KR102584537B1 - 네트워크 공격탐지시스템 - Google Patents

네트워크 공격탐지시스템 Download PDF

Info

Publication number
KR102584537B1
KR102584537B1 KR1020210128563A KR20210128563A KR102584537B1 KR 102584537 B1 KR102584537 B1 KR 102584537B1 KR 1020210128563 A KR1020210128563 A KR 1020210128563A KR 20210128563 A KR20210128563 A KR 20210128563A KR 102584537 B1 KR102584537 B1 KR 102584537B1
Authority
KR
South Korea
Prior art keywords
mac address
attack
address
module
spoofing
Prior art date
Application number
KR1020210128563A
Other languages
English (en)
Other versions
KR20230045815A (ko
Inventor
조효진
김형훈
정연선
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to KR1020210128563A priority Critical patent/KR102584537B1/ko
Publication of KR20230045815A publication Critical patent/KR20230045815A/ko
Application granted granted Critical
Publication of KR102584537B1 publication Critical patent/KR102584537B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4552Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명인 네트워크 공격탐지시스템은, 무선라우터에 연결되어 ARP(Address Resolution Protocol)를 이용하여 제1 IP주소를 제1 MAC주소로 변환하고, 제1 MAC주소에 기초하여 네트워크 통신을 수행하는 사용자모듈, 제1 MAC주소를 가상MAC주소로하여 사용자모듈과 네트워크 통신을 수행하는 가상모듈(VM), 제1 MAC주소를 변경한 공격MAC주소를 사용자모듈에 전송하여 네트워크 통신을 방해하는 공격모듈 및 제1 MAC주소, 가상MAC주소, 및 공격MAC주소의 중복 여부에 기초하여 네트워크 통신이 가상모듈 브릿지 연결상황 또는 ARP Spoofing 공격상황인지를 판단하고, 사용자모듈, 가상모듈, 및 공격모듈을 구분하는 네트워크 공격탐지모듈을 포함하다.

Description

네트워크 공격탐지시스템{NETWORK ATTACK DETECTION SYSTEM}
본 발명은 ARP(Address Resolution Protocol) 통신에서 발생하는 ARP Spoofing 공격을 탐지하기 위한 네트워크 공격탐지시스템에 관한 것이다.
동일한 LAN(Local Area Network)선 안에 연결된 모든 디바이스들은 AP(무선라우터, Access Point)를 통해서 통신한다. AP(무선라우터)에서는 모든 디바이스들 각각에 할당된 논리적인 주소(IP address)가 물리적인 주소(MAC address)로 변환되는 ARP(Address Resolution Protocol) 과정이 필수적으로 필요하다.
한편, ARP 통신은 응답 패킷을 인증하지 않으며, 악의적인 패킷 공격에 대해서 적절하게 대처하도록 설계되어 있지 않다. ARP Cache Table의 정보를 조작하는 ARP Spoofing 공격이 쉽게 이루어지고 있으며, 더 나아가 Sniffing, Dos(Denial-of-Service), MITM(Man-In-The-Middle) 등의 공격에 취약하다.
일반적으로, ARP Spoofing 공격을 탐지하고 방지하는 기존의 솔루션들이 존재하지만, 고가의 추가 장비 및/또는 프로토콜의 수정이 필요하다. 또한, ARP Spoofing 공격과 VM(Virtual Machine)의 게스트 OS(Operating System) 연결을 구분하지 못하여 오탐이 발생할 수 있다.
이에, ARP Spoofing 공격과 VM 연결상황을 구분하고, ARP Spoofing 공격에 대해서 실시간으로 대처할 수 있는 기술이 필요한 실정이다.
본 발명이 해결하고자 하는 기술적 과제는 네트워크 통신과정에서 발생하는 ARP Spoofing 공격상황과 VM 연결상황을 구분하기 위함이다.
추가적으로, 본 발명이 해결하고자 하는 기술적 과제는 ARP Spoofing 공격상황을 대처하고 방지하기 위함이다.
본 발명의 한 실시예에 따른 네트워크 공격탐지시스템은, 무선라우터에 연결되어 ARP(Address Resolution Protocol)를 이용하여 제1 IP주소를 제1 MAC주소로 변환하고, 제1 MAC주소에 기초하여 네트워크 통신을 수행하는 사용자모듈, 제1 MAC주소를 가상MAC주소로하여 사용자모듈과 네트워크 통신을 수행하는 가상모듈(VM), 및 제1 MAC주소, 가상MAC주소, 및 공격MAC주소의 중복 여부에 기초하여 네트워크 통신이 가상모듈 브릿지 연결상황 또는 ARP Spoofing 공격상황인지를 판단하고, 사용자모듈, 가상모듈, 및 공격모듈을 구분하는 네트워크 공격탐지모듈을 포함하고, 공격MAC주소는 네트워크 통신을 방해하기 위해서 공격모듈이 제1 MAC주소를 변경하여 사용자모듈에 전송하는 MAC주소이다.
또한, 본 발명의 한 실시예에 따른 네트워크 공격탐지모듈은, 제1 MAC주소, 공격MAC주소, 및 가상MAC주소로 구성된 Assoclist Table을 추출하는 Assoclist패킷추출부, 공격MAC주소, 사용자모듈의 제1 IP주소, 공격모듈의 제2 IP주소, 제1 MAC주소, 가상MAC주소, 및 가상모듈의 제3 IP주소로 구성된 ARP Cache Table을 추출하는 ARP 패킷추출부 및 제1 MAC주소, 제1 IP주소, 공격MAC주소, 제2 IP주소, 가상모듈의 제3 MAC주소, 및 제3 IP주소로 구성된 DHCP Table을 추출하는 DHCP 패킷 추출부를 포함한다.
또한, 본 발명의 한 실시예에 따른 네트워크 공격탐지모듈은, Spoofing 상황판단부를 더 포함하고, Spoofing 상황판단부는, Assoclist Table의 MAC주소 중 어느 하나가 ARP Cache Table MAC주소들과 적어도 2번 이상 중복되는 경우에는 가상모듈 브릿지 연결상황 또는 ARP Spoofing 공격상황으로 판단하고, Assoclist Table의 MAC주소 중 어느 하나가 ARP Cache Table의 MAC주소들과 1번 중복되는 경우에는 정상상황으로 판단한다.
또한, 본 발명의 한 실시예에 따른 네트워크 공격탐지모듈은, Spoofing 주객체판단부를 더 포함하고, Spoofing 주객체판단부는, 가상모듈 브릿지 연결상황 또는 ARP Spoofing 공격상황으로 판단된 경우, DHCP Table의 MAC주소 중 Assoclist Table 및 ARP Cache Table의 MAC주소와 공통으로 중복되는 제4 MAC주소는 ARP Spoofing 공격상황에서 공격MAC주소 또는 가상모듈 브릿지 연결에서 제1 MAC주소라 판단하고, DHCP Table의 MAC주소 중 Assoclist Table 및 ARP Cache Table의 MAC주소와 공통으로 중복되지 않는 제5 MAC주소는 ARP Spoofing 공격상황에서 제1 MAC주소 또는 가상모듈 브릿지 연결상황에서 제3 MAC주소라 판단한다.
또한, 본 발명의 한 실시예에 따른 네트워크 공격탐지모듈은, Spoofing 최종판단부를 더 포함하고, Spoofing 최종판단부는, 제4 MAC주소가 Assoclist Table의 MAC주소 중 어느 하나와 동일한 경우 ARP Spoofing 공격상황으로 판단한다.
또한, 본 발명의 한 실시예에 따른 Spoofing 최종판단부는, 제4 MAC주소를 ARP Spoofing 공격상황에서 제1 MAC주소라 판단하고, 제1 IP주소를 추출하고, 제5 MAC주소를 ARP Spoofing 공격상황에서 공격MAC주소라 판단하고, 제2 IP주소를 추출한다.
또한, 본 발명의 한 실시예에 따른 네트워크 공격탐지모듈은, Spoofing 최종판단부를 더 포함하고, Spoofing 최종판단부는, 제5 MAC주소가 Assoclist Table의 MAC주소 중 어느 하나와 동일하지 않은 경우 가상모듈 브릿지 연결상황으로 판단하고, 제5 MAC주소를 가상모듈 브릿지 연결상황에서 제3 MAC주소라 판단하고, 제3 IP주소를 추출한다.
또한, 본 발명의 한 실시예에 따른 Spoofing 최종판단부는, 제4 MAC주소를 가상모듈 브릿지 연결상황에서 제1 MAC주소라 판단하고, 제1 IP주소를 추출한다.
또한, 본 발명의 한 실시예에 따른 네트워크 공격탐지방법은 사용자모듈이 무선라우터에 연결되어 ARP(Address Resolution Protocol)를 이용하여 제1 IP주소를 제1 MAC주소로 변환하고, 제1 MAC주소에 기초하여 네트워크 통신을 수행하는 단계, 가상모듈(VM)이 제1 MAC주소를 가상MAC주소로하여 사용자모듈과 네트워크 통신을 수행하는 단계, 및 네트워크 공격탐지모듈이 제1 MAC주소, 가상MAC주소, 및 공격MAC주소의 중복 여부에 기초하여 네트워크 통신이 가상모듈 브릿지 연결상황 또는 ARP Spoofing 공격상황인지를 판단하고, 사용자모듈 가상모듈, 및 공격모듈을 구분하는 단계를 포함하고 공격 MAC주소는 네트워크 통신을 방해하기 위해서 공격모듈이 제1 MAC주소를 변경하여 사용자모듈에 전송하는 MAC주소이다.
또한, 본 발명의 한 실시예에 따른 네트워크 공격탐지방법을 실행하도록 컴퓨터로 판독 가능한 기록 매체에 기록된 컴퓨터 프로그램을 포함한다.
본 발명에 따른 네트워크 공격탐지시스템은 실시간으로 네트워크 통신과정에서 발생하는 ARP Spoofing 공격상황과 VM 연결상황을 구분할 수 있다.
또한, 본 발명에 따른 네트워크 공격탐지시스템은 ARP Spoofing 공격상황에서 공격자 OS와 피해자 OS를 구분할 수 있다.
또한, 본 발명에 따른 실시간 모니터링 시스템은 VM 연결상황에서 호스트 OS와 게스트 OS를 구분할 수 있다.
도 1은 본 발명의 한 실시예에 따른 네트워크 공격탐지시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 한 실시예에 따른 ARP Spoofing 공격상황을 설명하기 위한 도면이다.
도 3은 본 발명의 한 실시예에 따른 VM 연결상황을 설명하기 위한 도면이다.
도 4는 본 발명의 한 실시예에 따른 네트워크 공격탐지모듈이 Spoofing의 발생여부를 판단하는 과정을 설명하기 위한 도면이다.
도 5는 본 발명의 한 실시예에 따른 ARP Spoofing 공격상황 및 VM 연결상황에서 주객체를 구분하는 과정을 설명하기 위한 도면이다.
도 6은 본 발명의 한 실시예에 따른 네트워크 변화 발생원인이 ARP Spoofing 또는 VM 연결상황인지를 판단하는 과정을 설명하기 위한 도면이다.
이하, 첨부한 도면을 참고로 하여 본 발명의 여러 실시 예들에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예들에 한정되지 않는다.
본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 동일 또는 유사한 구성요소에 대해서는 동일한 참조 부호를 붙이도록 한다. 따라서 앞서 설명한 참조 부호는 다른 도면에서도 사용할 수 있다.
또한, 도면에서 나타난 각 구성의 크기 및 두께는 설명의 편의를 위해 임의로 나타내었으므로, 본 발명이 반드시 도시된 바에 한정되지 않는다. 도면에서 여러 층 및 영역을 명확하게 표현하기 위하여 두께를 과장되게 나타낼 수 있다.
또한, 설명에서 "동일하다"라고 표현한 것은, "실질적으로 동일하다"는 의미일 수 있다. 즉, 통상의 지식을 가진 자가 동일하다고 납득할 수 있을 정도의 동일함일 수 있다. 그 외의 표현들도 "실질적으로"가 생략된 표현들일 수 있다.
도 1은 본 발명의 한 실시예에 따른 네트워크 공격탐지시스템을 설명하기 위한 도면이다.
본 발명의 한 실시예에 따른 네트워크 공격탐지시스템(1)은 사용자모듈(10), 네트워크(20), 무선라우터(AP, 30), 가상모듈(VM, 50), 및 네트워크 공격탐지장치(60)를 포함할 수 있다.
사용자모듈(10)은 네트워크(20)를 이용하여 다른 사용자모듈(10)과 무선데이터통신을 할 수 있다. 도 1에서는 1개의 사용자모듈(10)을 도시하였으나, 본 발명은 이에 한정하지 않는다. 예를 들어, 복수 개의 사용자모듈(10)이 네트워크(20)를 이용하여 상호간의 무선데이터통신을 할 수 있다. 이하, 본 발명에서는 복수 개의 사용자모듈(10)이 네트워크(20)를 이용하여 상호간의 무선데이터통신을 하는 것으로 가정한다.
사용자모듈(10)은 할당된 IP주소(Address)를 가진다. IP주소는 네트워크(20)에 연결된 사용자모듈(10)을 식별하는 번호로서 가변될 수 있다. 본 발명에서는 도시되진 않았지만, 복수 개의 사용자모듈(10)은 서로 다른 IP 주소가 할당되는 것으로 가정한다. 이하, 본 발명에서 도 1에 도시된 어느 하나의 사용자모듈(10)에 할당된 IP 주소는 192.168.1.20인 것으로 가정한다.
사용자모듈(10)은 무선라우터(AP, 30)을 통해서 네트워크(20)에 접속할 수 있다. 이때, 사용자모듈(10)의 IP주소(192.168.1.20)는 무선라우터(30)에서 ARP(Address Resolution Protocol) 과정을 통해서 MAC주소로 변경될 수 있다. 이하, 어느 하나의 사용자모듈(10)의 MAC주소는 bb-bb-bb-bb-bb-bb인 것으로 가정한다.
사용자모듈(10)의 MAC주소는 네트워크(20)에 연결된 사용자모듈(10)을 구별하는 번호로서 고유의 번호이므로 변경되지 않는다. 사용자모듈(10)의 MAC주소는 네트워크(20)에 접속되는 클라이언트의 고유한 번호이므로 복수 개의 사용자모듈(10)은 MAC주소를 이용하여 서로를 구별할 수 있다.
네트워크(20)는 어느 하나의 사용자모듈(10)과 다른 사용자모듈(10)을 연결하는 통신망이다. 네트워크(20)는 무선라우터(30)에 접속된 사용자모듈(10)과 다른 사용자모듈(10) 사이의 무선데이터송수신이 가능하도록 하는 통신망으로서 역할을 할 수 있다.
무선라우터(AP, 30)는 사용자모듈(10)이 네트워크(20)에 접속하도록 하는 매개체일 수 있다. 무선라우터(30)에서는 사용자모듈(10) 각각에 할당된 IP주소를 MAC주소로 변경하는 ARP(Address Resolution Protocol)과정을 수행할 수 있다.
즉, 무선라우터(30)는 특정한 IP 주소가 할당된 어느 하나의 사용자모듈(10)의 IP주소를 MAC주소로 변경하여 네트워크(20)에 접속시키고, 다른 하나의 사용자모듈(10)에 상기 어느 하나의 사용자모듈(10)의 MAC주소를 인식시킬 수 있다. 이하, 무선라우터(30)의 IP 주소는 192,168.1.1이고, MAC주소는 aa-aa-aa-aa-aa-aa인 것으로 가정한다.
공격모듈(40)은 네트워크 공격탐지시스템(1)의 외부에 존재하며, 무선라우터(30)를 통해서 네트워크(20)에 접속할 수 있다. 공격모듈(40)은 무선라우터(30)에 접속되어 ARP과정을 수행하는 복수 개의 사용자모듈(10)의 ARP Spoofing 공격을 할 수 있다. ARP Spoofing이란, 무선라우터(30)에 접속된 어느 하나의 사용자모듈(10)의 MAC주소를 공격모듈(40)의 MAC주소로 변경하여 무선라우터(30)에 인식시키는 행위를 의미한다.
결론적으로, 공격모듈(40)은 무선라우터(30)에 접속된 어느 하나의 사용자모듈(10)의 MAC주소(bb-bb-bb-bb-bb-bb)를 공격모듈(40)의 Mac주소(cc-cc-cc-cc-cc-cc)로 변경하여 다른 하나의 사용자모듈(10)에 인식시킬 수 있다. 공격모듈(40)은 무선라우터(30)에 접속된 다른 하나의 사용자모듈(10)의 MAC주소를 공격모듈(40)의 MAC주소로 변경하여 어느 하나의 사용자모듈(10)에 인식시킬 수 있다. 이하, 공격모듈(40)의 IP주소는 191.168.1.30이고, MAC주소는 cc-cc-cc-cc-cc-cc라고 가정한다.
구체적으로, 공격모듈(40)은 무선라우터(30)에 접속된 어느 하나의 사용자모듈(10)의 MAC주소(bb-bb-bb-bb-bb-bb)를 공격모듈(40)의 MAC주소인 cc-cc-cc-cc-cc-cc로 변경하여 무선라우터(30)에 인식시킬 수 있다. 공격모듈(40)은 무선라우터(30)의 MAC주소(aa-aa-aa-aa-aa-aa)를 공격모듈(40)의 MAC주소인 cc-cc-cc-cc-cc-cc로 변경하여 어느 하나의 사용자모듈(10)에 인식시킬 수 있다.
가상모듈(50)은 무선라우터(30)를 통해서 네트워크(20)에 접속할 수 있다. 이때, 가상모듈(50)은 사용자모듈(10)의 MAC주소(bb-bb-bb-bb-bb-bb)를 가상모듈(50)의 MAC주소로 하여 무선라우터(30)에 VM 브릿지(Virtual Machine Bridged) 접속할 수 있다. 즉, 가상모듈(50)의 MAC주소(dd-dd-dd-dd-dd-dd)는 사용자모듈(10)의 MAC주소(bb-bb-bb-bb-bb-bb)로 변경되어 무선라우터(30)에 접속될 수 있다.
VM 브릿지란, 가상모듈(50)의 자체의 IP주소(192.168.1.40)를 사용하되, 사용자모듈(10)의 MAC주소(bb-bb-bb-bb-bb-bb)를 가상모듈(50)의 MAC주소로 하여 무선라우터(30)에 인식시키는 행위를 의미한다. 이하, 가상모듈(50)의 IP주소는 192.168.1.40이고, MAC주소는 dd-dd-dd-dd-dd-dd라고 가정한다.
이때, 무선라우터(30)는 사용자모듈(10)의 IP주소는 192.168.1.20이고, MAC주소는 bb-bb-bb-bb-bb-bb라고 인식한다. 또한, 무선라우터(30)는 가상모듈(50)의 IP주소는 192.168.1.40이고, MAC주소는 bb-bb-bb-bb-bb-bb라고 인식한다.
도 2는 본 발명의 한 실시예에 따른 Spoofing 공격상황을 설명하기 위한 도면이다.
본 발명의 한 실시예에 따른 네트워크 공격탐지장치(60)는 Assoclist 패킷추출부(600), ARP 패킷추출부(610), DHCP 패킷추출부(620), Spoofing 상황판단부(630), Spoofing 주객체판단부(640), 및 Spoofing 최종판단부(650)를 포함한다. 이하, 도 2에서는 ARP Spoofing 공격상황임을 가정한다.
Assoclist 패킷추출부(600)는 무선라우터(AP, 30)에 접속된 클라이언트(A1, A2)의 정보를 추출한다. 구체적으로, 도 2를 참고하면, Assoclist 패킷추출부(600)는 무선라우터(30)에 접속된 클라이언트(A1, 또는 사용자모듈(10))의 MAC주소(bb-bb-bb-bb-bb-bb), 신호세기(RSSI, 74dBm) 및 클라이언트(A2, 또는 공격모듈(40))의 MAC주소(cc-cc-cc-cc-cc-cc), 신호세기(RSSI, -47dBm)가 포함된 Assoclist Table(6000)을 추출한다.
ARP 패킷추출부(610)는 무선라우터(30)에 접속되어 ARP과정을 수행하는 클라이언트(B1, B2)의 정보를 보여준다. 구체적으로, 도 2를 참고하면, ARP 패킷추출부(610)는 ARP과정을 수행하는 클라이언트(B1, 또는, 사용자모듈(10))의 MAC주소(cc-cc-cc-cc-cc-cc), IP주소(192.168.1.20) 및 클라이언트(B2, 또는, 공격모듈(40))의 MAC주소(cc-cc-cc-cc-cc-cc), IP주소(192.168.1.30)가 포함된 ARP Cache Table(6100)을 추출한다.
도 2는 ARP Spoofing 공격상황이므로, ARP Cache Table(6100)을 참고하면, 클라이언트(B1, 또는 사용자모듈(10))의 MAC주소는 클라이언트(B2, 또는, 공격모듈(40))의 MAC주소(cc-cc-cc-cc-cc-cc)로 변경된 것을 알 수 있다.
DHCP 패킷추출부(620)는 DHCP(Dynamic Host Configuration Protocol) 서버(미도시)가 할당한 클라이언트(C1, C2)의 IP주소 및 MAC주소를 포함하는 DHCP Table(6200)를 추출한다. 구체적으로, DHCP서버는 클라이언트(C1, 또는 사용자모듈(10))에 IP주소(192.138.1.20) 및 MAC주소(bb-bb-bb-bb-bb-bb)를 할당한다. DHCP서버는 클라이언트(C2, 또는 공격모듈(40))에 IP주소(192.168.1.30) 및 MAC주소(cc-cc-cc-cc-cc-cc)를 할당한다.
Spoofing 상황판단부(630)는 Assoclist 패킷추출부(600)에서 추출된 클라이언트(A1, A2)의 MAC주소 목록과 ARP 패킷추출부(610)에서 추출된 클라이언트(B1, B2)의 MAC주소 목록을 비교하여 네트워크통신이 Spoofing 공격상황인지를 판단할 수 있다.
구체적으로, Assoclist 패킷추출부(600)에서 추출된 클라이언트(A1, A2)의 MAC주소 목록이 ARP 패킷추출부(610)에서 추출된 클라이언트(B1, B2)의 MAC주소 목록에 한 번만 나타나는 경우, Spoofing 상황판단부(630)는 네트워크 통신은 정상상황인 것으로 판단한다.
한편, Assoclist 패킷추출부(600)에서 추출된 클라이언트(A1, A2)의 MAC주소 목록이 ARP 패킷추출부(610)에서 추출된 클라이언트(B1, B2)의 MAC주소 목록에 적어도 두 번 이상 나타나는 경우, Spoofing 상황판단부(630)는 네트워크 통신은 Spoofing 공격상황인 것으로 판단한다.
도 2를 참고하면, Assoclist 패킷추출부(600)에서 추출된 클라이언트(A1)의 MAC주소(cc-cc-cc-cc-cc-cc-cc)가 ARP 패킷추출부(610)에서 추출된 MAC주소 목록(클라리언트(B1)의 MAC주소, 클라언트(B2)의 MAC주소)에 2번 나타난다. 따라서, Spoofing 상황판단부(630)는 네트워크 통신은 ARP Spoofing 공격상황 또는 VM 연결상황에 따른 Spoofing 상황인 것으로 판단할 수 있다.
Spoofing 주객체판단부(640)는 ARP 패킷추출부(610)에서 추출된 클라이언트(B1, B2)의 IP주소, MAC주소 목록 및 DHCP 패킷추출부(620)에서 추출된 클라이언트(C1, C2)의 IP주소, MAC주소 목록을 비교하여 Spoofing의 주객체를 판단할 수 있다.
구체적으로, Spoofing 주객체판단부(640)는 두 번 이상 나타나는 MAC주소(cc-cc-cc-cc-cc-cc)와 동일한 MAC주소를 가지는 클라이언트의 IP주소를 ARP 패킷추출부(610) 및 DHCP 패킷추출부(620)에서 추출한다.
도 2를 참고하면, Spoofing 주객체판단부(640)는 ARP Cache Table(6100)에서 클라이언트(B1)의 IP주소(192.168.1.20)를 추출할 수 있다. Spoofing 주객체판단부(640)는 ARP Cache Table(6100)에서 클라이언트(B2)의 IP주소(192.168.1.30)를 추출할 수 있다. Spoofing 주객체판단부(640)는 DHCP Table(6200)에서 클라이언트(C2)의 IP주소(192.168.1.30)를 추출할 수 있다.
이때, Spoofing 주객체판단부(640)는 DHCP Table(6200)에서 추출한 MAC주소 목록 중 Assoclist 패킷추출부(600) 및 ARP 패킷추출부(610)에서 적어도 두 번 이상 나타난 MAC주소(cc-cc-cc-cc-cc-cc)와 동일한 MAC주소를 가지는 클라이언트(C2)를 ARP Spoofing 공격상황에서 공격모듈(40) 또는 VM 연결상황에서 사용자모듈(10)로 판단할 수 있다.
즉, Spoofing 주객체판단부(640)는 DHCP Table(6200)에서 클라이언트(C2)를 ARP Spoofing 공격상황에서 공격모듈(40) 또는 VM 연결상황에서 사용자모듈(10)로 판단할 수 있다.
추가로, Spoofing 주객체판단부(640)는 DHCP 패킷추출부(620)에서 추출한 MAC주소 목록 중 Assoclist 패킷추출부(600) 및 ARP 패킷추출부(610)에서 적어도 두 번 이상 나타난 MAC주소(cc-cc-cc-cc-cc-cc)와 다른 MAC주소를 가지는 클라이언트(C1)는 ARP Spoofing 공격상황에서 사용자모듈(10) 또는 VM 연결상황에서 가상모듈(50)로 판단할 수 있다.
즉, Spoofing 주객체판단부(640)는 DHCP Table(6200)에서 클라이언트(C1)를 ARP Spoofing 공격상황에서 사용자모듈(10) 또는 VM 연결상황에서 가상모듈(50)로 판단할 수 있다.
Spoofing 최종판단부(650)는 DHCP Table(6200)에서 클라이언트(C1)의 MAC주소가 Assoclist Table(6000)의 MAC주소목록에 포함되어 있는 경우, ARP Spoofing 공격상황이라 판단할 수 있다. 또한, Spoofing 최종판단부(650)는 클라이언트(C1)를 ARP Spoofing 공격상황에서 사용자모듈(10)이라 판단할 수 있다.
추가로, Spoofing 최종판단부(650)는 ARP Cache Table(6100)에서 클라이언트(C1)의 IP주소(192.138.1.20)와 동일한 IP주소를 사용하는 클라이언트(B1)의 MAC주소(cc-cc-cc-cc-cc-cc)와 동일한 MAC주소를 사용하는 DHCP Table(6200)의 클라이언트(C2)를 ARP Spoofing 공격상황에서 공격모듈(40)이라 판단할 수 있다.
도 3은 본 발명의 한 실시예에 따른 VM 연결상황을 설명하기 위한 도면이다.
이하, 도 3에서는 도 2와 실질적으로 유사하거나 중복되는 설명은 생략하기로 한다. 추가로 도 3에서는 VM 연결상황임을 가정한다.
Assoclist 패킷추출부(600)는 무선라우터(AP, 30)에 접속된 클라이언트(A3)의 정보를 추출한다. 구체적으로, 도 3을 참고하면, Assoclist 패킷추출부(600)는 무선라우터(30)에 접속된 사용자모듈(10) 및 가상모듈(50)의 MAC주소(bb-bb-bb-bb-bb-bb) 및 신호세기(RSSI, 74dBm)가 포함된 Assoclist Table(6000)을 추출한다.
ARP 패킷추출부(610)는 무선라우터(30)에 접속되어 ARP과정을 수행하는 클라이언트(B3, B4)의 정보를 보여준다.
구체적으로, 도 3을 참고하면, ARP 패킷추출부(610)는 ARP과정을 수행하는 클라이언트(B3, 또는 사용자모듈(10))의 MAC주소(bb-bb-bb-bb-bb-bb), IP주소(192.168.1.20) 및 클라이언트(B4, 또는 가상모듈(50))의 MAC주소(bb-bb-bb-bb-bb-bb), IP주소(192.168.1.40)가 포함된 ARP Cache Table(6100)을 추출한다. 도 3은 VM 연결상황이므로, ARP Cache Table(6100)을 참고하면 클라이언트(B4, 또는 가상모듈(50))의 MAC주소는 클라이언트(B3, 또는 사용자모듈(10))의 MAC주소(bb-bb-bb-bb-bb-bb)로 변경된 것을 알 수 있다.
DHCP 패킷추출부(620)는 DHCP서버(미도시)가 할당한 클라이언트(C3, 사용자모듈(10))의 IP주소(192.138.1.20) 및 MAC주소(bb-bb-bb-bb-bb-bb)를 추출한다. DHCP 패킷추출부(620)는 DHCP서버(미도시)가 할당한 클라이언트(C4, 또는 가상모듈(50))의 IP주소(192.168.1.40) 및 MAC주소(dd-dd-dd-dd-dd-dd)를 추출한다.
도 3을 참고하면, Assoclist 패킷추출부(600)에서 추출된 클라이언트(A3)의 MAC주소(bb-bb-bb-bb-bb-bb)가 ARP 패킷추출부(610)에서 추출된 MAC주소 목록에 2번 나타난다. 따라서, Spoofing 상황판단부(630)는 네트워크 통신은 ARP Spoofing 공격상황 또는 VM 연결상황에 따른 Spoofing 상황인 것으로 판단할 수 있다.
Spoofing 주객체판단부(640)는 Spoofing 상황판단부(630)가 산출한 두 번 이상 나타나는 클라이언트(A3)의 MAC주소(bb-bb-bb-bb-bb-bb)와 동일한 MAC주소를 가지는 클라이언트의 IP주소를 ARP 패킷추출부(610) 및 DHCP 패킷추출부(620)에서 추출한다.
도 3을 참고하면, Spoofing 주객체판단부(640)는 ARP Cache Table(6100)에서 클라이언트(B3, B4)의 IP주소(192.168.1.20, 192.168.1.40)를 추출할 수 있다. Spoofing 주객체판단부(640)는 DHCP Table(6200)에서 클라이언트(C4)의 IP주소(192.168.1.40)를 추출할 수 있다.
이때, Spoofing 주객체판단부(640)는 DHCP 패킷추출부(620)에서 추출한 MAC주소 목록(C3, C4) 중 Assoclist 패킷추출부(600) 및 ARP 패킷추출부(610)에서 적어도 두 번 이상 나타난 MAC주소(bb-bb-bb-bb-bb-bb)와 동일한 MAC주소를 가지는 클라이언트(C3)는 ARP Spoofing 공격상황에서 공격모듈(40) 또는 VM 연결상황에서 사용자모듈(10)로 판단할 수 있다.
추가로, Spoofing 주객체판단부(640)는 DHCP 패킷추출부(620)에서 추출한 MAC주소 목록(C3, C4) 중 Assoclist 패킷추출부(600) 및 ARP 패킷추출부(610)에서 적어도 두 번 이상 나타난 MAC주소(bb-bb-bb-bb-bb-bb)와 다른 MAC주소를 가지는 클라이언트(C4)는 ARP Spoofing 공격상황에서 사용자모듈(10) 또는 VM 연결상황에서 가상모듈(50)로 판단할 수 있다.
Spoofing 최종판단부(650)는 DHCP Table(6200)에서 클라이언트(C4)의 MAC주소가 Assoclist Table(6000)의 MAC주소목록에 포함되어 있지 않은 경우, VM 연결상황이라 판단할 수 있다. 또한, Spoofing 최종판단부(650)는 클라이언트(C4)를 가상모듈(50)이라 판단할 수 있다.
추가로, Spoofing 최종판단부(650)는 ARP Cache Table(6100)에서 클라이언트(C4)의 IP주소(192.168.1.40)와 동일한 IP주소를 사용하는 클라이언트(B4)의 MAC주소(bb-bb-bb-bb-bb-bb)와 동일한 MAC주소를 사용하는 DHCP Table(6200)의 클라이언트(C3)를 VM 연결상황에서 사용자모듈(10)이라 판단할 수 있다.
도 4는 본 발명의 한 실시예에 따른 네트워크 공격탐지모듈이 Spoofing의 발생여부를 판단하는 과정을 설명하기 위한 도면이다.
단계(S10)에서 무선라우터에 연결된 모든 클라이언트의 MAC주소를 추출한다.
구체적으로, Assoclist 패킷추출부(600)는 무선라우터(AP, 30)에 접속된 클라이언트의 MAC주소 및 신호세기가 포함된 Assoclist Table(6000)을 추출한다. 이때, Assoclist 패킷추출부(600)는 사용자모듈(10), 가상모듈(50), 및 공격모듈(40)의 MAC주소 및 신호세기가 포함된 Assoclist Table(6000)을 추출할 수 있다.
단계(S11)에서 무선라우터에 연결되어 ARP 과정을 수행하는 모든 모듈의 MAC주소 및 IP주소를 추출한다.
구체적으로, ARP 패킷추출부(610)는 ARP과정을 수행하는 클라이언트의 MAC주소 및 IP주소를 추출한다. 이때, ARP 패킷추출부(610)는 ARP Spoofing 공격상황에서 ARP과정을 수행하는 사용자모듈(10)의 IP주소, MAC주소 및 공격모듈(40)의 IP주소, MAC주소를 추출할 수 있다. ARP 패킷추출부(610)는 VM 연결상황에서 ARP과정을 수행하는 사용자모듈(10)의 IP주소, MAC주소 및 가상모듈(50)의 IP주소, MAC주소를 추출할 수 있다.
단계(S12)에서 DHCP 서버에서 할당한 모든 클라이언트의 MAC주소 및 IP주소를 추출한다.
구체적으로, DHCP 패킷추출부(620)는 DHCP 서버가 할당한 클라이언트의 MAC주소 및 IP주소를 추출한다. 이때, DHCP 패킷추출부(620)는 이때, ARP 패킷추출부(610)는 DHCP 서버가 할당한 사용자모듈(10)의 IP주소, MAC주소 및 공격모듈(40)의 IP주소, MAC주소를 추출할 수 있다. ARP 패킷추출부(610)는 DHCP 서버가 할당한 사용자모듈(10)의 IP주소, MAC주소 및 가상모듈(50)의 IP주소, MAC주소를 추출할 수 있다.
단계(S13)에서 단계(S10)에서 MAC주소가 단계(S11)에서 MAC주소와 적어도 2번 이상 중복되는지 여부를 판단한다.
단계(S14)에서 Spoofing 상황판단부(630)는 단계(S10)에서 MAC주소가 단계(S11)에서 MAC주소와 적어도 2번 이상 중복되는 경우, 네트워크 통신은 ARP Spoofing 공격상황 또는 VM 연결상황에 따른 Spoofing 상황인 것으로 판단할 수 있다.
단계(S15)에서 Spoofing 상황판단부(630)는 단계(S10)에서 MAC주소가 단계(S11)에서 MAC주소와 적어도 2번 이상 중복되지 않는 경우, 네트워크 통신은 정상상황인 것으로 판단할 수 있다.
도 5는 본 발명의 한 실시예에 따른 ARP Spoofing 공격상황 및 VM 연결상황에서 주객체를 구분하는 과정을 설명하기 위한 도면이다.
단계(S20)에서는 단계(S12)에서 중복된 MAC주소를 가지는 클라이언트에 대한 IP주소를 ARP Cache Table에서 확인하고, 해당 IP 주소와 동일한 IP 주소를 가지는 클라이언트의 MAC주소를 DHCP Table에서 추출한다.
단계(S21)에서는 단계(S20)에서 DHCP Table에서 추출한 MAC주소와 단계(S12)에서 중복되는 것으로 판단된 MAC주소가 동일한지를 판단한다.
단계(S22)에서는 단계(S20)에서 DHCP Table에서 추출한 MAC주소와 단계(S12)에서 중복되는 것으로 판단된 MAC주소가 동일한 경우, 해당 클라이언트를 ARP Spoofing 공격상황에서 공격모듈(40) 또는 VM 연결상황에서 사용자모듈(10)이라 판단한다.
단계(S23)에서는 단계(S20)에서 DHCP Table에서 추출한 MAC주소와 단계(S12)에서 중복되는 것으로 판단된 MAC주소가 다른 경우, 해당 클라이언트를 ARP Spoofing 공격상황에서 사용자모듈(10) 또는 VM 연결상황에서 가상모듈(50)이라 판단한다.
도 6은 본 발명의 한 실시예에 따른 네트워크 변화 발생원인이 ARP Spoofing 또는 VM 연결상황인지를 판단하는 과정을 설명하기 위한 도면이다.
단계(S30)에서는 단계(S21)에서 DHCP Table의 MAC주소 목록 중 동일하지 않은 것으로 판단된 클라이언트의 MAC주소가 Assolcist Table에 포함되어 있는지 여부를 판단한다.
단계(S31)에서는 단계(S21)에서 DHCP Table의 Mac주소 목록 중 동일하지 않은 것으로 판단된 클라이언트의 MAC주소가 Assolcist Table에 포함되어 있는 경우, 해당 클라이언트를 ARP Spoofing 공격상황에서 클라이언트(C1, 사용자모듈)이라 판단한다.
단계(S32)에서는 ARP Cache Table에서 클라이언트(C1, 사용자모듈)의 IP주소와 동일한 IP주소를 사용하는 클라이언트(B1)의 MAC주소(cc-cc-cc-cc-cc-cc)와 동일한 MAC주소를 가지는 DHCP Table(6200)의 클라이언트(C2)를 ARP Spoofing 공격상황에서 공격모듈이라 판단한다.
단계(S33)에서는 단계(S21)에서 DHCP Table의 MAC주소 목록 중 동일하지 않은 것으로 판단된 클라이언트(C4)의 MAC주소(dd-dd-dd-dd-dd-dd)가 Assolcist Table에 포함되어 있지 않은 경우, 해당 클라이언트(C4)를 VM 연결상황에서 가상모듈이라 판단한다.
단계(S34)에서는 ARP Cache Table(6100)에서 클라이언트(C4, 가상모듈)의 IP주소(192.168.1.40)와 동일한 IP주소를 사용하는 클라이언트(B4)의 MAC주소(bb-bb-bb-bb-bb-bb)를 가지는 DHCP Table(6200)의 클라이언트(C3)를 VM 연결상황에서 사용자모듈이라 판단한다.
지금까지 참조한 도면과 기재된 발명의 상세한 설명은 단지 본 발명의 예시적인 것으로서, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
1: 네트워크 공격탐지시스템
10: 사용자모듈
20: 네트워크
30: 무선라우터
40: 공격모듈
50: 가상모듈
60: 네트워크 공격탐지모듈

Claims (10)

  1. 무선라우터에 연결되어 ARP(Address Resolution Protocol)를 이용하여 제1 IP주소를 제1 MAC주소로 변환하고, 상기 제1 MAC주소에 기초하여 네트워크 통신을 수행하는 사용자모듈;
    상기 제1 MAC주소를 가상MAC주소로하여 상기 사용자모듈과 상기 네트워크 통신을 수행하는 가상모듈(VM);
    상기 제1 MAC주소, 상기 가상MAC주소, 및 공격MAC주소의 중복 여부에 기초하여 상기 네트워크 통신이 가상모듈 브릿지 연결상황 또는 ARP Spoofing 공격상황인지를 판단하고, 상기 사용자모듈, 상기 가상모듈, 및 공격모듈을 구분하는 네트워크 공격탐지모듈을 포함하고,
    상기 공격MAC주소는 상기 네트워크 통신을 방해하기 위해서 상기 공격모듈이 상기 제1 MAC주소를 변경하여 상기 사용자모듈에 전송하는 MAC주소인,
    네트워크 공격탐지시스템.
  2. 제1 항에 있어서,
    상기 네트워크 공격탐지모듈은,
    상기 제1 MAC주소, 상기 공격MAC주소, 및 상기 가상MAC주소로 구성된 Assoclist Table을 추출하는 Assoclist패킷추출부;
    상기 공격MAC주소, 상기 사용자모듈의 제1 IP주소, 상기 공격모듈의 제2 IP주소, 상기 제1 MAC주소, 상기 가상MAC주소, 및 상기 가상모듈의 제3 IP주소로 구성된 ARP Cache Table을 추출하는 ARP 패킷추출부; 및
    상기 제1 MAC주소, 상기 제1 IP주소, 상기 공격MAC주소, 상기 제2 IP주소, 상기 가상모듈의 제3 MAC주소, 및 상기 제3 IP주소로 구성된 DHCP Table을 추출하는 DHCP 패킷 추출부를 포함하는,
    네트워크 공격탐지시스템.
  3. 제2 항에 있어서,
    상기 네트워크 공격탐지모듈은, Spoofing 상황판단부를 더 포함하고,
    상기 Spoofing 상황판단부는,
    상기 Assoclist Table의 MAC주소 중 어느 하나가 상기 ARP Cache Table MAC주소들과 적어도 2번 이상 중복되는 경우에는 상기 가상모듈 브릿지 연결상황 또는 ARP Spoofing 공격상황으로 판단하고,
    상기 Assoclist Table의 MAC주소 중 어느 하나가 상기 ARP Cache Table의 MAC주소들과 1번 중복되는 경우에는 정상상황으로 판단하는,
    네트워크 공격탐지시스템.
  4. 제3 항에 있어서,
    상기 네트워크 공격탐지모듈은, Spoofing 주객체판단부를 더 포함하고,
    상기 Spoofing 주객체판단부는, 상기 가상모듈 브릿지 연결상황 또는 ARP Spoofing 공격상황으로 판단된 경우,
    상기 DHCP Table의 MAC주소 중 상기 Assoclist Table 및 상기 ARP Cache Table의 MAC주소와 공통으로 중복되는 제4 MAC주소는 상기 ARP Spoofing 공격상황에서 상기 공격MAC주소 또는 상기 가상모듈 브릿지 연결에서 상기 제1 MAC주소라 판단하고,
    상기 DHCP Table의 MAC주소 중 상기 Assoclist Table 및 상기 ARP Cache Table의 MAC주소와 공통으로 중복되지 않는 제5 MAC주소는 상기 ARP Spoofing 공격상황에서 상기 제1 MAC주소 또는 상기 가상모듈 브릿지 연결상황에서 상기 제3 MAC주소라 판단하는,
    네트워크 공격탐지시스템.
  5. 제4 항에 있어서,
    상기 네트워크 공격탐지모듈은, Spoofing 최종판단부를 더 포함하고,
    상기 Spoofing 최종판단부는,
    상기 제5 MAC주소가 상기 Assoclist Table의 MAC주소 중 어느 하나와 동일한 경우 상기 ARP Spoofing 공격상황으로 판단하는,
    네트워크 공격탐지시스템.
  6. 제5 항에 있어서,
    상기 Spoofing 최종판단부는,
    상기 제5 MAC주소를 상기 ARP Spoofing 공격상황에서 상기 제1 MAC주소라 판단하고, 상기 제1 IP주소를 추출하고,
    상기 제4 MAC주소를 상기 ARP Spoofing 공격상황에서 상기 공격MAC주소라 판단하고, 상기 제2 IP주소를 추출하는,
    네트워크 공격탐지시스템.
  7. 제4 항에 있어서,
    상기 네트워크 공격탐지모듈은, Spoofing 최종판단부를 더 포함하고,
    상기 Spoofing 최종판단부는,
    상기 제5 MAC주소가 상기 Assoclist Table의 MAC주소 중 어느 하나와 동일하지 않은 경우 상기 가상모듈 브릿지 연결상황으로 판단하고,
    상기 제5 MAC주소를 상기 가상모듈 브릿지 연결상황에서 상기 제3 MAC주소라 판단하고, 상기 제3 IP주소를 추출하는,
    네트워크 공격탐지시스템.
  8. 제7 항에 있어서,
    상기 Spoofing 최종판단부는,
    상기 제4 MAC주소를 상기 가상모듈 브릿지 연결상황에서 상기 제1 MAC주소라 판단하고, 상기 제1 IP주소를 추출하는,
    네트워크 공격탐지시스템.
  9. 사용자모듈이 무선라우터에 연결되어 ARP(Address Resolution Protocol)를 이용하여 제1 IP주소를 제1 MAC주소로 변환하고, 상기 제1 MAC주소에 기초하여 네트워크 통신을 수행하는 단계;
    가상모듈(VM)이 상기 제1 MAC주소를 가상MAC주소로하여 상기 사용자모듈과 상기 네트워크 통신을 수행하는 단계; 및
    네트워크 공격탐지모듈이 상기 제1 MAC주소, 상기 가상MAC주소 및 공격MAC주소의 중복 여부에 기초하여 상기 네트워크 통신이 가상모듈 브릿지 연결상황 또는 ARP Spoofing 공격상황인지를 판단하고, 상기 사용자모듈, 상기 가상모듈 및 공격모듈을 구분하는 단계를 포함하고,
    상기 공격 MAC주소는 상기 네트워크 통신을 방해하기 위해서 상기 공격모듈이 상기 제1 MAC주소를 변경하여 상기 사용자모듈에 전송하는 MAC주소인,
    네트워크 공격탐지방법.
  10. 제9 항의 네트워크 공격탐지방법을 실행하도록 컴퓨터로 판독 가능한 기록 매체에 기록된 컴퓨터 프로그램.
KR1020210128563A 2021-09-29 2021-09-29 네트워크 공격탐지시스템 KR102584537B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210128563A KR102584537B1 (ko) 2021-09-29 2021-09-29 네트워크 공격탐지시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210128563A KR102584537B1 (ko) 2021-09-29 2021-09-29 네트워크 공격탐지시스템

Publications (2)

Publication Number Publication Date
KR20230045815A KR20230045815A (ko) 2023-04-05
KR102584537B1 true KR102584537B1 (ko) 2023-10-12

Family

ID=85884419

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210128563A KR102584537B1 (ko) 2021-09-29 2021-09-29 네트워크 공격탐지시스템

Country Status (1)

Country Link
KR (1) KR102584537B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100779072B1 (ko) 2004-12-08 2007-11-27 한국전자통신연구원 Arp 공격 탐지 장치 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160002269A (ko) * 2014-06-30 2016-01-07 한국전자통신연구원 Sdn 기반의 arp 스푸핑 탐지장치 및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100779072B1 (ko) 2004-12-08 2007-11-27 한국전자통신연구원 Arp 공격 탐지 장치 및 방법

Also Published As

Publication number Publication date
KR20230045815A (ko) 2023-04-05

Similar Documents

Publication Publication Date Title
CN105227383B (zh) 一种网络拓扑排查的装置
KR100996288B1 (ko) 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법
CN100563149C (zh) 一种dhcp监听方法及其装置
US20070101422A1 (en) Automated network blocking method and system
CN101888329B (zh) 地址解析协议报文的处理方法、装置及接入设备
KR20130079453A (ko) 안전한 클라우드 환경 구현을 위한 단말기
CN104601568A (zh) 虚拟化安全隔离方法和装置
CN113132385B (zh) 一种防止网关arp欺骗的方法及装置
CN109587156A (zh) 异常网络访问连接识别与阻断方法、系统、介质和设备
CN102438028A (zh) 一种防止dhcp服务器欺骗的方法、装置及系统
CN101951367A (zh) 一种校园网防范arp病毒入侵的方法
EP2677716A1 (en) Access control method, access device and system
CN101610266A (zh) 一种检测地址解析协议arp报文合法性的方法及装置
CN110366172B (zh) 一种无线访问接入点的安全性评级方法及装置
JP2018511282A (ja) Wipsセンサー及びこれを用いた端末遮断方法
KR102584537B1 (ko) 네트워크 공격탐지시스템
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
US7840698B2 (en) Detection of hidden wireless routers
KR101186873B1 (ko) 시그니쳐 기반 무선 침입차단시스템
Jeong et al. ASD: ARP spoofing detector using openwrt
CN110995738B (zh) 暴力破解行为识别方法、装置、电子设备及可读存储介质
JP2019041176A (ja) 不正接続遮断装置及び不正接続遮断方法
KR101188308B1 (ko) 악성 코드의 주소 결정 프로토콜 스푸핑 모니터링을 위한 가상 패킷 모니터링 시스템 및 그 방법
CN105939372B (zh) 一种PPPoE会话建立方法及装置
US11539741B2 (en) Systems and methods for preventing, through machine learning and access filtering, distributed denial of service (“DDoS”) attacks originating from IoT devices

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right