KR102119317B1 - Apparatus and method for identifying a user terminal and blocking access to a wireless access point - Google Patents

Apparatus and method for identifying a user terminal and blocking access to a wireless access point Download PDF

Info

Publication number
KR102119317B1
KR102119317B1 KR1020180117354A KR20180117354A KR102119317B1 KR 102119317 B1 KR102119317 B1 KR 102119317B1 KR 1020180117354 A KR1020180117354 A KR 1020180117354A KR 20180117354 A KR20180117354 A KR 20180117354A KR 102119317 B1 KR102119317 B1 KR 102119317B1
Authority
KR
South Korea
Prior art keywords
wireless
user terminal
access
vulnerability
database
Prior art date
Application number
KR1020180117354A
Other languages
Korean (ko)
Other versions
KR20190049449A (en
Inventor
조대일
박상선
정종원
Original Assignee
한국시스템보증(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국시스템보증(주) filed Critical 한국시스템보증(주)
Publication of KR20190049449A publication Critical patent/KR20190049449A/en
Application granted granted Critical
Publication of KR102119317B1 publication Critical patent/KR102119317B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Abstract

일실시예에서, 무선 AP 관리 리스트를 저장하는 무선 AP 데이터베이스; 사용자 단말에 대한 취약점 정보를 저장하는 취약점 데이터베이스; 비정상 사용자 단말 리스트를 저장하는 블랙리스트 데이터베이스; 및 상기 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 상기 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 SIEM 서버를 포함한다.In one embodiment, a wireless AP database storing a wireless AP management list; A vulnerability database that stores vulnerability information for a user terminal; A black list database for storing a list of abnormal user terminals; And a SIEM server that determines whether to allow the user terminal to access the wireless AP using the blacklist database and the vulnerability database in response to a user terminal confirmation request received from the wireless AP included in the wireless AP management list. do.

Figure R1020180117354
Figure R1020180117354

Description

사용자 단말을 식별하여 무선 AP로의 접속을 차단하는 장치 및 방법{APPARATUS AND METHOD FOR IDENTIFYING A USER TERMINAL AND BLOCKING ACCESS TO A WIRELESS ACCESS POINT}Device and method for blocking access to a wireless AP by identifying a user terminal{APPARATUS AND METHOD FOR IDENTIFYING A USER TERMINAL AND BLOCKING ACCESS TO A WIRELESS ACCESS POINT}

무선 근거리 통신망(Wireless Local Area Network; WLAN)의 AP(Access Point)에 접속 처리를 수행하는 장치 및 방법에 연관되며, 보다 구체적으로는 악성 공유기를 미리 평가 및 판단하여 회피하기 위한 공유기 접속 처리 장치 및 방법에 연관된다.Associated with an apparatus and method for performing access processing to an access point (AP) of a wireless local area network (WLAN), and more specifically, a router access processing device for evaluating and evading a malicious router in advance and How to do it.

기업의 정보보안이 날로 중요해지는 가운데, 공격자들은 다양한 경로를 통하여 사용자의 정보를 탈취하기 위해 공격해오고 있다. 그 중 유선 네트워크에 대한 보안은 각종 소프트웨어를 통하여 해결이 가능하지만 무선 AP에 대한 보안은 해커들의 다양한 공격으로부터 방어하기 매우 어려우며 그 방법 또한 매우 제한적이다.With enterprise information security becoming increasingly important, attackers have been attacking to steal user information through various channels. Among them, security for a wired network can be solved through various software, but security for a wireless AP is very difficult to defend against various attacks from hackers, and the method is also very limited.

특히, 최근 들어 무선 AP에 대한 공격이 더욱 심화되고 있으며, 예를 들어 무선 AP에 대한 공격과 DNS 위/변조를 통하여 무선 AP에 접속된 장치에 저장되어 있는 개인정보를 탈취하는 사례 및 무선 AP를 통하여 IPTV나 CCTV를 해킹하는 사례 등이 발생하고 있다.In particular, recently, attacks on wireless APs have been further intensified, for example, attacks on wireless APs and cases of stealing personal information stored in devices connected to wireless APs through DNS forgery and forgery and wireless APs. Through this, there are cases of hacking IPTV or CCTV.

무선 AP에 대한 공격을 방어하는 방법은 여러 종류로 구분되나, 크게 보아 무선 AP 제조업체에서 제공하는 펌웨어 버전을 항상 최신버전으로 유지하는 방법과 무선 AP에서 제공하는 가장 강력한 보안성과 암호화 방식을 사용하는 방법이 있다.There are several types of methods to defend against attacks on wireless APs, but at a glance, how to keep the firmware version provided by the wireless AP manufacturer always up to date and how to use the strongest security and encryption method provided by the wireless AP. There is this.

그러나, 이러한 방법을 통해 방어하는 경우에도 공격자가 무선 AP에 대한 공격과 접속을 통하여 활동을 시작하는 순간 내부 시스템은 다양한 위험에 노출될 수 있다.However, even in the case of defense through this method, the internal system may be exposed to various risks as soon as an attacker starts an activity through an attack and connection to a wireless AP.

일실시예에 따르면 무선 AP 관리 리스트를 저장하는 무선 AP 데이터베이스; 사용자 단말에 대한 취약점 정보를 저장하는 취약점 데이터베이스; 비정상 사용자 단말 리스트를 저장하는 블랙리스트 데이터베이스; 및 상기 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 상기 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 SIEM (Security Information and Event Management) 서버를 포함하는 무선 AP 접속 차단 장치가 개시된다.According to an embodiment, a wireless AP database storing a wireless AP management list; A vulnerability database that stores vulnerability information for a user terminal; A black list database for storing a list of abnormal user terminals; And a SIEM (Security Information) for determining whether the user terminal is allowed to access the wireless AP using the blacklist database and the vulnerability database in response to a user terminal confirmation request received from the wireless AP included in the wireless AP management list. and Event Management) server.

다른 일실시예에 따르면 상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 사용자 단말의 취약점 점검을 수행하여 상기 취약점 데이터베이스에 저장하는, 무선 AP 접속 차단 장치가 개시된다.According to another embodiment, the SIEM server discloses a wireless AP access blocking device that performs vulnerability checking of a user terminal attempting to access the wireless AP and stores the vulnerability in the vulnerability database.

또 다른 일실시예에 다르면 상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 상기 사용자 단말에 취약점 사항을 통보하는, 무선 AP 접속 차단 장치가 제시된다.According to another embodiment, the SIEM server is provided with a wireless AP access blocking device that notifies the user terminal of attempting to access the wireless AP with a vulnerability.

다른 일실시예에 따르면 상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 상기 사용자 단말의 취약점 점수를 계산하고 상기 취약점 점수가 미리 지정되는 값 이하인 경우에만 상기 무선 AP로의 접속을 허용하는, 무선 AP 접속 차단 장치가 가능하다.According to another embodiment, the SIEM server calculates a vulnerability score of the user terminal attempting to access the wireless AP and allows access to the wireless AP only when the vulnerability score is equal to or less than a predetermined value. Blocking devices are possible.

다른 일실시예에 따르면 상기 SIEM 서버는 하나 이상의 무선 AP로부터 상기 하나 이상의 무선 AP의 IP 주소 및 MAC 주소를 수신하고, 상기 하나 이상의 무선 AP의 보안성을 검증하여 검증에 성공한 무선 AP에 연관된 정보를 상기 무선 AP 관리 리스트에 저장하는, 무선 AP 접속 차단 장치일 수 있다.According to another embodiment, the SIEM server receives IP addresses and MAC addresses of the one or more wireless APs from one or more wireless APs, verifies the security of the one or more wireless APs, and transmits information related to the successful wireless APs. It may be a wireless AP access blocking device that is stored in the wireless AP management list.

또 다른 일실시예에 따르면 상기 SIEM 서버는 멀웨어(malware) 정보 제공자로부터 비정상 사용자 단말의 MAC 주소를 수집하거나 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 MAC 주소를 수집하고, 수집된 상기 비정상 사용자 단말의 MAC 주소를 상기 비정상 사용자 단말 리스트에 저장하는, 무선 AP 접속 차단 장치도 가능하다.According to another embodiment, the SIEM server collects the MAC address of the abnormal user terminal from a malware information provider or uses the malware search tool to collect the MAC address of the abnormal user terminal, and collects the abnormal user terminal's MAC address. A wireless AP access blocking device that stores a MAC address in the abnormal user terminal list is also possible.

일실시예에 따르면 상기 사용자 단말 확인 요청은 상기 사용자 단말의 MAC 주소를 포함하고, 상기 SIEM 서버는 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인하는, 무선 AP 접속 차단 장치가 제시된다.According to one embodiment, the user terminal verification request includes the MAC address of the user terminal, and the SIEM server checks whether the MAC address of the user terminal is included in the abnormal user terminal list, blocking wireless AP access The device is presented.

다른 일실시예에 따르면 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는 경우, 상기 SIEM 서버는 상기 무선 AP에게 상기 사용자 단말에 대한 접속 차단 신호를 전송하는, 무선 AP 접속 차단 장치가 제시된다.According to another embodiment, when the MAC address of the user terminal is included in the abnormal user terminal list, the SIEM server transmits a connection blocking signal for the user terminal to the wireless AP, the wireless AP access blocking device Is presented.

일측에 따르면 SIEM 서버를 이용하여 무선 AP로의 접속을 차단하는 무선 AP 접속 차단 방법에 있어서, 무선 AP 관리 리스트를 무선 AP 데이터베이스에 저장하는 단계; 비정상 사용자 단말 리스트를 블랙리스트 데이터베이스에 저장하는 단계; 사용자 단말에 대한 취약점 정보를 취약점 데이터베이스에 저장하는 단계; 및 상기 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 상기 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 단계를 포함하는 무선 AP 접속 차단 방법이 개시된다.According to one side, a wireless AP access blocking method for blocking access to a wireless AP using a SIEM server, the method comprising: storing a wireless AP management list in a wireless AP database; Storing the abnormal user terminal list in a blacklist database; Storing vulnerability information for the user terminal in a vulnerability database; And in response to a user terminal confirmation request received from the wireless AP included in the wireless AP management list, determining whether to allow the user terminal to access the wireless AP using the blacklist database and the vulnerability database. A wireless AP access blocking method is disclosed.

다른 일측에 따르면 상기 취약점 정보를 취약점 데이터베이스에 저장하는 단계는 상기 무선 AP에 접속을 시도하는 사용자 단말의 취약점 점검을 수행하여 상기 취약점 데이터베이스에 저장하는, 무선 AP 접속 차단 방법이 개시된다.According to another side, the step of storing the vulnerability information in the vulnerability database discloses a method of blocking a wireless AP access by performing a vulnerability check of a user terminal attempting to access the wireless AP and storing the vulnerability in the vulnerability database.

또 다른 일측에 따르면 상기 무선 AP에 접속을 시도하는 상기 사용자 단말에 취약점 사항을 통보하는 단계를 더 포함하는 무선 AP 접속 차단 방법도 가능하다.According to another aspect, a method of blocking access to a wireless AP, which further comprises the step of reporting a vulnerability to the user terminal attempting to access the wireless AP, is also possible.

다른 일측에 따르면 상기 무선 AP에 접속을 시도하는 상기 사용자 단말의 취약점 점수를 계산하는 단계; 및 상기 취약점 점수가 미리 지정되는 값 이하인 경우에만 상기 무선 AP로의 접속을 허용하는 단계를 더 포함하는 무선 AP 접속 차단 방법도 개시된다.According to another side, calculating a vulnerability score of the user terminal attempting to access the wireless AP; And allowing a connection to the wireless AP only when the vulnerability score is equal to or less than a predetermined value.

다른 일측에 따르면 상기 무선 AP 관리 리스트를 무선 AP 데이터베이스에 저장하는 단계는, 하나 이상의 무선 AP로부터 상기 하나 이상의 무선 AP의 IP 주소 및 MAC 주소를 수신하는 단계; 및 상기 하나 이상의 무선 AP의 보안성을 검증하여 검증에 성공한 무선 AP에 연관된 정보를 상기 무선 AP 관리 리스트에 저장하는 단계를 포함하는, 무선 AP 접속 차단 방법일 수 있다.According to another side, the step of storing the wireless AP management list in the wireless AP database may include receiving IP addresses and MAC addresses of the one or more wireless APs from one or more wireless APs; And verifying the security of the one or more wireless APs and storing information related to the wireless APs that are successfully verified in the wireless AP management list.

또 다른 일측에 따르면 비정상 사용자 단말 리스트를 블랙리스트 데이터베이스에 저장하는 단계는, 멀웨어(malware) 정보 제공자로부터 비정상 사용자 단말의 MAC 주소를 수집하는 단계; 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 MAC 주소를 수집하는 단계; 및 수집된 비정상 사용자 단말의 MAC 주소를 상기 비정상 사용자 단말 리스트에 저장하는 단계를 포함하는, 무선 AP 접속 차단 방법도 제시된다.According to another aspect, the step of storing the abnormal user terminal list in the blacklist database includes: collecting the MAC address of the abnormal user terminal from a malware information provider; Collecting the MAC address of the abnormal user terminal using a malware search tool; And storing the collected MAC address of the abnormal user terminal in the abnormal user terminal list.

일측에 따르면 상기 사용자 단말 확인 요청은 상기 사용자 단말의 MAC 주소를 포함하고, 상기 블랙리스트 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 단계는 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인하는 단계를 포함하는, 무선 AP 접속 차단 방법이 가능하다.According to one side, the user terminal verification request includes the MAC address of the user terminal, and determining whether to allow the user terminal to access the wireless AP using the black list database includes: A wireless AP access blocking method is possible, including the step of checking whether it is included in the abnormal user terminal list.

다른 일측에 따르면 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는 경우 상기 무선 AP에게 상기 사용자 단말에 대한 접속 차단 신호를 전송하는 단계를 더 포함하는, 무선 AP 접속 차단 방법도 개시된다.According to another side, when the MAC address of the user terminal is included in the abnormal user terminal list, further comprising the step of transmitting a connection blocking signal for the user terminal to the wireless AP, a wireless AP access blocking method is also disclosed. .

일실시예에 따르면 상기 무선 AP 접속 차단 방법을 수행하는 프로그램을 수록한 컴퓨터 판독 가능 기록 매체도 제시된다.According to one embodiment, a computer-readable recording medium including a program for performing the wireless AP access blocking method is also provided.

도 1은 일실시예에 따른 무선 AP 접속 차단 장치를 예시적으로 도시한 블록도이다.
도 2는 일실시예에 따른 무선 AP 접속 차단 장치의 동작을 설명하기 위한 도면이다.
도 3은 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다.
도 4는 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다.
도 5는 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다.
도 6은 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다.
도 7은 일실시예에 따른 무선 AP 접속 차단 장치를 예시적으로 도시한 블록도이다.
도 8은 일실시예에 따른 무선 AP 접속 차단 장치 중 SIEM 서버의 구체적인 구성을 도시한 도면이다.
도 9는 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다.1 is a block diagram illustrating an exemplary wireless AP access blocking device according to an embodiment.
2 is a view for explaining the operation of the wireless AP access blocking device according to an embodiment.
3 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment.
4 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment.
5 is a flowchart for explaining a method of blocking wireless AP access according to an embodiment.
6 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment.
7 is a block diagram illustrating an exemplary wireless AP access blocking device according to an embodiment.
8 is a diagram illustrating a specific configuration of a SIEM server among wireless AP access blocking devices according to an embodiment.
9 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment.

이하에서, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 권리범위는 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the scope of rights is not limited or limited by these embodiments. The same reference numerals in each drawing denote the same members.

아래 설명에서 사용되는 용어는, 연관되는 기술 분야에서 일반적이고 보편적인 것으로 선택되었으나, 기술의 발달 및/또는 변화, 관례, 기술자의 선호 등에 따라 다른 용어가 있을 수 있다. 따라서, 아래 설명에서 사용되는 용어는 기술적 사상을 한정하는 것으로 이해되어서는 안 되며, 실시예들을 설명하기 위한 예시적 용어로 이해되어야 한다.The terminology used in the description below has been selected to be general and universal in the related technical field, but may have other terms depending on technology development and/or changes, conventions, and technical preferences. Therefore, the terms used in the following description should not be understood as limiting the technical idea, but should be understood as exemplary terms for describing the embodiments.

또한 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.Also, in certain cases, some terms are arbitrarily selected by the applicant, and in this case, the detailed meaning will be described in the corresponding description. Therefore, the terms used in the description below should be understood based on the meaning of the term and the entire contents of the specification, not just the name of the term.

도 1은 일실시예에 따른 무선 AP 접속 차단 장치를 예시적으로 도시한 블록도이다. 일실시예에서, 무선 AP 접속 차단 장치(100)는 보안 정보 및 이벤트 관리(Security Information and Event Management; SIEM) 서버를 이용하여 신원을 알 수 없는 사용자의 단말 또는 모바일 기기 등이 관리 대상인 무선 AP에 접속하지 못하도록 차단하는 프로세스를 처리하는 장치일 수 있다.1 is a block diagram illustrating an exemplary wireless AP access blocking device according to an embodiment. In one embodiment, the wireless AP access blocking device 100 uses a security information and event management (SIEM) server to connect to a wireless AP where a user's terminal or mobile device, etc., whose identity is unknown, is managed. It may be a device that processes a process that blocks access.

일실시예에서, 무선 AP 접속 차단 장치(100)는 SIEM 서버(110), 무선 AP 데이터베이스(120) 및 블랙리스트 데이터베이스(130)를 포함할 수 있다. 무선 AP 데이터베이스(120) 및 블랙리스트 데이터베이스(130)는 SIEM 서버(110)와 별개로 구성되는 서버 및/또는 기록 매체를 통해 구현될 수 있으나, SIEM 서버(110)와 전부 또는 일부의 구성요소를 공유하는 형태로 구현될 수도 있다.In one embodiment, the wireless AP access blocking device 100 may include a SIEM server 110, a wireless AP database 120 and a blacklist database 130. The wireless AP database 120 and the blacklist database 130 may be implemented through a server and/or recording medium configured separately from the SIEM server 110, but the SIEM server 110 and all or some of its components may be implemented. It can also be implemented in a shared form.

일실시예에서, 무선 AP 데이터베이스(120)에는 SIEM 서버(110)에서 관리 대상 무선 AP를 식별할 수 있도록 관리 대상 무선 AP에 연관된 정보가 저장되는 무선 AP 관리 리스트가 저장될 수 있다. 예를 들어, 무선 AP 관리 리스트는 무선 AP의 IP 주소 및 MAC 주소 등의 정보를 포함할 수 있다.In one embodiment, the wireless AP database 120 may store a wireless AP management list in which information related to the managed wireless AP is stored so that the SIEM server 110 can identify the managed wireless AP. For example, the wireless AP management list may include information such as the IP address and MAC address of the wireless AP.

일실시예에서, 무선 AP 관리 리스트는 무선 AP의 보안성 등급에 관한 정보를 추가적으로 포함할 수 있다. 이 경우, 사용자 단말의 무선 AP에 대한 접속이 허용되는 경우에 해당 사용자 단말에게 무선 AP의 보안성 등급에 관한 정보를 전달할 수 있다.In one embodiment, the wireless AP management list may additionally include information regarding the security level of the wireless AP. In this case, when access to the wireless AP of the user terminal is allowed, information regarding the security level of the wireless AP may be transmitted to the user terminal.

이 때, 무선 AP의 보안성 등급은 무선 AP 데이터베이스(120) 구축 과정에서 SIEM 서버(110)에 의해 결정될 수 있고, 또는 보안성 등급을 부여하기 위한 외부 디바이스가 추가적으로 이용될 수 있다. 무선 AP 데이터베이스(120) 구축 또는 업데이트에 관하여는 아래에서 더 자세하게 설명된다.At this time, the security level of the wireless AP may be determined by the SIEM server 110 in the process of establishing the wireless AP database 120, or an external device for granting the security level may be additionally used. The wireless AP database 120 is constructed or updated in more detail below.

일실시예에서, 블랙리스트 데이터베이스(130)에는 SIEM 서버(110)에서 무선 AP 보호를 위하여 접속을 차단하기 위한 비정상 사용자 단말을 식별할 수 있도록 비정상 사용자 단말에 연관된 정보가 저장되는 비정상 사용자 단말 리스트가 저장될 수 있다. 비정상 사용자 단말은 무선 AP에 대한 해킹 등의 공격을 할 위험성이 높은 단말을 지칭한다. 일실시예에서, 비정상 사용자 단말 리스트는 비정상 사용자 단말의 IP 주소 등의 정보를 포함할 수 있다.In one embodiment, the blacklist database 130 includes an abnormal user terminal list in which information related to the abnormal user terminal is stored so that the SIEM server 110 can identify the abnormal user terminal for blocking access for wireless AP protection. Can be saved. The abnormal user terminal refers to a terminal having a high risk of attack, such as hacking, to the wireless AP. In one embodiment, the abnormal user terminal list may include information such as the IP address of the abnormal user terminal.

일실시예에서, 비정상 사용자 단말 리스트는 멀웨어(malware) 등을 통해 무선 AP를 해킹하거나 마비시킬 수 있는 위험성이 높은 사용자 단말에 대한 정보를 포함할 수 있다.In one embodiment, the abnormal user terminal list may include information on a high-risk user terminal capable of hacking or paralyzing a wireless AP through malware or the like.

일실시예에서, 비정상 사용자 단말 리스트는 악성코드 유포자, 피싱 사이트 및 기타 유해 사이트에 대한 최신 정보를 제공하는 멀웨어 정보 제공자로부터 비정상 사용자 단말에 대한 정보를 입수하여 구축 및 업데이트 될 수 있다. 제한적이지 않은 예로서, Malwaredomainlist 및 HpHosts 등과 같은 정보 제공 서비스로부터 비정상 사용자 단말의 IP 주소를 제공받는 방식이 이용될 수 있다.In one embodiment, the abnormal user terminal list may be constructed and updated by acquiring information about the abnormal user terminal from a malware information provider providing the latest information about the malicious code distributors, phishing sites, and other harmful sites. As a non-limiting example, a method of receiving an IP address of an abnormal user terminal from an information providing service such as Malwaredomainlist and HpHosts may be used.

또한, 비정상 사용자 단말 리스트는 SIEM 서버(110)에서 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말에 대한 정보를 수집하여 구축 및 업데이트 될 수 있다. 제한적이지 않은 예로서, Yara 툴과 같은 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 IP 주소를 수집하는 방식이 이용될 수 있다.In addition, the abnormal user terminal list may be constructed and updated by collecting information about the abnormal user terminal using a malware search tool in the SIEM server 110. As a non-limiting example, a method of collecting the IP address of the abnormal user terminal using a malware search tool such as the Yara tool may be used.

한편, 알 수 없는 공격자의 IP 스푸핑(spoofing)에 의해, 업무상 이용되어야 하는 검증된 무선 AP가 비정상 사용자 단말 리스트에 등록되는 경우가 발생할 가능성도 배제할 수 없다. 이러한 방식의 공격에 대응하기 위하여, 특정 IP 또는 특정 IP 대역은 비정상 사용자 단말 리스트에 등록되지 않도록 설정할 수 있다. 예를 들어, 네트워크 내부에서 사용되는 AP 또는 단말기의 IP 대역이 비정상 사용자 단말 리스트에 등록되지 않도록 예외를 설정할 수 있다.On the other hand, by the IP spoofing of an unknown attacker, the possibility that a case where a verified wireless AP that should be used for work is registered in the abnormal user terminal list cannot be excluded. In order to respond to this type of attack, a specific IP or a specific IP band may be set not to be registered in the abnormal user terminal list. For example, an exception may be set so that the IP band of the AP or terminal used in the network is not registered in the abnormal user terminal list.

이상에서 설명된 방식으로 무선 AP 데이터베이스(120) 및 블랙리스트 데이터베이스(130)가 구축되면, SIEM 서버(110)는 사용자 단말의 접속 요청을 받은 무선 AP로부터 사용자 단말 확인 요청을 수신하고, 사용자 단말 확인 요청에 응답하여 블랙리스트 데이터베이스(130)를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정할 수 있다.When the wireless AP database 120 and the blacklist database 130 are constructed in the manner described above, the SIEM server 110 receives a user terminal confirmation request from the wireless AP receiving the user terminal access request, and confirms the user terminal In response to the request, it is possible to determine whether to allow the user terminal to access the wireless AP using the blacklist database 130.

예를 들어, SIEM 서버(110)는 무선 AP로부터 접속 요청 중인 사용자 단말의 IP 주소를 수신하고, 이 사용자 단말의 IP 주소가 블랙리스트 데이터베이스(130)에 저장된 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인할 수 있다.For example, the SIEM server 110 receives the IP address of the user terminal requesting access from the wireless AP, and whether the IP address of the user terminal is included in the list of abnormal user terminals stored in the blacklist database 130. Can be confirmed.

사용자 단말의 IP주소가 비정상 사용자 단말 리스트에 포함되어 있는 경우, SIEM 서버(110)는 무선 AP에게 사용자 단말에 대한 접속 차단 신호를 전송하여 무선 AP가 해당 사용자 단말의 접속 정보를 메모리에서 삭제하고 해당 사용자 단말의 접속을 차단하도록 할 수 있다.When the IP address of the user terminal is included in the list of abnormal user terminals, the SIEM server 110 transmits a connection blocking signal for the user terminal to the wireless AP, so that the wireless AP deletes the user terminal's access information from the memory. It is possible to block access to the user terminal.

사용자 단말의 IP주소가 비정상 사용자 단말 리스트에 포함되어 있지 않은 경우, SIEM 서버(110)는 무선 AP에게 사용자 단말에 대한 접속 허용 신호를 전송하여 무선 AP가 해당 사용자 단말의 접속을 허용하도록 할 수 있다.If the IP address of the user terminal is not included in the list of abnormal user terminals, the SIEM server 110 may transmit a connection permission signal for the user terminal to the wireless AP to allow the wireless AP to access the user terminal. .

이러한 방식으로, SIEM 서버(110)는 네트워크 시스템에 관한 종래의 일반적인 SIEM 서버의 기능에 더하여, 무선 AP 데이터베이스(120)를 이용하여 관리 대상이 되는 무선 AP를 확인하고, 블랙리스트 데이터베이스(130)를 이용하여 관리 대상이 되는 무선 AP에 비정상 사용자 단말이 접속하지 못하도록 차단하는 기능을 수행할 수 있다.In this way, the SIEM server 110 identifies the wireless AP to be managed using the wireless AP database 120 in addition to the functions of the conventional SIEM server related to the network system, and the blacklist database 130. By using it, a function of blocking an abnormal user terminal from accessing a wireless AP to be managed may be performed.

도 2는 일실시예에 따른 무선 AP 접속 차단 장치의 동작을 설명하기 위한 도면이다. 이하에서는 도 2를 참조하여 무선 AP 접속 차단에 관한 프로세스를 설명한다.2 is a view for explaining the operation of the wireless AP access blocking device according to an embodiment. Hereinafter, a process for blocking wireless AP access will be described with reference to FIG. 2.

일실시예에서, SIEM 서버(220)는 무선 AP(210)를 관리 대상으로 지정하여 보호하기 위하여 사전에 무선 AP(210)와 서로 연동하는 과정을 수행할 수 있다. 예를 들어, SIEM 서버(220)는 일차적으로 무선 AP(210)와의 정상적인 통신이 가능한지 확인한 후 무선 AP(210)로부터 무선 AP(210)의 IP 주소 및 MAC 주소를 수신하고, 무선 AP(210)의 보안성을 검증하여 검증에 성공한 경우 무선 AP(210)에 연관된 정보를 무선 AP 데이터베이스(230)의 무선 AP 관리 리스트에 저장할 수 있다.In one embodiment, the SIEM server 220 may perform a process of interworking with the wireless AP 210 in advance to protect the wireless AP 210 by designating it as a management target. For example, the SIEM server 220 primarily checks whether normal communication with the wireless AP 210 is possible, and then receives the IP address and MAC address of the wireless AP 210 from the wireless AP 210, and the wireless AP 210 If the verification is successful by verifying the security of, the information related to the wireless AP 210 may be stored in the wireless AP management list of the wireless AP database 230.

무선 AP(210)의 보안성을 검증하기 위하여, SIEM 서버(220)는 무선 AP(210)의 펌웨어 버전이 최신 버전으로 유지되고 있는지를 확인하고, 무선 AP(210)의 DNS 설정이 외부 공격 등에 의해 위조 또는 변조되지 않았는지 여부를 확인할 수 있다. In order to verify the security of the wireless AP 210, the SIEM server 220 checks whether the firmware version of the wireless AP 210 is maintained to the latest version, and the DNS settings of the wireless AP 210 are external attacks, etc. It can be checked whether it has been falsified or falsified.

일실시예에서, SIEM 서버(220)는 보안성을 검증한 무선 AP(210)에 보안성 등급을 부여할 수 있다. 보안성 등급은 단순하게 승인 및 불승인으로 부여될 수도 있으나, 바람직하게는 보안성 정도에 따라 3개 이상의 등급으로 평가될 수 있다.In one embodiment, the SIEM server 220 may assign a security level to the wireless AP 210 that has verified security. The security level may be simply granted or disapproved, but preferably, it may be evaluated as three or more levels according to the security level.

여기서 SIEM 서버(220)에 의해 무선 AP(210)의 보안성 검증 및 보안성 등급 부여가 수행되는 것으로 설명되었으나, 무선 AP(210)의 보안성 검증 및/또는 보안성 등급 부여를 위하여 외부 디바이스가 추가적으로 또는 대안적으로 이용될 수 있다.Here, it has been described that the security verification and security rating of the wireless AP 210 are performed by the SIEM server 220, but an external device is used for security verification and/or security rating of the wireless AP 210. It may additionally or alternatively be used.

일실시예에서, SIEM 서버(220)는 미확인 사용자 단말 중 위험성이 높은 비정상 사용자 단말을 식별하기 위하여 블랙리스트 데이터베이스(250)를 구축 및 업데이트 할 수 있다.In one embodiment, the SIEM server 220 may build and update the blacklist database 250 to identify abnormal user terminals with high risk among unidentified user terminals.

블랙리스트 데이터베이스(250)의 구축을 위하여, SIEM 서버(220)는 멀웨어 정보 제공자(240)로부터 비정상 사용자 단말에 대한 정보를 수신하거나 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말에 대한 정보를 수집할 수 있다. 비정상 사용자 단말의 식별을 위한 정보는 비정상 사용자 단말의 IP 주소를 포함할 수 있다.For the construction of the blacklist database 250, the SIEM server 220 may receive information on the abnormal user terminal from the malware information provider 240 or collect information on the abnormal user terminal using a malware search tool. . The information for identification of the abnormal user terminal may include the IP address of the abnormal user terminal.

바람직한 실시예에서, SIEM 서버(220)는 주기적으로 블랙리스트 데이터베이스(250)를 업데이트하여 비정상 사용자 단말 리스트에 최신 정보가 유지되도록 할 수 있다.In a preferred embodiment, the SIEM server 220 may periodically update the blacklist database 250 so that the latest information is maintained in the abnormal user terminal list.

일실시예에서, SIEM 서버(220)는 멀웨어 정보 제공자(240)의 업데이트 주기와 동일한 주기 또는 멀웨어 정보 제공자(240)의 업데이트 주기보다 더 짧은 주기로 멀웨어 정보 제공자(240)로부터 비정상 사용자 단말에 대한 정보를 수신하여 이를 블랙리스트 데이터베이스(250)의 비정상 사용자 단말 리스트에 반영할 수 있다.In one embodiment, the SIEM server 220 is the same period as the update period of the malware information provider 240 or a period shorter than the update period of the malware information provider 240, information about the abnormal user terminal from the malware information provider 240 By receiving it, it can be reflected in the list of abnormal user terminals in the blacklist database 250.

또한, 멀웨어 정보 제공자(240) 및 멀웨어 탐색 도구를 모두 이용하여 비정상 사용자 단말 리스트를 구축 및 업데이트 하는 경우, 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말에 대한 정보를 수집하는 주기는 멀웨어 정보 제공자(240)로부터 비정상 사용자 단말에 대한 정보를 수신하는 주기보다 더 짧게 설정될 수 있다.In addition, when a list of abnormal user terminals is constructed and updated using both the malware information provider 240 and the malware search tool, the cycle of collecting information about the abnormal user terminal using the malware search tool is the malware information provider 240 It may be set to be shorter than the period for receiving information on the abnormal user terminal from.

일실시예에서, 무선 AP 관리 리스트에 포함된 무선 AP(210)에 대한 임의의 사용자 단말(260, 270)의 접속 요청이 있는 경우 무선 AP(210)는 SIEM 서버(220)에 사용자 단말 확인 요청을 전송한다. 예를 들어, 사용자 단말 확인 요청 시 무선 AP(210)는 SIEM 서버(220)에게 사용자 단말의 IP 주소를 함께 전송할 수 있다.In one embodiment, when there is a request to access any user terminal 260 or 270 to the wireless AP 210 included in the wireless AP management list, the wireless AP 210 requests the SIEM server 220 to confirm the user terminal To send. For example, when requesting user terminal confirmation, the wireless AP 210 may transmit the IP address of the user terminal to the SIEM server 220.

SIEM 서버(220)는 무선 AP(210)로부터 사용자 단말 확인 요청이 수신된 경우, 무선 AP 데이터베이스(230)의 무선 AP 관리 리스트를 참조하여 무선 AP(210)가 관리 대상에 포함된 AP인지를 확인할 수 있다. 무선 AP(210)가 SIEM 서버(220)의 관리 대상인 경우, 무선 AP(210)로부터 수신된 사용자 단말의 IP 주소가 블랙리스트 데이터베이스(250)의 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인할 수 있다.When the user terminal verification request is received from the wireless AP 210, the SIEM server 220 checks whether the wireless AP 210 is an AP included in the management target by referring to the wireless AP management list of the wireless AP database 230. Can be. When the wireless AP 210 is the management target of the SIEM server 220, it can be checked whether the IP address of the user terminal received from the wireless AP 210 is included in the list of abnormal user terminals in the blacklist database 250. .

즉, SIEM 서버(220)는 블랙리스트 데이터베이스(250)를 참조하여 사용자 단말(260, 270)의 무선 AP(210)에 대한 접속 허용 여부를 결정할 수 있다. 사용자 단말의 IP주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는 경우 SIEM 서버(220)는 무선 AP(210)에게 접속 차단 신호를 전송하고, 사용자 단말의 IP주소가 상기 비정상 사용자 단말 리스트에 포함되어 있지 않은 경우 SIEM 서버(220)는 무선 AP(210)에게 접속 허용 신호를 전송할 수 있다.That is, the SIEM server 220 may determine whether to allow the user terminals 260 and 270 to access the wireless AP 210 with reference to the blacklist database 250. When the IP address of the user terminal is included in the abnormal user terminal list, the SIEM server 220 transmits a connection blocking signal to the wireless AP 210, and the IP address of the user terminal is not included in the abnormal user terminal list. If not, the SIEM server 220 may transmit a connection permission signal to the wireless AP 210.

무선 AP(210)는 SIEM 서버(220)로부터 수신된 접속 차단 신호 또는 접속 허용 신호에 따라 사용자 단말(260, 270)에 대한 접속을 차단 또는 허용할 수 있다. 예를 들어, 블랙리스트 데이터베이스(250)의 비정상 사용자 단말 리스트에 포함되지 않은 사용자 단말(260)에 대하여는 무선 AP(210)로의 접속을 허용하고, 블랙리스트 데이터베이스(250)의 비정상 사용자 단말 리스트에 포함된 사용자 단말(270)에 대하여는 무선 AP(210)로의 접속을 차단할 수 있다.The wireless AP 210 may block or allow access to the user terminals 260 and 270 according to the access blocking signal or the access permission signal received from the SIEM server 220. For example, for the user terminal 260 that is not included in the abnormal user terminal list of the black list database 250, access to the wireless AP 210 is allowed and included in the abnormal user terminal list of the black list database 250 The connected user terminal 270 may be blocked from accessing the wireless AP 210.

도 3은 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다. 구체적으로, 도 3에는 SIEM 서버에서 무선 AP 접속 허용 여부를 결정하는 과정이 개략적으로 도시된다.3 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment. Specifically, FIG. 3 schematically shows a process of determining whether to allow wireless AP access in the SIEM server.

단계(310)에서, 무선 AP 관리 리스트가 무선 AP 데이터베이스에 저장될 수 있다. 위에서 설명된 바와 같이, 무선 AP 관리 리스트는 SIEM 서버에서 관리 대상으로 지정하여 보호하기 위한 무선 AP와의 사전 연동 과정을 반영한 리스트로서 보안성 검증이 완료된 하나 이상의 무선 AP에 대한 정보를 포함할 수 있다.In step 310, the wireless AP management list may be stored in the wireless AP database. As described above, the wireless AP management list is a list reflecting a pre-interlocking process with a wireless AP for designating and protecting as a management target in the SIEM server, and may include information on one or more wireless APs whose security verification has been completed.

단계(320)에서, 비정상 사용자 단말 리스트가 블랙리스트 데이터베이스에 저장될 수 있다. 위에서 설명된 바와 같이, 비정상 사용자 단말 리스트는 무선 AP에 대한 해킹 등의 공격을 할 위험성이 높은 단말에 대한 정보를 포함할 수 있으며, 멀웨어 정보 제공자 및/또는 멀웨어 탐색 도구를 통해 구축 및 업데이트 될 수 있다.In step 320, the abnormal user terminal list may be stored in the black list database. As described above, the abnormal user terminal list may include information on terminals that are at high risk of attack, such as hacking on the wireless AP, and may be built and updated through a malware information provider and/or malware discovery tool. have.

단계(330)에서, 블랙리스트 데이터베이스를 이용하여 사용자 단말의 무선 AP로의 접속을 허용할 것인지 여부가 결정될 수 있다. 이를 위하여, 예를 들어 SIEM 서버는 블랙리스트 데이터베이스의 비정상 사용자 단말 리스트에 사용자 단말의 IP 주소가 포함되어 있는지 여부를 확인할 수 있다. 확인 결과에 따라, SIEM 서버는 무선 AP에게 접속 허용 신호 또는 접속 차단 신호를 전송할 수 있다.In step 330, it may be determined whether to allow the user terminal to access the wireless AP using the blacklist database. To this end, for example, the SIEM server can check whether the IP address of the user terminal is included in the list of abnormal user terminals in the black list database. According to the confirmation result, the SIEM server may transmit an access permission signal or an access blocking signal to the wireless AP.

도 4는 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다. 구체적으로, 도 4에는 SIEM 서버에서 무선 AP 관리 리스트와 무선 AP가 연동되는 과정이 개략적으로 도시된다.4 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment. Specifically, FIG. 4 schematically shows a process of interworking the wireless AP management list and the wireless AP in the SIEM server.

단계(410)에서, SIEM 서버는 무선 AP로부터 무선 AP의 IP 주소 및 MAC 주소를 수신할 수 있다. 일실시예에서, IP 주소 및 MAC 주소 이외에도 예를 들어 외부 기기에 의해 무선 AP에 대한 보안성 검증이 사전에 진행된 경우 보안성 등급이 이 단계에서 함께 수신될 수 있다.In step 410, the SIEM server may receive the IP address and MAC address of the wireless AP from the wireless AP. In one embodiment, in addition to the IP address and the MAC address, when the security verification for the wireless AP is previously performed by an external device, for example, the security level may be received together in this step.

단계(420)에서, SIEM 서버는 무선 AP의 IP 주소를 통해 무선 AP와의 통신이 가능한지 여부를 확인할 수 있다. 예를 들어, SIEM 서버는 무선 AP의 공인 IP 주소를 이용한 유선 및/또는 무선 통신으로 해당 AP와의 정상적인 통신이 가능한지를 확인할 수 있다.In step 420, the SIEM server may check whether communication with the wireless AP is possible through the IP address of the wireless AP. For example, the SIEM server may check whether normal communication with the corresponding AP is possible through wired and/or wireless communication using the public IP address of the wireless AP.

단계(430)에서, SIEM 서버는 무선 AP의 보안성을 검증할 수 있다. 예를 들어, SIEM 서버는 무선 AP의 펌웨어 버전 및 무선 AP의 DNS 설정을 확인하는 등 무선 AP가 외부 공격의 영향을 받은 이력이 있는지를 검증할 수 있다.In step 430, the SIEM server may verify the security of the wireless AP. For example, the SIEM server can verify whether the wireless AP has a history affected by an external attack, such as checking the firmware version of the wireless AP and DNS settings of the wireless AP.

단계(440)에서, SIEM 서버는 보안성 검증에 성공한 무선 AP에 연관된 정보를 무선 AP 데이터베이스에 저장할 수 있다. 예를 들어, SIEM 서버는 검증된 무선 AP를 무선 AP 데이터베이스의 무선 AP 관리 리스트에 저장하고, 이후 임의의 사용자 단말의 해당 무선 AP로의 접속 요청이 있는 경우 접속 허용 여부를 SIEM 서버에서 결정하는 방식으로 무선 AP를 보호할 수 있다.In step 440, the SIEM server may store information related to the wireless AP that has successfully verified security in the wireless AP database. For example, the SIEM server stores the verified wireless AP in the wireless AP management list of the wireless AP database, and then, if there is a request to access the corresponding wireless AP of any user terminal, the SIEM server determines whether to allow the access. The wireless AP can be protected.

도 5 및 도 6은 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다. 구체적으로, 도 5 및 도 6에는 블랙리스트 데이터베이스의 비정상 사용자 단말 리스트가 구축 또는 업데이트 되는 과정이 개략적으로 도시된다.5 and 6 are flowcharts for explaining a method of blocking wireless AP access according to an embodiment. Specifically, FIGS. 5 and 6 schematically illustrate a process in which an abnormal user terminal list of a blacklist database is built or updated.

도 5를 참조하여, 멀웨어 정보 제공자를 통해 블랙리스트 데이터베이스의 비정상 사용자 단말 리스트를 구축 또는 업데이트 하는 실시예가 설명된다.5, an embodiment in which an abnormal user terminal list in a blacklist database is built or updated through a malware information provider will be described.

단계(510)에서, SIEM 서버는 멀웨어 정보 제공자로부터 비정상 사용자 단말의 IP 주소를 수신할 수 있다. 일실시예에서, 멀웨어 정보 제공자는 악성코드 유포자, 피싱 사이트 및 기타 유해 사이트에 대한 최신 정보를 주기적으로 업데이트하여 제공하는 기관 또는 업체일 수 있다.In step 510, the SIEM server may receive the IP address of the abnormal user terminal from the malware information provider. In one embodiment, the malware information provider may be an organization or a company that periodically updates and provides the latest information about the spreaders of malicious codes, phishing sites, and other harmful sites.

단계(520)에서, SIEM 서버는 수신된 비정상 사용자 단말의 IP 주소를 비정상 사용자 단말 리스트에 저장할 수 있다. 바람직한 실시예에서, 비정상 사용자 단말의 IP 주소의 수신 및 저장은 주기적으로 반복 수행되어 최신 정보가 비정상 사용자 단말 리스트에 반영되도록 할 수 있다.In step 520, the SIEM server may store the received IP address of the abnormal user terminal in the abnormal user terminal list. In a preferred embodiment, the receiving and storing of the IP address of the abnormal user terminal is periodically repeated so that the latest information is reflected in the abnormal user terminal list.

도 6을 참조하여, 멀웨어 탐색 도구를 통해 블랙리스트 데이터베이스의 비정상 사용자 단말 리스트를 구축 또는 업데이트 하는 실시예가 설명된다.Referring to FIG. 6, an embodiment of constructing or updating an abnormal user terminal list of a blacklist database through a malware search tool will be described.

단계(610)에서, SIEM 서버는 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 IP 주소를 수집할 수 있다. 일실시예에서, 멀웨어 탐색 도구는 Yara 툴 등을 이용하여 문자열이나 바이너리 패턴을 기반으로 악성 코드 등을 탐지할 수 있도록 구현될 수 있다.In step 610, the SIEM server may collect the IP address of the abnormal user terminal using a malware search tool. In one embodiment, the malware search tool may be implemented to detect malicious code or the like based on a string or a binary pattern using a Yara tool or the like.

단계(620)에서, SIEM 서버는 수집된 비정상 사용자 단말의 IP 주소를 비정상 사용자 단말 리스트에 저장할 수 있다. 바람직한 실시예에서, 비정상 사용자 단말의 IP 주소의 수집 및 저장은 주기적으로 반복 수행되어 최신 정보가 비정상 사용자 단말 리스트에 반영되도록 할 수 있다.In step 620, the SIEM server may store the collected IP address of the abnormal user terminal in the abnormal user terminal list. In a preferred embodiment, the collection and storage of the IP address of the abnormal user terminal is periodically repeated so that the latest information is reflected in the abnormal user terminal list.

도 5 및 도 6에 도시된 실시예는 서로 배타적인 것이 아니며, 두 가지 방식이 병행하여 사용되거나 선택적으로 사용되도록 구성될 수 있다. 특히, 두 가지 방식이 병행하여 사용되는 경우, 각 방식에 따른 업데이트 주기는 서로 상이하게 설정될 수 있다.5 and 6 are not mutually exclusive, and the two methods may be used in parallel or may be configured to be selectively used. Particularly, when two methods are used in parallel, the update period according to each method may be set differently from each other.

도 7은 일실시예에 따른 무선 AP 접속 차단 장치를 예시적으로 도시한 블록도이다. 일실시예에 따른 무선 AP 접속 차단 장치(700)는 SIEM 서버(710), 무선 AP 데이터베이스(720), 블랙리스트 데이터베이스(730) 및 취약점 데이터베이스(740)로 구성될 수 있다.7 is a block diagram illustrating an exemplary wireless AP access blocking device according to an embodiment. The wireless AP access blocking device 700 according to an embodiment may include a SIEM server 710, a wireless AP database 720, a blacklist database 730, and a vulnerability database 740.

SIEM 서버(710)는, 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정할 수 있다.The SIEM server 710 may determine whether to allow the user terminal to access the wireless AP using a blacklist database and a vulnerability database in response to a user terminal confirmation request received from the wireless AP included in the wireless AP management list. have.

쉽게 말해, 무선 AP로 접속을 수행하려는 사용자 단말에 대하여 블랙리스트 데이터베이스(730)와 취약점 데이터베이스(740)를 조회하여 블랙리스트에 해당하지는지 및 취약점을 어느 정도 갖고 있는지 등을 검토함으로써 상기 무선 AP로의 접속을 허용하거나 차단하도록 할 수 있다.In other words, by searching the blacklist database 730 and the vulnerability database 740 for the user terminal to be connected to the wireless AP, reviewing whether it corresponds to the blacklist and to what extent it is vulnerable to the wireless AP. You can allow or block access.

무선 AP 데이터베이스(720)는 무선 AP 관리 리스트를 저장할 수 있다. 상기 SIEM 서버(710)는 복수 개의 무선 AP를 관리할 수 있고, 이에 대응하는 복수 개의 무선 AP 관리 리스트를 저장할 수 있다.The wireless AP database 720 may store a wireless AP management list. The SIEM server 710 may manage a plurality of wireless APs, and may store a plurality of wireless AP management lists corresponding thereto.

구체적으로 상기 무선 AP 데이터베이스(720)는 관리하는 무선 AP의 IP 주소와 MAC 주소를 저장할 수 있다. SIEM 서버(710)는 상기 무선 AP 데이터베이스(720)에 등록되는 무선 AP를 관리할 수 있으며, 상기 무선 AP로 접속을 시도하는 사용자 단말에 대한 블랙리스트 여부 판단 및 취약점 판단을 수행할 수 있다.Specifically, the wireless AP database 720 may store an IP address and a MAC address of a managed wireless AP. The SIEM server 710 may manage a wireless AP registered in the wireless AP database 720, and may perform blacklist determination and vulnerability determination for a user terminal attempting to access the wireless AP.

블랙리스트 데이터베이스(730)는 비정상 사용자 단말 리스트를 저장할 수 있다. 비정상 사용자 단말이란, 무선 AP에 대한 디도스 공격, 해킹 등의 공격을 할 위험성이 높은 단말을 지칭한다. 예를 들어 무선 AP에 대해 해킹을 시도했던 사용자 단말 또는 해당 단말이 무선 AP에 접속하는 경우에 과도한 트래픽을 발생시켰던 단말 등을 비정상 사용자 단말로 분류할 수 있다.The blacklist database 730 may store a list of abnormal user terminals. The abnormal user terminal refers to a terminal having a high risk of attacking a wireless AP such as a DDoS attack or a hack. For example, a user terminal that has attempted to hack a wireless AP or a terminal that has generated excessive traffic when the terminal accesses the wireless AP may be classified as an abnormal user terminal.

상기 비정상 단말로 분류되는 단말의 IP 주소 또는 MAC 주소를 상기 블랙리스트 데이터베이스(730)에 저장할 수 있다. 상기 비정상 단말에 대한 정보는 외부 서버로부터 수신하여 저장할 수 있으며, 상기 SIEM 서버가 직접 비정상 단말을 판단하고 해당 단말의 연관 정보를 저장할 수도 있다.The IP address or MAC address of the terminal classified as the abnormal terminal may be stored in the blacklist database 730. Information on the abnormal terminal may be received and stored from an external server, and the SIEM server may directly determine the abnormal terminal and store related information of the corresponding terminal.

취약점 데이터베이스(740)는 사용자 단말에 대한 취약점 정보를 저장할 수 있다. 구체적으로, 외부 서버로부터 수신하는 취약점에 관련된 정보를 저장할 수 있다. 또한 SIEM 서버(710)가 무선 AP에 접속하는 사용자 단말에 대하여 취약점 분석을 수행하고, 발견된 취약점 정보를 저장할 수 있다.The vulnerability database 740 may store vulnerability information for a user terminal. Specifically, information related to a vulnerability received from an external server may be stored. In addition, the SIEM server 710 may perform vulnerability analysis on the user terminal accessing the wireless AP and store discovered vulnerability information.

그리고 상기 취약점 데이터베이스(740)는 상세 취약점 사항에 더하여 판단된 취약점 점수나 등급을 저장할 수도 있다. 무선 AP들과 단말들의 취약점에 대한 탐지 결과는 로그 형태로 저장되어 처리된다.In addition, the vulnerability database 740 may store the determined vulnerability score or grade in addition to the detailed vulnerability. The detection results of vulnerabilities of wireless APs and terminals are stored and processed in log form.

결과적으로 상기 SIEM 서버(710)는 무선 AP 데이터베이스(720)에 저장되는 무선 AP 들을 관리할 수 있으며, 상기 무선 AP에 접속을 수행하는 사용자 단말들에 대하여 블랙리스트 데이터베이스(730) 및 취약점 데이터베이스(740)를 통한 검증 과정을 수행하여 상기 무선 AP로의 접속을 허용할지 여부를 결정할 수 있다. SIEM 서버의 구성 및 구체적인 검증 프로세스 등에 관하여는 도 8 및 도 9에서 상세히 설명하도록 한다.As a result, the SIEM server 710 can manage wireless APs stored in the wireless AP database 720, and blacklist database 730 and vulnerability database 740 for user terminals performing access to the wireless AP. ) May be performed to determine whether to allow access to the wireless AP. The configuration and the specific verification process of the SIEM server will be described in detail in FIGS. 8 and 9.

도 8은 일실시예에 따른 무선 AP 접속 차단 장치 중 SIEM 서버의 구체적인 구성을 도시한 도면이다. 일실시예에 따른 SIEM 서버(810)는 무선 AP 관리부(811), 취약점 탐지부(813) 및 취약점 처리부(815)로 구성될 수 있다.8 is a diagram illustrating a specific configuration of a SIEM server among wireless AP access blocking devices according to an embodiment. The SIEM server 810 according to an embodiment may include a wireless AP management unit 811, a vulnerability detection unit 813, and a vulnerability processing unit 815.

상기 SIEM 서버(810)는 무선 AP(850)를 관리할 수 있다. 도 8에서는 예시적으로 하나의 무선 AP(850)만을 예시하였으나, 이에 한정되는 것은 아니며, 복수의 무선 AP에 연결되어 복수의 무선 AP를 관리할 수도 있다.The SIEM server 810 may manage the wireless AP 850. Although only one wireless AP 850 is exemplarily illustrated in FIG. 8, the present invention is not limited thereto, and may be connected to a plurality of wireless APs to manage a plurality of wireless APs.

상기 무선 AP(850)에는 제1 사용자 단말(860)과 제2 사용자 단말(870)이 접속을 시도할 수 있다. 무선 AP(850)의 경우와 마찬가지로 복수의 단말이 접속을 수행할 수 있으나, 예시적으로 2 대의 단말을 도시하였을 뿐 이에 한정되는 것은 아니다. 즉, 다수의 단말이 접속을 시도하는 경우도 가능하다.A first user terminal 860 and a second user terminal 870 may attempt to access the wireless AP 850. As in the case of the wireless AP 850, a plurality of terminals can perform the connection, but only two terminals are exemplarily illustrated, but the present invention is not limited thereto. That is, it is possible that multiple terminals try to access.

이하에서는 각 구성에 대하여 구체적으로 설명한다. 무선 AP 관리부(811)는, 각 단말에 취약점 사항 통보할 수 있고, 측정되는 취약점 점수에 따라 사용자 단말에 대한 접속의 허용 여부를 결정할 수 있다.Hereinafter, each configuration will be described in detail. The wireless AP management unit 811 may notify each terminal of the vulnerability, and determine whether to allow access to the user terminal according to the measured vulnerability score.

취약점 탐지부(813)는 관리하는 무선 AP에 연결을 시도하는 각 사용자 단말들(860, 870)에 대하여 취약점 탐지를 수행할 수 있다. 취약점 탐지에 사용하는 정보들은 취약점 데이터베이스에서 주기적으로 가져올 수 있으며, 외부 서버에 존재하는 별도의 취약점 데이터를 가져올 수도 있다.The vulnerability detection unit 813 may perform vulnerability detection for each user terminal 860 and 870 attempting to connect to the managed wireless AP. Information used for vulnerability detection can be periodically retrieved from the vulnerability database, or separate vulnerability data from external servers can be imported.

상기 사용자 단말(860, 870)에 대해 탐지된 취약점 결과는 단말 취약점 데이터베이스에 저장될 수 있다. 또한 무선 AP 관리부(811)를 통하여 취약점 탐지 결과를 각 사용자 단말(860, 870)에 전달할 수 있다.The vulnerability results detected for the user terminals 860 and 870 may be stored in the terminal vulnerability database. In addition, the result of the vulnerability detection may be transmitted to each user terminal 860 and 870 through the wireless AP management unit 811.

무선 AP(850)에 연결을 시도하는 제1 사용자 단말(860)과 제2 사용자 단말(870)의 취약점 정보에 대한 결과는 AP 접속 차단 장치의 취약점 데이터베이스에 저장되고, SIEM 서버(810)의 무선 AP 관리부(811)에서 차단/허용 여부를 판단하게 된다. 판단된 결과는 상기 무선 AP 관리부(811)를 통하여 무선 AP에 통보되고, 상기 제1 및 제2 사용자 단말(860, 870)에 대한 관리를 진행하게 된다.The results of the vulnerability information of the first user terminal 860 and the second user terminal 870 attempting to connect to the wireless AP 850 are stored in the vulnerability database of the AP access blocking device, and the SIEM server 810 wirelessly The AP management unit 811 determines whether to block/allow. The determined result is notified to the wireless AP through the wireless AP management unit 811, and the first and second user terminals 860 and 870 are managed.

무선 AP 관리부(811)는 관리하는 무선 AP(850)와 연동되며, 상기 무선 AP(850)에 대한 제어를 수행한다. 상기 무선 AP(850)를 이용하는 제1 사용자 단말(860)과 제2 사용자 단말(870)은 무선 AP를 통해 무선 AP 관리부(811)에 의해 관리될 수 있다.The wireless AP manager 811 is interworked with the wireless AP 850 to manage, and performs control of the wireless AP 850. The first user terminal 860 and the second user terminal 870 using the wireless AP 850 may be managed by the wireless AP management unit 811 through the wireless AP.

예시적으로 그러나 한정되지 않게 상기 제1 사용자 단말(860)은 상기 무선 AP(850)로의 접속이 허용될 수 있고, 상기 제2 사용자 단말(870)은 상기 무선 AP(850)로의 접속이 차단될 수 있다.By way of example, but not limitation, the first user terminal 860 may be allowed access to the wireless AP 850, and the second user terminal 870 may be blocked from accessing the wireless AP 850. Can be.

상기 무선 AP(850)로의 접속 허용 여부는 무선 AP 관리부(811)에 의해 아래에서 설명할 취약점 최종 점수 및 고위험 개수에 따라 결정될 수 있다.Whether to allow access to the wireless AP 850 may be determined by the wireless AP management unit 811 according to the final score of vulnerability and the high risk number to be described below.

상기 제1 및 제2 사용자 단말(860, 870)이 상기 무선 AP(850)로 접속을 시도하는 경우에, 취약점 탐지부(813)는 각 사용자 단말에 대한 취약점 탐지를 수행한다. 구체적으로 취약점 탐지부(813)는 접속을 시도하는 사용자 단말에 열려진 포트들의 운용시스템, 설치된 소프트웨어들 및 각 포트를 사용하는 소프트웨어 상태에 대하여 알려진 취약점들과 일치하는 항목들이 있는지 검사한다.When the first and second user terminals 860 and 870 attempt to access the wireless AP 850, the vulnerability detection unit 813 performs vulnerability detection for each user terminal. Specifically, the vulnerability detection unit 813 checks whether there are items matching known vulnerabilities with respect to operating systems of open ports, installed software, and software status using each port in the user terminal attempting to access.

탐지된 결과 알려진 취약점들과 일치하는지 또는 불일치하는지 등에 관한 정보가 취약점 데이터베이스에 저장된다.As a result of detection, information on whether it matches or does not match known vulnerabilities is stored in the vulnerability database.

아래의 표 1에서는 상기 취약점 데이터베이스에 저장되는 사항을 예를 나타낸다.Table 1 below shows an example of the items stored in the vulnerability database.

사용자 단말User terminal 취약점 내용Vulnerability contents 점수score 최종점수Final score 조치measure 휴대폰001Cell phone001 상세 취약점1Detailed Vulnerability 1 9.59.5 27.527.5 차단/통보Block/Notify 상세 취약점2Detailed Vulnerability 2 5.05.0 상세 취약점3Detailed Vulnerability 3 4.04.0 상세 취약점4Detailed Vulnerability 4 9.09.0 노트북001Notebook001 상세 취약점1Detailed Vulnerability 1 6.56.5 19.519.5 허용/통보Allow/Notify 상세 취약점2Detailed Vulnerability 2 5.05.0 상세 취약점3Detailed Vulnerability 3 4.04.0 상세 취약점4Detailed Vulnerability 4 4.04.0 노트북002Notebook002 없음none 00 00 허용permit

사용자 단말은 무선 AP에 연결된 각 사용자 단말에 대한 식별자이다. 각 사용자 단말별로 다른 이름이 할당될 수 있다.취약점 내용은 탐지된 취약점에 대한 상세 내용을 의미한다. 상기 취약점 탐지부(813)는 각 상세 내용에 대한 위험도를 각 취약점별 점수화 하여 평가할 수 있다.The user terminal is an identifier for each user terminal connected to the wireless AP. A different name may be assigned to each user terminal. Vulnerability content means details of the detected vulnerability. The vulnerability detection unit 813 may evaluate the risk of each detail by scoring each vulnerability.

최종 점수는 각 세부 취약점 점수를 통합한 점수 이다. 상기 취약점 점수가 기준 이상일 경우, 무선 AP 관리부(811)는 해당 단말의 무선 AP 접속을 차단한다. 또는 높은 점수를 받은 항목이 기준 개수 이상일 경우에도 무선 AP 접속을 차단한다.The final score is the combined score of each detailed vulnerability. If the vulnerability score is higher than the reference, the wireless AP management unit 811 blocks access to the wireless AP of the corresponding terminal. Alternatively, access to the wireless AP is blocked even if the item with a high score is higher than the reference number.

조치는 취약점에 연관되는 최종 점수를 기준으로 무선 AP 관리부(811)에서 수행하는 사항을 나타낸다. 취약점 판단 결과에 따라 위험하다고 판단될 경우, 차단과 해당 취약점 내용에 대한 통보를 수행한다. 취약점 판단 결과 보통인 경우에는 무선 AP로의 접속은 허용하되, 판단된 취약점 내용에 대한 통보를 수행한다. 마지막으로 안전한 경우에는 별다른 통보 조치 없이 무선 AP로의 접속을 허용한다.The action indicates the action performed by the wireless AP management unit 811 based on the final score associated with the vulnerability. If it is judged to be dangerous according to the result of the vulnerability determination, blocking and notification of the vulnerability are carried out. As a result of vulnerability determination, access to the wireless AP is allowed in the normal case, but notification of the determined vulnerability is performed. Lastly, if it is secure, it allows access to the wireless AP without any notice.

취약점 탐지부(813)는 취약점 처리부(815)와 연동될 수 있다. 상기 취약점 처리부(815)는 외부 공인 취약점 제공 기관의 데이터베이스와 연동하여 최신의 취약점 정보를 수집하고, 수집된 정보를 취약점 탐지부(813)에 제공할 수 있다.The vulnerability detection unit 813 may be linked to the vulnerability processing unit 815. The vulnerability processing unit 815 may collect the latest vulnerability information in connection with a database of an externally-authorized vulnerability providing institution, and provide the collected information to the vulnerability detection unit 813.

예시적으로 그러나 한정되지 않게 취약점 정보는 정보 보안 취약점 표준 코드(Common Vulnerabilities and Exposures, CVE)를 사용할 수 있다. 취약점 처리부(815)는 주기적으로 CVE를 가져와 적용하고, 취약점 탐지부(813)와 연동하여, 사용자 단말에 대한 취약점 탐지를 수행한다.Exemplarily, but not limited to, vulnerability information may use Common Vulnerabilities and Exposures (CVE). The vulnerability processing unit 815 periodically imports and applies CVE, and works with the vulnerability detection unit 813 to perform vulnerability detection for the user terminal.

취약점에 대한 점수는 공동 취약점 점수 시스템(Common Vulnerability Scoring System, CVSS)을 이용할 수 있다. CVSS는 각 CVE에 대해 취약점에 대한 점수를 매기는 시스템으로서, 0에서 10점까지의 점수를 각 위험도별로 점수를 정할 수 있다. CVE의 각 항목은 미리 지정되는 CVSS 점수를 가진다.The score for the vulnerability can use the Common Vulnerability Scoring System (CVSS). CVSS is a system for scoring vulnerabilities for each CVE, and can score points from 0 to 10 for each risk. Each item in the CVE has a predefined CVSS score.

상기 취약점 처리부(815)에서는 각 개별 취약점 점수를 확인하여 하여 합산하고, 고위험도인 8점 이상인 항목의 개수를 파악한다. 상기 합산 점수와 고위험도 항목의 개수 결과는 취약점 데이터베이스에 기록되며 이를 기준으로 무선 AP 관리부(811)에서는 점수합계가 특정 점수 이상, 고위험 항목수가 특정 개수 이상인 경우에 접속을 차단하게 한다.The vulnerability processing unit 815 checks and sums each individual vulnerability score, and grasps the number of items having a high risk of 8 or higher. The result of the summation score and the number of high-risk items is recorded in the vulnerability database. Based on this, the wireless AP management unit 811 blocks access when the sum of scores is greater than a certain score and the number of high-risk items is greater than a certain number.

아래의 표 2에서는 예시적으로 사용자 단말의 무선 AP 접속 허용 기준에 대한 상세 사항을 표시한다. 이는 예시일뿐 이에 한정되는 것은 아니며, 차단 및 허용에 관한 점수는 통상의 기술자에 의해 변경이 가능하다.Table 2 below shows the details of the wireless AP access permission criteria of the user terminal by way of example. This is only an example, and is not limited thereto, and the scores for blocking and allowing can be changed by a person skilled in the art.

최종 점수Final score 등급Rating 고위험 개수High risk count 20점 이상20 points or more 위험danger 2개 이상2 or more 10점 이상 20점 미만10 points or more and less than 20 points 보통usually 1개One 10점 미만Less than 10 안전safety 0개0

예를 들어 최종 점수가 20점 이상인 경우에는 위험 등급으로 판단할 수 있고, 10점 이상 20점 미만인 경우에는 보통으로, 10점 미만인 경우에는 안전 등급으로 판단할 수 있다.이와 유사하게 8점 이상의 고위험 취약점의 개수가 2개 이상인 경우에는 위험 등급으로, 1개인 경우에는 보통으로, 없는 경우에는 안전 등급으로 판단할 수 있다.For example, if the final score is 20 or more, it can be judged as a risk level, if it is 10 or more and less than 20, it can be judged as normal, and if it is less than 10, it can be judged as a safety level. If the number of vulnerabilities is two or more, it can be judged as a risk level, if one is normal, and if it is not, it can be judged as a safety level.

상기 최종 점수 기준과 고위험 개수 기준을 복합적으로 활용하여 취약점 등급을 판단할 수 있고, 판단되는 등급에 따라 무선 AP로의 접속 허용 여부 또는 취약점 통보 여부를 결정할 수 있다.Vulnerability ratings can be determined by using the final score criteria and high-risk number criteria in combination, and it is possible to determine whether to allow access to the wireless AP or notify the vulnerability according to the determined rating.

도 9는 일실시예에 따른 무선 AP 접속 차단 방법을 설명하기 위한 흐름도이다. 일실시예에 따른 무선 AP 접속 차단 방법은 취약점 정보 수집 단계(910), 사용자 단말의 취약점 탐지 단계(920), 취약점 점수 계산 단계(930), 기준 점수 이하인지 판단하는 단계(940), 기준 점수 이상인지 판단하는 단계(960)로 구성될 수 있다.9 is a flowchart illustrating a method of blocking wireless AP access according to an embodiment. The wireless AP access blocking method according to an embodiment includes a vulnerability information collection step 910, a vulnerability detection step 920 of the user terminal, a vulnerability score calculation step 930, a step 940 determining whether the score is below a reference score, a reference score It may be configured as a step 960 to determine whether the abnormality.

취약점 정보 수집 단계(910)는 취약점 처리부에 의해 취약점 정보를 수집하는 단계이다. 예를 들어 CVE 등 외부의 서버로부터 취약점에 관한 정보를 수집할 수 있다. 또는 사용자 단말의 취약점 탐지를 통한 취약점 정보를 수집할 수 있다.The vulnerability information collection step 910 is a step of collecting vulnerability information by the vulnerability processing unit. For example, information about vulnerabilities can be collected from external servers such as CVE. Alternatively, vulnerability information may be collected through vulnerability detection of a user terminal.

사용자 단말의 취약점 탐지 단계(920)는 SIEM 서버가 관리하는 무선 AP로 접속을 시도하는 사용자 단말에 대하여 상기 사용자 단말의 취약점을 탐지하는 단계이다. 구체적으로 사용자 단말에 열려진 포트들의 운용시스템, 설치된 소프트웨어들 및 각 포트를 사용하는 소프트웨어 상태에 대하여 상세 취약점을 파악하는 단계이다.The vulnerability detection step 920 of the user terminal is a step of detecting the vulnerability of the user terminal with respect to the user terminal attempting to access the wireless AP managed by the SIEM server. Specifically, it is a step of grasping detailed vulnerabilities with respect to the operating system of ports opened to the user terminal, installed software, and software status using each port.

취약점 점수 계산 단계(930)는 상기 사용자 단말의 취약점 탐지 단계(920)에서 탐지된 취약점들의 점수를 계산하는 단계이다. 예시적으로 그러나 한정되지 않게 CVE의 취약점에 대한 CVSS 점수를 이용하여 모두 합산하는 방식으로 취약점 점수를 계산할 수 있다.The vulnerability score calculation step 930 is a step of calculating the scores of the vulnerabilities detected in the vulnerability detection step 920 of the user terminal. Exemplarily, but not limited to, the vulnerability score can be calculated by adding up the CVSS score for the vulnerability of the CVE.

기준 점수(X점) 이하인지 판단하는 단계(940)는 계산되는 상기 취약점 점수가 제1 기준 점수 X점 이하인지 여부를 판단하는 단계이다. X는 예시적으로 10으로 설정될 수 있으며, 이는 예시적일뿐 통상의 기술자가 용이하게 변경 가능한 범위로 설정할 수 있다. 즉, 취약점 점수 대역에 따라 조정하여 기준 점수를 위 실시예와 다르게 설정하는 방법도 가능하다.The step 940 of determining whether the score is below the reference score (X point) is a step of determining whether the calculated vulnerability score is below the first reference score X score. X may be set to 10 as an example, which is exemplary and can be set to a range easily changeable by a person skilled in the art. That is, it is also possible to set the reference score differently from the above embodiment by adjusting according to the vulnerability score band.

기준 점수(Y점) 이상인지 판단하는 단계(960)는 상기 기준 점수(X점) 이하인지 판단하는 단계(940)와 유사하게, 계산되는 상기 취약점 점수가 제2 기준 점수 Y점 이상인지 여부를 판단하는 단계이다. Y는 예시적으로 20으로 설정될 수 있으며, 구체적인 수치는 다르게 설정하는 방법도 가능하다.The step 960 of determining whether the score is greater than or equal to the reference score (Y point) is similar to the step 940 of determining whether the score is less than or equal to the reference score (X point). It is a judgment step. Y may be set to 20 as an example, and specific values may be set differently.

취약점 점수가 10점 이하인지 판단하여, 10점 이하인 경우에는 안전한 것으로 판단하고, 단계 950에 따라 무선 AP로의 접속을 허용하고 별도의 통지를 수행하지 않을 수 있다.It is determined that the vulnerability score is 10 points or less, and if it is 10 points or less, it is determined to be safe, and according to step 950, access to the wireless AP is allowed and a separate notification may not be performed.

반면에 10점 이하가 아닌 경우 즉, 10점을 초과하는 경우에는 다시 20점 이상인지 여부에 따라 판단한다. 20점 이상인 경우에는 위험 등급으로 판단하고 단계 970에 따라 무선 AP로의 접속을 차단하면서 취약점에 대한 내용을 접속 시도한 사용자 단말로 통보할 수 있다.On the other hand, if it is not 10 points or less, that is, if it exceeds 10 points, it is determined according to whether it is 20 points or more. If the score is 20 points or more, it is determined as a risk level and the access to the wireless AP is blocked according to step 970, and the content of the vulnerability can be notified to the user terminal attempting the access.

마지막으로 10점 이하는 아니지만 20점 이상도 아닌 경우에는 보통 등급으로 판단하여 단계 980에 따라 접속은 허용하되, 취약점 사항에 대해서 통보를 수행할 수 있다.Finally, if it is not more than 10 points, but not more than 20 points, it is judged as a normal level, and access is allowed according to step 980, but notification can be made about the vulnerability.

일실시예에 따른 무선 AP 접속 차단 장치 및 방법에 따르면, 접속이 차단되고 취약점 정보에 대한 통보를 받은 사용자 단말에서는 통보 받은 상기 취약점 사항을 수정한 이후에 재접속을 시도할 수 있다. 즉, 취약점 사항 수정 후에 재접속을 시도하면, 취약점 탐지 과정을 다시 수행하여 취약점사항이 통과 되면 정상적으로 접속을 허용할 수도 있다.According to an apparatus and method for blocking access to a wireless AP according to an embodiment, a user terminal that is blocked from accessing and notified of vulnerability information may attempt to reconnect after correcting the above-noted vulnerability. That is, if a reconnection is attempted after the vulnerability is corrected, the vulnerability detection process is performed again, and if the vulnerability is passed, normal access may be allowed.

다른 일실시예에 따르면 취약점 데이터베이스에는 상세 취약점 정보에 더하여, 취약점 수정 방법에 대한 상세한 설명 데이터를 함께 저장할 수 있다. 저장되는 취약점 수정 방법 데이터 중에서, 사용자 단말이 갖고 있는 취약점 정보를 송신하는 경우에 대응하는 수정 방법 데이터를 함께 통지하는 방법도 가능하다. 결과적으로 사용자 단말의 사용자가 단말의 문제를 확인 후에 조치를 취하여 접속을 원활하게 할 수 있도록 한다.According to another embodiment, in addition to detailed vulnerability information, the vulnerability database may store detailed description data of the vulnerability correction method. Among the stored vulnerability correction method data, a method of notifying the correction method data corresponding to a case in which the user terminal transmits vulnerability information is also possible. As a result, the user of the user terminal can check the problem of the terminal and then take action to facilitate the connection.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The device described above may be implemented with hardware components, software components, and/or combinations of hardware components and software components. For example, the devices and components described in the embodiments include, for example, processors, controllers, arithmetic logic units (ALUs), digital signal processors (micro signal processors), microcomputers, field programmable arrays (FPAs), It may be implemented using one or more general purpose computers or special purpose computers, such as a programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions. The processing device may run an operating system (OS) and one or more software applications running on the operating system. In addition, the processing device may access, store, manipulate, process, and generate data in response to the execution of the software. For convenience of understanding, a processing device may be described as one being used, but a person having ordinary skill in the art, the processing device may include a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that may include. For example, the processing device may include a plurality of processors or a processor and a controller. In addition, other processing configurations, such as parallel processors, are possible.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instruction, or a combination of one or more of these, and configure the processing device to operate as desired, or process independently or collectively You can command the device. Software and/or data may be interpreted by a processing device, or to provide instructions or data to a processing device, of any type of machine, component, physical device, virtual equipment, computer storage medium or device. , Or may be permanently or temporarily embodied in the transmitted signal wave. The software may be distributed over networked computer systems and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, or the like alone or in combination. The program instructions recorded in the medium may be specially designed and configured for the embodiments or may be known and usable by those skilled in computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs, DVDs, and magnetic media such as floptical disks. -Hardware devices specifically configured to store and execute program instructions such as magneto-optical media, and ROM, RAM, flash memory, and the like. Examples of program instructions include high-level language code that can be executed by a computer using an interpreter, etc., as well as machine language codes produced by a compiler. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.Although the embodiments have been described by the limited drawings, those skilled in the art can make various modifications and variations from the above description. For example, the described techniques are performed in a different order than the described method, and/or the components of the described system, structure, device, circuit, etc. are combined or combined in a different form from the described method, or other components Alternatively, even if replaced or substituted by equivalents, appropriate results can be achieved.

그러므로, 다른 구현들, 다른 실시예들 및 청구범위와 균등한 것들도 후술하는 청구범위 내에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

Claims (17)

무선 AP 관리 리스트를 저장하는 무선 AP 데이터베이스;
사용자 단말에 대한 취약점 정보를 저장하는 취약점 데이터베이스;
무선 AP에 접속하여 비정상적인 트래픽을 발생시켰던 단말을 포함한 비정상 사용자 단말 리스트를 저장하는 블랙리스트 데이터베이스; 및
상기 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 상기 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 SIEM (Security Information and Event Management) 서버
를 포함하고,
상기 SIEM 서버는
접속을 시도하는 사용자 단말에 열려진 포트들의 운용시스템, 설치된 소프트웨어들 및 각 포트를 사용하는 소프트웨어 상태에 대한 취약점을 가지는지 여부에 대한 검사로 결정된 상기 사용자 단말의 취약점 정보를 이용하여, 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 무선 AP 접속 차단 장치.A wireless AP database storing a wireless AP management list;
A vulnerability database that stores vulnerability information for a user terminal;
A blacklist database storing a list of abnormal user terminals including terminals that have generated abnormal traffic by accessing the wireless AP; And
In response to the user terminal confirmation request received from the wireless AP included in the wireless AP management list, SIEM (Security Information and Security) determines whether the user terminal is allowed to access the wireless AP using the blacklist database and the vulnerability database. Event Management) server
Including,
The SIEM server
Using the vulnerability information of the user terminal determined by checking whether there is a vulnerability to the operating system of the ports opened to the user terminal attempting to access, installed software, and the software state using each port, the user terminal of the user terminal A wireless AP access blocking device for determining whether to allow access to the wireless AP. 제1항에 있어서,
상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 사용자 단말의 취약점 점검을 수행하여 상기 취약점 데이터베이스에 저장하는,
무선 AP 접속 차단 장치.According to claim 1,
The SIEM server performs vulnerability check of the user terminal attempting to access the wireless AP and stores it in the vulnerability database,
Wireless AP access blocking device. 제2항에 있어서,
상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 상기 사용자 단말에 취약점 사항을 통보하는,
무선 AP 접속 차단 장치.According to claim 2,
The SIEM server notifies the vulnerability of the user terminal attempting to access the wireless AP,
Wireless AP access blocking device. 제3항에 있어서,
상기 SIEM 서버는 상기 무선 AP에 접속을 시도하는 상기 사용자 단말의 취약점 점수를 계산하고, 상기 취약점 점수가 미리 지정되는 제1 값 이하인 경우 상기 무선 AP로의 접속을 허용하고, 상기 취약점 점수가 상기 제1 값 초과 미리 지정되는 제2 값 미만인 경우 상기 무선 AP로의 접속을 허용하면서 상기 사용자 단말로 취약점 사항을 통보하며, 상기 취약점 점수가 상기 제2 값 이상인 경우 상기 무선 AP로의 접속을 차단하고 상기 사용자 단말로 취약점 사항을 통보하는,
무선 AP 접속 차단 장치.According to claim 3,
The SIEM server calculates a vulnerability score of the user terminal attempting to access the wireless AP, and allows the access to the wireless AP when the vulnerability score is equal to or less than a predetermined first value, and the vulnerability score is the first If the value exceeds the predetermined second value, the vulnerability is notified to the user terminal while allowing access to the wireless AP. If the vulnerability score is greater than or equal to the second value, access to the wireless AP is blocked and the user terminal is accessed. To report vulnerabilities,
Wireless AP access blocking device. 제1항에 있어서,
상기 SIEM 서버는 하나 이상의 무선 AP로부터 상기 하나 이상의 무선 AP의 IP 주소 및 MAC 주소를 수신하고, 상기 하나 이상의 무선 AP의 보안성을 검증하여 검증에 성공한 무선 AP에 연관된 정보를 상기 무선 AP 관리 리스트에 저장하는,
무선 AP 접속 차단 장치.According to claim 1,
The SIEM server receives IP addresses and MAC addresses of the one or more wireless APs from one or more wireless APs, verifies the security of the one or more wireless APs, and transmits information related to the verified wireless APs to the wireless AP management list. Stored,
Wireless AP access blocking device. 제1항에 있어서,
상기 SIEM 서버는 멀웨어(malware) 정보 제공자로부터 비정상 사용자 단말의 MAC 주소를 수집하거나 멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 MAC 주소를 수집하고, 수집된 상기 비정상 사용자 단말의 MAC 주소를 상기 비정상 사용자 단말 리스트에 저장하는,
무선 AP 접속 차단 장치.According to claim 1,
The SIEM server collects the MAC address of the abnormal user terminal from a malware information provider or uses the malware search tool to collect the MAC address of the abnormal user terminal, and collects the MAC address of the abnormal user terminal from the abnormal user terminal Stored in a list,
Wireless AP access blocking device. 제1항에 있어서,
상기 사용자 단말 확인 요청은 상기 사용자 단말의 MAC 주소를 포함하고,
상기 SIEM 서버는 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인하는,
무선 AP 접속 차단 장치.According to claim 1,
The user terminal confirmation request includes the MAC address of the user terminal,
The SIEM server checks whether the MAC address of the user terminal is included in the abnormal user terminal list,
Wireless AP access blocking device. 제7항에 있어서,
상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는 경우, 상기 SIEM 서버는 상기 무선 AP에게 상기 사용자 단말에 대한 접속 차단 신호를 전송하는,
무선 AP 접속 차단 장치.The method of claim 7,
When the MAC address of the user terminal is included in the abnormal user terminal list, the SIEM server transmits a connection blocking signal for the user terminal to the wireless AP,
Wireless AP access blocking device. SIEM 서버를 이용하여 무선 AP로의 접속을 차단하는 무선 AP 접속 차단 방법에 있어서,
무선 AP 관리 리스트를 무선 AP 데이터베이스에 저장하는 단계;
무선 AP에 접속하여 비정상적인 트래픽을 발생시켰던 단말을 포함한 비정상 사용자 단말 리스트를 블랙리스트 데이터베이스에 저장하는 단계;
사용자 단말에 대한 취약점 정보를 취약점 데이터베이스에 저장하는 단계; 및
상기 무선 AP 관리 리스트에 포함된 무선 AP로부터 수신된 사용자 단말 확인 요청에 응답하여, 상기 블랙리스트 데이터베이스와 취약점 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 단계
를 포함하고,
상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 단계는
접속을 시도하는 사용자 단말에 열려진 포트들의 운용시스템, 설치된 소프트웨어들 및 각 포트를 사용하는 소프트웨어 상태에 대한 취약점을 가지는지 여부에 대한 검사로 결정된 상기 사용자 단말의 취약점 정보를 이용하여, 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 무선 AP 접속 차단 방법.In the wireless AP access blocking method for blocking access to a wireless AP using a SIEM server,
Storing a wireless AP management list in a wireless AP database;
Storing a list of abnormal user terminals including terminals that generated abnormal traffic by accessing the wireless AP in a blacklist database;
Storing vulnerability information for the user terminal in a vulnerability database; And
In response to a user terminal confirmation request received from the wireless AP included in the wireless AP management list, determining whether to allow the user terminal to access the wireless AP using the blacklist database and the vulnerability database.
Including,
The step of determining whether the user terminal is allowed to access the wireless AP is
Using the vulnerability information of the user terminal determined by checking whether there is a vulnerability to the operating system of the ports opened to the user terminal attempting to access, installed software, and the software state using each port, the user terminal of the user terminal A wireless AP access blocking method for determining whether to allow access to the wireless AP. 제9항에 있어서,
상기 취약점 정보를 취약점 데이터베이스에 저장하는 단계는 상기 무선 AP에 접속을 시도하는 사용자 단말의 취약점 점검을 수행하여 상기 취약점 데이터베이스에 저장하는, 무선 AP 접속 차단 방법.The method of claim 9,
The step of storing the vulnerability information in the vulnerability database is to perform a vulnerability check of a user terminal attempting to access the wireless AP and store the vulnerability information in the vulnerability database. 제10항에 있어서,
상기 무선 AP에 접속을 시도하는 상기 사용자 단말에 취약점 사항을 통보하는 단계
를 더 포함하는 무선 AP 접속 차단 방법.The method of claim 10,
Step of notifying the user terminal attempting to access the wireless AP vulnerability information
Wireless AP access blocking method further comprising a. 제10항에 있어서,
상기 무선 AP에 접속을 시도하는 상기 사용자 단말의 취약점 점수를 계산하는 단계; 및
상기 취약점 점수가 미리 지정되는 제1 값 이하인 경우 상기 무선 AP로의 접속을 허용하고, 상기 취약점 점수가 상기 제1 값 초과 미리 지정되는 제2 값 미만인 경우 상기 무선 AP로의 접속을 허용하면서 상기 사용자 단말로 취약점 사항을 통보하며, 상기 취약점 점수가 상기 제2 값 이상인 경우 상기 무선 AP로의 접속을 차단하고 상기 사용자 단말로 취약점 사항을 통보하는 단계
를 더 포함하는 무선 AP 접속 차단 방법.The method of claim 10,
Calculating a vulnerability score of the user terminal attempting to access the wireless AP; And
When the vulnerability score is less than or equal to a first predetermined value, access to the wireless AP is allowed, and when the vulnerability score is greater than the first value and less than a predetermined second value, access to the wireless AP is allowed, and to the user terminal. Notifying the vulnerability, and if the vulnerability score is greater than or equal to the second value, blocking access to the wireless AP and notifying the user terminal of the vulnerability
Wireless AP access blocking method further comprising a. 제9항에 있어서,
상기 무선 AP 관리 리스트를 무선 AP 데이터베이스에 저장하는 단계는,
하나 이상의 무선 AP로부터 상기 하나 이상의 무선 AP의 IP 주소 및 MAC 주소를 수신하는 단계; 및
상기 하나 이상의 무선 AP의 보안성을 검증하여 검증에 성공한 무선 AP에 연관된 정보를 상기 무선 AP 관리 리스트에 저장하는 단계
를 포함하는, 무선 AP 접속 차단 방법.The method of claim 9,
The step of storing the wireless AP management list in the wireless AP database,
Receiving an IP address and a MAC address of the one or more wireless APs from one or more wireless APs; And
Verifying the security of the one or more wireless APs and storing information associated with the wireless APs that are successfully verified in the wireless AP management list
Including, wireless AP access blocking method. 제9항에 있어서,
비정상 사용자 단말 리스트를 블랙리스트 데이터베이스에 저장하는 단계는,
멀웨어(malware) 정보 제공자로부터 비정상 사용자 단말의 MAC 주소를 수집하는 단계;
멀웨어 탐색 도구를 이용하여 비정상 사용자 단말의 MAC 주소를 수집하는 단계; 및
수집된 비정상 사용자 단말의 MAC 주소를 상기 비정상 사용자 단말 리스트에 저장하는 단계
를 포함하는, 무선 AP 접속 차단 방법.The method of claim 9,
The step of storing the abnormal user terminal list in the black list database,
Collecting the MAC address of the abnormal user terminal from a malware information provider;
Collecting the MAC address of the abnormal user terminal using a malware search tool; And
Storing the collected MAC address of the abnormal user terminal in the abnormal user terminal list
Including, wireless AP access blocking method. 제9항에 있어서,
상기 사용자 단말 확인 요청은 상기 사용자 단말의 MAC 주소를 포함하고,
상기 블랙리스트 데이터베이스를 이용하여 상기 사용자 단말의 상기 무선 AP로의 접속 허용 여부를 결정하는 단계는 상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는지 여부를 확인하는 단계를 포함하는,
무선 AP 접속 차단 방법.The method of claim 9,
The user terminal confirmation request includes the MAC address of the user terminal,
Determining whether to allow the user terminal to access the wireless AP using the black list database includes checking whether the MAC address of the user terminal is included in the abnormal user terminal list,
How to block wireless AP access. 제15항에 있어서,
상기 사용자 단말의 MAC주소가 상기 비정상 사용자 단말 리스트에 포함되어 있는 경우 상기 무선 AP에게 상기 사용자 단말에 대한 접속 차단 신호를 전송하는 단계
를 더 포함하는, 무선 AP 접속 차단 방법.The method of claim 15,
When the MAC address of the user terminal is included in the list of abnormal user terminals, transmitting a connection blocking signal to the user terminal to the wireless AP.
Further comprising, a wireless AP access blocking method. 제9항 내지 제16항 중 어느 한 항의 무선 AP 접속 차단 방법을 수행하는 프로그램을 수록한 컴퓨터 판독 가능 기록 매체.A computer-readable recording medium containing a program for performing a method for blocking wireless AP access according to any one of claims 9 to 16.
KR1020180117354A 2017-10-31 2018-10-02 Apparatus and method for identifying a user terminal and blocking access to a wireless access point KR102119317B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020170143693 2017-10-31
KR20170143693 2017-10-31

Publications (2)

Publication Number Publication Date
KR20190049449A KR20190049449A (en) 2019-05-09
KR102119317B1 true KR102119317B1 (en) 2020-06-04

Family

ID=66546683

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180117354A KR102119317B1 (en) 2017-10-31 2018-10-02 Apparatus and method for identifying a user terminal and blocking access to a wireless access point

Country Status (1)

Country Link
KR (1) KR102119317B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113645669A (en) * 2020-05-11 2021-11-12 杭州萤石软件有限公司 Network access control method and system for wireless terminal
WO2022109940A1 (en) * 2020-11-26 2022-06-02 华为技术有限公司 Security authentication method and apparatus applied to wi-fi

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101141101B1 (en) * 2010-10-28 2012-05-02 주식회사 안철수연구소 Access point access approval system and method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140122540A (en) * 2013-04-10 2014-10-20 유넷시스템주식회사 Wireless network system and user terminal connection processing method of wireless network system
KR101528851B1 (en) * 2013-11-19 2015-06-17 (주)다보링크 Apc(access point controller), control method thereof, and recording medium for recording program for executing the control method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101141101B1 (en) * 2010-10-28 2012-05-02 주식회사 안철수연구소 Access point access approval system and method

Also Published As

Publication number Publication date
KR20190049449A (en) 2019-05-09

Similar Documents

Publication Publication Date Title
Banerjee et al. A blockchain future for internet of things security: a position paper
US10305926B2 (en) Application platform security enforcement in cross device and ownership structures
US7877795B2 (en) Methods, systems, and computer program products for automatically configuring firewalls
EP2850803B1 (en) Integrity monitoring to detect changes at network device for use in secure network access
US11140150B2 (en) System and method for secure online authentication
Falco et al. Neuromesh: Iot security enabled by a blockchain powered botnet vaccine
JP5878501B2 (en) Method and system for protecting a terminal in a dynamically configured network
US20060095961A1 (en) Auto-triage of potentially vulnerable network machines
KR100835820B1 (en) Total internet security system and method the same
KR101744631B1 (en) Network security system and a method thereof
CN108337219B (en) Method for preventing Internet of things from being invaded and storage medium
CN109995727B (en) Active protection method, device, equipment and medium for penetration attack behavior
Singh et al. Security attacks taxonomy on bring your own devices (BYOD) model
KR102119317B1 (en) Apparatus and method for identifying a user terminal and blocking access to a wireless access point
Dua et al. Iisr: A secure router for iot networks
Akhtar et al. A systemic security and privacy review: Attacks and prevention mechanisms over IOT layers
KR101499470B1 (en) Advanced Persistent Threat attack defense system and method using transfer detection of malignant code
CN112583841B (en) Virtual machine safety protection method and system, electronic equipment and storage medium
KR101265474B1 (en) Security service providing method for mobile virtualization service
CN107330331B (en) Method, device and system for identifying system with vulnerability
US20160149933A1 (en) Collaborative network security
CN115883170A (en) Network flow data monitoring and analyzing method and device, electronic equipment and storage medium
EP3048830A1 (en) Method, system and computer program product of wireless user device authentication in a wireless network
Zaimy et al. A review of hacking techniques in IoT systems and future trends of hacking on IoT environment
KR101153115B1 (en) Method, server and device for detecting hacking tools

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right