KR102062718B1 - 패킷 가상화를 이용한 IoT 허니넷 시스템 - Google Patents

패킷 가상화를 이용한 IoT 허니넷 시스템 Download PDF

Info

Publication number
KR102062718B1
KR102062718B1 KR1020190091921A KR20190091921A KR102062718B1 KR 102062718 B1 KR102062718 B1 KR 102062718B1 KR 1020190091921 A KR1020190091921 A KR 1020190091921A KR 20190091921 A KR20190091921 A KR 20190091921A KR 102062718 B1 KR102062718 B1 KR 102062718B1
Authority
KR
South Korea
Prior art keywords
response
information
terminal
iot device
iot
Prior art date
Application number
KR1020190091921A
Other languages
English (en)
Inventor
이대호
이동근
이형
김성우
Original Assignee
주식회사 에프원시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에프원시큐리티 filed Critical 주식회사 에프원시큐리티
Priority to KR1020190091921A priority Critical patent/KR102062718B1/ko
Application granted granted Critical
Publication of KR102062718B1 publication Critical patent/KR102062718B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • H04L67/2842
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching

Abstract

사물 인터넷(Internet of Things, IoT) 허니넷 시스템으로서, IoT 장치를 포함하고, IoT 장치에 접속을 시도하는 외부 접속자의 요청 패킷에 대한 상기 IoT 장치의 응답을 캐싱한 후, 상기 외부 접속자의 동일한 요청 패킷에 대해, 캐싱된 응답을 전송하고, 상기 외부 접속자의 트랜잭션에 대해 로깅을 수행하는 공격자 유인부, 및 상기 로깅을 통해 수집된 정보를 분석하여 공격 패턴 정보를 추출하는 종합 관리부를 포함하는 허니넷 시스템이 제공된다.

Description

패킷 가상화를 이용한 IoT 허니넷 시스템{HONEYNET SYSTEM FOR INTERNET OF THINGS USING PACKET VIRTUALIZATION}
본 발명은 IoT 허니넷 시스템에 관한 것으로, 특히 패킷 가상화를 이용한 IoT 허니넷 시스템에 관한 것이다.
사물인터넷(Internet of Things, IoT)은 사물에 센서를 부착해 실시간으로 데이터를 인터넷으로 주고받는 기술이나 환경을 일컫는다. IoT 기기는 사람의 도움 없이 서로 알아서 정보를 주고받으며 대화를 나눌 수 있다.
IoT 기기 중 국내에서 점유물이 높은 중국산 가정용 CCTV 카메라에서 관리 권한까지 탈취 가능한 치명적이 취약점이 발견되었다. 이로 인해, 해커들은 CCTV에서 제공하는 영상을 몰래 보거나 백도어 설치, 분산서비스 거부(DDos) 공격 등이 가능하다.
이에 따라, IoT 관련 외부 공격자를 유인하여 공격 패턴 정보를 획득하고, 이를 바탕으로 공격 예방 및 공격지 근원에 대한 조치가 가능한 기술이 요구된다.
본 발명이 이루고자 하는 기술적 과제는 IoT 관련 외부 공격자를 유인하여 공격 패턴 정보를 획득하고, 이를 바탕으로 공격 예방 및 공격지 근원에 대한 조치가 가능한 IoT 허니넷 시스템을 제공하는 것이다.
한 실시예에 따르면, 사물 인터넷(Internet of Things, IoT) 허니넷 시스템이 제공된다. 상기 IoT 허니넷 시스템은 IoT 장치를 포함하고, IoT 장치에 접속을 시도하는 외부 접속자의 요청 패킷에 대한 상기 IoT 장치의 응답을 캐싱한 후, 상기 외부 접속자의 동일한 요청 패킷에 대해, 캐싱된 응답을 전송하고, 상기 외부 접속자의 트랜잭션에 대해 로깅을 수행하는 공격자 유인부, 및 상기 로깅을 통해 수집된 정보를 분석하여 공격 패턴 정보를 추출하는 종합 관리부를 포함한다.
상기 공격자 유인부는, 상기 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있으면, 상기 동일한 응답을 상기 외부 접속자에게 전송하는 제1 가상화 단말, 및 상기 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있으면, 상기 동일한 응답을 상기 제1 가상화 단말에게 전송하는 제2 가상화 단말을 더 포함할 수 있고, 상기 제1 가상화 단말은 상기 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있지 않으면, 상기 제2 가상화 단말로부터 상기 동일한 응답을 수신하여 캐싱하고, 상기 동일한 응답을 상기 외부 접속자에게 전송할 수 있다.
상기 제1 가상화 단말 및 상기 제2 가상화 단말에 상기 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있지 않으면, 상기 제2 가상화 단말은 상기 IoT 장치로부터 상기 동일한 응답을 수신하여 캐싱하고, 상기 동일한 응답을 상기 제1 가상화 단말에게 전송할 수 있다.
상기 종합 관리부는, 상기 외부 접속자에 의해 전송되는 요청 패킷을 미러링하는 네트워크 프로토콜 분석기, 상기 로깅을 통해 수집된 정보를 수집하는 정보 수집기, 상기 수집된 정보를 분석하여 공격 패턴 정보를 추출하는 정보 분류기, 상기 공격 패턴 정보를 외부 서버에 공유하는 정보 공유기, 상기 공격자 유인부가 동작하지 않는 경우 초기화 또는 재기동시키는 기기 관리기, 및 상기 공격 패턴 정보에 기반하여 시각화 데이터를 생성하는 시각화기를 포함할 수 있다.
상기 공격자 유인부는, 상기 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있으면, 상기 동일한 응답을 상기 외부 접속자에게 전송하는 제1 가상화 단말, 상기 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있으면, 상기 동일한 응답을 상기 제1 가상화 단말에게 전송하는 제2 가상화 단말, 및 상기 IoT 장치를 포함하고, 상기 제1 가상화 단말은 상기 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있지 않으면, 상기 제2 가상화 단말로부터 상기 동일한 응답을 수신하여 캐싱하고, 상기 동일한 응답을 상기 외부 접속자에게 전송하고, 상기 종합 관리부는, 상기 외부 접속자에 의해 전송되는 요청 패킷을 미러링하는 네트워크 프로토콜 분석기, 상기 로깅을 통해 수집된 정보를 수집하는 정보 수집기, 상기 수집된 정보를 분석하여 공격 패턴 정보를 추출하는 정보 분류기, 상기 공격 패턴 정보를 외부 서버에 공유하는 정보 공유기, 상기 공격자 유인부가 동작하지 않는 경우 초기화 또는 재기동시키는 기기관리기, 및 상기 공격 패턴 정보에 기반하여 시각화 데이터를 생성하는 시각화기를 포함할 수 있다.
IoT 관련 외부 공격자를 유인하여 공격 패턴 정보를 획득할 수 있고, 이를 바탕으로 공격 예방 및 공격지 근원에 대한 조치가 가능하다.
패킷 캐싱 가상화 방식을 통해 효율적이고 빠른 응답성을 확보할 수 있고, 디바이스별 처리해야하는 패킷의 프로토콜 레벨 또는 응답패킷 조작을 위한 최소한의 공정을 통해 제작비용을 줄일 수 있다.
공격 패턴 정보 분석을 통해 시각화된 정보를 생성하고, 관련 정보를 한국인터넷진흥원(KISA) 내부 R&D 센터 서버 또는 C-TAS(Cyber Threat Analysis System) 서버 또는 종합상황실 서버에게 제공함으로써, 국내 정보보호 기업과 정보 공유 체계를 수립할 수 있다.
도 1은 한 실시예에 따른 허니넷 시스템의 블록도이다.
도 2는 한 실시예에 따른 허니넷 시스템의 공격자 유인부의 블록도이다.
도 3은 한 실시예에 따른 가상화 처리 응답 방법의 흐름도이다.
도 4는 한 실시예에 따른 허니넷 시스템의 공격자 유인부의 블록도이다.
도 5는 한 실시예에 따른 허니넷 시스템의 패킷 캐싱 가상화 방식을 설명하기 위한 도면이다.
도 6은 한 실시예에 따른 허니넷 시스템의 블록도이다.
도 7은 한 실시예에 따른 허니넷 시스템의 내부 연결을 설명하기 위한 도면이다.
도 8 내지 도 11은 한 실시예에 따른 허니넷 시스템의 캐싱 방법을 설명하기 위한 도면이다.
도 12는 한 실시예에 따른 허니넷 시스템의 종합 관리부의 블록도이다.
도 13은 한 실시예에 따른 공격패턴을 설명하기 위한 도면이다.
도 14는 한 실시예에 다른 허니넷 시스템의 블록도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
도 1은 한 실시예에 따른 허니넷 시스템의 블록도이다. 도 2는 한 실시예에 따른 허니넷 시스템의 공격자 유인부의 블록도이다. 도 3은 한 실시예에 따른 가상화 처리 응답 방법의 흐름도이다. 도 4는 한 실시예에 따른 허니넷 시스템의 공격자 유인부의 블록도이다. 도 5는 한 실시예에 따른 허니넷 시스템의 패킷 캐싱 가상화 방식을 설명하기 위한 도면이다. 도 6은 한 실시예에 따른 허니넷 시스템의 블록도이다. 도 7은 한 실시예에 따른 허니넷 시스템의 내부 연결을 설명하기 위한 도면이다. 도 8 내지 도 11은 한 실시예에 따른 허니넷 시스템의 캐싱 방법을 설명하기 위한 도면이다. 도 12는 한 실시예에 따른 허니넷 시스템의 종합 관리부의 블록도이다.
도 1을 참조하면, 허니넷 시스템은 공격자 유인부(100), 및 종합 관리부(200)를 포함한다.
공격자 유인부(100)는 IoT 장치(130)에 접속을 시도하는 외부 접속자의 요청(Request) 패킷에 대한 IoT 장치(130)의 응답(Response)을 캐싱한 후, 외부 접속자의 동일한 요청 패킷에 대해, 캐싱된 응답을 전송하고, 외부 접속자의 트랜잭션에 대해 로깅을 수행한다. 허니넷 시스템은 정상적인 사용자가 접속하는 시스템이 아니므로, 허니넷 시스템의 공격자 유인부(100)는 접속 시도하는 모든 트랜잭션에 대해 공격 가능 접속으로 판단할 수 있다.
도 2를 참조하면, 공격자 유인부(100)는 한 실시예로서, 제1 가상화 단말(110), 제2 가상화 단말(120), IoT 장치(130), 및 제어부(140)를 포함할 수 있다.
도 3을 참조하면, 외부 접속자가 요청 패킷을 전송하면(S100), 1선 단말인 제1 가상화 단말(110)은 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있는지 판단한다(S200). 제1 가상화 단말(110)은 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있으면, 동일한 응답을 외부 접속자에게 전송한다(S300).
만일, 제1 가상화 단말(110)에 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있지 않으면, 제1 가상화 단말(110)은 2선 단말인 제2 가상화 단말(120)에게 캐싱 데이터 응답을 요청한다(S400). 제2 가상화 단말(120)은 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있는지 판단한다(S500). 제2 가상화 단말(120)은 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있으면, 캐싱 데이터 응답을 제1 가상화 단말(110)에게 전송한다(S600). 제1 가상화 단말(110)은 제2 가상화 단말(120)로부터 동일한 응답을 수신하여 캐싱하고(S700), 동일한 응답을 외부 접속자에게 전송한다(S800).
제2 가상화 단말(120)에 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있지 않으면, 제2 가상화 단말(120)은 3선 단말인 IoT 장치(130)에게 외부 접속자의 동일한 요청 패킷에 대한 응답을 요청한다(S900). IoT 장치(130)는 해당 응답을 제2 가상화 단말(120)에게 전송한다(S1000). 제2 가상화 단말(120)은 해당 응답을 수신하여 캐싱하고(S1100), 동일한 응답을 제1 가상화 단말(110)에게 전송한다(S1200). 제1 가상화 단말(110)은 제2 가상화 단말(120)로부터 동일한 응답을 수신하여 캐싱하고, 동일한 응답을 외부 접속자에게 전송한다.
도 4를 참조하면, 제1 가상화 단말(110)은 한 실시예로서 1차 패킷 프록시 모듈(111), 1차 캐시 저장 모듈(112), 및 1차 로깅 모듈(113)을 포함할 수 있고, 제2 가상화 단말(120)은 한 실시예로서 2차 패킷 프록시 모듈(121), 2차 캐시 저장 모듈(122), 및 2차 로깅 모듈(123)을 포함할 수 있다.
1차 패킷 프록시 모듈(111) 및 2차 패킷 프록시 모듈(121)은 가상화 로직의 핵심 모듈에 해당하고, 한 실시예로서 GO, NodeJS를 언어로 사용할 수 있다.
1차 캐시 저장 모듈(112) 및 2차 캐시 저장 모듈(122)은 IP 요청 및 응답 페이로드를 캐싱하는 역할을 수행하고, IoT 장치(130)에 접속을 시도하는 외부 접속자의 요청 패킷에 대한 IoT 장치(130)의 응답을 캐싱한다.
1차 로깅 모듈(113) 및 2차 로깅 모듈(123)은 외부 접속자의 트랜잭션에 대해 로깅을 수행한다. 1차 로깅 모듈(113) 및 2차 로깅 모듈(123)은 로깅을 통해 기본인증 정보 및 세션인증 정보를 분석할 수 있다.
제1 가상화 단말(110)은 한 실시예로서 캐시 데이터를 저장하는 1차 메모리(114)를 더 포함할 수 있고, 제2 가상화 단말(120)은 한 실시예로서 캐시 데이터를 저장하는 2차 메모리(124)를 더 포함할 수 있다. 1차 메모리(114) 및 2차 메모리(124)는 한 실시예로서 램(RAM)일 수 있다. 한 실시예로서, 제2 가상화 단말(120)의 2차 메모리(124)는 제1 가상화 단말(110)의 1차 메모리(114) 보다 더 큰 크기의 램(RAM)일 수 있다. 제1 가상화 단말(110) 및 제2 가상화 단말(120)의 공격 트랜잭션 처리율은 RAM 크기에 비례하므로, RAM 크기를 통해 제2 가상화 단말(120)이 제1 가상화 단말(110) 보다 많은 공격 트랜잭션을 처리하도록 설계될 수 있다.
한 실시예로서, 제어부(140)는 1차 캐시 저장 모듈(112) 및 2차 캐시 저장 모듈(122)의 메모리 할당량을 동적으로 조절할 수 있다. 이를 통해, 제1 가상화 단말(110)과 제2 가상화 단말(120)의 공격 트랜잭션 처리율은 다르게 설정될 수 있다. 한 실시예로서, 제어부(140)는 제1 가상화 단말(110)에서 50%의 트랜잭션을 처리하고, 제2 가상화 단말(120)에서 98%의 트랜잭션을 처리하도록 1차 캐시 저장 모듈(112) 및 2차 캐시 저장 모듈(122)의 메모리 할당량을 조절할 수 있다.
도 5를 참조하면, 한 실시예에 따른 허니넷 시스템은 인터넷 TCP/IP 상에서 운용하는 특성을 이용하여 패킷 캐싱을 가상화한다. 패킷 캐싱 가상화 방식을 통해 효율적이고 빠른 응답성을 확보할 수 있고, 디바이스별 처리해야하는 패킷의 프로토콜 레벨 또는 응답패킷 조작을 위한 최소한의 공정을 통해 제작비용을 줄일 수 있다. 또한, 패킷 캐싱 가상화 방식을 통해 운영시 오류 발생 가능성을 최소화할 있고, 오류 발생시 신속한 대응이 가능하다.
도 6을 참조하면, IoT 장치(130)는 한 실시예로서, IP 카메라(IPCAM), 공유기, NAS, 및 AI 스피커를 포함할 수 있고, 한 종류당 10개일 수 있으며, 총 40개로 구성될 수 있다. IoT 장치(130)는 한 실시예로서, 총 80개로 구성될 수 있다. IoT 장치(130)의 개수는 설정에 따라 달라질 수 있다.
제1 가상화 단말(110), 제2 가상화 단말(120), IoT 장치(130)로 유입되는 네트워크 패킷은 TCP/UDP 수준에서 수집될 수 있다. 캐싱 방법은 IoT 장치(130)의 유형별로 달라질 수 있고, 빠르고 쉽게 응답할 수 있는 형태로 자료 구조화될 수 있다. 캐시 데이터는 한 실시예로서 HTTP, AVTP, 오디오 전송 프로토콜일 수 있다.
도 7을 참조하면, 한 실시예로서, 제1 가상화 단말(110) 및 제2 가상화 단말(120)은 각각 복수의 가상화 단말(Virtual Machine, VM)을 포함할 수 있고, 하나의 IoT 장치(130)에 복수의 제1 가상화 단말(110) 및 제2 가상화 단말(120)이 연결될 수 있다. 제1 가상화 단말(110), 제2 가상화 단말(120), 및 IoT 장치(130)는 공인 IP를 통해 서로 연결될 수 있다. 물리적 서버의 가상화를 통해 하나의 가상화 단말이 하나의 IoT 장치로 동작할 수 있다.
제1 가상화 단말(110)의 1차 캐시 저장 모듈(112) 및 제2 가상화 단말(120)의 2차 캐시 저장 모듈(122)에는 IoT 장치(130)의 유형별 사전 접속 시뮬레이션을 통해 캐싱된 데이터가 저장될 수 있다. 이때, 제1 가상화 단말(110)의 1차 캐시 저장 모듈(112)에는 자주 사용되는 유형의 트랜잭션에 대한 응답이 저장될 수 있고, 제2 가상화 단말(120)의 2차 캐시 저장 모듈(122)에는 제1 가상화 단말(110)에 저장되지 않은 트랜잭션에 대한 응답이 저장될 수 있다.
도 8을 참조하면, IoT 장치(130)가 IP 카메라인 경우, 제1 가상화 단말(110)의 1차 캐시 저장 모듈(112)에는 8a의 각 응답이 캐싱될 수 있고, 제2 가상화 단말(120)의 2차 캐시 저장 모듈(122)에는 8b의 각 응답이 캐싱될 수 있다. 한 실시예로서, IoT 장치(130)가 IP 카메라인 경우, 제1 가상화 단말(110)의 1차 캐시 저장 모듈(112)에는 로그인 성공에 대한 응답, 로그인 실패에 대한 응답이 캐싱될 수 있다. 한 실시예로서, IoT 장치(130)가 IP 카메라인 경우, 제1 가상화 단말(110)의 1차 캐시 저장 모듈(112)에는 IP 카메라를 통해 미리 녹화된 영상에서 스테이트풀(stateful)한 정보(예, timestamp 등)이 제거된 영상이 저장될 수 있다. 이때, 외부 접속자의 영상 요청시 제1 가상화 단말(110)은 미리 저장된 영상을 외부 접속자에게 전송할 수 있다. 한 실시예로서, IoT 장치(130)가 IP 카메라인 경우, 제2 가상화 단말(120)의 2차 캐시 저장 모듈(122)에는 시스템 설정 변경에 대한 응답이 캐싱될 수 있다.
도 9를 참조하면, IoT 장치(130)가 공유기인 경우, 제1 가상화 단말(110)의 1차 캐시 저장 모듈(112)에는 9a의 각 응답이 캐싱될 수 있고, 제2 가상화 단말(120)의 2차 캐시 저장 모듈(122)에는 9b의 각 응답이 캐싱될 수 있다. 한 실시예로서, IoT 장치(130)가 공유기인 경우, 제1 가상화 단말(110)의 1차 캐시 저장 모듈(112)에는 DNS 설정 변경에 대한 응답, VPN 설정 변경에 대한 응답이 캐싱될 수 있다. 한 실시예로서, IoT 장치(130)가 공유기인 경우, 제2 가상화 단말(120)의 2차 캐시 저장 모듈(122)에는 시스템 설정 변경에 대한 응답이 캐싱될 수 있다.
도 10을 참조하면, IoT 장치(130)가 NAS인 경우, 제1 가상화 단말(110)의 1차 캐시 저장 모듈(112)에는 10a의 각 응답이 캐싱될 수 있고, 제2 가상화 단말(120)의 2차 캐시 저장 모듈(122)에는 10b의 각 응답이 캐싱될 수 있다. 한 실시예로서, IoT 장치(130)가 NAS인 경우, 제1 가상화 단말(110)의 1차 캐시 저장 모듈(112)에는 파일 업로드, 파일 다운로드, 등록정보 변경에 대한 응답이 캐싱될 수 있다. 한 실시예로서, IoT 장치(130)가 NAS인 경우, 제2 가상화 단말(120)의 2차 캐시 저장 모듈(122)에는 시스템 설정 변경에 대한 응답이 캐싱될 수 있다.
도 11을 참조하면, IoT 장치(130)가 AI 스피커인 경우, 제1 가상화 단말(110)의 1차 캐시 저장 모듈(112)에는 11a의 각 응답이 캐싱될 수 있고, 제2 가상화 단말(120)의 2차 캐시 저장 모듈(122)에는 11b의 각 응답이 캐싱될 수 있다. 한 실시예로서, IoT 장치(130)가 AI 스피커인 경우, 제1 가상화 단말(110)의 1차 캐시 저장 모듈(112)에는 로그인 성공에 대한 응답, 로그인 실패에 대한 응답이 캐싱될 수 있다. 한 실시예로서, IoT 장치(130)가 AI 스피커인 경우, 제2 가상화 단말(120)의 2차 캐시 저장 모듈(122)에는 시스템 설정 변경에 대한 응답이 캐싱될 수 있다.
종합 관리부(200)는 로깅을 통해 수집된 정보를 분석하여 공격 패턴 정보를 추출한다.
도 12를 참조하면, 종합 관리부(200)는 한 실시예로서, 네트워크 프로토콜 분석기(210), 정보 수집기(220), 정보 분류기(230), 정보 공유기(240), 기기 관리기(250), 및 시각화기(260)를 포함할 수 있다.
네트워크 프로토콜 분석기(210)는 외부 접속자에 의해 전송되는 요청 패킷을 미러링한다. 네트워크 프로토콜 분석기(210)는 탭(TAP)(500)을 통해 패킷을 미러링하고, 해당 패킷을 분석한다. 네트워크 프로토콜 분석기(210)는 한 실시예로서 자유 오픈 소스 네트워크 침입 차단 시스템인 스노트(SNORT)일 수 있다.
정보 수집기(220)는 공격자 유인부(100)에서 로깅을 통해 수집된 정보를 수집한다. 정보 수집기(220)는 한 실시예로서 오픈 소스 기반 데이터베이스 관리 시시스템인 레디스(Redis)일 수 있다.
도 13은 한 실시예에 따른 공격패턴을 설명하기 위한 도면이다.
도 13을 참조하면, 정보 분류기(230)는 수집된 정보를 분석하여 공격 패턴 정보를 추출한다. 정보 분류기(230)는 한 실시예로서 4종의 IoT 장치(130)로 유입되는 공격패턴 내지 공격유형에 대한 구문 분석 및 정제를 수행할 수 있다.
IoT 장치(130)가 IP 카메라일 때의 공격 유형은 영상 유출이고, IoT 장치(130)가 공유기일 때의 공격 유형은 가짜 DNS, IP 세탁이며, IoT 장치(130)가 NAS일 때의 공격 유형은 파일 유출이며, IoT 장치(130)가 AI 스피커일 때의 공격 유형은 음성 유출일 수 있다.
한 실시예로서, 정보 수집기(220)를 통해 수집된 정보가 IP 카메라에 대한 로그인 시도 정보인 경우, 정보 분류기(230)는 입력된 로그인 ID 및 패스워드 정보를 공격 패턴으로써 분류하고 저장할 수 있다. 한 실시예로서, 정보 수집기(220)를 통해 수집된 정보가 NAS 환경설정 변경 정보인 경우, 정보 분류기(230)는 NAS 환경설정 변경 파라미터 정보를 공격 패턴으로써 분류하고 저장할 수 있다.
정보 공유기(240)는 공격 패턴 정보를 외부 서버(30)에 공유한다.
외부 서버(30)는 한 실시예로서 한국인터넷진흥원(KISA) 내부 R&D 센터 서버 또는 C-TAS(Cyber Threat Analysis System) 서버 또는 종합상황실 서버일 수 있다. 이를 통해, 국내 정보보호 기업과 정보 공유 체계를 수립할 수 있다.
외부 서버(30)는 한 실시예로서 IoT 장치(130)의 제조업체 서버일 수 있다.
정보 공유기(240)는 한 실시예로서, 공격 근원지에 피해 예방을 위한 조치를 요청하는 메일 또는 FAX를 전송할 수 있다.
기기 관리기(250)는 공격자 유인부(100)가 동작하지 않는 경우 초기화 또는 재기동시킨다. 기기 관리기(250)는 한 실시예로서 제1 가상화 단말(110), 제2 가상화 단말(120), 및 IoT 장치(130)의 동작 불능시 초기화 또는 재기동시킬 수 있다. 기기 관리기(250)는 제어부(140)와 별도로 제1 가상화 단말(110) 및 제2 가상화 단말(120)의 캐싱 데이터를 조절할 수 있다.
시각화기(260)는 공격 패턴 정보에 기반하여 시각화 데이터를 생성한다. 한 실시예로서, 시각화기(260)는 정보 분류기(230)를 통해 추출된 공격 패턴 정보를 바탕으로 IoT 위협 정보와 취약점 관계를 나타내는 그래프를 생성할 수 있다. 한 실시예로서, 시각화기(260)는 정보 분류기(230)를 통해 추출된 공격 패턴 정보를 바탕으로 IoT 공격 유형별 통계, 등록 IoT 장비 현황 통계, 등록 가상화 단말 현황 통계에 관한 시각화 데이터를 생성할 수 있다. 한 실시예로서, 시각화기(260)는 정보 분류기(230)를 통해 추출된 공격 패턴 정보를 바탕으로 국가별 접속 통계, IoT 공격 국가별 위치, 입력 트래픽의 지역별 위치를 나타내는 시각화 데이터를 생성할 수 있다. 시각화기(260)는 한 실시예로서, Elastic Stack사의 KIBANA를 이용하여 IoT 위협 정보와 취약점 관계를 나타내는 그래프, IoT 공격 유형별 통계, 등록 IoT 장비 현황 통계, 등록 가상화 단말 현황 통계에 관한 시각화 데이터, 국가별 접속 통계, IoT 공격 국가별 위치, 입력 트래픽의 지역별 위치를 나타내는 시각화 데이터를 생성할 수 있다. 시각화기(260)를 통해 현황 분석, 통계 분석의 시각화가 가능하고, 가시화 정보에 대한 대시보드 구현이 가능하다.
IoT 허니넷 시스템은 방화벽(300), 스위치(400), 탭(TAP)(500)을 더 포함할 수 있다.
방화벽(300)은 내부 또는 외부에서 발생하는 침입 공격을 차단하는 역할을 수행한다.
스위치(400)는 유인대역 네트워크 통신 장비에 배치될 수 있다.
탭(TAP)(500)은 네트워크 패킷 미러링을 수행한다.
도 14는 한 실시예에 다른 허니넷 시스템의 블록도이다.
도 14를 참조하면, 컴퓨터 시스템, 예를 들어 컴퓨터 판독 가능 매체로 구현될 수 있다. 컴퓨터 시스템(1400)은, 버스(1420)를 통해 통신하는 프로세서(1410), 메모리(1430), 사용자 인터페이스 입력 장치(1460), 사용자 인터페이스 출력 장치(1470), 및 저장 장치(1480) 중 적어도 하나를 포함할 수 있다. 컴퓨터 시스템(1400)은 또한 네트워크에 결합된 네트워크 인터페이스(1490)를 포함할 수 있다. 프로세서(1410)는 중앙 처리 장치(central processing unit, CPU)이거나, 또는 메모리(1430) 또는 저장 장치(1480)에 저장된 명령을 실행하는 반도체 장치일 수 있다. 메모리(1430) 및 저장 장치(1480)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체를 포함할 수 있다. 예를 들어, 메모리(1430)는 ROM(read only memory)(1431) 및 RAM(random access memory)(1432)를 포함할 수 있다. 본 기재의 실시예는 컴퓨터에 구현된 방법으로서 구현되거나, 컴퓨터 실행 가능 명령이 저장된 비일시적 컴퓨터 판독 가능 매체로서 구현될 수 있다. 한 실시예에서, 프로세서에 의해 실행될 때, 컴퓨터 판독 가능 명령은 본 기재의 적어도 하나의 양상에 따른 방법을 수행할 수 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (5)

  1. 사물 인터넷(Internet of Things, IoT) 허니넷 시스템으로서,
    IoT 장치를 포함하고, IoT 장치에 접속을 시도하는 외부 접속자의 요청 패킷에 대한 상기 IoT 장치의 응답을 캐싱한 후, 상기 외부 접속자의 동일한 요청 패킷에 대해, 캐싱된 상기 IoT 장치의 응답을 전송하고, 상기 외부 접속자의 트랜잭션에 대해 로깅을 수행하는 공격자 유인부, 및
    상기 로깅을 통해 수집된 정보를 분석하여 공격 패턴 정보를 추출하는 종합 관리부
    를 포함하고,
    상기 공격자 유인부는,
    상기 외부 접속자의 동일한 요청 패킷에 대한 상기 IoT 장치의 동일한 응답이 캐싱되어 있으면, 상기 동일한 응답을 상기 외부 접속자에게 전송하는 제1 가상화 단말,
    상기 외부 접속자의 동일한 요청 패킷에 대한 상기 동일한 응답이 캐싱되어 있으면, 상기 동일한 응답을 상기 제1 가상화 단말에게 전송하는 제2 가상화 단말, 및
    상기 IoT 장치를 포함하고,
    상기 제1 가상화 단말은 상기 외부 접속자의 동일한 요청 패킷에 대한 상기 동일한 응답이 캐싱되어 있지 않으면, 상기 제2 가상화 단말로부터 상기 동일한 응답을 수신하여 캐싱하고, 상기 동일한 응답을 상기 외부 접속자에게 전송하고,
    상기 종합 관리부는,
    상기 외부 접속자에 의해 전송되는 요청 패킷을 미러링하는 네트워크 프로토콜 분석기,
    상기 로깅을 통해 수집된 정보를 수집하는 정보 수집기,
    상기 수집된 정보를 분석하여 공격 패턴 정보를 추출하는 정보 분류기,
    상기 공격 패턴 정보를 외부 서버에 공유하는 정보 공유기,
    상기 공격자 유인부가 동작하지 않는 경우 초기화 또는 재기동시키는 기기관리기, 및
    상기 공격 패턴 정보에 기반하여 IoT 위협 정보와 취약점 관계를 나타내는 그래프, IoT 공격 유형별 통계, 등록 IoT 장비 현황 통계, 및 등록 가상화 단말 현황 통계에 관한 시각화 데이터, 그리고 국가별 접속 통계, IoT 공격 국가별 위치, 및 입력 트래픽의 지역별 위치를 나타내는 시각화 데이터를 생성하는 시각화기를 포함하는 허니넷 시스템.
  2. 삭제
  3. 제1항에서,
    상기 제1 가상화 단말 및 상기 제2 가상화 단말에 상기 외부 접속자의 동일한 요청 패킷에 대한 동일한 응답이 캐싱되어 있지 않으면, 상기 제2 가상화 단말은 상기 IoT 장치로부터 상기 동일한 응답을 수신하여 캐싱하고, 상기 동일한 응답을 상기 제1 가상화 단말에게 전송하는, 허니넷 시스템.
  4. 삭제
  5. 삭제
KR1020190091921A 2019-07-29 2019-07-29 패킷 가상화를 이용한 IoT 허니넷 시스템 KR102062718B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190091921A KR102062718B1 (ko) 2019-07-29 2019-07-29 패킷 가상화를 이용한 IoT 허니넷 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190091921A KR102062718B1 (ko) 2019-07-29 2019-07-29 패킷 가상화를 이용한 IoT 허니넷 시스템

Publications (1)

Publication Number Publication Date
KR102062718B1 true KR102062718B1 (ko) 2020-01-07

Family

ID=69153742

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190091921A KR102062718B1 (ko) 2019-07-29 2019-07-29 패킷 가상화를 이용한 IoT 허니넷 시스템

Country Status (1)

Country Link
KR (1) KR102062718B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100734732B1 (ko) * 2002-12-05 2007-07-04 인터내셔널 비지네스 머신즈 코포레이션 컴퓨터 침입 관리 방법 및 시스템과 컴퓨터 판독가능 기록매체
JP5713445B2 (ja) * 2011-06-24 2015-05-07 日本電信電話株式会社 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム
KR101917062B1 (ko) * 2017-11-02 2018-11-09 한국과학기술원 소프트웨어 정의 네트워크에서 링크 플러딩 공격을 완화하기 위한 허니넷 방법, 시스템 및 컴퓨터 프로그램

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100734732B1 (ko) * 2002-12-05 2007-07-04 인터내셔널 비지네스 머신즈 코포레이션 컴퓨터 침입 관리 방법 및 시스템과 컴퓨터 판독가능 기록매체
JP5713445B2 (ja) * 2011-06-24 2015-05-07 日本電信電話株式会社 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム
KR101917062B1 (ko) * 2017-11-02 2018-11-09 한국과학기술원 소프트웨어 정의 네트워크에서 링크 플러딩 공격을 완화하기 위한 허니넷 방법, 시스템 및 컴퓨터 프로그램

Similar Documents

Publication Publication Date Title
US10721243B2 (en) Apparatus, system and method for identifying and mitigating malicious network threats
US7561515B2 (en) Role-based network traffic-flow rate control
US8881281B1 (en) Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data
US7409714B2 (en) Virtual intrusion detection system and method of using same
KR100796996B1 (ko) 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치
WO2017139489A1 (en) Automated honeypot provisioning system
US11258812B2 (en) Automatic characterization of malicious data flows
KR101156005B1 (ko) 네트워크 공격 탐지 및 분석 시스템 및 그 방법
EP2767056A1 (en) A method and a system to detect malicious software
Aldabbas et al. A novel mechanism to handle address spoofing attacks in SDN based IoT
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
KR20170090161A (ko) SDN에서의 DoS공격 방어시스템 및 이의 구현방법
CN110266673B (zh) 基于大数据的安全策略优化处理方法和装置
Iqbal et al. Wireshark as a tool for detection of various LAN attacks
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
Akbaş et al. A preliminary survey on the security of software-defined networks
KR102062718B1 (ko) 패킷 가상화를 이용한 IoT 허니넷 시스템
JP2003264595A (ja) パケット中継装置、パケット中継システムおよびオトリ誘導システム
JP4753264B2 (ja) ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出)
JP3986871B2 (ja) アンチプロファイリング装置およびアンチプロファイリングプログラム
Khirwadkar Defense against network attacks using game theory
Gowda et al. Detection And Prevention of ARP Attack in Software Defined Networks
US11539741B2 (en) Systems and methods for preventing, through machine learning and access filtering, distributed denial of service (“DDoS”) attacks originating from IoT devices
KR102401661B1 (ko) DDoS 공격의 탐지 및 방어 시스템 및 그 방법
Salim et al. A precise model to secure systems on Ethernet against man-in-the-middle attack

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant