KR101429177B1 - 불법 ap 검출 시스템 및 그의 검출 방법 - Google Patents
불법 ap 검출 시스템 및 그의 검출 방법 Download PDFInfo
- Publication number
- KR101429177B1 KR101429177B1 KR1020120133371A KR20120133371A KR101429177B1 KR 101429177 B1 KR101429177 B1 KR 101429177B1 KR 1020120133371 A KR1020120133371 A KR 1020120133371A KR 20120133371 A KR20120133371 A KR 20120133371A KR 101429177 B1 KR101429177 B1 KR 101429177B1
- Authority
- KR
- South Korea
- Prior art keywords
- data packet
- packet
- sensor
- wips
- unauthorized
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 8
- 238000004891 communication Methods 0.000 claims abstract description 13
- 230000002265 prevention Effects 0.000 claims abstract description 6
- 238000001514 detection method Methods 0.000 claims description 21
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000007796 conventional method Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
본 발명은 보안 모드 및 라우터 모드의 무선 환경에서도 비인가 불법 AP가 자신의 네트워크 통신망에 연결되어 있는지를 확인 및 검출할 수 있는 효과가 있다. 이를 위해 특히, 적어도 하나의 AP를 통해 사용자단말기로 무선 전송되는 데이터 패킷을 검출하는 센서; 및 검출된 데이터 패킷을 센서로부터 전송받아 AP가 내부 네트워크에 연결된 비인가 불법 AP인지를 판단하는 WIPS(Wireless intrusion prevention system) 서버;를 포함하되, WIPS 서버는, AP를 통해 사용자단말기로 전송할 특정 길이의 데이터 패킷을 생성하여 일정시간 동안 특정 횟수만큼 전송하는 패킷 생성부; 센서에 의해 특정 길이를 갖는 데이터 패킷이 일정시간 동안 검출된 횟수를 분석하여, AP가 내부 네트워크에 연결되어 있는 AP인지 여부를 판단하는 패킷 분석부; 및 AP의 MAC 주소 정보를 저장하고 있는 데이터베이스부;를 포함하는 것을 특징으로 하는 불법 AP 검출 시스템이 개시된다.
Description
본 발명은 불법 AP 검출 시스템 및 그의 검출 방법에 관한 것이다. 보다 상세하게는 무선 환경이 보안 모드 및 라우터 모드인 경우에도 비인가 불법 AP가 자신의 네트워크에 연결되어 있는지를 검출할 수 있는 불법 AP 검출 시스템 및 그의 검출 방법에 관한 것이다.
급속히 확장되고 있는 무선 네트워크, 특히, 무선 랜(Wireless LAN)은 IEEE802.11의 표준에 따라 무선으로 사용자 단말기가 네트워크에 연결되어 데이터교환이 가능하도록 지원한다. 무선 네트워크 환경은 사용자가 편리하게 이동하면서 네트워크 접속을 통한 데이터 교환이 가능하도록 지원하기 때문에 편리한 반면, 접속 사용자 단말기가 네트워크 장비에 물리적으로 떨어져 있고 전송 데이터 역시 공기 중에 노출되므로 악의적인 접근 및 데이터의 훼손/유출의 가능성이 유선 네트워크, 특히, 유선 랜(Wired LAN)에 비해 크다고 할 수 있다.
이러한 무선 환경의 가장 근본적이고 원초적인 취약점으로는 첫째, 건물 밖 외부에서 건물 내부의 무선 AP에 손쉽게 접근할 수 있어 유선관문 구간의 보안장비인 FW, IDS 등을 무용지물로 만드는 비인가자 또는 비인가단말기가 내부 네트워크로 우회 접속할 수 있다는 점이다. 또한, 사내 유선망으로 연결된 네트워크에 직원 등이 인가되지 않은 무선랜 등이 장착된 노트북 등을 이용하여 외부 무선랜 AP에 접속하는 경우, 이를 통해서도 정보유출 사고가 발생할 수 있다는 점이 문제점으로 부각되고 있다.
둘째, AP에 접속하여 사내 무선 네트워크에 접속하지 않아도 무선 도청(Air Sniffing)을 통하여 손쉽게 무선 구간 데이터를 도청할 수 있어 사내 기밀 및 개인정보 등이 유출될 수 있다는 점이다. 현재 국내에 있는 무선 AP 또는 공유기 등의 보안 취약점 중 가장 큰 영역을 차지하고 있는 부분이 바로 무인증·무암호로 방치되어 사용되고 있는 무선랜 등의 무선장비 때문에 발생하고 있는 실정이며, 이를 해결하기 위한 무선랜 보안대책으로 인증(Authentication), 암호화(Encryption) 등의 보안 인프라 적용이 시도되고 있다.
한편, 종래 비인가 AP를 탐지하는 기술들은 유선데이터 트래픽(data traffic) 처리를 하지 않고 단지 비인가 AP에 대한 정보만을 수집함으로써, 수집된 비인가 AP들이 내부 네트워크 망에 접속되어 있는지를 확인할 수 없는 문제점이 있었다. 즉, 비인가 AP가 감지되더라도, 이러한 비인가 AP가 자신의 네트워크 망에 접속되어 있는 AP인지를 확인할 수 없어 이를 함부로 차단할 수 없는 문제점이 있었다.
또한, 종래 기술은 개방 모드 및 브릿지 모드 상태의 AP에 대한 정보를 수집할 수 있었지만, 보안 모드 및 라우터 모드 상태의 AP에 대한 정보를 수집할 수 없는 문제점이 있었다.
본 발명은 상기와 같은 문제점을 해결하기 위해 창출된 것으로서, 본 발명의 목적은 무선 환경이 브릿지 모드, 라우터 모드, 개방 모드 및 보안 모드인 경우에 관계없이 자신의 네트워크에 연결되어 있는 비인가 불법 AP를 탐지할 수 있는 검출 시스템 및 검출 방법을 제공하는 데 있다.
상기와 같은 본 발명의 목적은 적어도 하나의 AP를 통해 사용자단말기로 무선 전송되는 데이터 패킷을 검출하는 센서; 및 검출된 데이터 패킷을 센서로부터 전송받아 AP가 내부 네트워크에 연결된 비인가 불법 AP인지를 판단하는 WIPS(Wireless intrusion prevention system) 서버;를 포함하되, WIPS 서버는, AP를 통해 사용자단말기로 전송할 특정 길이의 데이터 패킷을 생성하여 일정시간 동안 특정 횟수만큼 전송하는 패킷 생성부; 센서에 의해 특정 길이를 갖는 데이터 패킷이 일정시간 동안 검출된 횟수를 분석하여, AP가 내부 네트워크에 연결되어 있는 AP인지 여부를 판단하는 패킷 분석부; 및 AP의 MAC 주소 정보를 저장하고 있는 데이터베이스부;를 포함하는 것을 특징으로 하는 불법 AP 검출 시스템을 제공하는 데 있다.
또한, 패킷 생성부는, AP가 복수 개인 경우, 길이를 달리하는 데이터 패킷을 AP의 개수와 대응되는 개수만큼 생성하여 각 AP를 통해 사용자단말기로 전송하는 것을 특징으로 할 수 있다.
또한, 패킷 분석부는, AP가 특정 길이를 갖는 데이터 패킷을 사용자단말기로 일정시간 동안 미리 설정된 횟수 이상 전송한 것으로 확인한 경우에, AP를 내부 네트워크에 연결되어 있는 AP로 판단하는 것을 특징으로 할 수 있다.
또한, WIPS 서버는, 패킷 분석부에 의해 내부 네트워크에 연결되어 있는 것으로 판단된 AP의 MAC 주소가 인가 AP의 MAC 주소 정보에 포함되어 있지 않은 것으로 확인한 경우, AP를 비인가 불법 AP로 판단하는 것을 특징으로 할 수 있다.
그리고, 센서는, 검출된 데이터 패킷을 WIPS 서버로 전송하기 위한 통신부;를 더 포함하는 것을 특징으로 할 수 있다.
한편, 본 발명의 목적은 다른 카테고리로서, 센서가 적어도 하나의 AP를 통해 사용자단말기로 무선 전송되는 데이터 패킷을 검출하는 A단계; 센서가 검출된 데이터 패킷을 WIPS(Wireless intrusion prevention system) 서버로 전송하는 B단계; WIPS 서버에 구비된 패킷 생성부가 특정 길이를 갖는 데이터 패킷을 생성하여 일정시간 동안 특정 횟수만큼 AP를 통해 사용자단말기로 전송하는 C단계; WIPS 서버에 구비된 패킷 분석부가 센서로부터 전송된 데이터 패킷 중 특정 길이를 갖는 데이터 패킷이 존재하는지 여부를 확인하는 D단계; 패킷 분석부가 센서로부터 전송된 데이터 패킷 중 특정 길이를 갖는 데이터 패킷이 일정시간 동안 검출된 횟수를 확인하는 E단계; 패킷 분석부가 특정 길이를 갖는 데이터 패킷의 존재 여부 및 검출 횟수를 바탕으로 AP가 내부 네트워크에 연결되어 있는 AP인지 여부를 판단하는 F단계; 및 WIPS 서버가 인가 AP의 MAC 주소 정보를 저장하고 있는 데이터베이스부를 검색하여 AP가 비인가 불법 AP인지 여부를 판단하는 G단계;를 포함하는 것을 특징으로 하는 불법 AP 검출 방법을 제공하는 데 있다.
또한, C단계에서, 패킷 생성부는, AP가 복수 개인 경우, 길이를 달리하는 데이터 패킷을 AP의 개수와 대응되는 개수만큼 생성하여 각 AP를 통해 사용자단말기로 전송하는 것을 특징으로 할 수 있다.
또한, F단계에서, 패킷 분석부는, 특정 길이를 갖는 데이터 패킷이 일정시간 동안 미리 설정된 횟수 이상으로 검출된 경우에, AP가 내부 네트워크에 연결되어 있는 AP로 판단하는 것을 특징으로 할 수 있다.
그리고, G단계에서, 패킷 분석부는, 내부 네트워크에 연결되어 있는 것으로 판단된 AP의 MAC 주소가 WIPS 서버에 구비된 데이터베이스부에 저장되어 있는 인가 AP의 MAC 주소 정보에 포함되어 있지 않은 것으로 판단된 경우, AP를 비인가 불법 AP로 판단하는 것을 특징으로 할 수 있다.
본 발명의 일 실시예에 의하면, 본 발명은 비인가 불법 AP가 자신의 네트워크 통신망에 연결되어 있는지를 확인 및 검출할 수 있는 효과가 있다.
또한, 비인가 불법 AP와 사용자단말기 사이에 주고 받는 데이터 패킷이 암호화되어 있는 보안 모드인 경우에도 자신의 네트워크 통신망에 연결되어 있는 비인가 불법 AP인지 여부를 확인할 수 있는 효과가 있다.
아울러, 브릿지 모드 및 라우터 모드의 무선 환경 모두에서 자신의 네트워크 통신망에 연결되어 있는 비인가 불법 AP를 검출할 수 있는 효과가 있다.
도 1은 본 발명의 일실시예에 따른 비인가 불법 AP 검출 시스템의 구성을 나타낸 구성도,
도 2는 본 발명의 일실시예에 따른 WIPS 서버의 구성을 나타낸 블록도,
도 3은 본 발명의 일실시예에 따른 비인가 불법 AP 검출 방법을 순차적으로 나타낸 순서도이다.
도 2는 본 발명의 일실시예에 따른 WIPS 서버의 구성을 나타낸 블록도,
도 3은 본 발명의 일실시예에 따른 비인가 불법 AP 검출 방법을 순차적으로 나타낸 순서도이다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 도면들 중 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조번호들 및 부호들로 나타내고 있음에 유의해야 한다. 또한, 하기에서 본 발명을 설명함에 있어, 관련된 공지기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
<비인가 불법
AP
검출 시스템의 구성>
도 1은 본 발명의 일실시예에 따른 네트워크 통신망의 불법 AP 검출 시스템의 구성도이고, 도 2는 본 발명의 일실시예에 따른 WIPS 서버의 구성을 나타낸 블록도이다. 도1에 도시된 바와 같이, 본 발명인 불법 AP 검출 시스템(이하, '검출 시스템'이라 함)은 WIPS(Wireless intrusion prevention system) 서버(100), 센서(200), 통신부(300), AP(400) 및 사용자단말기(500)로 구성된다. 또한, 도 2에 도시된 바와 같이, WIPS 서버(100)는 내부에 패킷 생성부(110), 패킷 분석부(120) 및 패킷 저장부(130)를 구비하고 있다. 한편, 본 발명에서의 비인가 불법 AP는 관리자에 의해 비승인(Unauthorized)된 AP(Acess Point)를 말하고, 인가된 AP는 관리자에 의해 승인(Authorized)된 AP를 말한다. 또한, 사용자단말기(500)는 무선랜이 구비된 노트북, 스마트폰 등 WIPS 서버(100)와 연결된 AP(400)를 통해 데이터를 주고 받을 수 있는 다양한 장치를 말한다.
센서(200)는 AP(400)를 통해 사용자단말기(500)로 무선 전송되는 데이터 패킷을 검출한다. 센서(200) 및 AP(400)는 WIPS 서버(100)에 유선으로 연결되어 있다. 여기서 AP(400)는 한 개 또는 복수 개로 구성될 수 있다. 데이터 패킷(data packet)은 통신망을 통하여 하나의 장치에서 다른 장치로 블록으로 송신되는 정보의 단위를 말한다. 여기서, 데이터 패킷은 서비스 세트 식별 어드레스(SSID), 지원 속도, 타임스탬프, 표지 간격, 용량정보, 채널들 등과 같은 다양한 엘리먼트 필드들을 포함할 수 있다. 센서(200)에 의해 검출된 데이터 패킷은 WIPS 서버(100)로 전송된다. 이때, 센서(200)에는 통신부(300)가 마련되어 있을 수 있으며, 통신부(300)를 통해 검출된 데이터 패킷이 WIPS 서버(100)로 전송될 수 있다.
WIPS 서버(100)는 센서(200)로부터 전송된 데이터 패킷을 바탕으로 AP(400)가 내부 네트워크에 연결된 비인가 불법 AP인지를 판단한다. 구체적으로, WIPS 서버(100)에 구비된 패킷 생성부(110), 패킷 분석부(120)를 통해 AP(400)가 내부 네트워크에 연결된 AP인지 여부를 판단하고, 이후에 WIPS 서버(100)는 내부 네트워크에 연결되어 있는 AP(400)가 인가 AP인지(400a, 400c) 또는 비인가 불법 AP(400b, 400d)인지를 판단한다. WIPS 서버(100)에 구비된 패킷 생성부(110) 및 패킷 분석부(120)에 대해서는 이하에서 상세히 설명한다. 한편, 센서(200)로부터 전송된 데이터 패킷은 WIPS 서버(100)에 구비된 패킷 저장부(130)에 저장될 수 있다.
패킷 생성부(110)는 AP(400)를 통해 사용자단말기(500)로 전송할 특정 길이의 데이터 패킷을 생성하여 일정시간 동안 특정 횟수만큼 전송한다. 이때, 패킷 생성부(110)는 주기적으로 특정 길이를 갖는 데이터 패킷을 생성하여 사용자단말기(500)로 전송할 수 있다. 한편, 패킷 생성부(100)로는 보안 분야에서 네트워크상의 컴퓨터 및 가동되는 서비스 등을 탐색 및 확인할 수 있는 프로브(Probe)가 사용될 수 있다. 여기서, 패킷 생성부(110)에 의해 생성되는 특정 길이의 데이터 패킷은 공지의 다양한 패킷 변환 방법에 의해 생성될 수 있다. 아울러, 일정 시간은 관리자에 의해 설정될 수 있으며, 초(Second) 단위로 설정하는 것이 바람직하다. 아울러, 데이터 패킷을 전송하는 횟수도 관리자에 의해 조절될 수 있다. 예를 들어, 특정 길이의 데이터 패킷을 1초 동안에 10번 전송시킬지 또는 1초 동안에 100번 전송시킬지를 관리자가 설정할 수 있다.
한편, 패킷 생성부(110)는 AP(400)가 복수 개인 경우, 길이를 달리하는 데이터 패킷을 AP(400)의 개수와 대응되는 개수만큼 생성하여 각 AP(400)를 통해 사용자단말기(500)로 전송할 수 있다. 즉, 여러 개의 AP(400)가 내부 네트워크에 연결되어 있는 경우에, AP(400)마다 길이를 달리하는 데이터 패킷을 전송함으로써 내부 네트워크에 연결되어 있는 여러 개의 AP(400)를 동시에 검출할 수 있다. 예를 들어, AP(400)가 4개인 경우, 각각 길이를 달리하는 4가지 종류의 데이터 패킷을 생성하여 각 AP마다 따로 전송시킬 수 있다.
패킷 분석부(120)는 센서(200)에 의해 특정 길이를 갖는 데이터 패킷이 검출된 횟수를 분석하여 AP(400)가 내부 네트워크에 연결되어 있는지 여부를 판단한다. 즉, 패킷 분석부(120)는 AP(400)가 특정 길이를 갖는 데이터 패킷을 사용자단말기(500)로 관리자가 미리 설정한 횟수 이상 전송한 것으로 확인된 경우에, AP(400)를 내부 네트워크에 연결되어 있는 AP(400)로 판단한다. 이때, 미리 설정한 횟수는 패킷 생성부(110)가 특정 길이를 갖는 데이터 패킷을 생성하여 전송하는 횟수를 감안하여 설정될 수 있다.
WIPS 서버(100)는 패킷 분석부(120)에 의해 내부 네트워크에 연결되어 있는 것으로 판단된 AP(400)의 MAC 주소가 인가 AP의 MAC 주소 정보에 포함되어 있지 않은 것으로 확인한 경우, AP(400b, 400d)를 비인가 불법 AP로 판단한다. 즉, WIPS 서버(100)는 내부에 구비되어, 인가 AP(400a, 400b)의 MAC 주소 정보를 저장하고 있는 데이터베이스부(미도시)를 검색하여 내부 네트워크에 연결되어 있다고 판단한 AP(400)가 비인가 불법 AP(400b, 400d)인지 또는 인가된 AP(400a, 400c)인지 여부를 판단한다.
<비인가 불법
AP
검출 방법>
도 3은 본 발명의 일실시예에 따른 비인가 불법 AP 검출 방법을 순차적으로 나타낸 순서도이다. 이하에서는 비인가 AP 검출 방법(이하, '검출 방법'이라 함)에 대해서 상세히 설명하되, 상기 검출 시스템에서 설명한 내용과 중복되는 내용은 이를 생각한다.
1. 데이터 패킷 검출단계(
S610
)
센서(200)가 적어도 하나의 AP(400)를 통해 사용자단말기(500)로 무선 전송되는 데이터 패킷을 검출하는 단계를 말한다(S610).
2. 데이터 패킷 전송단계( S620 )
센서(200)가 검출된 데이터 패킷을 WIPS 서버(100)로 전송하는 단계를 말한다(S620). 여기서, 센서(200)에 검출된 데이터 패킷은 통신부(300)를 통해 WIPS 서버(100)로 전송될 수 있다. 한편, WIPS 서버(100)로 전송된 데이터 패킷은 WIPS 서버(100) 내부에 구비된 패킷 저장부(300)에 저장될 수 있다(S625).
3. 특정 길이의 데이터 패킷 전송단계( S630 )
WIPS 서버(100)에 구비된 패킷 생성부(110)가 특정 길이를 갖는 데이터 패킷을 생성하여 일정시간 동안 특정 횟수만큼 AP(400)를 통해 사용자단말기(500)로 전송하는 단계를 말한다(S630). 이때 패킷 생성부(110)는 AP(400)가 복수 개인 경우, 길이를 달리하는 데이터 패킷을 AP(400)의 개수와 대응되는 개수만큼 생성하여 각 AP(400a, 400b, 400c, 400d)를 통해 각 사용자단말기(500a, 500b, 500c, 500d))로 전송할 수 있다. 예를 들어, AP(400) 중 제1비인가AP(400b)에 대해서는 64 비트(Bit)의 길이를 갖는 데이터 패킷을 생성하여 1초 동안 10번 전송하는 동시에 제2비인가AP(400d)에 대해서는 640 비트(Bit)의 길이를 갖는 데이터 패킷을 생성하여 1초 동안 10번 전송한 경우, 센서가 1초 동안 검출한 64 비트 길이의 데이터 패킷의 횟수 및 640 비트 길이의 데이터 패킷의 횟수가 미리 설정된 일정 횟수 이상인 것으로 확인되면, 제1비인가AP(400b) 및 제2비인가AP(400d)가 내부 네트워크에 연결되어 있는 것으로 동시에 판단할 수 있다.
4. 특정 길이의 데이터 패킷 존재 확인단계( S640 )
WIPS 서버(100)에 구비된 패킷 분석부(120)가 센서(200)로부터 전송된 데이터 패킷 중 특정 길이를 갖는 데이터 패킷이 존재하는지 여부를 확인하는 단계를 말한다(S640).
5. 특정 길이의 데이터 패킷 존재 확인단계( S650 )
WIPS 서버(100)에 구비된 패킷 분석부(120)가 센서(200)로부터 전송된 데이터 패킷 중 특정 길이를 갖는 데이터 패킷이 일정시간 동안 검출된 횟수를 확인하는 단계를 말한다(S650). 여기서, 일정시간은 상기 특정 길이의 데이터 패킷 전송단계(S630)에서 설정된 일정시간과 다르게 설정할 수도 있으나, 같은 시간으로 설정하는 것이 바람직하다.
6. AP 의 내부 네트워크 연결여부 확인단계( S660 )
WIPS 서버(100)에 구비된 패킷 분석부(120)가 특정 길이를 갖는 데이터 패킷의 존재 여부 및 검출 횟수를 바탕으로 AP(400)가 내부 네트워크에 연결되어 있는지 여부를 판단하는 단계를 말한다(S660). 여기서, 패킷 분석부(120)는 특정 길이를 갖는 데이터 패킷이 일정시간 동안 미리 설정된 횟수 이상으로 검출된 경우에, AP(400)가 내부 네트워크에 연결되어 있는 AP인 것으로 판단한다. 이때, 설정한 횟수는 패킷 생성부(110)가 특정 길이를 갖는 데이터 패킷을 생성하여 전송하는 횟수를 감안하여 관리자에 의해 미리 설정된 횟수를 말한다. 예를 들어, 패킷 생성부(110)가 1초 동안 10번의 특정 길이의 데이터 패킷을 전송하면 AP(500)를 통해 사용자단말기(500)로 전송된 특정 길이의 데이터 패킷이 8번이 검출된 경우에 AP(500)가 내부 네트워크에 연결되어 있는 것으로 판단하도록 설정할 수 있다.
7. 비인가 불법 AP 여부 판단단계( S670 )
WIPS 서버(100)가 인가 AP의 MAC 주소 정보를 저장하고 있는 데이터베이스부를 검색하여 AP(400)가 비인가 불법 AP인지 여부를 판단하는 단계를 말한다(S670). 여기서, 패킷 분석부(120)는 내부 네트워크에 연결되어 있는 것으로 판단된 AP(400)의 MAC 주소가 WIPS 서버(100)에 구비된 데이터베이스부(미도시)에 저장되어 있는 인가 AP의 MAC 주소 정보에 포함되어 있지 않은 것으로 판단된 경우, AP(400b, 400d)를 비인가 불법 AP로 판단한다.
한편, 종래 기술은 비인가 AP(400b, 400d)를 탐지할 수는 있었지만, 탐지된 비인가 AP(400b, 400d)가 자신의 네트워크 통신망에 연결되어 있는 AP인지 여부에 대해서는 확인을 하지 못하고, AP(400)와 단말기(500) 사이에 주고 받는 데이터 패킷이 암호화되어 있는 경우에는 데이터 패킷 정보를 통해 내부 네트워크에 연결되어 있는 AP(500)인지를 확인할 수 없는 한계가 있었다. 반면에, 본 발명은 AP(400)와 사용자단말기(500) 사이에 주고 받는 데이터 패킷이 암호화되어 있어도, 패킷 생성부(110)에 의해 생성되어 전송된 특정 길이의 데이터 패킷이 검출된 횟수를 통해 AP(400)가 연결되어 있는 AP(400) 인지를 확인할 수 있으므로 개방모두 및 보안모드의 모든 무선 환경에서 비인가 불법 AP를 검출할 수 있는 장점이 있다.
아울러, 본 발명은 종래기술과 달리 브릿지 모드, 라우터 모드의 무선환경 모두에서 사용될 수 있는 장점이 있다. 브릿지 모드는 논리 연결 제어 프로토콜(LLC protocol)은 같지만, 매체 접근 제어(MAC)는 같거나 다른 2개의 구내 정보 통신망(LAN)을 상호 접속하여 데이터를 주고받을 수 있게 하는 방식을 말한다. 브릿지에는 동일 구내 또는 근거리에 있는 LAN 상호 간을 연결하는 로컬 브리지(LB)와 원거리에 있는 LAN 상호 간을 연결하는 원격 브리지가 있다. 브리지 상호 간 MAC 주소(MACA)에 의해 프레임을 전달함으로써 데이터를 주고받는다. 한편, 라우터(router)는 패킷의 위치를 추출하여 그 위치에 대한 최상의 경로를 지정하며 이 경로를 따라 데이터 패킷을 다음 장치로 전향시키는 장치이다. 라우터는 2개 이상의 논리적 하위망을 연결하는데, 라우터의 물리적 인터페이스와 일치하지는 않는다. 즉, 라우터 모드에서는 MAC 주소가 변경되게 된다. 즉, 종래기술은 MAC 주소가 계속 변경되는 라우터 모드의 경우에는 비인가 AP(400b, 400d)를 검출하는데 한계가 있었으나, 본 발명은 MAC 주소가 변경되더라도, WIPS 서버(100)에 연결된 AP(400)을 통해 사용자 단말기들(500)로 전송되는 특정 길이의 데이터 패킷이 검출되는 횟수를 이용하여 비인가 불법 AP를 검출하기 때문에 라우터 모드에서도 사용될 수 있는 장점이 있다.
이상에서 본 발명에 대한 기술 사상을 첨부 도면과 함께 서술하였지만, 이는 본 발명의 가장 양호한 일 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술 분야의 통상의 지식을 가진 자이면 누구나 본 발명의 기술 사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
100 : WIPS 서버
110 : 패킷 생성부
120 : 패킷 분석부
130 : 패킷 저장부
200 : 센서
300 : 통신부
400 : AP
500 : 사용자단말기
110 : 패킷 생성부
120 : 패킷 분석부
130 : 패킷 저장부
200 : 센서
300 : 통신부
400 : AP
500 : 사용자단말기
Claims (9)
- 적어도 하나의 AP를 통해 사용자단말기로 무선 전송되는 데이터 패킷을 검출하는 센서; 및
상기 검출된 데이터 패킷을 상기 센서로부터 전송받아 상기 AP가 내부 네트워크에 연결된 비인가 불법 AP인지를 판단하는 WIPS(Wireless intrusion prevention system) 서버;를 포함하되,
상기 WIPS 서버는,
상기 AP를 통해 상기 사용자단말기로 전송할 특정 길이의 데이터 패킷을 생성하여 일정시간 동안 특정 횟수만큼 전송하는 패킷 생성부;
상기 센서에 의해 특정 길이를 갖는 데이터 패킷이 일정시간 동안 검출된 횟수를 분석하여, 상기 AP가 내부 네트워크에 연결되어 있는 AP인지 여부를 판단하는 패킷 분석부; 및
인가 AP의 MAC 주소 정보를 저장하고 있는 데이터베이스부;를 포함하되,
상기 패킷 분석부는,
상기 AP가 특정 길이를 갖는 상기 데이터 패킷을 상기 사용자단말기로 일정시간 동안 미리 설정된 횟수 이상 전송한 것으로 확인한 경우에, 상기 AP를 내부 네트워크에 연결되어 있는 AP로 판단하고,
상기 WIPS 서버는,
상기 패킷 분석부에 의해 상기 내부 네트워크에 연결되어 있는 것으로 판단된 AP의 MAC 주소가 상기 인가 AP의 MAC 주소 정보에 포함되어 있지 않은 것으로 확인한 경우, 상기 AP를 비인가 불법 AP로 판단하는 것을 특징으로 하는 불법 AP 검출 시스템.
- 제 1항에 있어서,
상기 패킷 생성부는,
상기 AP가 복수 개인 경우, 길이를 달리하는 데이터 패킷을 상기 AP의 개수와 대응되는 개수만큼 생성하여 각 AP를 통해 상기 사용자단말기로 전송하는 것을 특징으로 하는 불법 AP 검출 시스템.
- 삭제
- 삭제
- 제 1항에 있어서,
상기 센서는,
상기 검출된 데이터 패킷을 상기 WIPS 서버로 전송하기 위한 통신부;를 더 포함하는 것을 특징으로 하는 불법 AP 검출 시스템.
- 센서가 적어도 하나의 AP를 통해 사용자단말기로 무선 전송되는 데이터 패킷을 검출하는 A단계;
상기 센서가 상기 검출된 데이터 패킷을 WIPS(Wireless intrusion prevention system) 서버로 전송하는 B단계;
상기 WIPS 서버에 구비된 패킷 생성부가 특정 길이를 갖는 데이터 패킷을 생성하여 일정시간 동안 특정 횟수만큼 상기 AP를 통해 상기 사용자단말기로 전송하는 C단계;
상기 WIPS 서버에 구비된 패킷 분석부가 상기 센서로부터 전송된 데이터 패킷 중 특정 길이를 갖는 데이터 패킷이 존재하는지 여부를 확인하는 D단계;
상기 패킷 분석부가 상기 센서로부터 전송된 상기 데이터 패킷 중 특정 길이를 갖는 데이터 패킷이 일정시간 동안 검출된 횟수를 확인하는 E단계;
상기 패킷 분석부가 상기 특정 길이를 갖는 데이터 패킷의 존재 여부 및 검출 횟수를 바탕으로 상기 AP가 내부 네트워크에 연결되어 있는 AP인지 여부를 판단하는 F단계; 및
상기 WIPS 서버가 인가 AP의 MAC 주소 정보를 저장하고 있는 데이터베이스부를 검색하여 상기 AP가 비인가 불법 AP인지 여부를 판단하는 G단계;를 포함하되,
상기 F단계에서,
상기 패킷 분석부는, 상기 특정 길이를 갖는 데이터 패킷이 일정시간 동안 미리 설정된 횟수 이상으로 검출된 경우에, 상기 AP가 내부 네트워크에 연결되어 있는 AP로 판단하고,
상기 G단계에서,
WIPS 서버는, 상기 패킷 분석부에 의해 상기 내부 네트워크에 연결되어 있는 것으로 판단된 AP의 MAC 주소가 상기 인가 AP의 MAC 주소 정보에 포함되어 있지 않은 것으로 확인한 경우, 상기 AP를 비인가 불법 AP로 판단하는 것을 특징으로 하는 불법 AP 검출 방법.
- 제 6항에 있어서,
상기 C단계에서,
상기 패킷 생성부는, 상기 AP가 복수 개인 경우, 길이를 달리하는 데이터 패킷을 상기 AP의 개수와 대응되는 개수만큼 생성하여 각 AP를 통해 상기 사용자단말기로 전송하는 것을 특징으로 하는 불법 AP 검출 방법.
- 삭제
- 삭제
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120133371A KR101429177B1 (ko) | 2012-11-23 | 2012-11-23 | 불법 ap 검출 시스템 및 그의 검출 방법 |
| PCT/KR2013/010597 WO2014081205A1 (ko) | 2012-11-23 | 2013-11-21 | 불법 ap 검출 시스템 및 그의 검출 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120133371A KR101429177B1 (ko) | 2012-11-23 | 2012-11-23 | 불법 ap 검출 시스템 및 그의 검출 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20140066312A KR20140066312A (ko) | 2014-06-02 |
| KR101429177B1 true KR101429177B1 (ko) | 2014-08-12 |
Family
ID=50776316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120133371A KR101429177B1 (ko) | 2012-11-23 | 2012-11-23 | 불법 ap 검출 시스템 및 그의 검출 방법 |
Country Status (2)
| Country | Link |
|---|---|
| KR (1) | KR101429177B1 (ko) |
| WO (1) | WO2014081205A1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210004555A (ko) * | 2019-07-05 | 2021-01-13 | 빅오 주식회사 | 무선 침입 방지 시스템의 성능 검사 장치 및 기록매체 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10039174B2 (en) | 2014-08-11 | 2018-07-31 | RAB Lighting Inc. | Systems and methods for acknowledging broadcast messages in a wireless lighting control network |
| US10531545B2 (en) | 2014-08-11 | 2020-01-07 | RAB Lighting Inc. | Commissioning a configurable user control device for a lighting control system |
| US10085328B2 (en) | 2014-08-11 | 2018-09-25 | RAB Lighting Inc. | Wireless lighting control systems and methods |
| KR101626567B1 (ko) * | 2014-09-24 | 2016-06-01 | 주식회사 코닉글로리 | 무선 보안 장치 및 방법 |
| JP2018511282A (ja) * | 2015-03-27 | 2018-04-19 | ユーネット セキュア インコーポレイテッド | Wipsセンサー及びこれを用いた端末遮断方法 |
| CN106686580A (zh) * | 2015-11-06 | 2017-05-17 | 北京金山安全软件有限公司 | 一种无线热点名称展示方法及装置 |
| KR102285257B1 (ko) * | 2017-08-14 | 2021-08-02 | 주식회사 케이티 | 와이파이 액세스 포인트를 이용한 무선 침입감지 시스템 검출 장치 및 방법 |
| KR102067046B1 (ko) * | 2019-10-15 | 2020-01-17 | 주식회사 윅스콘 | 머신러닝 기반 네트워크 영상 데이터 송출패턴 분석을 이용한 변형 카메라 인지 시스템과 그 방법 |
| KR102374657B1 (ko) * | 2019-11-29 | 2022-03-14 | 주식회사 케이티 | 무선 침입방지 시스템 검출 장치 및 이를 이용한 무선 침입방지 시스템 신호 회피 방법 |
| KR102168780B1 (ko) * | 2019-12-31 | 2020-10-22 | 충남대학교 산학협력단 | 기계학습을 이용한 ap 식별 방법 및 시스템 |
| CN111479271B (zh) * | 2020-04-03 | 2023-07-25 | 北京锐云通信息技术有限公司 | 基于资产属性标记分组的无线安全检测与防护方法及系统 |
| CN111479273B (zh) * | 2020-05-25 | 2023-04-07 | 北京字节跳动网络技术有限公司 | 一种网络接入安全性的检测方法、装置、设备及存储介质 |
| KR102215390B1 (ko) * | 2020-06-23 | 2021-02-16 | 공경남 | 무선 공유기를 이용한 몰래 카메라 탐지 방법 및 그 시스템 |
| CN112105029B (zh) * | 2020-08-07 | 2022-07-12 | 新华三技术有限公司 | 一种反制非法设备的方法及设备 |
| CN113207125B (zh) * | 2021-04-25 | 2021-12-14 | 深圳市科信网安科技有限公司 | 一种非法无线ap检测装置 |
| CN113438653B (zh) * | 2021-06-01 | 2024-09-24 | 紫光华山科技有限公司 | 一种设备分类方法及装置 |
| KR102366574B1 (ko) * | 2021-11-29 | 2022-02-23 | 주식회사 심플솔루션 | 무선 침입 방지 방법 |
| CN115085979A (zh) * | 2022-05-30 | 2022-09-20 | 浙江大学 | 一种基于流量分析的网络摄像头非法安装及占用检测方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110106125A (ko) * | 2010-03-22 | 2011-09-28 | 아주대학교산학협력단 | 무선 통신망을 운용하는 시스템 및 그 방법 |
| KR20110114615A (ko) * | 2009-01-05 | 2011-10-19 | 퀄컴 인코포레이티드 | 위조된 무선 액세스 포인트들의 검출 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ITRM20030100A1 (it) * | 2003-03-06 | 2004-09-07 | Telecom Italia Mobile Spa | Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento. |
| JP5178690B2 (ja) * | 2009-10-30 | 2013-04-10 | 株式会社東芝 | 通信システム、当該システムの携帯端末、および当該システムのセンタ |
-
2012
- 2012-11-23 KR KR1020120133371A patent/KR101429177B1/ko active IP Right Grant
-
2013
- 2013-11-21 WO PCT/KR2013/010597 patent/WO2014081205A1/ko active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110114615A (ko) * | 2009-01-05 | 2011-10-19 | 퀄컴 인코포레이티드 | 위조된 무선 액세스 포인트들의 검출 |
| KR20110106125A (ko) * | 2010-03-22 | 2011-09-28 | 아주대학교산학협력단 | 무선 통신망을 운용하는 시스템 및 그 방법 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210004555A (ko) * | 2019-07-05 | 2021-01-13 | 빅오 주식회사 | 무선 침입 방지 시스템의 성능 검사 장치 및 기록매체 |
| KR102220877B1 (ko) | 2019-07-05 | 2021-02-26 | 빅오 주식회사 | 무선 침입 방지 시스템의 성능 검사 장치 및 기록매체 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20140066312A (ko) | 2014-06-02 |
| WO2014081205A1 (ko) | 2014-05-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101429177B1 (ko) | 불법 ap 검출 시스템 및 그의 검출 방법 | |
| US7970894B1 (en) | Method and system for monitoring of wireless devices in local area computer networks | |
| Nikbakhsh et al. | A novel approach for rogue access point detection on the client-side | |
| Han et al. | A timing-based scheme for rogue AP detection | |
| US7339914B2 (en) | Automated sniffer apparatus and method for monitoring computer systems for unauthorized access | |
| US7216365B2 (en) | Automated sniffer apparatus and method for wireless local area network security | |
| US20090016529A1 (en) | Method and system for prevention of unauthorized communication over 802.11w and related wireless protocols | |
| WO2003101023A2 (en) | Method and system for wireless intrusion detection | |
| Jang et al. | Catch me if you can: Rogue access point detection using intentional channel interference | |
| CN105681272A (zh) | 一种移动终端钓鱼WiFi的检测与抵御方法 | |
| Takahashi et al. | IEEE 802.11 user fingerprinting and its applications for intrusion detection | |
| KR20120132086A (ko) | 비인가 ap 탐지 시스템 및 그의 탐지 방법 | |
| KR20070054067A (ko) | 무선 액세스 포인트 장치 및 그를 이용한 네트워크 트래픽침입탐지 및 차단방법 | |
| CN106961683A (zh) | 一种检测非法ap的方法、系统及发现者ap | |
| WO2010027121A1 (en) | System and method for preventing wireless lan intrusion | |
| Anmulwar et al. | Rogue access point detection methods: A review | |
| Alotaibi et al. | A passive fingerprint technique to detect fake access points | |
| Meng et al. | Building a wireless capturing tool for WiFi | |
| Kitisriworapan et al. | Evil-twin detection on client-side | |
| Hsu et al. | A passive user‐side solution for evil twin access point detection at public hotspots | |
| KR101335293B1 (ko) | 내부 네트워크 침입 차단 시스템 및 그 방법 | |
| KR101557857B1 (ko) | 무선침입방지시스템의 탐지장치 | |
| Timofte | Wireless intrusion prevention systems | |
| Komanduri et al. | Experimental assessment of wireless lans against rogue access points | |
| KR101382526B1 (ko) | 맥 스푸핑 방지를 위한 네트워크 보안방법 및 보안시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20121123 |
|
| PA0201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20140128 Patent event code: PE09021S01D |
|
| PG1501 | Laying open of application | ||
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20140724 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20140805 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20140806 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment |
Payment date: 20170804 Year of fee payment: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20170804 Start annual number: 4 End annual number: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20180731 Year of fee payment: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20180731 Start annual number: 5 End annual number: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20190722 Year of fee payment: 6 |
|
| PR1001 | Payment of annual fee |
Payment date: 20190722 Start annual number: 6 End annual number: 6 |
|
| PR1001 | Payment of annual fee |
Payment date: 20210630 Start annual number: 8 End annual number: 8 |
|
| PR1001 | Payment of annual fee |
Payment date: 20230720 Start annual number: 10 End annual number: 10 |
|
| PR1001 | Payment of annual fee |
Payment date: 20240731 Start annual number: 11 End annual number: 11 |