KR101836481B1 - Apparatus and Method for Detecting Rogue AP - Google Patents

Apparatus and Method for Detecting Rogue AP Download PDF

Info

Publication number
KR101836481B1
KR101836481B1 KR1020170019580A KR20170019580A KR101836481B1 KR 101836481 B1 KR101836481 B1 KR 101836481B1 KR 1020170019580 A KR1020170019580 A KR 1020170019580A KR 20170019580 A KR20170019580 A KR 20170019580A KR 101836481 B1 KR101836481 B1 KR 101836481B1
Authority
KR
South Korea
Prior art keywords
beacon frame
periodic
difference
log
period
Prior art date
Application number
KR1020170019580A
Other languages
Korean (ko)
Inventor
조성현
김지형
노재원
Original Assignee
한양대학교 에리카산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한양대학교 에리카산학협력단 filed Critical 한양대학교 에리카산학협력단
Priority to KR1020170019580A priority Critical patent/KR101836481B1/en
Application granted granted Critical
Publication of KR101836481B1 publication Critical patent/KR101836481B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices

Abstract

A rogue AP detecting apparatus may comprise: a communication unit receiving beacon frames from a plurality of normal APs positioned within a predetermined distance from a user terminal; a frequency difference probability value calculation unit calculating a frequency difference probability value with respect to a first AP by using frequency differences between a beacon frame of the first AP included in the plurality of normal Aps and beacon frames of the remaining APs; and a rogue AP determination unit determining whether a second AP is a rogue AP by using the frequency difference probability value of the first AP having the same identification information as that of the second AP which is an access target of the user terminal. An apparatus and a method for detecting a rogue AP according to the present invention can previously analyze beacon frame frequencies of the plurality of normal APs positioned near the user terminal and use the analysis result in determining whether the AP to be accessed is a rogue AP. The present invention can determine and detect whether to be a rogue AP or not in real time by using the analysis result. In addition, the present invention calculates the beacon frame frequency difference to detect the rogue AP, thereby being capable of easily detecting the rogue AP without arranging separate hardware besides the user terminal or correcting an AP protocol.

Description

로그 AP 검출 장치 및 방법{Apparatus and Method for Detecting Rogue AP}[0001] Apparatus and Method for Detecting Rogue AP [

본 발명은 로그 AP를 검출하는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting a log AP.

로그 AP란 정상적인 엑세스 포인트(Access Point, 이하 'AP'라 통칭함)로 위장하여 사용자 단말의 패킷을 탈취하거나, 웹 페이지 변조 등의 MitM 공격하는데 쓰이는 AP를 의미한다. 사용자 단말은 접속하고자 하는 AP를 비콘 프레임에 있는 식별정보를 통해 구분하는데, 현재 AP는 암호화되지 않은 식별정보를 사용하고 있어 로그 AP에 의한 보안상의 문제가 발생하고 있다. 로그 AP가 정상 AP의 식별정보 사용하게 되면 사용자 단말 입장에서는 그 AP를 정상 AP로 간주하고 접속하게 되며, 따라서, 사용자 단말의 입장에서는 자신의 식별정보를 위장하는 로그 AP를 검출하는 것이 매우 중요하다. The log AP refers to an AP used to steal a packet of a user terminal by disguising as a normal access point (hereinafter, referred to as an 'AP') or to attack a MitM such as a web page. The user terminal distinguishes the AP to be accessed through the identification information in the beacon frame. Since the current AP uses the unencrypted identification information, a security problem is caused by the log AP. If the log AP uses the identification information of the normal AP, the AP regards the AP as a normal AP and accesses it. Therefore, it is very important to detect the log AP that discovers the identification information of the user terminal .

로그 AP를 검출하기 위해 고안된 가장 대표적인 방법은 정상 AP의 식별정보를 미리 저장하여 등록해 놓는 것이다. 이를 통해 미리 등록된 AP에만 접속할 수 있게 하여 로그 AP의 공격을 무력화시킬 수 있다. 그러나 정상 AP 또는 등록된 AP의 식별정보를 로그 AP가 읽어들여 자신의 식별정보로 위장할 수 있기 때문에, AP 등록방법에 의하더라도 로그 AP를 구분할 수 없는 문제점이 여전히 발생하고 있다.The most representative method designed to detect the log AP is to store and store the identification information of the normal AP in advance. This makes it possible to access only APs that have been registered in advance and disable the attack of the log APs. However, since the log AP can read the identification information of the normal AP or the registered AP and can disguise it as its own identification information, there is still a problem that the log AP can not be distinguished even by the AP registration method.

도 1은 로그 AP가 정상 AP를 위장함에 따른 문제점을 설명하기 위한 도면이다.FIG. 1 is a diagram for explaining a problem that a log AP disguises a normal AP.

도 1을 참조하면, 기저장된 SSID 중 'Bio'가 포함되어 있다고 할 때, 사용자 단말은 접속하고자 하는 AP의 SSID를 기저장된 SSID와 비교하여, 'Bio'라는 SSID를 가진 정상 AP(10)에 접속될 수 있다. 도 1의 (a)와 같이 SSID가 설정되지 않은 로그 AP(20)의 주변에 정상 AP(10)가 위치하는 경우, 로그 AP(20)는 정상 AP(10)의 SSID 즉, 'Bio'라는 SSID를 수집할 수 있으며, 도 1의 (b)와 같이 수집된 SSID를 바탕으로 정상 AP의 SSID 'Bio'를 복제하여 자신의 SSID로 사용하게 된다. Referring to FIG. 1, if 'Bio' is included in the pre-stored SSID, the user terminal compares the SSID of the AP to be connected with the pre-stored SSID and transmits it to the normal AP 10 having the SSID 'Bio' Can be connected. 1 (a), when the normal AP 10 is located in the vicinity of the log AP 20 for which the SSID is not set, the log AP 20 refers to the SSID of the normal AP 10, that is, 'Bio' And collects the SSID 'Bio' of the normal AP based on the collected SSID as shown in FIG. 1 (b), and uses it as its own SSID.

일반적으로 로그 AP는 정상 AP보다 강한 신호를 전달하며, 동일한 SSID를 가진 AP가 복수개 존재하는 경우, 사용자 단말은 자동으로 강한 신호를 선택하여 접속하게 된다. 따라서, 정상 AP(10)에 접속되었던 사용자 단말은 도 1의 (c)에서와 같이, 정상 AP(10)와 동일한 SSID를 갖으나 보다 강한 신호를 전달하는 로그 AP(20)에 접속되어 로그 AP(20)에 의해 패킷을 탈취당하거나, 정보 변조의 공격을 당할 수 있다. 이와 같이, SSID와 같은 식별정보를 저장하여 접속 대상의 AP를 등록하더라도, 로그 AP를 검출하여 차단하는데 한계가 발생하게 된다.In general, a log AP transmits a stronger signal than a normal AP. When there are a plurality of APs having the same SSID, the user terminal automatically selects a strong signal and connects to the AP. 1C, the user terminal connected to the normal AP 10 is connected to the log AP 20 having the same SSID as the normal AP 10 but transmitting a stronger signal, The packet may be deodorized by the network 20 or may be attacked by information tampering. As described above, even if the AP to be connected is stored by storing the identification information such as the SSID, there is a limit to detect and block the log AP.

이에 따라, AP가 가지는 고유의 물리적 주파수 특성을 지문으로 활용하여 인증된 AP를 구분하는 방법이 고안되었다. 그러나 이러한 접근법은 고유의 주파수 특성을 측정할 수 있는 추가적인 하드웨어가 필요하여 일반 사용자들이 사용하기에는 적합하지 않은 단점이 있다. 따라서 추가적인 하드웨어 없이 AP의 비콘 프레임 주기를 이용하여 로그 AP를 구분하는 방법이 제안되었는데, 이 방법은 현재까지 AP에서 나오는 비콘 프레임을 수집한 다음 수집된 비콘 프레임을 분석하여 로그 AP의 흔적을 찾아내는 사후 검출 방법으로, 실시간 검출이 어렵다는 단점이 있다.Accordingly, a method of distinguishing authenticated APs by using the inherent physical frequency characteristics of APs as fingerprints has been devised. However, this approach has the drawback that it is not suitable for general users because it requires additional hardware to measure the inherent frequency characteristics. Therefore, a method of distinguishing log APs using beacon frame period of AP without additional hardware has been proposed. This method collects beacon frames from AP and analyzes the collected beacon frames to find traces of log APs. As a detection method, there is a disadvantage that it is difficult to detect in real time.

따라서, 추가적인 하드웨어 등이 필요없을 뿐만 아니라, 실시간 검출이 가능한 로그 AP의 검출 기술에 대한 사용자 니즈가 증가하고 있는 실정이다. Accordingly, there is an increasing need for a user of a log AP detection technology that does not require additional hardware and is capable of real-time detection.

관련 선행기술로는 한국 공개특허공보 제2015-0012154호(발명의 명칭: 비인가 엑세스 포인트 검출 장치 및 그 방법, 공개일자: 2015. 02. 03)가 있다.Related prior arts include Korean Unexamined Patent Publication No. 2015-0012154 entitled " Unauthorized Access Point Detection Apparatus and Method ", published on Feb. 02, 2015).

본 발명은 비콘 프레임의 주기를 이용하여, 실시간으로 정상 AP를 위장한 로그 AP를 검출하는 장치 및 방법을 제공하고자 한다. The present invention provides an apparatus and method for detecting a log AP that masquerades a normal AP in real time using a period of a beacon frame.

상술한 과제를 해결하기 위하여, 다음과 같은 로그 AP 검출 장치 및 방법이 제공된다.
In order to solve the above problems, the following log AP detection apparatus and method are provided.

로그 AP 검출 장치는, 사용자 단말의 소정의 거리 내에 위치한 복수의 정상 AP로부터 비콘 프레임을 수신하는 통신부; 복수의 정상 AP에 포함된 제1 AP의 비콘 프레임과 나머지 AP의 비콘 프레임의 주기차를 이용하여, 제1 AP에 대한 주기차 확률값을 산출하는 주기차 확률값 산출부; 및 사용자 단말의 접속 대상인 제2 AP와 식별정보가 동일한 제1 AP의 주기차 확률값을 이용하여, 제2 AP가 로그 AP인지 여부를 판단하는 로그 AP 판단부; 를 포함할 수 있다. The log AP detection apparatus includes: a communication unit that receives a beacon frame from a plurality of normal APs located within a predetermined distance of a user terminal; A period difference probability value calculation unit for calculating a period difference probability value for a first AP using a difference between a beacon frame of a first AP and a beacon frame of the remaining APs included in a plurality of normal APs; And a log AP determining unit for determining whether the second AP is a log AP using the period difference probability value of the first AP having the same identification information as the second AP to which the user terminal is connected; . ≪ / RTI >

주기차 확률값 산출부는, 나머지 AP 중, 제1 AP의 비콘 프레임의 주기를 기준으로, 소정의 시간 내에 수신되는 AP인 제1 시간범위 AP를 검출할 수 있다. The period difference probability value calculation unit may detect a first time range AP that is an AP to be received within a predetermined time period based on the period of the beacon frame of the first AP among the remaining APs.

주기차 확률값 산출부는, 제1 AP의 비콘 프레임과 제1 시간범위 AP의 비콘 프레임의 주기차인 제1 주기차를 산출할 수 있다. The period difference probability value calculation unit may calculate a first period difference which is a period difference between the beacon frame of the first AP and the beacon frame of the first time range AP.

주기차 확률값 산출부는, 제1 주기차의 평균 및 표준편차를 제1 AP의 주기차 확률값으로 산출할 수 있다. The period difference probability value calculation unit may calculate the average and standard deviation of the first period difference as the period difference probability value of the first AP.

로그 AP 검출 장치는, 제2 AP의 식별정보와 비교판단하여, 복수의 정상 AP 중에서, 제2 AP의 식별정보와 동일한 식별정보를 갖는 제1 AP를 검출하는 식별정보 판단부; 를 더 포함할 수 있다. Wherein the log AP detection device compares the identification information of the second AP with the identification information of the second AP and detects the first AP having the same identification information as the identification information of the second AP among the plurality of normal APs; As shown in FIG.

로그 AP 검출 장치는, 제2 AP의 비콘 프레임과 나머지 AP의 비콘 프레임의 주기차 및 제1 AP의 주기차 확률값을 이용하여, 로그 AP인지 여부의 판단 지표인 주기차 에러값을 산출하는 주기차 에러값 산출부; 를 더 포함할 수 있다. The log AP detection apparatus calculates a period difference error value which is an index for determining whether the AP is a log AP by using the beacon frame of the second AP, the period difference of the beacon frame of the remaining AP, and the period difference probability value of the first AP, An error value calculation unit; As shown in FIG.

주기차 에러값 산출부는, 나머지 AP 중, 제2 AP의 비콘 프레임의 주기를 기준으로, 소정의 시간 내에 수신되는 AP인 제2 시간범위 AP를 검출할 수 있다. The periodic error value calculator can detect a second time range AP, which is an AP to be received within a predetermined time, based on the period of the beacon frame of the second AP among the remaining APs.

주기차 에러값 산출부는, 제2 AP의 비콘 프레임과 제2 시간범위 AP의 비콘 프레임의 주기차인 제2 주기차를 산출할 수 있다. The periodic difference error value calculation unit may calculate a second periodic difference that is a periodic difference between the beacon frame of the second AP and the beacon frame of the second time range AP.

주기차 에러값 산출부는, 제1 AP의 주기차 확률값을 이용하여, 제2 주기차의 에러값을 산출하고, 제2 주기차의 에러값 평균을 주기차 에러값으로 산출할 수 있다. The periodic difference error value calculation unit may calculate the error value of the second periodic difference using the periodic difference probability value of the first AP and calculate the average value of the error value of the second periodic difference as the periodic error value.

주기차 에러값 산출부는, 하기의 [수학식 3]를 이용하여, 주기차 에러값을 산출할 수 있다.
The periodic difference error value calculator can calculate the periodic error value using the following expression (3).

[수학식 3]&Quot; (3) "

Figure 112017014743977-pat00001

Figure 112017014743977-pat00001

여기서, ka는 제2 AP의 비콘 프레임, j는 제2 시간범위 AP의 비콘 프레임, μI 는 제1 주기차의 평균, σI 는 제1 주기차의 표준편차, 및 Dj(ka)는 제2주기차의 에러값을 각각 의미한다.Here, ka is the beacon frame of the second AP, j is the beacon frame of the second time range AP, μ I is the average of the first periodic difference, σ I is the standard deviation of the first periodic difference, and Dj (ka) And the error value of the two-period difference, respectively.

로그 AP 판단부는, 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 산출하고,횟수가 소정의 기준 횟수 이상이 되는 경우, 제2 AP를 로그 AP로 판단할 수 있다. The log AP determining unit may calculate the number of times that the size of the periodic difference error becomes equal to or greater than a predetermined reference size, and may determine the second AP as a log AP when the number of times is equal to or greater than a predetermined reference number.

로그 AP 검출 방법은, 사용자 단말의 소정의 거리 내에 위치한 복수의 정상 AP로부터 비콘 프레임을 수신하고; 복수의 정상 AP에 포함된 제1 AP의 비콘 프레임과 나머지 AP의 비콘 프레임의 주기차를 이용하여, 제1 AP에 대한 주기차 확률값을 산출하고; 및 사용자 단말의 접속 대상인 제2 AP와 식별정보가 동일한 제1 AP의 주기차 확률값을 이용하여, 제2 AP가 로그 AP인지 여부를 판단하는; 것을 포함할 수 있다. A method of detecting a log AP, comprising: receiving a beacon frame from a plurality of normal APs located within a predetermined distance of a user terminal; Calculating a periodic difference probability value for the first AP using the difference between the beacon frame of the first AP and the beacon frame of the remaining APs included in the plurality of normal APs; And determining whether the second AP is a log AP using the period difference probability value of the first AP having the same identification information as that of the second AP to which the user terminal is connected; ≪ / RTI >

이와 같은 로그 AP 검출 장치 및 방법에 의하면, 사용자 단말 주변에 위치한 복수의 정상 AP의 비콘 프레임 주기를 사전에 분석하고, 접속하고자 하는 AP가 로그 AP인지 여부를 판단할 때에는 분석 결과를 바로 이용할 수 있다. 분석 결과를 이용함으로써, 로그 AP인지 여부를 실시간으로 판단 및 검출할 수 있다. According to such a log AP detecting apparatus and method, the beacon frame period of a plurality of normal APs located near the user terminal is analyzed in advance, and the analysis result can be used immediately when it is determined whether the AP to be accessed is a log AP . By using the analysis result, it is possible to judge and detect whether the AP is a log AP in real time.

또한, 비콘 프레임 주기차를 산출하여 로그 AP를 검출함으로써, 사용자 단말 외에 별도의 하드웨어를 마련하거나, AP 프로토콜의 수정하는 등의 작업 없이 용이하게 로그 AP의 검출이 가능하다.Further, by detecting the log AP by calculating the beacon frame period difference, it is possible to easily detect the log AP without preparing other hardware besides the user terminal, or modifying the AP protocol.

도 1은 로그 AP가 정상 AP를 위장함에 따른 문제점을 설명하기 위한 도면이다.
도 2은 로그 AP를 검출하는 네트워크 구성의 일 예를 도시한 도면이다.
도 3은 일 실시예에 따른 로그 AP 검출 장치의 블록도이다.
도 4는 복수의 정상 AP으로부터 수신한 비콘 프레임의 예를 보여주는 도면이다.
도 5는 제1 AP의 주기차 확률값의 산출 방법을 설명하기 위한 예시 도면이다.
도 6은 주기차 에러값의 산출 방법을 설명하기 위한 예시 도면이다.
도 7 은 제2 AP가 정상 AP인 경우, 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값의 산출 결과이다.
도 8은 제2 AP가 로그 AP인 경우, 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값의 산출 결과를 각각 예시한 그래프이다.
도 9는 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값을 이용하는 경우, 로그 AP 검출의 정확도를 보여주는 그래프이다.
도 10은 일 실시예에 따른 로그 AP 검출 방법의 흐름도이다.
도 11은 주기차 확률값의 산출 방법을 설명하기 위한 흐름도이다.
도 12는 주기차 에러값의 산출 및 로그 AP 판단 방법을 설명하기 위한 흐름도이다.FIG. 1 is a diagram for explaining a problem that a log AP disguises a normal AP.
2 is a diagram showing an example of a network configuration for detecting a log AP.
3 is a block diagram of a log AP detection apparatus according to an embodiment.
4 is a diagram showing an example of a beacon frame received from a plurality of normal APs.
5 is an exemplary diagram for explaining a method of calculating the period difference probability value of the first AP.
6 is an exemplary diagram for explaining a method of calculating a periodic difference error value.
FIG. 7 shows the result of calculation of the periodic difference error value according to the Mahalanobis distance when the second AP is a normal AP.
8 is a graph illustrating the calculation result of the periodic difference error value according to the Mahalanobis distance when the second AP is the log AP.
Figure 9 is a graph showing the accuracy of log AP detection when using periodic error values according to Mahalanobis Distance.
10 is a flowchart of a log AP detection method according to an embodiment.
11 is a flowchart for explaining a method of calculating the period difference probability value.
12 is a flowchart for explaining the calculation of the periodic difference error value and the log AP determination method.

본 명세서에 기재된 실시예와 도면에 도시된 구성은 개시된 발명의 바람직한 일 예에 불과할 뿐이며, 본 출원의 출원시점에 있어서 본 명세서의 실시예와 도면을 대체할 수 있는 다양한 변형 예들이 있을 수 있다.It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory only and are not restrictive of the invention, as claimed, and it is to be understood that the invention is not limited to the disclosed embodiments.

이하에서는 첨부된 도면을 참조하여 로그 AP 검출 장치 및 방법을 후술된 실시예들에 따라 구체적으로 설명하도록 한다. 도면에서 동일한 부호는 동일한 구성 요소를 나타낸다.
Hereinafter, a log AP detection apparatus and method will be described in detail with reference to the embodiments described below with reference to the accompanying drawings. Like numbers refer to like elements throughout the drawings.

도 2은 로그 AP를 검출하는 네트워크 구성의 일 예를 도시한 도면이다. 2 is a diagram showing an example of a network configuration for detecting a log AP.

도 2을 참조하면, 로그 AP를 검출하는 네트위크는 정당한 권한을 부여받은 정상 AP(10), 정상 AP를 위장한 로그 AP(20), 사용자 단말(30), 인터넷(40), 및 로그 AP 검출 장치(50)를 포함할 수 있다. 2, the network for detecting the log AP includes a normal AP 10, a log AP 20 disguised as a normal AP, a user terminal 30, the Internet 40, (50).

사용자 단말(30)은 AP를 통해 인터넷(40)에 접속될 수 있다. 여기서, AP는 정당한 권한을 부여받은 정상 AP(10) 또는 정당한 권한을 부여받지 않은 예를 들어, 로그 AP(20)가 될 수 있으며, 사용자 단말(30)이 무선으로 접속하는 무선 AP로 마련될 수 있다. 또한, 정상 AP(10)는 단일하게 마련될 수도 있으나, 도 2에 예시된 바와 달리 복수개로 마련될 수도 있다. 예를 들어, 정상 AP(10)는 사용자 단말(30)로부터 소정의 거래 내에 위치한 복수의 정상 AP(10)로 마련될 수 있다. The user terminal 30 may be connected to the Internet 40 via an AP. Here, the AP may be a normal AP 10 that has been given a proper right or a log AP 20 which is not given a proper right, and may be provided as a wireless AP to which the user terminal 30 wirelessly accesses . In addition, the normal AP 10 may be provided as a single unit, but may be provided in a plurality of units different from those illustrated in FIG. For example, the normal AP 10 may be provided from the user terminal 30 to a plurality of normal APs 10 located within a predetermined transaction.

사용자 단말(30)은 사용자가 사용하는 단말 장치로, 예를 들어, 스마트폰(smart phone), 태블릿 PC(tablet personal computer), 이동 전화기(mobile phone), 영상 전화기, 전자책 리더기(e-book reader), 데스크탑 PC(desktop personal computer), 랩탑 PC(laptop personal computer), 넷북 컴퓨터(netbook computer), 워크스테이션(workstation), 서버, PDA(personal digital assistant), PMP(portable multimedia player), MP3 플레이어, 모바일 의료기기, 카메라(camera), 또는 웨어러블 장치(wearable device) 중 적어도 하나를 포함할 수 있으나, 이는 예들에 불과한 것으로 이에 한정되지 않고 AP에 접속 가능한 단말 장치는 모두 사용자 단말이 될 수 있는 것으로 한다. The user terminal 30 is a terminal device used by a user and may be a smart phone, a tablet personal computer, a mobile phone, a video phone, an e-book reader reader, a desktop personal computer, a laptop personal computer, a netbook computer, a workstation, a server, a personal digital assistant (PDA), a portable multimedia player (PMP) , A mobile medical device, a camera, or a wearable device. However, the present invention is not limited to these examples, and any terminal device that can access the AP may be a user terminal do.

또한, 도 2의 예시에는 사용자 단말(30)이 단일하게 마련되는 것을 예시하였으나, 이와 달리 사용자 단말(30)이 복수개로 마련되는 것도 가능하다. In the example of FIG. 2, a single user terminal 30 is provided. Alternatively, a plurality of user terminals 30 may be provided.

일반적으로, 사용자 단말이 AP에 접속되어 AP와 통신 채널을 형성하는 방법에는 두가지가 있다. Generally, there are two ways in which a user terminal is connected to an AP to form a communication channel with the AP.

하나는 액티브(Active) 방식으로, 사용자 단말이 AP로 프로브 프레임을 송신하거나 브로드캐스팅하면, AP가 프로브 응답(Probe Response) 프레임으로 응답하는 방식이다. 다른 하나는 패시브(Passive) 방식으로, AP가 비콘 프레임(Beacon Frame)을 일정 시간 간격마다 송신하거나 브로드캐스팅하면, 사용자 단말(30)이 비콘 프레임 내 정보에 기초하여 어소시에이션(Association)을 개시하는 방식이다. One is an active scheme. When a user terminal transmits or broadcasts a probe frame to an AP, the AP responds with a probe response frame. The other is a passive method. When the AP transmits or broadcasts a beacon frame at a predetermined time interval, a method in which the user terminal 30 starts association based on the information in the beacon frame to be.

로그 AP 검출 장치(50)는 비콘 프레임의 주기를 이용하는 것으로, 사용자 단말(30)은 패시브 방식에 따라 AP(10, 20)와 통신 채널을 형성하는 것으로 한다. The log AP detecting apparatus 50 uses the period of the beacon frame, and the user terminal 30 forms a communication channel with the APs 10 and 20 according to a passive method.

로그 AP 검출 장치(50)는 사용자 단말(30)이 접속하고자 하는 AP가 정상 AP(10)인지 또는 로그 AP(20)인지 판단하는 장치로, 도21에서는 사용자 단말(30)과 별도로 마련될 수 있으나, 사용자 단말(30)에 포함되어 구성될 수도 있다. The log AP detecting apparatus 50 is a device for judging whether the AP to be accessed by the user terminal 30 is a normal AP 10 or a log AP 20 and may be provided separately from the user terminal 30 However, it may be included in the user terminal 30.

또한, 로그 AP 검출 장치(50)가 사용자 단말(30)과 별도로 마련되는 경우, 로그 AP 검출 장치(50)는 로그 AP(20)의 검출 시 즉, 사용자 단말(30)이 접속하고자 하는 AP가 로그 AP(20)인 경우, 사용자 단말(30)에 알람을 주기 위한 알람부를 더 포함할 수도 있다. When the log AP detecting apparatus 50 is provided separately from the user terminal 30, the log AP detecting apparatus 50 detects the log AP 20, that is, when the AP that the user terminal 30 intends to access The log AP 20 may further include an alarm unit for giving an alarm to the user terminal 30.

도 3은 일 실시예에 따른 로그 AP 검출 장치의 블록도이다. 3 is a block diagram of a log AP detection apparatus according to an embodiment.

도 3을 참조하면, 로그 AP 검출 장치(50)는 통신부(100), 제어부(200), 및 저장부(300)를 포하할 수 있다. Referring to FIG. 3, the log AP detecting apparatus 50 may include a communication unit 100, a control unit 200, and a storage unit 300.

통신부(100)는 사용자 단말(30)과 소정의 거리 내에 위치한 복수의 정상 AP(10)로부터 비콘 프레임을 수신한다. The communication unit 100 receives a beacon frame from a plurality of normal APs 10 located within a predetermined distance from the user terminal 30. [

여기서, 복수의 정상 AP(10)는 사용자 단말(30)의 주변에 위치하여, 발생된 비콘 프레임이 사용자 단말(30)에 의해 수신되는 정상 AP의 집합을 의미한다. 따라서, 소정의 거리는 사용자 단말(30)이 복수의 정상 AP(10)으로부터 비콘 프레임을 수신할 수 있는 기준 거리를 의미한다. 즉, 소정의 거리는 사용자 단말(30) 주변에 위치한 복수의 정상 AP(10)의 비콘 프레임이 수신되는 기준 거리를 의미한다.Here, the plurality of normal APs 10 refers to a set of normal APs located in the vicinity of the user terminal 30, and the generated beacon frame is received by the user terminal 30. Thus, the predetermined distance means a reference distance at which the user terminal 30 can receive the beacon frame from the plurality of normal APs 10. [ That is, the predetermined distance means a reference distance at which a plurality of normal APs 10 located around the user terminal 30 receive the beacon frame.

각각의 정상 AP(10)는 비콘 프레임을 일정한 주기로 발생시키며, 통신부(100)는 이와 같이 발생된 정상 AP(10)의 비콘 프레임을 각각 수신할 수 있다. 이 때, 비콘 프레임은 AP를 식별하기 위한 식별정보를 포함하며, 식별정보는 예를 들어, SSID, IP 주소, MAC 주소 중 적어도 하나를 포함할 수 있으나, 이에 한정되는 것은 아니며 AP를 식별할 수 있다면 식별정보가 될 수 있는 것으로 한다. Each of the normal APs 10 generates a beacon frame at a predetermined period, and the communication unit 100 can receive the beacon frame of the normal AP 10 generated as described above. In this case, the beacon frame includes identification information for identifying the AP, and the identification information may include, for example, at least one of an SSID, an IP address, and a MAC address. However, If so, it shall be the identification information.

도 4는 복수의 정상 AP으로부터 수신한 비콘 프레임의 예를 보여주는 도면이다. 4 is a diagram showing an example of a beacon frame received from a plurality of normal APs.

도 4를 참조하면, 13개의 정상 AP은 비콘 프레임을 일정 주기로 발생시키며, 이에 대응하여 통신부(100)는 각각의 정상 AP로부터 비콘 프레임을 수신할 수 있다. 예를 들어, 통신부(100)는 10번 정상 AP로부터 1시 10분을 시작으로 6분의 주기를 형성하며 비콘 프레임을 수신할 수 있는 것이다. Referring to FIG. 4, 13 normal APs generate beacon frames at regular intervals, and the communication unit 100 can receive beacon frames from each normal AP. For example, the communication unit 100 forms a period of 6 minutes starting from the 10th normal AP at 1:10, and can receive the beacon frame.

또한, 통신부(100)는 로그 AP(20)가 존재하는 경우, 로그 AP(20)로부터 비콘 프레임을 수신할 수 있다. 로그 AP(20)도 정상 AP(10)와 마찬가지로 일정 주기로 비콘 프레임을 발생시키며, 따라서 통신부(100)는 로그 AP(20)의 비콘 프레임을 일정 주기로 수신하게 된다.In addition, the communication unit 100 may receive a beacon frame from the log AP 20 when the log AP 20 exists. The log AP 20 also generates a beacon frame at regular intervals like the normal AP 10. Accordingly, the communication unit 100 receives the beacon frame of the log AP 20 at regular intervals.

비콘 프레임의 수신을 위해, 통신부(100)는 다양한 무선 통신 모듈을 포함할 수 있다. 예를 들어, 통신부(100)는 영상 입력부(100)는 무선 랜(Wireless LAN; WLAN), 와이파이(Wi-Fi), Wibro(Wireless broadband), Wimax(World Interoperability for Microwave Access), HSDPA(High Speed Downlink Packet Access) 등과 같은 무선 인터넷 모듈, 블루투스(Bluetooth), RFID(Radio Frequency Identification), 적외선 통신(IrDA, infrared Data Association), UWB(Ultra Wideband), 지그비(ZigBee) 등과 같은 근거리 통신 모듈 등 다양한 통신 모듈을 포하할 수 있다. For reception of the beacon frame, the communication unit 100 may include various wireless communication modules. For example, the communication unit 100 may include a wireless LAN (WLAN), a Wi-Fi, a Wibro (wireless broadband), a Wimax (World Interoperability for Microwave Access) Such as a wireless Internet module such as a wireless communication module such as a wireless communication module such as a wireless LAN module such as a wireless LAN module such as a Bluetooth module, Modules can be shipped.

다만, 이에 한정되는 것은 아니며, 정상 AP(10) 및 로그 AP(20)로부터 비콘 프레임을 수신할 수만 있다면, 통신부(100)는 상술한 바 외에 다른 형태의 통신 모듈을 채용할 수 있는 것으로 한다.However, the present invention is not limited to this, and if the beacon frame can be received from the normal AP 10 and the log AP 20, the communication unit 100 may employ other types of communication modules.

또한, 통신부(100)를 통해 수신된 비콘 프레임의 도착시간 및 주기는, 해당 비콘 프레임를 발생시킨 AP의 식별정보와 함께 후술될 저장부(300)에 저장되는 것으로 한다.The arrival time and period of the beacon frame received through the communication unit 100 are stored in the storage unit 300 to be described later together with the identification information of the AP that generated the beacon frame.

제어부(200)는 비콘 프레임의 주기를 이용하여, 사용자 단말(30)이 접속하고자 하는 대상 AP가 로그 AP인지 여부를 판단한다. 제어부(200)는 비콘 프레임의 주기를 사전 분석하여 저장하고, 사전 분석 결과를 이용하여 대상 AP가 로그 AP인지 여부를 실시간으로 판단할 수 있다. 도 3을 다시 참조하면, 제어부(200)는 식별정보 판단부(210), 주기차 확률값 산출부(220), 주기차 에러값 산출부(230), 및 로그 AP 판단부(240)를 포함할 수 있다.The control unit 200 determines whether the target AP to which the user terminal 30 is to access is the log AP, using the period of the beacon frame. The control unit 200 may pre-analyze and store the period of the beacon frame, and may determine in real time whether the target AP is a log AP using the pre-analysis result. 3, the control unit 200 includes an identification information determination unit 210, a periodic difference probability value calculation unit 220, a periodic difference error value calculation unit 230, and a log AP determination unit 240 .

비콘 프레임의 주기를 사전 분석하는 단계에서, 식별정보 판단부(210)는 복수의 정상 AP의 식별정보를 확인한다. In the preliminary analysis of the period of the beacon frame, the identification information determination unit 210 identifies identification information of a plurality of normal APs.

전술한 바 있듯이, 각각의 정상 AP(10)로부터 수신된 비콘 프레임의 도착시간 및 주기는 해당 비콘 프레임을 발생시킨 AP의 식별정보와 함께 후술될 저장부(300)에 저장되는데, 이를 위해 식별정보 판단부(210)는 각 정상 AP(10)의 비콘 프레임에 포함된 식별정보를 확인하고 복수의 정상 AP를 구분할 수 있다. As described above, the arrival time and period of the beacon frame received from each normal AP 10 are stored in the storage unit 300, which will be described later, together with the identification information of the AP that has generated the corresponding beacon frame. The determination unit 210 can identify the identification information included in the beacon frame of each normal AP 10 and distinguish the plurality of normal APs.

대상 AP의 로그 AP 여부를 실시간으로 판단하는 단계에서, 식별정보 판단부(210)는 대상 AP의 식별정보와 복수의 정상 AP의 식별정보를 비교판단하여, 복수의 정상 AP 중 대상 AP의 식별정보와 동일한 식별정보를 갖는 정상 AP를 검출한다. 여기서, 검출된 정상 AP를 이하 '제1 AP'라 칭하고, 접속 대상인 대상 AP를 이하 '제2 AP'라 칭하는 것으로 한다. The identification information determination unit 210 compares the identification information of the target AP with the identification information of the plurality of normal APs to determine whether the target AP is a log AP or not, A normal AP having the same identification information as the normal AP is detected. Hereinafter, the detected normal AP will be referred to as a 'first AP', and a target AP to be connected will be referred to as a 'second AP' hereinafter.

주기차 확률값 산출부(220)는 사전 분석 단계에서, 복수의 정상 AP에 포함된 각각의 정상 AP에 대해, 주기차 확률값을 산출한다. The period difference probability value calculation unit 220 calculates a period difference probability value for each normal AP included in the plurality of normal APs in the pre-analysis step.

예를 들어, 주기차 확률값 산출부(220)는 복수의 정상 AP에 포함된 제1 AP에 대해, 주기차 확률값을 산출할 수 있다. 주기차 확률값 산출부(220)는 복수의 정상 AP 중, 제1 AP의 비콘 프레임과 제1 AP를 제외한 나머지 AP의 비콘 프레임의 주기차를 이용하여, 제1 AP의 주기차 확률값을 산출할 수 있다.For example, the periodic difference probability value calculation unit 220 may calculate a periodic difference probability value for a first AP included in a plurality of normal APs. The period difference probability value calculation unit 220 can calculate the period difference probability value of the first AP using the period difference between the beacon frame of the first AP and the beacon frame of the remaining AP excluding the first AP among the plurality of normal APs have.

구체적으로, 주기차 확률값 산출부(220)는 제1 AP를 제외한 나머지 AP 중, 제 1 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 AP(이하, 간단히 '제1 시간범위 AP'라 칭함)을 검출할 수 있다. Specifically, the periodic difference probability value calculation unit 220 calculates a period difference probability value (AP) based on a period of the beacon frame of the first AP among the remaining APs except for the first AP, Quot;) can be detected.

그리고 주기차 확률값 산출부(220)는 제1 AP의 비콘 프레임과 상기 제1 시간범위 AP의 비콘 프레임의 주기차(이하, 간단히 '제1 주기차'라 칭함)를 산출할 수 있다. The period difference probability value calculation unit 220 may calculate a period difference (hereinafter, simply referred to as a 'first period difference') between the beacon frame of the first AP and the beacon frame of the first time period AP.

그리고 주기차 확률값 산출부(220)는 제1 주기차의 평균 및 표준편차를 제1 AP의 주기차 확률값으로 산출할 수 있다. The period difference probability value calculation unit 220 may calculate the average and standard deviation of the first period difference as the period difference probability value of the first AP.

주기차 확률값 산출부(220)는 하기의 [수학식 1]를 이용하여, 제1 주기차의 평균을 산출할 수 있다.
The period difference probability value calculation unit 220 can calculate the average of the first period difference using the following equation (1).

[수학식 1] [Equation 1]

Figure 112017014743977-pat00002

Figure 112017014743977-pat00002

여기서, K는 제1 AP의 비콘 프레임 집합, Mk∩AI는 제1 시간범위 AP의 비콘 프레임 집합, 및 μI 는 제1 주기차의 평균을 각각 의미한다.Here, K denotes a set of beacon frames of the first AP, Mk∩AI denotes a set of beacon frames of the first time range AP, and I denotes an average of the first periodic difference.

주기차 확률값 산출부(220)는 하기의 [수학식 2]를 이용하여, 제1 주기차의 표준편차를 산출할 수 있다.
The period difference probability value calculation unit 220 can calculate the standard deviation of the first periodic difference using the following equation (2).

[수학식 2] &Quot; (2) "

Figure 112017014743977-pat00003

Figure 112017014743977-pat00003

여기서, K는 제1 AP의 비콘 프레임 집합, Mk∩AI는 제1 시간범위 AP의 비콘 프레임 집합, μI 는 제1 주기차의 평균, 및 σI 는 제1 주기차의 표준편차를 각각 의미한다.Where K is the beacon frame set of the first AP, Mk∩AI is the beacon frame set of the first time range AP, μ I is the mean of the first periodic difference, and σ I is the standard deviation of the first periodic difference, respectively do.

도 5는 제1 AP의 주기차 확률값의 산출 방법을 설명하기 위한 예시 도면이다. 5 is an exemplary diagram for explaining a method of calculating the period difference probability value of the first AP.

도 5를 참조하면, 주기차 확률값 산출부(220)는 제1 AP를 제외한 나머지 AP 중에서, 제1 시간범위 AP를 검출한다. 주기차 확률값 산출부(220)는 제1 AP의 비콘 프레임의 도착시간(I1)을 기준으로 하여, 소정 시간범위(Tc) 내에 수신되는 제1 주변 AP 및 제2 주변 AP를 제1 시간범위 AP로써 검출할 수 있다. Referring to FIG. 5, the period difference probability value calculation unit 220 detects a first time range AP among APs other than the first AP. The period difference probability value calculation unit 220 calculates the first and second neighbor APs within the predetermined time range Tc based on the arrival time I1 of the beacon frame of the first AP as the first time range AP Can be detected.

주기차 확률값 산출부(220)는 제1 AP의 비콘 프레임과 제1 시간범위 AP의 비콘 프레임의 도착시간 차를 제1 주기차로써 산출할 수 있다. 즉, 주기차 확률값 산출부(220)는 제1 AP의 비콘 프레임의 도착시간(I1)과 제1 주변 AP의 도착시간(P1)의 차(Tp1)를 산출하고, 제1 AP의 비콘 프레임의 도착시간(I1)과 제2 주변 AP의 도착시간(P2)의 차(Tp2)를 산출할 수 있으며, 이 때, 도착시간의 차 Tp1 및 Tp2가 제1 주기차가 된다.The period difference probability value calculation unit 220 may calculate an arrival time difference between the beacon frame of the first AP and the beacon frame of the first time range AP as a first periodic difference. That is, the periodic difference probability value calculation unit 220 calculates a difference Tp1 between the arrival time I1 of the beacon frame of the first AP and the arrival time P1 of the first neighbor AP, The difference Tp2 between the arrival time I1 and the arrival time P2 of the second surrounding AP can be calculated and the differences Tp1 and Tp2 of the arrival times become the first period difference.

주기차 확률값 산출부(220)는 제1 주기차 Tp1 및 Tp2의 평균 및 표준편차를 제1 AP의 주기차 확률값으로 산출할 수 있으며, 산출된 제1 AP의 주기차 확률값은 저장부(300)에 저장될 수 있다.The period difference probability calculator 220 may calculate the average and standard deviation of the first period Tp1 and the standard deviation Tp2 as the period difference probability value of the first AP. The calculated period difference probability value of the first AP is stored in the storage unit 300, Lt; / RTI >

상술한 바와 동일하게, 주기차 확률값 산출부(220)은 나머지 AP에 대해서도 주기차 확률값을 각각 산출할 수 있으며, 사전 분석 단계에서 산출된 주기차 확률값은 저장부(300)에 저장되어 실시간 판단 단계에서 이용될 수 있는 것으로 한다.The period difference probability value calculator 220 may calculate the period difference probability values for the remaining APs, and the period difference probability values calculated in the pre-analysis step are stored in the storage unit 300, As shown in FIG.

주기차 에러값 산출부(230)는 실시간 판단 단계에서, 로그 AP인지 여부의 판단 지표가 되는 제2 AP의 주기차 에러값을 산출한다. In the real-time determination step, the periodic difference error value calculation unit 230 calculates the periodic difference error value of the second AP, which is an index for determining whether the AP is a log AP.

주기차 에러값 산출부(230)는 제1 AP의 주기차 확률값을 이용하여, 제2 AP의 주기차 에러값을 산출할 수 있다. 또한, 주기차 에러값 산출부(230)는 제1 AP의 비콘 프레임과 복수의 정상 AP 중, 제1 AP를 제외한 나머지 AP의 비콘 프레임의 주기차를 이용하여, 제2 AP의 주기차 에러값을 산출할 수 있다.The periodic difference error value calculator 230 may calculate the periodic difference value of the second AP using the periodic difference probability value of the first AP. In addition, the periodic error value calculator 230 calculates the periodic error value of the second AP using the period difference of the beacon frames of the remaining APs except for the first AP, among the beacon frame of the first AP and the plurality of normal APs, Can be calculated.

구체적으로, 주기차 에러값 산출부(230)는 제1 AP를 제외한 나머지 AP 중, 제 2 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 AP(이하, 간단히 '제2 시간범위 AP'라 칭함)을 검출할 수 있다. Specifically, the periodic error value calculator 230 calculates a periodic error value (AP) based on the period of the beacon frame of the second AP among the remaining APs except for the first AP, Quot;) can be detected.

그리고 주기차 에러값 산출부(230)는 제2 AP의 비콘 프레임과 제2 시간범위 AP의 비콘 프레임의 주기차(이하, 간단히 '제2 주기차'라 칭함)를 산출할 수 있다. Then, the periodic error value calculator 230 may calculate a period difference (hereinafter referred to as a 'second periodic difference') between the beacon frame of the second AP and the beacon frame of the second time range AP.

그리고 주기차 에러값 산출부(230)는 제1 AP의 주기차 확률값을 이용하여, 제2주기차의 에러값인 주기차 에러값을 산출할 수 있다. The periodic error value calculator 230 may calculate the periodic error value, which is an error value of the second periodic difference, using the periodic difference probability value of the first AP.

주기차 에러값 산출부(230)는 마할라노비스 거리(Mahalanobis Distance)를 이용하여, 주기차 에러값을 산출할 수 있다. 주기차 에러값 산출부(230)는 하기의 [수학식 3]을 이용하여, 주기차 에러값을 산출할 수 있다.
The periodic difference error value calculation unit 230 may calculate the periodic error value using the Mahalanobis distance. The periodic difference error value calculation unit 230 can calculate the periodic error value using the following equation (3).

[수학식 3]&Quot; (3) "

Figure 112017014743977-pat00004

Figure 112017014743977-pat00004

여기서, ka는 제2 AP의 비콘 프레임, j는 제2 시간범위 AP의 비콘 프레임, μI 는 제1 주기차의 평균, σI 는 제1 주기차의 표준편차, 및 Dj(ka)는 제2주기차의 에러값을 각각 의미한다.Here, ka is the beacon frame of the second AP, j is the beacon frame of the second time range AP, μ I is the average of the first periodic difference, σ I is the standard deviation of the first periodic difference, and Dj (ka) And the error value of the two-period difference, respectively.

주기차 에러값 산출부(230)는 하기의 [수학식 4]를 이용하여, 주기차 에러값을 산출할 수 있다.
The periodic difference error value calculator 230 can calculate the periodic error value using the following equation (4).

[수학식 4]&Quot; (4) "

Figure 112017014743977-pat00005

Figure 112017014743977-pat00005

여기서, ka는 제2 AP의 비콘 프레임, J(ka)는 제2 시간범위 AP의 비콘 프레임 집합, Dj(ka)는 제2 주기차의 에러값, 및 D(ka)는 주기차 에러값을 각각 의미한다.Where ka is the beacon frame of the second AP, J (ka) is the beacon frame set of the second time range AP, Dj (ka) is the error value of the second periodic difference, and D (ka) Respectively.

도 6은 주기차 에러값의 산출 방법을 설명하기 위한 예시 도면이다. 6 is an exemplary diagram for explaining a method of calculating a periodic difference error value.

도 6을 참조하면, 주기차 에러값 산출부(230)는 제1 AP를 제외한 나머지 AP 중에서, 제2 시간범위 AP를 검출한다. 주기차 에러값 산출부(230)는 제2 AP의 비콘 프레임의 도착시간(I1)을 기준으로 하여, 소정 시간범위(Tc) 내에 수신되는 제2 시간범위 AP를 검출할 수 있다. Referring to FIG. 6, the periodic error value calculator 230 detects a second time range AP among APs other than the first AP. The periodic difference error value calculator 230 may detect the second time range AP received within the predetermined time range Tc based on the arrival time I1 of the beacon frame of the second AP.

여기서, 소정 시간범위는 사전 분석 단계에서, 제1 AP의 주기차 확률값을 산출하기 위해 사용되었던 소정의 시간범위와 동일하게 설정되는 것으로 한다. 또한, 제2 시간범위 AP는 사전 분석 단계에서 검출된 제1 시간범위 AP와 동일하게, 제1 주변 AP 및 제2 주변 AP로 검출되는 것으로 예시하기로 한다.Here, the predetermined time range is set to be the same as the predetermined time range used for calculating the period difference probability value of the first AP in the pre-analysis step. Also, the second time range AP is detected as a first peripheral AP and a second peripheral AP in the same manner as the first time range AP detected in the pre-analysis step.

주기차 에러값 산출부(230)는 제2 AP의 비콘 프레임과 제2 시간범위 AP의 비콘 프레임의 도착시간 차를 제2 주기차로써 산출할 수 있다. 즉, 주기차 에러값 산출부(230)는 제2 AP의 비콘 프레임의 도착시간(I2)과 제1 주변 AP의 도착시간(P1)의 차(Tr1)를 산출하고, 제2 AP의 비콘 프레임의 도착시간(I2)과 제2 주변 AP의 도착시간(P2)의 차(Tr2)를 산출할 수 있으며, 이 때, 도착시간의 차 Tr1 및 Tr2가 제2 주기차가 된다.The periodic difference error value calculation unit 230 may calculate a difference in arrival time between the beacon frame of the second AP and the beacon frame of the second time range AP as a second periodic difference. That is, the periodic error value calculator 230 calculates the difference Tr1 between the arrival time I2 of the beacon frame of the second AP and the arrival time P1 of the first neighbor AP, A difference Tr2 between the arrival time I2 of the first peripheral AP and the arrival time P2 of the second surrounding AP can be calculated.

주기차 에러값 산출부(230)는 제1 AP의 주기차 확률값을 이용하여, 제2 주기차 Tr1 및 Tr2의 에러값을 산출하고, 에러값의 평균을 주기차 에러값으로 산출할 수 있다. The periodic difference error value calculation unit 230 may calculate the error values of the second period differences Tr1 and Tr2 using the period difference probability value of the first AP and may calculate the average of the error values as the period difference error value.

접속 대상인 제2 AP가 정상 AP인 경우에는, 제2 AP가 곧 제1 AP를 의미하는 것이 되며, 최종적으로 산출되는 주기차 에러값은 0 또는 0에 근접한 값을 갖게될 것이다. 반면, 제2 AP가 로그 AP인 경우에는, 제2 AP는 제1 AP를 위장한 AP를 의미하는 것으로, 도 6에 도시된 바와 같이 제1 AP와 비콘 프레임의 도착시간 및 주기에 차이가 발생하게 되며, 이에 따라 최종적으로 산출되는 주기차 에러값은 0을 웃돌게 된다.If the second AP to be connected is a normal AP, the second AP will soon refer to the first AP, and the finally calculated periodic error value will have a value close to zero or zero. On the other hand, when the second AP is a log AP, the second AP means an AP disguised as the first AP. As shown in FIG. 6, a difference occurs in arrival time and period of the beacon frame between the first AP and the first AP And the finally calculated periodic error value exceeds zero.

따라서, 주기차 에러값을 이용함으로써, 제2 AP가 로그 AP인지 여부를 판단할 수 있는 것이다.Therefore, by using the periodic difference error value, it is possible to determine whether or not the second AP is a log AP.

도 7 은 제2 AP가 정상 AP인 경우, 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값의 산출 결과이며, 도 8은 제2 AP가 로그 AP인 경우, 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값의 산출 결과를 각각 예시한 그래프이다. 7 is a calculation result of the periodic difference error value according to the Mahalanobis distance when the second AP is a normal AP, and FIG. 8 is a result of calculating the period difference error value according to the Mahalanobis Distance ) Of the periodic error value.

도 7 및 도 8을 참조하면, 제2 AP가 정상 AP인 경우에는, 주기차 에러값이 0 과 0.5 사이에서 산출되는 반면, 제2 AP가 로그 AP인 경우에는, 주기차 에러값이 1.5 이상으로 산출되는 횟수가 빈번하게 발생되고 있음을 확인할 수 있다. 따라서, 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값을 산출하는 경우, 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 이용함으로써, 로그 AP를 검출할 수 있다.7 and 8, when the second AP is a normal AP, the periodic error value is calculated between 0 and 0.5, whereas when the second AP is a log AP, the periodic error value is 1.5 or more And the number of times of calculation is frequently generated. Therefore, when calculating the periodic error value according to the Mahalanobis distance, it is possible to detect the log AP by using the number of times that the periodic error value becomes equal to or larger than the predetermined reference size.

따라서, 로그 AP 판단부(240)는 주기차 에러값을 이용하여, 접속 대상인 제2 AP 가 로그 AP인지 여부를 판단할 수 있다. 또한, 로그 AP 판단부(240)는 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 이용하여, 제2 AP 가 로그 AP인지 여부를 판단할 수 있다. 로그 AP 판단부(240)는 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 산출하고, 산출된 횟수가 소정의 기준 횟수 이상이 되는 경우에는, 제2 AP를 로그 AP로 판단하고, 기준 횟수 미만이 되는 경우에는, 제2 AP를 정상 AP로 판단할 수 있으며, 이 때, 주기차 에러값이 마할라노비스 거리(Mahalanobis Distance)에 따라 산출된 값인 경우, 판단의 정확도는 높아질 수 있다.Therefore, the log AP determining unit 240 can determine whether the second AP to be connected is the log AP using the period difference error value. In addition, the log AP determination unit 240 may determine whether the second AP is a log AP by using the number of times that the magnitude of the periodic difference error value becomes equal to or greater than a predetermined reference size. The log AP determination unit 240 calculates the number of times that the magnitude of the periodic difference error value becomes equal to or greater than the predetermined reference size, and when the calculated number becomes equal to or greater than the predetermined reference number, the log AP determination unit 240 determines the second AP as a log AP If the periodic error value is a value calculated according to the Mahalanobis distance, the accuracy of the judgment may be increased. have.

도 9는 마할라노비스 거리(Mahalanobis Distance)에 따른 주기차 에러값을 이용하는 경우, 로그 AP 검출의 정확도를 보여주는 그래프이다.Figure 9 is a graph showing the accuracy of log AP detection when using periodic error values according to Mahalanobis Distance.

도 9를 참조하면, 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수가 3 이상이면, 로그 AP를 검출의 정확도는 99.99%가 된다. 즉, 기준 횟수를 3으로 설정하는 경우, 로그 AP 검출의 정확도는 100%에 근접하며, 기준 횟수를 1로 설정하더라도, 로그 AP 검출의 정확도가 95% 이상이 되어, 그 정확도가 높음을 확인할 수 있다. Referring to FIG. 9, when the number of times that the periodic error value becomes equal to or larger than the predetermined reference size is 3 or more, the accuracy of detection of the log AP becomes 99.99%. That is, when the reference frequency is set to 3, the accuracy of the log AP detection is close to 100%, and even if the reference frequency is set to 1, the accuracy of the log AP detection is more than 95% have.

상술한 제어부(200)는 집적 회로가 형성된 적어도 하나의 칩을 포함하는 각종 프로세서(processor)로 마련될 수 있다. 제어부(200)는 하나의 프로세서에 함께 마련될 수도 있고, 복수의 프로세서에 분리되어 마련되는 것도 가능하다. 예를 들어, 주기차 확률값 산출부(220) 및 로그 AP 판단부(240)은 하나의 프로세서에 마련될 수도 있으나, 서로 다른의 프로세서에 분리되어 마련될 수도 있는 것이다. The controller 200 may be provided with various processors including at least one chip on which integrated circuits are formed. The control unit 200 may be provided in one processor or may be separately provided in a plurality of processors. For example, the period difference probability value calculation unit 220 and the log AP determination unit 240 may be provided in one processor, but may be separately provided in different processors.

또한, 제어부(200)는 중앙 처리 장치(Central Processing Unit; CPU)나 그래픽 처리 장치(Graphic Processing Unit; GPU) 등과 같은 다양한 처리 장치 및 다양한 종류의 저장 장치를 포함하는 인쇄 회로 기판(Printed Circuit Borard; PCB) 형태로 마련될 수 있다. 제어부(200)는 특정 기능만을 수행하도록 제작된 임베디드 보드 형태로 마련될 수도 있다.The controller 200 may be a printed circuit board (PCB) including various processing devices such as a central processing unit (CPU), a graphic processing unit (GPU), and the like and various types of storage devices. PCB). The controller 200 may be provided in the form of an embedded board designed to perform only specific functions.

저장부(300)는 로그 AP 검출 장치(1)의 동작을 위한 각종 데이터 및 프로그램을 일시 또는 비일시적으로 저장한다.The storage unit 300 stores various data and programs for the operation of the log AP detecting apparatus 1 temporarily or temporarily.

일 예로, 저장부(300)는 비콘 프레임의 도착시간 및 주기, 비콘 프레임을 발생시킨 AP의 식별정보, 제1 AP의 주기차 확률값, 주기차 에러값 등을 저장할 수 있다. 다른 예로, 저장부(300)는 제2 AP의 식별정보와 동일한 식별정보를 갖는 제1 AP를 검출하기 위한 프로그램, 제1 AP의 주기차 확률값을 산출하기 위한 프로그램, 주기차 에러값을 산출하기 위한 프로그램, 로그 AP 여부를 판단하기 위한 프로그램 등을 저장할 수 있다. For example, the storage unit 300 may store the arrival time and period of the beacon frame, the identification information of the AP that generated the beacon frame, the period difference probability value of the first AP, the period difference error value, and the like. As another example, the storage unit 300 may include a program for detecting a first AP having the same identification information as the identification information of the second AP, a program for calculating a period difference probability value of the first AP, A program for determining whether or not the AP is a log, and the like.

이와 같은 저장부(300)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(Random Access Memory: RAM), SRAM(Static Random Access Memory), 롬(ROM, Read-Only Memory), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다. 다만, 이에 한정되는 것은 아니며, 당업계에 알려져 있는 임의의 다른 형태로 구현될 수도 있다. 또한, 저장부(230)는 인터넷(internet)상에서 저장 기능을 수행하는 웹 스토리지(web storage)를 운영할 수도 있다.The storage unit 300 may be a flash memory type, a hard disk type, a multimedia card micro type, a card type memory (for example, SD or XD memory, etc.) ), A random access memory (RAM), a static random access memory (SRAM), a read-only memory (ROM), an electrically erasable programmable read-only memory (EEPROM), a programmable read- A magnetic disk, an optical disk, a memory, a magnetic disk, or an optical disk. However, the present invention is not limited thereto and may be implemented in any other form known in the art. Also, the storage unit 230 may operate a web storage that performs a storage function on the internet.

이상으로 로그 AP 검출 장치(1)의 구성 및 각 구성의 역할을 실시예들을 바탕으로 설명하였으며, 이하에서는 주어진 흐름도 도 10 내지 도 12를 참조하여 로그 AP 검출 방법을 살펴보기로 한다. 도 10 내지 도 12를 설명함에 있어, 상술한 바와 동일하거나 대응되는 내용은 이하 생략하기로 한다.Hereinafter, the configuration of the log AP detection apparatus 1 and the roles of the respective configurations will be described based on embodiments. A log flow detection method will be described with reference to FIGS. 10 to 12. FIG. In the description of Figs. 10 to 12, the same or corresponding contents as those described above will be omitted below.

도 10은 일 실시예에 따른 로그 AP 검출 방법의 흐름도이다.10 is a flowchart of a log AP detection method according to an embodiment.

도 10을 참조하면, 먼저, 통신부(100)는 사용자 단말(30)과 소정의 거리 내에 위치한 복수의 정상 AP(10)로부터 비콘 프레임을 수신한다(510). Referring to FIG. 10, the communication unit 100 receives a beacon frame from a plurality of normal APs 10 located within a predetermined distance from the user terminal 30 (510).

여기서, 복수의 정상 AP(10)는 사용자 단말(30)의 주변에 위치하여, 발생된 비콘 프레임이 사용자 단말(30)에 의해 수신되는 정상 AP의 집합을 의미한다. 즉, 소정의 거리는 사용자 단말(30) 주변에 위치한 복수의 정상 AP(10)의 비콘 프레임이 수신되는 기준 거리를 의미한다.Here, the plurality of normal APs 10 refers to a set of normal APs located in the vicinity of the user terminal 30, and the generated beacon frame is received by the user terminal 30. That is, the predetermined distance means a reference distance at which a plurality of normal APs 10 located around the user terminal 30 receive the beacon frame.

각각의 정상 AP(10)는 비콘 프레임을 일정한 주기로 발생시키며, 통신부(100)는 이와 같이 발생된 정상 AP(10)의 비콘 프레임을 각각 수신할 수 있다. 이 때, 비콘 프레임은 AP를 식별하기 위한 식별정보를 포함하며, 식별정보는 예를 들어, SSID, IP 주소, MAC 주소 중 적어도 하나를 포함할 수 있으나, 이에 한정되는 것은 아니다. Each of the normal APs 10 generates a beacon frame at a predetermined period, and the communication unit 100 can receive the beacon frame of the normal AP 10 generated as described above. At this time, the beacon frame includes identification information for identifying the AP, and the identification information may include, for example, at least one of an SSID, an IP address, and a MAC address, but is not limited thereto.

다음으로, 제어부(200)는 사전 분석 단계에서, 복수의 정상 AP에 포함된 각각의 정상 AP에 대해, 주기차 확률값을 산출한다(520). 예를 들어, 복수의 정상 AP 중, 제1 AP의 비콘 프레임과 제1 AP를 제외한 나머지 AP의 비콘 프레임의 주기차를 이용하여, 제1 AP의 주기차 확률값을 산출할 수 있으며, 이에 대한 구체적인 설명은 도 11을 참조하여 상술하기로 한다.Next, in the pre-analysis step, the control unit 200 calculates a period difference probability value for each normal AP included in the plurality of normal APs (520). For example, it is possible to calculate the period difference probability value of the first AP using the period difference between the beacon frame of the first AP and the beacon frame of the remaining AP except for the first AP among the plurality of normal APs, The description will be made in detail with reference to Fig.

도 11은 주기차 확률값의 산출 방법을 설명하기 위한 흐름도이다.11 is a flowchart for explaining a method of calculating the period difference probability value.

도 11을 참조하면, 제어부(200)는 제 1 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 나머지 AP의 비콘 프레임과의 주기차를 제1 주기차로 산출한다(521).Referring to FIG. 11, the controller 200 calculates a period difference between the beacon frame of the remaining APs received within a predetermined period of time based on the period of the beacon frame of the first AP, by a first periodic difference (521).

구체적으로, 제어부(200)는 제1 AP를 제외한 나머지 AP 중, 제 1 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 AP 즉, 제1 시간범위 AP를 검출할 수 있다. 그리고 제어부(200)는 제1 AP의 비콘 프레임과 제1 시간범위 AP의 비콘 프레임의 주기차인 제1 주기차를 산출할 수 있다. Specifically, the controller 200 can detect an AP, i.e., a first time range AP, which is received within a predetermined time, based on the period of the beacon frame of the first AP among the remaining APs except for the first AP. The controller 200 may calculate a first period difference which is a period difference between the beacon frame of the first AP and the beacon frame of the first time range AP.

제1 주기차가 산출되면, 제어부(200)는 제1 주기차의 평균 및 표준편차를 제1 AP의 주기차 확률값으로 산출한다(522).When the first period difference is calculated, the controller 200 calculates the average and standard deviation of the first period difference as the period difference probability value of the first AP (522).

이 때, 제어부(200)는 하기의 [수학식 1]를 이용하여, 제1 주기차의 평균을 산출할 수 있다.
At this time, the control unit 200 can calculate the average of the first periodic difference using the following equation (1).

[수학식 1] [Equation 1]

Figure 112017014743977-pat00006

Figure 112017014743977-pat00006

여기서, K는 제1 AP의 비콘 프레임 집합, Mk∩AI는 제1 시간범위 AP의 비콘 프레임 집합, 및 μI 는 제1 주기차의 평균을 각각 의미한다.Here, K denotes a set of beacon frames of the first AP, Mk∩AI denotes a set of beacon frames of the first time range AP, and I denotes an average of the first periodic difference.

또한, 제어부(200)는 하기의 [수학식 2]를 이용하여, 제1 주기차의 표준편차를 산출할 수 있다.
Further, the control unit 200 can calculate the standard deviation of the first periodic difference using the following equation (2).

[수학식 2] &Quot; (2) "

Figure 112017014743977-pat00007

Figure 112017014743977-pat00007

여기서, K는 제1 AP의 비콘 프레임 집합, Mk∩AI는 제1 시간범위 AP의 비콘 프레임 집합, μI 는 제1 주기차의 평균, 및 σI 는 제1 주기차의 표준편차를 각각 의미한다.Where K is the beacon frame set of the first AP, Mk∩AI is the beacon frame set of the first time range AP, μ I is the mean of the first periodic difference, and σ I is the standard deviation of the first periodic difference, respectively do.

제어부는 상술한 바와 동일하게, 제1 AP 외 나머지 AP에 대해서도 주기차 확률값을 각각 산출할 수 있으며, 사전 분석 단계에서 산출된 주기차 확률값은 저장부(300)에 저장되어 실시간 판단 단계에서 이용될 수 있다.The control unit can calculate the period difference probability values for the APs other than the first AP, and the period difference probability values calculated in the pre-analysis step are stored in the storage unit 300 and used in the real- .

다시 도 10을 참조하면, 제어부(200)는 실시간 판단 단계에서, 접속 대상인 제2 AP의 식별정보가 동일한 제1 AP의 주기차 확률값을 이용하여, 제2 AP가 로그 AP인지 여부를 판단한다(530). 이에 대한 구체적인 설명은 도 12를 참조하여 상술하기로 한다. Referring back to FIG. 10, the controller 200 determines whether the second AP is a log AP using the period difference probability value of the first AP having the same identification information of the second AP to be connected 530). A detailed description thereof will be described in detail with reference to FIG.

도 12는 주기차 에러값의 산출 및 로그 AP 판단 방법을 설명하기 위한 흐름도이다.12 is a flowchart for explaining the calculation of the periodic difference error value and the log AP determination method.

도 12를 참조하면, 제어부(200)는 제2 AP의 식별정보와 복수의 정상 AP의 식별정보를 비교판단하여, 복수의 정상 AP 중 제2 AP의 식별정보와 동일한 식별정보를 갖는 정상 AP를 검출할 수 있으며(531). 이 때, 검출된 정상 AP가 제1 AP인 것으로 가정할 수 있다.Referring to FIG. 12, the controller 200 compares the identification information of the second AP with the identification information of the plurality of normal APs and determines a normal AP having the same identification information as the identification information of the second AP among the plurality of normal APs (531). At this time, it can be assumed that the detected normal AP is the first AP.

그 다음, 제어부(200)는 제2 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 나머지 AP의 비콘 프레임과의 주기차를 제2 주기차로 산출한다(532).Next, the controller 200 calculates the period difference between the beacon frame of the remaining APs received within a predetermined period of time based on the period of the beacon frame of the second AP, by a second periodic difference (532).

구체적으로, 제어부(200)는 제1 AP를 제외한 나머지 AP 중, 제 2 AP의 비콘 프레임의 주기를 기준으로, 소정 시간 내에 수신되는 AP 즉, 제2 시간범위 AP를 검출할 수 있다. 그리고 제어부(200)는 제2 AP의 비콘 프레임과 제2 시간범위 AP의 비콘 프레임의 주기차인 제2 주기차를 산출할 수 있다. Specifically, the control unit 200 can detect an AP, i.e., a second time range AP, which is received within a predetermined time, based on the period of the beacon frame of the second AP among the remaining APs except for the first AP. The controller 200 may calculate a second period difference that is a period difference between the beacon frame of the second AP and the beacon frame of the second time range AP.

그리고 제어부(200)는 제1 AP의 주기차 확률값을 이용하여, 제2 주기차의 에러값인 주기차 에러값을 산출한다(533). Then, the controller 200 calculates a periodic difference error value, which is an error value of the second periodic difference, using the periodic difference probability value of the first AP (533).

이 때, 제어부(200)는 마할라노비스 거리(Mahalanobis Distance)를 이용하여, 주기차 에러값을 산출할 수 있다. 예를 들어, 제어부(200)는 하기의 [수학식 3]을 이용하여, 주기차 에러값을 산출할 수 있다.
At this time, the control unit 200 can calculate the periodic difference error value using the Mahalanobis distance (Mahalanobis distance). For example, the control unit 200 can calculate the periodic error value using the following equation (3).

[수학식 3]&Quot; (3) "

Figure 112017014743977-pat00008

Figure 112017014743977-pat00008

여기서, ka는 제2 AP의 비콘 프레임, j는 제2 시간범위 AP의 비콘 프레임, μI 는 제1 주기차의 평균, σI 는 제1 주기차의 표준편차, 및 Dj(ka)는 제2주기차의 에러값을 각각 의미한다.Here, ka is the beacon frame of the second AP, j is the beacon frame of the second time range AP, μ I is the average of the first periodic difference, σ I is the standard deviation of the first periodic difference, and Dj (ka) And the error value of the two-period difference, respectively.

또른, 제어부(200)는 하기의 [수학식 4]를 이용하여, 주기차 에러값을 산출할 수 있다.
Alternatively, the control unit 200 can calculate the periodic error value using the following equation (4).

[수학식 4]&Quot; (4) "

Figure 112017014743977-pat00009

Figure 112017014743977-pat00009

여기서, ka는 제2 AP의 비콘 프레임, J(ka)는 제2 시간범위 AP의 비콘 프레임 집합, Dj(ka)는 제2 주기차의 에러값, 및 D(ka)는 주기차 에러값을 각각 의미한다.Where ka is the beacon frame of the second AP, J (ka) is the beacon frame set of the second time range AP, Dj (ka) is the error value of the second periodic difference, and D (ka) Respectively.

제어부(200)는 주기차 에러값을 이용하여, 접속 대상인 제2 AP 가 로그 AP인지 여부를 판단한다. 제어부(200)는 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 산출하고, 산출된 횟수가 소정의 기준 횟수 이상이 되는지 여부를 판단한다(534). The control unit 200 determines whether the second AP to be connected is a log AP by using the period difference error value. The control unit 200 calculates the number of times that the periodic error value becomes equal to or larger than the predetermined reference size, and determines whether the calculated number is equal to or greater than a predetermined reference number (534).

기준 횟수 이상이 되는 경우에는, 제어부(200)는 제2 AP를 로그 AP로 판단한다(535).If the number of times is equal to or greater than the reference number, the controller 200 determines the second AP as a log AP (535).

또한, 기준 횟수 미만이 되는 경우에는, 제어부(200)는 제2 AP를 정상 AP로 판단한다(536).
If the number of times is less than the reference number, the controller 200 determines that the second AP is a normal AP (step 536).

상술한 로그 AP 검출 장치 및 방법에 의하면, 사용자 단말 주변에 위치한 복수의 정상 AP의 비콘 프레임 주기를 사전에 분석하고, 접속하고자 하는 AP가 로그 AP인지 여부를 판단할 때에는 분석 결과를 바로 이용할 수 있다. 분석 결과를 이용함으로써, 로그 AP인지 여부를 실시간으로 판단 및 검출할 수 있다. According to the above-described log AP detecting apparatus and method, the beacon frame period of a plurality of normal APs located in the vicinity of the user terminal is analyzed in advance, and the analysis result can be directly used when it is determined whether the AP to be accessed is a log AP . By using the analysis result, it is possible to judge and detect whether the AP is a log AP in real time.

또한, 비콘 프레임 주기차를 산출하여 로그 AP를 검출함으로써, 사용자 단말 외에 별도의 하드웨어를 마련하거나, AP 프로토콜의 수정하는 등의 작업 없이 용이하게 로그 AP의 검출이 가능하다.
Further, by detecting the log AP by calculating the beacon frame period difference, it is possible to easily detect the log AP without preparing other hardware besides the user terminal, or modifying the AP protocol.

이상으로 예시된 도면을 참조로 하여, 로그 AP 검출 장치 및 방법의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며, 한정적이 아닌 것으로 이해해야만 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, It will be understood that the invention can be practiced in a specific form. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.

50 : 로그 AP 검출 장치
100 : 통신부
200 : 제어부
210 : 식별정보 판단부
220 : 주기차 확률값 산출부
230 : 주기차 에러값 산출부
240 : 로그 AP 판단부
300 : 저장부50: Log AP detection device
100:
200:
210: Identification information judgment unit
220: Period difference probability value calculating section
230: Periodic difference error value calculation unit
240: Log AP determination unit
300:

Claims (12)

사용자 단말의 소정의 거리 내에 위치한 복수의 정상 AP로부터 비콘 프레임을 수신하는 통신부;
상기 복수의 정상 AP에 포함된 제1 AP의 비콘 프레임과 나머지 AP의 비콘 프레임의 주기차를 이용하여, 상기 제1 AP에 대한 주기차 확률값을 산출하는 주기차 확률값 산출부; 및
상기 사용자 단말의 접속 대상인 제2 AP와 식별정보가 동일한 상기 제1 AP의 주기차 확률값을 이용하여, 상기 제2 AP가 로그 AP인지 여부를 판단하는 로그 AP 판단부;
를 포함하는 로그 AP 검출 장치.
A communication unit for receiving a beacon frame from a plurality of normal APs located within a predetermined distance of the user terminal;
A period difference probability value calculation unit for calculating a period difference probability value for the first AP using the period difference between the beacon frame of the first AP and the beacon frame of the remaining APs included in the plurality of normal APs; And
A log AP determining unit for determining whether the second AP is a log AP using the period difference probability value of the first AP having the same identification information as a connection target of the user terminal;
And a log AP detection unit.
제 1 항에 있어서,
상기 주기차 확률값 산출부는,
상기 나머지 AP 중, 상기 제1 AP의 비콘 프레임의 주기를 기준으로, 소정의 시간 내에 수신되는 AP인 제1 시간범위 AP를 검출하는 로그 AP 검출 장치.
The method according to claim 1,
The period difference probability value calculation unit calculates,
And detects a first time range AP that is an AP to be received within a predetermined time based on a period of the beacon frame of the first AP among the remaining APs.
제 2 항에 있어서,
상기 주기차 확률값 산출부는,
상기 제1 AP의 비콘 프레임과 상기 제1 시간범위 AP의 비콘 프레임의 주기차인 제1 주기차를 산출하는 로그 AP 검출 장치.
3. The method of claim 2,
The period difference probability value calculation unit calculates,
And calculates a first period difference that is a periodic difference between a beacon frame of the first AP and a beacon frame of the first time range AP.
제 3 항에 있어서,
상기 주기차 확률값 산출부는,
상기 제1 주기차의 평균 및 표준편차를 상기 제1 AP의 주기차 확률값으로 산출하는 로그 AP 검출 장치.
The method of claim 3,
The period difference probability value calculation unit calculates,
And calculates the average and standard deviation of the first periodic difference as the periodic difference probability value of the first AP.
제 1 항에 있어서,
상기 제2 AP의 식별정보와 비교판단하여, 상기 복수의 정상 AP 중에서, 상기 제2 AP의 식별정보와 동일한 식별정보를 갖는 상기 제1 AP를 검출하는 식별정보 판단부;
를 더 포함하는 로그 AP 검출 장치.
The method according to claim 1,
An identification information determination unit for comparing the identification information of the second AP with the identification information of the second AP and detecting the first AP having the same identification information as the identification information of the second AP among the plurality of normal APs;
Further comprising:
제 1 항에 있어서,
상기 제2 AP의 비콘 프레임과 상기 나머지 AP의 비콘 프레임의 주기차 및 상기 제1 AP의 주기차 확률값을 이용하여, 상기 로그 AP인지 여부의 판단 지표인 주기차 에러값을 산출하는 주기차 에러값 산출부;
를 더 포함하는 로그 AP 검출 장치.
The method according to claim 1,
Calculating a periodic difference error value, which is an index for determining whether the AP is the log AP, using the period difference between the beacon frame of the second AP and the beacon frame of the remaining AP and the period difference probability value of the first AP; A calculating unit;
Further comprising:
제 6 항에 있어서,
상기 주기차 에러값 산출부는,
상기 나머지 AP 중, 상기 제2 AP의 비콘 프레임의 주기를 기준으로, 소정의 시간 내에 수신되는 AP인 제2 시간범위 AP를 검출하는 로그 AP 검출 장치.
The method according to claim 6,
Wherein the periodic error value calculator comprises:
And detects a second time range AP that is an AP that is received within a predetermined time based on a period of the beacon frame of the second AP among the remaining APs.
제 7 항에 있어서,
상기 주기차 에러값 산출부는,
상기 제2 AP의 비콘 프레임과 상기 제2 시간범위 AP의 비콘 프레임의 주기차인 제2 주기차를 산출하는 로그 AP 검출 장치.
8. The method of claim 7,
Wherein the periodic error value calculator comprises:
And calculates a second period difference that is a period difference between the beacon frame of the second AP and the beacon frame of the second time range AP.
제 8 항에 있어서,
상기 주기차 에러값 산출부는,
상기 제1 AP의 주기차 확률값을 이용하여, 상기 제2 주기차의 에러값을 산출하고, 상기 제2 주기차의 에러값 평균을 상기 주기차 에러값으로 산출하는 로그 AP 검출 장치.
9. The method of claim 8,
Wherein the periodic error value calculator comprises:
Calculating an error value of the second periodic difference using the periodic difference probability value of the first AP and calculating an average of error values of the second periodic period as the periodic error value.
제 6 항에 있어서,
상기 주기차 에러값 산출부는,
하기의 [수학식 3]를 이용하여, 상기 주기차 에러값을 산출하는 로그 AP 검출 장치.

[수학식 3]
Figure 112017014743977-pat00010


여기서, ka는 제2 AP의 비콘 프레임, j는 제2 시간범위 AP의 비콘 프레임, μI 는 제1 주기차의 평균, σI 는 제1 주기차의 표준편차, 및 Dj(ka)는 제2주기차의 에러값을 각각 의미한다.
The method according to claim 6,
Wherein the periodic error value calculator comprises:
And calculates the periodic error value using the following equation (3).

&Quot; (3) "
Figure 112017014743977-pat00010


Here, ka is the beacon frame of the second AP, j is the beacon frame of the second time range AP, μ I is the average of the first periodic difference, σ I is the standard deviation of the first periodic difference, and Dj (ka) And the error value of the two-period difference, respectively.
제 6 항에 있어서,
상기 로그 AP 판단부는,
상기 주기차 에러값의 크기가 소정의 기준 크기 이상이 되는 횟수를 산출하고,상기 횟수가 소정의 기준 횟수 이상이 되는 경우, 상기 제2 AP를 로그 AP로 판단하는 로그 AP 검출 장치.
The method according to claim 6,
The log AP determination unit may determine,
Calculates a number of times that the periodic error value becomes greater than or equal to a predetermined reference size, and determines the second AP as a log AP when the number of times becomes equal to or greater than a predetermined reference number.
사용자 단말의 소정의 거리 내에 위치한 복수의 정상 AP로부터 비콘 프레임을 수신하고;
상기 복수의 정상 AP에 포함된 제1 AP의 비콘 프레임과 나머지 AP의 비콘 프레임의 주기차를 이용하여, 상기 제1 AP에 대한 주기차 확률값을 산출하고; 및
상기 사용자 단말의 접속 대상인 제2 AP와 식별정보가 동일한 상기 제1 AP의 주기차 확률값을 이용하여, 상기 제2 AP가 로그 AP인지 여부를 판단하는;
것을 포함하는 로그 AP 검출 방법.Receive a beacon frame from a plurality of normal APs located within a predetermined distance of the user terminal;
Calculating a periodic difference probability value for the first AP using the difference between the beacon frame of the first AP and the beacon frame of the remaining APs included in the plurality of normal APs; And
Determining whether the second AP is a log AP using the period difference probability value of the first AP having the same identification information as that of a second AP to which the user terminal is connected;
Gt; a < / RTI > log AP detection method.
KR1020170019580A 2017-02-13 2017-02-13 Apparatus and Method for Detecting Rogue AP KR101836481B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170019580A KR101836481B1 (en) 2017-02-13 2017-02-13 Apparatus and Method for Detecting Rogue AP

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170019580A KR101836481B1 (en) 2017-02-13 2017-02-13 Apparatus and Method for Detecting Rogue AP

Publications (1)

Publication Number Publication Date
KR101836481B1 true KR101836481B1 (en) 2018-03-09

Family

ID=61727927

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170019580A KR101836481B1 (en) 2017-02-13 2017-02-13 Apparatus and Method for Detecting Rogue AP

Country Status (1)

Country Link
KR (1) KR101836481B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022065573A1 (en) * 2020-09-23 2022-03-31 (주)노르마 Bluetooth man-in-the-middle attack detection system
KR102389909B1 (en) * 2020-10-16 2022-04-21 주식회사 케이티 Apparatus and method for detecting abnormality of wireless network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022065573A1 (en) * 2020-09-23 2022-03-31 (주)노르마 Bluetooth man-in-the-middle attack detection system
KR102389909B1 (en) * 2020-10-16 2022-04-21 주식회사 케이티 Apparatus and method for detecting abnormality of wireless network

Similar Documents

Publication Publication Date Title
US11057948B2 (en) Method and apparatus for connecting to wireless access point
US20200309894A1 (en) Vision and radio fusion based precise indoor localization
WO2019096008A1 (en) Identification method, computer device, and storage medium
KR102072095B1 (en) Identity authentication methods, devices, and systems
US20230224232A1 (en) System and method for extracting identifiers from traffic of an unknown protocol
US11652838B2 (en) Wireless communications access security system and method
US20140282868A1 (en) Method And Apparatus To Effect Re-Authentication
US9826365B2 (en) Method for deciding location of target device and electronic device thereof
US9549322B2 (en) Methods and systems for authentication of a communication device
CN105281906A (en) Safety authentication method and device
CN108092970B (en) Wireless network maintenance method and equipment, storage medium and terminal thereof
US11429698B2 (en) Method and apparatus for identity authentication, server and computer readable medium
JP2008125076A (en) Radio frequency identification system
KR101836481B1 (en) Apparatus and Method for Detecting Rogue AP
US20180242157A1 (en) Wireless communication apparatus, wireless communication system, evaluation method, and non-transitory computer readable medium storing program
US9991975B2 (en) Method and device for triggering specified operation
EP3345361B1 (en) Communication link establishment using a global unique identifier
CN114005260A (en) Article omission prompting method and device, electronic equipment and readable storage medium
US20180124018A1 (en) Coordinated application firewall
Gurulian et al. When theory and reality collide: Demystifying the effectiveness of ambient sensing for NFC-based proximity detection by applying relay attack data
CN110869910A (en) Search resource recommendation method and related product
CN113515743B (en) Identification method and device for rebound shell process call chain and electronic device
US11876810B2 (en) Method of detecting malicious node in bus network system and node apparatus
EP4044646A1 (en) Security appliance for protecting power saving wireless devices against attack
US11696138B2 (en) Security appliance for protecting power-saving wireless devices against attack

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant