KR101836481B1 - Apparatus and Method for Detecting Rogue AP - Google Patents
Apparatus and Method for Detecting Rogue AP Download PDFInfo
- Publication number
- KR101836481B1 KR101836481B1 KR1020170019580A KR20170019580A KR101836481B1 KR 101836481 B1 KR101836481 B1 KR 101836481B1 KR 1020170019580 A KR1020170019580 A KR 1020170019580A KR 20170019580 A KR20170019580 A KR 20170019580A KR 101836481 B1 KR101836481 B1 KR 101836481B1
- Authority
- KR
- South Korea
- Prior art keywords
- beacon frame
- periodic
- difference
- log
- period
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/18—Service support devices; Network management devices
Abstract
Description
본 발명은 로그 AP를 검출하는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting a log AP.
로그 AP란 정상적인 엑세스 포인트(Access Point, 이하 'AP'라 통칭함)로 위장하여 사용자 단말의 패킷을 탈취하거나, 웹 페이지 변조 등의 MitM 공격하는데 쓰이는 AP를 의미한다. 사용자 단말은 접속하고자 하는 AP를 비콘 프레임에 있는 식별정보를 통해 구분하는데, 현재 AP는 암호화되지 않은 식별정보를 사용하고 있어 로그 AP에 의한 보안상의 문제가 발생하고 있다. 로그 AP가 정상 AP의 식별정보 사용하게 되면 사용자 단말 입장에서는 그 AP를 정상 AP로 간주하고 접속하게 되며, 따라서, 사용자 단말의 입장에서는 자신의 식별정보를 위장하는 로그 AP를 검출하는 것이 매우 중요하다. The log AP refers to an AP used to steal a packet of a user terminal by disguising as a normal access point (hereinafter, referred to as an 'AP') or to attack a MitM such as a web page. The user terminal distinguishes the AP to be accessed through the identification information in the beacon frame. Since the current AP uses the unencrypted identification information, a security problem is caused by the log AP. If the log AP uses the identification information of the normal AP, the AP regards the AP as a normal AP and accesses it. Therefore, it is very important to detect the log AP that discovers the identification information of the user terminal .
로그 AP를 검출하기 위해 고안된 가장 대표적인 방법은 정상 AP의 식별정보를 미리 저장하여 등록해 놓는 것이다. 이를 통해 미리 등록된 AP에만 접속할 수 있게 하여 로그 AP의 공격을 무력화시킬 수 있다. 그러나 정상 AP 또는 등록된 AP의 식별정보를 로그 AP가 읽어들여 자신의 식별정보로 위장할 수 있기 때문에, AP 등록방법에 의하더라도 로그 AP를 구분할 수 없는 문제점이 여전히 발생하고 있다.The most representative method designed to detect the log AP is to store and store the identification information of the normal AP in advance. This makes it possible to access only APs that have been registered in advance and disable the attack of the log APs. However, since the log AP can read the identification information of the normal AP or the registered AP and can disguise it as its own identification information, there is still a problem that the log AP can not be distinguished even by the AP registration method.
도 1은 로그 AP가 정상 AP를 위장함에 따른 문제점을 설명하기 위한 도면이다.FIG. 1 is a diagram for explaining a problem that a log AP disguises a normal AP.
도 1을 참조하면, 기저장된 SSID 중 'Bio'가 포함되어 있다고 할 때, 사용자 단말은 접속하고자 하는 AP의 SSID를 기저장된 SSID와 비교하여, 'Bio'라는 SSID를 가진 정상 AP(10)에 접속될 수 있다. 도 1의 (a)와 같이 SSID가 설정되지 않은 로그 AP(20)의 주변에 정상 AP(10)가 위치하는 경우, 로그 AP(20)는 정상 AP(10)의 SSID 즉, 'Bio'라는 SSID를 수집할 수 있으며, 도 1의 (b)와 같이 수집된 SSID를 바탕으로 정상 AP의 SSID 'Bio'를 복제하여 자신의 SSID로 사용하게 된다. Referring to FIG. 1, if 'Bio' is included in the pre-stored SSID, the user terminal compares the SSID of the AP to be connected with the pre-stored SSID and transmits it to the
일반적으로 로그 AP는 정상 AP보다 강한 신호를 전달하며, 동일한 SSID를 가진 AP가 복수개 존재하는 경우, 사용자 단말은 자동으로 강한 신호를 선택하여 접속하게 된다. 따라서, 정상 AP(10)에 접속되었던 사용자 단말은 도 1의 (c)에서와 같이, 정상 AP(10)와 동일한 SSID를 갖으나 보다 강한 신호를 전달하는 로그 AP(20)에 접속되어 로그 AP(20)에 의해 패킷을 탈취당하거나, 정보 변조의 공격을 당할 수 있다. 이와 같이, SSID와 같은 식별정보를 저장하여 접속 대상의 AP를 등록하더라도, 로그 AP를 검출하여 차단하는데 한계가 발생하게 된다.In general, a log AP transmits a stronger signal than a normal AP. When there are a plurality of APs having the same SSID, the user terminal automatically selects a strong signal and connects to the AP. 1C, the user terminal connected to the
이에 따라, AP가 가지는 고유의 물리적 주파수 특성을 지문으로 활용하여 인증된 AP를 구분하는 방법이 고안되었다. 그러나 이러한 접근법은 고유의 주파수 특성을 측정할 수 있는 추가적인 하드웨어가 필요하여 일반 사용자들이 사용하기에는 적합하지 않은 단점이 있다. 따라서 추가적인 하드웨어 없이 AP의 비콘 프레임 주기를 이용하여 로그 AP를 구분하는 방법이 제안되었는데, 이 방법은 현재까지 AP에서 나오는 비콘 프레임을 수집한 다음 수집된 비콘 프레임을 분석하여 로그 AP의 흔적을 찾아내는 사후 검출 방법으로, 실시간 검출이 어렵다는 단점이 있다.Accordingly, a method of distinguishing authenticated APs by using the inherent physical frequency characteristics of APs as fingerprints has been devised. However, this approach has the drawback that it is not suitable for general users because it requires additional hardware to measure the inherent frequency characteristics. Therefore, a method of distinguishing log APs using beacon frame period of AP without additional hardware has been proposed. This method collects beacon frames from AP and analyzes the collected beacon frames to find traces of log APs. As a detection method, there is a disadvantage that it is difficult to detect in real time.
따라서, 추가적인 하드웨어 등이 필요없을 뿐만 아니라, 실시간 검출이 가능한 로그 AP의 검출 기술에 대한 사용자 니즈가 증가하고 있는 실정이다. Accordingly, there is an increasing need for a user of a log AP detection technology that does not require additional hardware and is capable of real-time detection.
관련 선행기술로는 한국 공개특허공보 제2015-0012154호(발명의 명칭: 비인가 엑세스 포인트 검출 장치 및 그 방법, 공개일자: 2015. 02. 03)가 있다.Related prior arts include Korean Unexamined Patent Publication No. 2015-0012154 entitled " Unauthorized Access Point Detection Apparatus and Method ", published on Feb. 02, 2015).
본 발명은 비콘 프레임의 주기를 이용하여, 실시간으로 정상 AP를 위장한 로그 AP를 검출하는 장치 및 방법을 제공하고자 한다. The present invention provides an apparatus and method for detecting a log AP that masquerades a normal AP in real time using a period of a beacon frame.
상술한 과제를 해결하기 위하여, 다음과 같은 로그 AP 검출 장치 및 방법이 제공된다.
In order to solve the above problems, the following log AP detection apparatus and method are provided.
로그 AP 검출 장치는, 사용자 단말의 소정의 거리 내에 위치한 복수의 정상 AP로부터 비콘 프레임을 수신하는 통신부; 복수의 정상 AP에 포함된 제1 AP의 비콘 프레임과 나머지 AP의 비콘 프레임의 주기차를 이용하여, 제1 AP에 대한 주기차 확률값을 산출하는 주기차 확률값 산출부; 및 사용자 단말의 접속 대상인 제2 AP와 식별정보가 동일한 제1 AP의 주기차 확률값을 이용하여, 제2 AP가 로그 AP인지 여부를 판단하는 로그 AP 판단부; 를 포함할 수 있다. The log AP detection apparatus includes: a communication unit that receives a beacon frame from a plurality of normal APs located within a predetermined distance of a user terminal; A period difference probability value calculation unit for calculating a period difference probability value for a first AP using a difference between a beacon frame of a first AP and a beacon frame of the remaining APs included in a plurality of normal APs; And a log AP determining unit for determining whether the second AP is a log AP using the period difference probability value of the first AP having the same identification information as the second AP to which the user terminal is connected; . ≪ / RTI >
주기차 확률값 산출부는, 나머지 AP 중, 제1 AP의 비콘 프레임의 주기를 기준으로, 소정의 시간 내에 수신되는 AP인 제1 시간범위 AP를 검출할 수 있다. The period difference probability value calculation unit may detect a first time range AP that is an AP to be received within a predetermined time period based on the period of the beacon frame of the first AP among the remaining APs.
주기차 확률값 산출부는, 제1 AP의 비콘 프레임과 제1 시간범위 AP의 비콘 프레임의 주기차인 제1 주기차를 산출할 수 있다. The period difference probability value calculation unit may calculate a first period difference which is a period difference between the beacon frame of the first AP and the beacon frame of the first time range AP.
주기차 확률값 산출부는, 제1 주기차의 평균 및 표준편차를 제1 AP의 주기차 확률값으로 산출할 수 있다. The period difference probability value calculation unit may calculate the average and standard deviation of the first period difference as the period difference probability value of the first AP.
로그 AP 검출 장치는, 제2 AP의 식별정보와 비교판단하여, 복수의 정상 AP 중에서, 제2 AP의 식별정보와 동일한 식별정보를 갖는 제1 AP를 검출하는 식별정보 판단부; 를 더 포함할 수 있다. Wherein the log AP detection device compares the identification information of the second AP with the identification information of the second AP and detects the first AP having the same identification information as the identification information of the second AP among the plurality of normal APs; As shown in FIG.
로그 AP 검출 장치는, 제2 AP의 비콘 프레임과 나머지 AP의 비콘 프레임의 주기차 및 제1 AP의 주기차 확률값을 이용하여, 로그 AP인지 여부의 판단 지표인 주기차 에러값을 산출하는 주기차 에러값 산출부; 를 더 포함할 수 있다. The log AP detection apparatus calculates a period difference error value which is an index for determining whether the AP is a log AP by using the beacon frame of the second AP, the period difference of the beacon frame of the remaining AP, and the period difference probability value of the first AP, An error value calculation unit; As shown in FIG.
주기차 에러값 산출부는, 나머지 AP 중, 제2 AP의 비콘 프레임의 주기를 기준으로, 소정의 시간 내에 수신되는 AP인 제2 시간범위 AP를 검출할 수 있다. The periodic error value calculator can detect a second time range AP, which is an AP to be received within a predetermined time, based on the period of the beacon frame of the second AP among the remaining APs.
주기차 에러값 산출부는, 제2 AP의 비콘 프레임과 제2 시간범위 AP의 비콘 프레임의 주기차인 제2 주기차를 산출할 수 있다. The periodic difference error value calculation unit may calculate a second periodic difference that is a periodic difference between the beacon frame of the second AP and the beacon frame of the second time range AP.
주기차 에러값 산출부는, 제1 AP의 주기차 확률값을 이용하여, 제2 주기차의 에러값을 산출하고, 제2 주기차의 에러값 평균을 주기차 에러값으로 산출할 수 있다. The periodic difference error value calculation unit may calculate the error value of the second periodic difference using the periodic difference probability value of the first AP and calculate the average value of the error value of the second periodic difference as the periodic error value.
주기차 에러값 산출부는, 하기의 [수학식 3]를 이용하여, 주기차 에러값을 산출할 수 있다.
The periodic difference error value calculator can calculate the periodic error value using the following expression (3).
[수학식 3]&Quot; (3) "
여기서, ka는 제2 AP의 비콘 프레임, j는 제2 시간범위 AP의 비콘 프레임, μI 는 제1 주기차의 평균, σI 는 제1 주기차의 표준편차, 및 Dj(ka)는 제2주기차의 에러값을 각각 의미한다.Here, ka is the beacon frame of the second AP, j is the beacon frame of the second time range AP, μ I is the average of the first periodic difference, σ I is the standard deviation of the first periodic difference, and Dj (ka) And the error value of the two-period difference, respectively.
로그 AP 판단부는, 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 산출하고,횟수가 소정의 기준 횟수 이상이 되는 경우, 제2 AP를 로그 AP로 판단할 수 있다. The log AP determining unit may calculate the number of times that the size of the periodic difference error becomes equal to or greater than a predetermined reference size, and may determine the second AP as a log AP when the number of times is equal to or greater than a predetermined reference number.
로그 AP 검출 방법은, 사용자 단말의 소정의 거리 내에 위치한 복수의 정상 AP로부터 비콘 프레임을 수신하고; 복수의 정상 AP에 포함된 제1 AP의 비콘 프레임과 나머지 AP의 비콘 프레임의 주기차를 이용하여, 제1 AP에 대한 주기차 확률값을 산출하고; 및 사용자 단말의 접속 대상인 제2 AP와 식별정보가 동일한 제1 AP의 주기차 확률값을 이용하여, 제2 AP가 로그 AP인지 여부를 판단하는; 것을 포함할 수 있다. A method of detecting a log AP, comprising: receiving a beacon frame from a plurality of normal APs located within a predetermined distance of a user terminal; Calculating a periodic difference probability value for the first AP using the difference between the beacon frame of the first AP and the beacon frame of the remaining APs included in the plurality of normal APs; And determining whether the second AP is a log AP using the period difference probability value of the first AP having the same identification information as that of the second AP to which the user terminal is connected; ≪ / RTI >
이와 같은 로그 AP 검출 장치 및 방법에 의하면, 사용자 단말 주변에 위치한 복수의 정상 AP의 비콘 프레임 주기를 사전에 분석하고, 접속하고자 하는 AP가 로그 AP인지 여부를 판단할 때에는 분석 결과를 바로 이용할 수 있다. 분석 결과를 이용함으로써, 로그 AP인지 여부를 실시간으로 판단 및 검출할 수 있다. According to such a log AP detecting apparatus and method, the beacon frame period of a plurality of normal APs located near the user terminal is analyzed in advance, and the analysis result can be used immediately when it is determined whether the AP to be accessed is a log AP . By using the analysis result, it is possible to judge and detect whether the AP is a log AP in real time.
또한, 비콘 프레임 주기차를 산출하여 로그 AP를 검출함으로써, 사용자 단말 외에 별도의 하드웨어를 마련하거나, AP 프로토콜의 수정하는 등의 작업 없이 용이하게 로그 AP의 검출이 가능하다.Further, by detecting the log AP by calculating the beacon frame period difference, it is possible to easily detect the log AP without preparing other hardware besides the user terminal, or modifying the AP protocol.
도 1은 로그 AP가 정상 AP를 위장함에 따른 문제점을 설명하기 위한 도면이다.
도 2은 로그 AP를 검출하는 네트워크 구성의 일 예를 도시한 도면이다.
도 3은 일 실시예에 따른 로그 AP 검출 장치의 블록도이다.
도 4는 복수의 정상 AP으로부터 수신한 비콘 프레임의 예를 보여주는 도면이다.
도 5는 제1 AP의 주기차 확률값의 산출 방법을 설명하기 위한 예시 도면이다.
도 6은 주기차 에러값의 산출 방법을 설명하기 위한 예시 도면이다.
도 7 은 제2 AP가 정상 AP인 경우, 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값의 산출 결과이다.
도 8은 제2 AP가 로그 AP인 경우, 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값의 산출 결과를 각각 예시한 그래프이다.
도 9는 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값을 이용하는 경우, 로그 AP 검출의 정확도를 보여주는 그래프이다.
도 10은 일 실시예에 따른 로그 AP 검출 방법의 흐름도이다.
도 11은 주기차 확률값의 산출 방법을 설명하기 위한 흐름도이다.
도 12는 주기차 에러값의 산출 및 로그 AP 판단 방법을 설명하기 위한 흐름도이다.FIG. 1 is a diagram for explaining a problem that a log AP disguises a normal AP.
2 is a diagram showing an example of a network configuration for detecting a log AP.
3 is a block diagram of a log AP detection apparatus according to an embodiment.
4 is a diagram showing an example of a beacon frame received from a plurality of normal APs.
5 is an exemplary diagram for explaining a method of calculating the period difference probability value of the first AP.
6 is an exemplary diagram for explaining a method of calculating a periodic difference error value.
FIG. 7 shows the result of calculation of the periodic difference error value according to the Mahalanobis distance when the second AP is a normal AP.
8 is a graph illustrating the calculation result of the periodic difference error value according to the Mahalanobis distance when the second AP is the log AP.
Figure 9 is a graph showing the accuracy of log AP detection when using periodic error values according to Mahalanobis Distance.
10 is a flowchart of a log AP detection method according to an embodiment.
11 is a flowchart for explaining a method of calculating the period difference probability value.
12 is a flowchart for explaining the calculation of the periodic difference error value and the log AP determination method.
본 명세서에 기재된 실시예와 도면에 도시된 구성은 개시된 발명의 바람직한 일 예에 불과할 뿐이며, 본 출원의 출원시점에 있어서 본 명세서의 실시예와 도면을 대체할 수 있는 다양한 변형 예들이 있을 수 있다.It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory only and are not restrictive of the invention, as claimed, and it is to be understood that the invention is not limited to the disclosed embodiments.
이하에서는 첨부된 도면을 참조하여 로그 AP 검출 장치 및 방법을 후술된 실시예들에 따라 구체적으로 설명하도록 한다. 도면에서 동일한 부호는 동일한 구성 요소를 나타낸다.
Hereinafter, a log AP detection apparatus and method will be described in detail with reference to the embodiments described below with reference to the accompanying drawings. Like numbers refer to like elements throughout the drawings.
도 2은 로그 AP를 검출하는 네트워크 구성의 일 예를 도시한 도면이다. 2 is a diagram showing an example of a network configuration for detecting a log AP.
도 2을 참조하면, 로그 AP를 검출하는 네트위크는 정당한 권한을 부여받은 정상 AP(10), 정상 AP를 위장한 로그 AP(20), 사용자 단말(30), 인터넷(40), 및 로그 AP 검출 장치(50)를 포함할 수 있다. 2, the network for detecting the log AP includes a
사용자 단말(30)은 AP를 통해 인터넷(40)에 접속될 수 있다. 여기서, AP는 정당한 권한을 부여받은 정상 AP(10) 또는 정당한 권한을 부여받지 않은 예를 들어, 로그 AP(20)가 될 수 있으며, 사용자 단말(30)이 무선으로 접속하는 무선 AP로 마련될 수 있다. 또한, 정상 AP(10)는 단일하게 마련될 수도 있으나, 도 2에 예시된 바와 달리 복수개로 마련될 수도 있다. 예를 들어, 정상 AP(10)는 사용자 단말(30)로부터 소정의 거래 내에 위치한 복수의 정상 AP(10)로 마련될 수 있다. The
사용자 단말(30)은 사용자가 사용하는 단말 장치로, 예를 들어, 스마트폰(smart phone), 태블릿 PC(tablet personal computer), 이동 전화기(mobile phone), 영상 전화기, 전자책 리더기(e-book reader), 데스크탑 PC(desktop personal computer), 랩탑 PC(laptop personal computer), 넷북 컴퓨터(netbook computer), 워크스테이션(workstation), 서버, PDA(personal digital assistant), PMP(portable multimedia player), MP3 플레이어, 모바일 의료기기, 카메라(camera), 또는 웨어러블 장치(wearable device) 중 적어도 하나를 포함할 수 있으나, 이는 예들에 불과한 것으로 이에 한정되지 않고 AP에 접속 가능한 단말 장치는 모두 사용자 단말이 될 수 있는 것으로 한다. The
또한, 도 2의 예시에는 사용자 단말(30)이 단일하게 마련되는 것을 예시하였으나, 이와 달리 사용자 단말(30)이 복수개로 마련되는 것도 가능하다. In the example of FIG. 2, a
일반적으로, 사용자 단말이 AP에 접속되어 AP와 통신 채널을 형성하는 방법에는 두가지가 있다. Generally, there are two ways in which a user terminal is connected to an AP to form a communication channel with the AP.
하나는 액티브(Active) 방식으로, 사용자 단말이 AP로 프로브 프레임을 송신하거나 브로드캐스팅하면, AP가 프로브 응답(Probe Response) 프레임으로 응답하는 방식이다. 다른 하나는 패시브(Passive) 방식으로, AP가 비콘 프레임(Beacon Frame)을 일정 시간 간격마다 송신하거나 브로드캐스팅하면, 사용자 단말(30)이 비콘 프레임 내 정보에 기초하여 어소시에이션(Association)을 개시하는 방식이다. One is an active scheme. When a user terminal transmits or broadcasts a probe frame to an AP, the AP responds with a probe response frame. The other is a passive method. When the AP transmits or broadcasts a beacon frame at a predetermined time interval, a method in which the
로그 AP 검출 장치(50)는 비콘 프레임의 주기를 이용하는 것으로, 사용자 단말(30)은 패시브 방식에 따라 AP(10, 20)와 통신 채널을 형성하는 것으로 한다. The log
로그 AP 검출 장치(50)는 사용자 단말(30)이 접속하고자 하는 AP가 정상 AP(10)인지 또는 로그 AP(20)인지 판단하는 장치로, 도21에서는 사용자 단말(30)과 별도로 마련될 수 있으나, 사용자 단말(30)에 포함되어 구성될 수도 있다. The log
또한, 로그 AP 검출 장치(50)가 사용자 단말(30)과 별도로 마련되는 경우, 로그 AP 검출 장치(50)는 로그 AP(20)의 검출 시 즉, 사용자 단말(30)이 접속하고자 하는 AP가 로그 AP(20)인 경우, 사용자 단말(30)에 알람을 주기 위한 알람부를 더 포함할 수도 있다. When the log
도 3은 일 실시예에 따른 로그 AP 검출 장치의 블록도이다. 3 is a block diagram of a log AP detection apparatus according to an embodiment.
도 3을 참조하면, 로그 AP 검출 장치(50)는 통신부(100), 제어부(200), 및 저장부(300)를 포하할 수 있다. Referring to FIG. 3, the log
통신부(100)는 사용자 단말(30)과 소정의 거리 내에 위치한 복수의 정상 AP(10)로부터 비콘 프레임을 수신한다. The
여기서, 복수의 정상 AP(10)는 사용자 단말(30)의 주변에 위치하여, 발생된 비콘 프레임이 사용자 단말(30)에 의해 수신되는 정상 AP의 집합을 의미한다. 따라서, 소정의 거리는 사용자 단말(30)이 복수의 정상 AP(10)으로부터 비콘 프레임을 수신할 수 있는 기준 거리를 의미한다. 즉, 소정의 거리는 사용자 단말(30) 주변에 위치한 복수의 정상 AP(10)의 비콘 프레임이 수신되는 기준 거리를 의미한다.Here, the plurality of
각각의 정상 AP(10)는 비콘 프레임을 일정한 주기로 발생시키며, 통신부(100)는 이와 같이 발생된 정상 AP(10)의 비콘 프레임을 각각 수신할 수 있다. 이 때, 비콘 프레임은 AP를 식별하기 위한 식별정보를 포함하며, 식별정보는 예를 들어, SSID, IP 주소, MAC 주소 중 적어도 하나를 포함할 수 있으나, 이에 한정되는 것은 아니며 AP를 식별할 수 있다면 식별정보가 될 수 있는 것으로 한다. Each of the
도 4는 복수의 정상 AP으로부터 수신한 비콘 프레임의 예를 보여주는 도면이다. 4 is a diagram showing an example of a beacon frame received from a plurality of normal APs.
도 4를 참조하면, 13개의 정상 AP은 비콘 프레임을 일정 주기로 발생시키며, 이에 대응하여 통신부(100)는 각각의 정상 AP로부터 비콘 프레임을 수신할 수 있다. 예를 들어, 통신부(100)는 10번 정상 AP로부터 1시 10분을 시작으로 6분의 주기를 형성하며 비콘 프레임을 수신할 수 있는 것이다. Referring to FIG. 4, 13 normal APs generate beacon frames at regular intervals, and the
또한, 통신부(100)는 로그 AP(20)가 존재하는 경우, 로그 AP(20)로부터 비콘 프레임을 수신할 수 있다. 로그 AP(20)도 정상 AP(10)와 마찬가지로 일정 주기로 비콘 프레임을 발생시키며, 따라서 통신부(100)는 로그 AP(20)의 비콘 프레임을 일정 주기로 수신하게 된다.In addition, the
비콘 프레임의 수신을 위해, 통신부(100)는 다양한 무선 통신 모듈을 포함할 수 있다. 예를 들어, 통신부(100)는 영상 입력부(100)는 무선 랜(Wireless LAN; WLAN), 와이파이(Wi-Fi), Wibro(Wireless broadband), Wimax(World Interoperability for Microwave Access), HSDPA(High Speed Downlink Packet Access) 등과 같은 무선 인터넷 모듈, 블루투스(Bluetooth), RFID(Radio Frequency Identification), 적외선 통신(IrDA, infrared Data Association), UWB(Ultra Wideband), 지그비(ZigBee) 등과 같은 근거리 통신 모듈 등 다양한 통신 모듈을 포하할 수 있다. For reception of the beacon frame, the
다만, 이에 한정되는 것은 아니며, 정상 AP(10) 및 로그 AP(20)로부터 비콘 프레임을 수신할 수만 있다면, 통신부(100)는 상술한 바 외에 다른 형태의 통신 모듈을 채용할 수 있는 것으로 한다.However, the present invention is not limited to this, and if the beacon frame can be received from the
또한, 통신부(100)를 통해 수신된 비콘 프레임의 도착시간 및 주기는, 해당 비콘 프레임를 발생시킨 AP의 식별정보와 함께 후술될 저장부(300)에 저장되는 것으로 한다.The arrival time and period of the beacon frame received through the
제어부(200)는 비콘 프레임의 주기를 이용하여, 사용자 단말(30)이 접속하고자 하는 대상 AP가 로그 AP인지 여부를 판단한다. 제어부(200)는 비콘 프레임의 주기를 사전 분석하여 저장하고, 사전 분석 결과를 이용하여 대상 AP가 로그 AP인지 여부를 실시간으로 판단할 수 있다. 도 3을 다시 참조하면, 제어부(200)는 식별정보 판단부(210), 주기차 확률값 산출부(220), 주기차 에러값 산출부(230), 및 로그 AP 판단부(240)를 포함할 수 있다.The
비콘 프레임의 주기를 사전 분석하는 단계에서, 식별정보 판단부(210)는 복수의 정상 AP의 식별정보를 확인한다. In the preliminary analysis of the period of the beacon frame, the identification
전술한 바 있듯이, 각각의 정상 AP(10)로부터 수신된 비콘 프레임의 도착시간 및 주기는 해당 비콘 프레임을 발생시킨 AP의 식별정보와 함께 후술될 저장부(300)에 저장되는데, 이를 위해 식별정보 판단부(210)는 각 정상 AP(10)의 비콘 프레임에 포함된 식별정보를 확인하고 복수의 정상 AP를 구분할 수 있다. As described above, the arrival time and period of the beacon frame received from each
대상 AP의 로그 AP 여부를 실시간으로 판단하는 단계에서, 식별정보 판단부(210)는 대상 AP의 식별정보와 복수의 정상 AP의 식별정보를 비교판단하여, 복수의 정상 AP 중 대상 AP의 식별정보와 동일한 식별정보를 갖는 정상 AP를 검출한다. 여기서, 검출된 정상 AP를 이하 '제1 AP'라 칭하고, 접속 대상인 대상 AP를 이하 '제2 AP'라 칭하는 것으로 한다. The identification
주기차 확률값 산출부(220)는 사전 분석 단계에서, 복수의 정상 AP에 포함된 각각의 정상 AP에 대해, 주기차 확률값을 산출한다. The period difference probability
예를 들어, 주기차 확률값 산출부(220)는 복수의 정상 AP에 포함된 제1 AP에 대해, 주기차 확률값을 산출할 수 있다. 주기차 확률값 산출부(220)는 복수의 정상 AP 중, 제1 AP의 비콘 프레임과 제1 AP를 제외한 나머지 AP의 비콘 프레임의 주기차를 이용하여, 제1 AP의 주기차 확률값을 산출할 수 있다.For example, the periodic difference probability
구체적으로, 주기차 확률값 산출부(220)는 제1 AP를 제외한 나머지 AP 중, 제 1 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 AP(이하, 간단히 '제1 시간범위 AP'라 칭함)을 검출할 수 있다. Specifically, the periodic difference probability
그리고 주기차 확률값 산출부(220)는 제1 AP의 비콘 프레임과 상기 제1 시간범위 AP의 비콘 프레임의 주기차(이하, 간단히 '제1 주기차'라 칭함)를 산출할 수 있다. The period difference probability
그리고 주기차 확률값 산출부(220)는 제1 주기차의 평균 및 표준편차를 제1 AP의 주기차 확률값으로 산출할 수 있다. The period difference probability
주기차 확률값 산출부(220)는 하기의 [수학식 1]를 이용하여, 제1 주기차의 평균을 산출할 수 있다.
The period difference probability
[수학식 1] [Equation 1]
여기서, K는 제1 AP의 비콘 프레임 집합, Mk∩AI는 제1 시간범위 AP의 비콘 프레임 집합, 및 μI 는 제1 주기차의 평균을 각각 의미한다.Here, K denotes a set of beacon frames of the first AP, Mk∩AI denotes a set of beacon frames of the first time range AP, and I denotes an average of the first periodic difference.
주기차 확률값 산출부(220)는 하기의 [수학식 2]를 이용하여, 제1 주기차의 표준편차를 산출할 수 있다.
The period difference probability
[수학식 2] &Quot; (2) "
여기서, K는 제1 AP의 비콘 프레임 집합, Mk∩AI는 제1 시간범위 AP의 비콘 프레임 집합, μI 는 제1 주기차의 평균, 및 σI 는 제1 주기차의 표준편차를 각각 의미한다.Where K is the beacon frame set of the first AP, Mk∩AI is the beacon frame set of the first time range AP, μ I is the mean of the first periodic difference, and σ I is the standard deviation of the first periodic difference, respectively do.
도 5는 제1 AP의 주기차 확률값의 산출 방법을 설명하기 위한 예시 도면이다. 5 is an exemplary diagram for explaining a method of calculating the period difference probability value of the first AP.
도 5를 참조하면, 주기차 확률값 산출부(220)는 제1 AP를 제외한 나머지 AP 중에서, 제1 시간범위 AP를 검출한다. 주기차 확률값 산출부(220)는 제1 AP의 비콘 프레임의 도착시간(I1)을 기준으로 하여, 소정 시간범위(Tc) 내에 수신되는 제1 주변 AP 및 제2 주변 AP를 제1 시간범위 AP로써 검출할 수 있다. Referring to FIG. 5, the period difference probability
주기차 확률값 산출부(220)는 제1 AP의 비콘 프레임과 제1 시간범위 AP의 비콘 프레임의 도착시간 차를 제1 주기차로써 산출할 수 있다. 즉, 주기차 확률값 산출부(220)는 제1 AP의 비콘 프레임의 도착시간(I1)과 제1 주변 AP의 도착시간(P1)의 차(Tp1)를 산출하고, 제1 AP의 비콘 프레임의 도착시간(I1)과 제2 주변 AP의 도착시간(P2)의 차(Tp2)를 산출할 수 있으며, 이 때, 도착시간의 차 Tp1 및 Tp2가 제1 주기차가 된다.The period difference probability
주기차 확률값 산출부(220)는 제1 주기차 Tp1 및 Tp2의 평균 및 표준편차를 제1 AP의 주기차 확률값으로 산출할 수 있으며, 산출된 제1 AP의 주기차 확률값은 저장부(300)에 저장될 수 있다.The period
상술한 바와 동일하게, 주기차 확률값 산출부(220)은 나머지 AP에 대해서도 주기차 확률값을 각각 산출할 수 있으며, 사전 분석 단계에서 산출된 주기차 확률값은 저장부(300)에 저장되어 실시간 판단 단계에서 이용될 수 있는 것으로 한다.The period difference
주기차 에러값 산출부(230)는 실시간 판단 단계에서, 로그 AP인지 여부의 판단 지표가 되는 제2 AP의 주기차 에러값을 산출한다. In the real-time determination step, the periodic difference error
주기차 에러값 산출부(230)는 제1 AP의 주기차 확률값을 이용하여, 제2 AP의 주기차 에러값을 산출할 수 있다. 또한, 주기차 에러값 산출부(230)는 제1 AP의 비콘 프레임과 복수의 정상 AP 중, 제1 AP를 제외한 나머지 AP의 비콘 프레임의 주기차를 이용하여, 제2 AP의 주기차 에러값을 산출할 수 있다.The periodic difference
구체적으로, 주기차 에러값 산출부(230)는 제1 AP를 제외한 나머지 AP 중, 제 2 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 AP(이하, 간단히 '제2 시간범위 AP'라 칭함)을 검출할 수 있다. Specifically, the periodic
그리고 주기차 에러값 산출부(230)는 제2 AP의 비콘 프레임과 제2 시간범위 AP의 비콘 프레임의 주기차(이하, 간단히 '제2 주기차'라 칭함)를 산출할 수 있다. Then, the periodic
그리고 주기차 에러값 산출부(230)는 제1 AP의 주기차 확률값을 이용하여, 제2주기차의 에러값인 주기차 에러값을 산출할 수 있다. The periodic
주기차 에러값 산출부(230)는 마할라노비스 거리(Mahalanobis Distance)를 이용하여, 주기차 에러값을 산출할 수 있다. 주기차 에러값 산출부(230)는 하기의 [수학식 3]을 이용하여, 주기차 에러값을 산출할 수 있다.
The periodic difference error
[수학식 3]&Quot; (3) "
여기서, ka는 제2 AP의 비콘 프레임, j는 제2 시간범위 AP의 비콘 프레임, μI 는 제1 주기차의 평균, σI 는 제1 주기차의 표준편차, 및 Dj(ka)는 제2주기차의 에러값을 각각 의미한다.Here, ka is the beacon frame of the second AP, j is the beacon frame of the second time range AP, μ I is the average of the first periodic difference, σ I is the standard deviation of the first periodic difference, and Dj (ka) And the error value of the two-period difference, respectively.
주기차 에러값 산출부(230)는 하기의 [수학식 4]를 이용하여, 주기차 에러값을 산출할 수 있다.
The periodic difference
[수학식 4]&Quot; (4) "
여기서, ka는 제2 AP의 비콘 프레임, J(ka)는 제2 시간범위 AP의 비콘 프레임 집합, Dj(ka)는 제2 주기차의 에러값, 및 D(ka)는 주기차 에러값을 각각 의미한다.Where ka is the beacon frame of the second AP, J (ka) is the beacon frame set of the second time range AP, Dj (ka) is the error value of the second periodic difference, and D (ka) Respectively.
도 6은 주기차 에러값의 산출 방법을 설명하기 위한 예시 도면이다. 6 is an exemplary diagram for explaining a method of calculating a periodic difference error value.
도 6을 참조하면, 주기차 에러값 산출부(230)는 제1 AP를 제외한 나머지 AP 중에서, 제2 시간범위 AP를 검출한다. 주기차 에러값 산출부(230)는 제2 AP의 비콘 프레임의 도착시간(I1)을 기준으로 하여, 소정 시간범위(Tc) 내에 수신되는 제2 시간범위 AP를 검출할 수 있다. Referring to FIG. 6, the periodic
여기서, 소정 시간범위는 사전 분석 단계에서, 제1 AP의 주기차 확률값을 산출하기 위해 사용되었던 소정의 시간범위와 동일하게 설정되는 것으로 한다. 또한, 제2 시간범위 AP는 사전 분석 단계에서 검출된 제1 시간범위 AP와 동일하게, 제1 주변 AP 및 제2 주변 AP로 검출되는 것으로 예시하기로 한다.Here, the predetermined time range is set to be the same as the predetermined time range used for calculating the period difference probability value of the first AP in the pre-analysis step. Also, the second time range AP is detected as a first peripheral AP and a second peripheral AP in the same manner as the first time range AP detected in the pre-analysis step.
주기차 에러값 산출부(230)는 제2 AP의 비콘 프레임과 제2 시간범위 AP의 비콘 프레임의 도착시간 차를 제2 주기차로써 산출할 수 있다. 즉, 주기차 에러값 산출부(230)는 제2 AP의 비콘 프레임의 도착시간(I2)과 제1 주변 AP의 도착시간(P1)의 차(Tr1)를 산출하고, 제2 AP의 비콘 프레임의 도착시간(I2)과 제2 주변 AP의 도착시간(P2)의 차(Tr2)를 산출할 수 있으며, 이 때, 도착시간의 차 Tr1 및 Tr2가 제2 주기차가 된다.The periodic difference error
주기차 에러값 산출부(230)는 제1 AP의 주기차 확률값을 이용하여, 제2 주기차 Tr1 및 Tr2의 에러값을 산출하고, 에러값의 평균을 주기차 에러값으로 산출할 수 있다. The periodic difference error
접속 대상인 제2 AP가 정상 AP인 경우에는, 제2 AP가 곧 제1 AP를 의미하는 것이 되며, 최종적으로 산출되는 주기차 에러값은 0 또는 0에 근접한 값을 갖게될 것이다. 반면, 제2 AP가 로그 AP인 경우에는, 제2 AP는 제1 AP를 위장한 AP를 의미하는 것으로, 도 6에 도시된 바와 같이 제1 AP와 비콘 프레임의 도착시간 및 주기에 차이가 발생하게 되며, 이에 따라 최종적으로 산출되는 주기차 에러값은 0을 웃돌게 된다.If the second AP to be connected is a normal AP, the second AP will soon refer to the first AP, and the finally calculated periodic error value will have a value close to zero or zero. On the other hand, when the second AP is a log AP, the second AP means an AP disguised as the first AP. As shown in FIG. 6, a difference occurs in arrival time and period of the beacon frame between the first AP and the first AP And the finally calculated periodic error value exceeds zero.
따라서, 주기차 에러값을 이용함으로써, 제2 AP가 로그 AP인지 여부를 판단할 수 있는 것이다.Therefore, by using the periodic difference error value, it is possible to determine whether or not the second AP is a log AP.
도 7 은 제2 AP가 정상 AP인 경우, 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값의 산출 결과이며, 도 8은 제2 AP가 로그 AP인 경우, 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값의 산출 결과를 각각 예시한 그래프이다. 7 is a calculation result of the periodic difference error value according to the Mahalanobis distance when the second AP is a normal AP, and FIG. 8 is a result of calculating the period difference error value according to the Mahalanobis Distance ) Of the periodic error value.
도 7 및 도 8을 참조하면, 제2 AP가 정상 AP인 경우에는, 주기차 에러값이 0 과 0.5 사이에서 산출되는 반면, 제2 AP가 로그 AP인 경우에는, 주기차 에러값이 1.5 이상으로 산출되는 횟수가 빈번하게 발생되고 있음을 확인할 수 있다. 따라서, 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값을 산출하는 경우, 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 이용함으로써, 로그 AP를 검출할 수 있다.7 and 8, when the second AP is a normal AP, the periodic error value is calculated between 0 and 0.5, whereas when the second AP is a log AP, the periodic error value is 1.5 or more And the number of times of calculation is frequently generated. Therefore, when calculating the periodic error value according to the Mahalanobis distance, it is possible to detect the log AP by using the number of times that the periodic error value becomes equal to or larger than the predetermined reference size.
따라서, 로그 AP 판단부(240)는 주기차 에러값을 이용하여, 접속 대상인 제2 AP 가 로그 AP인지 여부를 판단할 수 있다. 또한, 로그 AP 판단부(240)는 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 이용하여, 제2 AP 가 로그 AP인지 여부를 판단할 수 있다. 로그 AP 판단부(240)는 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 산출하고, 산출된 횟수가 소정의 기준 횟수 이상이 되는 경우에는, 제2 AP를 로그 AP로 판단하고, 기준 횟수 미만이 되는 경우에는, 제2 AP를 정상 AP로 판단할 수 있으며, 이 때, 주기차 에러값이 마할라노비스 거리(Mahalanobis Distance)에 따라 산출된 값인 경우, 판단의 정확도는 높아질 수 있다.Therefore, the log
도 9는 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값을 이용하는 경우, 로그 AP 검출의 정확도를 보여주는 그래프이다.Figure 9 is a graph showing the accuracy of log AP detection when using periodic error values according to Mahalanobis Distance.
도 9를 참조하면, 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수가 3 이상이면, 로그 AP를 검출의 정확도는 99.99%가 된다. 즉, 기준 횟수를 3으로 설정하는 경우, 로그 AP 검출의 정확도는 100%에 근접하며, 기준 횟수를 1로 설정하더라도, 로그 AP 검출의 정확도가 95% 이상이 되어, 그 정확도가 높음을 확인할 수 있다. Referring to FIG. 9, when the number of times that the periodic error value becomes equal to or larger than the predetermined reference size is 3 or more, the accuracy of detection of the log AP becomes 99.99%. That is, when the reference frequency is set to 3, the accuracy of the log AP detection is close to 100%, and even if the reference frequency is set to 1, the accuracy of the log AP detection is more than 95% have.
상술한 제어부(200)는 집적 회로가 형성된 적어도 하나의 칩을 포함하는 각종 프로세서(processor)로 마련될 수 있다. 제어부(200)는 하나의 프로세서에 함께 마련될 수도 있고, 복수의 프로세서에 분리되어 마련되는 것도 가능하다. 예를 들어, 주기차 확률값 산출부(220) 및 로그 AP 판단부(240)은 하나의 프로세서에 마련될 수도 있으나, 서로 다른의 프로세서에 분리되어 마련될 수도 있는 것이다. The
또한, 제어부(200)는 중앙 처리 장치(Central Processing Unit; CPU)나 그래픽 처리 장치(Graphic Processing Unit; GPU) 등과 같은 다양한 처리 장치 및 다양한 종류의 저장 장치를 포함하는 인쇄 회로 기판(Printed Circuit Borard; PCB) 형태로 마련될 수 있다. 제어부(200)는 특정 기능만을 수행하도록 제작된 임베디드 보드 형태로 마련될 수도 있다.The
저장부(300)는 로그 AP 검출 장치(1)의 동작을 위한 각종 데이터 및 프로그램을 일시 또는 비일시적으로 저장한다.The
일 예로, 저장부(300)는 비콘 프레임의 도착시간 및 주기, 비콘 프레임을 발생시킨 AP의 식별정보, 제1 AP의 주기차 확률값, 주기차 에러값 등을 저장할 수 있다. 다른 예로, 저장부(300)는 제2 AP의 식별정보와 동일한 식별정보를 갖는 제1 AP를 검출하기 위한 프로그램, 제1 AP의 주기차 확률값을 산출하기 위한 프로그램, 주기차 에러값을 산출하기 위한 프로그램, 로그 AP 여부를 판단하기 위한 프로그램 등을 저장할 수 있다. For example, the
이와 같은 저장부(300)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(Random Access Memory: RAM), SRAM(Static Random Access Memory), 롬(ROM, Read-Only Memory), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 다만, 이에 한정되는 것은 아니며, 당업계에 알려져 있는 임의의 다른 형태로 구현될 수도 있다. 또한, 저장부(230)는 인터넷(internet)상에서 저장 기능을 수행하는 웹 스토리지(web storage)를 운영할 수도 있다.The
이상으로 로그 AP 검출 장치(1)의 구성 및 각 구성의 역할을 실시예들을 바탕으로 설명하였으며, 이하에서는 주어진 흐름도 도 10 내지 도 12를 참조하여 로그 AP 검출 방법을 살펴보기로 한다. 도 10 내지 도 12를 설명함에 있어, 상술한 바와 동일하거나 대응되는 내용은 이하 생략하기로 한다.Hereinafter, the configuration of the log
도 10은 일 실시예에 따른 로그 AP 검출 방법의 흐름도이다.10 is a flowchart of a log AP detection method according to an embodiment.
도 10을 참조하면, 먼저, 통신부(100)는 사용자 단말(30)과 소정의 거리 내에 위치한 복수의 정상 AP(10)로부터 비콘 프레임을 수신한다(510). Referring to FIG. 10, the
여기서, 복수의 정상 AP(10)는 사용자 단말(30)의 주변에 위치하여, 발생된 비콘 프레임이 사용자 단말(30)에 의해 수신되는 정상 AP의 집합을 의미한다. 즉, 소정의 거리는 사용자 단말(30) 주변에 위치한 복수의 정상 AP(10)의 비콘 프레임이 수신되는 기준 거리를 의미한다.Here, the plurality of
각각의 정상 AP(10)는 비콘 프레임을 일정한 주기로 발생시키며, 통신부(100)는 이와 같이 발생된 정상 AP(10)의 비콘 프레임을 각각 수신할 수 있다. 이 때, 비콘 프레임은 AP를 식별하기 위한 식별정보를 포함하며, 식별정보는 예를 들어, SSID, IP 주소, MAC 주소 중 적어도 하나를 포함할 수 있으나, 이에 한정되는 것은 아니다. Each of the
다음으로, 제어부(200)는 사전 분석 단계에서, 복수의 정상 AP에 포함된 각각의 정상 AP에 대해, 주기차 확률값을 산출한다(520). 예를 들어, 복수의 정상 AP 중, 제1 AP의 비콘 프레임과 제1 AP를 제외한 나머지 AP의 비콘 프레임의 주기차를 이용하여, 제1 AP의 주기차 확률값을 산출할 수 있으며, 이에 대한 구체적인 설명은 도 11을 참조하여 상술하기로 한다.Next, in the pre-analysis step, the
도 11은 주기차 확률값의 산출 방법을 설명하기 위한 흐름도이다.11 is a flowchart for explaining a method of calculating the period difference probability value.
도 11을 참조하면, 제어부(200)는 제 1 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 나머지 AP의 비콘 프레임과의 주기차를 제1 주기차로 산출한다(521).Referring to FIG. 11, the
구체적으로, 제어부(200)는 제1 AP를 제외한 나머지 AP 중, 제 1 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 AP 즉, 제1 시간범위 AP를 검출할 수 있다. 그리고 제어부(200)는 제1 AP의 비콘 프레임과 제1 시간범위 AP의 비콘 프레임의 주기차인 제1 주기차를 산출할 수 있다. Specifically, the
제1 주기차가 산출되면, 제어부(200)는 제1 주기차의 평균 및 표준편차를 제1 AP의 주기차 확률값으로 산출한다(522).When the first period difference is calculated, the
이 때, 제어부(200)는 하기의 [수학식 1]를 이용하여, 제1 주기차의 평균을 산출할 수 있다.
At this time, the
[수학식 1] [Equation 1]
여기서, K는 제1 AP의 비콘 프레임 집합, Mk∩AI는 제1 시간범위 AP의 비콘 프레임 집합, 및 μI 는 제1 주기차의 평균을 각각 의미한다.Here, K denotes a set of beacon frames of the first AP, Mk∩AI denotes a set of beacon frames of the first time range AP, and I denotes an average of the first periodic difference.
또한, 제어부(200)는 하기의 [수학식 2]를 이용하여, 제1 주기차의 표준편차를 산출할 수 있다.
Further, the
[수학식 2] &Quot; (2) "
여기서, K는 제1 AP의 비콘 프레임 집합, Mk∩AI는 제1 시간범위 AP의 비콘 프레임 집합, μI 는 제1 주기차의 평균, 및 σI 는 제1 주기차의 표준편차를 각각 의미한다.Where K is the beacon frame set of the first AP, Mk∩AI is the beacon frame set of the first time range AP, μ I is the mean of the first periodic difference, and σ I is the standard deviation of the first periodic difference, respectively do.
제어부는 상술한 바와 동일하게, 제1 AP 외 나머지 AP에 대해서도 주기차 확률값을 각각 산출할 수 있으며, 사전 분석 단계에서 산출된 주기차 확률값은 저장부(300)에 저장되어 실시간 판단 단계에서 이용될 수 있다.The control unit can calculate the period difference probability values for the APs other than the first AP, and the period difference probability values calculated in the pre-analysis step are stored in the
다시 도 10을 참조하면, 제어부(200)는 실시간 판단 단계에서, 접속 대상인 제2 AP의 식별정보가 동일한 제1 AP의 주기차 확률값을 이용하여, 제2 AP가 로그 AP인지 여부를 판단한다(530). 이에 대한 구체적인 설명은 도 12를 참조하여 상술하기로 한다. Referring back to FIG. 10, the
도 12는 주기차 에러값의 산출 및 로그 AP 판단 방법을 설명하기 위한 흐름도이다.12 is a flowchart for explaining the calculation of the periodic difference error value and the log AP determination method.
도 12를 참조하면, 제어부(200)는 제2 AP의 식별정보와 복수의 정상 AP의 식별정보를 비교판단하여, 복수의 정상 AP 중 제2 AP의 식별정보와 동일한 식별정보를 갖는 정상 AP를 검출할 수 있으며(531). 이 때, 검출된 정상 AP가 제1 AP인 것으로 가정할 수 있다.Referring to FIG. 12, the
그 다음, 제어부(200)는 제2 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 나머지 AP의 비콘 프레임과의 주기차를 제2 주기차로 산출한다(532).Next, the
구체적으로, 제어부(200)는 제1 AP를 제외한 나머지 AP 중, 제 2 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 AP 즉, 제2 시간범위 AP를 검출할 수 있다. 그리고 제어부(200)는 제2 AP의 비콘 프레임과 제2 시간범위 AP의 비콘 프레임의 주기차인 제2 주기차를 산출할 수 있다. Specifically, the
그리고 제어부(200)는 제1 AP의 주기차 확률값을 이용하여, 제2 주기차의 에러값인 주기차 에러값을 산출한다(533). Then, the
이 때, 제어부(200)는 마할라노비스 거리(Mahalanobis Distance)를 이용하여, 주기차 에러값을 산출할 수 있다. 예를 들어, 제어부(200)는 하기의 [수학식 3]을 이용하여, 주기차 에러값을 산출할 수 있다.
At this time, the
[수학식 3]&Quot; (3) "
여기서, ka는 제2 AP의 비콘 프레임, j는 제2 시간범위 AP의 비콘 프레임, μI 는 제1 주기차의 평균, σI 는 제1 주기차의 표준편차, 및 Dj(ka)는 제2주기차의 에러값을 각각 의미한다.Here, ka is the beacon frame of the second AP, j is the beacon frame of the second time range AP, μ I is the average of the first periodic difference, σ I is the standard deviation of the first periodic difference, and Dj (ka) And the error value of the two-period difference, respectively.
또른, 제어부(200)는 하기의 [수학식 4]를 이용하여, 주기차 에러값을 산출할 수 있다.
Alternatively, the
[수학식 4]&Quot; (4) "
여기서, ka는 제2 AP의 비콘 프레임, J(ka)는 제2 시간범위 AP의 비콘 프레임 집합, Dj(ka)는 제2 주기차의 에러값, 및 D(ka)는 주기차 에러값을 각각 의미한다.Where ka is the beacon frame of the second AP, J (ka) is the beacon frame set of the second time range AP, Dj (ka) is the error value of the second periodic difference, and D (ka) Respectively.
제어부(200)는 주기차 에러값을 이용하여, 접속 대상인 제2 AP 가 로그 AP인지 여부를 판단한다. 제어부(200)는 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 산출하고, 산출된 횟수가 소정의 기준 횟수 이상이 되는지 여부를 판단한다(534). The
기준 횟수 이상이 되는 경우에는, 제어부(200)는 제2 AP를 로그 AP로 판단한다(535).If the number of times is equal to or greater than the reference number, the
또한, 기준 횟수 미만이 되는 경우에는, 제어부(200)는 제2 AP를 정상 AP로 판단한다(536).
If the number of times is less than the reference number, the
상술한 로그 AP 검출 장치 및 방법에 의하면, 사용자 단말 주변에 위치한 복수의 정상 AP의 비콘 프레임 주기를 사전에 분석하고, 접속하고자 하는 AP가 로그 AP인지 여부를 판단할 때에는 분석 결과를 바로 이용할 수 있다. 분석 결과를 이용함으로써, 로그 AP인지 여부를 실시간으로 판단 및 검출할 수 있다. According to the above-described log AP detecting apparatus and method, the beacon frame period of a plurality of normal APs located in the vicinity of the user terminal is analyzed in advance, and the analysis result can be directly used when it is determined whether the AP to be accessed is a log AP . By using the analysis result, it is possible to judge and detect whether the AP is a log AP in real time.
또한, 비콘 프레임 주기차를 산출하여 로그 AP를 검출함으로써, 사용자 단말 외에 별도의 하드웨어를 마련하거나, AP 프로토콜의 수정하는 등의 작업 없이 용이하게 로그 AP의 검출이 가능하다.
Further, by detecting the log AP by calculating the beacon frame period difference, it is possible to easily detect the log AP without preparing other hardware besides the user terminal, or modifying the AP protocol.
이상으로 예시된 도면을 참조로 하여, 로그 AP 검출 장치 및 방법의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 한정적이 아닌 것으로 이해해야만 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, It will be understood that the invention can be practiced in a specific form. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.
50 : 로그 AP 검출 장치
100 : 통신부
200 : 제어부
210 : 식별정보 판단부
220 : 주기차 확률값 산출부
230 : 주기차 에러값 산출부
240 : 로그 AP 판단부
300 : 저장부50: Log AP detection device
100:
200:
210: Identification information judgment unit
220: Period difference probability value calculating section
230: Periodic difference error value calculation unit
240: Log AP determination unit
300:
Claims (12)
상기 복수의 정상 AP에 포함된 제1 AP의 비콘 프레임과 나머지 AP의 비콘 프레임의 주기차를 이용하여, 상기 제1 AP에 대한 주기차 확률값을 산출하는 주기차 확률값 산출부; 및
상기 사용자 단말의 접속 대상인 제2 AP와 식별정보가 동일한 상기 제1 AP의 주기차 확률값을 이용하여, 상기 제2 AP가 로그 AP인지 여부를 판단하는 로그 AP 판단부;
를 포함하는 로그 AP 검출 장치.
A communication unit for receiving a beacon frame from a plurality of normal APs located within a predetermined distance of the user terminal;
A period difference probability value calculation unit for calculating a period difference probability value for the first AP using the period difference between the beacon frame of the first AP and the beacon frame of the remaining APs included in the plurality of normal APs; And
A log AP determining unit for determining whether the second AP is a log AP using the period difference probability value of the first AP having the same identification information as a connection target of the user terminal;
And a log AP detection unit.
상기 주기차 확률값 산출부는,
상기 나머지 AP 중, 상기 제1 AP의 비콘 프레임의 주기를 기준으로, 소정의 시간 내에 수신되는 AP인 제1 시간범위 AP를 검출하는 로그 AP 검출 장치.
The method according to claim 1,
The period difference probability value calculation unit calculates,
And detects a first time range AP that is an AP to be received within a predetermined time based on a period of the beacon frame of the first AP among the remaining APs.
상기 주기차 확률값 산출부는,
상기 제1 AP의 비콘 프레임과 상기 제1 시간범위 AP의 비콘 프레임의 주기차인 제1 주기차를 산출하는 로그 AP 검출 장치.
3. The method of claim 2,
The period difference probability value calculation unit calculates,
And calculates a first period difference that is a periodic difference between a beacon frame of the first AP and a beacon frame of the first time range AP.
상기 주기차 확률값 산출부는,
상기 제1 주기차의 평균 및 표준편차를 상기 제1 AP의 주기차 확률값으로 산출하는 로그 AP 검출 장치.
The method of claim 3,
The period difference probability value calculation unit calculates,
And calculates the average and standard deviation of the first periodic difference as the periodic difference probability value of the first AP.
상기 제2 AP의 식별정보와 비교판단하여, 상기 복수의 정상 AP 중에서, 상기 제2 AP의 식별정보와 동일한 식별정보를 갖는 상기 제1 AP를 검출하는 식별정보 판단부;
를 더 포함하는 로그 AP 검출 장치.
The method according to claim 1,
An identification information determination unit for comparing the identification information of the second AP with the identification information of the second AP and detecting the first AP having the same identification information as the identification information of the second AP among the plurality of normal APs;
Further comprising:
상기 제2 AP의 비콘 프레임과 상기 나머지 AP의 비콘 프레임의 주기차 및 상기 제1 AP의 주기차 확률값을 이용하여, 상기 로그 AP인지 여부의 판단 지표인 주기차 에러값을 산출하는 주기차 에러값 산출부;
를 더 포함하는 로그 AP 검출 장치.
The method according to claim 1,
Calculating a periodic difference error value, which is an index for determining whether the AP is the log AP, using the period difference between the beacon frame of the second AP and the beacon frame of the remaining AP and the period difference probability value of the first AP; A calculating unit;
Further comprising:
상기 주기차 에러값 산출부는,
상기 나머지 AP 중, 상기 제2 AP의 비콘 프레임의 주기를 기준으로, 소정의 시간 내에 수신되는 AP인 제2 시간범위 AP를 검출하는 로그 AP 검출 장치.
The method according to claim 6,
Wherein the periodic error value calculator comprises:
And detects a second time range AP that is an AP that is received within a predetermined time based on a period of the beacon frame of the second AP among the remaining APs.
상기 주기차 에러값 산출부는,
상기 제2 AP의 비콘 프레임과 상기 제2 시간범위 AP의 비콘 프레임의 주기차인 제2 주기차를 산출하는 로그 AP 검출 장치.
8. The method of claim 7,
Wherein the periodic error value calculator comprises:
And calculates a second period difference that is a period difference between the beacon frame of the second AP and the beacon frame of the second time range AP.
상기 주기차 에러값 산출부는,
상기 제1 AP의 주기차 확률값을 이용하여, 상기 제2 주기차의 에러값을 산출하고, 상기 제2 주기차의 에러값 평균을 상기 주기차 에러값으로 산출하는 로그 AP 검출 장치.
9. The method of claim 8,
Wherein the periodic error value calculator comprises:
Calculating an error value of the second periodic difference using the periodic difference probability value of the first AP and calculating an average of error values of the second periodic period as the periodic error value.
상기 주기차 에러값 산출부는,
하기의 [수학식 3]를 이용하여, 상기 주기차 에러값을 산출하는 로그 AP 검출 장치.
[수학식 3]
여기서, ka는 제2 AP의 비콘 프레임, j는 제2 시간범위 AP의 비콘 프레임, μI 는 제1 주기차의 평균, σI 는 제1 주기차의 표준편차, 및 Dj(ka)는 제2주기차의 에러값을 각각 의미한다.
The method according to claim 6,
Wherein the periodic error value calculator comprises:
And calculates the periodic error value using the following equation (3).
&Quot; (3) "
Here, ka is the beacon frame of the second AP, j is the beacon frame of the second time range AP, μ I is the average of the first periodic difference, σ I is the standard deviation of the first periodic difference, and Dj (ka) And the error value of the two-period difference, respectively.
상기 로그 AP 판단부는,
상기 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 산출하고,상기 횟수가 소정의 기준 횟수 이상이 되는 경우, 상기 제2 AP를 로그 AP로 판단하는 로그 AP 검출 장치.
The method according to claim 6,
The log AP determination unit may determine,
Calculates a number of times that the periodic error value becomes greater than or equal to a predetermined reference size, and determines the second AP as a log AP when the number of times becomes equal to or greater than a predetermined reference number.
상기 복수의 정상 AP에 포함된 제1 AP의 비콘 프레임과 나머지 AP의 비콘 프레임의 주기차를 이용하여, 상기 제1 AP에 대한 주기차 확률값을 산출하고; 및
상기 사용자 단말의 접속 대상인 제2 AP와 식별정보가 동일한 상기 제1 AP의 주기차 확률값을 이용하여, 상기 제2 AP가 로그 AP인지 여부를 판단하는;
것을 포함하는 로그 AP 검출 방법.Receive a beacon frame from a plurality of normal APs located within a predetermined distance of the user terminal;
Calculating a periodic difference probability value for the first AP using the difference between the beacon frame of the first AP and the beacon frame of the remaining APs included in the plurality of normal APs; And
Determining whether the second AP is a log AP using the period difference probability value of the first AP having the same identification information as that of a second AP to which the user terminal is connected;
Gt; a < / RTI > log AP detection method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170019580A KR101836481B1 (en) | 2017-02-13 | 2017-02-13 | Apparatus and Method for Detecting Rogue AP |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170019580A KR101836481B1 (en) | 2017-02-13 | 2017-02-13 | Apparatus and Method for Detecting Rogue AP |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101836481B1 true KR101836481B1 (en) | 2018-03-09 |
Family
ID=61727927
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170019580A KR101836481B1 (en) | 2017-02-13 | 2017-02-13 | Apparatus and Method for Detecting Rogue AP |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101836481B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022065573A1 (en) * | 2020-09-23 | 2022-03-31 | (주)노르마 | Bluetooth man-in-the-middle attack detection system |
KR102389909B1 (en) * | 2020-10-16 | 2022-04-21 | 주식회사 케이티 | Apparatus and method for detecting abnormality of wireless network |
-
2017
- 2017-02-13 KR KR1020170019580A patent/KR101836481B1/en active IP Right Grant
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022065573A1 (en) * | 2020-09-23 | 2022-03-31 | (주)노르마 | Bluetooth man-in-the-middle attack detection system |
KR102389909B1 (en) * | 2020-10-16 | 2022-04-21 | 주식회사 케이티 | Apparatus and method for detecting abnormality of wireless network |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11057948B2 (en) | Method and apparatus for connecting to wireless access point | |
US20200309894A1 (en) | Vision and radio fusion based precise indoor localization | |
WO2019096008A1 (en) | Identification method, computer device, and storage medium | |
KR102072095B1 (en) | Identity authentication methods, devices, and systems | |
US20230224232A1 (en) | System and method for extracting identifiers from traffic of an unknown protocol | |
US11652838B2 (en) | Wireless communications access security system and method | |
US20140282868A1 (en) | Method And Apparatus To Effect Re-Authentication | |
US9826365B2 (en) | Method for deciding location of target device and electronic device thereof | |
US9549322B2 (en) | Methods and systems for authentication of a communication device | |
CN105281906A (en) | Safety authentication method and device | |
CN108092970B (en) | Wireless network maintenance method and equipment, storage medium and terminal thereof | |
US11429698B2 (en) | Method and apparatus for identity authentication, server and computer readable medium | |
JP2008125076A (en) | Radio frequency identification system | |
KR101836481B1 (en) | Apparatus and Method for Detecting Rogue AP | |
US20180242157A1 (en) | Wireless communication apparatus, wireless communication system, evaluation method, and non-transitory computer readable medium storing program | |
US9991975B2 (en) | Method and device for triggering specified operation | |
EP3345361B1 (en) | Communication link establishment using a global unique identifier | |
CN114005260A (en) | Article omission prompting method and device, electronic equipment and readable storage medium | |
US20180124018A1 (en) | Coordinated application firewall | |
Gurulian et al. | When theory and reality collide: Demystifying the effectiveness of ambient sensing for NFC-based proximity detection by applying relay attack data | |
CN110869910A (en) | Search resource recommendation method and related product | |
CN113515743B (en) | Identification method and device for rebound shell process call chain and electronic device | |
US11876810B2 (en) | Method of detecting malicious node in bus network system and node apparatus | |
EP4044646A1 (en) | Security appliance for protecting power saving wireless devices against attack | |
US11696138B2 (en) | Security appliance for protecting power-saving wireless devices against attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |