KR101279909B1

KR101279909B1 - 일체형 침입차단 시스템

Info

Publication number: KR101279909B1
Application number: KR1020110136738A
Authority: KR
Inventors: 류동주; 송경민; 김상현
Original assignee: (주)시큐리티존
Priority date: 2011-12-16
Filing date: 2011-12-16
Publication date: 2013-07-30

Abstract

본 발명은 무선으로 접근하는 유해 트래픽을 효율적으로 차단할 수 있는 일체형 침입 차단 시스템을 구비한 침입차단 시스템을 제공한다. 본원발명은 네트워크 시스템에 무선 단말기가 AP 장비를 통해 연결되어 있을 때, 상기 AP 장비에서 처리하는 무선 데이터가 해킹 데이터인지 아닌지를 탐지하기 위한, 일체형 침입차단 시스템에 있어서, 무선 데이터를 수집하는 센서와 연결하기 위해 구비되며, 연결된 센서에서 처리하는 무선 데이터를 수신받기 위해 구비되는 적어도 하나의 스위치 포트; 예정된 정책에 따라 상기 AP 장비에서 처리하는 무선 데이터를 수집하기 위한 적어도 하나 이상의 무선랜 장치; 및 상기 스위치 포트 또는 상기 무선랜 장치를 통해 제공되는 무선 데이터가 상기 정책에 따라 해킹 데이터 인지 아닌지 판단하고, 해킹 데이터로 판단되면, 상기 무선 단말기가 상기 네트워크에 억세스되지 못하도록 제어하는 판단 처리부를 구비하며, 상기 무선랜장치는 광케이블을 이용한 안테나와 연결되며, 상기 안테나를 통해 상기 무선데이터를 수신하는 것을 특징으로 하는 일체형 침입차단 시스템을 제공한다.

Description

일체형 침입차단 시스템{Intrusion protecting system manufactured as an integral package}

본 발명은 침입 차단 시스템에 관한 것으로, 보다 자세한 것은 일체형 입 차단 시스템을 구비한 침입차단 시스템에 관한 것이다.

일반적으로 모든 운영체제 시스템 및 관련 응용 프로그램들은 프로그램 개발과정의 특성상 보안 취약성을 가지고 있다. 현재는 인터넷을 기반으로 하는 네트워크가 폭 넓게 보급되어 네트워크를 통한 시스템 침해 사례가 증가하고 있다. 더구나 최근에는 무선 인터넷의 발달과 무선망을 통해 침입하는 사례가 빈번해지고 있다.

무선 인터넷 통신을 위한 무선랜 시스템은 무선랜 액세스 포인트(Wireless LAN Access Point, AP)와 무선랜 단말을 포함한다. 액세스 포인트(AP)는 액세스 포인트 장치라는 장비를 설치하여 사용하고 있다. 무선랜 단말은 액세스 포인트에서 제공되는 정보를 전달받아 다음단으로 제공하는 기능을 한다. 현재 주로 사용하는 엑세스 포인트 장치는 무선 트래픽에 대한 전송, 네트워크 지원 기능만을 제공하기 때문에, 무선으로 침입되는 해킹 정보를 필터링하고 있지 못하다.

최근에는 유선과 무선을 이용한 통합형 네트워크 시스템이 널리 개발되고 적용되고 있다. 유선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것도 어렵지만, 무선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것은 더 어렵다. 이를 해결하기 위해 침입 차단 시스템이 개발되고 있지만, 아직은 신뢰성 있게 유무선으로 침입하는 해킹 패킷을 차단하는 침입 차단 시스템은 개발되고 있지 않다.

본 발명은 무선으로 접근하는 유해 트래픽을 효율적으로 차단할 수 있는 일체형 침입 차단 시스템을 제공한다.

본원발명은 네트워크 시스템에 무선 단말기가 AP 장비를 통해 연결되어 있을 때, 상기 AP 장비에서 처리하는 무선 데이터가 해킹 데이터인지 아닌지를 탐지하기 위한, 일체형 침입차단 시스템에 있어서, 무선 데이터를 수집하는 센서와 연결하기 위해 구비되며, 연결된 센서에서 처리하는 무선 데이터를 수신받기 위해 구비되는 적어도 하나의 스위치 포트; 예정된 정책에 따라 상기 AP 장비에서 처리하는 무선 데이터를 수집하기 위한 적어도 하나 이상의 무선랜 장치; 및 상기 스위치 포트 또는 상기 무선랜 장치를 통해 제공되는 무선 데이터가 상기 정책에 따라 해킹 데이터 인지 아닌지 판단하고, 해킹 데이터로 판단되면, 상기 무선 단말기가 상기 네트워크에 억세스되지 못하도록 제어하는 판단 처리부를 구비하며, 상기 무선랜 장치는 광케이블을 이용한 안테나와 연결되며, 상기 안테나를 통해 상기 무선데이터를 수신하는 것을 특징으로 하는 일체형 침입차단 시스템을 제공한다.

또한, 상기 안테나는 광전송 컨버터를 더 구비하는 것을 특징으로 한다.

또한, 상기 무선랜 장치는 24개를 구비하는 것을 특징으로 한다.

또한, 상기 스위치 포트는 24개를 구비하는 것을 특징으로 한다.

본원발명에 의해서 효과적으로 무선으로 접근하는 유해 트래픽을 효율적으로 차단할 수 있게 되었다. 특히, 본원발명의 침입 차단 시스템은 센서와 매니저가 일체형으로 되어 있어, 설치하는데 편리하고, 다양한 기능을 구비하고 있어 사용자가 효과적으로 무선으로 침입하는 유해 트래픽을 막을 수 있다.

도1은 본 발명을 설명하기 위한 것으로 침입차단 시스템을 나타내는 블록도.
도2는 도1에 도시된 센서와 매니저의 기능을 나타내는 블록도.
도3은 본 발명의 실시예에 따른 일체형 침입 차단 시스템을 구비한 침입차단 시스템을 나타내는 블록도.

이하, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시예를 첨부된 도면을 참조하여 설명하기로 한다.

도1은 본 발명을 설명하기 위한 것으로 침입차단 시스템을 나타내는 블록도이다.

도1을 참조하여 살펴보면, 침입차단 시스템은 다수의 센서(12)와 매니저(13)를 포함한다. 센서(12)는 다수 개가 구비되며, 유무선 네트워크 시스템이 배치된 지역적 특성에 따라 그 개수가 정해질 수 있다. 또한, 센서(12)가 배치되는 위치도 유무선 네크워크 망이 배치된 지역적 특성에 따라 달라질 수 있다.

센서(12)는 AP(11)가 무선 단말기(10)로부터 전송받아 전달하게 되는 데이터 또는 무선 단말기(10)에 요청에 의해 전송하게 되는 데이터를 센싱하게 된다. 매니저(13)는 센서(12)를 통해 제공되는 데이터 패킷이 악성인지 아닌지를 센서가 검사하도록 제어하고, 그 결과에 따라 무선 단말기(10)가 계속해서 유무선 네트워크에 접속되는 것을 허용할지 말지를 제어한다. 도1에 도시된 바와 같이, 네트워크가 설치된 구역에 따라 각각 그에 대응하는 센서를 두고, 각 그룹화된 센서를 각 매니저가 제어하고 있다.

도2는 도1에 도시된 센서와 매니저의 기능을 나타내는 블록도이다.

도2를 참조하여 살펴보면, 매니저는 차단/탐지 정책 판단블록과, 차단/탐지정책 입력블록을 구비하는 데이터 처리부를 구비한다.

차단/탐지정책 입력블록은 차단/탐지 정책을 입력받기 위한 블록이다.

차단/탐지 정책 판단블록은 차단/탐지정책 입력블록에 의해 입력된 정보를 침입차단 시스템에서 적용하도록 제어하는 블록이다.

센서(12)는 무선패킷 수집부를 구비하여, 매니저(13)의 제어에 의해 무선침입 탐지를 위해 AP(11)를 통해 전달되는 데이터 패킷을 탐지하고, 해킹 데이터 패킷의 차단 판단처리 기능을 수행한다.

매니저(13)는 차단/탐지 정책 입력 블록을 이용하여, 패킷 탐지 및 차단 정책 입력을 수행받고, 차단/탐지 정책 판단 블록을 이용하여 입력된 정책으로 센서가 동작할 수 있도록 제어한다.

즉, 매니저(13)는 센서(12)가 AP(11)을 통해 이동되는 데이터 패킷이 해킹 데이터 인지를 탐지하고 차단하는 정책 입력을 수행하도록 센서(12)를 제어한다.

또한, 매니저(13)는 센서(12)를 이용하여 처리되는 데이터를 저장하고, 화면에 출력하는 기능을 수행한다.

전술한 바와 같이 침입차단 시스템은 매니저가 모든 센서의 기능을 제어하기 때문에, 매니저에서 어떤 문제가 있으면, 침입차단 시스템이 제대로 동작하지 못한다.

이에 본 발명은 보다 효과적으로 무선으로 침입하는 유해 트래픽을 탐지하고 제거할 수 있는 일체형의 침입차단 시스템을 제안한다.

도2에 도시된 바와 같이, 센서와 매니저로 분리되어 구성된 침입차단 시스템은 센서에서 수집된 패킷을 이용하여 사전에 입력된 정책에 따라 수집된 패킷을 탐지하고, 유해 데이터인지 판단한다.

따라서 무선 패킷을 센서가 수집하게 되는데, 센서를 직접적으로 제어하여 다양한 정책에 따라 무선 데이터를 탐지하고 정책을 수행하는 어려움이 있었다. 또한, 유해 데이터로 판단되었을 때에는 무선으로 연결된 센서에 무선신호를 제공하여 데이터의 차단을 제어해야 하기 때문에 신뢰성을 향상시키는데 일정한 제약이 있었다.

또한, 유해 데이터를 제공하는 단말기가 아니라고 판단하고, 네트워크 시스템에 연결시키면, 그 이후에는 연결된 단말기를 통해 이동되는 데이터에 다시 유해데이터가 있는지 파악하기 쉽지 않았다.

이와 같은 문제를 해결할 수 있는 방법으로 센서를 별도로 구비하지 않고, AP 장비 안에 센싱하는 기능을 삽입하는 무선침입차단 시스템도 널리 이용되고 있다. 이 경우에는 AP 장비에 어떤 모듈이 배치되고, 배치된 모듈을 이용하여 데이터 사용 및 제어 기능을 수행하고, 인정 방식을 이용한 사용자 인증을 지원하고, 무선신호를 직접 수렴하여 접속구간을 지원하고, 유선과 연결하여 게이트웨이 역할을 수행한다.

그러나 이와 같은 경우에 AP 장비를 외부에서 임의적 연결 후 침입을 시도하는 경우에는 완벽하게 해킹을 위한 유해데이터를 차단하지 못하게 된다.

본 발명은 전술한 문제를 해결하기 위해 센서와 매니저를 하나의 장비로 구현한 일체형 무선침입차단 시스템을 제안한다.

도3은 본 발명의 실시예에 따른 일체형 침입 차단 시스템을 구비한 침입차단 시스템을 나타내는 블록도이다.

도3을 참조하여 살펴보면, 본 실시예에 다른 일체형 침입차단 시스템(100)은 스위치 포트(120)를 24개 구비하여, AP 장비에 직접 연결이 가능한 특징을 가지고 있으며, 무선랜 장치(110)가 24개 구비되어 각각에 안테나가 연결된다.

본 실시예에 따른 복합형 무선 제어장비를 구비한 무선 침입 차단시스템은 컨트롤러 스위치 형태로 AP장비를 제어할 수 있는 기능을 제공한다.

또한, 스위치 포트(120)의 스위치 기능을 지원하여 센서와 연결할 수도 있다. 또한, 포트 제어 지원기능을 가지고 있다.

또한, 통제를 하고 있는 AP 장비를 통해 거쳐 가는 무선 트래픽을 관제할 수 있는 기능이 있으며, 무선 수집부와 직접연결이 가능하다. 또한, 사용자 자체 인증을 지원하는 기능을 구비하고 있으며, 외부 사용자 판별 기능을 지원하고, 판단부 및 처리부를 설치하여, 임베디드 형태를 제공한다.

또한, 본 실시예에 따른 복합형 무선 제어장비를 구비한 무선 침입 차단시스템은 24개의 무선수집장치를 장착할 수 있도록 포트를 제공한다.

또한, 본 실시예에 따른 복합형 무선 제어장비를 구비한 무선 침입 차단시스템은사용자가 관리하는 프로그램을 일체형 무선 침입 차단시스템 내부에 저장할 수 있으며, 4U 형태의 장비로서, 무선침입수집과 무선 AP장비의 제어가 가능하며, 무선 데이터 관리가 가능하도록 설계되어진 일체 복합형 장비이다.

전술한 바와 같이, 본 실시예에 따른 복합형 무선 제어장비를 구비한 무선 침입 차단시스템은 24개의 센서기능을 하는 무선랜 장치를 구비하고 있으며, 각각의 무선랜 장치는 안테나가 연결된다.

이때 기존에는 안테나로 구리선을 사용했다면, 본 발명에서 제안하는 안테나는 내부 구축 시 광케이블을 이용한다.

광케이블을 안테나로 이용하게 되면, 기존에 구리로 안테나를 이용하던 경우와 달리, 외벽 및 외부공사에 안테나를 설치하는 비용이 1/3 수준으로 줄일 수 있다. 내부 구축 시 굵은 케이블(통상 2센티미터 이상)을 이용한 안테나는 시공이 넓은 통로와 배관이 필요하지만, 광케이블은 1개의 가는 배선만 있으면 되기 때문에다.

광케이블을 안테나로 사용하는 경우에, 광전송 컨버터를 안테나에 구비시켜 구현할 수 도 있다.

다수의 광케이블을 본 실시예에 따른 무선 침입 차단시스템이 커버하고자 하는 지역에 적절하게 배치하고, 각각의 광케이블을 무선 침입 차단시스템에 구비된 무선랜장치에 연결시키게 되면, 효과적으로 네트워크로 침입하는 무선 데이터를 탐지할 수 있다.

무선 네트워크 시스템에는 다양한 공격자가 존재할 수 있다. 이 공격자는 무선랜 네트워크에 접속할 수 없는 불법 침입자일 수도 있고, 인증을 받아 정상적으로 서비스를 받으면서 내부망의 정상 단말기 또는 액세스 포인트를 공격하려는 사용자일 수도 있다.

공격자가 위와 같은 공격을 시도하는 것에 대해 탐지하고 대처할 수 있도록 하기 위하여 무선랜 액세스 포인트에 대응하는 별도의 장비로서 무선 침입 탐지 시스템이 필요하다. 일반적으로 무선 침입 탐지시스템은 센서와 매니저를 포함한다.

이때, 센서는 매니저의 제어를 받게 되며, 특히, 무선 데이터 신호를 차단 또는 탐지하기 위한 근거가 되는 정책을 매니저로부터 전달받는다.

센서가 무선 데이터 신호를 차단 또는 탐지하기 위한 근거가 되는 정책을 매니저로 부터 전달받아야 정확한 무선침입 탐지 및 차단 동작을 수행할 수 있다.

만약, 센서가 무선 데이터 신호를 차단 또는 탐지하기 위한 근거가 되는 정책을 정확하게 전달받지 못하면, 무선 데이터 신호를 제대로 차단 또는 탐지할 수 없다.

일반적으로 센서는 매니저로부터 정책을 제공받아 무선 데이터 신호를 차단 또는 탐지하는 기능만 수행하기 때문에, 매니저와의 통신이 원활하지 못하게 되면, 정상적으로 무선 데이터 신호를 차단 또는 탐지할 수 없는 것이다.

그러나 본원발명에 따른 복합형 무선 제어장비를 구비한 무선 침입 차단시스템은 일체형으로 구비되어 있기 때문에, 센서가 무선으로 되어 있기 때문에 생기는 모든 문제를 해결할 수 있다.

본원발명의 무선 침입 차단시스템은 광케이블을 이용한 안테나를 충분히 길게 배치하기 때문에, 센서가 배치된 곳에서 침입하는 무선 데이터 신호를 충분하게 수집할 수 있다. 또한, 충분하게 수집된 무선 데이터 신호를 이용하여 해킹 데이터를 완벽하게 탐지하고 침입을 방지할 수 있다. 따라서 본 발명에 따른 침입차단 시스템은 무선 네트워크 시스템에서 보다 안정적으로 해킹 데이터를 차단하고 탐지할 수 있는 것이다.

이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.

Claims

네트워크 시스템에 무선 단말기가 AP 장비를 통해 연결되어 있을 때, 상기 AP 장비에서 처리하는 무선 데이터가 해킹 데이터인지 아닌지를 탐지하기 위한, 일체형 침입차단 시스템에 있어서,
상기 AP 장비와 직접 연결되고, 상기 AP 장비를 제어하는 복수의 스위치 포트;
예정된 정책에 따라 상기 무선단말기와 AP 장비 간의 무선 데이터를 센싱하고, 상기 복수의 스위치 포트에 대응되도록 구비되는 복수의 무선랜 장치; 및
상기 무선랜 장치를 통해 제공되는 무선 데이터가 상기 정책에 따라 해킹 데이터인지 아닌지 판단하고, 해킹 데이터로 판단되면, 상기 무선 단말기가 상기 네트워크에 억세스되지 못하도록 상기 복수의 스위치 포트에서 상기 AP 장비를 제어하도록 상기 복수의 스위치 포트를 제어하는 판단 처리부를 구비하고,
상기 무선랜장치는 광케이블을 통해 광전송 컨버터가 구비된 안테나와 연결되며, 상기 안테나를 통해 상기 무선데이터를 수신하는 것을 특징으로 하는 일체형 침입차단 시스템.
삭제
제 1 항에 있어서,
상기 무선랜 장치는 24개를 구비하는 것을 특징으로 하는 일체형 침입차단 시스템.
제 3 항에 있어서,
상기 스위치 포트는 24개를 구비하는 것을 특징으로 하는 일체형 침입차단 시스템.