KR101262992B1 - 무선 센서 네트워크 보호를 위한 침입 탐지 장치 및 그 방법 - Google Patents
무선 센서 네트워크 보호를 위한 침입 탐지 장치 및 그 방법 Download PDFInfo
- Publication number
- KR101262992B1 KR101262992B1 KR1020110083028A KR20110083028A KR101262992B1 KR 101262992 B1 KR101262992 B1 KR 101262992B1 KR 1020110083028 A KR1020110083028 A KR 1020110083028A KR 20110083028 A KR20110083028 A KR 20110083028A KR 101262992 B1 KR101262992 B1 KR 101262992B1
- Authority
- KR
- South Korea
- Prior art keywords
- node
- malicious
- intrusion
- packet
- intrusion detection
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
무선 센서 네트워크 보호를 위한 침입 탐지 장치 및 그 방법이 개시된다. 본 발명의 일 실시예에 따른 침입 탐지 장치는 내부공격으로부터 센서노드를 보호하기 위해서, 이벤트가 발생하는 온라인 상태에서는 이웃노드 정보와 악성노드 정보를 이용하여 미리 선언된 악성노드로부터 센서노드를 보호하고, 이벤트 발생 후 소정의 시간이 경과한 오프라인 상태에서는 탐지규칙을 규정한 명세에 기초하여 소정의 시간 동안의 침입을 탐지한다.
Description
본 발명의 일 양상은 보안 기술에 관한 것으로, 보다 상세하게는 무선 센서 네트워크 보호를 위한 내부공격 탐지 기술에 관한 것이다.
무선 센서 네트워크(Wireless Sensor Network : WSN)는 센서 노드, 센서 노드로부터 수집된 정보를 가공하는 프로세서 및 가공된 정보를 전송하는 무선 송수신 장치로 구성된 네트워크이다. 이는 의사소통뿐만 아니라 자동화된 원격정보 수집이 가능하여 네트워크 내의 센서 노드의 추적, 감시, 제어 등 다양한 응용 개발에 폭넓게 활용되고 있다. 이러한 무선센서 네트워크는 인간 중심의 유비쿼터스 패러다임이 확대되면서 유비쿼터스 센서 네트워크(Ubiquitous sensor network : USN)로 발전하고 있다.
보안은 네트워킹 패러다임을 위한 주요한 과제 중 하나다. 무선 네트워크는 무선매체를 사용하고 자원에 대한 애드혹 접근을 제공하기 때문에 유선 네트워크보다 위협에 취약하다. 안전한 무선 센서 네트워크는 전장 감시, 헬스케어, 재해 복구, 환경 모니터링 등의 다양한 애플리케이션을 위한 미래의 수요이다.
선행기술 [A. P. R. Da Silva, M. H. T. Martins, B. P. S. Rocha, A. A. F. Loureiro, L. B. Ruiz, and W. C. Wong, "Decentralized Intrusion Detection in wireless sensor networks," in Proc. of the 1st ACM International workshop on Quality of Service & Security in Wireless and Mobile networks, Quebec, Canada, pp. 16-23, 2005]에는 간단한 IDS(Intrusion detection system) 에이전트 프레임워크 기술에 대해 개시하고 있다.
또한, 선행기술 [R. Roman, J. Zhou, and J. Lopez, "Applying Intrusion Detection Systems to wireless sensor networks," in Proc. of 3rd IEEE Consumer Communications and Networking Conference, pp. 640-644, 2006]에는 일반적인 IDS 에이전트 프레임워크 기술에 대해 개시하고 있다.
일 양상에 따라, 무선 센서 네트워크의 분산 환경에서 내부공격으로부터 센서노드의 침입을 탐지하고 침입을 차단하여 보안율을 높일 수 있는 침입 탐지 장치 및 그 방법을 제안한다.
일 양상에 따른 무선 센서 네트워크의 센서노드에 형성되어 내부공격으로부터 침입을 탐지하는 침입 탐지 장치는, 이벤트 발생시에 이웃노드 정보와 악성노드 정보를 이용하여, 미리 선언된 악성노드로부터 센서노드를 보호하는 온라인 침입 차단부와, 이벤트 발생 후 소정의 시간이 경과하면 탐지규칙을 규정한 명세에 기초하여 소정의 시간 동안의 침입을 탐지하고, 이웃노드와 연동하여 침입이 탐지된 대상노드의 악성 여부를 결정하며, 악성 여부 결정결과에 따라 악성노드를 선언하는 오프라인 침입 탐지부를 포함한다.
온라인 침입 차단부는, 이웃노드 정보와 악성노드 정보를 저장하는 데이터 저장부와, 노드 간 송수신되는 패킷을 감시하고, 저장된 이웃노드 정보와 악성노드 정보를 이용하여 소정의 노드에 대한 패킷 수신경로를 확인하여, 소정의 노드가 패킷을 악성노드로부터 수신하거나 이웃노드가 아닌 노드로부터 수신하거나 소정의 노드로 전송되는 패킷이 아니면 해당 패킷을 폐기하는 로컬 감시부를 포함한다.
오프라인 침입 탐지부는, 수집 패킷을 분석한 결과인 감시 데이터를 미리 설정된 기준 데이터와 비교하여 비교 결과에 따라 대상노드의 침입을 탐지하는 침입 탐지부와, 침입이 탐지된 대상노드의 악성등급을 결정하는 침입 결정부와, 악성등급 결정 결과 해당 등급이 중간등급인 경우 중간등급을 갖는 대상노드에 대한 상태를 이웃노드들에 요청하여 대상노드 상태정보를 수신하고 이를 반영하여 악성등급을 최종 결정하는 협력 처리부를 포함한다.
다른 양상에 따른 침입 탐지 방법은, 이벤트 발생시에 이웃노드 정보와 악성노드 정보를 이용하여, 미리 선언된 악성노드로부터 센서노드를 보호하는 온라인 침입 차단 단계와, 이벤트 발생 후 소정의 시간이 경과하면 탐지규칙을 규정한 명세에 기초하여 소정의 시간 동안의 침입을 탐지하고, 이웃노드와 연동하여 침입이 탐지된 대상노드의 악성 여부를 결정하며, 악성 여부 결정결과에 따라 악성노드를 선언하는 오프라인 침입 탐지 단계를 포함한다.
일 실시예에 따르면, 침입 탐지 장치는 무선 센서 네트워크의 분산 환경에서 내부공격으로부터 침입을 탐지하고 침입을 차단하여 보안율을 높일 수 있다. 즉, 이벤트가 발생하는 온라인 상태에서는 미리 선언된 악성노드로부터 센서노드를 보호하고, 이벤트 발생 후 소정의 시간이 경과한 오프라인 상태에서는 탐지규칙을 규정한 명세에 기초하여 소정의 시간 동안의 침입을 탐지할 수 있다.
나아가, 침입 탐지 장치는 탐지방식(detection schema), 경고 발생, 탐지 결정 및 이웃노드와의 연동을 통한 협업 프로세스를 수행하여 보안율을 높일 수 있다. 나아가 헬스케어, 재해 복구, 환경 모니터링 등의 애플리케이션이 무선 네트워크에서의 처리량 증가를 위하여 메시지의 신뢰성 있는 전송을 처리할 수 있다.
도 1은 본 발명의 일 실시예에 따른 침입 탐지 장치를 도시한 구성도,
도 2는 본 발명의 일 실시예에 따른 온라인 침입 차단 방법을 도시한 흐름도,
도 3은 본 발명의 일 실시예에 따른 오프라인 침임 탐지 방법을 도시한 흐름도이다.
도 2는 본 발명의 일 실시예에 따른 온라인 침입 차단 방법을 도시한 흐름도,
도 3은 본 발명의 일 실시예에 따른 오프라인 침임 탐지 방법을 도시한 흐름도이다.
이하에서는 첨부한 도면을 참조하여 본 발명의 실시예들을 상세히 설명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 일 실시예에 따른 침입 탐지 장치(1)를 도시한 구성도이다.
도 1을 참조하면, 침입 탐지 장치(1)는 온라인 침입 차단부(10)와 오프라인 침입 탐지부(12)를 포함한다. 온라인 침입 차단부(10)는 데이터 저장부(100)와 로컬 감시부(102)를 포함한다. 오프라인 침입 탐지부(12)는 패킷 수집부(120), 패킷 분석부(122), 침입 탐지부(124), 침입 결정부(126), 협력 처리부(128) 및 후처리부(129)를 포함한다.
침입 탐지 장치(1)는 센서노드에 설치되어, 무선 센서 네트워크 상의 내부 공격(intrusion attack)으로부터 센서노드를 보호한다. 침입 탐지 장치(1)는 분산 환경에서 침입을 탐지하기 위한 탐지 규칙에 따른 명세를 사용하여 내부 공격을 탐지하는 명세 기반 분산 탐지 장치(a specification based distributed detection system : SpecDDS)이다.
침입 탐지 장치(1)는 온라인 모드(Online mode)와 오프라인 모드(Offline mode)에서 동작한다. 온라인 모드는 무선 센서 네트워크에서 소정의 이벤트가 발생할 때 수행되는 모드이다. 오프라인 모드는 소정의 이벤트 발생 이후 소정의 시간(next epoch of time)이 경과되면 수행되는 모드이다. 온라인 모드에 있어서 침입 탐지 장치(1)는 이벤트가 발생하면 이웃노드 정보와 악성노드 정보를 이용하여 미리 선언된 악성노드(malicious node declared already)로부터 센서노드를 보호한다. 오프라인 모드에 있어서 침입 탐지 장치(1)는 이벤트 발생 이후 소정의 시간이 경과하면 탐지규칙을 규정한 명세에 기초하여 소정의 시간 동안의 침입을 탐지하고, 이웃노드와 연동하여 침입이 탐지된 대상노드의 악성 여부를 결정하며 악성 여부 결정결과에 따라 악성노드를 선언한다. 침임 탐지 장치(1)는 탐지방식(detection schema), 경고 발생, 탐지 결정 및 이웃노드와의 연동을 통한 협업 프로세스를 수행한다.
본 발명에 따르면, 센서노드는 몇 가지 전제조건을 갖는 무선 센서 네트워크에서 동작한다고 가정한다. 우선, 센서 네트워크는 정적(static)이어야만 한다. 둘째, 센서노드는 초기화 단계(initialization phase)인 일정 시간 이후에는 센서 네트워크에 참여할 수 없다. 초기화 단계에서 센서노드는 이웃노드들과 통신하여 토폴로지를 구성하고 싱크노드 또는 베이스스테이션과의 연결경로를 탐색한다. 셋째, 센서노드는 일정 시간 이후에는 경로 탐색을 초기화해야만 한다. 초기화 단계의 일정 시간은 침입 탐지 장치(1)가 동작하는 데 필요한 시간보다 크거나 같아야만 한다.
이하 도 1을 참조로 하여, 침입 탐지 장치(1)의 세부 구성에 대해 상세히 후술한다.
데이터 저장부(data repository)(100)에는 이웃노드 정보(a list of neighboring node: N_list)와 악성노드 정보(a list of malicious nodes:N_list)가 저장된다. 이웃노드 정보는 이웃노드가 악성노드인지 여부를 나타내는 노드 상태정보를 포함한다. 악성노드 정보는 악성노드의 악성정도를 나타내는 악성등급 정보를 포함한다.
모든 센서노드는 네트워크에 참여하거나 탈퇴한다. 따라서, 참여 또는 탈퇴시마다 이웃노드 정보(N_list)는 갱신되어야 한다. 이웃노드 정보(N_list)는 이웃노드 식별자인 neighbor node ID 필드와, 대상노드로부터 마지막으로 수신한 패킷의 타임스탬프 값인 Time_Stamp 필드와, 대상노드가 악성노드(M)인지 정상노드(N)인지 여부를 표시하는 Status 필드를 포함한다 (표 1 참조).
| Node _ ID | Time Stamp | Status ( Normal or Mal .) |
| X |
X_New |
N or M |
악성노드 정보(N_list)는 악성노드 식별자인 malicious node ID 필드와 악성노드 등급(maliciousness level) 필드를 포함한다 (표 2 참조).
| Node _ ID | Status |
| Y |
Mal_Level |
로컬 감시부(Local Auditing Unit)(102)는 노드 간 전송되는 패킷을 감시하고, 데이터 저장부(100)에 저장된 이웃노드 정보와 악성노드 정보를 이용하여 소정의 노드에 대한 패킷 수신경로를 확인한다. 그리고, 소정의 노드가 패킷을 악성노드로부터 수신하거나 이웃노드가 아닌 노드로부터 수신하거나 소정의 노드로 전송되는 패킷이 아니면 해당 패킷을 폐기한다. 이에 비해, 소정의 노드가 패킷을 악성노드가 아닌 이웃노드로부터 수신한 경우 패킷 관련 정상적인 동작을 수행하도록 한다. 정상적인 동작 수행은 센서노드의 구성과 애플리케이션에 따라 결정된다. 전술한 로컬 감시 동작에 대한 프로그램 알고리즘은 표 3과 같다.
| Algorithm : Local Auditing at node X Input: Packets from other nodes Output: Validation of packet (discard or accepted) begin if received packet is destined for node X if it is from neighbor (Tally N_List) if neighbor is not malicious accept it for further processing else discard it end if else discard it end if else discard it end if end |
로컬 감시부(102)는 프로미스큐어스 모드(promiscuous listening mode)에서 동작한다. 프로미스큐어스 모드는 노드 간 전송되는 모든 패킷을 인터셉트하여 이를 판독하는 모드이며, 로컬 감시부(102)는 판독 결과에 따라 해당 패킷이 안전한 이웃노드로부터 전송된 것인지를 확인한다.
한편, 오프라인 침입 탐지부(12)는 패킷 수집부(120), 패킷 분석부(122), 침입 탐지부(124), 침입 결정부(126), 협력 처리부(128) 및 후처리부(129)를 포함한다.
패킷 수집부(120)는 노드 간 전송되는 패킷을 수집한다. 패킷 수집부(120) 역시 로컬 감시부(102)처럼 프로미스큐어스 모드에서 동작한다. 패킷 수집부(120)는 수집한 패킷을 패킷 분석부(122)에 제공한다.
패킷 분석부(122)는 패킷 수집부(120)로부터 제공받은 수집 패킷의 헤더를 판독하여 감시 데이터(Audit Data List:A_list)를 생성한다. 감시 데이터는 패킷 송신률 필드, 패킷 수신률 필드, 패킷 포워딩률 필드 및 패킷 재전송률 필드를 포함하는 패킷 처리율 정보를 포함한다 (표 4 참조). 감시 데이터(A_list)는 후술할 침입 탐지부(124)의 침입 탐지 결정을 위해 사용된다.
| Node _ ID |
Packet
Sent
(A_ snt ) |
Packet
Received
(A_ rec ) |
Packet
Forward
(A_ fwd ) |
Packet
Retransmit
(A_ rtm ) |
| X |
X1 |
X2 |
X3 |
X4 |
| Y |
Y1 |
Y2 |
Y3 |
Y4 |
표 4를 참조하여 감시 데이터(A_list)의 예를 들면, node A가 node X에서 node Y로 전송되는 패킷을 수집한 경우라고 가정할 때, node A는 수집 패킷의 헤더를 판독하여, A_list에서 node X와 node Y의 송신 필드(A_snt) 및 수신 필드(A_rec)를 갱신한다. node Y가 일정시간 동안 해당 패킷을 포워딩하지 않는다면, node X는 동일한 패킷을 재전송할 수 있다. 이때, node A는 A_list에서 node X의 재전송 필드(A_rtm)와 node Y의 수신 필드(A_rec)를 갱신한다. node Y가 node X로부터 수신한 패킷을 포워딩하는 경우라면, node A는 A_list에서 node Y의 포워딩 필드(A_fwd)를 갱신한다.
침입 탐지부(124)는 감시 데이터(A_list)를 기준 데이터(Threshold list:T_list)와 비교하여 비교 결과에 따라 대상노드의 침입을 탐지한다. 결과값은 플래그 리스트(Flag list:F_list) 형태로 출력된다. 플래그 리스트(F_list)의 구조는 감시 데이터(A_list)와 유사하되, 각 플래그 필드가 포함된다 (표 5 참조).
| Node _ ID | F_ snt | F_ rec | F_ fwd | F_ rtm |
| XY |
N|X|L |
N|X|L |
N|X|L |
N|X|L |
표 5를 참조하면, 침입 탐지부(124)는 대상노드 별로 감시 데이터와 기준 데이터의 비교 결과, 감시 데이터 값이 기준 데이터의 최소값(minimum threshold value)보다 작고 대상노드의 침입이 탐지되면 해당 플래그 필드를 'N:miN'으로 설정하고, 감시 데이터 값이 기준 데이터의 최대값(maximum threshold value)보다 크고 대상노드의 침입이 탐지되면 해당 플래그 필드를 'X:maX'로 설정한다. 이에 비해, 감시 데이터 값이 N과 X 사이에 있거나, 최소값보다 작거나 최대값보다 크지만 대상노드의 침입이 탐지되지 않으면 해당 플래그 필드를 L:normaL로 설정한다 (표 6 참조).
| A. N: miN: if value is less than the minimum threshold value and shows any attack pattern B. X: maX : if value is greater than the maximum threshold value and shows any attack pattern C. L: normaL : if value is between N and X or less/ greater than threshold value but does not show any attack pattern |
기준 데이터(T_list)는 패킷 송신률, 패킷 수신률, 패킷 포워딩률, 패킷 재전송률을 포함하는 패킷 처리율에 대한 스레스홀드 값을 포함한다. 스레스홀드 값은 네트워크 상의 모든 노드들의 평균값 또는 시뮬레이션 결과값으로부터 도출될 수 있으나 이에 한정되지는 않는다(표 7 참조).
| Node _ ID | N_ Snt | X_ Snt | N_ Rec | X_ Rec | N_ Fwd | X_ Fwd | N_ Rtm | X_ Rtm |
| X |
X_nSnt |
X_xSnt |
X_nRec |
X_xRec |
X_nFwd |
X_xFwd |
X_nRtm |
X_xRtm |
침입 탐지부(124)가 대상노드의 침입 탐지 동작에 대한 프로그램 알고리즘은 표 8과 같다. 이때, 입력값은 A_list와 T_list이고, 출력값은 F_list이다.
| Algorithm : Detection Policy Input: Audit Data List (A_List), Threshold List (T_List) Output: Flag List (F_List) begin Case I: ( Packet Sent ) If Node_ID.A_snt < Node_ID.N_Snt Node_ID.F_snt == N Else If Node_ID.A_snt > Node_ID.X_Snt Node_ID.F_snt == X Else Node_ID.F_snt == L End If Case II : ( Packet Receive ) If Node_ID.A_rec < Node_ID.N_Rec Node_ID.F_rec == L Else If Node_ID.A_rec > Node_ID.X_Rec Node_ID.F_rec == X Else Node_ID.F_rec == L End If Case III : ( Packet Forward ) If Node_ID.A_fwd < Node_ID.N_Fwd Node_ID.F_fwd == N Else If Node_ID.A_fwd > Node_ID.X_Fwd Node_ID.F_fwd == L Else Node_ID.F_fwd == L End If Case IV : ( Packet Retransmit ) If Node_ID.A_rtm < Node_ID.N_Rtm Node_ID.F_rtm == L Else If Node_ID.A_rtm > Node_ID.X_Rtm Node_ID.F_rtm == X Else Node_ID.F_rtm == L End If end |
일 실시예에 따르면, 침입 탐지부(124)는 감시 데이터와 기준 데이터의 패킷 송신률 비교 결과, 대상노드로부터의 송신 패킷의 감시 데이터 값이 기준 데이터의 최대값보다 크면 플로딩 공격 또는 라우팅 공격에 의해 훼손된 노드로부터 송신된 패킷으로 판단한다(표 9 참조).
| Case I ( Sending rate analysis ) A. Less than miN: Node might be damaged or exhausted. B. More than maX: Flooding attack or any other routing attack that compromises the node to send many packets. |
일 실시예에 따르면, 침입 탐지부(124)는 감시 데이터와 기준 데이터의 패킷 수신률 비교 결과, 대상노드로의 수신 패킷의 감시 데이터 값이 기준 데이터의 최대값보다 크면 트랜스포트 공격 또는 라우팅 공격에 의해 훼손된 노드로부터 수신된 패킷으로 판단한다(표 10 참조).
| Case II ( Receiving rate analysis ) A. Less than miN: Not affected. It might be due to other compromise node. B. More than maX: Transport or routing attack; collision, flooding, worm-hole, sink-hole, black-hole, selective forwarding attack |
일 실시예에 따르면, 침입 탐지부(124)는 감시 데이터와 기준 데이터의 패킷 포워딩률 비교 결과, 대상노드로의 포워딩 패킷의 감시 데이터 값이 기준 데이터의 최소값보다 작으면 라우팅 공격에 의해 훼손된 노드로부터 포워딩된 패킷으로 판단한다(표 11 참조).
| Case III ( Forward rate analysis ) A. Less than miN: routing attack (node compromised with homing, selective forwarding or black-hole attack) B. More than maX: Not affected. It might be due to other compromise node. |
일 실시예에 따르면, 침입 탐지부(124)는 감시 데이터와 기준 데이터의 패킷 재전송률 비교 결과, 대상노드로의 재전송 패킷의 감시 데이터값이 기준 데이터의 최대값보다 크면 충돌 공격에 의해 훼손된 노드로부터 재전송된 패킷으로 판단한다(표 12 참조).
| Case IV ( Retransmission rate analysis ) A. Less than miN: Not affected. It might be due to other compromise node. B. More than maX: Collision attack. |
침입 결정부(126)는 침입이 탐지된 대상노드의 악성등급을 결정한다. 침입 결정부(126)는 악성등급(Maliciousness Level) 결정을 위해 침입 탐지부(124)에서 출력된 F_list를 이용할 수 있다. 일 실시예에 따르면, F_list의 플래그별 L의 총 갯수를 미리 설정된 값과 비교하여 비교결과에 따라 악성등급을 HIGH(상위등급), MEDIUM(중간등급) 또는 LOW(하위등급)로 결정한다. 예를 들면, 비교결과 L의 총갯수가 2보다 적거나 같으면 악성등급을 HIGH로 결정하고, L의 총갯수가 3이면 악성등급을 MEDIUM으로 결정한다. 그리고, 전술한 조건에 해당하지 않는 경우는 악성등급을 LOW로 설정한다. 대상노드별 악성등급 리스트(Maliciousness Level List:ML_list)는 표 13과 같다.
| Node _ ID | Maliciousness Level |
| X |
HIG |
| Y |
MED |
| Z |
LOW |
협력 처리부(128)는 침입 결정부(126)를 통한 악성등급 결정 결과 해당등급이 중간등급(MEDIUM)인 경우, 중간등급을 갖는 대상노드에 대한 상태를 이웃노드에 요청(inquiry)하여 대상노드 상태정보를 수신하고 이를 반영하여 악성등급을 최종 결정한다.
이상적으로는 센서노드가 이웃노드의 도움없이 스스로 악성등급을 결정하는 것이 바람직하겠지만, 이는 현실적으로 불가능하다. 따라서, 본 발명의 협력 처리부(128)는 센서노드의 이웃노드들과 협업하여 대상노드의 악성등급을 최종 결정한다. 이를 위해 협력 처리부(128)는 의견합의 단계(Consensus Phase)와 인증단계(validation Phase)를 수행한다.
의견합의 단계(Consensus Phase)에서, 협력 처리부(128)는 중간등급을 갖는 대상노드 리스트(Claim list:C_list)를 적어도 하나의 이웃노드들에 제공한다. 일 실시예에 따르면, 모든 이웃노드들(n)에게 제공하는 것이 아니라, n/2에 해당하는 이웃노드들에게만 C_list를 제공한다. 그리고, 협력 처리부(128)는 n/2에 해당하는 이웃노드들로부터 중간등급을 갖는 대상노드 각각에 대한 상태 리스트(Intitial Status List:S_list)를 수신한다. 상태 리스트(S_list)는 표 14와 같다.
|
Malicious
Node
Node _ ID |
Number
of
Claims
N_ Claim |
| D |
1 |
| M |
1 |
표 14를 참조하면, 상태 리스트(S_list)는 악성노드의 식별자인 Malicious Node_ID 필드와 악성노드의 상태정보인 N_Claim 필드를 포함한다. N_Claim 필드는 1로 설정된다. 전술한 의견 합의 단계(Consensus Phase)에 대한 프로그램 알고리즘은 표 15와 같다.
| Algorithm : Consensus Phase Input: Maliciousness level list (ML_List) => Claim List (C_List) Output: Status List (S_List) begin for i=1 to (n.N_List) / 2 // n.N_List = Total number of Neighbors if rand(Node_ID.N_List) is Normal F1 →send C_List (rand(Node_ID.N_List)) else decrement i end if end for F2 →eceive S_List F3 →update S_List end |
표 15를 참조하면, F1, F2 및 F3는 각각 함수(function)를 의미한다. 의견합의 단계(Consensus Phase) 동안에, 협력 처리부(128)는 다른 이웃노드들로부터 S_list를 수신하면 자신의 S_list를 갱신한다. 그리고, 이웃노드들에게 제공한 C_list에 대한 응답으로 S_list를 포함하는 메시지를 수신할 때마다 해당 노드들에 대한 악성노드 카운트 수(N_Claim)를 증가시킨다.
이어서, 인증단계(validation Phase)에서 협력 처리부(128)는 이웃노드들로부터 수신된 상태 리스트(S_list)에 포함된 악성노드 카운트 수(N_Claim)를 미리 설정된 기준값과 비교하여 비교 결과에 따라 악성 등급을 상향 또는 하향 조정한다. 예를 들면, N_Claim이 기준값보다 크면 악성등급을 HIGH로 설정하고 대상노드를 악성노드로 선언한다. 이에 비해 N_Claim이 기준값보다 작으면 악성등급을 LOW로 설정한다.
후처리부(129)는 협력 처리부(128)에서 최종 결정된 악성등급에 따라 데이터 저장부(100)의 이웃노드 정보와 악성노드 정보를 갱신한다. 일 실시예에 따르면, 대상노드가 악성등급이 HIGH이고 이웃노드인 경우는 데이터 저장부(100)의 이웃노드 정보와 악성노드 정보가 모두 갱신되고, 대상노드는 악성노드에 해당된다. 이에 비해, 대상노드의 악성등급이 HIGH이지만 이웃노드가 아닌 경우는 악성노드 정보가 갱신되고, 대상노드는 경계해야 할 노드에 해당된다. 또한, 후처리부(129)는 악성노드를 우회하는 새로운 경로를 탐색하며 갱신된 악성노드 정보를 상위단인 싱크노드 또는 베이스스테이션에 통지한다. 싱크노드는 센서노드를 통해 감지된 정보를 전송받아 이를 라우팅하고, 베이스스테이션을 통하여 광대역 통신 네트워크로 전송하는 역할을 한다.
도 2는 본 발명의 일 실시예에 따른 온라인 침입 차단 방법을 도시한 흐름도이다.
도 1 및 도 2를 참조하면, 침입 탐지 장치(1)는 온라인 상태에서 이벤트 발생시에 이웃노드 정보와 악성노드 정보를 이용하여, 미리 선언된 악성노드로부터 센서노드를 보호한다.
구체적으로, 침입 탐지 장치(1)는 이웃노드 정보와 악성노드 정보를 저장한다(200). 이웃노드 정보는 이웃노드가 악성노드인지 여부를 나타내는 노드 상태정보를 포함한다. 악성노드 정보는 악성노드에 대한 악성등급 정보를 포함한다.
이어서, 침입 탐지 장치(1)는 노드 간 송수신되는 패킷을 감시(210)하고, 저장된 이웃노드 정보와 악성노드 정보를 이용하여 소정의 노드에 대한 패킷 수신경로를 확인한다(220).
확인 결과(230), 패킷이 소정의 노드가 패킷을 악성노드로부터 수신하거나 이웃노드가 아닌 노드로부터 수신하거나 소정의 노드로 전송되는 패킷이 아니면 해당 패킷을 폐기한다(240). 이에 비해, 소정의 노드가 패킷을 악성노드가 아닌 이웃노드로부터 수신한 경우 패킷 관련 정상적인 동작을 수행하도록 한다(250). 정상적인 동작 수행은 센서노드의 구성과 애플리케이션에 따라 결정된다.
도 3은 본 발명의 일 실시예에 따른 오프라인 침임 탐지 방법을 도시한 흐름도이다.
도 1 및 도 3을 참조하면, 침입 탐지 장치(1)는 온라인 상태의 이벤트 발생 후 소정의 시간이 경과하면 탐지규칙을 규정한 명세에 기초하여 소정의 시간 동안의 침입을 탐지하고, 이웃노드와 연동하여 침입이 탐지된 대상노드의 악성 여부를 결정한다. 그리고, 악성 여부 결정결과에 따라 악성노드를 선언한다.
구체적으로, 오프라인 침입 탐지 단계에서 침입 탐지 장치(1)는 노드 간 전송되는 패킷을 수집한다(300). 이때, 침입 탐지 장치(1)는 프로미스큐어스 모드에서 동작한다. 이어서, 침입 탐지 장치(1)는 수집 패킷의 헤더를 판독하여 감시 데이터(Audit Data List:A_list)를 생성한다(310). 감시 데이터는 패킷 송신률 필드, 패킷 수신률 필드, 패킷 포워딩률 필드 및 패킷 재전송률 필드를 포함하는 패킷 처리율 정보를 포함한다. 기준 데이터는 패킷 송신률, 패킷 수신률, 패킷 포워딩률, 패킷 재전송률을 포함하는 패킷 처리율에 대한 스레스홀드 값을 포함한다.
이어서, 침입 탐지 장치(1)는 감시 데이터를 기준 데이터와 비교하여 비교 결과에 따라 대상노드의 침입을 탐지한다(320). 일 실시예에 따르면, 침입을 탐지하는 단계(320)에서, 침입 탐지 장치(1)는 감시 데이터와 기준 데이터를 비교하고, 비교 결과값인 플래그 데이터를 출력한다.
침입 탐지 장치(1)는 플래그 데이터를 출력하는 단계에서, 감시 데이터 값이 기준 데이터의 최소값(minimum threshold value)보다 작고 대상노드의 침입이 탐지되면 해당 플래그 필드를 N:miN으로 설정한다. 감시 데이터 값이 기준 데이터의 최대값(maximum threshold value)보다 크고 대상노드의 침입이 탐지되면 해당 플래그 필드를 X:maX로 설정한다. 감시 데이터 값이 N과 X 사이에 있거나, 최소값보다 작거나 최대값보다 크지만 대상노드의 침입이 탐지되지 않으면 해당 플래그 필드를 L:normaL로 설정한다.
이어서, 침입 탐지 장치(1)는 침입이 탐지된 대상노드의 악성등급을 결정한다(330). 일 실시예에 따르면, 대상노드 침입 탐지 단계(320)에서 출력된 플래그 리스트의 플래그 필드별 L의 개수 합이 소정의 수보다 적으면 대상노드의 악성등급을 HIGH(상위등급)로 결정한다. 소정의 수에 해당하면 MED(중간등급)으로 결정한다. 이에 비해 소정의 수보다 크면 LOW(하위등급)으로 결정한다.
이어서, 침입 탐지 장치(1)는 악성등급 결정 결과, 해당 등급이 중간등급인 경우 중간등급을 갖는 대상노드에 대한 상태를 이웃노드들에 요청하여 대상노드 상태정보를 수신하고 이를 반영하여 악성등급을 최종 결정한다(340). 일 실시예에 따르면, 침입 탐지 장치(1)는 악성등급이 중간등급에 해당하는 대상노드 리스트를 적어도 하나의 이웃노드들에 제공하고, 이웃노드들로부터 중간등급을 갖는 대상노드 각각에 대한 상태 리스트를 수신한다. 그리고, 수신된 상태 리스트에 포함된 악성노드 카운트 수를 미리 설정된 기준값과 비교하여 비교 결과에 따라 악성 등급을 상향 또는 하향 조정한다.
추가 양상에 따르면, 오프라인 침입 탐지 단계는 후처리 단계(350)를 포함한다. 후처리 단계(350)에서 침입 탐지 장치(1)는 최종 결정된 악성등급에 따라 이웃노드 정보와 악성노드 정보를 갱신하고 악성노드를 우회하는 새로운 경로를 탐색하며 갱신된 악성노드 정보를 상위단에 통지한다.
이제까지 본 발명에 대하여 그 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
1 : 침입 탐지 장치 10 : 온라인 침입 차단부
12 : 오프라인 침입 탐지부 100 : 데이터 저장부
102 : 로컬 감시부 120 : 패킷 수집부
122 : 패킷 분석부 124 : 침입 탐지부
126 : 침입 결정부 128 : 협력 처리부
129 : 후처리부
12 : 오프라인 침입 탐지부 100 : 데이터 저장부
102 : 로컬 감시부 120 : 패킷 수집부
122 : 패킷 분석부 124 : 침입 탐지부
126 : 침입 결정부 128 : 협력 처리부
129 : 후처리부
Claims (17)
- 무선 센서 네트워크의 센서노드에 형성되어 내부공격으로부터 침입을 탐지하는 침입 탐지 장치에 있어서,
이벤트 발생시에 이웃노드 정보와 악성노드 정보를 이용하여, 미리 선언된 악성노드로부터 상기 센서노드를 보호하는 온라인 침입 차단부; 및
상기 이벤트 발생 후 소정의 시간이 경과하면 탐지규칙을 규정한 명세에 기초하여 상기 소정의 시간 동안의 침입을 탐지하고, 이웃노드와 연동하여 침입이 탐지된 대상노드의 악성 여부를 결정하며, 악성 여부 결정결과에 따라 악성노드를 선언하는 오프라인 침입 탐지부;
를 포함하는 것을 특징으로 하는 침입 탐지 장치. - 제 1 항에 있어서, 상기 온라인 침입 차단부는,
상기 이웃노드 정보와 악성노드 정보를 저장하는 데이터 저장부; 및
노드 간 송수신되는 패킷을 감시하고, 상기 저장된 이웃노드 정보와 악성노드 정보를 이용하여 소정의 노드에 대한 패킷 수신경로를 확인하여, 상기 소정의 노드가 패킷을 악성노드로부터 수신하거나 이웃노드가 아닌 노드로부터 수신하거나 상기 소정의 노드로 전송되는 패킷이 아니면 해당 패킷을 폐기하는 로컬 감시부;
를 포함하는 것을 특징으로 하는 침입 탐지 장치. - 제 1 항 또는 제 2 항에 있어서,
상기 이웃노드 정보는 이웃노드가 악성노드인지 여부를 나타내는 노드 상태정보를 포함하고, 상기 악성노드 정보는 악성노드에 대한 악성등급 정보를 포함하는 것을 특징으로 하는 침입 탐지 장치. - 제 1 항에 있어서, 상기 오프라인 침입 탐지부는,
수집 패킷을 분석한 결과인 감시 데이터를 미리 설정된 기준 데이터와 비교하여 비교 결과에 따라 대상노드의 침입을 탐지하는 침입 탐지부;
상기 침입이 탐지된 대상노드의 악성등급을 결정하는 침입 결정부; 및
상기 악성등급 결정 결과 해당 등급이 중간등급인 경우 중간등급을 갖는 대상노드에 대한 상태를 이웃노드들에 요청하여 대상노드 상태정보를 수신하고 이를 반영하여 악성등급을 최종 결정하는 협력 처리부;
를 포함하는 것을 특징으로 하는 침입 탐지 장치. - 제 4 항에 있어서,
상기 감시 데이터는 패킷 송신률, 패킷 수신률, 패킷 포워딩률, 패킷 재전송률을 포함하는 패킷 처리율 정보를 포함하는 것을 특징으로 하는 침입 탐지 장치. - 제 4 항에 있어서,
상기 기준 데이터는 패킷 송신률, 패킷 수신률, 패킷 포워딩률, 패킷 재전송률을 포함하는 패킷 처리율에 대한 스레스홀드 값인 것을 특징으로 하는 침입 탐지 장치. - 제 4 항에 있어서, 상기 침입 탐지부는,
대상노드에 대한 감시 데이터와 기준 데이터를 비교하여 결과값인 플래그 데이터를 출력하고,
상기 감시 데이터와 기준 데이터 비교 결과, 감시 데이터 값이 기준 데이터의 최소값(minimum threshold value)보다 작고 대상노드의 침입이 탐지되면 해당 플래그 필드를 N:miN으로 설정하고, 감시 데이터 값이 기준 데이터의 최대값(maximum threshold value)보다 크고 대상노드의 침입이 탐지되면 해당 플래그 필드를 X:maX로 설정하며, 감시 데이터 값이 최소값보다 작거나 최대값보다 크지만 대상노드의 침입이 탐지되지 않으면 해당 플래그 필드를 L:normaL로 설정하는 것을 특징으로 하는 침입 탐지 장치. - 제 7 항에 있어서, 상기 침입 결정부는,
감시 데이터가 최소값보다 작거나 최대값보다 크지만 대상노드의 침입이 탐지되지 않은 경우 설정되는 플래그 필드 L:normaL의 개수 합이 소정의 수보다 적으면 대상노드의 악성등급을 HIGH(상위등급)로 결정하고, 소정의 수에 해당하면 MED(중간등급)으로 결정하며, 소정의 수보다 크면 LOW(하위등급)으로 결정하는 것을 특징으로 하는 침입 탐지 장치. - 제 4 항에 있어서, 상기 협력 처리부는,
악성등급이 중간등급을 해당하는 대상노드 리스트를 적어도 하나의 이웃노드들에 제공하고, 상기 이웃노드들로부터 중간등급을 갖는 대상노드 각각에 대한 상태 리스트를 수신하여, 상기 수신된 상태 리스트에 포함된 악성노드 카운트 수를 미리 설정된 기준값과 비교하여 비교 결과에 따라 악성 등급을 상향 또는 하향 조정하는 것을 특징으로 하는 침입 탐지 장치. - 제 4 항에 있어서,
상기 협력 처리부를 통해 최종 결정된 악성등급에 따라 이웃노드 정보와 악성노드 정보를 갱신하고 악성노드를 우회하는 새로운 경로를 탐색하며 갱신된 악성노드 정보를 상위단에 통지하는 후처리부;
를 더 포함하는 것을 특징으로 하는 침입 탐지 장치. - 무선 센서 네트워크의 센서노드에 형성된 침입 탐지 장치가 내부공격으로부터의 침입을 탐지하는 방법에 있어서,
이벤트 발생시에 이웃노드 정보와 악성노드 정보를 이용하여, 미리 선언된 악성노드로부터 센서노드를 보호하는 온라인 침입 차단 단계; 및
상기 이벤트 발생 후 소정의 시간이 경과하면 탐지규칙을 규정한 명세에 기초하여 상기 소정의 시간 동안의 침입을 탐지하고, 이웃노드와 연동하여 침입이 탐지된 대상노드의 악성 여부를 결정하며, 악성 여부 결정결과에 따라 악성노드를 선언하는 오프라인 침입 탐지 단계;
를 포함하는 것을 특징으로 하는 침입 탐지 방법. - 제 11 항에 있어서, 상기 온라인 침입 차단 단계는,
상기 이웃노드 정보와 악성노드 정보를 저장하는 단계; 및
노드 간 송수신되는 패킷을 감시하고, 상기 저장된 이웃노드 정보와 악성노드 정보를 이용하여 소정의 노드에 대한 패킷 수신경로를 확인하여, 상기 소정의 노드가 패킷을 악성노드로부터 수신하거나 이웃노드가 아닌 노드로부터 수신하거나 상기 소정의 노드로 전송되는 패킷이 아니면 해당 패킷을 폐기하는 단계;
를 포함하는 것을 특징으로 하는 침입 탐지 방법. - 제 11 항에 있어서, 상기 오프라인 침입 탐지 단계는,
수집 패킷을 분석한 결과인 감시 데이터를 미리 설정된 기준 데이터와 비교하여 비교 결과에 따라 대상노드의 침입을 탐지하는 단계;
상기 침입이 탐지된 대상노드의 악성등급을 결정하는 단계; 및
상기 악성등급 결정 결과 해당 등급이 중간등급인 경우 중간등급을 갖는 대상노드에 대한 상태를 이웃노드들에 요청하여 대상노드 상태정보를 수신하고 이를 반영하여 악성등급을 최종 결정하는 단계;
를 포함하는 것을 특징으로 하는 침입 탐지 방법. - 제 13 항에 있어서, 상기 침입을 탐지하는 단계는,
감시 데이터와 기준 데이터를 비교하는 단계; 및
상기 비교 결과값인 플래그 데이터를 출력하는 단계; 를 포함하고,
상기 플래그 데이터를 출력하는 단계는,
감시 데이터 값이 기준 데이터의 최소값(minimum threshold value)보다 작고 대상노드의 침입이 탐지되면 해당 플래그 필드를 N:miN으로 설정하고, 감시 데이터 값이 기준 데이터의 최대값(maximum threshold value)보다 크고 대상노드의 침입이 탐지되면 해당 플래그 필드를 X:maX로 설정하며, 감시 데이터 값이 최소값보다 작거나 최대값보다 크지만 대상노드의 침입이 탐지되지 않으면 해당 플래그 필드를 L:normaL로 설정하는 것을 특징으로 하는 침입 탐지 방법. - 제 14 항에 있어서, 상기 대상노드의 악성등급을 결정하는 단계는,
감시 데이터가 최소값보다 작거나 최대값보다 크지만 대상노드의 침입이 탐지되지 않은 경우 설정되는 플래그 필드 L:normaL이 소정의 수보다 적으면 대상노드의 악성등급을 HIGH(상위등급)로 결정하고, 소정의 수에 해당하면 MED(중간등급)으로 결정하며, 소정의 수보다 크면 LOW(하위등급)으로 결정하는 것을 특징으로 하는 침입 탐지 방법. - 제 13 항에 있어서, 상기 악성등급을 최종 결정하는 단계는,
악성등급이 중간등급에 해당하는 대상노드 리스트를 적어도 하나의 이웃노드들에 제공하고, 상기 이웃노드들로부터 중간등급을 갖는 대상노드 각각에 대한 상태 리스트를 수신하여, 상기 수신된 상태 리스트에 포함된 악성노드 카운트 수를 미리 설정된 기준값과 비교하여 비교 결과에 따라 악성 등급을 상향 또는 하향 조정하는 것을 특징으로 하는 침입 탐지 방법. - 제 13 항에 있어서,
상기 최종 결정된 악성등급에 따라 이웃노드 정보와 악성노드 정보를 갱신하고 악성노드를 우회하는 새로운 경로를 탐색하며 갱신된 악성노드 정보를 상위단에 통지하는 단계;
를 더 포함하는 것을 특징으로 하는 침입 탐지 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110083028A KR101262992B1 (ko) | 2011-08-19 | 2011-08-19 | 무선 센서 네트워크 보호를 위한 침입 탐지 장치 및 그 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110083028A KR101262992B1 (ko) | 2011-08-19 | 2011-08-19 | 무선 센서 네트워크 보호를 위한 침입 탐지 장치 및 그 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20130020406A KR20130020406A (ko) | 2013-02-27 |
| KR101262992B1 true KR101262992B1 (ko) | 2013-05-10 |
Family
ID=47898361
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020110083028A KR101262992B1 (ko) | 2011-08-19 | 2011-08-19 | 무선 센서 네트워크 보호를 위한 침입 탐지 장치 및 그 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101262992B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105611536A (zh) * | 2016-03-03 | 2016-05-25 | 中南大学 | 无线传感器网络中基于主动探测的抵御黑洞攻击的方法 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101602464B1 (ko) * | 2014-06-27 | 2016-03-14 | 대한민국 | 내부 패킷 드랍 공격을 탐지하는 장치 및 방법 |
| KR101531026B1 (ko) * | 2014-07-30 | 2015-06-23 | (주) 유파인스 | FIFO(First In First Out) 메모리를 이용한 망내 클라이언트 노드 리스트 관리 방법 |
| KR101959213B1 (ko) * | 2017-02-28 | 2019-03-18 | 한국인터넷진흥원 | 침해 사고 예측 방법 및 그 장치 |
| KR102134653B1 (ko) | 2019-11-25 | 2020-07-16 | 한국인터넷진흥원 | 익스플로잇 공격에 대한 탐지 정확도를 향상시키기 위한 룰 최적화 장치 및 그 방법 |
| KR102287394B1 (ko) | 2020-12-21 | 2021-08-06 | 한국인터넷진흥원 | 익스플로잇 공격 유형 분류 방법 및 그 장치 |
| KR20230014247A (ko) | 2021-07-21 | 2023-01-30 | 삼성에스디에스 주식회사 | 로그 분석을 통한 비정상 행위 탐지 방법 및 그 장치 |
| CN113891309A (zh) * | 2021-11-12 | 2022-01-04 | 中国电信股份有限公司 | 无线传感器网络中恶意节点的检测方法、系统和汇聚节点 |
-
2011
- 2011-08-19 KR KR1020110083028A patent/KR101262992B1/ko not_active IP Right Cessation
Non-Patent Citations (1)
| Title |
|---|
| "Decentralized Intrusion Detection in wireless sensor networks," in Proc. of the 1st ACM International workshop on Quality of Service & Security in Wireless and Mobile networks, pp. 16-23, 2005 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105611536A (zh) * | 2016-03-03 | 2016-05-25 | 中南大学 | 无线传感器网络中基于主动探测的抵御黑洞攻击的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20130020406A (ko) | 2013-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101262992B1 (ko) | 무선 센서 네트워크 보호를 위한 침입 탐지 장치 및 그 방법 | |
| Wood et al. | SIGF: a family of configurable, secure routing protocols for wireless sensor networks | |
| Ukey et al. | Detection of packet dropping attack using improved acknowledgement based scheme in MANET | |
| Fotohi et al. | A comprehensive study on defence against wormhole attack methods in mobile Ad hoc networks | |
| Ghaffari | Vulnerability and security of mobile ad hoc networks | |
| Jain et al. | A Review Paper on Cooperative Blackhole And Grayhole Attacks in Mobile Ad hoc Networks | |
| Saravanan et al. | Defending MANET against flooding attack for medical application | |
| Kumar et al. | Secure route discovery in AODV in presence of blackhole attack | |
| Tamilarasan | Securing aodv routing protocol from black hole attack | |
| Maharaja et al. | Secured routing in mobile ad hoc networks (MANETs) | |
| Vishnu | A new kind of transport layer attack in wireless Ad Hoc Networks | |
| Mistry et al. | Mitigating techniques of black hole attack in MANET: A review | |
| Kausar Fatima et al. | An analysis on cooperative attacks in manets | |
| Indirani et al. | Intrusion detection and defense mechanism for packet replication attack over MANET using swarm intelligence | |
| Lakhwani et al. | Agent based AODV protocol to detect and remove black hole attacks | |
| Perti et al. | Reliable AODV protocol for wireless Ad hoc Networking | |
| Zaidi et al. | Monitoring assisted robust routing in wireless mesh networks | |
| Kolade et al. | Bait Request Algorithm to Mitigate Black Hole Attacks in Mobile Ad Hoc Networks | |
| Jatti et al. | Performance improvements of routing protocol by blackhole detection using trust based scheme | |
| Mjahidi | A survey on security solutions of AODV routing protocol against black hole attack in MANET | |
| Singh et al. | ‘Security in MANET using ECBDS on resource consumption attack Byzantine attack | |
| Murugan et al. | A combined solution for routing and medium access control layer attacks in mobile ad hoc networks | |
| Choube et al. | Detection of Route Request Flooding Attack in MANET Using Session Based History Table | |
| Elizabeth et al. | International Journal of Wireless Communications and Networking Technologies | |
| Anandhi et al. | A novel framework for prevent the denial of service attacks in MANET |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20170327 Year of fee payment: 5 |
|
| LAPS | Lapse due to unpaid annual fee |