KR101922594B1 - 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법 - Google Patents

상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법 Download PDF

Info

Publication number
KR101922594B1
KR101922594B1 KR1020160158068A KR20160158068A KR101922594B1 KR 101922594 B1 KR101922594 B1 KR 101922594B1 KR 1020160158068 A KR1020160158068 A KR 1020160158068A KR 20160158068 A KR20160158068 A KR 20160158068A KR 101922594 B1 KR101922594 B1 KR 101922594B1
Authority
KR
South Korea
Prior art keywords
information
state
status information
status
router
Prior art date
Application number
KR1020160158068A
Other languages
English (en)
Other versions
KR20180059608A (ko
Inventor
류동주
정동섭
Original Assignee
(주)휴네시온
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)휴네시온 filed Critical (주)휴네시온
Priority to KR1020160158068A priority Critical patent/KR101922594B1/ko
Publication of KR20180059608A publication Critical patent/KR20180059608A/ko
Application granted granted Critical
Publication of KR101922594B1 publication Critical patent/KR101922594B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 유무선 공유기의 상태정보를 주기적으로 모니터링하고 모니터링된 상태정보를 정상 상태정보와 비교 분석함으로써 유무선 공유기가 정상 상태 또는 비정상 상태인지 여부를 판단하고 비정상 상태인 경우 그에 따른 처리를 수행하는 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법에 대한 것이다.
본 발명에 따른 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기는, 상태정보를 주기적으로 모니터링하고 모니터링한 상태정보를 분석하여 동작 상태의 이상 여부를 판단하는 유무선 공유기로서, 유무선 공유기의 상태정보를 주기적으로 수집하는 상태정보 수집부, 수집된 상태정보를 분석하여 유무선 공유기의 상태를 분석하는 상태정보 분석부 및 유무선 공유기의 상태가 비정상 상태인 경우 보안 정책을 실행하는 보안 처리부를 포함하는 상태 탐지부를 포함하는 것을 특징으로 한다.

Description

상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법{WIRE AND WIRELESS ACCESS POINT FOR DETECTING STATUS BY MONITORING STATUS INFORMATION, APPARATUS FOR DETECTING STATUS OF WIRE AND WIRELESS ACCESS POINT AND METHOD THEREOF}
본 발명은 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법에 대한 것으로, 더욱 상세하게는 유무선 공유기의 상태정보를 주기적으로 모니터링하고 모니터링된 상태정보를 정상 상태정보와 비교 분석함으로써 유무선 공유기가 정상 상태 또는 비정상 상태인지 여부를 판단하고 비정상 상태인 경우 그에 따른 처리를 수행하는 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법에 대한 것이다.
최근 들어 모바일 디바이스의 사용이 빈번해지고 스마트 TV나 셋톱박스 등이 가정 내에 보편적으로 사용됨에 따라 대부분의 사용자 단말기들이 네트워크를 통해 서비스를 이용할 수 있는 형태로 진화하고 있다. 이에 따라, 사무실 뿐만 아니라 가정 내에서도 다양한 단말기들을 서로 연결하거나 외부 인터넷 망에 연결하기 위하여 유무선 공유기를 사용하고 있는 현실이다.
한편, 이와 같이 대부분의 사용자 단말기들이 유무선 네트워크에 연결되고 사용자 단말기에 중요한 사용자 정보(개인 정보, 카드와 같은 결제 정보 등)가 저장됨에 따라, 네트워크를 통해 사용자 단말기에 접근하여 사용자 단말기의 정상 동작을 방해하거나 사용자 정보를 빼 내가는 악성 행위 역시 다양화되어 가고 있는 추세이다.
이러한 악성 행위를 차단하기 위하여 스마트 폰이나 컴퓨터, 노트북 등에 다양한 백신 프로그램이나 방화벽 등을 설치하고는 있으나, 유무선 공유기에 연결되는 사용자 단말기가 다양화하다 보니 보안에 취약한 사용자 단말기가 발생하게 된다. 이로 인해, 해당 단말기가 악성 행위에 노출될 경우 네트워크를 통해 서로 연결된 댁내의 다른 사용자 단말기 역시 위험에 노출될 수 있는 문제점이 있었다.
한편, 사용자 단말기가 외부의 네트워크에 연결하기 위해서는 유무선 공유기를 통해 연결되어야 하는데, 통상의 악성 행위는 외부의 네트워크에서 전파된다. 따라서 악성 데이터가 댁내 망 등 내부 네트워크로 유입되기 이전에 유무선 공유기 단에서 이러한 악성 행위를 차단하는 것이 가장 효과적이라 할 것이다. 그러나 종래의 유무선 공유기는 단순히 패킷의 송수신 기능만을 수행할 뿐 유무선 공유기를 통한 악성 행위가 이루어지는 것을 탐지하고 이에 대처하기 위한 기능이 제대로 갖춰지지 않은 문제점이 있었다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 제시된 것으로, 본 발명의 목적은 유무선 공유기의 상태정보를 주기적으로 모니터링 및 수집하고 수집된 상태정보를 정상 상태정보와 비교하여 현재 유무선 공유기가 정상 동작하고 있는지 여부를 탐지하고 비정상 상태일 경우 이에 대한 조치를 할 수 있는 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법을 제공하는 것이다.
본 발명의 다른 목적은 유무선 공유기가 비정상 상태로 동작하는 경우 이를 출력장치를 통해 출력함으로써 사용자가 쉽게 인지할 수 있도록 하는 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 서버와 연동하여 유무선 공유기의 상태정보를 보다 효과적으로 분석하여 유무선 공유기의 동작 상태를 정확히 판단하고, 필요한 보안 정책 등을 주기적으로 업데이트하여 다양한 유형의 공격에 의한 유무선 공유기의 이상 동작을 정확히 탐지할 수 있는 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법을 제공하는 것이다.
상기의 목적을 달성하기 위하여, 본 발명에 따른 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기는, 상태정보를 주기적으로 모니터링하고 모니터링한 상태정보를 분석하여 동작 상태의 이상 여부를 판단하는 유무선 공유기로서, 유무선 공유기의 상태정보를 주기적으로 수집하는 상태정보 수집부, 수집된 상태정보를 분석하여 유무선 공유기의 상태를 분석하는 상태정보 분석부 및 유무선 공유기의 상태가 비정상 상태인 경우 보안 정책을 실행하는 보안 처리부를 포함하는 상태 탐지부를 포함하는 것을 특징으로 한다.
바람직하게는, 상태정보가, 유무선 공유기의 시스템 자원에 대한 상태정보인 시스템 상태정보, 유무선 공유기의 네트워크 상태에 대한 상태정보인 네트워크 상태정보 및 유무선 공유기의 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함한다.
상태정보 분석부는, 상태정보 수집부가 수집한 상태정보를 유무선 공유기의 정상 동작 상태에 대하여 정의된 정상 상태정보와 비교하여 유무선 공유기의 상태를 판단한다. 이때, 상태정보 분석부는, 수집한 상태정보가 정상 상태정보 범위 내인 경우 유무선 공유기의 상태를 정상 상태로 판단하고, 수집한 상태정보가 정상 상태정보 범위를 벗어나는 경우 유무선 공유기의 상태를 비정상 상태로 판단한다. 또한, 상태 탐지부는, 수집한 상태정보가 정상 상태정보 범위 내인 경우, 수집한 상태정보를 정상 상태정보에 반영하여 정상 상태정보를 업데이트하는 상태정보 업데이트부를 더 포함한다. 한편, 보안 처리부는, 유무선 공유기가 비정상 상태인 경우 유무선 공유기를 초기화한다.
또한, 상태 탐지부는, 원격의 상태 탐지 서버에 수집한 상태정보를 전송하고 상태정보를 분석한 결과를 수신한다.
또한, 상기의 다른 목적을 달성하기 위하여, 본 발명에 따른 유무선 공유기의 상태 탐지 장치는, 유무선 공유기와 연결되어 유무선 공유기의 상태정보를 주기적으로 모니터링하고 모니터링한 상태정보를 분석하여 유무선 공유기의 동작 상태의 이상 여부를 판단하는 유무선 공유기의 상태 탐지 장치로서, 유무선 공유기의 상태정보를 주기적으로 수집하는 상태정보 수집부, 수집된 상태정보를 분석하여 유무선 공유기의 상태를 분석하는 상태정보 분석부 및 유무선 공유기의 상태가 비정상 상태인 경우 보안 정책을 실행하는 보안 처리부를 포함하는 것을 특징으로 한다.
바람직하게는, 상태정보가, 유무선 공유기의 시스템 자원에 대한 상태정보인 시스템 상태정보, 유무선 공유기의 네트워크 상태에 대한 상태정보인 네트워크 상태정보 및 유무선 공유기의 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함한다.
또한, 상태정보 분석부는, 수집한 상태정보를 유무선 공유기의 정상 동작 상태에 대하여 정의된 정상 상태정보와 비교하고, 수집한 상태정보가 정상 상태정보 범위 내인 경우 유무선 공유기의 상태를 정상 상태로 판단하고, 수집한 상태정보가 정상 상태정보 범위를 벗어나는 경우 유무선 공유기의 상태를 비정상 상태로 판단한다.
또한, 상태 탐지 장치는, 원격의 상태 탐지 서버에 수집한 상태정보를 전송하고 상태정보를 분석한 결과를 수신하고, 유무선 공유기가 비정상 상태인 경우 상태 탐지 서버와 연동하여 유무선 공유기를 초기화한다.
또한, 상태 탐지 장치는, 유무선 공유기와의 연결 및 데이터 송수신 인터페이스를 제공하는 인터페이스부를 더 포함하고, 인터페이스가 USB 방식 및 SoC 방식 중 하나 이상을 사용한다.
또한, 상기의 다른 목적을 달성하기 위하여, 본 발명에 따른 상태정보 모니터링을 통한 유무선 공유기의 상태 탐지 방법은, 유무선 공유기의 상태정보를 주기적으로 모니터링하고 모니터링한 상태정보를 분석하여 유무선 공유기의 동작 상태의 이상 여부를 판단하는 유무선 공유기의 상태 탐지 방법으로서, 유무선 공유기의 상태정보를 주기적으로 수집하는 단계, 수집된 상태정보를 유무선 공유기의 정상 동작 상태에 대하여 정의된 정상 상태정보와 비교하여 유무선 공유기의 상태를 판단하는 단계, 그리고 유무선 공유기의 상태가 비정상 상태인 경우 보안 정책을 실행하는 단계를 포함하는 것을 특징으로 한다.
바람직하게는, 상태정보가, 유무선 공유기의 시스템 자원에 대한 상태정보인 시스템 상태정보, 유무선 공유기의 네트워크 상태에 대한 상태정보인 네트워크 상태정보 및 유무선 공유기의 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함한다.
또한, 유무선 공유기의 상태를 판단하는 단계는, 수집한 상태정보가 정상 상태정보 범위 내인 경우 유무선 공유기의 상태를 정상 상태로 판단하는 단계와, 수집한 상태정보가 정상 상태정보 범위를 벗어나는 경우 유무선 공유기의 상태를 비정상 상태로 판단하는 단계를 포함한다.
이상 설명한 바대로, 본 발명에 따른 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법은 유무선 공유기의 상태정보를 주기적으로 모니터링 및 분석함으로써 유무선 공유기가 악성행위 등에 의해 이상 동작하는 것을 신속하게 탐지 및 대응할 수 있다.
또한, 유무선 공유기의 동작 상태에 대한 정보를 출력장치를 통해 출력함으로써 사용자가 유무선 공유기의 상태를 쉽게 파악할 수 있다.
또한, 서버와 연동하여 유무선 공유기의 상태정보를 전송하고 분석함으로써 유무선 공유기의 상태에 대하여 보다 다양하고 정확한 분석이 가능하다.
또한, 서버로부터 다양한 보안 정책 등을 주기적으로 업데이트하여 다양하게 변화하는 악성행위에 효과적으로 대응할 수 있다.
또한, 본 발명에 따른 장치를 유무선 공유기 내에 직접 구성하거나, 기존 공유기에 SoC 또는 USB 형태로 연결할 수 있으므로 다양한 유형의 유무선 공유기에 적용 가능하다.
도 1은 본 발명의 일 실시예에 따른 유무선 공유기의 구성도이다.
도 2a 및 도 2b는 본 발명에 따른 유무선 공유기의 상태정보의 예를 도시한 도이다.
도 3은 본 발명의 다른 실시예에 따른 유무선 공유기의 상태 탐지 장치의 구성도이다.
도 4는 본 발명에 따른 유무선 공유기의 상태 탐지 과정의 흐름도이다.
이하에서는, 첨부한 도면을 참조하여 본 발명의 장점, 특징 및 바람직한 실시예에 대하여 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 유무선 공유기의 구성도로서, 유무선 공유기(100)의 상태를 탐지하는 상태 탐지부(200)가 유무선 공유기의 내부에 하나의 구성요소로서 일종의 에이전트(Agent) 형태로 구성된 실시예를 도시하였다. 여기서 에이전트란 특정 목적에 대하여 작업을 수행하는 자율적 프로세스로서, OS/네트워크 등의 안에서 동작할 수 있다. 또한, 에이전트는 다른 에이전트와 정보 교환 및 통신을 통해 문제를 해결할 수 있다. 따라서, 본 발명에 따른 상태 탐지부(200)는 유무선 공유기(100)의 하나의 구성요소로서 구성되지만 유무선 공유기의 다른 구성요소와는 독립적으로 동작하여 유무선 공유기의 상태정보를 수집하고 이를 분석한다. 이를 위해 상태 탐지부(200)는 필요한 기능 처리부 및 데이터베이스를 포함할 수 있으며, 유무선 공유기(100)의 각 구성부와는 데이터 버스(data bus)와 같은 장치 내부 데이터 통신 인터페이스를 통해 데이터를 송수신할 수 있다. 한편, 상태 탐지부(200)는 프로그램 또는 S/W(Software) 형태로 구성되거나 회로 또는 칩셋 등 H/W(Hardware) 형태로 구성될 수도 있으며, S/W와 H/W가 복합된 형태로 구성될 수도 있다.
유무선 공유기(100)는 유선 또는 무선으로 연결된 단말기에 IP를 할당하고 외부 네트워크에 연결하여 데이터 패킷을 송수신하는 기능을 수행한다. 유무선 공유기(100)에 연결되는 단말기는 스마트 폰, 태블릿 PC, 스마트 워치 등의 모바일 디바이스, 스마트 TV, 셋톱박스, 노트북, 데스크탑 컴퓨터 등 네트워크에 연결되어 관련 기능을 제공할 수 있는 다양한 단말기를 포함한다. 유무선 공유기(100)는 통신부(110), 제어부(120) 및 저장부(130)를 포함한다.
통신부(110)는 연결된 단말기에 IP를 할당하고 외부 네트워크를 통신 연결하여 데이터를 송수신할 수 있도록 한다.
제어부(120)는 유무선 공유기(100)의 각 구성부의 동작을 제어한다. 구체적으로, 제어부(120)는 통신부(110)의 IP 할당 및 데이터 송수신 동작을 제어하거나, 제조사 서버(미도시) 또는 업데이트 서버(미도시) 등과 연동하여 유무선 공유기의 펌웨어나 S/W(Software)를 업데이트한다. 또한, 제어부(120)는 펌웨어의 무결성 및 위변조 여부를 검증함으로써 악성코드가 유입되거나 악성 펌웨어가 유무선 공유기에 설치되는 것을 방지할 수 있다. 펌웨어의 무결성 및 위변조 검증은 해쉬(Hash) 알고리즘, CRC 32(Cyclic Redundancy Check 32) 또는 전자서명을 이용한 인증 등 다양한 방법이 사용될 수 있다.
저장부(130)는 유무선 공유기(100)의 동작에 필요한 데이터, 펌웨어 또는 S/W 등을 저장한다.
한편, 도 1에서는 유무선 공유기(100)의 일부 구성만을 도시한 것으로, 이외에도 일반적인 유무선 공유기의 동작을 위한 구성이 포함될 수 있음은 물론이다.
상태 탐지부(200)는 상태정보 수집부(210), 상태정보 분석부(220), 보안 처리부(230) 및 제1 상태정보 데이터베이스(240)를 포함한다. 또한, 상태 탐지부(200)는 원격의 상태 탐지 서버(300)와 통신 연결될 수 있다. 이때, 상태 탐지부(200)는 유무선 공유기(100)의 통신부(110)를 통해 상태 탐지 서버(300)와 통신 연결 및 데이터를 송수신할 수 있다. 한편, 상태 탐지부(200)가 별도의 통신부를 구비하고 별도의 통신부를 통해 상태 탐지 서버(300)와 통신할 수도 있다.
상태정보 수집부(210)는 유무선 공유기(100) 내에서 발생하는 각종 외부 공격 및 내부 악성코드 감염에 의한 이상 동작을 확인하기 위해 시스템 자원 및 각종 변경 이력 등을 주기적으로 수집한다. 구체적으로, 상태정보 수집부(210)는 통신부(110) 및 제어부(120)로부터 다양한 이벤트 정보 및 데이터를 수신한다. 또한, 상태정보 수집부(210)는 주기적으로 유무선 공유기의 시스템 자원(CPU, 메모리, 저장공간)의 사용량 등을 주기적으로 모니터링하고, 통신부(110)를 통한 송수신 데이터 트래픽 등을 주기적으로 모니터링한다. 한편, 상태 탐지부(200), 특히 상태정보 수집부(210)는 유무선 공유기(100)의 CPU 종류 및 버전(예를 들어 인텔 Processor 계열, ARM 계열, MIPS 계열 등)에 호환성을 갖도록 구성되며, 데이터 형식, 즉 유무선 공유기 내부에서 프로그래밍되어 있는 정보 검색을 위한 동작도 수행한다. 상태정보 수집부(210)는 유무선 공유기(100) 내부에서 데이터 값을 추출하기 위하여 시스템 정보가 되는 CPU사용량과 메모리 사용량 등이 기록/저장된 디렉토리를 분석한다. 한편, 무선 시그널(signal) 중 정상적 시그널과 비정상적 시그널을 분석하기 위하여, 상태정보 수집부(210)는 AI(Artificial Intelligence) 및 머신러닝 기법을 이용하여 무선 시그널에 대한 데이터도 수집할 수 있다. 상태정보 수집부(210)에 의해 주기적으로 수집되는 상태정보는 상태정보 분석부(220)로 제공되며 제1 상태정보 데이터베이스(240)에 현재 상태정보로 저장된다. 한편, 상태정보 수집부(210)에 의해 수집된 상태정보는 상태 탐지 서버(300)로 전송될 수도 있다.
한편, 상태정보 수집부(210)에 의해 수집되는 상태정보는 시스템 및 네트워크 상태정보와 보안 이벤트 정보를 포함할 수 있다. 상태정보는 도 2a 및 도 2b를 참조하여 설명한다. 도 2a 및 도 2b는 본 발명에 따른 유무선 공유기의 상태정보의 예를 도시한 도로서, 도 2a는 시스템 및 네트워크 상태정보의 예를 도시한 도이고, 도 2b는 보안 이벤트 정보의 예를 도시한 도이다.
도 2a에 도시한 바와 같이, 상태정보 중 시스템 및 네트워크 상태정보는 시스템 상태정보 및 네트워크 상태정보를 포함할 수 있다. 시스템 상태정보는 CPU 사용량(use_cpu), 메모리(RAM) 사용량(use_memory), 저장공간(Disk) 사용량(use_disk)을 포함한다. 또한, 네트워크 상태정보는 외부로부터 유무선 공유기(100)로 수신되는 데이터의 수신 바이트수(rx_bps) 및 수신 패킷수(rx_packets), 유무선 공유기로부터 외부로 송신되는 데이터의 송신 바이트수(tx_bps) 및 송신 패킷수(tx_packets)를 포함한다. 상태정보 수집부(210)는 유무선 공유기(100)의 시스템 자원의 사용 상태를 모니터링하거나, 유무선 공유기의 시스템 자원의 사용량 정보가 저장되는 저장부(130)의 디렉토리를 확인함으로써 시스템 상태정보를 수집할 수 있다. 또한, 상태정보 수집부(210)는 유무선 공유기(100)의 통신부(110)를 통한 송수신 데이터의 트래픽을 모니터링함으로써 네트워크 상태정보를 수집할 수 있다.
다음으로, 도 2b에 도시한 바와 같이, 상태정보 중 보안 이벤트 정보는 펌웨어 해쉬 및 루트킷 정보(FirmHash/Rootkit), 스캔 공격 정보(Scan), 시스템 DOS(Denial Of Service) 공격 정보(SysDos), 네트워크 DOS 공격 정보(NetDos) 및 DNS 파밍(Pharming) 공격 정보(DNSPharm) 등을 포함한다. 펌웨어 해쉬 및 루트킷 정보(FirmHash/Rootkit)는 무결성 검사 결과(hash_check), 해쉬 알고리즘(hash_sign) 및 해쉬값(hash_info) 등을 포함하며, 스캔 공격 정보(Scan)는 스캔 공격 유형(scan_type) 및 스캔 대상 정보(scan_info) 등을 포함한다. 스캔 공격은 IP 스캔을 통한 공격 및 포트 스캔을 통한 공격으로 구분할 수 있다. 시스템 DOS 공격 정보(SysDos)는 시스템 공격 유형(sysd_type), 발생량(usage) 및 시스템 정보(message)를 포함하고, 네트워크 DOS 공격 정보(NetDos)는 네트워크 공격 유형(nets_type), 목적지 IP 주소(dst_ip), 서비스 포트 번호(port_num) 및 발생량(burst_count)을 포함한다. 그리고, DNS 파밍 공격 정보(DNSPharm)는 파밍 IP 주소(pharm_ip) 및 접속 URL 정보(url_info)를 포함한다. 파밍 IP 주소는 파밍 공격을 통해 접속을 유도하려는 IP 주소이고, 접속 URL 정보는 사용자가 접속을 시도한 URL 정보이다. 상태정보 수집부(210)는 유무선 공유기(100)의 시스템 자원 및 각종 변경 이력 등을 모니터링 및 수집하고 이를 통해 각종 외부 공격 및 내부 악성코드 감겸에 의한 이상 동작, 즉 보안 이벤트 정보를 수집할 수 있다. 또한, 상태정보 수집부(210)는 유무선 공유기(100)가 사전에 정의된 행위 명령 이외의 행위를 할 경우 이를 수집 및 비교 분석함으로써 보안 이벤트 정보를 수집할 수도 있다. 예를 들어, 펌웨어 해쉬 및 루트킷 정보(FirmHash/Rootkit)의 경우, 상태정보 수집부(210)는 제어부(120)에 의한 펌웨어 무결성 검사 결과를 수집하는 방식으로 정보를 수집할 수 있다.
다시 도 1을 참조하여 본 발명에 따른 상태 탐지부(200)의 구성에 대하여 설명한다.
상태정보 분석부(220)는 상태정보 수집부(210)가 수집한 상태정보를 분석하여 유무선 공유기(100)의 상태를 판단한다. 구체적으로, 상태정보 분석부(220)는 유무선 공유기(100)의 정상 상태정보와 상태정보 수집부(210)에 의해 수집된 상태정보(현재 상태정보)를 비교하여 유무선 공유기가 현재 정상 상태(정상 동작)인지 비정상 상태(비정상 동작, 악성 행위에 감염 등)인지를 판단한다. 이때, 정상 상태정보는 제1 상태정보 데이터베이스(240)에 저장될 수 있으며, 상태 탐지 서버(300)로부터 제공될 수도 있다.
정상 상태정보는 유무선 공유기(100)의 정상 동작 상태에 대한 정보로서, 유무선 공유기의 제조시 설정될 수도 있고 이후 펌웨어 업데이트 등을 통해 제공될 수도 있다. 또한, 유무선 공유기(100)의 상태정보를 지속적으로 모니터링하면서 유무선 공유기의 성능 연관성을 고려하여 평균 임계치 값을 선택 및 업데이트함으로써 정상 상태정보를 업데이트할 수도 있다. 유무선 공유기(100)는 사용 환경과 사용 기간에 따라 그 성능과 상태정보가 달라질 수 있다. 즉, 유무선 공유기(100)에 통신 연결되는 단말기가 많거나 사용자가 많은 데이터를 송수신하는 경우 데이터 트래픽이 많을 수밖에 없으며, 사용 기간이 늘어날수록 시스템 자원의 성능이 저하된다. 물론 유무선 공유기(100)의 최적의 상태를 고려하여 정상 상태정보를 설정하고 정상 상태정보 대비 임계 범위를 넘어가는 경우 비정상 상태로 판단하여 그에 따른 처리(보안정책 실행 등)를 수행할 수도 있지만, 유무선 공유기의 사용 환경 상 정상적으로 동작 중임에도 불필요하게 비정상 상태에 따른 처리가 이루어질 수도 있다. 따라서, 본 발명에 따른 상태 탐지부(200)는 유무선 공유기(100)의 상태정보를 지속적으로 모니터링하여 그 평균값을 정상 상태정보에 반영함으로써 유무선 공유기의 사용 환경 및 현재 상태에 적합하도록 정상 상태정보를 업데이트한다. 이를 위해 상태 탐지부(200)는 정상 상태정보를 업데이트하는 상태정보 업데이트부를 더 포함할 수 있다.
상태정보 분석부(220)는 상태정보 수집부(210)가 수집한 상태정보(현재 상태정보)와 정상 상태정보를 비교하여 현재 상태정보가 정상 상태정보의 범위 내인지 판단한다. 만일, 현재 상태정보가 정상 상태정보의 범위를 벗어나는 경우(예를 들어 정상 상태정보 보다 큰 경우) 일정 시간 현재 상태정보를 지속적으로 확인하고, 지속적으로 정상 상태정보의 범위를 벗어나는 현재 상태정보가 수집되는 경우 유무선 공유기(100)의 상태를 비정상 상태로 판단한다. 반면, 현재 상태정보가 정상 상태정보의 범위 내인 경우(예를 들어 정상 상태정보 보다 작은 경우) 상태정보 분석부(220)는 유무선 공유기(100)의 상태를 정상 상태로 판단한다. 한편, 상태정보 분석부(220)는 현재 상태정보 분석 결과 유무선 공유기(100)의 상태를 비정상 상태로 판단한 경우, 비정상 상태 유형도 함께 판단할 수 있다. 구체적으로, 상태정보 분석부(220)는 도 2a 및 도 2b에 도시한 각 유형별 상태정보에 대하여 현재 상태정보와 정상 상태정보를 비교하고, 정상 상태정보의 범위를 벗어난 현재 상태정보의 유형을 비정상 상태 유형으로 판단할 수 있다. 비정상 상태 유형은 시스템 비정상 상태, 네트워크 비정상 상태 및 보안 비정상 상태를 포함할 수 있다.
또한, 상태정보 분석부(220)는 네트워크 상태정보를 고려하여 시스템 상태정보를 분석함으로써 유무선 공유기(100)의 상태를 판단할 수 있으며, 정상 상태정보 역시 네트워크 상태정보별로 시스템 상태정보를 다르게 설정할 수 있다. 일반적으로, 유무선 공유기(100)가 데이터를 다운로드(수신) 중일 경우 CPU와 메모리 등 시스템 자원을 대부분 사용한다. 하지만, 유무선 공유기(100)가 데이터를 업로드(송신) 중일 경우에는 다운로드에 비해 시스템 지원을 적게 사용한다. 따라서, CPU 사용량의 정상 상태정보를 다운로드(수신)의 경우 80%, 업로드(송신)의 경우 50%와 같이 설정할 수 있다. 또한, 상태정보 분석부(220)는 네트워크 상태정보의 수신 데이터와 송신 데이터의 바이트/패킷 수를 확인하여 유무선 공유기(100)의 데이터 흐름(데이터 수신 또는 송신)을 판단하고 유무선 공유기의 연결된 세션 수를 확인한 후, 그에 따른 정상 상태정보를 기준으로 시스템 자원이 정상 범위 내인지 판단할 수 있다. 예를 들어, 유무선 공유기(100)가 데이터를 업로드(송신) 중이거나 연결된 세션이 없는데도 CPU와 메모리 등 시스템 자원의 사용량이 높은 경우 악성 행위 및 공격이 발생하고 있는 것으로 판단할 수 있다.
한편, 실시예에 따라 상태정보 수집부(210)를 통해 수집된 상태정보를 상태 탐지 서버(300)로 전송하여 유무선 공유기(100)의 상태를 판단할 수도 있다. 이 경우, 상태정보 분석부(220)는 현재 상태정보를 상태 탐지 서버(300)로 전송하고, 상태 탐지 서버로부터 판단 결과를 수신할 수 있다. 바람직하게는, 유무선 공유기(100)의 기본적인 상태 탐지/분석은 상태정보 분석부(220)에 의해 수행하고, 상태 탐지 서버(300)도 상태정보를 주기적으로 수신 및 분석하여 분석 결과를 제공함으로써 상태정보 분석부가 유무선 공유기의 상태를 잘못 판단하거나 상태 판단이 모호한 상황을 보완한다.
한편, 상태정보 분석부(220) 또는 상태 탐지 서버(300)의 분석 결과 유무선 공유기(100)가 비정상 상태인 경우 별도의 출력장치(미도시)를 통해 이를 출력할 수 있다. 이때, 출력장치는 유무선 공유기가 정상 상태일 때와 비정상 상태일 때 이를 사용자가 식별 가능하도록 (시각 또는 음향) 정보를 출력하며, 디스플레이, 유무선 공유기의 상태에 따라 다른 색을 발광하는 LED 램프, 유무선 공유기가 비정상 상태인 경우 경고음을 출력하는 스피커 중 하나 이상이 사용될 수 있다. 실시예에 따라 출력장치는 상태정보 수집부(210)가 수집한 상태정보(예를 들어 시스템 상태정보)를 사용자가 확인할 수 있도록 UI(User Interface)를 구성하여 출력할 수 있다.
보안 처리부(230)는 상태정보 분석부(220)의 분석 결과 유무선 공유기(100)가 비정상 상태로 판단되는 경우 그에 따른 보안 정책을 실행한다. 보안 처리부(230)의 보안 정책 실행은 상태정보 분석부(220)에 의해 분석된 비정상 상태 유형에 따라 필요한 보안 정책을 실행하는 형태로 이루어질 수 있다. 예를 들어, 비정상 상태 유형이 시스템 비정상 상태 또는 네트워크 비정상 상태인 경우 유무선 공유기(100)를 리셋하거나 (우선순위에 따라) 일부 태스크(task)를 종료할 수 있다. 한편, 비정상 상태 유형이 보안 비정상 상태이거나, 보안 정책 실행 이후에도 시스템/네트워크 비정상 상태가 반복되는 경우 악성코드를 치료하거나 유무선 공유기(100)의 초기화를 수행한다. 유무선 공유기(100)를 초기화는 보안 처리부(230)에 의해 수행될 수도 있고, 원격의 상태 탐지 서버(300)에 의해 수행될 수도 있다. 보안 처리부(230)가 유무선 공유기(100)를 초기화하는 경우 설정값을 별도의 저장 영역에 저장하고 모든 데이터를 삭제한 후 재설정 값을 시큐어 부트(Secure Boot) 영역으로부터 읽어오게 된다. 또한, 상태 탐지 서버(300)에 의해 유무선 공유기(100)를 초기화하는 경우 역시 설정값을 별도의 저장 영역에 저장 및 모든 데이터를 삭제한 후 상태 탐지 서버로부터 재설정 값을 다운로드한다.
제1 상태정보 데이터베이스(240)는 정상 상태정보와 현재 상태정보를 저장한다. 이때, 정상 상태정보 및 현재 상태정보는 도 2a 및 도 2b에 도시된 것과 같은 형태로 분류 저장될 수 있다. 또한, 제1 상태정보 데이터베이스(240)는 현재 상태정보를 저장함에 있어 수집된 시간을 함께 저장한다. 한편, 제1 상태정보 데이터베이스(240)는 보안 정책을 저장할 수도 있다. 이때, 보안 정책은 상태 탐지 서버(300)로부터 수신 및 주기적으로 업데이트될 수 있다.
상태 탐지 서버(300)는 상태 탐지부(200)로부터 상태정보를 주기적으로 수신하여 유무선 공유기(100)의 상태를 분석한다. 상태 탐지 서버(300)는 웹 서버(310), 상태정보 분석관리부(320), 제2 상태정보 데이터베이스(330) 및 보안 정책 데이터베이스(340)를 포함한다.
웹 서버(310)는 유무선 공유기(100)의 상태정보를 제공하는 웹 페이지를 제공 및 관리한다. 상기 웹페이지는 상태 탐지부(200)로부터 수신된 상태정보를 실시간으로 제공하고, 상태정보 분석부(220) 및/또는 상태정보 분석관리부(320)에 의해 분석된 유무선 공유기(100)의 상태를 실시간으로 제공한다. 또한, 상기 웹페이지는 사용자가 유무선 공유기(100)의 설정을 변경하거나 유무선 공유기의 상태에 따른 보안 정책 실행을 선택 또는 설정하기 위한 UI를 제공할 수도 있다.
상태정보 분석관리부(320)는 상태 탐지부(200), 즉 상태정보 수집부(210)가 수집한 상태정보를 주기적으로 수신하고 수신된 상태정보를 분석하여 유무선 공유기(100)의 상태를 판단한다. 또한, 상태정보 분석관리부(320)는 분석된 결과를 상태 탐지부(200), 구체적으로 상태정보 분석부(220)로 제공할 수도 있다. 또한, 상태정보 분석관리부(320)는 유무선 공유기(100)가 비정상 상태로 판단되어 초기화를 진행할 경우 유무선 공유기의 초기화를 원격으로 진행할 수도 있다.
제2 상태정보 데이터베이스(330)는 상태 탐지 서버(300)가 관리하는 각 유무선 공유기(100) 별로 정상 상태정보 및 현재 상태정보를 저장한다. 구체적으로, 제2 상태정보 데이터베이스(330)는 각 유무선 공유기(100)의 식별정보를 키로 하여 해당 유무선 공유기의 정상 상태정보와 현재 상태정보를 분류하여 저장한다. 이때, 현재 상태정보는 상태정보가 수집된 시간을 함께 저장한다.
보안 정책 데이터베이스(340)는 유무선 공유기의 상태에 따라 실행할 보안 정책을 저장한다. 바람직하게는, 보안 정책 데이터베이스(340)가 유무선 공유기(100)의 종류 및 유무선 공유기의 비정상 상태 유형에 따라 보안 정책을 분류하여 저장한다. 보안 정책 데이터베이스(340)에 저장된 보안 정책은, 유무선 공유기(100)의 상태가 비정상 상태인 경우 상태 탐지부(200)의 보안 처리부(230)로 전송될 수 있다. 또한, 보안 정책 데이터베이스(340)에 저장된 최신의 보안 정책을 상태 탐지부(200)로 전송하여 제1 상태정보 데이터베이스(240)에 저장 및 업데이트할 수도 있다.
도 3은 본 발명의 다른 실시예에 따른 유무선 공유기의 상태 탐지 장치의 구성도로서, 도 1에 도시한 상태 탐지부(200)를 별도의 독립적인 장치(이하 '상태 탐지 장치'라 한다.)로 구성한 실시예를 도시하였다. 이하에서는, 도 3을 참조하여 본 발명에 따른 상태 탐지 장치의 구성에 대하여 설명하되 도 1과 중복되는 구성에 대하여는 그 설명을 생략한다.
상태 탐지 장치(200')는 유무선 공유기(100)와 독립된 별개의 장치 또는 칩셋 형태로 구성되며, 유무선 공유기와 물리적으로 연결되어 그 동작을 수행한다. 이를 위하여 상태 탐지 장치(200')는 인터페이스부(250)를 더 포함한다.
인터페이스부(250)는 유무선 공유기(100)의 연결 및 데이터 송수신 인터페이스를 제공한다. 인터페이스부(250)는 USB 방식 또는 SoC(System On Chip) 방식으로 구성될 수 있다. 따라서, 상태 탐지 장치(200')는 인터페이스부(250)를 통해 유무선 공유기의 상태정보를 주기적으로 수집하고 이를 분석할 수 있다.
한편, 상태 탐지 장치(200')는 유무선 공유기(100)의 통신부(110)를 통해 상태 탐지 서버(300)와 통신 연결할 수 있고, 별도의 통신부를 포함하여 상태 탐지 서버(300)와 직접 통신을 수행할 수도 있다.
도 4는 본 발명에 따른 유무선 공유기의 상태 탐지 과정의 흐름도이다. 이하에서는, 도 4를 참조하여 본 발명에 따른 유무선 공유기의 상태 탐지 과정에 대하여 설명한다.
상태정보 수집부(210)는 유무선 공유기(100)의 상태정보를 주기적으로 수집한다(ST100). 이때, 상태정보 수집부(210)에 의해 수집되는 상태정보는 시스템 자원에 대한 상태정보인 시스템 상태정보, 네트워크 상태에 대한 상태정보인 네트워크 상태정보 및 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함할 수 있다.
상태정보 분석부(220)는 상태정보 수집부(210)가 수집한 상태정보를 분석하여 유무선 공유기(100)의 상태를 판단한다(ST110). 구체적으로, 상태정보 분석부(220)는 유무선 공유기(100)의 정상 상태정보와 상태정보 수집부(210)에 의해 수집된 현재 상태정보를 비교하여 유무선 공유기의 상태를 판단한다. 실시예에 따라, 상태정보 수집부(210)에 의해 수집된 상태정보를 상태 탐지 서버(300)로 전송하고 상태 탐지 서버로부터 분석된 결과를 수신할 수도 있다.
상태정보 분석부(220)의 분석 결과 유무선 공유기(100)가 정상 상태인 경우 해당 현재 상태정보를 정상 상태정보에 반영한다(ST120, ST130). 유무선 공유기(100)는 사용 환경과 사용 기간 등 다양한 요인에 따라 그 성능과 상태정보가 달라질 수 있다. 따라서, 유무선 공유기(100)의 상태정보를 지속적으로 모니터링하고 정상 상태정보 범위 내의 상태정보를 정상 상태정보에 반영(평균값 산출 등)함으로써 유무선 공유기의 사용 환경 및 현재 상태에 적합하도록 정상 상태정보를 업데이트할 수 있다. 이때, 정상 상태정보 업데이트는 별도의 상태정보 업데이트부(미도시)를 통해 수행될 수 있다.
한편, 상태정보 분석부(220)의 분석 결과 유무선 공유기(100)가 비정상 상태인 경우, 보안 처리부(230)는 비정상 상태에 따른 보안 정책을 실행한다(ST120, ST140). 바람직하게는, 보안 처리부(230)는 비정상 상태 유형에 따라 적절한 보안 정책을 실행한다. 이때, 보안 정책은 제1 상태정보 데이터베이스(240)에 저장될 수도 있고, 상태 탐지 서버(300)로부터 수신될 수도 있다.
본 발명의 바람직한 실시예에 대해 특정 용어들을 사용하여 기재하였으나, 그러한 기재는 오로지 본 발명을 설명하기 위한 것이며, 다음의 청구범위의 기술적 사상 및 범위로부터 이탈되지 않는 범위 내에서 다양하게 변경될 수 있는 것으로 이해되어야 한다.
100: 유무선 공유기 110: 통신부
120: 제어부 130: 저장부
200: 상태 탐지부 210: 상태정보 수집부
220: 상태정보 분석부 230: 보안 처리부
240: 제1 상태정보 데이터베이스 300: 상태 탐지 서버
310: 웹 서버 320: 상태정보 분석관리부
330: 제2 상태정보 데이터베이스 340: 보안 정책 데이터베이스

Claims (15)

  1. 상태정보를 주기적으로 모니터링하고 모니터링한 상태정보를 분석하여 동작 상태의 이상 여부를 판단하는 유무선 공유기로서,
    상기 유무선 공유기의 상태정보를 주기적으로 수집하는 상태정보 수집부, 상기 수집된 상태정보를 분석하여 상기 유무선 공유기의 상태를 분석하는 상태정보 분석부 및 상기 유무선 공유기의 상태가 비정상 상태인 경우 보안 정책을 실행하는 보안 처리부를 포함하는 상태 탐지부를 포함하고,
    상기 상태정보가, 상기 유무선 공유기의 시스템 자원에 대한 상태정보인 시스템 상태정보, 상기 유무선 공유기의 네트워크 상태에 대한 상태정보인 네트워크 상태정보 및 상기 유무선 공유기의 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함하고,
    상기 시스템 상태정보가 CPU 사용량, 메모리 사용량 및 저장공간 사용량을 포함하고, 상기 네트워크 상태정보가 외부로부터 상기 유무선 공유기로 수신되는 데이터의 수신 바이트수(rx_bps) 및 수신 패킷수(rx_packets), 상기 유무선 공유기로부터 외부로 송신되는 데이터의 송신 바이트수(tx_bps) 및 송신 패킷수(tx_packets)를 포함하고, 상기 보안 이벤트 정보가 펌웨어 해쉬 및 루트킷(Rootkit) 정보, 스캔 공격 정보, 시스템 DOS(Denial Of Service) 공격 정보, 네트워크 DOS 공격 정보 및 DNS 파밍(Pharming) 공격 정보 중 하나 이상을 포함하고,
    상기 상태정보 분석부가, 상기 상태정보 수집부가 수집한 상태정보를 상기 유무선 공유기의 정상 동작 상태에 대하여 정의된 정상 상태정보와 비교하여 상기 유무선 공유기의 상태를 판단하되, 상기 수집한 상태정보가 상기 정상 상태정보 범위 내인 경우 상기 유무선 공유기의 상태를 정상 상태로 판단하고, 상기 수집한 상태정보가 상기 정상 상태정보 범위를 벗어나는 경우 상기 유무선 공유기의 상태를 비정상 상태로 판단하고,
    상기 상태 탐지부가, 상기 수집한 상태정보가 상기 정상 상태정보 범위 내인 경우, 상기 수집한 상태정보를 상기 정상 상태정보에 반영하여 상기 정상 상태정보를 업데이트하는 상태정보 업데이트부를 더 포함하고,
    상기 상태정보 업데이트부가, 상기 유무선 공유기의 사용 환경 및 현재 상태에 적합하게 상기 상태정보를 업데이트하기 위하여 상기 유무선 공유기의 상태정보를 지속적으로 모니터링하여 평균값을 상기 정상 상태정보에 반영하고,
    상기 정상 상태정보가 상기 네트워크 상태정보에 따라 상기 시스템 상태정보의 정상 범위가 상이하게 설정되되, 상기 유무선 공유기가 데이터 다운로드 상태인 경우의 상기 시스템 상태정보의 정상 범위가 상기 유무선 공유기가 데이터 업로드 상태인 경우의 상기 시스템 상태정보의 정상 범위보다 높게 설정되고,
    상기 상태정보 분석부가, 상기 네트워크 상태정보의 수신 바이트수 및 수신 패킷수와 송신 바이트수 및 송신 패킷수를 이용하여 상기 유무선 공유기의 데이터 흐름이 데이터 다운로드인지 데이터 업로드인지를 판단하고, 상기 유무선 공유기의 연결된 세션 수를 확인하여, 이에 대한 정상 상태정보를 기준으로 수집된 시스템 정보가 정상 범위 내인지 여부를 판단하는 것을 특징으로 하는 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 제1항에 있어서,
    상기 보안 처리부가,
    상기 유무선 공유기가 비정상 상태인 경우 상기 유무선 공유기를 초기화하는 것을 특징으로 하는 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기.
  7. 제1항에 있어서,
    상기 상태 탐지부가,
    원격의 상태 탐지 서버에 상기 수집한 상태정보를 전송하고 상기 상태정보를 분석한 결과를 수신하는 것을 특징으로 하는 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기.
  8. 유무선 공유기와 연결되어 상기 유무선 공유기의 상태정보를 주기적으로 모니터링하고 모니터링한 상태정보를 분석하여 상기 유무선 공유기의 동작 상태의 이상 여부를 판단하는 유무선 공유기의 상태 탐지 장치로서,
    상기 유무선 공유기의 상태정보를 주기적으로 수집하는 상태정보 수집부;
    상기 수집된 상태정보를 분석하여 상기 유무선 공유기의 상태를 분석하는 상태정보 분석부; 및
    상기 유무선 공유기의 상태가 비정상 상태인 경우 보안 정책을 실행하는 보안 처리부를 포함하고,
    상기 상태정보가, 상기 유무선 공유기의 시스템 자원에 대한 상태정보인 시스템 상태정보, 상기 유무선 공유기의 네트워크 상태에 대한 상태정보인 네트워크 상태정보 및 상기 유무선 공유기의 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함하고,
    상기 시스템 상태정보가 CPU 사용량, 메모리 사용량 및 저장공간 사용량을 포함하고, 상기 네트워크 상태정보가 외부로부터 상기 유무선 공유기로 수신되는 데이터의 수신 바이트수(rx_bps) 및 수신 패킷수(rx_packets), 상기 유무선 공유기로부터 외부로 송신되는 데이터의 송신 바이트수(tx_bps) 및 송신 패킷수(tx_packets)를 포함하고, 상기 보안 이벤트 정보가 펌웨어 해쉬 및 루트킷(Rootkit) 정보, 스캔 공격 정보, 시스템 DOS(Denial Of Service) 공격 정보, 네트워크 DOS 공격 정보 및 DNS 파밍(Pharming) 공격 정보 중 하나 이상을 포함하고,
    상기 상태정보 분석부가, 상기 상태정보 수집부가 수집한 상태정보를 상기 유무선 공유기의 정상 동작 상태에 대하여 정의된 정상 상태정보와 비교하여 상기 유무선 공유기의 상태를 판단하되, 상기 수집한 상태정보가 상기 정상 상태정보 범위 내인 경우 상기 유무선 공유기의 상태를 정상 상태로 판단하고, 상기 수집한 상태정보가 상기 정상 상태정보 범위를 벗어나는 경우 상기 유무선 공유기의 상태를 비정상 상태로 판단하고,
    상기 상태 탐지 장치가, 상기 수집한 상태정보가 상기 정상 상태정보 범위 내인 경우, 상기 수집한 상태정보를 상기 정상 상태정보에 반영하여 상기 정상 상태정보를 업데이트하는 상태정보 업데이트부를 더 포함하고,
    상기 상태정보 업데이트부가, 상기 유무선 공유기의 사용 환경 및 현재 상태에 적합하게 상기 상태정보를 업데이트하기 위하여 상기 유무선 공유기의 상태정보를 지속적으로 모니터링하여 평균값을 상기 정상 상태정보에 반영하고,
    상기 정상 상태정보가 상기 네트워크 상태정보에 따라 상기 시스템 상태정보의 정상 범위가 상이하게 설정되되, 상기 유무선 공유기가 데이터 다운로드 상태인 경우의 상기 시스템 상태정보의 정상 범위가 상기 유무선 공유기가 데이터 업로드 상태인 경우의 상기 시스템 상태정보의 정상 범위보다 높게 설정되고,
    상기 상태정보 분석부가, 상기 네트워크 상태정보의 수신 바이트수 및 수신 패킷수와 송신 바이트수 및 송신 패킷수를 이용하여 상기 유무선 공유기의 데이터 흐름이 데이터 다운로드인지 데이터 업로드인지를 판단하고, 상기 유무선 공유기의 연결된 세션 수를 확인하여, 이에 대한 정상 상태정보를 기준으로 수집된 시스템 정보가 정상 범위 내인지 여부를 판단하는 것을 특징으로 하는 유무선 공유기의 상태 탐지 장치.
  9. 삭제
  10. 삭제
  11. 제8항에 있어서,
    상기 상태 탐지 장치가,
    원격의 상태 탐지 서버에 상기 수집한 상태정보를 전송하고 상기 상태정보를 분석한 결과를 수신하고,
    상기 유무선 공유기가 비정상 상태인 경우 상기 상태 탐지 서버와 연동하여 상기 유무선 공유기를 초기화하는 것을 특징으로 하는 유무선 공유기의 상태 탐지 장치.
  12. 제8항에 있어서,
    상기 상태 탐지 장치가,
    상기 유무선 공유기와의 연결 및 데이터 송수신 인터페이스를 제공하는 인터페이스부를 더 포함하고,
    상기 인터페이스가 USB 방식 및 SoC 방식 중 하나 이상을 사용하는 것을 특징으로 하는 유무선 공유기의 상태 탐지 장치.
  13. 유무선 공유기의 상태정보를 주기적으로 모니터링하고 모니터링한 상태정보를 분석하여 상기 유무선 공유기의 동작 상태의 이상 여부를 판단하는 유무선 공유기의 상태 탐지 방법으로서,
    상기 유무선 공유기의 상태정보를 주기적으로 수집하는 단계;
    상기 수집된 상태정보를 상기 유무선 공유기의 정상 동작 상태에 대하여 정의된 정상 상태정보와 비교하여 상기 유무선 공유기의 상태를 판단하는 단계; 및
    상기 유무선 공유기의 상태가 비정상 상태인 경우 보안 정책을 실행하는 단계를 포함하고,
    상기 상태정보가, 상기 유무선 공유기의 시스템 자원에 대한 상태정보인 시스템 상태정보, 상기 유무선 공유기의 네트워크 상태에 대한 상태정보인 네트워크 상태정보 및 상기 유무선 공유기의 외부 공격 여부 및 악성행위에 대한 정보인 보안 이벤트 정보를 포함하고,
    상기 시스템 상태정보가 CPU 사용량, 메모리 사용량 및 저장공간 사용량을 포함하고, 상기 네트워크 상태정보가 외부로부터 상기 유무선 공유기로 수신되는 데이터의 수신 바이트수(rx_bps) 및 수신 패킷수(rx_packets), 상기 유무선 공유기로부터 외부로 송신되는 데이터의 송신 바이트수(tx_bps) 및 송신 패킷수(tx_packets)를 포함하고, 상기 보안 이벤트 정보가 펌웨어 해쉬 및 루트킷(Rootkit) 정보, 스캔 공격 정보, 시스템 DOS(Denial Of Service) 공격 정보, 네트워크 DOS 공격 정보 및 DNS 파밍(Pharming) 공격 정보 중 하나 이상을 포함하고,
    상기 유무선 공유기의 상태를 판단하는 단계가,
    상기 수집한 상태정보가 상기 정상 상태정보 범위 내인 경우 상기 유무선 공유기의 상태를 정상 상태로 판단하는 단계; 및
    상기 수집한 상태정보가 상기 정상 상태정보 범위를 벗어나는 경우 상기 유무선 공유기의 상태를 비정상 상태로 판단하는 단계를 포함하고,
    상기 수집한 상태정보가 상기 정상 상태정보 범위 내인 경우, 상기 수집한 상태정보를 상기 정상 상태정보에 반영하여 상기 정상 상태정보를 업데이트하되, 상기 유무선 공유기의 사용 환경 및 현재 상태에 적합하게 상기 상태정보를 업데이트하기 위하여 상기 유무선 공유기의 상태정보를 지속적으로 모니터링하여 평균값을 상기 정상 상태정보에 반영하는 단계를 더 포함하고,
    상기 정상 상태정보가 상기 네트워크 상태정보에 따라 상기 시스템 상태정보의 정상 범위가 상이하게 설정되되, 상기 유무선 공유기가 데이터 다운로드 상태인 경우의 상기 시스템 상태정보의 정상 범위가 상기 유무선 공유기가 데이터 업로드 상태인 경우의 상기 시스템 상태정보의 정상 범위보다 높게 설정되고,
    상기 유무선 공유기의 상태를 판단하는 단계에서,
    상기 네트워크 상태정보의 수신 바이트수 및 수신 패킷수와 송신 바이트수 및 송신 패킷수를 이용하여 상기 유무선 공유기의 데이터 흐름이 데이터 다운로드인지 데이터 업로드인지를 판단하고, 상기 유무선 공유기의 연결된 세션 수를 확인하여, 이에 대한 정상 상태정보를 기준으로 수집된 시스템 정보가 정상 범위 내인지 여부를 판단하는 것을 특징으로 하는 상태정보 모니터링을 통한 유무선 공유기의 상태 탐지 방법.
  14. 삭제
  15. 삭제
KR1020160158068A 2016-11-25 2016-11-25 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법 KR101922594B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160158068A KR101922594B1 (ko) 2016-11-25 2016-11-25 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160158068A KR101922594B1 (ko) 2016-11-25 2016-11-25 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20180059608A KR20180059608A (ko) 2018-06-05
KR101922594B1 true KR101922594B1 (ko) 2018-11-29

Family

ID=62635613

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160158068A KR101922594B1 (ko) 2016-11-25 2016-11-25 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR101922594B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111010706B (zh) * 2019-11-22 2023-04-28 杭州迪普科技股份有限公司 一种异常恢复方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101485484B1 (ko) * 2014-06-16 2015-01-23 한국정보보호시스템(주) 무선랜 모듈 착탈식 이동형 무선 위험 분석 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101485484B1 (ko) * 2014-06-16 2015-01-23 한국정보보호시스템(주) 무선랜 모듈 착탈식 이동형 무선 위험 분석 장치

Also Published As

Publication number Publication date
KR20180059608A (ko) 2018-06-05

Similar Documents

Publication Publication Date Title
CN109831465B (zh) 一种基于大数据日志分析的网站入侵检测方法
CN110417778B (zh) 访问请求的处理方法和装置
KR101964148B1 (ko) 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
CA2533853C (en) Method and system for detecting unauthorised use of a communication network
US20120005743A1 (en) Internal network management system, internal network management method, and program
CN103905450B (zh) 智能电网嵌入式设备网络检测评估系统与检测评估方法
US7832010B2 (en) Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus
KR101414959B1 (ko) 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법
WO2014145805A1 (en) System and method employing structured intelligence to verify and contain threats at endpoints
CN106709346B (zh) 文件处理方法及装置
CN103051617A (zh) 识别程序的网络行为的方法、装置及系统
US20080109568A1 (en) Method and System for Detecting Device Configuration Changes
US20190394220A1 (en) Automatic characterization of malicious data flows
CN108092970B (zh) 一种无线网络维护方法及其设备、存储介质、终端
CN110035062A (zh) 一种网络验伤方法及设备
KR101541244B1 (ko) Pc 및 공유기 등의 dns 변조를 통한 파밍 공격 방지 방법 및 시스템
CN110839025A (zh) 中心化web渗透检测蜜罐方法、装置、系统及电子设备
US9654491B2 (en) Network filtering apparatus and filtering method
CN106911665B (zh) 一种识别恶意代码弱口令入侵行为的方法及系统
CN105791250A (zh) 应用程序检测方法及装置
KR101922594B1 (ko) 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법
JP2006146600A (ja) 動作監視サーバ、端末装置及び動作監視システム
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
KR101923054B1 (ko) 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법
CN109936528B (zh) 监测方法、装置、设备及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant