KR102182675B1 - Wireless device identification method and system using machine learning - Google Patents

Wireless device identification method and system using machine learning Download PDF

Info

Publication number
KR102182675B1
KR102182675B1 KR1020190179768A KR20190179768A KR102182675B1 KR 102182675 B1 KR102182675 B1 KR 102182675B1 KR 1020190179768 A KR1020190179768 A KR 1020190179768A KR 20190179768 A KR20190179768 A KR 20190179768A KR 102182675 B1 KR102182675 B1 KR 102182675B1
Authority
KR
South Korea
Prior art keywords
terminal
feature value
white list
wireless
machine learning
Prior art date
Application number
KR1020190179768A
Other languages
Korean (ko)
Inventor
원유재
조재호
서정훈
Original Assignee
충남대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충남대학교 산학협력단 filed Critical 충남대학교 산학협력단
Priority to KR1020190179768A priority Critical patent/KR102182675B1/en
Application granted granted Critical
Publication of KR102182675B1 publication Critical patent/KR102182675B1/en

Links

Images

Classifications

    • H04W12/1201
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • H04W12/0051
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Hardware Design (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

The present invention relates to a wireless terminal identification method and system using machine learning for identifying a terminal authorized by an administrator, a terminal unauthorized, and a MAC spoofing terminal by extracting a feature value from a probe request packet of a wireless terminal by using machine learning. According to one embodiment of the present invention, the wireless terminal identification method using machine learning may comprise: a step (S10) of collecting a probe request transmitted by nearby terminals and generating a pcapng file; a step (S20) of converting the generated pcapng file into a CSV file; and a step (S30) of extracting a feature value for identifying a wireless terminal in a wireless communication environment by using the converted CSV file. In addition, the method may comprise: a step (S40) of calculating and extracting a feature value from the probe request of a previously stored terminal based on the feature value for identifying the extracted terminal; a step (S50) of generating a white list by adding an identifier to the feature value calculated and extracted in the step (S40); a step (S60) of determining whether a MAC address of a terminal to be identified exists in the white list; and a step (S70) of determining an authorized terminal and a MAC spoofing terminal by using the extracted feature value if the MAC address exists in the white list as a result of the determination in the step (S60).

Description

기계학습을 이용한 무선 단말 식별 방법 및 시스템{Wireless device identification method and system using machine learning}Wireless device identification method and system using machine learning

본 발명은 기계학습을 이용한 무선 단말 식별 방법 및 시스템에 관한 것으로서, 기계학습을 이용하여 무선 단말의 프로브 리퀘스트(Probe request) 패킷으로부터 특징값을 추출함으로써 관리자가 인가한 단말, 인가하지 않은 단말 및 맥 스푸핑(MAC Spoofing) 단말을 식별하는 기계학습을 이용한 무선 단말 식별 방법 및 시스템에 관한 것이다.The present invention relates to a wireless terminal identification method and system using machine learning, and by extracting a feature value from a probe request packet of a wireless terminal using machine learning, a terminal authorized by an administrator, a terminal that is not authorized, and a MAC It relates to a wireless terminal identification method and system using machine learning to identify a MAC Spoofing terminal.

무선 네트워크 기술은 지속적으로 발전해왔으며, 최근 스마트폰 및 IoT 디바이스의 보급률이 증가함에 따라 무선 네트워크에 대한 수요 역시 증가하고 있다. 하지만, 무선 네트워크는 수많은 취약점이 있으며, 간단한 툴을 이용하여 이런 취약점을 통한 공격이 가능하다.Wireless network technology has been continuously developed, and as the penetration rate of smartphones and IoT devices increases in recent years, the demand for wireless networks is also increasing. However, wireless networks have numerous vulnerabilities, and attack through these vulnerabilities is possible using simple tools.

대표적인 공격으로는 맥 스푸핑(MAC Spoofing) 단말 등이 있다. 상기 맥 스푸핑(MAC Spoofing) 단말을 이용한 공격은 인가되지 않은 단말이 인가된 단말로 위장하여 내부 네트워크에 침입하는 방식으로 네트워크에 큰 혼란을 초래한다.Typical attacks include MAC Spoofing terminals. The attack using the MAC Spoofing terminal causes great confusion in the network in such a way that an unauthorized terminal infiltrates the internal network by disguised as an authorized terminal.

이러한 맥 스푸핑 단말 공격에 대응하기 위해 주위 무선 통신 디바이스의 존재를 빠르고 정확하게 인식 및 식별할 수 있는 기술의 필요성이 대두 되고 있다. 하지만, 종래의 무선 통신 디바이스를 식별하는 무선 네트워크의 특성상 오차에 민감하여 주위 환경에 따라 정확도가 떨어지며, 고가의 무선 신호 수집 장비가 필요하다는 한계가 존재한다.In order to cope with this MAC spoofing terminal attack, there is a need for a technology capable of quickly and accurately recognizing and identifying the existence of nearby wireless communication devices. However, due to the characteristics of a wireless network for identifying a conventional wireless communication device, it is sensitive to errors, the accuracy is degraded depending on the surrounding environment, and there is a limitation that expensive wireless signal collection equipment is required.

대한민국 등록특허 제10-1724321호(2017년 04월 07일 공고)Korean Patent Registration No. 10-1724321 (announced on April 07, 2017)

따라서, 본 발명이 이루고자 하는 기술적 과제는 종래의 단점을 해결한 것으로서, 주위 통신 환경의 변화에 의해 발생하는 잡음 및 측정 오차에 영향을 받지 않고 정확하게 무선 통신 디바이스(Device)를 식별할 수 있는 무선 단말 식별 방법 및 시스템을 제공하고자 하는데 그 목적이 있다.Accordingly, the technical problem to be achieved by the present invention is to solve the conventional shortcomings, and is a wireless terminal capable of accurately identifying a wireless communication device without being affected by noise and measurement errors caused by changes in the surrounding communication environment. It aims to provide an identification method and system.

이러한 기술적 과제를 이루기 위한 본 발명의 일 측면에 따른 기계학습을 이용한 무선 단말 식별 방법은 특징 추출 모듈에서 무선 네트워크 인터페이스 카드(NIC)를 이용하여 주변의 단말이 전송하는 프로브 리퀘스트를 수집하고, pcapng 파일을 생성하는 단계(S10)와, 상기 특징 추출 모듈에서 생성된 pcapng 파일을 CSV 파일로 변환하는 단계(S20) 및 상기 특징 추출 모듈이 변환된 CSV 파일을 이용하여 무선 통신 환경의 무선 단말을 식별하기 위한 특징값을 추출하는 단계(S30)를 포함할 수 있다.In order to achieve this technical problem, a wireless terminal identification method using machine learning according to an aspect of the present invention collects probe requests transmitted from neighboring terminals using a wireless network interface card (NIC) in a feature extraction module, and a pcapng file Generating (S10), converting the pcapng file generated by the feature extraction module into a CSV file (S20), and identifying a wireless terminal in a wireless communication environment using the converted CSV file by the feature extraction module It may include a step (S30) of extracting a feature value for.

또한, 단말 식별 모듈이 상기 특징 추출 모듈에서 추출한 단말을 식별하기 위한 특징값을 토대로 미리 저장된 단말의 프로브 리퀘스트(Probe request)로부터 특징값을 계산 및 추출하는 단계(S40)와, 상기 단말 식별 모듈이 상기 (S40) 단계에서 계산 및 추출된 특징값에 식별자를 추가하여 화이트리스트를 생성하는 단계(S50)를 포함할 수 있다.In addition, the terminal identification module calculating and extracting a feature value from a probe request of the terminal previously stored based on the feature value for identifying the terminal extracted from the feature extraction module (S40), and the terminal identification module It may include a step (S50) of generating a white list by adding an identifier to the feature values calculated and extracted in step (S40).

또한, 상기 단말 식별 모듈이 식별하고자 하는 단말의 맥 어드레스(MAC address)가 상기 화이트리스트에 존재하는지 여부를 판단하는 단계(S60) 및 상기 (S60) 단계의 판단 결과 화이트리스트에 존재하는 경우 상기 특징 추출 모듈에서 추출한 특징값을 이용하여 인가 단말과 맥 스푸핑(MAC Spoofing) 단말을 판단하는 단계(S70)를 포함할 수 있다.In addition, when the terminal identification module determines whether the MAC address of the terminal to be identified exists in the white list (S60) and the determination result of the step (S60), the characteristic It may include a step (S70) of determining an authorized terminal and a MAC spoofing terminal using the feature values extracted from the extraction module.

또한, 본 발명의 다른 측면에 따른 기계학습을 이용한 무선 단말 식별 시스템은 무선 네트워크 인터페이스 카드(NIC, Network Interface Card)를 이용하여 주변의 단말이 전송하는 프로브 리퀘스트(Probe request)를 수집하고, 수집된 정보를 토대로 특징값을 추출하는 특징 추출 모듈과, 상기 특징 추출 모듈에서 추출된 특징값을 이용하여 유사도 기반의 화이트리스트를 생성하고, 상기 화이트리스트를 이용하여 무선 단말을 식별하는 단말 식별 모듈을 포함한다.In addition, the wireless terminal identification system using machine learning according to another aspect of the present invention collects probe requests transmitted by neighboring terminals using a wireless network interface card (NIC), and the collected A feature extraction module that extracts feature values based on information, and a terminal identification module that generates a similarity-based white list using the feature values extracted from the feature extraction module, and identifies wireless terminals using the white list. do.

또한, 상기 특징 추출 모듈은 수집부, 변환부 및 특징 추출부를 포함할 수 있다. 상기 수집부는 무선 네트워크 인터페이스 카드를 이용하여 주변의 단말이 전송하는 프로브 리퀘스트를 수집하고, pcapng 파일을 생성한다.In addition, the feature extraction module may include a collection unit, a conversion unit, and a feature extraction unit. The collection unit collects probe requests transmitted from nearby terminals using a wireless network interface card, and generates a pcapng file.

상기 변환부는 생성된 상기 pcapng 파일을 CSV 파일로 변환한다. 또한, 상기 특징 추출부는 변환된 CSV 파일을 통해 무선 통신 환경의 무선 단말을 식별하기 위한 특징값을 추출한다.The conversion unit converts the generated pcapng file into a CSV file. In addition, the feature extraction unit extracts a feature value for identifying a wireless terminal in a wireless communication environment through the converted CSV file.

또한, 상기 단말 식별 모듈은 화이트리스트 생성부, 판단부, 유사도 비교부 및 저장부를 포함할 수 있다. 상기 화이트리스트 생성부는 특징 추출 모듈에서 추출한 특징값을 토대로 저장부에 미리 저장된 단말들의 프로브 리퀘스트(Probe request)로부터 특징값을 계산 및 추출한 후 식별자를 추가하여 화이트리스트를 생성한다.In addition, the terminal identification module may include a white list generation unit, a determination unit, a similarity comparison unit and a storage unit. The white list generator calculates and extracts a feature value from a probe request of terminals previously stored in a storage unit based on the feature value extracted by the feature extraction module, and then generates a white list by adding an identifier.

상기 유사도 비교부는 식별하고자 하는 무선 단말의 특징값을 상기 화이트리스트의 특징값과 비교하여 유사도를 산출한다. 상기 판단부는 화이트리스트와 유사도 비교부의 비교 결과 및 유사도 산출 결과를 토대로 판단하여 인가 단말, 비인가 단말 및 맥 스푸핑 단말을 식별한다.The similarity comparison unit calculates a similarity by comparing the feature value of the wireless terminal to be identified with the feature value of the white list. The determination unit identifies an authorized terminal, an unauthorized terminal, and a MAC spoofing terminal by determining based on the comparison result of the white list and the similarity comparison unit and the similarity calculation result.

이상에서 설명한 바와 같이, 본 발명에 따른 기계학습을 이용한 무선 단말 식별 방법 및 시스템은 주위 통신 환경의 변화에 의해 발생하는 잡음 및 측정 오차에 영향을 받지 않고 정확하게 무선 통신 디바이스(Device)를 식별할 수 있는 효과가 있다.As described above, the wireless terminal identification method and system using machine learning according to the present invention can accurately identify a wireless communication device without being affected by noise and measurement errors caused by changes in the surrounding communication environment. There is an effect.

또한, 별도의 추가 장비가 없이도 무선 NIC를 이용하여 주위 무선 통신 디바이스를 식별함으로써 추가 비용을 절감할 수 있는 효과가 있다. 또한, 기계학습을 이용하여 특징값을 추출함으로써 무선 단말의 식별 시간을 줄이고, 정확도를 향상할 수 있는 효과가 있다.In addition, there is an effect that additional cost can be reduced by identifying a surrounding wireless communication device using a wireless NIC without additional additional equipment. In addition, by extracting feature values using machine learning, there is an effect of reducing the identification time of the wireless terminal and improving the accuracy.

도 1은 본 발명의 실시 예에 따른 기계학습을 이용한 무선 단말 식별 시스템을 나타내는 구성도이다.
도 2는 본 발명의 실시 예에 따른 기계학습을 이용한 무선 단말 식별 방법을 나타내는 흐름도이다.
도 3은 본 발명의 실시 예에 따른 기계학습을 이용한 무선 단말 식별 방법을 나타내는 순서도이다.
도 4는 도 3의 (S70) 단계를 세부적으로 나타내는 순서도이다.
도 5는 본 발명의 실시 예에 따른 무선 단말 화이트리스트의 생성 과정을 나타내는 도면이다.
도 6은 본 발명의 실시 예에 따른 무선 단말 식별 과정을 나타내는 도면이다.1 is a block diagram showing a wireless terminal identification system using machine learning according to an embodiment of the present invention.
2 is a flowchart illustrating a method of identifying a wireless terminal using machine learning according to an embodiment of the present invention.
3 is a flowchart illustrating a method of identifying a wireless terminal using machine learning according to an embodiment of the present invention.
FIG. 4 is a flowchart illustrating in detail step (S70) of FIG. 3.
5 is a diagram illustrating a process of generating a wireless terminal white list according to an embodiment of the present invention.
6 is a diagram illustrating a wireless terminal identification process according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면부호를 붙였다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those of ordinary skill in the art may easily implement the present invention. However, the present invention may be implemented in various forms and is not limited to the embodiments described herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and similar reference numerals are attached to similar parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "…모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part "includes" a certain component, it means that other components may be further included rather than excluding other components unless otherwise stated. In addition, terms such as "... unit", "... group", and "... module" described in the specification mean units that process at least one function or operation, which can be implemented by hardware or software or a combination of hardware and software. I can.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다.Hereinafter, the present invention will be described in detail by describing a preferred embodiment of the present invention with reference to the accompanying drawings.

각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.The same reference numerals shown in each drawing indicate the same members.

도 1은 본 발명의 실시 예에 따른 기계학습을 이용한 무선 단말 식별 시스템(10)을 나타내는 구성도이다. 본 발명의 실시 예에 따른 기계학습을 이용한 무선 단말 식별 시스템(10)은 무선 패킷을 수집하고 가공하여 특징(Feature) 값을 추출하는 특징 추출 모듈(100)과, 유사도 기반 화이트리스트(211)를 이용하여 무선 단말을 식별하는 단말 식별 모듈(200)을 포함한다.1 is a block diagram showing a wireless terminal identification system 10 using machine learning according to an embodiment of the present invention. The wireless terminal identification system 10 using machine learning according to an embodiment of the present invention includes a feature extraction module 100 for extracting a feature value by collecting and processing wireless packets, and a similarity-based white list 211. And a terminal identification module 200 for identifying a wireless terminal by using.

특징 추출 모듈(100)은 수집부(110), 변환부(120) 및 특징 추출부(130)를 포함할 수 있다. 수집부(110)는 무선 네트워크 인터페이스 카드(NIC, Network Interface Card)를 이용하여 주변의 단말이 전송하는 프로브 리퀘스트(Probe request)를 수집하고, pcapng(pcap next generation) 파일을 생성한다.The feature extraction module 100 may include a collection unit 110, a conversion unit 120, and a feature extraction unit 130. The collection unit 110 collects probe requests transmitted from nearby terminals using a wireless network interface card (NIC), and generates a pcapng (pcap next generation) file.

또한, 변환부(120)는 생성된 pcapng 파일을 CSV 파일로 변환한다. 또한, 특징 추출부(130)는 변환된 CSV 파일을 통해 무선 통신 환경의 무선 단말을 식별하기 위한 특징(Feature) 값을 추출한다.In addition, the conversion unit 120 converts the generated pcapng file into a CSV file. In addition, the feature extraction unit 130 extracts a feature value for identifying a wireless terminal in a wireless communication environment through the converted CSV file.

또한, 특징 추출부(130)는 상기 프로브 리퀘스트(Probe request) 패킷으로부터 무선 단말을 식별하기 위해 시퀀스 번호(Sequence number) 증가율을 추출하는 시퀀스 번호 추출부(131)와, 상기 프로브 리퀘스트(Probe request)의 길이(Length)를 추출하는 PRL 추출부(132)를 포함할 수 있다.In addition, the feature extraction unit 130 includes a sequence number extraction unit 131 for extracting a sequence number increase rate to identify a wireless terminal from the probe request packet, and the probe request. It may include a PRL extraction unit 132 for extracting the length (Length).

즉, 특징 추출부(130)는 무선 단말을 식별하기 위해 시퀀스 번호(Sequence number) 증가율과, 프로브 리퀘스트(Probe request) 길이(Length)의 2가지 특징(Feature) 값을 상기 프로브 리퀘스트(Probe request) 패킷으로부터 추출할 수 있다.That is, the feature extraction unit 130 determines two feature values of a sequence number increase rate and a probe request length in order to identify a wireless terminal as the probe request. It can be extracted from the packet.

이때, 상기 시퀀스 번호 증가율은 초당 시퀀스 번호의 증가율을 의미하며, 상기 프로브 리퀘스트의 수신 시간과 시퀀스 번호의 상관관계 그래프에서 기울기를 나타낸다.In this case, the sequence number increase rate means an increase rate of the sequence number per second, and indicates a slope in the correlation graph between the reception time of the probe request and the sequence number.

본 발명에 따른 시퀀스 번호 추출부(131)는 기계학습(Machine learning)을 이용하여 시퀀스 번호의 증가율을 추출할 수 있다. 바람직하게는, 선형 회귀(Linear regression)를 사용하여 상기 상관관계 그래프의 정확한 기울기를 측정할 수 있다.The sequence number extracting unit 131 according to the present invention may extract an increase rate of the sequence number using machine learning. Preferably, linear regression can be used to measure the exact slope of the correlation graph.

즉, 본 발명에 따른 시퀀스 번호 추출부(131)는 상기 프로브 리퀘스트의 수신 시간과 시퀀스 번호의 상관관계 그래프에서 선형 회귀(Linear regression)를 여러 번 반복하여 계산된 직선의 기울기를 특징(Feature) 값으로 추출한다.That is, the sequence number extracting unit 131 according to the present invention calculates the slope of the straight line calculated by repeating linear regression several times in the correlation graph between the reception time of the probe request and the sequence number. Extract with.

또한, PRL 추출부(132)는 식별하고자 하는 무선 단말에 대한 모든 프로브 리퀘스트(Probe request) 패킷의 전체 길이에서 SSID 필드(Field)의 값을 빼고, 변하지 않는 값으로 계산한 널 프로브 리퀘스트(Null Probe request)의 길이를 특징(Feature) 값으로 추출한다.In addition, the PRL extractor 132 subtracts the value of the SSID field from the total length of all probe request packets for the wireless terminal to be identified, and calculates a null probe request with an unchanged value. The length of request) is extracted as a feature value.

즉, 상기 널 프로브 리퀘스트(Null Probe request)의 길이는 아래의 [수학식 1]과 같이 산출될 수 있다.That is, the length of the null probe request may be calculated as shown in [Equation 1] below.

[수학식 1][Equation 1]

NPRL = PRL - SSIDLNPRL = PRL-SSIDL

여기에서, NPRL은 널 프로브 리퀘스트(Null Probe request)의 길이이고, PRL은 프로브 리퀘스트(Probe request) 패킷의 전체 길이이며, SSIDL은 SSID 필드(Field)의 길이를 나타낸다.Here, NPRL is the length of a null probe request, PRL is the total length of a probe request packet, and SSIDL is the length of an SSID field.

또한, 특징 추출부(130)는 수집된 상기 프로브 리퀘스트(Probe request) 패킷으로부터 SSID와 MAC 어드레스(Address)를 추출하는 MAC 추출부(133)를 더 포함할 수 있다.In addition, the feature extracting unit 130 may further include a MAC extracting unit 133 for extracting an SSID and a MAC address from the collected probe request packet.

또한, 단말 식별 모듈(200)은 화이트리스트 생성부(210), 판단부(220), 유사도 비교부(230) 및 저장부(240)를 포함할 수 있다. 화이트리스트 생성부(210)는 특징 추출 모듈(100)에서 추출한 단말 식별용 특징값을 토대로 저장부(240)에 미리 저장된 단말들의 프로브 리퀘스트(Probe request)로부터 특징값을 계산 및 추출한 후 식별자와 함께 화이트리스트(211)를 생성한다.In addition, the terminal identification module 200 may include a white list generation unit 210, a determination unit 220, a similarity comparison unit 230, and a storage unit 240. The white list generation unit 210 calculates and extracts a feature value from a probe request of terminals previously stored in the storage unit 240 based on the terminal identification feature value extracted by the feature extraction module 100, and then together with the identifier. Whitelist 211 is created.

즉, 화이트리스트 생성부(210)는 저장부(240)에 미리 저장된 단말들의 프로브 리퀘스트(Probe request)로부터 특징값을 계산 및 추출하고, 추출된 특징값에 대응되는 식별자를 저장부(240)에 미리 저장된 단말들의 프로브 리퀘스트(Probe request)로부터 추가하여 화이트리스트(211)를 생성한다.That is, the white list generation unit 210 calculates and extracts a feature value from a probe request of terminals previously stored in the storage unit 240, and stores an identifier corresponding to the extracted feature value in the storage unit 240. A white list 211 is created by adding from a probe request of previously stored terminals.

여기에서, 상기 식별자는 무선 단말의 SSID와 MAC 어드레스(Address)가 될 수 있다. 또한, 판단부(220)는 MAC 추출부(133)에서 추출된 식별하고자 하는 단말의 맥 어드레스(MAC address)가 화이트리스트(211)에 존재하는지 여부를 판단한다.Here, the identifier may be the SSID and MAC address of the wireless terminal. In addition, the determination unit 220 determines whether the MAC address of the terminal to be identified extracted by the MAC extraction unit 133 exists in the white list 211.

판단부(220)의 판단 결과 식별하고자 하는 무선 단말의 맥 어드레스(MAC address)가 화이트리스트(211)에 존재하지 않는 경우에는 비인가 단말로 분류하고, 화이트리스트(211)에 존재하는 경우에는 특징 추출부(130)에서 추출한 특징값을 유사도 비교부(230)에 입력한다.If the MAC address of the wireless terminal to be identified does not exist in the white list 211 as a result of the determination of the determination unit 220, it is classified as an unauthorized terminal, and if it exists in the white list 211, feature extraction The feature value extracted by the unit 130 is input to the similarity comparison unit 230.

유사도 비교부(230)는 특징 추출부(130)로부터 입력받은 식별하고자 하는 무선 단말의 특징값을 화이트리스트 생성부(210)에서 생성된 화이트리스트(211)의 특징값과 유사도를 비교한다.The similarity comparison unit 230 compares the feature value of the wireless terminal to be identified received from the feature extraction unit 130 with the feature value of the white list 211 generated by the white list generator 210.

이때, 상기 유사도는 무선 단말을 식별하기 위한 특징값을 기반으로 미리 설정된 유사도 기준에 따라 산출될 수 있다. 즉, 본 발명의 실시 예에 따른 유사도 비교부(230)는 시퀀스 번호(Sequence number) 증가율과 프로브 리퀘스트(Probe request)의 길이(Length)를 이용하여 미리 설정된 유사도 기준에 따라 유사도를 산출할 수 있다.In this case, the similarity may be calculated according to a preset similarity criterion based on a feature value for identifying the wireless terminal. That is, the similarity comparison unit 230 according to an embodiment of the present invention may calculate the similarity according to a preset similarity criterion using a sequence number increase rate and a length of a probe request. .

판단부(220)는 유사도 비교부(230)의 비교 결과 및 유사도 산출 결과를 토대로 화이트리스트(211)에서 가장 유사도가 높은 특징값의 식별자와 식별하고자 하는 단말의 식별자를 비교하여 동일 여부를 판단하고, 가장 높은 유사도가 미리 설정된 문턱값(Threshold) 이상인지 여부를 판단한다.The determination unit 220 compares the identifier of the feature value having the highest similarity in the white list 211 with the identifier of the terminal to be identified based on the comparison result of the similarity comparison unit 230 and the similarity calculation result, and determines whether or not they are identical. , It is determined whether the highest similarity is greater than or equal to a preset threshold.

만약, 판단부(220)의 판단결과 두 조건이 모두 참이면 인가 단말로 분류하고, 적어도 하나가 만족하지 못하는 경우에는 맥 스푸핑(MAC Spoofing) 단말로 분류한다.If both conditions are true as a result of the determination of the determination unit 220, it is classified as an authorized terminal, and if at least one is not satisfied, it is classified as a MAC Spoofing terminal.

저장부(240)는 수집부(110)를 통해 수집된 단말의 프로브 리퀘스트(Probe request) 정보와, 특징 추출부(130)를 통해 추출된 특징값과, 화이트리스트 생성부(210)에서 생성된 화이트리스트(211)가 저장할 수 있다. 또한, 저장부(240)는 판단부(220)의 판단결과와, 유사도 비교부(230)에서 산출된 유사도 비교 결과 및 유사도 산출 결과를 저장할 수 있다.The storage unit 240 includes probe request information of the terminal collected through the collection unit 110, feature values extracted through the feature extraction unit 130, and generated by the white list generation unit 210. The white list 211 can be stored. In addition, the storage unit 240 may store a determination result of the determination unit 220, a similarity comparison result calculated by the similarity comparison unit 230, and a similarity calculation result.

이와 같이 본 발명의 실시 예에 따른 기계학습을 이용한 무선 단말 식별 시스템(10)은 관리자가 인가한 단말과, 인가하지 않은 비인가 단말 및 맥 스푸핑(MAC Spoofing) 단말을 식별하여 나타낼 수 있다.As described above, the wireless terminal identification system 10 using machine learning according to an exemplary embodiment of the present invention may identify and display a terminal authorized by an administrator, an unauthorized terminal, and a MAC Spoofing terminal.

도 2는 본 발명의 실시 예에 따른 기계학습을 이용한 무선 단말 식별 방법을 나타내는 흐름도이고, 도 3은 본 발명의 실시 예에 따른 기계학습을 이용한 무선 단말 식별 방법을 나타내는 순서도이다. 또한, 도 4는 도 3의 (S70) 단계를 세부적으로 나타내는 순서도이다. 또한, 도 5는 본 발명의 실시 예에 따른 무선 단말 화이트리스트의 생성 과정을 나타내는 도면이고, 도 6은 본 발명의 실시 예에 따른 무선 단말 식별 과정을 나타내는 도면이다.2 is a flowchart illustrating a method of identifying a wireless terminal using machine learning according to an embodiment of the present invention, and FIG. 3 is a flowchart illustrating a method of identifying a wireless terminal using machine learning according to an embodiment of the present invention. In addition, FIG. 4 is a flow chart showing in detail step (S70) of FIG. 3. In addition, FIG. 5 is a diagram illustrating a process of generating a wireless terminal white list according to an embodiment of the present invention, and FIG. 6 is a diagram illustrating a process of identifying a wireless terminal according to an embodiment of the present invention.

본 발명의 실시 예에 따른 기계학습을 이용한 무선 단말 식별 방법은 수집부(110)가 무선 네트워크 인터페이스 카드(NIC, Network Interface Card)를 이용하여 주변의 단말이 전송하는 프로브 리퀘스트(Probe request)를 수집하고, pcapng(pcap next generation) 파일을 생성하는 단계(S10), 변환부(120)가 생성된 pcapng 파일을 CSV 파일로 변환하는 단계(S20) 및 특징 추출부(130)가 변환된 CSV 파일을 이용하여 무선 통신 환경의 무선 단말을 식별하기 위한 특징값을 추출하는 단계(S30)를 포함할 수 있다.In the wireless terminal identification method using machine learning according to an embodiment of the present invention, the collection unit 110 collects a probe request transmitted from a neighboring terminal using a wireless network interface card (NIC). And, the step of generating a pcapng (pcap next generation) file (S10), the step of converting the pcapng file generated by the conversion unit 120 to a CSV file (S20), and the feature extraction unit 130 converts the converted CSV file. It may include extracting a feature value for identifying a wireless terminal in a wireless communication environment (S30).

또한, 단말 식별 모듈(200)의 화이트리스트 생성부(210)가 특징 추출 모듈(100)에서 추출한 단말 식별용 특징값을 토대로 미리 저장된 단말의 프로브 리퀘스트(Probe request)로부터 특징값을 계산 및 추출하는 단계(S40) 및 화이트리스트 생성부(210)가 상기 (S40) 단계에서 계산 및 추출된 특징값에 식별자를 추가하여 화이트리스트(211)를 생성하는 단계(S50)를 포함할 수 있다.In addition, the whitelist generation unit 210 of the terminal identification module 200 calculates and extracts a feature value from a probe request of the terminal previously stored based on the terminal identification feature value extracted from the feature extraction module 100. Step S40 and the step S50 of generating the white list 211 by adding an identifier to the feature values calculated and extracted by the white list generating unit 210 in step S40.

또한, 판단부(220)가 식별하고자 하는 단말의 프로브 리퀘스트(Probe request)로부터 추출한 맥 어드레스(MAC address)가 화이트리스트(211)에 존재하는지 여부를 판단하는 단계(S60)와, 상기 (S60) 단계의 판단 결과 화이트리스트(211)에 존재하는 경우 특징 추출부(130)에서 추출한 특징값을 이용하여 인가 단말과 맥 스푸핑(MAC Spoofing) 단말을 판단하는 단계(S70)를 포함할 수 있다.In addition, the determining unit 220 determines whether the MAC address extracted from the probe request of the terminal to be identified exists in the white list 211 (S60) and the (S60) If the determination result of the step is present in the white list 211, a step (S70) of determining an authorized terminal and a MAC spoofing terminal using the feature values extracted by the feature extraction unit 130 may be included.

이때, 도 6에서 도시된 바와 같이 상기 (S60) 단계의 판단 결과 식별하고자 하는 단말의 맥 어드레스(MAC address)가 화이트리스트(211)에 존재하지 않는 경우에는 판단부(220)가 상기 식별하고자 하는 단말을 비인가 단말로 분류하는 단계(S61)를 더 포함할 수 있다.At this time, as shown in FIG. 6, if the MAC address of the terminal to be identified does not exist in the white list 211 as a result of the determination in step (S60), the determination unit 220 The step of classifying the terminal as an unauthorized terminal (S61) may be further included.

또한, 상기 인가 단말과 맥 스푸핑 단말을 판단하는 단계(S70)는 상기 (S60) 단계의 판단 결과 화이트리스트(211)에 존재하는 경우에 판단부(220)가 특징 추출부(130)에서 추출한 상기 식별하고자 하는 단말의 특징값을 유사도 비교부(230)에 입력하는 단계(S71)와, 유사도 비교부(230)가 특징 추출부(130)로부터 입력받은 식별하고자 하는 무선 단말의 특징값을 화이트리스트 생성부(210)에서 생성된 화이트리스트(211)의 특징값과 비교하여 유사도를 산출하는 단계(S72)를 포함할 수 있다.In addition, in the step (S70) of determining the authorized terminal and the MAC spoofing terminal, the determination unit 220 extracted from the feature extraction unit 130 when the determination result of step (S60) exists in the white list 211 The step of inputting the feature value of the terminal to be identified into the similarity comparison unit 230 (S71), and the similarity comparison unit 230 whitelisting the feature value of the wireless terminal to be identified received from the feature extraction unit 130 A step (S72) of calculating a similarity by comparing the feature values of the white list 211 generated by the generator 210 may be included.

즉, 상기 (S72) 단계는 화이트리스트 생성부(210)에서 생성된 화이트리스트(211)의 특징값과 상기 (S71) 단계로부터 입력된 특징값을 비교하여 유사도를 산출하고, 상기 화이트리스트의 단말 중에서 입력된 특징값과 유사도가 높은 단말을 선택한다.That is, the step (S72) calculates the similarity by comparing the feature value of the white list 211 generated by the white list generating unit 210 with the feature value input from the step (S71), and the terminal of the white list Among them, a terminal having a high similarity to the input feature value is selected.

이때, 상기 유사도는 무선 단말을 식별하기 위한 특징값을 기반으로 미리 설정된 유사도 기준에 따라 산출될 수 있다. 즉, 본 발명의 실시 예에 따른 유사도 비교부(230)는 시퀀스 번호(Sequence number) 증가율과 프로브 리퀘스트(Probe request)의 길이(Length)를 이용하여 미리 설정된 유사도 기준에 따라 유사도를 산출할 수 있다.In this case, the similarity may be calculated according to a preset similarity criterion based on a feature value for identifying the wireless terminal. That is, the similarity comparison unit 230 according to an embodiment of the present invention may calculate the similarity according to a preset similarity criterion using a sequence number increase rate and a length of a probe request. .

또한, 상기 인가 단말과 맥 스푸핑 단말을 판단하는 단계(S70)는 판단부(220)가 유사도 비교부(230)의 비교 결과 및 유사도 산출 결과를 토대로 화이트리스트(211)에서 가장 유사도가 높은 특징값의 식별자(맥 어드레스(MAC address))와 식별하고자 하는 단말의 식별자를 비교하여 동일 여부를 판단하는 단계(S73)와, 판단부(220)가 (S73) 단계의 화이트리스트(211)에서 가장 높은 유사도가 미리 설정된 문턱값(Threshold) 이상인지 여부를 판단하는 단계(S74)와, 판단부(220)가 상기 (S73) 단계 및 (S74) 단계의 판단 결과를 이용하여 인가 단말과 맥 스푸핑(MAC Spoofing) 단말을 분류하는 단계(S75)를 포함할 수 있다.In the step of determining the authorized terminal and the MAC spoofing terminal (S70), the determination unit 220 performs a feature value having the highest similarity in the whitelist 211 based on the comparison result of the similarity comparison unit 230 and the similarity calculation result. The step (S73) of comparing the identifier (MAC address) of and the identifier of the terminal to be identified to determine whether they are the same (S73), and the determination unit 220 is the highest in the whitelist 211 of the step (S73). Determining whether the similarity is greater than or equal to a preset threshold (S74), and the determination unit 220 uses the determination results of the steps (S73) and (S74) to perform MAC spoofing (MAC) Spoofing) may include the step of classifying the terminal (S75).

이때, 상기 (S75) 단계는 도 6에서 도시된 바와 같이 상기 (S73) 단계와 (S74) 단계의 판단 결과가 모두 참이면 식별하고자 하는 단말을 인가 단말로 분류하고, 상기 (S73) 단계와 (S74) 단계의 판단 결과 중 적어도 하나가 거짓이면 식별하고자 하는 단말을 맥 스푸핑(MAC Spoofing) 단말로 분류한다.In this case, the step (S75) classifies the terminal to be identified as an authorized terminal when the determination results of the steps (S73) and (S74) are all true as shown in FIG. 6, and the steps (S73) and ( If at least one of the determination results in step S74) is false, the terminal to be identified is classified as a MAC Spoofing terminal.

즉, 화이트리스트(211)에서 가장 유사도가 높은 특징값의 식별자와 식별하고자 하는 단말의 식별자가 동일하고, 화이트리스트(211)에서 가장 높은 유사도가 미리 설정된 문턱값(Threshold) 이상인 경우에 식별하고자 하는 단말을 인가 단말로 분류한다.That is, if the identifier of the feature value with the highest similarity in the white list 211 and the identifier of the terminal to be identified are the same, and the highest similarity in the white list 211 is greater than or equal to a preset threshold, Classify the terminal as an authorized terminal.

이로 인해, 본 발명의 실시 예에 따른 기계학습을 이용한 무선 단말 식별 방법 및 시스템(10)은 선형 회귀(Linear regression)를 반복하여 시퀀스 번호(Sequence number) 증가율을 추출함으로써 안정적인 추출 결과를 토대로 정확하게 무선 단말을 식별할 수 있다. 즉, 시퀀스 번호(Sequence number)를 사용함으로써 프로브 리퀘스트(Probe request) 패킷의 손실이나 무선 NIC의 성능에 영향을 받지않고 정확하게 무선 단말을 식별할 수 있다.For this reason, the wireless terminal identification method and system 10 using machine learning according to an embodiment of the present invention repeats linear regression to extract a sequence number increase rate, thereby accurately performing wireless communication based on a stable extraction result. The terminal can be identified. That is, by using a sequence number, a wireless terminal can be accurately identified without being affected by a loss of a probe request packet or performance of a wireless NIC.

또한, 프로브 리퀘스트(Probe request)의 길이(Length)와 같은 부가적인 특징값을 통해 상기 시퀀스 번호(Sequence number) 증가율 값이 오차 범위 내에서 유사한 값을 갖는 경우에도 식별하고자 하는 무선 단말을 구분하고 분류할 수 있다.In addition, even when the sequence number increase rate value has a similar value within an error range through an additional feature value such as the length of a probe request, the wireless terminal to be identified is classified and classified. can do.

따라서, 본 발명의 실시 예에 따른 기계학습을 이용한 무선 단말 식별 방법 및 시스템(10)은 종래의 식별자를 위조한 맥 스푸핑(MAC Spoofing) 단말을 탐지하고, 사용자가 인가한 인가 단말과 비인가 단말을 식별할 수 있는 효과가 있다.Therefore, the wireless terminal identification method and system 10 using machine learning according to an embodiment of the present invention detects a MAC Spoofing terminal that forged a conventional identifier, and detects a user-approved authorized terminal and an unauthorized terminal. There is a discernible effect.

이상으로 본 발명에 관한 바람직한 실시 예를 설명하였으나, 본 발명은 상기 실시 예에 한정되지 아니하며, 본 발명의 실시 예로부터 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의한 용이하게 변경되어 균등하다고 인정되는 범위의 모든 변경을 포함한다.Although the preferred embodiments of the present invention have been described above, the present invention is not limited to the above embodiments, and is easily changed from the embodiments of the present invention by those of ordinary skill in the art to which the present invention belongs. It includes all changes to the extent deemed acceptable.

10 : 무선 단말 식별 시스템 100 : 특징 추출 모듈
110 : 수집부 120 : 변환부
130 : 특징 추출부 131 : 시퀀스 번호 추출부
132 : PRL 추출부 133 : MAC 추출부
200 : 단말 식별 모듈 210 : 화이트리스트 생성부
211 : 화이트리스트 220 : 판단부
230 : 유사도 비교부 240 : 저장부10: wireless terminal identification system 100: feature extraction module
110: collection unit 120: conversion unit
130: feature extraction unit 131: sequence number extraction unit
132: PRL extraction unit 133: MAC extraction unit
200: terminal identification module 210: white list generation unit
211: white list 220: judgment unit
230: similarity comparison unit 240: storage unit

Claims (9)

특징 추출 모듈에서 무선 네트워크 인터페이스 카드(NIC)를 이용하여 주변의 단말이 전송하는 프로브 리퀘스트를 수집하고, pcapng 파일을 생성하는 단계(S10);
상기 특징 추출 모듈에서 생성된 pcapng 파일을 CSV 파일로 변환하는 단계(S20);
상기 특징 추출 모듈이 변환된 CSV 파일을 이용하여 무선 통신 환경의 무선 단말을 식별하기 위한 특징값을 추출하는 단계(S30);
단말 식별 모듈이 상기 특징 추출 모듈에서 추출한 단말을 식별하기 위한 특징값을 토대로 미리 저장된 단말의 프로브 리퀘스트(Probe request)로부터 특징값을 계산 및 추출하는 단계(S40);
상기 단말 식별 모듈이 상기 (S40) 단계에서 계산 및 추출된 특징값에 식별자를 추가하여 화이트리스트를 생성하는 단계(S50);
상기 단말 식별 모듈이 식별하고자 하는 단말의 맥 어드레스(MAC address)가 상기 화이트리스트에 존재하는지 여부를 판단하는 단계(S60); 및
상기 (S60) 단계의 판단 결과 화이트리스트에 존재하는 경우 상기 특징 추출 모듈에서 추출한 특징값을 이용하여 인가 단말과 맥 스푸핑(MAC Spoofing) 단말을 판단하는 단계(S70)를 포함하는 기계학습을 이용한 무선 단말 식별 방법.
Collecting probe requests transmitted from neighboring terminals using a wireless network interface card (NIC) in the feature extraction module, and generating a pcapng file (S10);
Converting the pcapng file generated by the feature extraction module into a CSV file (S20);
Extracting a feature value for identifying a wireless terminal in a wireless communication environment using the CSV file converted by the feature extraction module (S30);
A step (S40) of calculating and extracting a feature value from a probe request of a previously stored terminal based on a feature value for identifying the terminal extracted by the feature extraction module by the terminal identification module (S40);
Generating a white list by adding an identifier to the feature value calculated and extracted in the step (S40) by the terminal identification module (S50);
Determining whether the MAC address of the terminal to be identified by the terminal identification module exists in the white list (S60); And
Wireless using machine learning including the step (S70) of determining an authorized terminal and a MAC Spoofing terminal using the feature values extracted from the feature extraction module when the determination result of step (S60) exists in the white list Terminal identification method.
 제1항에 있어서,
상기 특징값은 시퀀스 번호(Sequence number) 증가율과, 프로브 리퀘스트(Probe request)의 길이(Length)를 포함하는 기계학습을 이용한 무선 단말 식별 방법.
The method of claim 1,
The feature value is a method of identifying a wireless terminal using machine learning including a sequence number increase rate and a length of a probe request.
 제1항에 있어서,
상기 화이트리스트에 존재하는지 여부를 판단하는 단계(S60)의 판단 결과 식별하고자 하는 단말의 맥 어드레스(MAC address)가 화이트리스트에 존재하지 않는 경우에는 상기 식별하고자 하는 단말을 비인가 단말로 분류하는 단계(S61)를 더 포함하는 기계학습을 이용한 무선 단말 식별 방법.
The method of claim 1,
Classifying the terminal to be identified as an unauthorized terminal when the MAC address of the terminal to be identified does not exist in the white list as a result of the determination in step S60 of determining whether the terminal to be identified exists ( S61) wireless terminal identification method using machine learning further comprising.
 제1항에 있어서,
상기 인가 단말과 맥 스푸핑 단말을 판단하는 단계(S70)는
상기 화이트리스트에 존재하는지 여부를 판단하는 단계(S60)의 판단 결과 화이트리스트에 존재하는 경우에는 식별하고자 하는 단말의 특징값을 유사도 비교부에 입력하는 단계(S71)와,
상기 유사도 비교부가 식별하고자 하는 무선 단말의 특징값을 화이트리스트의 특징값과 비교하여 유사도를 산출하는 단계(S72)와,
상기 유사도 비교부의 비교 결과 및 유사도 산출 결과를 토대로 화이트리스트에서 가장 유사도가 높은 특징값의 맥 어드레스와 식별하고자 하는 단말의 맥 어드레스를 비교하여 동일 여부를 판단하는 단계(S73)와,
상기 화이트리스트에서 가장 높은 유사도가 미리 설정된 문턱값(Threshold) 이상인지 여부를 판단하는 단계(S74) 및
판단부가 상기 (S73) 단계 및 (S74) 단계의 판단 결과를 이용하여 인가 단말과 맥 스푸핑(MAC Spoofing) 단말을 분류하는 단계(S75)를 포함하는 기계학습을 이용한 무선 단말 식별 방법.
The method of claim 1,
The step of determining the authorized terminal and the MAC spoofing terminal (S70)
In the case where it is in the white list as a result of determining whether it exists in the white list (S60), inputting a feature value of the terminal to be identified to the similarity comparison unit (S71),
Computing a similarity by comparing a feature value of the wireless terminal to be identified by the similarity comparison unit with a feature value of a white list (S72),
Comparing the MAC address of the feature value having the highest similarity in the white list with the MAC address of the terminal to be identified based on the comparison result of the similarity comparison unit and the similarity calculation result (S73),
Determining whether the highest similarity degree in the white list is equal to or greater than a preset threshold (S74), and
A method for identifying a wireless terminal using machine learning, comprising the step (S75) of the determination unit classifying an authorized terminal and a MAC Spoofing terminal using the determination result of the (S73) and (S74) steps.
 제4항에 있어서,
상기 인가 단말과 맥 스푸핑 단말을 분류하는 단계(S75)는 상기 (S73) 단계와 (S74) 단계의 판단 결과가 모두 참이면 식별하고자 하는 단말을 인가 단말로 분류하고, 상기 (S73) 단계와 (S74) 단계의 판단 결과 중 적어도 하나가 거짓이면 식별하고자 하는 단말을 맥 스푸핑(MAC Spoofing) 단말로 분류하는 것을 특징으로 하는 기계학습을 이용한 무선 단말 식별 방법.
The method of claim 4,
In the step of classifying the authorized terminal and the MAC spoofing terminal (S75), if the determination results of steps (S73) and (S74) are all true, the terminal to be identified is classified as an authorized terminal, and the steps (S73) and ( If at least one of the determination results in step S74) is false, the terminal to be identified is classified as a MAC Spoofing terminal.
 무선 네트워크 인터페이스 카드(NIC, Network Interface Card)를 이용하여 주변의 단말이 전송하는 프로브 리퀘스트(Probe request)를 수집하고, 수집된 정보를 토대로 특징값을 추출하는 특징 추출 모듈과,
상기 특징 추출 모듈에서 추출된 특징값을 이용하여 유사도 기반의 화이트리스트를 생성하고, 상기 화이트리스트를 이용하여 무선 단말을 식별하는 단말 식별 모듈을 포함하는 기계학습을 이용한 무선 단말 식별 시스템.
A feature extraction module that collects probe requests transmitted from nearby terminals using a wireless network interface card (NIC, Network Interface Card), and extracts feature values based on the collected information;
A wireless terminal identification system using machine learning, comprising: a terminal identification module for generating a similarity-based whitelist using the feature values extracted from the feature extraction module, and identifying the wireless terminal using the whitelist.
 제6항에 있어서,
상기 특징 추출 모듈은
무선 네트워크 인터페이스 카드를 이용하여 주변의 단말이 전송하는 프로브 리퀘스트를 수집하고, pcapng 파일을 생성하는 수집부;
생성된 상기 pcapng 파일을 CSV 파일로 변환하는 변환부; 및
변환된 CSV 파일을 통해 무선 통신 환경의 무선 단말을 식별하기 위한 특징값을 추출하는 특징 추출부를 포함하는 기계학습을 이용한 무선 단말 식별 시스템.
The method of claim 6,
The feature extraction module
A collection unit that collects probe requests transmitted from nearby terminals using a wireless network interface card and generates a pcapng file;
A conversion unit converting the generated pcapng file into a CSV file; And
A wireless terminal identification system using machine learning, including a feature extraction unit for extracting a feature value for identifying a wireless terminal in a wireless communication environment through the converted CSV file.
 제7항에 있어서,
상기 특징 추출부는
프로브 리퀘스트(Probe request) 패킷으로부터 무선 단말을 식별하기 위해 시퀀스 번호(Sequence number) 증가율을 추출하는 시퀀스 번호 추출부와,
상기 프로브 리퀘스트(Probe request)의 길이(Length)를 추출하는 PRL 추출부를 포함하는 기계학습을 이용한 무선 단말 식별 시스템.
The method of claim 7,
The feature extraction unit
A sequence number extracting unit for extracting a sequence number increase rate to identify a wireless terminal from a probe request packet; and
A wireless terminal identification system using machine learning comprising a PRL extractor for extracting the length of the probe request.
 제6항에 있어서,
상기 단말 식별 모듈은
상기 특징 추출 모듈에서 추출한 특징값을 토대로 저장부에 미리 저장된 단말들의 프로브 리퀘스트(Probe request)로부터 특징값을 계산 및 추출한 후 식별자를 추가하여 화이트리스트를 생성하는 화이트리스트 생성부,
식별하고자 하는 무선 단말의 특징값을 상기 화이트리스트의 특징값과 비교하여 유사도를 산출하는 유사도 비교부 및
상기 화이트리스트와 유사도 비교부의 비교 결과 및 유사도 산출 결과를 토대로 판단하여 인가 단말, 비인가 단말 및 맥 스푸핑 단말을 식별하는 판단부를 포함하는 기계학습을 이용한 무선 단말 식별 시스템.


The method of claim 6,
The terminal identification module
A white list generator that calculates and extracts a feature value from a probe request of terminals previously stored in a storage unit based on the feature value extracted by the feature extraction module, and then adds an identifier to generate a white list,
A similarity comparison unit for calculating a similarity by comparing the feature value of the wireless terminal to be identified with the feature value of the white list; and
A wireless terminal identification system using machine learning comprising a determination unit for identifying an authorized terminal, an unauthorized terminal, and a MAC spoofing terminal by determining based on a comparison result of the white list and a similarity comparison unit and a similarity calculation result.
KR1020190179768A 2019-12-31 2019-12-31 Wireless device identification method and system using machine learning KR102182675B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190179768A KR102182675B1 (en) 2019-12-31 2019-12-31 Wireless device identification method and system using machine learning

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190179768A KR102182675B1 (en) 2019-12-31 2019-12-31 Wireless device identification method and system using machine learning

Publications (1)

Publication Number Publication Date
KR102182675B1 true KR102182675B1 (en) 2020-11-25

Family

ID=73645364

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190179768A KR102182675B1 (en) 2019-12-31 2019-12-31 Wireless device identification method and system using machine learning

Country Status (1)

Country Link
KR (1) KR102182675B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102422307B1 (en) * 2021-02-26 2022-07-15 충남대학교산학협력단 User moving route tracking system using wireless terminal

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101724321B1 (en) 2015-06-05 2017-04-07 김명회 Customer identification system, customer information managing apparatus, customer indentification method, and recording media using the identification information and the access time of mobile device
JP2018113580A (en) * 2017-01-11 2018-07-19 太陽誘電株式会社 Communication setting device
JP2018538748A (en) * 2015-11-19 2018-12-27 ワイファイ,インコーポレイテッド Centralized access point provisioning system and operating method thereof
KR102000159B1 (en) * 2013-12-18 2019-07-16 한국전자통신연구원 Apparatus and method for identifying rogue device
KR20190100637A (en) * 2018-02-21 2019-08-29 이화여자대학교 산학협력단 Method and apparatus of device to device connection based on whitelist
KR102001812B1 (en) * 2018-12-10 2019-10-01 한국남동발전 주식회사 Apparatus and method of making whitelist for communication among devices using k-means algorithm

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102000159B1 (en) * 2013-12-18 2019-07-16 한국전자통신연구원 Apparatus and method for identifying rogue device
KR101724321B1 (en) 2015-06-05 2017-04-07 김명회 Customer identification system, customer information managing apparatus, customer indentification method, and recording media using the identification information and the access time of mobile device
JP2018538748A (en) * 2015-11-19 2018-12-27 ワイファイ,インコーポレイテッド Centralized access point provisioning system and operating method thereof
JP2018113580A (en) * 2017-01-11 2018-07-19 太陽誘電株式会社 Communication setting device
KR20190100637A (en) * 2018-02-21 2019-08-29 이화여자대학교 산학협력단 Method and apparatus of device to device connection based on whitelist
KR102001812B1 (en) * 2018-12-10 2019-10-01 한국남동발전 주식회사 Apparatus and method of making whitelist for communication among devices using k-means algorithm

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102422307B1 (en) * 2021-02-26 2022-07-15 충남대학교산학협력단 User moving route tracking system using wireless terminal

Similar Documents

Publication Publication Date Title
US10873594B2 (en) Test system and method for identifying security vulnerabilities of a device under test
CN107209834B (en) Malicious communication pattern extraction device, system and method thereof, and recording medium
CN103929440A (en) Web page tamper prevention device based on web server cache matching and method thereof
Huang et al. Clock skew based client device identification in cloud environments
CN110611640A (en) DNS protocol hidden channel detection method based on random forest
CN107426136B (en) Network attack identification method and device
KR102182675B1 (en) Wireless device identification method and system using machine learning
CN110366172B (en) Security rating method and device for wireless access point
CN105100023A (en) Data packet feature extraction method and device
CN106911665B (en) Method and system for identifying malicious code weak password intrusion behavior
KR20200109875A (en) Harmful ip determining method
KR20110140063A (en) Method for detecting ip shared router and system thereof
KR20190073481A (en) Fingerprint determination for network mapping
US20210234871A1 (en) Infection-spreading attack detection system and method, and program
KR101774242B1 (en) Method and apparatus for detecting network scanning
KR102021082B1 (en) System and method for detecting network anomaly using the block-chain based index
CN112583827B (en) Data leakage detection method and device
RU2622788C1 (en) Method for protecting information-computer networks against cyber attacks
KR102168780B1 (en) Access point identification method and system using machine learning
KR101587845B1 (en) Method for detecting distributed denial of services attack apparatus thereto
US20230254234A1 (en) Imparting device, imparting method, and imparting program
CN108683670B (en) Malicious traffic identification method and system based on website application system access
Shen et al. Passive fingerprinting for wireless devices: A multi-level decision approach
JP4980396B2 (en) Traffic characteristic measuring method and apparatus
CN108337217B (en) Trojan back-connection detection system and method based on six-dimensional space flow analysis model

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant