KR101003104B1 - 무선 네트워크에서 보안 상황 감시 장치 - Google Patents

무선 네트워크에서 보안 상황 감시 장치 Download PDF

Info

Publication number
KR101003104B1
KR101003104B1 KR1020080131716A KR20080131716A KR101003104B1 KR 101003104 B1 KR101003104 B1 KR 101003104B1 KR 1020080131716 A KR1020080131716 A KR 1020080131716A KR 20080131716 A KR20080131716 A KR 20080131716A KR 101003104 B1 KR101003104 B1 KR 101003104B1
Authority
KR
South Korea
Prior art keywords
information
wireless network
security
security event
signal
Prior art date
Application number
KR1020080131716A
Other languages
English (en)
Other versions
KR20100073125A (ko
Inventor
정치윤
장범환
손선경
유종호
김건량
김종현
나중찬
조현숙
김채규
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020080131716A priority Critical patent/KR101003104B1/ko
Priority to US12/482,716 priority patent/US20100162392A1/en
Publication of KR20100073125A publication Critical patent/KR20100073125A/ko
Application granted granted Critical
Publication of KR101003104B1 publication Critical patent/KR101003104B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W64/00Locating users or terminals or network equipment for network management purposes, e.g. mobility management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/79Radio fingerprint

Abstract

본 발명은 무선 네트워크에서 보안 상황 감시 장치에 관한 것으로, 본 발명에 따른 무선 네트워크에서 보안 상황 감시 장치는 하나 이상의 RF 신호 정보를 수집하는 RF 신호 수집부, 트래픽 정보, 경보 정보 중 하나 이상을 포함하는 보안 이벤트 정보를 수집하는 보안 이벤트 수집부, 수집된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석하여 매핑하는 보안 이벤트 정보 매핑부 및 매핑된 보안 이벤트 정보를 표시하는 보안 이벤트 정보 표시부를 포함한다. 이에 의해, RF 신호 감시를 통해 획득된 RF 신호 정보와, 무선 네트워크 장비에서 발생되는 트래픽 정보, 경보 정보를 포함하는 보안 이벤트 정보를 매핑하여 정보 시각화 기법을 사용하여 효과적으로 표현함으로써 네트워크 관리자가 현재 무선 네트워크의 보안 상황을 직관적으로 인지할 수 있는 장점이 있다.
RF 신호, 보안, 매핑, 표시

Description

무선 네트워크에서 보안 상황 감시 장치{Apparatus for monitoring the security status in wireless network and method thereof}
본 발명은 무선 네트워크에서 보안 상황 감시 장치에 관한 것으로, 더욱 상세하게는 수집된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석하여 매핑하고, 매핑된 보안 이벤트 정보를 표시하는 무선 네트워크에서 보안 상황 감시 장치에 관한 것이다.
본 발명은 지식경제부 및 정보통신연구진흥원의 IT 성장동력기술개발 사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-022-02, 과제명: All-IP 환경의 지능형 사이버 공격 감시 및 추적 시스템 개발].
무선 네트워크의 보안 상황을 감시하는 방법은 무선 네트워크 기반의 방법과 유선 네트워크 기반의 방법이 있다. 무선 네트워크 기반으로 보안 상황을 감시하는 방법은 무선 네트워크의 보안 장비로부터 탐지된 공격의 결과만을 표시하는 방법과 무선 네트워크를 구성하는 장비로부터 트래픽 정보를 수집하여 통계 정보를 표현하는 방법이 있다.
첫 번째 방법의 경우 무선 네트워크의 RF 신호를 감시하는 센서 또는 공격 탐지 기능이 있는 무선 엑세스 포인트(Access Point : AP)가 무선 트래픽을 분석하여 사이버 공격 여부를 판단한 후 그 결과를 관리 서버로 전송하여 화면상에 경보 데이터를 테이블 또는 그래프를 사용하여 표현한다. 이와 같은 방법의 경우 RF 신호를 감시하는 센서 또는 공격 탐지 기능이 있는 무선 AP가 사이버 공격을 탐지하지 못하는 경우에 네트워크 관리자가 공격을 인지할 수 없는 단점이 있다.
두 번째 방법의 경우 무선 네트워크를 구성하는 무선 AP 또는 RF 신호를 수집하는 이벤트 수집 에이전트가 무선 트래픽을 수집하여 관리 서버로 전송하면, 관리 서버에서는 전송받은 트래픽에 대한 통계치를 화면상에 표현하였다. 이와 같은 방법의 경우 통계 정보만을 네트워크 관리자에게 전달하기 때문에 네트워크 관리자는 현재 이상 현상에 대한 상세한 정보를 획득하기 어려운 단점이 있다.
유선 네트워크 기반으로 무선 네트워크의 보안 상황을 감시하는 방법은 무선 AP에 연결된 유선 네트워크로부터 트래픽 정보 또는 경보 정보를 전송받은 후, 전송받은 정보에 대한 통계치를 화면상에 표현하는 것이다. 이와 같은 방법의 경우 무선 네트워크의 특성을 반영하지 못한다는 단점이 있다. 또한, 통계 정보를 표현하기 때문에 네트워크 관리자에게 상세한 정보를 전달하기 어려운 단점이 있다.
본 발명의 목적은, 무선 네트워크에서 RF 신호 정보와 보안 이벤트 정보를 수집하고 수집된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석 및 매핑하여 표시함으로써, 네트워크 관리자가 현재 무선 네트워크의 보안 상황을 직관적으로 인지할 수 있는 무선 네트워크에서 보안 상황 감시 장치를 제공하는 것이다.
본 발명에 따른 무선 네트워크에서 보안 상황 감시 장치는, 하나 이상의 RF 신호 정보를 수집하는 RF 신호 수집부, 트래픽 정보, 경보 정보 중 하나 이상을 포함하는 보안 이벤트 정보를 수집하는 보안 이벤트 수집부, 상기 수집된 RF 신호 정보와 상기 보안 이벤트 정보의 연관성을 분석하여 매핑하는 보안 이벤트 정보 매핑부 및 상기 매핑된 보안 이벤트 정보를 표시하는 보안 이벤트 정보 표시부를 포함 한다.
상기 보안 이벤트 정보 매핑부는, 하나 이상의 RF 신호 수집기로부터 RF 신호 정보를 수신하여 상기 RF 신호 정보를 수집하고, 상기 수집된 하나 이상의 RF 신호 정보를 무선 네트워크 장비 별로 통합하며, 상기 무선 네트워크 장비 별로 통합된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석하여 매핑한다.
상기 보안 이벤트 정보 매핑부는, 무선 네트워크에서 발생되어 수집된 상기 트래픽 정보와 상기 RF 신호 정보의 수집을 통하여 생성되는 엑세스 포인트(Access Point: AP)에 대한 상세 정보를 무선 네트워크 장비 별로 매핑한다.
상기 보안 이벤트 정보 표시부는, 무선 네트워크에서 발생되어 수집된 상기 트래픽 정보로부터 주기 시간 동안의 분산도를 계산하여 네트워크의 이상 현상을 분류하고 표시한다.
상기 보안 이벤트 정보 표시부는, 하나 이상의 무선 네트워크 장비 위치를 3차원 기반으로 표시하는 위치 정보 표시 부분, 무선 네트워크 장비 별로 보안 상황을 표시하는 보안 상황 표시 부분 및 이상 현상이 발생한 무선 네트워크 장비에 대한 이상 현상을 유형에 따라 분류하여 표시하는 이상 현상 표시 부분 중 하나 이상을 표시한다.
상기 보안 상황 표시 부분은, 엑세스 포인트 정보 표시창을 포함하며, 상기 억세스 포인트 정보 표시창은 엑세스 포인트(Access Point: AP)의 SSID(Service Set Identifier), ESSID(Extended Service Set Identifier), IP 정보, 현재 접속 호스트 수 정보, AP가 처음 패킷을 생성한 시간 정보 및 AP가 마지막 패킷을 생성한 시간 정보 중 하나 이상을 표시한다.
상기 보안 이벤트 정보 표시부는, 반원 또는 원을 N개의 영역으로 나누어서 무선 채널을 할당하고, 엑세스 포인트와의 거리를 반지름으로 표현하며, 엑세스 포인트 관련 정보를 식별력 있는 도형과 글자 표현하여, 상기 RF 신호 정보 수집을 통해서 획득한 데이터를 표시한다.
상기 보안 이벤트 정보 표시부는, 상기 반원 또는 원의 외곽에 각 채널에서 발생한 통계 정보를 식별력 있는 도형과 글자로 표시한다.
본 발명에 따르면, 무선 네트워크에서 RF 신호 정보와 보안 이벤트 정보를 수집하고 수집된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석 및 매핑하여 표시함으로써, 네트워크 관리자가 현재 무선 네트워크의 보안 상황을 직관적으로 인지할 수 있다.
특히, 무선 네트워크를 구성하는 장비의 물리적 위치 정보, 무선 네트워크 장비 별 보안 상황 정보 및 이상 현상이 발생한 무선 네트워크 장비의 이상 현상 정보를 정보 시각화 기법을 사용하여 효과적으로 표현함으로써, 네트워크 관리자가 무선 네트워크에서 발생한 이상 현상을 빠르게 인지하여 대응할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명한다.
도 1은 본 발명에 따른 무선 네트워크에서 보안 상황 감시 시스템을 나타낸 도면이다.
도 1을 참조하면, 무선 네트워크에서 보안 상황 감시 시스템은 무선 정보 단말 장치(124, 126, 128, 134, 136, 138), 무선 정보 단말 장치와 무선으로 접속된 무선 네트워크 장비(122, 132), 보안 이벤트 수집기(120, 130), RF 신호 수집기(110, 112, 114) 및 보안 상황 감시 장치(100)를 포함하며, 보안 상황 감시 장치(100)는 보안 이벤트 수집부(102), RF 신호 수집부(104), 보안 이벤트 정보 매핑부(106) 및 보안 이벤트 정보 표시부(108)를 포함한다.
이때, 보안 상황 감시 장치(100)는 TCP(Transmission Control Protocol) 또 는 UDP(User Datagram Protocol) 등의 프로토콜을 이용하여, 유선 또는 무선으로 보안 이벤트 수집기(120, 130) 및 RF 신호 수집기(110, 112, 114)와 통신을 수행할 수 있으며, 데이터베이스를 통해 데이터를 수신할 수 있다.
보안 이벤트 수집부(102)는 무선 네트워크 장비로부터 발생되는 트래픽을 수집하는 보안 이벤트 수집기(120, 130)로부터 Netflow, sflow 등의 트래픽 데이터와 무선 침입 탐지 시스템 등의 무선 보안 장비에서 생성되는 경보 데이터를 수집한다. 보안 이벤트 수집부(102)에서 수집되는 데이터는 트래픽의 근원지 IP 정보, 목적지 IP 정보, 근원지 포트 번호, 목적지 포트 번호, 프로토콜 정보 등을 포함한다.
RF 신호 수집부(104)는 다수의 RF 신호 수집기(110, 112, 114)가 RF 신호 감시를 통하여 획득하는 RF 신호 정보를 수신한다. RF 신호 감시를 통하여 얻어지는 정보는 무선 엑세스 포인트(Access Point: AP)에 관련된 SSID(Service Set Identifier), AP의 MAC(Media Access Control) 주소, 사용하는 채널 정보, 발생되는 패킷의 양 등의 정보와 무선 채널 별 발생되는 패킷의 양, CRC(Cyclic Redundancy Check) 에러, ICV(Integrity Check Value) 에러 등의 정보 및 무선 AP와 연결된 호스트의 IP 및 MAC 주소 정보 등이 있다.
보안 이벤트 정보 매핑부(106)는 RF 신호 수집부(104)에서 제공받은 RF 신호 정보들을 통합하여 무선 네트워크 장비 별로 통합한다. 또한, 보안 이벤트 정보 매핑부(106)는 보안 이벤트 수집부(102)로부터 제공받은 보안 이벤트 정보와 무선 네트워크 장비 별로 생성된 RF 신호 정보의 연관성을 분석 및 매핑하여 보안 이벤트 정보 표시부(108)로 제공한다.
예를 들어, 보안 이벤트 정보 매핑부(106)는 RF 신호 정보에 포함된 엑세스 포인트 관련 정보와, 각 보안 이벤트 정보를 전송하는 보안 이벤트 수집기의 관련 엑세스 포인트 정보를 참조하여 연관성을 분석할 수 있다.
보안 이벤트 정보 표시부(108)는 보안 이벤트 정보 매핑부(106)로부터 제공된 매핑 결과를 화면상에 표시하고, 보안 이벤트를 분석하여 이상 현상의 유형 별로 분류하여 화면상에 표시한다. 또한 무선 네트워크의 구조를 3차원 공간으로 표현할 수 있다.
도 2는 본 발명에 따른 무선 네트워크에서 보안 상황 감시 장치의 내부 구성을 나타낸 블록도이다.
도 2를 참조하면, 본 발명에 따른 무선 네트워크에서 보안 상황 감시 장치(200)는 보안 이벤트 수집부(210), RF 신호 수집부(220), 보안 이벤트 정보 매핑부(230) 및 보안 이벤트 정보 표시부(240)를 포함하되, 보안 이벤트 수집부(210)는 보안 이벤트 수집 모듈(212), 보안 이벤트 정규화 모듈(214)을 포함하고, RF 신호 수집부(220)는 RF 신호 수집 모듈(222), RF 신호 정규화 모듈(224)을 포함하고, 보안 이벤트 정보 매핑부(230)는 이벤트 정보 매핑 모듈(232), RF 신호 통합 모듈(234)를 포함하며, 보안 이벤트 정보 표시부(240)는 이상 현상 탐지 모듈(242), 보안 이벤트 정보 표시 모듈(244)을 포함한다.
보안 이벤트 수집 모듈(212)은 TCP 또는 UDP 등의 네트워크 통신 또는 데이터베이스를 통하여 다양한 보안 이벤트 정보를 전송 받은 후, 보안 이벤트 정규화 모듈(214)로 제공한다. 보안 이벤트 정규화 모듈(214)은 수집된 보안 이벤트 정보들을 하나의 통일된 포맷으로 정규화한 후, 이벤트 정보 매핑 모듈(232)로 제공한다.
RF 신호 수집 모듈(222)은 TCP 또는 UDP 등의 네트워크 통신 또는 데이터베이스를 통하여 RF 신호 감시를 통해서 획득된 RF 신호 정보를 전송 받은 후, RF 신호 정규화 모듈(224)로 제공한다. RF 신호 정규화 모듈(224)은 제공받은 RF 신호 정보로부터 필요한 정보들을 추출하여 하나의 통일된 포맷으로 정규화한 후, RF 신호 통합 모듈(234)로 제공한다.
RF 신호 통합 모듈(234)은 RF 신호 정규화 모듈(224)로부터 제공받은 데이터들을 무선 네트워크 장비 별로 통합한다. RF 신호 정보는 RF 신호 감시를 통해서 생성되기 때문에, 하나의 무선 네트워크 장비에서 발생하는 RF 신호 정보가 다수의 RF 신호 수집기를 통해 획득될 수 있다. 따라서, RF 신호 감시를 통해서 획득되는 RF 신호 정보는 무선 네트워크 장비 별로 통합되어야 한다. 예를 들어, 하나의 무선 네트워크 장비(x)에 의해서 발생되는 정보가 n개의 속성을 가지고 있고, k개의 RF 신호 수집기에 의해서 획득되는 경우 다음 수식에 의해서 무선 네트워크 장비에 대한 속성이 결정된다.
Xn=F(X1n, X2n,..., Xkn)
Xn 은 무선 네트워크 장비에 대한 속성이고, F는 RF 신호 정보를 통합하는 함수이고, n은 하나의 무선 네트워크 장비에 의해서 발생되는 정보의 속성 개수이고, k는 RF 신호 수집기의 개수를 나타낸다.
RF 신호 정보를 통합하는 함수 F는 입력값 중에서 유일한 값을 추출하는 함수, 또는 평균 함수, 또는 가중치의 평균 함수 등이 사용될 수 있다.
RF 신호 통합 모듈(234)에 의해 통합된 RF 신호 정보는 이벤트 정보 매핑 모듈(232)로 전달된다.
이벤트 정보 매핑 모듈(232)은 RF 신호 통합 모듈(234)과 보안 이벤트 정규화 모듈(214)로부터 제공받은 데이터들의 연관성을 분석하여 매핑한다. 보안 이벤트 정규화 모듈(214)로부터 제공받은 데이터에는 IP 주소가 있어서 트래픽의 흐름을 파악 할 수 있으며, RF 신호 정보를 통해 AP의 현재 상태에 대한 상세한 정보를 얻을 수 있다. 따라서, 무선 AP별로 생성된 트래픽 정보와 RF 신호 감시를 통해 획득된 AP에 대한 상세 정보를 매핑하여 통합된 정보로 생성하면 네트워크 관리자는 트래픽의 흐름에 따른 특성뿐만 아니라 AP에 상태에 대한 정보를 동시에 얻을 수 있다. 이벤트 정보 매핑 모듈(232)에서 생성된 정보는 이상 현상 탐지 모듈(242)과 보안 이벤트 정보 표시 모듈(244)로 전달된다.
이상 현상 탐지 모듈(242)은 이벤트 정보 매핑 모듈(232)로부터 제공받은 이벤트 정보를 무선 네트워크 장비 별로 분석하여 이상 현상을 판단하는 기능을 수행하며, 이상 현상이 발생한 무선 네트워크 장비 정보를 보안 이벤트 정보 표시 모듈(244)에 알려준다.
보안 이벤트 정보 표시 모듈(244)은 현재 무선 네트워크 장비 및 무선 단말 의 위치를 3차원 공간에 표현하고, 이벤트 정보 매핑 모듈(232)로부터 제공받은 이벤트 정보를 화면에 표시한다. 즉, 보안 이벤트 정보 표시 모듈(244)은 현재 무선 네트워크 장비의 위치를 GIS(Geographical Information System) 기반으로 표시할 수 있다. 또한, 보안 이벤트 정보 표시 모듈(244)은 이상 현상 탐지 모듈(242)로부터 이상 현상이 발생한 무선 네트워크 장비 정보를 제공받은 경우, 관리자가 인지하기 쉽도록 화면상에 표시한다.
도 3은 본 발명에 따른 하나의 무선 네트워크 장비에 대한 트래픽 정보 분석 결과와 RF 신호 정보를 동시에 표현하는 화면을 나타낸 도면이다.
도 3을 참조하면, 무선 네트워크 장비에서 발생한 트래픽 정보에 대해서 주기 시간 T 동안 근원지 IP, 근원지 포트 번호, 목적지 포트 번호, 목적지 IP, 트래픽의 개수에 대해서 각각의 분산도를 계산하게 된다.
근원지 IP 분산도(310)는 전체 이벤트 중에서 유일한 값을 가지는 근원지 IP의 비율로 계산한다. 예를 들어, 전체 트래픽의 수가 100일 때, 전체 트래픽 중 유일한 근원지 IP가 50개이면 근원지 IP분산도(310)는 0.5가 된다.
근원지 포트 번호 분산도(320), 목적지 포트 번호 분산도(330), 목적지 IP 분산도(340), 트래픽 개수에 대한 분산도(350)도 근원지 IP 분산도와 동일한 방법으로 계산되며, 이때, 분산도는 최소값 0, 최대값 1을 가진다.
제1 주기 시간 동안의 분산도가 막대 그래프로 표현되고, 제2 주기 시간 동안의 분산도(360), 제3 주기 시간 동안의 분산도(370)는 식별력을 가지는 라인으로 표현된다. 제2 주기 시간, 제3 주기 시간은 아래 수학식2를 통해 계산된다. n과 k 는 0보다 큰 정수 값을 가진다.
T'=n*T
T"=k*T'
T는 제1 주기 시간을 나타내고, T'는 제2 주기 시간을 나타내고, T"는 제3 주기 시간을 나타내며, n과 k는 0보다 큰 임의의 정수 값이다.
네트워크 관리자는 주기 시간 별로 분산도의 분포를 통해서 네트워크의 이상 현상을 파악할 수 있다. 보안 이벤트 정보 표시부의 이상 현상 탐지 모듈은 상기 계산된 분산도와 주기 시간 별 분산도의 변화를 통하여 이상 현상을 탐지하게 된다.
RF 신호 수집을 통하여 획득된 정보는 AP 정보 표시창(380)을 통하여 표시된다. AP 정보 표시창(380)에 표시될 수 있는 정보는 AP의 SSID(Service Set Identifier), ESSID(Extended Service Set Identifier), IP 정보, 현재 접속 호스트의 수, AP가 처음 패킷을 생성한 시간, AP가 마지막으로 패킷을 생성한 시간 등의 정보이다. 이와 같이, 트래픽의 분석 정보와 RF 신호 수집을 통하여 획득된 정보를 동시에 표현함으로써, 네트워크 관리자는 무선 네트워크 장비에 대한 상세 정보를 보다 신속하게 인지할 수 있다.
도 4는 본 발명의 일 실시예에 따른 무선 네트워크에서 보안 상황 표시 화면을 나타낸 도면이다.
도 4를 참조하면, 본 발명에 의해서 표시되는 화면은 3차원 기반의 건물 정 보를 바탕으로 무선 네트워크의 장비 및 호스트를 표시하는 위치 정보 표현 부분, 관리 대상이 되는 무선 네트워크 장비 별 보안 상황을 표현하는 부분, 이상 현상이 발생한 무선 네트워크 장비를 발생 유형에 따라 분류하여 표시하는 부분으로 구성된다.
위치 정보 표현 부분은 3차원 건물이 다수의 층으로 구성되며, 사용자의 선택에 따라서 다수의 건물로 구성될 수 있다. 위치 정보 표현 부분에서는 이상 현상이 발생한 무선 네트워크 장비 또는 호스트를 식별력 있는 도형과 글자로 표현할 수 있다.
무선 네트워크 장비 별 보안 상황을 표현하는 부분은 도 3에서 제시된 방법을 통하여 표시하며, RF 신호 수집을 통하여 추출한 특성 정보 및 트래픽에 관련된 정보를 식별력 있게 표현할 수 있다.
이상 현상 발생 유형에 따라 분류하여 표시하는 부분은 예를 들어, Ddos, Worm, HostScan, PortScan 등과 같은 이상 현상을 발생 유형을 분류하여 표시한다.
한편, 본 발명에 의해서 표시되는 화면은 무선 네트워크 장비에 한정하지 않고, 유선 네트워크 장비 및 호스트를 표시하는 위치 정보 표현 부분, 관리 대상이 되는 유선 네트워크 장비 별 보안 상황을 표현하는 부분, 이상 현상이 발생한 유선 네트워크 장비를 발생 유형에 따라 분류하여 표시하는 부분을 포함할 수 있다.
도 5는 본 발명의 다른 실시예에 따른 무선 네트워크에서 보안 상황 표시 화면을 나타낸 도면이다.
도 5를 참조하면, 본 발명에 의해서 표시되는 화면은 반원을 N개로 나누어서 채널로 할당하고, 반지름을 거리로 매핑하여 현재 AP의 거리 및 사용하는 채널로 AP의 위치를 표현한다. AP의 거리는 무선 패킷의 시그널 강도를 사용하여 계산한다. AP가 발생하는 패킷의 양, 현재 접속되어 있는 호스트의 수, 데이터 암호화의 사용 여부 및 암호화 방법 등의 정보를 식별력 있는 도형과 글자로 표현한다. 반원의 외곽에는 각 채널에서 발생하는 패킷의 통계 정보를 식별력 있는 도형과 글자로 표현한다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한, 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 용이하게 추론될 수 있다.
이상에서 본 발명의 바람직한 실시예에 대해 도시하고 설명하였으나, 본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경 은 청구범위 기재의 범위 내에 있게 된다.
도 1은 본 발명에 따른 무선 네트워크에서 보안 상황 감시 시스템을 나타낸 도면.
도 2는 본 발명에 따른 무선 네트워크에서 보안 상황 감시 장치의 내부 구성을 나타낸 블록도.
도 3은 본 발명에 따른 하나의 무선 네트워크 장비에 대한 트래픽 정보 분석 결과와 RF 신호 정보를 동시에 표현하는 화면을 나타낸 도면.
도 4는 본 발명의 일 실시예에 따른 무선 네트워크에서 보안 상황 표시 화면을 나타낸 도면.
도 5는 본 발명의 다른 실시예에 따른 무선 네트워크에서 보안 상황 표시 화면을 나타낸 도면.

Claims (10)

  1. 하나 이상의 RF 신호 정보를 수집하는 RF 신호 수집부;
    트래픽 정보, 경보 정보 중 하나 이상을 포함하는 보안 이벤트 정보를 수집하는 보안 이벤트 수집부;
    상기 수집된 RF 신호 정보와 상기 보안 이벤트 정보의 연관성을 분석하여 매핑하는 보안 이벤트 정보 매핑부; 및
    상기 매핑된 보안 이벤트 정보를 표시하는 보안 이벤트 정보 표시부를 포함하고,
    상기 보안 이벤트 정보 표시부는,무선 네트워크에서 발생되어 수집된 상기 트래픽 정보로부터 주기 시간 동안의 분산도를 계산하여 네트워크의 이상 현상을 분류하고 표시하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
  2. 제 1항에 있어서,
    상기 보안 이벤트 정보 매핑부는,
    하나 이상의 RF 신호 수집기로부터 RF 신호 정보를 수신하여 상기 RF 신호 정보를 수집하고, 상기 수집된 하나 이상의 RF 신호 정보를 무선 네트워크 장비 별로 통합하며, 상기 무선 네트워크 장비 별로 통합된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석하여 매핑하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
  3. 제 1항에 있어서,
    상기 보안 이벤트 정보 매핑부는,
    무선 네트워크에서 발생되어 수집된 상기 트래픽 정보와 상기 RF 신호 정보의 수집을 통하여 생성되는 엑세스 포인트(Access Point: AP)에 대한 상세 정보를 무선 네트워크 장비 별로 매핑하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
  4. 삭제
  5. 제 1항에 있어서,
    상기 보안 이벤트 정보 표시부는,
    하나 이상의 무선 네트워크 장비 위치를 3차원 기반으로 표시하는 위치 정보 표시 부분, 무선 네트워크 장비 별로 보안 상황을 표시하는 보안 상황 표시 부분 및 이상 현상이 발생한 무선 네트워크 장비에 대한 이상 현상을 유형에 따라 분류하여 표시하는 이상 현상 표시 부분 중 하나 이상을 표시하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
  6. 제 5항에 있어서,
    상기 보안 상황 표시 부분은, 억세스 포인트 정보 표시창을 포함하며,
    상기 억세스 포인트 정보 표시창은 엑세스 포인트(Access Point: AP)의 SSID(Service Set Identifier), ESSID(Extended Service Set Identifier), IP 정보, 현재 접속 호스트 수 정보, AP가 처음 패킷을 생성한 시간 정보 및 AP가 마지막 패킷을 생성한 시간 정보 중 하나 이상을 표시하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
  7. 제 1항에 있어서,
    상기 보안 이벤트 정보 표시부는,
    반원 또는 원을 N개의 영역으로 나누어서 무선 채널을 할당하고, 엑세스 포인트와의 거리를 반지름으로 표현하며, 엑세스 포인트 관련 정보를 식별력 있는 도형과 글자 표현하여, 상기 RF 신호 정보 수집을 통해서 획득한 데이터를 표시하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
  8. 제 7항에 있어서,
    상기 보안 이벤트 정보 표시부는,
    상기 반원 또는 원의 외곽에 각 채널에서 발생한 통계 정보를 식별력 있는 도형과 글자로 표시하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
  9. 제 1항에 있어서,
    상기 RF 신호 정보는,
    엑세스 포인트(Access Point: AP)의 SSID(Service Set Identifier), AP의 MAC(Media Access Control) 주소, 사용 채널 정보, 발생 패킷의 양, 무선 채널 별 발생 패킷의 양, CRC(Cyclic Redundancy Check) 에러, ICV(Integrity Check Value) 에러, AP와 접속된 호스트 IP 및 호스트 MAC 주소 정보 중 하나 이상을 포함하는 것을 특징으로 무선 네트워크에서 보안 상황 감시 장치.
  10. 제 1항에 있어서,
    상기 보안 이벤트 정보는,
    트래픽의 근원지 IP 정보, 목적지 IP 정보, 근원지 포트 번호, 목적지 포트 번호 및 프로토콜 정보 중 하나 이상을 포함하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
KR1020080131716A 2008-12-22 2008-12-22 무선 네트워크에서 보안 상황 감시 장치 KR101003104B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020080131716A KR101003104B1 (ko) 2008-12-22 2008-12-22 무선 네트워크에서 보안 상황 감시 장치
US12/482,716 US20100162392A1 (en) 2008-12-22 2009-06-11 Apparatus and method for monitoring security status of wireless network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080131716A KR101003104B1 (ko) 2008-12-22 2008-12-22 무선 네트워크에서 보안 상황 감시 장치

Publications (2)

Publication Number Publication Date
KR20100073125A KR20100073125A (ko) 2010-07-01
KR101003104B1 true KR101003104B1 (ko) 2010-12-21

Family

ID=42268117

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080131716A KR101003104B1 (ko) 2008-12-22 2008-12-22 무선 네트워크에서 보안 상황 감시 장치

Country Status (2)

Country Link
US (1) US20100162392A1 (ko)
KR (1) KR101003104B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210030361A (ko) * 2018-07-18 2021-03-17 비트데펜더 아이피알 매니지먼트 엘티디 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8904522B1 (en) * 2010-09-16 2014-12-02 Rockwell Collins, Inc. Universal communications gateway
US8973147B2 (en) 2011-12-29 2015-03-03 Mcafee, Inc. Geo-mapping system security events
KR101868893B1 (ko) * 2012-07-09 2018-06-19 한국전자통신연구원 네트워크 보안 상황 시각화 방법 및 그 장치
KR20140035600A (ko) * 2012-09-14 2014-03-24 한국전자통신연구원 무선 침입방지 동글 장치
KR101640074B1 (ko) 2014-04-03 2016-07-15 한국전자통신연구원 무선 디바이스의 rf 특징 수집 장치 및 방법
US9830458B2 (en) * 2014-04-25 2017-11-28 Symantec Corporation Discovery and classification of enterprise assets via host characteristics
US9813484B2 (en) 2014-12-31 2017-11-07 Motorola Solutions, Inc. Method and apparatus analysis of event-related media
US9615255B2 (en) * 2015-04-29 2017-04-04 Coronet Cyber Security Ltd Wireless communications access security
US10235523B1 (en) 2016-05-10 2019-03-19 Nokomis, Inc. Avionics protection apparatus and method
CN108494727A (zh) * 2018-02-06 2018-09-04 成都清华永新网络科技有限公司 一种用于网络安全管理的安全事件闭环处理方法
KR102148688B1 (ko) 2018-11-02 2020-08-27 고려대학교 산학협력단 협력 재밍과 스푸핑을 이용한 무선 통신 채널 감시 시스템 및 방법
KR102038926B1 (ko) * 2018-11-17 2019-11-15 한국과학기술정보연구원 공격자 선정 장치 및 공격자 선정 장치의 동작 방법
KR102038927B1 (ko) * 2018-11-17 2019-10-31 한국과학기술정보연구원 공격자 가시화 장치 및 공격자 가시화 장치의 동작 방법
US11310206B2 (en) 2019-08-06 2022-04-19 Kyndryl, Inc. In-line cognitive network security plugin device
KR102125440B1 (ko) * 2020-04-01 2020-06-22 주식회사 이글루시큐리티 보안 관제 인터페이스 제공 방법 및 그 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100874015B1 (ko) * 2007-06-11 2008-12-17 스콥정보통신 주식회사 무선랜 침입 방지 시스템 및 방법

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040049698A1 (en) * 2002-09-06 2004-03-11 Ott Allen Eugene Computer network security system utilizing dynamic mobile sensor agents
JP4634456B2 (ja) * 2004-09-09 2011-02-16 アバイア インコーポレーテッド ネットワーク・トラフィックのセキュリティのための方法およびシステム
GB0428533D0 (en) * 2004-12-30 2005-02-09 Nokia Corp Presence services in a wireless communications network
US8205244B2 (en) * 2007-02-27 2012-06-19 Airdefense, Inc. Systems and methods for generating, managing, and displaying alarms for wireless network monitoring
WO2009049679A1 (en) * 2007-10-18 2009-04-23 Telecom Italia S.P.A. Method and system for displaying user-related information on users'handsets

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100874015B1 (ko) * 2007-06-11 2008-12-17 스콥정보통신 주식회사 무선랜 침입 방지 시스템 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210030361A (ko) * 2018-07-18 2021-03-17 비트데펜더 아이피알 매니지먼트 엘티디 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법
KR102462128B1 (ko) * 2018-07-18 2022-11-03 비트데펜더 아이피알 매니지먼트 엘티디 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법

Also Published As

Publication number Publication date
US20100162392A1 (en) 2010-06-24
KR20100073125A (ko) 2010-07-01

Similar Documents

Publication Publication Date Title
KR101003104B1 (ko) 무선 네트워크에서 보안 상황 감시 장치
CN102340485B (zh) 基于信息关联的网络安全态势感知系统及其方法
KR100949803B1 (ko) 아이피 주소 분할 표시 장치 및 방법
KR100925176B1 (ko) 지리 정보를 이용한 네트워크 상태 표시장치 및 방법
US8468599B2 (en) System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis
KR20150091775A (ko) 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
CN101309179B (zh) 一种基于主机活跃性和通信模式分析实时异常流量检测方法
CN107277443B (zh) 一种大范围周边安全监控方法和系统
CN113612763B (zh) 基于网络安全恶意行为知识库的网络攻击检测装置和方法
CA2430571A1 (en) Flow-based detection of network intrusions
CN104852927A (zh) 基于多源异构的信息安全综合管理系统
CN103532776A (zh) 业务流量检测方法及系统
CN110138770B (zh) 一种基于物联网威胁情报生成和共享系统及方法
CN109104438A (zh) 一种窄带物联网中的僵尸网络预警方法及装置
CN109218321A (zh) 一种网络入侵检测方法及系统
CN112363443A (zh) 一种数据中心的自动化监控方法及系统
KR20140080738A (ko) 빌딩 통합 운영 관리 서버 및 그 관리 방법
WO2022139642A1 (en) Device, method, and system for supporting botnet traffic detection
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
Valtorta et al. A clustering approach for profiling LoRaWAN IoT devices
Garlisi et al. Exploratory approach for network behavior clustering in LoRaWAN
Hamza et al. Combining device Behavioral models and building schema for cybersecurity of large-scale IoT infrastructure
Oluwabukola et al. A Packet Sniffer (PSniffer) application for network security in Java
CN105784937B (zh) 气体苯系物探测的数据可视化方法及系统
CN114244727A (zh) 一种电力物联网通信全景图即时生成方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131128

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151127

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20161121

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee