 수 있다.
복수의 지국은 MAC 층을 거쳐서 전송할 수 있고, 각각의 지국은 거기서 보내어진 데이터와 함께 전송되는 그것과 관련된 MAC 어드레스를 가질수 있다. 따라서, 본 방법은 같은 MAC 어드레스의 충돌들을 탐지하기 위하여 복수의 지국 사이의 전송을 모니터링하는 것, 그리고 같은 MAC 어드레스의 충돌들의 한계 횟수를 탐지함에 기초하여 침입 경보를 발생시키는 것을 포함한다. 예로서, 충돌들의 한계 횟수는 대략 3보다 클 수 있다.
본 방법은 관련된 서비스 셋 ID들을 탐지하기 위하여 복수의 지국 사이의 전송을 모니터링하는 것 그리고 그 무선 네트워크의 적어도 하나의 서비스 셋 ID와 다른 탐지된 서비스 셋 ID들에 기초하여 침입 경보를 발생시키는 것을 포함한다. 또한, 전송은 복수의 지국중의 하나로부터 발원하지 않은 적어도 하나의 채널을 통하여 탐지할 수 있고, 그리고 침입 경보는 이에 기초하여 그 뒤에 바로 발생될 수 있다. 침입 경보는 또한 복수의 지국 중의 적어도 하나에 전송될 수 있다.
도 1은 프레임 체크 시퀀스(FCS) 에러에 기초하여 침입 탐지를 제공하는 본 발명에 따른 무선 LAN/MAN의 개략적인 블럭도이다.
도 2는 미디어 액세스 컨트롤(MAC) 어드레스의 실패한 인증에 기초하여 침입 탐지를 제공하는 도 1의 무선 LAN/MAN의 대체적인 실시예의 개략적인 블럭도이다.
도 3은 불법적인 네트워크 할당 벡터(NAVs)에 기초하여 침입 탐지를 제공하는 도 1의 무선 LAN/MAN의 다른 대체적인 실시예의 개략적인 블럭도이다.
도 4 및 도 5는 각각 무경합 주기(CFP)의 밖에서 무경합 모드 동작 및 CFP 동안에 경합 모드 동작에 기초하여 침입 탐지를 제공하는 도 1의 무선 LAN/MAN의 또 다른 대체적인 실시예의 개략적인 블럭도이다.
도 6은 인가되지 않은 기간에 발생하는 전송에 기초하여 침입 탐지를 제공하는 도 1의 무선 LAN/MAN의 다른 대체적인 실시예의 개략적인 블럭도이다.
도 7은 각각의 데이터 패킷과 부합하지 않는 무결성 체크값을 탐지함에 기초하여 침입 탐지를 제공하는 도 1의 무선 LAN/MAN의 다른 대체적인 실시예의 개략적인 블럭도이다.
도 8은 하나의 지국에 의한 불연속적인 MAC 시퀀스 숫자 사용을 탐지함에 기초하여 침입 탐지를 제공하는 도 1의 무선 LAN/MAN의 다른 대체적인 실시예의 개략 적인 블럭도이다.
도 9는 소정의 패킷 타입을 갖는 패킷들의 충돌들을 탐지함에 기초하여 침입 탐지를 제공하는 도 1의 무선 LAN/MAN의 다른 대체적인 실시예의 개략적인 블럭도이다.
도 10은 같은 MAC 어드레스의 충돌들을 탐지함에 기초하여 침입 탐지를 제공하는 도 1의 무선 LAN/MAN의 또 다른 대체적인 실시예의 개략적인 블럭도이다.
도 11은 FCS 에러의 탐지에 기초한 본 발명에 따른 침입 탐지 방법을 예시하는 흐름도이다.
도 12는 MAC 어드레스의 실패한 인증의 탐지에 기초한 본 발명에 따른 침입 탐지 방법을 예시하는 흐름도이다.
도 13은 불법적인 네트워크 할당 벡터(NAV) 값의 탐지에 기초한 본 발명에 따른 침입 탐지 방법을 예시하는 흐름도이다.
도 14 그리고 도 15는 각각 CFP의 밖에서 무경합 모드 작동의 탐지 그리고 CFP 동안에 경합 모드 작동의 탐지에 기초한 본 발명에 따른 침입 탐지 방법을 예시하는 흐름도이다.
도 16은 인가되지 않은 기간 동안의 전송의 탐지에 기초한 본 발명에 따른 침입 탐지 방법을 예시하는 흐름도이다.
도 17은 각각의 데이터 패킷에 부합하지 않는 무결성 체크값의 탐지에 기초한 본 발명에 따른 침입 탐지 방법을 예시하는 흐름도이다.
도 18은 하나의 지국에 의한 불연속적인 MAC 시퀀스 숫자 사용의 탐지에 기 초한 본 발명에 따른 침입 탐지 방법을 예시하는 흐름도이다.
도 19는 소정의 패킷타입을 갖는 패킷들의 충돌들의 탐지에 기초한 본 발명에 따른 침입 탐지 방법을 예시하는 흐름도이다.
도 20은 같은 MAC 어드레스의 충돌들의 탐지에 기초한 본 발명에 따른 침입 탐지 방법을 예시하는 흐름도이다.
도 21은 침입 탐지에 대한 본 발명의 부가적인 방법의 측면을 예시하는 흐름도이다.
본 발명은 바람직한 본 발명의 실시예들을 나타낸 첨부 도면들을 참조하여 이하에서 더욱 상세하게 설명될 것이다. 그러나, 본 발명은 다양한 다른 형태들로 실시될 수 있으며, 여기에 제시된 실시예들에만 한정되는 것으로 해석되지 않아야 한다. 오히려, 이러한 실시예들은 본 명세서가 철저하고 완전하며, 그리고 당해 기술분야에서 통상의 지식을 가진 자에게 본 발명의 범위를 완전히 전달하기 위하여 제공된 것이다.
이하의 논의에서는, 같은 번호들은 처음부터 끝까지 같은 구성요소들을 나타낸다. 더욱이, 도 1 내지 도 10을 특히 언급하는 경우, 십의 자리가 다른 참조 번호들은 다른 실시예들에서 유사한 구성요소들을 지칭한다. 예를 들어, 도 1 내지 10에 도시된 무선 지국들 11, 21, 31, 41, 51, 61, 71, 81, 91, 및 101은 모두 유사한 구성요소들인 것 등이다. 그와 같이, 이러한 구성요소들은 부적당한 반복을 피하기 위해 처음 출현할 때에만 상세하게 설명될 수도 있지만, 뒤에 출현하는 구 성요소들은 처음 설명된 것과 유사한 것으로 이해된다.
이제 도 1을 참조하면, 본 발명에 따른 무선 LAN/MAN(10)은 예증적으로 무선 지국(11) 및 기지국(또는 액세스 포인트)(12)을 포함한다. 예증의 명료함을 위해서 단지 하나의 무선 지국(11) 및 기지국(12)을 나타냈지만, 당해 기술분야에서 통상의 지식을 가진 자는 무선 통신망(10)내에 임의의 갯수의 무선 또는 기지국들이 포함될 수 있다는 것을 이해할 것이다.
무선 통신망(10)을 더 상세히 설명하기 전에, 무선 LAN/MAN 프로토콜에 관한 간략한 논의가 있어야 한다. 특히, 이하 논의는 설명의 명료화를 위해 802.11 표준을 사용하는 네트워크 수단을 가정할 것이다. 그러나, 당해 기술분야에서 통상의 지식을 가진 자는 여기서 설명된 다수의 관점들 및 실시예들은 다른 적절한 무선 LAN/MAN 표준들(예를 들어, 블루투스, 등)과 함께 또한 사용될 수 있다는 것을 이해할 것이다.
802.11 표준은 데이터 전송을 위한 OSI 네트워크 모델과 함께 사용하기 위한 것이고, 이것은 어떤 형태의 데이터가 다양한 프로토콜들을 사용하여 전송되는 7개의 층들을 포함한다. 이러한 층들은 어플리케이션 층, 프리젠테이션 층, 세션 층, 트랜스포트 층, 네트워크 층, 데이터 링크 층, 그리고 물리 층을 포함한다. 데이터 링크 층은 미디어 액세스 컨트롤(MAC) 및 논리 링크 제어 하위-층들을 더 포함한다. 특히 무선 지국(11) 및 기지국(12)은 상호간 데이터를 송신하기 위해 MAC 층을, 특히 예를 들어, 상호 관련된 각각의 MAC 어드레스를 사용한다. 물론, OSI 모델의 나머지 층들도 또한 데이터 송신을 위하여 사용될 수 있다. 더욱이, 데이터는 전형적으로 패킷으로 전송되고, 그리고 이하에서 설명되는 것처럼 다양한 패킷 타입들이 메시지 데이터의 다른 타입을 위해 사용된다.
본 발명에 따라, 무선 네트워크(10)는 도식적으로 로우그 지국(14)에 의한 무선 네트워크로의 침입을 감지하기 위한 폴리싱 지국(13)을 포함한다. 예를들면, 로우그 지국(14)은 무선 네트워크(10)으로의 해킹을 시도하려는 잠재적인 해커에 의해 사용될 수 있고, 또는 그것은 단지 무선 네트워크(10)와 너무 가깝게 작동하는 다른 무선 네트워크로부터의 노드일 수 있다. 폴리싱 지국(13)은 하나 또는 그 이상의 무선 지국 및/또는 기지국을 포함할 수 있다. 본 실시예에서, 폴리싱 지국(13)은 MAC 주소로부터의 프레임 체크 시퀀스(FCS) 에러들을 탐지하기 위해 지국들(11, 12) 간의 전송들을 모니터한다. 주어진 MAC 어드레스에 대해 탐지된 FCS 에러들의 숫자가 한계값을 초과한다면, 폴리싱 지국(13)은 이에 기초하여 침입 경보를 발생한다.
여기서 사용된 것처럼, "지국 간의 전송"이라는 문구는 무선 네트워크(10)의 작동 범위 내의 어떤 전송뿐만 아니라, 지국들(11, 12) 중의 1개로 또는 1개로부터 어떤 직접적인 전송을 의미하려는 것이라는 점을 주목해야 한다. 다시 말하면, 폴리싱 지국(13)은, 그들이 특정적으로 네트워크(10)안의 하나의 지국으로 향하거나 그로부터 발원되었는지 여부에 관계없이 그것이 수신하는 다른 어떤 전송들뿐만 아니라, 지국들(11, 12)로 향하거나 이들로부터 발원하는 전송들을 모니터할 수 있다.
상기 설명된 실시예(그리고, 이하 설명되는 것들)에서, 폴리싱 지국(13)은 유익하게 무선 네트워크(10)의 지국들(11, 12) 중의 하나 또는 그 이상에게 경보를 전송할 수 있다. 예를들면, 폴리싱 지국(13)은 기지국(12)으로 직접 침입 경보를 전송할 수 있고, 그것이 다시 무선 네트워크 상의 나머지 모든 지국들에게 통보할 수 있다. 대체적으로, 폴리싱 지국(13)이 모든 네트워크 지국들에게 침입 경보를 방송할 수 있다. 어느 경우나, 당해 기술분야에서 통상의 지식을 가진 자에 의해 이해되는 바와 같이, 인가받지 않은 침입에 응답하기 위해 적당한 대응책들이 취해질 수 있다. 그러한 대응책들은 본 발명의 범위를 넘는 것이고 따라서 여기서 논의되지 않을 것이다.
이제 도 2로 전환하여, 무선 LAN/MAN(20)의 첫번째 대체적인 실시예를 설명한다. 이 실시예에서, 폴리싱 지국(23)은 MAC 어드레스들을 인증하는 데 실패한 시도들을 탐지하기 위하여 지국들(21, 22) 간의 전송을 모니터링함으로써 무선 네트워크(20)으로의 침입을 탐지한다. 특정한 MAC 주소를 인증하는 데 실패한 시도들의 어떤 소정의 횟수를 탐지할 때, 폴리싱 노드(23)는 침입 경보를 발생할 것이다.
실패한 시도들의 어떤 횟수는 침입 경보를 발생시키기 위한 한계값으로 사용될 수 있으나, 일반적으로 침입 경보의 발생없이 MAC 주소를 인증하려는 적어도 하나의 시도를 지국에게 허용하는 것이 바람직하다. 더욱이, 어떤 실시예들에서 폴리싱 지국(23)은 유익하게 탐지된 실패 횟수가 소정의 기간(예를 들어, 한 시간, 하루, 등) 안에 발생할 때만 침입 경보를 발생한다.
802.11 표준에 따라, 무선 LAN/MAN 내에서 상호간 교신하려는 두개의 지국들은 전형적으로 데이터 전송에 앞서 발송요청(RTS) 및 발송취소(CTS) 패킷들을 상호 간 전송한다. 그 이유는 다른 전송들과의 충돌을 피하기 위한 것이다. 즉, 무선 LAN/MAN내의 많은 또는 나머지 모든 지국들은 공통된 채널로 교신하고 있을 수 있기 때문에, 지국들이 간섭 또는 통신망 혼란을 야기할 수 있는 동시 전송중이 아님을 확실히 할 필요가 있다. 더욱이, RTS 및 CTS 패킷들은 전형적으로 데이터 전송을 위해 지정된 지속시간을 지시하는 네트워크 할당 벡터(NAV)를 포함한다. 이 정보는 무선 LAN/MAN 안의 다른 모든 지국들에게 전송되고, 지국들은 그 후 특정한 기간 동안에 전송을 중단할 것이다.
이제 도 3으로 전환하여, 무선 LAN/MAN(30)의 두번째 대체적인 실시예를 설명한다. 여기서 폴리싱 지국(33)은 불법적인 NAV 값을 탐지하기 위해 지국들(31, 32) 간에 전송된 RTS 및 CTS 패킷들을 모니터링함으로써 무선 네트워크로의 침입들을 탐지한다. 예를 들면, 무선 네트워크(30)는 데이터 전송이 임의의 시간을 초과하지 않는 것과 같은 방식으로 실시될 수 있고, 이 시간은 네트워크에 참여하는 모든 인가된 지국들에게 알려질 것이다. 따라서, 폴리싱 지국(33)이 할당된 시간 밖의 NAV 값을 감지한다면, 이에 기초하여 침입 경보를 발생할 것이다.
802.11 표준의 다른 특징은 무선 LAN/MAN 내의 지국들이 경합 또는 무경합 모드에서 동작할 수 있다는 것이다. 즉, 경합 모드에서는 모든 지국들은 전송되는 각각의 데이터 패킷들을 위해 사용되는 특정한 채널에의 접근을 위해 경합을 필요로 한다. 무경합 주기(CFP) 동안에, 매체의 사용은 기지국에 의해 제어되고, 따라서 채널 접근을 위해 지국들이 경합할 필요가 없어진다.
도 4에 도시된 무선 LAN/MAN(40)의 세번째 실시예에 따라, 폴리싱 지국(43) 은 CFP 외에서의 무경합 모드 동작을 탐지하기 위해 지국들(41, 42) 간의 전송들을 모니터링함으로써 무선 통신망(40)으로의 침입들을 유익하게 탐지할 수 있다. 이와 같이, 그러한 탐지에 기초하여 침입 경보는 폴리싱 지국(43)에 의해 발생될 수 있다. 다시 말해, 모든 인가받은 무선 지국들은 기지국(42)에 의해 언제 CFP가 설정되는지를 통지받기 때문에 CFP 외에서 무경합 모드로 작동하는 지국의 탐지는 이 지국이 인가받은 지국이 아니라는 것을 나타낸다. 물론, 이것은 또한 경합 모드 동작이 CFP 동안에 감지되는 경우도 마찬가지이고, 이러한 실시예는 도 5에 도시되어 있다. CFP 침입 탐지 접근방식 중 하나 또는 양자 모두가 주어진 응용예에서 실시될 수 있다는 것이 당해 기술분야에서 통상의 지식을 가진 자에 의해 이해될 것이다.
이제 도 6을 참조하여, 무선 LAN/MAN(60)의 다른 실시예를 설명한다. 여기서, 폴리싱 지국(63)은 인가받지 않은 기간중의 전송들을 탐지하기 위해 지국들(61, 62) 간의 전송들을 모니터링함으로써 무선 네트워크(60)로의 침입들을 탐지한다. 즉, 무선 네트워크(60)는 어떤 사용자라도 특정한 시간(예를 들어, 자정부터 오전 6시 사이)중에는 네트워크로의 접근이 허락되지 않는 것과 같이 실시될 수 있다. 따라서, 이런 인가받지 않은 기간 내의 전송들을 탐지하면, 폴리싱 지국(63)은 침입 경보를 유익하게 발생한다.
이제 부가적으로 도 7로 전환하여, 무선 LAN/MAN(70)의 또 다른 실시예를 설명한다. 이 실시예에서, 다양한 지국들(71, 72)이 상기 설명된 WEP 특징을 가능하도록 하고 따라서 그것들로부터 전송된 각각의 데이터 패킷들과 함께 무결성 체크 값들을 발생하고 전송한다. 이렇게, 폴리싱 지국(73)은 각각의 데이터 패킷들에 부합하지 않는 무결성 체크 값들을 탐지하기 위하여 지국들(71, 72) 간의 전송들을 모니터링함으로써 무선 통신망(70)으로의 침입들을 탐지한다. 말하자면, 잘못된 키이 스트림이 메시지 암호문을 발생하기 위해 사용된다면, 또는 메시지가 로우그 지국(84)에 의해 변경되었다면, 무결성 체크값은 오류일 가능성이 매우 높을 것이다. 이처럼 당해 기술분야에서 통상의 지식을 가진 자에 의해 이해되는 바와 같이, 폴리싱 지국(73)은 그러한 잘못된 무결성 체크값이 탐지될 때 침입 경보를 발생할 수 있다.
이제 본 발명에 따른 또 다른 무선 LAN/MAN(80)을 도 8을 참조하여 설명한다. 전형적으로, 상기 언급된 OSI 네트워크 모델이 사용될 때, 각각의 MAC 시퀀스 숫자가 발생되고 지국들(81, 82)로부터 개개의 데이터 패킷과 함께 전송된다. 즉, 개개의 연속적인 데이터 패킷과 함께 MAC 시퀀스 숫자는 증가되며, 따라서 개개의 패킷은 그와 관련된 고유의 MAC 시퀀스 숫자를 가진다. 이처럼, 폴리싱 지국(83)은 하나의 지국에 의한 불연속인 MAC 시퀀스 숫자들의 사용을 탐지하기 위해 지국들(81, 82) 간의 전송을 모니터링함으로써 무선 네트워크(80)으로의 침입들을 탐지하고, 이에 기초하여 침입 경보를 발생할 수 있다.
이제 부가적으로 도 9로 전환하면, 무선 LAN/MAN(90)의 또 다른 실시예가 도시되어 있으며, 여기서 폴리싱 지국(93)은 소정의 패킷 타입을 갖는 패킷들의 충돌을 탐지하기 위해 지국들(91, 92) 간의 전송들을 모니터링함으로써 무선 네트워크로의 침입들을 탐지한다. 특히, 소정의 패킷 타입은 매니지먼트 프레임 패킷들(예 를 들어, 인증, 연합, 및 비콘 패킷들), 컨트롤 프레임 패킷들(예를 들어, RTS 및 CTS 패킷들), 및/또는 데이터 프레임 패킷들을 포함한다. 폴리싱 지국(93)은 따라서 소정의 패킷 타입의 충돌의 한계 횟수를 탐지함에 기초하여 침입 경보를 발생할 수 있다.
여기서 사용된 것처럼, "충돌"이란 상호간의 일정한 시간 이내의 전송들뿐만 아니라 동시적인 패킷들의 전송을 포함하는 의미이다. 즉, 어떤 형태의 패킷이 전송들 간의 시간 지연을 갖는다고 한다면(예를 들어, 몇 초 등), 두개의 이러한 패킷 타입들이 서로 너무 가깝게 전송된다면(예를 들어,그들 사이에 필수적인 지연시간보다 작게) 이것은 충돌이라 간주될 것이다. 예로서, 충돌의 한계 횟수는 다른 한계값들이 또한 사용될 수 있을지라도, 예를 들면 대략 3보다 클 수 있다. 더욱이, 한계 횟수는 문제되는 특정한 패킷 타입에 기초할 수 있으며, 즉, 다른 패킷 타입에 대해 한계 횟수가 다를 수 있다.
부가적으로, 한계 횟수는 소정의 패킷 타입을 갖는 모니터된 패킷의 총 수의 백분율에 기초할 수 있다. 예를 들면, 하나의 주기(예를 들어, 1시간) 동안에 전송된 패킷들의 어떤 백분율(예를 들어, 10% 보다 큰)이 충돌과 관계가 있다면, 침입 경보가 발생될 수 있다. 대체적으로, 모니터된 패킷들의 총수중에서 어떤 패킷들의 백분율(예를 들어, 10 중에서 3)이 충돌과 관계가 있다면, 그 때 침입 경보가 발생될 것이다. 물론, 같은 목적을 위하여 다른 적당한 한계 횟수 및 방법들이 또한 사용될 수 있다.
이제 도 10을 참조하여, 무선 LAN/MAN(100)의 또 다른 실시예를 설명한다. 여기서, 폴리싱 지국(103)은 같은 MAC 어드레스의 충돌들을 탐지하기 위해 지국들(101, 102) 간의 전송들을 모니터링함으로써 무선 네트워크으로의 침입을 탐지한다. 즉, 복수의 터미널들이 서로 동시에 또는 비교적 가깝게 동일한 MAC 어드레스를 주장한다면, 에러가 발생했거나 지국들 중 한개가 로우그 지국(104)이다. 이처럼, 폴리싱 지국(103)은, 예를 들어 3보다 큰, 이런 충돌들의 한계 횟수를 탐지함에 기초하여 침입 경보를 발생한다. 여기서 다시, 다른 한계 횟수들이 또한 사용될 수 있으며, 상기 설명된 바와 같이 한계 횟수는 백분율에 기초할 수 있다.
이제 무선 네트워크(10)를 대한 본 발명의 충돌 탐지 방법의 측면을 도 11을 을 참조하여 설명할 것이다. 블럭(110)에서 시작하여, 본 방법은 상기 언급된 바와 같이, 블럭(111)에서 MAC 층을 사용하는 복수의 지국들(11, 12) 간의 데이터 전송을 포함한다. 블럭(112)에서 지국들(11, 12) 간의 전송들은 MAC 어드레스들 중 하나로부터의 FCS 에러들을 탐지하기 위해 모니터된다. 블럭(113)에서 그 MAC 어드레스에 대한 다수의 FCS 에러들이 한계값을 초과한다면, 블럭(114)에서 이에 기초하여 침입 경보가 발생되고, 따라서 본 방법을 종료(블럭 115)한다. 만약 그렇지 않으면, 도시된 바와 같이 계속하여 전송이 모니터될 것이다.
도 12를 참조하여 설명된 본 발명의 첫번째 대체적인 방법의 측면에 따르면, 본 방법은 블럭(121)에서 지국들(21, 22) 간에 데이터를 전송하는 것으로 시작(블럭(120))되고, 상기 언급된 바와 같이 블럭(122)에서 MAC 어드레스들을 인증하는 데 실패한 시도들을 탐지하기 위해 전송들을 모니터링한다. 블럭(123)에서 MAC 어드레스를 인증하는 데 실패한 다수의 시도들이 탐지되면, 블럭(124)에서 침입 경보 가 발생되고, 따라서 본 방법을 종결(블럭(125))한다. 그렇지 않으면, 도시된 바와 같이 침입의 모니터링이 계속될 것이다.
이제 도 13을 참조하여 본 발명의 두번째 대체적인 방법의 측면을 설명한다. 본 방법은 블럭(131)에서 지국들(31, 32) 간에 RTS 및 CTS 패킷들을 전송하는 것으로 시작(블럭(130))되고, 그 후 데이터를 전송한다. 상기 설명된 바와 같이, 블럭(132)에서 지국들(31, 32)간에 전송되는 RTS 및 CTS 패킷들은 그 안의 불법적인 NAV 값을 탐지하기 위해 모니터된다. 블럭(133)에서 불법적인 NAV 값이 탐지되면, 블럭(134)에서 이에 기초하여 침입 경보가 발생되고, 따라서 본 방법을 종결(블럭(135))한다. 만약 그렇지 않으면, 도시된 바와 같이 침입 모니터링이 계속될 것이다.
이제 도 14로 전환하여, 본 발명에 따른 세번째 대체적인 방법의 측면을 설명한다. 본 방법은 블럭(141)에서 지국들(41, 42) 간에 데이터를 전송하는 것으로 시작(블럭(140))되고, 상기 설명된 바와 같이, 블럭(142)에서 CFP 외에서의 무경합 모드 동작을 탐지하기 위해 전송들을 모니터한다. 블럭(143)에서 그러한 동작이 CFP 외에서 탐지되면, 블럭(144)에서 이에 기초하여 침입 경보가 발생되고, 따라서 본 방법을 종결(블럭(145))한다. 만약 그렇지 않으면, 도시된 바와 같이 침입 모니터링이 계속될 것이다. CFP 동안의 경합 모드 동작을 찾기 위해 전송들이 모니터되는 반대의 경우가 예시적으로 도 15의 블럭(150-155)에 도시되어 있다. 여기서 다시, 이러한 두 가지 방법 모두가 하나의 실시예에서 사용될 수 있지만, 항상 그렇게 해야 하는 것은 아니다.
이제 본 발명의 네번째 방법의 측면이 도 16을 참조하여 설명될 것이다. 본 방법은 블럭(161)에서 지국들(61, 62) 간에 데이터를 전송하는 것으로 시작(블럭(160))되고, 그리고 상기 설명된 바와 같이, 블럭(162)에서 권한없는 주기 동안의 전송들을 탐지하기 위해 모니터링을 하고, 블럭(163)에서 권한없는 주기 동안에 전송들이 탐지되면, 이에 기초하여 블럭(164)에서 침입 경보가 발생되고, 따라서 본 방법을 종결(블럭(165))한다. 만약 그렇지 않으면, 도시된 바와 같이 침입 모니터링이 계속될 것이다.
이제 본 발명의 다른 침입 탐지 방법의 측면이 도 17을 참조하여 설명될 것이다. 본 방법은 블럭(171)에서 지국들(71, 72) 간에 데이터를 전송하는 것으로 시작(블럭(170))되고, 그리고 상기 설명된 바와 같이, 각각의 데이터 패킷과 부합하지 않는 무결성 체크값들을 탐지하기 위해 전송들을 모니터(172)한다. 만약 부합하지 않는 경우이면, 블럭(173)에서 침입 경보가 발생되고, 따라서 본 방법을 종결(블럭(175))한다. 만약 그렇지 않으면, 도시된 바와 같이 침입 모니터링이 계속될 것이다.
이제 도 18로 전환하여, 본 발명의 또 다른 방법의 측면을 설명한다. 본 방법은 블럭(181)에서 지국들(81, 82) 간에 데이터를 전송하는 것으로 시작(블럭(180))된다. 따라서 상기 설명된 바와 같이, 본 방법은 블럭(182)에서 하나의 지국에 의한 불연속적인 MAC 시퀀스 숫자들의 사용을 탐지하기 위해 전송들을 모니터링하는 것을 또한 포함한다. 블럭(183)에서 그러한 사용이 탐지되면, 블럭(184)에서 침입 경보가 발생되고, 따라서 본 방법을 종결(블럭(185))한다. 만약 그렇지 않으 면, 도시된 바와 같이 침입 모니터링이 계속될 것이다.
부가적으로 도 19를 참조하면, 본 발명의 다른 방법의 측면은 블럭(191)에서 지국들(91, 92) 간에 데이터를 전송하는 것으로 시작(블럭(190))되고, 그리고 상기 언급된 바와 같이, 블럭(192)에서 소정의 패킷 타입을 갖는 패킷들의 충돌을 탐지하기 위해 전송들을 모니터한다. 블럭(193)에서 소정의 패킷 타입을 갖는 패킷들의 충돌에 대한 한계 횟수가 탐지되면, 블럭(194)에서 침입 경보가 발생되고, 본 방법을 종결(블럭(195))한다. 만약 그렇지 않으면, 도시된 바와 같이 침입 모니터링이 계속될 것이다.
이제 본 발명의 다른 침입 탐지의 측면이 도 20을 참조하여 설명될 것이다. 본 방법은 지국들(101, 102) 간에 데이터를 전송하는 것으로 시작(블럭(200))되고, 그리고 상기 설명된 바와 같이, 블럭(202)에서 같은 MAC 어드레스의 충돌들을 탐지하기 위하여 전송들을 모니터한다. 블럭(203)에서 같은 MAC 주소의 충돌들에 대한 한계 횟수가 탐지되면, 블럭(204)에서 침입 경보가 발생되고, 따라서 본 방법을 종결(블럭 205)한다. 만약 그렇지 않으면, 도시된 바와 같이 침입 모니터링이 계속될 것이다.
이제 본 발명의 그 이상의 침입 탐지의 측면들이 도 21을 참조하여 설명될 것이다. 위에서 언급된 바와 같이, 무선 LAN/MAN은 전형적으로 IBSSID들, BSSID들, 및/또는 ESSID들과 같은 한개 또는 그 이상의 관련된 서비스 셋 ID들을 가진다. 도시된 바와 같이, 블럭(210)에서 시작하여 블럭(211)에서 데이터 전송이 지국들(11, 12) 간에 보내질 수 있으며, 블럭(212)에서 복수의 지국들 간의 전송들은 관련된 서비스 셋 ID들 및/또는 지정된 네트워크 채널을 통해 인가받은 지국으로부터 발원하지 않은 전송들을 탐지하기 위해 모니터 된다.
이처럼, 블럭(213)에서 무선 네트워크(10)의 인가받은 서비스 셋 ID와 다른 서비스 셋 ID 및/또는 네트워크 채널상에 인가받지 않은 지국으로부터의 전송이 탐지되면, 이에 기초하여 블럭(214)에서 침입 경보가 발생된다. 더욱이, 상기 설명된 바와 같이, 블럭(215)에서 침입 경보는 네트워크안의 하나 또는 그 이상의 지국으로, 또는 모뎀 등을 통하여 다른 소스로 유익하게 전송될 수 있다. 만약 그렇지 않으면, 도시된 바와 같이 침입 모니터링이 계속될 것이다.
상기 설명된 방법의 측면들이 상기 설명된 하나 또는 그 이상의 무선 네트워크상에서 모두 실시될 수 있다는 것은 당해 기술분야에서 통상의 지식을 가진 자에게 이해될 것이다. 또한, 본 발명의 부가적인 방법의 측면들은 상기 설명을 기초로 당해 기술분야에서 통상의 지식을 가진 자에게 명백할 것이므로 여기서 더 이상 언급되지는 않을 것이다.
상기 설명된 발명은 다양한 방식으로 실시될 수 있다는 것이 또한 이해될 것이다. 예를 들면, 폴리싱 지국(13)은 항상 무선 네트워크(10)에 속하는 것이 아닌 한개 또는 그 이상의 분리된 장치들에서도 실시될 수도 있다. 대체적으로, 본 발명은 침입 탐지가 요구되는 무선 LAN/MAN내에 존재하는 한개 또는 그 이상의 지국들에 설치되는 소프트웨어에서 실시될 수도 있다.
나아가, 본 발명의 상기 설명된 측면들 중 다수는 로우그 지국이 인가받은 네트워크 또는 MAC ID(예를 들어, CFP 외에서의 무경합 동작, 인가받지 않은 기간 동안의 전송 등)를 가지는 경우에도 무선 네트워크 침입을 탐지하기 위해 유익하게 사용될 수 있다. 더욱이, 상기 측면들의 한개 또는 그 이상은 주어진 응용예에서 침입 탐지의 바람직한 수준을 제공하기 위해 유익하게 사용될 수 있다. 본 발명의 한층 더한 장점은 본 발명이 기존의 침입 탐지 시스템들, 특히 상부 OSI 네트워크 층들의 침입에 중점을 둔 시스템들을 보완하기 위해 사용될 수 있다는 것이다.

Claims (6)

  1. 무선 근거리 또는 도시권 네트워크로서,
    상호간 데이터를 전송하기 위한 복수의 지국들; 및
    인가받지 않은 기간 동안의 전송들;
    상기 복수의 지국들이 패킷으로 데이터를 전송하고 각각의 패킷에 관해 전송에 대한 각각의 무결성 체크 값들을 발생시키는 네트워크에 있어서, 그들 각각의 데이터 패킷들에 부합하지 않는 무결성 체크값들;
    상기 복수의 지국들이 미디엄 액세스 컨트롤(MAC) 층을 거쳐 패킷으로 데이터를 전송하고 또한 각각의 데이터 패킷에 관해 각각의 MAC 시퀀스 숫자를 전송하는 네트워크에 있어서, 하나의 지국에 의한 불연속적인 MAC 시퀀스 숫자들의 사용;
    상기 복수의 지국들이 각각 관련된 패킷 타입을 갖는 패킷으로 데이터를 전송하는 네트워크에 있어서, 소정의 패킷 타입을 갖는 패킷들의 충돌들의 첫번째 한계 횟수;
    상기 복수의 지국들이 미디엄 액세스 컨트롤(MAC) 층을 거쳐 패킷으로 데이터를 전송하고 각각의 지국이 거기서부터 데이터와 함께 전송되는 관련된 MAC 어드레스를 갖는 네트워크에 있어서, 같은 MAC 어드레스의 충돌들의 두번째 한계 횟수;
    상기 무선 근거리 또는 도시권 네트워크가 적어도 하나의 관련된 서비스 셋 ID를 갖는 네트워크에 있어서, 상기 무선 근거리 또는 근거리 네트워크의 관련된 서비스 셋 ID와 일치하지 않는 관련된 서비스 셋 ID들; 및
    상기 복수의 지국들이 적어도 하나의 채널을 통하여 전송하는 네트워크에 있어서, 상기 복수의 지국 중의 하나로부터 발원하지 않은 적어도 하나의 채널을 통한 전송들; 중 적어도 하나를 탐지하기 위하여 상기 복수의 지국 사이의 전송들을 모니터링 함으로써 상기 무선 근거리 또는 도시권 네트워크로의 침입을 탐지하고 그리고 그 후에 거기에 상응하는 침입 경보를 발생시키기 위한 폴리싱 지국;을 포함하는 것을 특징으로 하는 무선 근거리 또는 도시권 네트워크.
  2. 제 1 항에 있어서, 상기 소정의 패킷 타입은 인증 패킷들, 연합 패킷들, 비콘 패킷들, 발송요청(RTS) 패킷들, 및 발송취소(CTS) 패킷들 중의 적어도 하나를 포함하는 것을 특징으로 하는 무선 근거리 또는 도시권 네트워크.
  3. 제 1 항에 있어서, 상기 충돌들의 첫번째 한계 횟수 및 상기 충돌들의 두번째 한계 횟수가 3보다 큰 것을 특징으로 하는 무선 근거리 또는 도시권 네트워크.
  4. 제 1 항에 있어서, 상기 충돌들의 첫번째 한계 횟수는 소정의 패킷 타입을 갖는 모니터된 패킷의 총수의 백분율에 기초하는 것을 특징으로 하는 무선 근거리 또는 도시권 네트워크.
  5. 제 1 항에 있어서, 상기 폴리싱 지국은 상기 복수의 지국 중의 적어도 하나에 침입 경보를 더 전송하는 것을 특징으로 하는 무선 근거리 또는 도시권 네트워크.
  6. 복수의 지국들을 포함하는 무선 근거리 또는 도시권 네트워크에 대한 침입 탐지방법으로서,
    상기 복수의 지국들 사이에서 데이터를 전송하는 단계;
    인가되지 않은 기간 동안의 전송들;
    상기 복수의 지국들이 패킷으로 데이터를 전송하고 각각의 패킷에 관해 전송에 대한 각각의 무결성 체크 값들을 발생시키는 네트워크에서, 그들 각각의 데이터 패킷들에 부합하지 않는 무결성 체크값들;
    상기 복수의 지국들이 미디엄 액세스 컨트롤(MAC) 층을 거쳐 패킷으로 데이터를 전송하고 또한 각각의 데이터 패킷에 관해 각각의 MAC 시퀀스 숫자를 전송하는 네트워크에서, 하나의 지국에 의한 불연속적인 MAC 시퀀스 숫자들의 사용;
    상기 복수의 지국들이 각각 관련된 패킷 타입을 갖는 패킷으로 데이터를 전송하는 네트워크에서, 소정의 패킷 타입을 갖는 패킷들의 충돌들;
    상기 복수의 지국들이 미디엄 액세스 컨트롤(MAC) 층을 거쳐 패킷으로 데이터를 전송하고 각각의 지국이 거기서부터 데이터와 함께 전송되는 관련된 MAC 어드레스를 갖는 네트워크에서, 같은 MAC 어드레스의 충돌들;
    상기 무선 근거리 또는 도시권 네트워크가 적어도 하나의 관련된 서비스 셋 ID를 갖는 네트워크에서, 상기 무선 근거리 또는 도시권 네트워크의 관련된 서비스 셋 ID와 일치하지 않는 관련된 서비스 셋 ID들; 및
    상기 복수의 지국들이 적어도 하나의 채널을 통하여 전송하는 네트워크에 있어서, 상기 복수의 지국 중의 하나로부터 발원하지 않은 적어도 하나의 채널을 통한 전송들; 중 적어도 하나를 탐지하기 위해 복수의 지국 사이의 전송을 모니터링하는 단계; 및
    그 후에 거기에 상응하는 침입 경보를 발생하는 단계;를 포함하는 것을 특징으로 하는 무선 근거리 또는 도시권 네트워크에 대한 침입 탐지방법.
KR1020057002224A 2002-08-12 2003-08-11 침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크및 이와 관한 방법 KR100678390B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020057002224A KR100678390B1 (ko) 2002-08-12 2003-08-11 침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크및 이와 관한 방법

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/217,243 2002-08-12
KR1020057002224A KR100678390B1 (ko) 2002-08-12 2003-08-11 침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크및 이와 관한 방법

Publications (2)

Publication Number Publication Date
KR20050049471A KR20050049471A (ko) 2005-05-25
KR100678390B1 true KR100678390B1 (ko) 2007-02-02

Family

ID=37247896

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057002224A KR100678390B1 (ko) 2002-08-12 2003-08-11 침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크및 이와 관한 방법

Country Status (1)

Country Link
KR (1) KR100678390B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112153631A (zh) * 2019-06-28 2020-12-29 北京奇虎科技有限公司 识别非法入侵的方法和装置、路由器

Also Published As

Publication number Publication date
KR20050049471A (ko) 2005-05-25

Similar Documents

Publication Publication Date Title
CA2495142C (en) Wireless local or metropolitan area network with intrusion detection features and related methods
EP1535414B1 (en) Wireless local on metropolitan area network with intrusion detection features and related methods
CA2495151C (en) Mobile ad-hoc network with intrusion detection features and related methods
KR100673830B1 (ko) 침입탐지 특성을 가진 이동 애드-혹 통신망 및 이와 관련된방법
US8789191B2 (en) Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
US8069483B1 (en) Device for and method of wireless intrusion detection
KR102157661B1 (ko) 무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법
US8145131B2 (en) Wireless ad hoc network security
KR100678390B1 (ko) 침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크및 이와 관한 방법
KR100673825B1 (ko) 침입 감지 특징이 있는 무선 근거리 또는 도시권 통신망및 이에 관한 방법

Legal Events

Date Code Title Description
A201 Request for examination
G170 Re-publication after modification of scope of protection [patent]
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130110

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140109

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150109

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160113

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170123

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180111

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20200114

Year of fee payment: 14