KR102329493B1 - 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치 - Google Patents

무선 침입 방지 시스템에서의 접속 차단 방법 및 장치 Download PDF

Info

Publication number
KR102329493B1
KR102329493B1 KR1020150167947A KR20150167947A KR102329493B1 KR 102329493 B1 KR102329493 B1 KR 102329493B1 KR 1020150167947 A KR1020150167947 A KR 1020150167947A KR 20150167947 A KR20150167947 A KR 20150167947A KR 102329493 B1 KR102329493 B1 KR 102329493B1
Authority
KR
South Korea
Prior art keywords
radio frame
policy
blocking
message
generating
Prior art date
Application number
KR1020150167947A
Other languages
English (en)
Other versions
KR20170062301A (ko
Inventor
최대성
박성준
황철훈
Original Assignee
삼성전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자 주식회사 filed Critical 삼성전자 주식회사
Priority to KR1020150167947A priority Critical patent/KR102329493B1/ko
Priority to US15/775,185 priority patent/US10834596B2/en
Priority to PCT/KR2016/013766 priority patent/WO2017091047A1/ko
Publication of KR20170062301A publication Critical patent/KR20170062301A/ko
Application granted granted Critical
Publication of KR102329493B1 publication Critical patent/KR102329493B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 무선 침입 방지 시스템(wireless intrusion prevention system) 내 전자 장치의 접속 차단 방법에 관한 것으로, 제 1 통신 모듈을 통해, 복수의 채널에서 순차적으로 무선 프레임을 모니터링하는 단계; 상기 모니터링 결과 수신된 적어도 하나의 무선 프레임에 기반하여 제 1 차단 메시지를 생성하고, 상기 적어도 하나의 무선 프레임 중 소정 무선 네트워크 기술이 적용된 제 1 무선 프레임에 기반하여 제 2 차단 메시지를 생성하는 단계; 및 제 2 통신 모듈을 통해, 상기 제 1 또는 제 2 차단 메시지 중 적어도 하나를 전송하는 단계를 포함한다. 다만, 상기 실시 예에 한정되지 않으며 다른 실시 예가 가능하다.

Description

무선 침입 방지 시스템에서의 접속 차단 방법 및 장치{METHOD AND APPARATUS FOR PREVENTING CONNECTION IN WIRELESS INTRUSION PREVENTION SYSTEM}
본 발명은 무선 침입 방지 시스템에 관한 것으로, AP(access point) 및 단말 간 접속을 차단하는 방법 및 장치에 관한 것이다.
인터넷의 급속한 발전과 보급으로 네트워크 환경은 점점 거대해지고 있으며, 인터넷의 간편하고 편리한 네트워크 접속과 제공하고 있는 다양한 서비스로 인하여 그 형태가 복잡해지고 있다. 그러나 인터넷 상에서의 바이러스, 해킹, 시스템 침입, 시스템 관리자 권한 획득, 침입사실 은닉, 서비스 거부공격 등과 같은 다양한 형태의 네트워크 공격으로 인해 인터넷은 항상 해킹의 위험에 노출되어 인터넷에 대한 침해가 증가하고 있고, 공공기관과 사회기반시설 및 금융 기관은 피해 규모가 점점 증가하며 그 영향력이 크다. 이러한 인터넷 보안문제를 해결하기 위해 바이러스 백신, 방화벽, 통합 보안 관리, 침입탐지시스템 등의 네트워크 보안 기술의 필요성이 대두되고 있다.
무선 인터넷 통신을 위한 무선랜 시스템은 무선랜 액세스 포인트(Wireless LAN Access Point, AP)와 무선랜 단말을 포함한다. AP는 액세스 포인트 장치라는 장비를 설치하여 사용하고 있다. 무선랜 단말은 AP에서 제공되는 정보를 전달받아 다음 단으로 제공하는 기능을 한다. 현재 주로 사용하는 AP는 무선 트래픽에 대한 전송, 네트워크 지원 기능만을 제공하기 때문에, 무선으로 칩입되는 해킹 정보를 필터링하고 있지 못하다.
최근에는 유선과 무선을 이용한 통합형 네트워크 시스템이 널리 개발되고 적용되고 있다. 유선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것도 어렵지만, 무선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것은 더 어렵다. 이를 해결하기 위해 침입 차단 시스템(Wireless Intrusion Prevention System, WIPS)이 개발되고 있는 상황이다. WIPS는 무선 구간 모니터링을 통해 비인가(rouge) AP 또는 DoS (Denial of Service) 공격 등의 무선 침입을 탐지 및 차단하는 시스템이다.
예컨대 IEEE 802.11w 기술과 같이 보호된 비인증 프레임을 통해 AP와 단말이 접속하는 경우, AP와 단말이 연결된 상태에서는 WIPS가 차단을 수행할 수 있다. 또한, 접속을 시도하는 AP와 단말에 대해서 차단 이벤트를 발생시키는 시간보다 둘 간의 연결되는 시간이 빠른 경우 정상적으로 차단을 수행할 수 없는 문제가 발생할 수 있다.
따라서, 본 발명의 다양한 실시 예들은, 소정 보안 기술이 적용된 무선 네트워크를 통해 접속을 시도하는 AP와 단말간의 접속을 빠르게 사전 차단하는 방법을 제공하는 것을 목적으로 한다.
본 발명의 한 실시 예에 따른 무선 침입 방지 시스템(wireless intrusion prevention system) 내 전자 장치의 접속 차단 방법은, 제 1 통신 모듈을 통해, 복수의 채널에서 순차적으로 무선 프레임을 모니터링하는 단계; 상기 모니터링 결과 수신된 적어도 하나의 무선 프레임에 기반하여 제 1 차단 메시지를 생성하고, 상기 적어도 하나의 무선 프레임 중 소정 무선 네트워크 기술이 적용된 제 1 무선 프레임에 기반하여 제 2 차단 메시지를 생성하는 단계; 및 제 2 통신 모듈을 통해, 상기 제 1 또는 제 2 차단 메시지 중 적어도 하나를 전송하는 단계를 포함할 수 있다.
본 발명의 한 실시 예에 따른 무선 침입 방지 시스템(wireless intrusion prevention system) 내 전자 장치는, 제 1 통신 모듈; 제 2 통신 모듈; 및 상기 제 1 통신 모듈을 통해 복수의 채널에서 순차적으로 무선 프레임을 모니터링하도록 제어하고, 상기 모니터링 결과 수신된 적어도 하나의 무선 프레임에 기반하여 제 1 차단 메시지를 생성하고 상기 적어도 하나의 무선 프레임 중 소정 무선 네트워크 기술이 적용된 제 1 무선 프레임에 기반하여 제 2 차단 메시지를 생성하며, 제 2 통신 모듈을 통해 상기 제 1 또는 제 2 차단 메시지 중 적어도 하나를 전송하도록 제어하는 컨트롤러를 포함할 수 있다.
본 발명의 다양한 실시 예에 따른 WIPS에 의하면, 일반 무선 네트워크를 통해 연결된 AP와 단말 간의 연결을 차단할 수 있을 뿐만 아니라, 소정 보안 기술이 적용된 무선 네트워크를 통해 AP와 단말이 접속하기 이전에 접속을 사전 차단할 수 있다.
도 1은 무선 침입 방지 시스템(wireless intrusion prevention system, WIPS)의 개략적인 구성을 나타내는 블록도이다.
도 2는 WIPS의 접속 차단 방법을 나타내는 흐름도이다.
도 3은 센싱 장치가 모니터링한 무선 프레임을 기반으로 정책 위반 여부를 판단하는 방법을 나타내는 순서도이다.
도 4는 본 발명의 실시 예에 따른 WIPS의 개략적인 구성을 나타내는 블록도이다.
도 5는 센싱 장치 내 통신 모듈의 구성의 한 예시를 나타내는 도면이다.
도 6은 본 발명의 실시 예에 따른 WIPS의 접속 차단 방법을 나타내는 흐름도이다.
도 7은 본 발명의 실시 예에 따른 센싱 장치의 채널 모니터링 시, 스캔 채널 동적 할당을 설명하기 위한 도면이다.
도 8은 본 발명의 실시 예에 따른 스캔 채널 동적 할당 방법을 설명하기 위한 순서도이다.
도 9는 본 발명의 실시 예에 따른 센싱 장치가 소정 무선 네트워크와 관련하여 차단 이벤트 생성 방법을 설명하기 위한 순서도이다.
도 10은 본 발명의 실시 예에 따른 센싱 장치가 일반 무선 네트워크와 관련하여 차단 이벤트 생성 방법을 설명하기 위한 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다.
본 발명의 실시 예에 따른 무선 침입 방지 시스템(wireless intrusion prevention system, WIPS)은 무선 구간 모니터링을 통해 비인가(rouge) AP(Access Point) 또는 DoS (Denial of Service) 공격 등의 무선 침입을 탐지 및 차단하는 시스템이다.
본 명세서에서 기술하는 일반 무선 네트워크는 IEEE 802.11기술이 적용되는 무선 네트워크를 지칭할 수 있고, 그 중 소정 보안 기술이 적용된 무선 네트워크는 IEEE 802.11w기술이 적용된 무선 네트워크를 지칭할 수 있다. IEEE 802.11w는 관리 프레임의 보안성을 향상시킨 IEEE 802.11의 수정 기술이다. 그러나, 이에 한정되는 것은 아니고, 본 발명의 실시 예는 다양한 보안 기술이 적용된 무선 네트워크에 적용될 수 있음은 물론이다.
도 1은 WIPS의 개략적인 구성을 나타내는 블록도이다.
도 1을 참조하면, WIPS는 센싱 장치(100) 및 서버(130)를 포함할 수 있다. 한편, 무선 네트워크 서비스와 센싱 장치를 동시에 구성할 수 있는 기업 네트워크에서는, 필요 시 AP 컨트롤러를 추가적으로 포함할 수 있다.
WIPS가 차단 정책을 결정하는 동작은 다음과 같을 수 있다.
예컨대, 센싱 장치(100)는 무선 프레임을 모니터링하고, 모니터링한 무선 프레임을 기반으로 이를 전송한 단말 또는 AP의 MAC 주소, 보안 설정 내용, 프레임 출현 빈도, 전송 속도, 데이터 양, SSID, IEEE 802.11 a/b/g/n 등 여부, 채널, RSSI 등의 정보를 가공할 수 있다. 그리고, 센싱 장치(100)는 가공된 정보를 서버(130)로 전송할 수 있다.
서버(130)는 가공된 정보를 DB(database)화된 시그너쳐(signature) 정보와 비교하여 해당 단말 또는 AP의 비인가 여부 및 이상 동작 여부를 판단할 수 있다. 이때, 시그너쳐는 무선 프레임의 헤더 정보 또는 프레임 발생 빈도 등의 정보를 포함할 수 있다.
서버(130)는 탐지된 AP의 비인가 여부를 2가지 경우로 판단할 수 있다. 서버(130)는 SSID, MAC 주소, DB에 저장된 기타 정보를 기반으로 비인가 AP 여부를 판단하거나, 해당 AP가 사내 유선망에 연결되지 않을 경우 비인가 AP로 판단할 수 있다. 이때, 사내 유선망에 연결 여부의 판단은 다양한 방법으로 이루어질 수 있다. 비인가 단말도 이와 유사한 방법으로 판단할 수 있다.
서버(130)는 해당 AP가 비인가 되었거나 이상 동작 중인 AP 또는 단말로 판단될 경우, 차단 정책에 의한 자동 차단을 실시하거나 알람을 발생시켜 관리자에 의해 수동 차단을 실시하게 할 수 있다. 차단 결정에 따라 서버(130)는 센서 장치(100)에게 차단 대상 목록 또는 차단 정책 정보룰 전송할 수 있다.
센서 장치(100)는 차단 대상 목록 및 차단 정책에 기반한 판단에 의해 차단해야 할 AP와 단말을 선택하게 되고, 차단을 실시할 수 있다.
예컨대, 차단 대상 목록 및 차단 정책에 기반한 센싱 장치(100)의 차단은 다음과 같은 3가지 종류가 있을 수 있다.
1) AP 차단: 센싱 장치(100)는 차단 대상 AP의 BSSID가 감지되면 특정 단말 대상이 아니고 AP에 접속하는 모든 단말을 차단할 수 있다.
2) 단말 차단: 센싱 장치(100)는 비인가 단말로 판단되거나 해당 단말이 인가된 단말로 변조했음을 탐지했을 경우, 해당 단말을 차단할 수 있다. 해당 단말의 MAC이 나타나면 센싱 장치(100)는 이의 모든 AP로의 접속을 차단할 수 있다.
3) 특정 AP-단말 차단: 센싱 장치(100)는 비인가 AP에 인가 단말이 연결되었을 경우 또는 인가 AP에 비인가 단말이 연결 되었을 경우 연결을 차단할 수 있다. 센싱 장치(100)는 해당 단말 MAC이 나타나면 지정된 AP로의 접속에 대해서만 차단하고 그 외 AP의 접속에는 관여하지 않을 수 있다.
예컨대, 센싱 장치(100)는 컨트롤러(105) 및 통신 모듈(125)을 포함할 수 있다.
통신 모듈(125)은 무선 프레임을 모니터링할 수 있고, 차단 메시지 생성 시 단말 및 AP로 차단 메시지를 전송할 수 있다.
컨트롤러(105)는 무선 침입 방지와 관련한 정책 정보 및 차단 목록에 기반하여, 모니터링 결과 수신한 무선 프레임과 관련한 차단 메시지를 생성할 수 있다. 그리고, 컨트롤러(105)는 생성된 차단 메시지를, 상기 무선 프레임을 송수신하도록 설정된 AP 및 단말로 전송하도록 제어할 수 있다.
예컨대, 컨트롤러(105)는 센서 수신부(110), 센서 분석부(115) 및 센서 차단부(120)를 포함할 수 있다.
센서 수신부(110)는 통신 모듈(125)를 제어하여 복수의 채널에서 무선 프레임을 모니터링할 수 있다.
센서 분석부(115)는 모니터링 결과 수신된 무선 프레임을 분석하여 상기 무선 프레임을 송신한 AP 또는 단말의 정보를 추가/갱신할 수 있다. 센서 분석부(115)는 차단 대상 목록 및 차단 정책에 기반하여 상기 AP 또는 단말의 정책 위반 여부를 판단하여 차단 이벤트를 생성할 수 있다. 센서 분석부(115)는 생성된 차단 이벤트를 서버(130)로 전달할 수 있다.
센서 차단부(120)는 생성된 차단 이벤트를 실행할 수 있다. 센서 차단부(120)는 차단 메시지를 생성하여 상기 무선 프레임을 송수신하도록 설정됐던 AP 및 단말로 전송할 수 있다.
예컨대, AP와 단말이 서로 연결되어 있을 경우, 센서 차단부(120)는 비인증(Deauthentication) 프레임을 생성하여 이를 AP 및 단말로 전송함으로써 차단을 수행할 수 있다. 센서 차단부(120)는 비인증 프레임을 보내는 주소는 AP의 BSSID로 설정하고, 받는 주소는 단말의 MAC 주소로 설정하여 생성 후 단말에게 전송할 수 있다. 그리고, 센서 차단부(120)는 비인증 프레임을 보내는 주소는 단말의 MAC 주소로 설정하고, 받는 주소는 AP의 BSSID로 설정하여 생성 후 AP에게 전송할 수 있다. 센싱 장치(100)로부터 전송되는 비인증 프레임을 받은 AP와 단말은, 상대방이 연결 종료를 알리는 비인증 프레임을 전송하였다고 판단하여 서로간의 접속을 중지할 수 있다.
도 2는 WIPS의 접속 차단 방법을 나타내는 흐름도이다.
서버(130)는 205 단계에서 센싱 장치(100)에 무선 침입 방지 관련 정책 정보 및 차단 목록을 전송할 수 있다.
센서 수신부(110)는 210 단계에서 복수의 채널에서 무선 프레임을 모니터링할 수 있다. 모니터링 결과 무선 프레임이 수신되면, 215 단계에서 센서 수신부(110)는 센서 분석부(115)에 해당 무선 프레임 분석을 호출할 수 있다.
센서 분석부(115)는 220 단계에서 해당 무선 프레임을 분석하여, 225 단계에서 해당 무선 프레임을 송신한 AP 또는 단말 정보를 추가하거나 갱신할 수 있다. 그리고, 230 단계에서 해당 AP 또는 단말의 정책 위반 여부를 판단할 수 있다. 센서 분석부(115)는 정책 위반으로 판단되는 경우 235 단계에서 차단 이벤트를 생성할 수 있다. 센서 분석부(115)는 240 단계에서 생성된 차단 이벤트 정보를 서버(130)로 전달할 수 있다.
245 단계에서 차단 이벤트가 발생하였음이 센서 차단부(120)로 전달되면, 센서 차단부(120)는 250 단계에서 차단 이벤트를 실행할 수 있다. 센서 차단부(10)는 예컨대, 앞서 설명한 바와 같이 비인증 프레임을 생성하여 상기 무선 프레임을 송수신하도록 설정됐던 AP 및 단말로 전송할 수 있다.
도 3은 센싱 장치(예: 100) 내 센서 분석부(115)가, 모니터링한 무선 프레임을 기반으로 정책 위반 여부를 판단하는 방법을 나타내는 순서도이다.
센서 분석부(115)는 305 단계에서 무선 프레임을 분석하고 해당 무선 프레임을 송신한 AP 또는 단말 정보를 추가/갱신할 수 있다.
센서 분석부(115)는 310 단계에서 모니터링된 AP 또는 단말이 차단 AP 목록에 있는지 여부를 판단할 수 있고, 목록에 있는 경우 315 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.
센서 분석부(320)는 320 단계에서 모니터링된 AP 또는 단말이 차단 단말 목록에 있는지 여부를 판단할 수 있고, 목록에 있는 경우 325 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.
센서 분석부(320)는 330 단계에서 모니터링된 AP가 비인가 AP 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 335 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.
센서 분석부(320)는 340 단계에서 모니터링된 단말이 비인가 단말 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 345 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.
센서 분석부(320)는 350 단계에서 모니터링된 AP 또는 단말이 기타 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 355 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.
한편, IEEE 802.11w 과 같은 무선 프레임에 대한 보안이 강화된 기술이 등장하면서, 상기와 같은 WIPS의 AP-단말 접속 차단 방법에 대한 아래와 같은 문제점이 대두되었다.
기존 IEEE 802.11 관리(management) 프레임은 비보호된 상태로 전송되었기 때문에 센서에서 보내는 비인증 프레임에 대해서 AP나 단말은 의심 없이 받아들여 서로 간의 접속을 중지하였다. 하지만, IEEE 802.11w 에서 관리 프레임을 보호하는 기술을 정의함에 따라 IEEE 802.11w로 연결된 AP나 단말은 보호된 비인증 프레임이 아니게 되면 해당 비인증 프레임을 무시하기 때문에, AP와 단말이 연결된 상태에서는 차단 메시지를 통한 차단을 수행할 수 없다.
따라서, AP와 단말이 IEEE 802.11w로 접속을 시도할 경우 정책 검사 이후 차단 메시지를 발생시키는 시간보다 AP와 단말이 연결되는 시간이 빠르기 때문에, 정상적으로 차단을 수행할 수 없다.
따라서, 본 발명의 다양한 실시 예는, WIPS에서 IEEE 802.11w에 의해서 접속을 시도하는 AP와 단말을 빠르게 탐지하고 WIPS의 차단 정책 및 차단 목록에 의해서 해당 AP와 단말간의 차단을 수행하는 방법을 제공한다. 아래에서 설명은 IEEE 802.11w가 적용되는 무선 네트워크를 예로써 설명할 것이나 이에 한정되는 것을 아니고, 무선 프레임에 소정 보안 기술이 적용된 무선 네트워크에 확장하여 적용될 수 있음은 잘 이해될 수 있을 것이다.
도 4는 본 발명의 실시 예에 따른 WIPS의 개략적인 구성을 나타내는 블록도이다.
도 4를 참조하면, 본 발명의 실시 예에 따른 WIPS는 센싱 장치(400) 및 서버(440)를 포함할 수 있다.
앞서 도 1에서 설명한 동작과 유사하게, 서버(440)는 차단 대상 목록 및 차단 정책 정보를 결정하여 센싱 장치(400)로 전달할 수 있다.
센싱 장치(400)는 컨트롤러(405)과 제 1 및 제 2 통신 모듈(430, 435)을 포함할 수 있다.
본 발명의 실시 예에 따른 제 1 및 제 2 통신 모듈(430, 435)은 무선 프레임을 모니터링하는 기능과, 생성된 차단 메시지를 AP 및 단말로 전송하는 기능이 구분되어 수행될 수 있다. 예컨대, 제 1 통신 모듈(430)은 상기 컨트롤러(405)의 제어에 따라 복수의 채널에서 순차적으로 무선 프레임을 모니터링할 수 있다. 그리고, 제 2 통신 모듈(435)은 상기 컨트롤러(405)의 제어에 따라, 생성된 차단 메시지를 AP 및 단말로 전송할 수 있다. 모니터링 기능을 수행하는 통신 모듈과 차단 메시지 전송을 하는 통신 모듈이 구분되기 때문에, 보다 빠른 모니터링 및 차단 동작이 가능하고 따라서 높은 차단 성능을 기대할 수 있다.
도 5를 참조하면, 도 1에 도시된 센싱 장치(500)에 포함되는 통신 모듈의 구성과 도 4에 도시된 센싱 장치(520)에 포함되는 통신 모듈의 구성을 비교할 수 있다.
예컨대, IEEE 802.11w를 고려하지 않는 센싱 장치(500)의 경우, 예컨대, 2.4GHz 대역에 대한 채널 스캔 및 차단을 수행하는 통신 모듈(505) 및 5GHz 대역에 대한 채널 스캔 및 차단을 수행하는 통신 모듈(510)을 포함할 수 있다.
반면, IEEE 802.11w를 고려하는 센싱 장치(500)의 경우, 채널 스캔을 수행하는 통신 모듈(525) 및 차단을 수행하는 통신 모듈(530)을 구분하여 포함할 수 있다. 한 예시로, 채널 스캔을 수행하는 통신 모듈(525)은 2.4GHz 대역 및 5GHz 대역에 대한 채널 스캔을 수행할 수 있다. 그리고, 차단을 수행하는 통신 모듈(530)은 2.4GHz 대역 및 5GHz 대역 각각에 대한 차단을 수행하는 통신 모듈(535, 540)을 포함할 수 있다.
컨트롤러(405)는 서버(440)로부터 수신한 정책 정보 및 차단 목록에 기반하여, 모니터링 결과 수신한 무선 프레임과 관련한 차단 메시지를 생성할 수 있다.
이때, 컨트롤러(405)는 소정 무선 네트워크 기술(예컨대, IEEE 802.11w)이 적용된 무선 프레임을 별도로 필터링하여, 해당 무선 프레임에 대한 차단 메시지를 생성하는 동작과 일반 무선 네트워크 기술이 적용된 무선 프레임에 대한 차단 메시지를 생성하는 동작을 병렬적으로 처리할 수 있다. 그리고, 컨트롤러(105)는 생성된 차단 메시지를, 상기 무선 프레임을 송수신하도록 설정된 AP 및 단말로 전송하도록 제어할 수 있다.
아래는, IEEE 802.11w와 관련하여 본 발명의 실시 예에서 추가되는 개념에 대한 설명이다.
1) PMF (Protected Management Frame)
기존의 무선랜에서는 데이터 프레임만 보호될 수 있었고, 관리 프레임과 컨트롤 프레임들은 보호되지 못했지만 IEEE 802.11w 에서 일부 관리 프레임을 보호할 수 있는 기술을 표준으로 정했고 이를 PMF라 한다. 이러한 프레임 종류는 De-authentication, Disassociation 과 Action management frame 등이 있다.
2) Protected flag
본 발명의 실시 예에 따라 IEEE 802.11w에 의한 접속을 차단하기 위해서는 기존에 연결 중인 AP와 단말간의 De-authentication과 Disassociation 메시지를 확인해야 된다. 하지만 De-authentication과 Disassociation 메시지의 경우 IEEE 802.11w를 구분할 수 있는 필드가 없기 때문에, IEEE 802.11w로의 연결 가능 여부를 추정해야 된다. Radio tap flag에는 Protected flag가 있고, 이 값이 1일 경우 기존에 연결 되었던 AP와 단말은 데이터를 암호화(WEP, WPA/WPA2)를 했음을 추정할 수 있다.
3) 11w 스캔 알고리즘
본 발명의 실시 예에 따르면, 무선 프레임 모니터링은 IEEE 802.11w가 탐지되는 채널에 대해서 채널을 동적으로 추가 할당함으로써 11w 채널을 스캔 할 수 있는 확률을 높이는 알고리즘을 제안한다.
4) Management Frame Protection Required (MFPR)
IEEE 802.11w를 지원하는 AP 또는 단말은 Robust Security Network (RSN) Information Element (IE)의 RSN capabilities 필드 중 MFPR 를 비콘(Beacon) 또는 프로브(Probe) 메시지로 방사한다. MFPR의 비트가 1일 경우 해당 AP 또는 단말은 상대방과 IEEE 802.11w로만 연결할 수 있다. MFPR의 비트가 0일 경우 아래 5)에서 설명하는 MFPC로 802.11w 연결 여부가 결정될 수 있다.
5) Management Frame Protection Capable (MFPC)
802.11w를 지원하는 AP 또는 단말은 4)에서 설명된 RSN capabilities 필드 중 MFPC를 비콘 또는 프로브 메시지로 방사한다. MFPC의 비트가 1일 경우 해당 AP 또는 단말은 상대방과 IEEE 802.11w로 연결이 선택사항이 된다. MFPC의 비트가 0일 경우 해당 AP 또는 단말은 상대방과 IEEE 802.11w로 연결하지 않는다.
6) MFPR과 MFPC 설정에 따른 IEEE 802.11w 가능 여부
AP 또는 단말은 IEEE 802.11w 연결을 지원하는 경우의 MFPC, MFPR와 지원하지 않는 경우의 MFPC, MFPR를 구분할 수 있다. 다음과 같이 각 옵션에 따라 AP 또는 단말이 상대방과 802.11w로 연결 여부를 확인할 수 있다.
AP 단말 802.11w 연결 여부
MFPC=0, MFPR=0 MFPC=0, MFPR=0 X
MFPC=0, MFPR=0 MFPC=1, MFPR=0 X
MFPC=0, MFPR=0 MFPC=1, MFPR=1 X
MFPC=1, MFPR=0 MFPC=0, MFPR=0 X
MFPC=1, MFPR=0 MFPC=1, MFPR=0 O
MFPC=1, MFPR=0 MFPC=1, MFPR=1 O
MFPC=1, MFPR=1 MFPC=0, MFPR=0 X
MFPC=1, MFPR=1 MFPC=1, MFPR=0 O
MFPC=1, MFPR=1 MFPC=1, MFPR=1 O
상기 설명한 IEEE 802.11w 관련 기술이 적용된 것을 전제로, 이하 컨트롤러(405)의 동작을 설명하기로 한다.
컨트롤러(405)는 한 예시로, 센서 수신부(410), 제 1 센서 분석부(415), 제 2 센서 부석부(420) 및 센서 차단부(425)를 포함할 수 있다. 상기 컨트롤러(405)의 이러한 구성은 소프트웨어적인 구분일 수도 있고, 하드웨어적인 구분일 수도 있다. 컨트롤러(405)의 구성은 이에 한정되는 것은 아니고, 동일한 기능을 구현하는 다양한 방식으로 설계될 수 있다.
센서 수신부(410)는 제 1 통신 모듈(125)를 제어하여 복수의 채널에서 무선 프레임을 모니터링할 수 있다. 아래에서 자세하게 설명하겠지만, 센서 수신부(410)는 상기 복수의 채널 중 IEEE 802.11w 의 무선 프레임이 전송된 채널을 상기 모니터링을 위해 동적으로 추가 할당할 수 있다.
제 1 센서 분석부(415)는 상기 모니터링 결과 수신한 적어도 하나의 무선 프레임 중 IEEE 802.11w의 무선 프레임을 필터링하고, 차단 대상 목록 및 차단 정책에 기반하여 상기 필터링된 무선 프레임에 대한 차단 이벤트를 생성할 수 있다. 한편, IEEE 802.11w에 대한 정책 적용이 비활성화된 상태인 경우에는, 제 1 센서 분석부(415)는 상기 무선 프레임에 대한 정책 위반 예상 정보를 생성할 수 있다. 추후 해당 정책 적용이 활성화되면, 제 1 센서 분석부(415)는 상기 정책 위반 예상 정보에 기반하여 상기 무선 프레임에 대한 차단 이벤트를 생성할 수 있다.
제 1 센서 분석부(415)는 상기 무선 프레임이 비콘 프레임인 경우, 채널 정보가 위조된 모조(fake) 비콘을 생성하여 단말에게 전송함으로써 불특정 단말들이 IEEE 802.11w를 지원하는 AP로의 접속을 지연시킬 수 있다.
제 1 센서 분석부(415)는 상기 무선 프레임이 프로브 프레임인 경우, 상기 무선 프레임에 대한 차단 이벤트를 생성할 수 있다.
제 2 센서 분석부(420)는 차단 대상 목록 및 차단 정책에 기반하여, 상기 모니터링 결과 수신한 적어도 하나의 무선 프레임의 정책 위반 여부를 판단하고, 상기 판단 결과에 따라 상기 IEEE 802.11w의 무선 프레임을 제외한 무선 프레임에 대한 차단 이벤트를 생성할 수 있다.
제 1 및 제 2 센서 분석부(420)는 병렬적으로 동작함으로써, IEEE 802.11w의 무선 프레임에 대한 차단 이벤트를 보다 빠르게 생성할 수 있다.
센서 차단부(425)는 제 1 및 제 2 센서 분석부(420)에 의해 생성된 차단 이벤트를 실행할 수 있다. 센서 차단부(425)는 차단 이벤트에 기반한 차단 메시지를 생성하여 상기 무선 프레임을 송수신하도록 설정됐던 AP 및 단말로 전송할 수 있다.
도 6은 본 발명의 실시 예에 따른 WIPS의 접속 차단 방법을 나타내는 흐름도이다.
서버(440)는 605 단계에서 센싱 장치(400)에 무선 침입 방지 관련 정책 정보 및 차단 목록을 전송할 수 있다.
센서 수신부(410)는 610 단계에서, 복수의 채널에서 순차적으로 무선 프레임을 모니터링할 수 있다. 센서 수신부(410)는 예컨대, 도 7에 도시된 바와 같이 무선 프레임 모니터링 시 스캔 채널을 동적으로 할당할 수 있다. 센서 수신부(410)는 초기에는 705와 같이 스캔 채널을 할당하여 순차적으로 무선 프레임을 모니터링할 수 있다. 이후, IEEE 802.11w 관련 채널(예컨대, 5번 채널)이 탐지된 경우, 710과 같이 해당 채널을 모니터링을 위해 추가적으로 할당하도록 관리할 수 있다. 더하여, 추가적인 IEEE 802.11w 관련 채널(예컨대, 157번 채널)이 탐지된 경우, 715와 같이 해당 채널 또한 모니터링을 위해 추가적으로 할당하도록 관리할 수 있다. 이로써, IEEE 802.11w 관련 채널에 대한 스캔을 빈번하게 수행함으로써 보다 빠르게 IEEE 802.11w의 무선 프레임과 관련한 차단 이벤트를 수행할 수 있다.
모니터링 결과 무선 프레임이 수신되면, 615 단계에서 센서 수신부(410)는 제 1 센서 분석부(415)에 해당 무선 프레임 분석을 호출할 수 있다.
제 1 센서 분석부(415)는 620 단계에서 IEEE 802.11w 무선 프레임을 필터링하여 필터링된 무선 프레임을 분석할 수 있다. 그리고, 제 1 센서 분석부(415)는 625 단계에서, IEEE 802.11w 관련 정책 적용이 활성화된 경우라면 해당 무선 프레임에 대한 정책 위반 여부를 판단하고, IEEE 802.11w 관련 정책 적용이 비활성화된 경우라면 해당 무선 프레임에 대한 정책 위반 예상 정보를 생성할 수 있다. 추후 IEEE 802.11w 관련 정책 적용 활성화 시, 제 1 센서 분석부(415)는 상기 정책 위반 예상 정보에 기반하여 보다 빠르게 차단 이벤트를 생성할 수 있다.
제 1 센서 분석부(415)는 630 단계에서, 상기 정책 위반 여부 판단 결과에 기반하여 차단 이벤트를 생성할 수 있다. 예컨대, 제 1 센서 분석부(415)는 해당 무선 프레임이 비콘 메시지인 경우에는 모조(fake) 비콘을 생성하여 단말에게 전송함으로써, 단말의 AP에 대한 접속을 지연시킬 수 있다. 무선 프레임이 프로브 메시지인 경우, 제 1 센서 분석부(415)는 해당 무선 프레임에 대한 차단 이벤트를 생성할 수 있다.
제 1 센서 분석부(415)는 635 단계에서 생성된 차단 이벤트 정보를 서버(440)로 전송할 수 있다. 그리고, 640 단계에서 차단 이벤트가 발생하였음이 센서 차단부(425)로 전달될 수 있다.
한편, 모니터링 결과 무선 프레임이 수신되면, 645 단계에서 센서 수신부(410)는 제 2 센서 분석부(420)에 해당 무선 프레임 분석을 호출할 수 있다.
제 2 센서 분석부(420)는 650 단계에서 수신한 무선 프레임을 분석할 수 있다. 이때, 제 2 센서 분석부(420)는 IEEE 802.11w 무선 프레임을 포함하여 분석할 수도 있다. 다만, 추후 차단 이벤트 생성 시 IEEE 802.11w 무선 프레임에 대한 차단 이벤트 생성은 제외할 수도 있도록, IEEE 802.11w 무선 프레임에 태깅(tagging)을 수행할 수 있다.
한편, 제 2 센서 분석부(420)는 앞서 설명한 스캔 채널 동적 할당을 위하여, IEEE 802.11w 무선 프레임 탐지 시 센서 수신부(410)에 해당 채널에 대한 알림을 전달할 수 있다.
제 2 센서 분석부(420)는 655 단계에서 해당 무선 프레임을 송신한 AP 또는 단말 정보를 추가하거나 갱신할 수 있다. 그리고, 660 단계에서 해당 AP 또는 단말의 정책 위반 여부를 판단할 수 있다. 제 2 센서 분석부(420)는 정책 위반으로 판단되는 경우 665 단계에서 차단 이벤트를 생성할 수 있다. 이때, 태깅된 IEEE 802.11w 무선 프레임을 제외한 무선 프레임에 대해서만 차단 이벤트를 생성할 수 있다.
제 2 센서 분석부(420)는 670 단계에서 생성된 차단 이벤트 정보를 서버(440)로 전달할 수 있다. 그리고, 675 단계에서 차단 이벤트가 발생하였음이 센서 차단부(425)로 전달될 수 있다.
센서 차단부(425)는 680 단계에서 상기 제 1 및 제 2 센서 분석부(415, 420)로부터 전달된 차단 이벤트를 실행할 수 있다. 센서 차단부(425)는 예컨대, 차단 메시지를 생성하여 상기 무선 프레임을 송수신하도록 설정됐던 AP 및 단말로 전송할 수 있다.
도 8은 본 발명의 실시 예에 따른 센서 수신부(410)의 무선 프레임 모니터링 시 스캔 채널 동적 할당 방법을 설명하기 위한 순서도이다.
센서 수신부(410)는 805 단계에서 무선 프레임을 수신할 수 있다. 그리고, 센서 수신부(410)는 810 단계에서, IEEE 802.11w 관련 정책 적용이 활성화되었는지 여부를 판단할 수 있다.
정책 적용이 활성화된 경우라면, 센서 수신부(410)는 815 단계에서 상기 무선 프레임을 수신한 채널이 현재 추가 스캔 채널로 미관리되는 AP의 IEEE 802.11w 채널인지 여부를 확인할 수 있다. 만약 추가 스캔 채널로 관리되고 있는 채널이면, 이를 무시한다. 그러나, 추가 스캔 채널로 관리되고 있지 않는 채널이면, 센서 수신부(410)는 820 단계에서 해당 채널을 스캔 채널로 추가 할당할 수 있다.
반면, 정책 적용이 비활성화된 경우라면, 센서 수신부(410)는 825 단계에서 현재 추가 스캔 채널로 관리되고 있는 IEEE 802.11w 스캔 채널 전체를 삭제할 수 있다.
도 9는 본 발명의 실시 예에 따른 제 1 센서 분석부(415)가 IEEE 802.11w를 지원하는 무선 프레임 관련 차단 이벤트를 생성하는 방법을 설명하기 위한 순서도이다.
제 1 센서 분석부(415)는 905 단계에서 프레임 분석 호출을 수신할 수 있다.
제 1 센서 분석부(415)는 910 단계에서 해당 무선 프레임이 비콘(Beacon) 메시지 인지 여부를 확인할 수 있다.
해당 무선 프레임이 비콘 메시지인 경우, 제 1 센서 분석부(415)는 915 단계에서 해당 무선 프레임이 IEEE 802.11w를 지원하는지 여부를 확인할 수 있다. 만약, IEEE 802.11w를 지원하지 않는 무선 프레임이라면 이를 폐기하고 다음으로 탐지된 무선 프레임을 분석할 수 있다.
만약, IEEE 802.11w를 지원하는 비콘 메시지로 확인되면, 제 1 센서 분석부(415)는 920 단계에서 IEEE 802.11w 관련 정책 적용이 활성화되었는지 여부를 확인할 수 있다.
만약 정책 적용이 활성화된 경우라면, 제 1 센서 분석부(415)는 925 단계에서 해당 무선 프레임이 정책 위반 시 채널 정보가 위조된 모조(fake) 비콘을 생성할 수 있다. 정책을 위반하지 않은 무선 프레임은 폐기할 수 있다. 반면, 정책 적용이 비활성화된 경우라면, 제 1 센서 분석부(415)는 930 단계에서 상기 무선 프레임에 대한 예상되는 정책 위반 여부를 검사함으로써, 정책 위반 예상 정보를 생성할 수 있다. 따라서, 추후에 정책 적용이 활성화된 경우 상기 정책 위반 예상 정보에 기반하여 조속히 모조(fake) 비콘을 생성할 수 있다.
반면, 해당 무선 프레임이 비콘 메시지가 아닌 경우, 제 1 센서 분석부(415)는 935 단계에서 해당 무선 프레임이 프로브 메시지인지 여부를 확인할 수 있다. 프로브 메시지도 아니라면 제 1 센서 분석부(415)는 이를 폐기하고 다음으로 탐지된 무선 프레임을 분석할 수 있다.
해당 무선 프레임이 프로브 메시지인 경우, 제 1 센서 분석부(415)는 915 단계에서 해당 무선 프레임이 IEEE 802.11w를 지원하는지 여부를 확인할 수 있다. 만약, IEEE 802.11w를 지원하지 않는 무선 프레임이라면 이를 폐기하고 다음으로 탐지된 무선 프레임을 분석할 수 있다.
만약, IEEE 802.11w를 지원하는 프로브 메시지로 확인되면, 제 1 센서 분석부(415)는 945 단계에서 IEEE 802.11w 관련 정책 적용이 활성화되었는지 여부를 확인할 수 있다.
만약 정책 적용이 활성화된 경우라면, 제 1 센서 분석부(415)는 950 단계에서 해당 무선 프레임이 정책 위반 시 이에 대한 차단 이벤트를 생성할 수 있다. 정책을 위반하지 않은 무선 프레임은 폐기할 수 있다. 반면, 정책 적용이 비활성화된 경우라면, 제 1 센서 분석부(415)는 955 단계에서 상기 무선 프레임에 대한 예상되는 정책 위반 여부를 검사함으로써, 정책 위반 예상 정보를 생성할 수 있다. 따라서, 추후에 정책 적용이 활성화된 경우 상기 정책 위반 예상 정보에 기반하여 조속히 차단 이벤트를 생성할 수 있다.
즉, 본 발명의 실시 예에 따르면, 제 1 센서 분석부(415)는 IEEE 802.11w와 관련한 AP 및 단말의 정책 위반 정보를, 서버로부터의 정책 적용 활성화 여부와 관계없이 저장할 수 있다. 상기 정책 위반 정보는 유효기간을 갱신하면서 지속적으로 저장될 수 있다. 저장된 정보는 IEEE 802.11w로 연결을 시도하는 AP 및 단말을 프로브 메시지에서 탐지하지 못할 경우를 대비하여 사용될 수 있다. 즉, 이후에 프로브 메시지를 탐지하여 해당 AP 및 단말로 차단 메시지를 발생시키지 못했다면, 상기 저장된 정책 위반 정보를 기반으로 차단 메시지를 생성할 수 있다.
도 10은 본 발명의 실시 예에 따른 제 2 센서 분석부(420)가 무선 프레임 관련 차단 이벤트를 생성하는 방법을 설명하기 위한 순서도이다.
제 2 센서 분석부(420)는 1005 단계에서 무선 프레임을 분석하고 해당 무선 프레임을 송신한 AP 또는 단말 정보를 추가/갱신할 수 있다.
제 2 센서 분석부(420)는 1010 단계에서 모니터링된 AP 또는 단말이 IEEE 802.11w를 지원하는지 여부를 판단할 수 있고, 지원하는 경우 1015 단계에서 해당 무선 프레임과 관련한 AP 및 단말 정보에 태깅(tagging)을 수행할 수 있다.
제 2 센서 분석부(420)는 1020 단계에서 모니터링된 AP 또는 단말이 차단 AP 목록에 있는지 여부를 판단할 수 있고, 목록에 있는 경우 1025 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.
제 2 센서 분석부(420)는 1030 단계에서 모니터링된 AP 또는 단말이 차단 단말 목록에 있는지 여부를 판단할 수 있고, 목록에 있는 경우 1035 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다.
제 2 센서 분석부(420)는 1040 단계에서 모니터링된 AP가 비인가 AP 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 1045 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다. 이때, IEEE 802.11w를 지원하는 것으로 태깅된 AP 및 단말에 대한 차단 이벤트는 제외하고 생성할 수 있다.
제 2 센서 분석부(420)는 1050 단계에서 모니터링된 단말이 비인가 단말 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 1055 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다. 이때, IEEE 802.11w를 지원하는 것으로 태깅된 AP 및 단말에 대한 차단 이벤트는 제외하고 생성할 수 있다.
제 2 센서 분석부(420)는 1060 단계에서 모니터링된 AP 또는 단말이 기타 정책을 위반했는지 여부를 판단할 수 있고, 위반한 것으로 판단된 경우 1065 단계에서 해당 무선 프레임과 관련한 AP 및 단말의 연결을 차단하기 위한 차단 이벤트를 생성할 수 있다. 이때, IEEE 802.11w를 지원하는 것으로 태깅된 AP 및 단말에 대한 차단 이벤트는 제외하고 생성할 수 있다.
한편, 상기 차단 이벤트를 생성하기 위한 판단 순서는 임의로 정한 것으로, 그 순서가 일부 바뀌어서 진행될 수도 있다.
즉, 본 발명의 실시 예에 따르면, 제 2 센서 분석부(420)는 IEEE 802.11w를 지원하는 AP 또는 단말 정보에 태깅해줌으로써, 제 2 센서 분석부(420)가 제 1 센서 분석부(415)와 중복하여 IEEE 802.11w를 지원하는 무선 프레임에 대한 차단 이벤트 생성을 하지 않도록 막아준다.
본 명세서와 도면에 개시된 본 개시의 실시 예들은 본 개시의 기술 내용을 쉽게 설명하고 본 개시의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 개시의 범위를 한정하고자 하는 것은 아니다. 따라서 본 개시의 범위는 여기에 개시된 실시 예들 이외에도 본 개시의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 개시의 범위에 포함되는 것으로 해석되어야 한다.

Claims (20)

  1. 무선 침입 방지 시스템(wireless intrusion prevention system) 내 전자 장치의 접속 차단 방법에 있어서,
    제 1 통신 모듈을 사용하여, 복수의 채널에서 무선 프레임을 모니터링하는 단계;
    적어도 하나의 무선 프레임에 기반한 제 1 차단 메시지의 생성과, 소정 보안 기술이 적용된 제 1 무선 프레임에 기반한 제 2 차단 메시지의 생성을 병렬적으로 수행하는 단계; 및
    제 2 통신 모듈을 사용하여, 상기 제 1 또는 제 2 차단 메시지 중 적어도 하나를 전송하는 단계를 포함하고,
    상기 적어도 하나의 무선 프레임은, 모니터링된 무선 프레임에서 상기 제 1 무선 프레임을 제외한 것 중 정책을 위반했다고 판단된 무선 프레임에 속하는 것을 특징으로 하는 전자 장치의 접속 차단 방법.
  2. 제 1 항에 있어서,
    상기 모니터링하는 단계는,
    상기 복수의 채널 중 상기 제 1 무선 프레임이 전송된 채널을 상기 모니터링을 위해 동적으로 추가 할당하는 것을 특징으로 하는 전자 장치의 접속 차단 방법.
  3. 제 1 항에 있어서,
    상기 제 1 차단 메시지를 생성하는 단계는,
    정책 정보 및 차단 목록에 기반하여 상기 적어도 하나의 무선 프레임 각각에 대한 정책 위반 여부를 판단하는 단계를 포함하는 전자 장치의 접속 차단 방법.
  4. 제 1 항에 있어서,
    상기 제 2 차단 메시지를 생성하는 단계는,
    상기 제 1 무선 프레임이 비콘 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 활성화 상태이면, 상기 비콘 메시지와는 다른 특성을 갖는 모조(fake) 비콘 메시지를 생성하는 단계; 및
    상기 모조 비콘 메시지를 단말로 전송하는 단계를 포함하는 전자 장치의 접속 차단 방법.
  5. 제 4 항에 있어서,
    상기 제 2 차단 메시지를 생성하는 단계는,
    상기 제 1 무선 프레임이 비콘 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 비활성화 상태이면, 상기 제 1 무선 프레임에 대한 정책 위반 예상 정보를 생성하는 단계;
    추후 상기 소정 보안 기술과 관련한 정책 적용이 활성화되면, 상기 예상 정보에 기반하여 상기 모조 비콘 메시지를 생성하는 단계를 더 포함하는 전자 장치의 접속 차단 방법.
  6. 제 1 항에 있어서,
    상기 제 2 차단 메시지를 생성하는 단계는,
    상기 제 1 무선 프레임이 프로브 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 활성화 상태이면, 상기 제 2 차단 메시지를 생성하는 단계를 포함하는 전자 장치의 접속 차단 방법.
  7. 제 6 항에 있어서,
    상기 제 2 차단 메시지를 생성하는 단계는,
    상기 제 1 무선 프레임이 프로브 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 비활성화 상태이면, 상기 제 1 무선 프레임에 대한 정책 위반 예상 정보를 생성하는 단계;
    추후 상기 소정 보안 기술과 관련한 정책 적용이 활성화되면, 상기 예상 정보에 기반하여 상기 제 2 차단 메시지를 생성하는 단계를 더 포함하는 전자 장치의 접속 차단 방법.
  8. 제 1 항에 있어서,
    서버로부터 무선 침입 방지 관련 정책 정보 및 차단 목록을 수신하는 단계를 더 포함하는 전자 장치의 접속 차단 방법.
  9. 삭제
  10. 제 1 항에 있어서,
    상기 소정 보안 기술은 IEEE 802.11w의 보안 기술을 포함하는 것을 특징으로 하는 전자 장치의 접속 차단 방법.
  11. 무선 침입 방지 시스템(wireless intrusion prevention system) 내 전자 장치에 있어서,
    제 1 통신 모듈;
    제 2 통신 모듈; 및
    상기 제 1 통신 모듈을 사용하여 복수의 채널에서 무선 프레임을 모니터링하도록 제어하고, 적어도 하나의 무선 프레임에 기반한 제 1 차단 메시지의 생성 및 소정 보안 기술이 적용된 제 1 무선 프레임에 기반한 제 2 차단 메시지의 생성을 병렬적으로 수행하도록 제어하며, 제 2 통신 모듈을 사용하여 상기 제 1 또는 제 2 차단 메시지 중 적어도 하나를 전송하도록 제어하는 컨트롤러를 포함하고,
    상기 적어도 하나의 무선 프레임은, 모니터링된 무선 프레임에서 상기 제 1 무선 프레임을 제외한 것 중 정책을 위반했다고 판단된 무선 프레임에 속하는 것을 특징으로 하는 전자 장치.
  12. 제 11 항에 있어서,
    상기 컨트롤러는,
    상기 복수의 채널 중 상기 제 1 무선 프레임이 전송된 채널을 상기 모니터링을 위해 동적으로 추가 할당하는 것을 특징으로 하는 전자 장치.
  13. 제 11 항에 있어서,
    상기 컨트롤러는,
    정책 정보 및 차단 목록에 기반하여 상기 적어도 하나의 무선 프레임 각각에 대한 정책 위반 여부를 판단하는 것을 특징으로 하는 전자 장치.
  14. 제 11 항에 있어서,
    상기 컨트롤러는,
    상기 제 1 무선 프레임이 비콘 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 활성화 상태이면 상기 비콘 메시지와는 다른 특성을 갖는 모조(fake) 비콘 메시지를 생성하고, 상기 모조 비콘 메시지를 단말로 전송하는 단계를 포함하는 전자 장치.
  15. 제 14 항에 있어서,
    상기 컨트롤러는,
    상기 제 1 무선 프레임이 비콘 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 비활성화 상태이면 상기 제 1 무선 프레임에 대한 정책 위반 예상 정보를 생성하고, 추후 상기 소정 보안 기술과 관련한 정책 적용이 활성화되면 상기 예상 정보에 기반하여 상기 모조 비콘 메시지를 생성하는 것을 특징으로 하는 전자 장치.
  16. 제 11 항에 있어서,
    상기 컨트롤러는,
    상기 제 1 무선 프레임이 프로브 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 활성화 상태이면 상기 제 2 차단 메시지를 생성하는 것을 특징으로 하는 전자 장치.
  17. 제 16 항에 있어서,
    상기 컨트롤러는,
    상기 제 1 무선 프레임이 프로브 메시지인 경우 상기 소정 보안 기술과 관련한 정책 적용이 비활성화 상태이면 상기 제 1 무선 프레임에 대한 정책 위반 예상 정보를 생성하고, 추후 상기 소정 보안 기술과 관련한 정책 적용이 활성화되면 상기 예상 정보에 기반하여 상기 제 2 차단 메시지를 생성하는 것을 특징으로 하는 전자 장치.
  18. 제 11 항에 있어서,
    상기 컨트롤러는,
    서버로부터 무선 침입 방지 관련 정책 정보 및 차단 목록을 수신하도록 제어하는 것을 특징으로 하는 전자 장치.
  19. 삭제
  20. 제 11 항에 있어서,
    상기 소정 보안 기술은 IEEE 802.11w의 보안 기술을 포함하는 것을 특징으로 하는 전자 장치.
KR1020150167947A 2015-11-27 2015-11-27 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치 KR102329493B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020150167947A KR102329493B1 (ko) 2015-11-27 2015-11-27 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치
US15/775,185 US10834596B2 (en) 2015-11-27 2016-11-28 Method for blocking connection in wireless intrusion prevention system and device therefor
PCT/KR2016/013766 WO2017091047A1 (ko) 2015-11-27 2016-11-28 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150167947A KR102329493B1 (ko) 2015-11-27 2015-11-27 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20170062301A KR20170062301A (ko) 2017-06-07
KR102329493B1 true KR102329493B1 (ko) 2021-11-22

Family

ID=58763662

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150167947A KR102329493B1 (ko) 2015-11-27 2015-11-27 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치

Country Status (3)

Country Link
US (1) US10834596B2 (ko)
KR (1) KR102329493B1 (ko)
WO (1) WO2017091047A1 (ko)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10039174B2 (en) 2014-08-11 2018-07-31 RAB Lighting Inc. Systems and methods for acknowledging broadcast messages in a wireless lighting control network
US10085328B2 (en) 2014-08-11 2018-09-25 RAB Lighting Inc. Wireless lighting control systems and methods
US10531545B2 (en) 2014-08-11 2020-01-07 RAB Lighting Inc. Commissioning a configurable user control device for a lighting control system
KR102423126B1 (ko) 2018-10-26 2022-07-21 삼성전자주식회사 전자 장치 및 그 제어 방법
KR102102835B1 (ko) * 2019-03-26 2020-04-22 시큐어레터 주식회사 Wips 센서
US11463882B2 (en) * 2019-04-18 2022-10-04 Sophos Limited Endpoint-controlled rogue AP avoidance + rogue AP detection using synchronized security
CN111278083B (zh) * 2020-01-20 2022-05-27 新华三技术有限公司成都分公司 一种信道扫描方法及装置
KR102157661B1 (ko) * 2020-03-11 2020-09-18 주식회사 시큐아이 무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법
JP7566477B2 (ja) 2020-03-17 2024-10-15 キヤノン株式会社 通信装置、制御方法、およびプログラム
US11522767B2 (en) 2020-10-22 2022-12-06 Bank Of America Corporation System for real-time imitation network generation using artificial intelligence
JP7430397B2 (ja) * 2021-02-26 2024-02-13 サイレックス・テクノロジー株式会社 Wipsセンサ、無線通信システム、無線侵入防止方法及び無線侵入防止プログラム
KR102359801B1 (ko) * 2021-06-02 2022-02-09 주식회사 시큐아이 무선 침입 방지 시스템 및 그 동작 방법
KR102323712B1 (ko) * 2021-06-17 2021-11-10 주식회사 네오리진 Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법
US11523293B1 (en) * 2021-10-12 2022-12-06 Levi Gundert Wireless network monitoring system
KR102596544B1 (ko) * 2023-04-17 2023-10-31 주식회사 코닉글로리 무선 침입 차단 방법 및 장치
KR102711013B1 (ko) * 2024-04-02 2024-09-27 주식회사 볼드피크 무선 보안 구독 서비스 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013089395A1 (ko) * 2011-12-16 2013-06-20 주식회사 코닉글로리 시그니쳐 기반 무선 침입차단시스템

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7295831B2 (en) * 2003-08-12 2007-11-13 3E Technologies International, Inc. Method and system for wireless intrusion detection prevention and security management
KR100628325B1 (ko) * 2004-12-20 2006-09-27 한국전자통신연구원 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법
US20070275741A1 (en) * 2006-05-24 2007-11-29 Lucent Technologies Inc. Methods and systems for identifying suspected virus affected mobile stations
WO2008067335A2 (en) 2006-11-27 2008-06-05 Smobile Systems, Inc. Wireless intrusion prevention system and method
KR20140035600A (ko) * 2012-09-14 2014-03-24 한국전자통신연구원 무선 침입방지 동글 장치
KR101429180B1 (ko) 2012-11-30 2014-08-12 유넷시스템주식회사 무선 네트워크 보안 시스템의 제어 센서
KR101429178B1 (ko) 2013-03-05 2014-08-12 유넷시스템주식회사 무선 네트워크 보안 시스템 및 방법
KR101429179B1 (ko) 2013-04-10 2014-08-12 유넷시스템주식회사 무선 네트워크 통합 보안 시스템
KR101557857B1 (ko) 2014-04-02 2015-10-06 유넷시스템주식회사 무선침입방지시스템의 탐지장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013089395A1 (ko) * 2011-12-16 2013-06-20 주식회사 코닉글로리 시그니쳐 기반 무선 침입차단시스템

Also Published As

Publication number Publication date
KR20170062301A (ko) 2017-06-07
WO2017091047A1 (ko) 2017-06-01
US10834596B2 (en) 2020-11-10
US20180324200A1 (en) 2018-11-08

Similar Documents

Publication Publication Date Title
KR102329493B1 (ko) 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치
US9363675B2 (en) Distributed wireless security system
US8655312B2 (en) Wireless access point detection
US8694624B2 (en) Systems and methods for concurrent wireless local area network access and sensing
US8997201B2 (en) Integrity monitoring to detect changes at network device for use in secure network access
US20150040194A1 (en) Monitoring of smart mobile devices in the wireless access networks
US7710933B1 (en) Method and system for classification of wireless devices in local area computer networks
CN104486765A (zh) 一种无线入侵检测系统及其检测方法
US20190387408A1 (en) Wireless access node detecting method, wireless network detecting system and server
WO2005101766A2 (en) Method for wireless lan intrusion detection based on protocol anomaly analysis
KR102323712B1 (ko) Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법
CN101540667A (zh) 无线局域网中的通信干扰方法和设备
Boob et al. Wireless intrusion detection system
CN105681272A (zh) 一种移动终端钓鱼WiFi的检测与抵御方法
US8145131B2 (en) Wireless ad hoc network security
KR102359801B1 (ko) 무선 침입 방지 시스템 및 그 동작 방법
KR20140035600A (ko) 무선 침입방지 동글 장치
KR102359805B1 (ko) 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법
CN106878992B (zh) 无线网络安全检测方法和系统
Lovinger et al. Detection of wireless fake access points
US9100429B2 (en) Apparatus for analyzing vulnerability of wireless local area network
VanSickle et al. Effectiveness of tools in identifying rogue access points on a wireless network
Chatzisofroniou et al. Exploiting WiFi usability features for association attacks in IEEE 802.11: Attack analysis and mitigation controls
KR101186873B1 (ko) 시그니쳐 기반 무선 침입차단시스템
KR101747144B1 (ko) 비인가 ap 차단 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant