KR20070054067A - Wireless access point apparatus and network traffic intrusion detection and prevention method using the same - Google Patents

Wireless access point apparatus and network traffic intrusion detection and prevention method using the same Download PDF

Info

Publication number
KR20070054067A
KR20070054067A KR1020050112061A KR20050112061A KR20070054067A KR 20070054067 A KR20070054067 A KR 20070054067A KR 1020050112061 A KR1020050112061 A KR 1020050112061A KR 20050112061 A KR20050112061 A KR 20050112061A KR 20070054067 A KR20070054067 A KR 20070054067A
Authority
KR
South Korea
Prior art keywords
module
network
wireless
attack
access point
Prior art date
Application number
KR1020050112061A
Other languages
Korean (ko)
Inventor
이형우
최창원
Original Assignee
충남대학교산학협력단
이형우
최창원
한신대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충남대학교산학협력단, 이형우, 최창원, 한신대학교 산학협력단 filed Critical 충남대학교산학협력단
Priority to KR1020050112061A priority Critical patent/KR20070054067A/en
Priority to PCT/KR2006/002364 priority patent/WO2007061167A1/en
Publication of KR20070054067A publication Critical patent/KR20070054067A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Abstract

본 발명은 무선 액세스 포인트 장치에서 무선으로 입력되는 트래픽들에 대한 침입을 탐지하고 차단할 수 있도록 함으로써 무선 네트워크에서의 보안 서비스의 질을 향상시킬 수 있는 무선 액세스 포인트 장치 및 그를 이용한 네트워크 트래픽 침입탐지 및 차단방법에 관한 것이다The present invention provides a wireless access point device that can improve the quality of security services in a wireless network by detecting and blocking intrusions to the wirelessly input traffic from the wireless access point device, and network traffic intrusion detection and blocking using the same. It's about how

본 발명에 따른 무선 액세스 장치는 사용자와 무선으로 연동하여 무선 신호를 송수신 중계하고 공격자부터의 무선 네트워크 트래픽 신호를 탐지 및 차단하는 무선 액세스 포인트 장치(100)에 있어서, 네트워크 인터페이스 카드(101)를 포함하고 공격자의 공격 트래픽을 접수하고 탐지하는 네트워크 모니터링 모듈(112) 및 공격자에게 경고메시지를 전송하도록 제어하는 경고 인터페이스 모듈(116)을 포함하는 네트워크 모듈(110)과; 상기 네트워크 모니터링 모듈(112)로부터 전송된 공격 트래픽을 필터링하는 패킷 분석모듈(122) 및 상기 패킷 분석모듈(122)로부터의 필터링된 패킷이 네트워크 공격패킷인지를 규칙 DB/서명모듈(126)과 연동하여 판단하여 그 결과를 상기 패킷분석모듈(122) 및 상기 경고 인터페이스 모듈(116)에 전송하는 침입탐지모듈(124)을 포함하는 분석 및 보안모듈(120);로 이루어지는 것을 특징으로 하여 해당 공격트래픽을 필터링하여 탐지하고 일차적으로 경고메시지를 전송하며 이차적으로는 해당 수신자의 접속을 끊는 신호를 전송함으로써 확실하게 무선 네트워크 트래픽 침입을 탐지하고 차단할 수 있는 효과가 있다.The wireless access device according to the present invention includes a network interface card (101) in the wireless access point device (100) for wirelessly interworking with a user to transmit and receive wireless signals and to detect and block wireless network traffic signals from attackers. And a network module 110 including a network monitoring module 112 for receiving and detecting attack traffic of an attacker and a warning interface module 116 for transmitting an alert message to the attacker; The packet analysis module 122 for filtering attack traffic transmitted from the network monitoring module 112 and whether the filtered packet from the packet analysis module 122 is a network attack packet are interworked with the rule DB / signature module 126. And the analysis and security module 120 including the intrusion detection module 124 for transmitting the result to the packet analysis module 122 and the warning interface module 116 to determine the attack traffic. It detects and blocks wireless network traffic intrusions by filtering and detecting, first sending a warning message, and secondly sending a signal to disconnect the recipient.

공격자, 보안모듈, 네트워크 모듈, 침입탐지 Attacker, Security Module, Network Module, Intrusion Detection

Description

무선 액세스 포인트 장치 및 그를 이용한 네트워크 트래픽 침입탐지 및 차단방법{WIRELESS ACCESS POINT APPARATUS AND NETWORK TRAFFIC INTRUSION DETECTION AND PREVENTION METHOD USING THE SAME}Wireless access point device and network traffic intrusion detection and blocking method using same {WIRELESS ACCESS POINT APPARATUS AND NETWORK TRAFFIC INTRUSION DETECTION AND PREVENTION METHOD USING THE SAME}

도 1은 일반적인 무선랜에서의 공격 유형을 나타낸 개념도이다.1 is a conceptual diagram illustrating an attack type in a general wireless LAN.

도 2는 종래 기술에 따른 무선랜 서비스거부(DDos) 공격 기법을 나타낸 개념도이다.2 is a conceptual diagram illustrating a WLAN denial-of-service attack technique according to the prior art.

도 3은 무선 아이피에스(IPS) 시스템 구조를 개략적으로 나타낸 개념도이다.3 is a conceptual diagram schematically showing the structure of a wireless IPS (IPS) system.

도 4는 본 발명에 따른 무선 아이디에스 시스템의 개략적인 구성도이다.4 is a schematic structural diagram of a wireless ID system according to the present invention.

도 5는 도 4에서의 무선 액세스 포인트 장치(AP:Access Point) 장치를 나타낸 외관사시도 및 부품이 장착된 내부인쇄회로기판을 나타낸 도면이다.FIG. 5 is a perspective view illustrating an AP shown in FIG. 4 and an internal printed circuit board on which components are mounted.

도 6은 본 발명에서 사용된 링크시스템 펌웨어 장비의 내부 시스템 구성을 개략적으로 나타낸 개념도이다.6 is a conceptual diagram schematically illustrating an internal system configuration of a link system firmware device used in the present invention.

도 7은 본 발명에서 사용된 시스템 보드를 개략적으로 나타낸 구성도이다.7 is a schematic view showing a system board used in the present invention.

도 8은 본 발명에 따른 무선 아이피에스 시스템의 네트워크 인터페이스를 나타낸 개념도이다.8 is a conceptual diagram illustrating a network interface of a wireless IP system according to the present invention.

도 9는 본 발명에 따른 무선 액세스 포인트 장치의 개략적인 기능블럭도이다.9 is a schematic functional block diagram of a wireless access point device according to the present invention.

도 10은 본 발명에 따른 무선 액세스 포인트 장치를 통한 무선 네트워크 침입탐지 및 차단과정을 나타낸 흐름도이다.10 is a flowchart illustrating a wireless network intrusion detection and blocking process through a wireless access point device according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings

100: 무선 액세스 장치100: wireless access device

110: 네트워크 모듈110: network module

120: 분석 및 보안모듈120: Analysis and Security Module

본 발명은 무선 액세스 포인트 장치 및 그를 이용한 네트워크 트래픽 침입탐지 및 차단방법에 관한 것으로, 더욱 상세하게는 무선 액세스 포인트 장치에서 무선으로 입력되는 트래픽들에 대한 침입을 필터링하여 탐지하고 차단할 수 있도록 함으로써 무선 네트워크에서의 보안 서비스의 질을 향상시킬 수 있는 무선 액세스 포인트 장치 및 그를 이용한 네트워크 트래픽 침입탐지 및 차단방법에 관한 것이다.The present invention relates to a wireless access point device and a method for detecting and blocking network traffic intrusion using the same. More particularly, the present invention relates to a wireless network by allowing the wireless access point device to filter, detect, and block intrusions for traffic input wirelessly. The present invention relates to a wireless access point apparatus and network traffic intrusion detection and blocking method using the same.

일반적으로 무선 인터넷 통신을 위하여 액세스 포인트(AP:Access Point) 장치라는 장비를 설치하여 사용하고 있다. 그러나, 현재까지 개발된 엑세스 포인트 장치는 무선 트래픽에 대한 전송, 네트워크 지원 기능만을 제공하거나 또한 추가적인 기능 등이 포함된 것으로는 패킷에 대한 필터링 기능등을 수행하는 제품이 있다.In general, a device called an access point (AP) device is installed and used for wireless Internet communication. However, the access point devices developed to date provide only the transmission of the wireless traffic, the network support function, or include additional functions, and there are products that perform the filtering function on the packet.

현재까지 개발된 종래의 엑세스 포인트 장치 중, 3Com Access Point 사양을 살펴보면, Among the conventional access point devices developed so far, the 3Com Access Point specification,

* 사용자 지원: 최대 253명까지 동시 접속 가능,* User Support: Up to 253 users can access simultaneously.

* 준수 표준: Wi-Fi 인증, IEEE 802.11g, IEEE 802.11a (업그레이드 키트 이용),* Compliance Standards: Wi-Fi Certified, IEEE 802.11g, IEEE 802.11a (with Upgrade Kit),

* 데이터 전송속도: 54, 48, 36, 24, 18, 11, 9, 5.5, 2, 1 Mbps,Data rate: 54, 48, 36, 24, 18, 11, 9, 5.5, 2, 1 Mbps,

* 주파수 대역: 2.4 GHz,Frequency band: 2.4 GHz,

* 무선 매체: OFDM 및 DSSS (802.11b와의 역호환을 위한 Barker 코딩 및 CCK 포함), Wireless medium: OFDM and DSSS (including Barker coding and CCK for backward compatibility with 802.11b),

* 매체 접근 통신규약: CSMA/CA, 운영 채널: 1 - 11 (미국 및 캐나다), 1 - 13 (전세계; 사용 채널 범위는 현지 법규에 의거하여 결정됨.),* Media Access Protocol: CSMA / CA, Operating Channels: 1-11 (US and Canada), 1-13 (Global; range of channels used is determined by local law),

* 작동 범위: 최대 100미터 (328피트), 송수신, Operating range: Up to 100 meters (328 feet), transmit and receive,

* 전송전력 설정: 17 dBm (비트율에 따라 결정됨), * Transmission power setting: 17 dBm (depending on the bit rate),

* 전력 소비: 평균 7.1W, 최대 8.4W, * Power consumption: 7.1W average, 8.4W maximum,

* 수신감도: 1 Mbps: -96 dBm, * Sensitivity: 1 Mbps: -96 dBm

* 2 Mbps: -94 dBm,* 2 Mbps: -94 dBm,

* 5.5 Mbps: -92 dBm,5.5 Mbps: -92 dBm

* 11 Mbps: -88 dBm,11 Mbps: -88 dBm

* 12 Mbps: -86 dBm, 12 Mbps: -86 dBm,

* 24 Mbps: -85 dBm,24 Mbps: -85 dBm

* 36 Mbps: -80 dBm,36 Mbps: -80 dBm

* 54 Mbps: -73 dBm, 54 Mbps: -73 dBm,

* 보안: 40/64비트 및 128/154비트 WEP 암호화; WPA AES 256비트 암호화, Dynamic Security Link 128비트 암호화; 802.11x (RADIUS 서버 인증 방식); EAP-MD5, EAP-TLS, EAP-TTLS 및 PEAP 인증; ESSID 브로드캐스트 제어, 로컬 MAC 인 증; 서버 접근제어목록, Dynamic Session Key 관리 및 TKIP, 동적 VLAN 할당, CC(client-to-client) 및 업링크 필터링, Security: 40 / 64-bit and 128 / 154-bit WEP encryption; WPA AES 256-bit encryption, Dynamic Security Link 128-bit encryption; 802.11x (RADIUS server authentication scheme); EAP-MD5, EAP-TLS, EAP-TTLS and PEAP authentication; ESSID broadcast control, local MAC authentication; Server access control lists, dynamic session key management and TKIP, dynamic VLAN assignment, client-to-client and uplink filtering,

* 성능: 클리어 채널 선택(Clear Channel Select), 자동 네트워크 연결, 동적 속도 전환(dynamic rate shifting), * Performance: Clear Channel Select, Automatic Network Connection, Dynamic Rate Shifting,

* 네트워크 관리: 사이트 검색 툴, Wireless Infrastructure Device Manager, Wireless LAN Discovery Tool, 3NS, SNMP이다.Network Management: Site Discovery Tool, Wireless Infrastructure Device Manager, Wireless LAN Discovery Tool, 3NS, SNMP.

즉, 종래의 액세스 포인트 장치는 패킷에 대한 안정성을 보장하기 위해 아래와 같이 보안 모듈만을 탑재하고 있다.That is, the conventional access point device is equipped with only a security module as follows to ensure the stability for the packet.

* 보안: 40/64비트 및 128/154비트 WEP 암호화; WPA AES 256비트 암호화, Dynamic Security Link 128비트 암호화; 802.11x (RADIUS 서버 인증 방식); EAP-MD5, EAP-TLS, EAP-TTLS 및 PEAP 인증; ESSID 브로드캐스트 제어, 로컬 MAC 인증; 서버 접근제어목록, Dynamic Session Key 관리 및 TKIP, 동적 VLAN 할당, CC(client-to-client) 및 업링크 필터링.Security: 40 / 64-bit and 128 / 154-bit WEP encryption; WPA AES 256-bit encryption, Dynamic Security Link 128-bit encryption; 802.11x (RADIUS server authentication scheme); EAP-MD5, EAP-TLS, EAP-TTLS and PEAP authentication; ESSID broadcast control, local MAC authentication; Server access control lists, dynamic session key management and TKIP, dynamic VLAN assignment, client-to-client and uplink filtering.

그러나, 종래의 엑세스 포인트 장치에 대해서 다양한 공격이 가능하며 이에 대한 대응 기능을 포함하고 있는 장비는 개발되지 않은 상태이다.However, various attacks are possible on the conventional access point device, and the equipment including the corresponding function has not been developed.

이하에서는 현재까지 공개된 엑세스 포인터에 대한 공격방법에 대하여 설명한다.Hereinafter, an attack method on an access pointer disclosed to date is described.

네트워크 공격 기술 개요Network attack technology overview

* 무선 네트워크 공격* Wireless network attack

악의적인 사용자들에 의해서 사이버 공격 기법은 날로 다양해고 있으며, 해킹 기법의 발달로 자동화, 지능화된 해킹 툴이 공개적으로 유포되어 국내외 해킹 발생빈도는 급격히 증가하고 있는 추세이다. 특히 네트워크의 취약점이 지속적으로 증가하고 있으며 웜바이러스와 같은 치명적인 공격에 의해 네트워크 서비스를 마비시킬 수 있는 서비스거부(DDoS) 공격이 급증하고 있는 가운데 무선 네트워크상에서의 무선랜 공격은 도 1에 도시된 바와 같이 수동적(passive), 능동적(active), 로그 에이피 (rogue AP) 공격으로 분류할 수 있다. Cyber attack techniques are being diversified by malicious users, and the development of hacking techniques has led to the public and dissemination of automated and intelligent hacking tools. In particular, network vulnerabilities are continuously increasing, and denial-of-service (DDoS) attacks that can paralyze network services by fatal attacks such as worm viruses are rapidly increasing. Similarly, they can be classified as passive, active, and rogue AP attacks.

가. 수동적(Passive) 공격end. Passive Attack

수동적 공격의 목적은 액세스 포인트 장치 MAC, SSID, 채널, 제조사, WEP 설정여부, 설치 위치 정보를 얻기 위함이다. 3가지 방식의 프로그램들이 있는데 패킷을 캡쳐하는 스니퍼(sniffer) 방식, 정보를 얻기 위해서 query 하는 stumbler 방식 그리고, 전송되는 패킷이 존재하지 않고 어떤 네트워크에도 속하지 않아 모든 네트워크 패킷을 수집할 수 있는 passive monitor 가 있다.The purpose of the passive attack is to obtain the access point device MAC, SSID, channel, manufacturer, WEP settings, and installation location information. There are three types of programs: a sniffer method for capturing packets, a stumbler method for querying information, and a passive monitor that collects all network packets because no packets are sent and does not belong to any network. have.

대표적인 sniffer 프로그램으로 airopeek, ethereal, tcpdump 가 있고, stumbler 프로그램은 netstumbler, passive monitor 프로그램은 kismet이 있다.Typical sniffer programs include airopeek, ethereal, and tcpdump, stumbler programs are netstumbler, and passive monitor programs are kismet.

나. 불법 AP(Rogue AP) 공격I. Rogue AP attack

불법 AP(Rogue AP)란 사용자의 편의를 목적으로 유선 네트워크에 설치된 비인가 AP, 또는 공격자에 의해서 고의로 설치된 AP를 말한다. 이는 상당한 위협요소가 되는데 회사 내의 보안 정책을 거치지 않고 내부 유선망에 침입할 수 있으므로 rogue AP를 반드시 제거하여야 한다. 만약 사용자의 부주의로 보안을 신경 쓰지 않은 채 AP를 연결하여 Ad-hoc 네트워크를 구성한다면 더욱 위험하게 되고 비인가자에 의한 네트워크 대역폭 낭비를 불러올 수도 있다.Rogue AP refers to an unauthorized AP installed in a wired network or an AP deliberately installed by an attacker for the convenience of a user. This is a significant threat, and rogue APs must be removed because they can break into internal wired networks without going through the company's security policy. If ad-hoc network is formed by connecting AP without careless security, it may be more dangerous and cause network bandwidth wasted by unauthorized person.

다. 능동적(Active) 공격All. Active attack

능동적 공격의 목적은 정보 수집보다는 서비스 거부와 같은 공격적인 면이 강하다. 공격기법으로는 spoofing, DoS, MITM 등이 있다. 각각 살펴보면 spoofing 공격은 MAC/IP/Frame을 변조하여 인증을 통과하기 위한 목적으로 사용되고, 서비스 거부 공격에도 사용된다. DoS 공격으로는 반복적으로 위조된 disassociation / deauthentication 프레임을 전송하는 deauth flooding과 주파수대가 비슷한 장비의 잡음을 이용하는 jamming 기법이 있다. disassociation 기법은 rogue AP 격리를 위한 기법으로 활용되기도 한다. Man-in-the- middle과 session hijack 공격은 기존 접속을 해제시켜 공격자의 AP로 유도하거나 mac을 spoofing 하여 세션을 가로채는 기법이다. 또한 도 2에 도시된 바와 같이 서비스거부(DDoS) 공격이 가능하기 때문에 이에 대한 대응 기술이 제공되어야 한다.The purpose of active attacks is more aggressive, such as denial of service, than information gathering. Attack techniques include spoofing, DoS, and MITM. In each case, spoofing attacks are used to pass authentication by altering MAC / IP / Frame, and are also used for denial of service attacks. DoS attacks include deauth flooding, which repeatedly transmits forged fake disassociation / deauthentication frames, and jamming techniques that use noise from devices of similar frequency bands. The disassociation technique is also used as a technique for rogue AP isolation. Man-in-the-middle and session hijack attacks are a technique of intercepting sessions by releasing existing connections and inducing them to the attacker's AP or spoofing macs. In addition, as shown in FIG. 2, a denial of service (DDoS) attack is possible, and thus a corresponding technology should be provided.

따라서 상기한 바와 같은 다양한 공격에 대하여 대응 기술/대응 모듈에 대한 제안이 필요한 실정이다.Therefore, it is necessary to propose a countermeasure technology / response module for various attacks as described above.

현재 무선 아이디에스/아이피에스(Wireless IDS/IPS) 기능을 제공하기 위해 수행된 연구 결과는 AirMagnet(Borque, Lyne, " Wi-Fi Security Review: AirMagnet", http://www.enterpriseitplanet.com/security, 2004), AirDefense(http://www.airdefense.com) 등이 있다.Current research conducted to provide Wireless IDS / IPS functionality is based on AirMagnet (Borque, Lyne, "Wi-Fi Security Review: AirMagnet", http://www.enterpriseitplanet.com/security, 2004 ) And AirDefense (http://www.airdefense.com).

Airmagnet 센서는 SQL DB를 기반으로 WLAN 관리 및 모니터링 기능을 수행하는데, 이에 따르면, Rogue AP 탐지 및 추적 기능을 제공하며 DoS 공격에 대한 대응을 통해 무선 네트워크에 대한 안전성 확보를 목적으로 하고 있다.Airmagnet sensor performs WLAN management and monitoring function based on SQL DB. It provides Rogue AP detection and tracking function and aims to secure wireless network by responding to DoS attack.

도 3은 무선 아이피에스 시스템 구조도(AirDefense 참조)이다.3 is a structural diagram of a wireless IP system (see AirDefense).

도 3을 참조하면, AirDefense 시스템은 wireless AP 센서와 자바 기반 웹 콘솔 시스템으로 구성된 Red Hat 리눅스 서버로 구성되어 있다. AirDefense 웹 콘솔과 AP 센서는 서버와 안전한 무선 통신을 통해 트래픽에 대한 관리 및 차단 기능을 수행한다.Referring to FIG. 3, the AirDefense system consists of a Red Hat Linux server consisting of a wireless AP sensor and a Java-based web console system. The AirDefense web console and AP sensor manage and block traffic through secure wireless communication with the server.

AirDefense에서 제시하는 Wireless IPS는 정책 기반 IDS/IPS 시스템으로 네트워크에 대한 관리, 성능 및 안전성을 설정하며 WLAN 세션에 대한 보안 기능을 제공한다. 또한 일반적으로 리눅스 운영체제를 기반으로 공개 소프트웨어 형태로 개발되어 현재 활발한 연구가 진행되고 있으며 현재 Snort-Wireless 및 WIDZ와 같은 코드가 제시되고 있다.Wireless IPS, presented by AirDefense, is a policy-based IDS / IPS system that establishes management, performance, and security for the network and provides security for WLAN sessions. In addition, it is generally developed in the form of open software based on Linux operating system, and is being actively researched, and codes such as Snort-Wireless and WIDZ are currently presented.

그러나, 상기한 바와 같은 구조에 따르면 에어디펜스 시스템은 공격에 대한 탐지 기능만을 제공하고 있으며, 외부 공격에 대해 수동적 대응만을 제공하고 있으므로 사용자 능동적으로 공격침입을 탐지하고 차단할 수 있는 기술이 절실히 요구되고 있는 실정이다. However, according to the above structure, since the air defense system provides only a detection function for an attack and provides only a passive response to an external attack, a technology that actively detects and blocks an attack intrusion is urgently required. It is true.

본 발명의 목적은 상기한 바와 같은 종래 기술에서의 문제점을 해결하고자 제안된 것으로서, 외부로부터의 공격을 탐지하고 및 차단할 수 있도록 하는 무선 액세스 포인트 장치를 제공하고자 한다.An object of the present invention is to solve the problems in the prior art as described above, and to provide a wireless access point device that can detect and block an attack from the outside.

본 발명의 또 다른 목적은 액세스 포인트 장치 이상 트래픽에 대한 판별 기능을 제공하는 모듈을 추가하여 무선 네트워크에서의 보안 서비스의 질을 향상시킬 수 있는 무선 액세스 포인트 장치를 제공함에 있다.It is still another object of the present invention to provide a wireless access point device capable of improving the quality of security services in a wireless network by adding a module that provides a discrimination function for abnormal traffic of the access point device.

본 발명의 또 다른 목적은 무선 액세스 포인트 장치를 이용하여 이상 트래픽을 탐지하여, 액세스 포인트 장치에서 서비스 거부 공격 등과 같은 네트워크 공격이 있을 경우 이를 탐지할 수 있는 방법을 제공함에 있다.Still another object of the present invention is to provide a method of detecting abnormal traffic using a wireless access point device and detecting a network attack such as a denial of service attack in the access point device.

본 발명의 또 다른 목적은 무선 액세스 포인트 장치를 이용하여 탐지된 이상 트래픽의 공격을 차단할 수 있는 방법을 제공함에 있다.It is still another object of the present invention to provide a method for blocking an attack of abnormal traffic detected by using a wireless access point device.

본 발명의 또 다른 목적은 무선 액세스 포인트 장치를 이용하여 공격침입이 탐지된 네트워크에 대해서는 해당 트래픽 연결을 끊을 수 있는 방법을 제공하는 데 있다.It is still another object of the present invention to provide a method for disconnecting a corresponding traffic to a network where an intrusion is detected using a wireless access point device.

본 발명의 또 다른 목적은 무선 액세스 포인트 장치를 이용하여 액세스 포인트 장치에서 De-Auth flooding 패킷을 해당 호스트에 전송하여 공격자 시스템에 대한 연결을 끊을 수 있는 방법을 제공하는 데 있다.It is still another object of the present invention to provide a method for using a wireless access point device to send a De-Auth flooding packet to a corresponding host, thereby disconnecting the attacker system.

상기한 바와 같은 목적을 달성하기 위한 본 발명의 바람직한 실시 예에 따르면, 사용자와 무선으로 연동하여 무선 신호를 송수신 중계하고 공격자부터의 무선 네트워크 트래픽 신호를 탐지 및 차단하는 무선 액세스 포인트 장치에 있어서, 네트워크 인터페이스 카드를 포함하고 공격자의 공격 트래픽을 접수하고 탐지하는 네트워크 모니터링 모듈 및 공격자에게 경고메시지를 전송하도록 제어하는 경고 인터페이스 모듈을 포함하는 네트워크 모듈과; 상기 네트워크 모니터링 모듈로부터 전송된 공격 트래픽을 필터링하는 패킷 분석모듈 및 상기 패킷 분석모듈로부터의 필터링된 패킷이 네트워크 공격패킷인지를 규칙 DB/서명모듈과 연동하여 판단하여 그 결과를 상기 패킷분석모듈 및 상기 경고 인터페이스 모듈에 전송하는 침입탐지모듈을 포함하는 분석 및 보안모듈;로 이루어지는 것을 특징으로 하는 무선 액세스 포인트 장치가 제공된다.According to a preferred embodiment of the present invention for achieving the above object, in a wireless access point device for wirelessly interworking with a user to transmit and receive wireless signals and detect and block wireless network traffic signals from attackers, the network A network module including an interface card and a network monitoring module for receiving and detecting attack traffic of an attacker and a warning interface module for controlling sending an alert message to the attacker; The packet analysis module for filtering attack traffic transmitted from the network monitoring module and whether the filtered packet from the packet analysis module is a network attack packet are determined in conjunction with a rule DB / signature module and the result is determined by the packet analysis module and the module. Provided is a wireless access point device comprising an analysis and security module comprising an intrusion detection module for transmitting to the alert interface module.

바람직하게는, 상기 네트워크 모듈은 802.11 b/g 패킷을 채널 호핑(channel hopping)하고, 기타 환경설정 정보를 동기화시키고, level 2 무선 트래픽을 모니터링하며, probe request, probe response, beacon frame을 전송하는 상기 채널 호핑 모듈을 더 포함하여 이루어지는 것을 특징으로 한다.Advantageously, said network module channel hopping 802.11 b / g packets, synchronizing other configuration information, monitoring level 2 wireless traffic, and transmitting probe request, probe response, and beacon frames. It further comprises a channel hopping module.

또한 바람직하게는, 상기 네트워크 모니터링 모듈은 passive 형태의 sniffing을 수행하고 모든 네트워크 패킷을 탐지하는 monitoring mode이고, 상기 채널 호핑 모듈을 통해 수집된 802.11 b/g 패킷을 수집하고, SSID beacon frame을 전송하지 않는 숨겨진 AP 네트워크는 클라이언트의 AP 접속시 SSID를 모니터링 하여 탐지하는 것을 특징으로 한다.Also preferably, the network monitoring module is a monitoring mode for performing passive sniffing and detecting all network packets, collecting 802.11 b / g packets collected through the channel hopping module, and not transmitting an SSID beacon frame. The hidden AP network is characterized by monitoring and detecting the SSID when the client accesses the AP.

또한 바람직하게는, 상기 경고 인터페이스 모듈은 네트워크 공격 패킷 전송자의 접속을 끊는 deauth 신호를 전송하는 것을 특징으로 한다.Also preferably, the alert interface module may transmit a deauth signal for disconnecting a network attack packet sender.

또한 바람직하게는, 상기 침입 탐지 모듈은 상기 네트워크 모니터링 모듈로부터 전달된 AP 정보를 사전에 관리자에 의해서 입력된 인가된 AP 리스트와 비교를 수행하는 Rogue AP 탐지 모듈과, sequence 번호를 추적하여 MAC spoofing 공격을 탐지하고 DoS의 deauth flooding 공격은 브로드캐스트 disassociate/deauthenticate frame 발생 여부를 확인하여 탐지하고, Stumbler 공격 탐지를 위해서 stumbler 별로 존재하는 fingerprint를 패킷과 비교하여 탐지하고, Man-in-the-middle 공격 탐지는 AP의 channel 변경여부를 확인하여 탐지하는 Spoof/DoS/Stumbler/MITM 탐지 모듈을 포함하여 이루어진 것을 특징으로 한다.Also preferably, the intrusion detection module is a rogue AP detection module that compares the AP information transmitted from the network monitoring module with an authorized AP list input by an administrator in advance, and tracks a sequence number to detect a MAC spoofing attack. DoS deauth flooding attack detects and detects broadcast disassociate / deauthenticate frame, detects stumbler fingerprints by comparing them with packets, and detects man-in-the-middle attacks. The Spoof / DoS / Stumbler / MITM detection module for detecting and detecting the change of the channel of the AP is characterized in that made.

본 발명의 또 다른 측면에 따르면, 무선 액세스 포인트 장치를 통해 무선 네트워크 공격트래픽을 탐지하고 차단하는 무선 액세스 포인트 장치를 이용한 무선 네트워크 침입탐지 및 차단방법에 있어서, 접수된 무선 트래픽을 분석하고 전송하는 단계와; 전송된 무선 트래픽을 필터링하는 단계와; 필터링된 패킷이 네트워크 공격패킷 인지를 규칙 DB/서명 모듈과 연동하여 판단하는 단계와; 상기 판단결과, 필터링된 패킷이 네트워크 공격 패킷인 경우에는 그 결과를 경고 메시지로 공격자에게 전달하는 단계로 이루어진 것을 특징으로 하는 무선 액세스 포인트 장치를 이용한 무선 네트워크 침입탐지 및 차단방법이 제공된다.According to another aspect of the present invention, in the wireless network intrusion detection and blocking method using a wireless access point device for detecting and blocking wireless network attack traffic through the wireless access point device, analyzing and transmitting the received wireless traffic Wow; Filtering the transmitted wireless traffic; Determining whether the filtered packet is a network attack packet in association with a rule DB / signature module; As a result of the determination, when the filtered packet is a network attack packet, a wireless network intrusion detection and blocking method using a wireless access point device is provided.

바람직하게는, 상기 경고메시지 전달단계 이후에 수신자가 확인을 하였는지를 판단하는 단계와; 만약, 수신자가 확인한 경우에는 해당 데이터를 버리는 단계;를 더 포함하여 이루어진 것을 특징으로 한다.Preferably, the step of determining whether the recipient confirmed after the warning message delivery step; If the receiver confirms, the method further includes discarding the corresponding data.

또한 바람직하게는, 만약 필터링된 패킷이 네트워크 공격 패킷인 경우에, 경고메시지 전송시 수신자의 접속을 끊는 deauth 데이터를 전송하는 것을 특징으로 한다.Also preferably, if the filtered packet is a network attack packet, it is characterized in that to transmit the deauth data that disconnects the receiver when sending the warning message.

본 발명은 종래 802.1x 기반 WLAN은 손쉽게 공격 가능하다는 취약점을 보이고 있어, 무선 패킷에 대한 스니핑, 변조 및 조작 등을 탐지하고, AirJack 등의 DDoS 공격에 대해 AP 단에서 사전에 탐지/차단하는 것을 특징으로 한다.The present invention shows a weakness that the conventional 802.1x-based WLAN is easily attackable, detects sniffing, tampering, and tampering with a wireless packet, and detects / blocks an AP in advance for a DDoS attack such as AirJack. It is done.

즉, 종래 대부분의 네트워크 환경에서 무선이 도입되었지만, AP(Access Point) 에서 해킹 공격을 탐지하지는 않는 반면, 본 발명에서는 최근 점차적으로 무선랜과 관련된 공격들이 증가되고 있는 시점에서 무선 AP 기능에 패킷 필터링과 네트워크 침입탐지 기능을 내장한 임베디드 리눅스 기반 무선 AP를 개발한 점에 특징이 있다.That is, although wireless is introduced in most conventional network environments, the AP does not detect hacking attacks, whereas in the present invention, packet filtering is applied to the wireless AP function at a time when attacks related to WLAN are gradually increasing. The company has developed an embedded Linux-based wireless AP with embedded network intrusion detection.

이하 본 발명에 따른 무선 액세스 포인트 장치 및 그를 이용한 무선 네트워크 시스템의 공격 침입 탐지 및 차단방법을 첨부도면을 참고로 상세히 설명한다.Hereinafter, a method for detecting and blocking an attack intrusion of a wireless access point device and a wireless network system using the same according to the present invention will be described in detail with reference to the accompanying drawings.

도 4는 본 발명에 따른 무선 액세스 포인트 장치를 이용한 유무선 통합형 보안시스템의 개략적인 구성도이다.4 is a schematic configuration diagram of a wired / wireless integrated security system using a wireless access point device according to the present invention.

본 발명에 따른 유무선 통합형 보안시스템(1000)에 있어서, 무선 아이디에스(IDS) 장치(100)(무선 액세스 포인트 장치, 이하 'AP'장치라 함)는 무선 네트워크상에서 전송되는 트래픽에 대한 모니터링 기능을 수행하며, 특히 Wi-Fi 장치(113)(도 8 참조)를 통해 전송되는 트래픽에 대한 모니터링 기능을 통해 패킷 필터링 및 차단 기능을 제공한다.In the wire / wireless integrated security system 1000 according to the present invention, the wireless IDS device 100 (a wireless access point device, hereinafter referred to as an 'AP' device) performs a monitoring function for traffic transmitted on a wireless network. In particular, a packet filtering and blocking function is provided through a monitoring function for traffic transmitted through the Wi-Fi device 113 (see FIG. 8).

도 4를 참조하면, 아이피에스(IPS) 센서(Sensor) 역할을 하는 상기 무선 AP 장치(100)를 유무선 네트워크 사이에 구축하여 무선 트래픽에 대한 모니터링 기능을 수행한 점에 본 발명의 특징이 있다.Referring to FIG. 4, the wireless AP device 100 serving as an IPS sensor is constructed between wired and wireless networks to perform a monitoring function for wireless traffic.

즉, 본 발명에 따른 패킷 스니핑, 룰 기반 침입탐지/차단 기능을 제공하는 임베디드 형태의 AP 통합형 고성능 IPS 시스템은 이후에 설명되는 바와 같이, 무선 아이디에스 장치(W-IDS)와 유무선 통합형 보안장치(200)(서버)로 이루어진다.That is, the embedded AP integrated high-performance IPS system that provides packet sniffing and rule-based intrusion detection / blocking function according to the present invention is a wireless IDS device (W-IDS) and a wired / wireless integrated security device 200 as described later. (Server).

탐지를 위한 무선 아이디에스(W-IDS) 장비는 유무선 통합형 보안 장비와 직간접으로 연결되어 있으며, 무선 네트워크상의 트래픽을 분석하여 트래픽 정보와 경고(alert) 정보를 유무선 통합형 보안장비로 전송한다.Wireless IDS (W-IDS) equipment for detection is directly or indirectly connected to wired / wireless integrated security equipment, and analyzes traffic on the wireless network and transmits traffic information and alert information to the wired / wireless integrated security equipment.

상기 무선 AP 장치(100)는 사용자 컴퓨터로부터의 무선 신호를 송수신 중계하고 공격자로부터의 무선 네트워크 공격 패킷을 탐지하여 차단하는 기능을 수행한다.The wireless AP device 100 transmits and receives a wireless signal from a user computer and detects and blocks a wireless network attack packet from an attacker.

상기 시스템을 통해 유무선에 상관없이 통합형으로 공격 패킷을 탐지하여 차단할 수 있다.Through the system, attack packets can be detected and blocked regardless of whether they are wired or wireless.

본 발명에 따르면, 무선랜 공격 프레임은 무선 AP에서만 탐지할 수 있으므로 펌웨어(firmware)가 공개되어 있는 업체의 장비를 선택하여 기능을 추가하는 방법을 사용하였다. 만약 제품화하여 대량 생산이 필요하다면 적합한 AP 개발용 임베디드 보드를 선정해야할 것이다.According to the present invention, since the WLAN attack frame can be detected only in the wireless AP, a method of adding a function by selecting a device of a company whose firmware is disclosed is used. If a product is required for mass production, a suitable embedded board for AP development should be selected.

도 5는 도 4에서의 무선 액세스 포인트(AP:Access Pointer) 장치(100)를 나타낸 외관사시도 및 부품이 장착된 내부인쇄회로기판을 나타낸 도면이다. 도 6은 본 발명에서 사용된 링크시스템 펌웨어 장비의 내부 시스템 구성을 개략적으로 나타낸 개념도이다.FIG. 5 is a perspective view illustrating the wireless access point (AP) device 100 of FIG. 4 and an internal printed circuit board on which components are mounted. 6 is a conceptual diagram schematically illustrating an internal system configuration of a link system firmware device used in the present invention.

실무적으로 본 발명에서는 공개된 여러 펌웨어(firmware)중 최소 기능만 포 함하는 OpenWRT를 포팅하고 침입탐지 기능을 추가한다. 무선과 관련된 공격이 아닌 경우는 무선 AP에 연결되어 있다고 할지라도 유무선 통합 장치(200)에서 탐지 및 차단한다.Practically, the present invention portes OpenWRT including only the minimum function among various firmwares and adds an intrusion detection function. If it is not a wireless-related attack, even if connected to the wireless AP, the wired and wireless integrated device 200 detects and blocks.

본 발명에 따르면, 유무선 통합 장비에서 무선 관련 모든 네트워크 트래픽을 모니터링할 수 있도록 상기 무선 AP 장치(100)에서 발생한 802.11 b/g level 2 frame 로그를 유무선 통합형 보안 장치(200)로 전송한다.According to the present invention, the 802.11 b / g level 2 frame log generated by the wireless AP device 100 is transmitted to the wired / wireless integrated security device 200 so that the wired / wireless integrated device can monitor all wireless network traffic.

도 7은 본 발명에서 사용된 시스템 보드를 개략적으로 나타낸 구성도이다.7 is a schematic view showing a system board used in the present invention.

도 7을 참조하면, 무선 AP 기반 W-IDS 구조 즉 무선 AP 장치(100)를 실제로 다음과 같은 사양의 무선 AP 장치에 관련 소프트웨어를 임베디드 방식으로 탑재하였다.Referring to FIG. 7, the wireless AP-based W-IDS structure, that is, the wireless AP device 100 is actually embedded with related software in a wireless AP device having the following specification.

상기 장치(100)의 하드웨어 사양은 Linksys WRT54GS를 하드웨어로 사용한다. 이 장치(100)는 MIPS CPU 200MHz, flash 8MB, RAM 32MB, LAN 4Port, WAN 1Port 그리고, Wifi로 구성되어 있다. MIPS는 little-endian과 big-endian 모두 지원하는데 OpenWRT firmware는 little-endian 방식의 MIPSEL을 사용한다.      The hardware specification of the device 100 uses Linksys WRT54GS as hardware. The device 100 is composed of a MIPS CPU 200MHz, flash 8MB, RAM 32MB, LAN 4Port, WAN 1Port, and Wifi. MIPS supports both little-endian and big-endian, while OpenWRT firmware uses little-endian MIPSEL.

상기 장치(100)는 4개의 LAN 포트와 1개의 WAN 포트, 안테나를 지원하기 때문에 이를 통해 외부와 연계할 수 있으며, 임베디드 형태의 프로그래밍을 지원하기 위해 RAM과 Flash Memory를 갖추고 있다. 본 발명에서는 펌웨어(firmware)형태로 필터링 모듈을 컴파일하여 AP 시스템 내부에 임베딩한다.Since the device 100 supports four LAN ports, one WAN port, and an antenna, the device 100 can be connected to the outside and has RAM and Flash memory to support embedded programming. In the present invention, the filtering module is compiled in the form of firmware and embedded in the AP system.

도 8은 본 발명에 따른 무선 AP 장치 네트워크 인터페이스를 나타낸 개념도이다.8 is a conceptual diagram illustrating a wireless AP device network interface according to the present invention.

즉, 무선 AP 장치(100)에서 제어부(140), WiFi 안테나(130), 스위치(150)의 연계를 나타내고 있다. 본 시스템에 snort 형태의 패킷 필터링, sniffing 모듈을 적용하여 무선 트래픽에 대한 제어 기능을 제공할 수 있다.That is, the connection of the control unit 140, the WiFi antenna 130, and the switch 150 in the wireless AP device 100 is illustrated. By applying snort packet filtering and sniffing module to this system, we can provide the control function for wireless traffic.

상기 무선 AP 장치(100)의 사용에 있어서, 참고적으로 소프트웨어에 관한 사항을 설명하면, openWRT 포팅 및 toolchain 구성은 다음과 같다. 기본 linksys firmware가 설치되어 있는 경우는 웹관리화면으로 접속하여 OpenWRT firmware (linux 2.4.30)를 설치하면 된다. 또는, NVRAM 값을 초기화 시킨 뒤 tftp로 firmware를 설치할 수 있다. 설치가 끝난 뒤 telnet을 이용하여 192.168.1.1로 접속가능하다. 만약 ssh를 사용하기 위해서는 root에 패스워드를 부여하면 된다. 리눅스가 설치된 PC에서 MIPSEL toolchain을 구성하여 개발 플랫폼을 구축한다.In the use of the wireless AP device 100, the description of the software for reference, the openWRT porting and toolchain configuration is as follows. If the default linksys firmware is installed, go to the web management screen and install OpenWRT firmware (linux 2.4.30). Alternatively, firmware can be installed by tftp after initializing the NVRAM values. After installation, you can connect to 192.168.1.1 using telnet. If you want to use ssh, give root a password. Build a development platform by configuring the MIPSEL toolchain on a PC with Linux.

도 9는 본 발명에 따른 무선 액세스 포인트 장치의 개략적인 기능블럭도이다.9 is a schematic functional block diagram of a wireless access point device according to the present invention.

도 9를 참조하면, 무선 액세스 포인트 장치(100)는 크게 네트워크 모듈(110)과 분석 및 보안모듈(120) 및 네트워크 인터페이스 카드(101)를 포함하여 이루어진다.Referring to FIG. 9, the wireless access point apparatus 100 includes a network module 110, an analysis and security module 120, and a network interface card 101.

상기 네트워크 모듈(110)은 채널 호핑 모듈(112), 네트워크 모니터링 모듈(114) 및 경고 인터페이스 모듈(116)로 이루어진다.The network module 110 consists of a channel hopping module 112, a network monitoring module 114, and an alert interface module 116.

상기 채널 호핑 모듈(112)은 802.11 b/g 패킷을 채널 호핑(channel hopping)한다. 기타 환경설정 정보를 동기화시킨다. 또한 level 2 무선 트래픽을 모니터링하며, 구체적으로 probe request, probe response, beacon frame을 전송한다.The channel hopping module 112 channel hops 802.11 b / g packets. Synchronize other configuration information. It also monitors level 2 radio traffic and specifically sends probe request, probe response and beacon frame.

상기 네트워크 모니터링 모듈(114)은 passive 형태의 sniffing을 수행하고 모든 네트워크 패킷을 탐지하는 monitoring mode로서 상기 채널 호핑 모듈(112)을 통해 수집된 802.11 b/g 패킷을 수집한다. 또한, SSID beacon frame을 전송하지 않는 숨겨진 AP 네트워크는 클라이언트의 AP 접속시 SSID를 모니터링 하여 탐지한다. 또한, 수집된 패킷들은 이후의 보안 모듈(120)로 전달된다. 또한, 주기적으로 유무선 통합장비의 무선관련 환경설정 변경을 검사하여 동기화시킨다.The network monitoring module 114 collects 802.11 b / g packets collected through the channel hopping module 112 as a monitoring mode for performing passive sniffing and detecting all network packets. In addition, the hidden AP network that does not transmit the SSID beacon frame monitors and detects the SSID when the client accesses the AP. In addition, the collected packets are then forwarded to the security module 120. In addition, it periodically checks and synchronizes the wireless-related configuration changes of wired and wireless integrated equipment.

상기 네트워크 모니터링 모듈(114)은 AP 장치에서의 모든 네트워크 패킷을 수집한다.The network monitoring module 114 collects all network packets at the AP device.

상기 경고 인터페이스 모듈(116)은 유무선 통합장치(200)로 전송하는 역할을 수행하며, 무선 네트워크 모니터링을 로그하고, 경고(alert)를 로그하는 일종의 액션 모듈(action module)이다. 또한 무선 네트워크를 공격하는 공격 경고를 생성할 수 있다.The alert interface module 116 serves to transmit to the wired / wireless integrated device 200, logs a wireless network monitoring, and is a kind of action module that logs an alert. It can also generate attack alerts that attack wireless networks.

상기 분석 및 보안모듈(120)은 패킷 분석모듈(122), 침입탐지 모듈(124) 및 규칙 DB/서명 모듈(126)로 이루어진다.The analysis and security module 120 is composed of a packet analysis module 122, intrusion detection module 124 and rule DB / signature module 126.

상기 패킷 분석모듈(122)은 일종의 무선 트래픽 필터링 모듈로서, 상기 네트워크 모니터링 모듈(114)로부터 전송된 네트워크 패킷을 캡춰하고, 공격 트래픽을 검출한다.The packet analysis module 122 is a kind of a wireless traffic filtering module that captures network packets transmitted from the network monitoring module 114 and detects attack traffic.

상기 침입 탐지 모듈(124)은 불법 AP(rogue AP) 탐지 모듈(124-1)과 spoof/DoS/Stumbler/MITM 탐지 모듈(124-2)로 이루어지며 일종의 판단 모듈이다.The intrusion detection module 124 is composed of a rogue AP detection module 124-1 and a spoof / DoS / Stumbler / MITM detection module 124-2, which is a kind of determination module.

상기 불법 AP(rogue AP) 탐지 모듈(124-1)은 상기 네트워크 모니터링 모듈(114)로부터 전달된 AP 정보를 사전에 관리자에 의해서 입력된 인가된 AP 리스트와 비교를 수행한다. 이때 비교하는 정보는 MAC/SSID/Vendor/Media type(802.11 b/a/g)/Channel 등을 비교한다. 비인가 AP로 탐지되면 alert 로그를 유무선 통합장치(200)로 전송한다.The rogue AP detection module 124-1 compares the AP information transmitted from the network monitoring module 114 with an authorized AP list input by an administrator in advance. In this case, the comparison information compares MAC / SSID / Vendor / Media type (802.11 b / a / g) / Channel. When detected as an unauthorized AP, the alert log is transmitted to the wired / wireless integrated device 200.

상기 Spoof/DoS/Stumbler/MITM 탐지 모듈(124-2)은 sequence 번호를 추적하여 MAC spoofing 공격을 탐지하고 DoS의 deauth flooding 공격은 브로드캐스트 disassociate/deauthenticate frame 발생여부를 확인하여 탐지한다. Stumbler 공격 탐지를 위해서 stumbler 별로 존재하는 fingerprint를 패킷과 비교하여 탐지한다. 대표적인 netstumbler 3.2.3 의 경우는 query 시 “All your 802.11b are belong to us" 문자열을 포함한다. Man-in-the-middle 공격 탐지는 AP의 channel 변경 여부를 확인하여 탐지한다. 이렇게 탐지된 alert 로그들은 유무선 통합장비로 전송한다.The Spoof / DoS / Stumbler / MITM detection module 124-2 detects a MAC spoofing attack by tracking a sequence number and detects whether a deauth flooding attack of DoS confirms whether a broadcast disassociate / deauthenticate frame has occurred. To detect stumbler attacks, the fingerprints of each stumbler are detected against the packets. In the case of representative netstumbler 3.2.3, the query includes the string “All your 802.11b are belong to us.” Man-in-the-middle attack detection checks whether the AP has changed the channel. Logs are sent to wired and wireless integrated equipment.

상기 규칙 데이터베이스/서명모듈(126)은 상기 침입탐지모듈(124)과 연동하여 작동되며, 서명과 규칙을 검색할 수 있다.The rule database / signature module 126 operates in conjunction with the intrusion detection module 124 to search for signatures and rules.

참조부호 101은 네트워크 인터페이스카드를 나타낸 것으로서 각종 무선 패킷들의 송수신 통로가 된다.Reference numeral 101 denotes a network interface card and serves as a transmission / reception path for various wireless packets.

도 10은 본 발명에 따른 무선 액세스 포인트 장치를 통한 무선 네트워크 침입탐지 및 차단과정을 나타낸 흐름도이다.10 is a flowchart illustrating a wireless network intrusion detection and blocking process through a wireless access point device according to the present invention.

도 10을 참조하면, 먼저 무선 액세스 포인트 장치(100)의 네트워크 모듈(110)의 채널 호핑 모듈(112) 및 네트워크 모니터링 모듈(114)을 통해 무선 트래픽을 접수한다(ST-2).Referring to FIG. 10, first, wireless traffic is received through the channel hopping module 112 and the network monitoring module 114 of the network module 110 of the wireless access point device 100 (ST-2).

이후 접수된 무선 트래픽은 네트워크 모니터링 모듈(114)에서 분석되고 패킷 분석모듈(122)로 전송된다(ST-4).The received wireless traffic is then analyzed by the network monitoring module 114 and transmitted to the packet analysis module 122 (ST-4).

이후 전송된 무선 트래픽은 상기 패킷 분석모듈(122)에서 필터링되고 이후 침입탐지모듈(124)로 전송된다(ST-6).The transmitted wireless traffic is then filtered by the packet analysis module 122 and then transmitted to the intrusion detection module 124 (ST-6).

상기 침입탐지모듈(124)은 필터링된 패킷이 네트워크 공격패킷인지를 규칙 DB/서명 모듈(126)과 연동하여 판단한다(ST-8). 상기 단계 ST-8의 판단결과, 만약 네트워크 공격 패킷이 아닌 경우에는 그 결과를 패킷 분석모듈(122) 및 경고 인터페이스 모듈(116)에 알려준다. 결과적으로 해당 데이터는 바이패스 된다.The intrusion detection module 124 determines whether the filtered packet is a network attack packet in association with the rule DB / signature module 126 (ST-8). As a result of the determination of step ST-8, if it is not a network attack packet, the result is notified to the packet analysis module 122 and the alert interface module 116. As a result, the data is bypassed.

만약 상기 단계 ST-8의 판단결과, 필터링된 패킷이 네트워크 공격 패킷인 경우에는 그 결과를 패킷 분석모듈(122) 및 경고 인터페이스 모듈(116)에 알려준다. 상기 경고 인터페이스 모듈(116)은 경고 메시지를 상기 네트워크 모니터링 모듈(114)에 전송하여 경고메시지가 수신자에게 전달되도록 한다(ST-10). 한편, 상기 단계 ST-10에서는, 경고메시지와 함께 수신된 데이터가 전달되도록 할 수도 있다.If it is determined in step ST-8 that the filtered packet is a network attack packet, the result is notified to the packet analysis module 122 and the alert interface module 116. The alert interface module 116 transmits an alert message to the network monitoring module 114 so that the alert message is delivered to the receiver (ST-10). Meanwhile, in step ST-10, the received data together with the warning message may be transmitted.

이후, 상기 네트워크 모니터링 모듈(114)은 상기 경고메시지(혹은 경고메시 지+데이터)를 받은 수신자가 확인을 하였는지를 판단한다(ST-12). 만약 상기 단계 ST-12의 판단결과, 수신자가 확인한 경우에는 해당 데이터를 버린다(ST-14).Thereafter, the network monitoring module 114 determines whether the recipient who has received the warning message (or warning message + data) has confirmed the confirmation (ST-12). If the receiver checks the result of the determination of step ST-12, the corresponding data is discarded (ST-14).

한편 도시되지는 않았지만, 만약 상기 단계 ST-8에서 필터링된 패킷이 네트워크 공격 패킷인 경우에, 상기 단계 ST-10에서 경고메시지 전송을 하지 않고 수신자의 접속을 끊는 deauth 데이터를 전송할 수도 있다.On the other hand, although not shown, if the packet filtered in step ST-8 is a network attack packet, in step ST-10, deauth data for disconnecting the receiver may be transmitted without sending a warning message.

상기한 바와 같이 본 발명에 따른 무선 액세스 포인트 장치 및 그를 이용한 무선 네트워크 트래픽 침입탐지 및 차단방법에 의하면, 종래에 단순히 공격 트래픽의 기본적인 사항만을 체크하던 상태에서 발전하여 본 발명에서는 해당 공격 트래픽을 필터링하여 탐지하고 일차적으로 경고메시지를 전송하며 이차적으로는 해당 수신자의 접속을 끊는 신호를 전송함으로써 확실하게 무선 네트워크 트래픽 침입을 탐지하고 차단할 수 있는 효과가 있다.As described above, according to the wireless access point apparatus and the wireless network traffic intrusion detection and blocking method using the same according to the present invention, it has been developed in the state of simply checking the basic matters of the attack traffic. By detecting and first sending an alert message and secondly by sending a signal to disconnect the recipient, it is possible to reliably detect and block wireless network traffic intrusion.

본 발명은 상기 실시 예를 중심으로 설명하였지만 본 발명의 범위는 이에 제한되는 것은 아니며, 본 발명의 기술분야에 익숙한 기술자는 상기 실시 예에 기술된 내용을 토대로 이후에 기술되는 본 발명의 특허청구범위내에서 다양하게 변형실시가 가능할 것이다.The present invention has been described with reference to the above embodiments, but the scope of the present invention is not limited thereto, and those skilled in the art will be described later based on the contents described in the above embodiments. Various modifications can be made within the invention.

Claims (8)

사용자와 무선으로 연동하여 무선 신호를 송수신 중계하고 공격자부터의 무선 네트워크 트래픽 신호를 탐지 및 차단하는 무선 액세스 포인트 장치(100)에 있어서,In the wireless access point apparatus 100 for interworking with a user wirelessly to transmit and receive a wireless signal and detect and block a wireless network traffic signal from an attacker, 네트워크 인터페이스 카드(101)를 포함하고 공격자의 공격 트래픽을 접수하고 탐지하는 네트워크 모니터링 모듈(114) 및 공격자에게 경고메시지를 전송하도록 제어하는 경고 인터페이스 모듈(116)을 포함하는 네트워크 모듈(110)과;A network module 110 including a network interface card 101 and a network monitoring module 114 for receiving and detecting attack traffic of an attacker and a warning interface module 116 for controlling sending an alert message to an attacker; 상기 네트워크 모니터링 모듈(114)로부터 전송된 공격 트래픽을 필터링하는 패킷 분석모듈(122) 및 상기 패킷 분석모듈(122)로부터의 필터링된 패킷이 네트워크 공격패킷인지를 규칙 DB/서명모듈(126)과 연동하여 판단하여 그 결과를 상기 패킷분석모듈(122) 및 상기 경고 인터페이스 모듈(116)에 전송하는 침입탐지모듈(124)을 포함하는 분석 및 보안모듈(120);로 이루어지는 것을 특징으로 하는 무선 액세스 포인트 장치(100).The packet analysis module 122 filtering the attack traffic transmitted from the network monitoring module 114 and whether the filtered packet from the packet analysis module 122 is a network attack packet are interworked with the rule DB / signature module 126. And an analysis and security module (120) comprising an intrusion detection module (124) for determining and determining and transmitting the result to the packet analysis module (122) and the warning interface module (116). Device 100. 제 1 항에 있어서, 상기 네트워크 모듈(110)은 802.11 b/g 패킷을 채널 호핑(channel hopping)하며, 환경설정 정보를 동기화시키고, level 2 무선 트래픽을 모니터링하며, probe request, probe response, beacon frame을 전송하는 상기 채널 호핑 모듈(112)을 더 포함하여 이루어지는 것을 특징으로 하는 무선 액세스 포인트 장치(100).The method of claim 1, wherein the network module 110 channel hopping 802.11 b / g packets, synchronize configuration information, monitor level 2 wireless traffic, probe request, probe response, beacon frame And a channel hopping module (112) for transmitting the wireless access point device (100). 제 1 항에 있어서, 상기 네트워크 모니터링 모듈(114)은 수동적(passive) 형태의 sniffing을 수행하고 모든 네트워크 패킷을 탐지하는 monitoring mode이고, 상기 채널 호핑 모듈(112)을 통해 수집된 802.11 b/g 패킷을 수집하고, SSID beacon frame을 전송하지 않는 숨겨진 AP 네트워크는 클라이언트의 AP 접속시 SSID를 모니터링 하여 탐지하는 것을 특징으로 하는 무선 액세스 포인트 장치(100).The method of claim 1, wherein the network monitoring module 114 is a monitoring mode for performing passive type sniffing and detecting all network packets, and 802.11 b / g packets collected through the channel hopping module 112. The hidden AP network, which collects and does not transmit the SSID beacon frame, monitors and detects the SSID when the client accesses the AP. 제 1 항에 있어서, 상기 경고 인터페이스 모듈(116)은 네트워크 공격 패킷 전송자의 접속을 끊는 deauth 신호를 전송하는 것을 특징으로 하는 무선 액세스 포인트 장치(100).2. The wireless access point device (100) of claim 1, wherein said alert interface module (116) transmits a deauth signal that disconnects a network attack packet sender. 제 1 항에 있어서, 상기 침입 탐지 모듈(124)은 상기 네트워크 모니터링 모듈(114)로부터 전달된 AP 정보를 사전에 관리자에 의해서 입력된 인가된 AP 리스트와 비교를 수행하는 불법 AP(Rogue AP) 탐지 모듈(124-1)과, sequence 번호를 추적하여 MAC spoofing 공격을 탐지하고 DoS의 deauth flooding 공격은 브로드캐스트 disassociate/deauthenticate frame 발생 여부를 확인하여 탐지하고, Stumbler 공격 탐지를 위해서 stumbler 별로 존재하는 fingerprint를 패킷과 비교하여 탐지하고, Man-in-the-middle 공격 탐지는 AP의 channel 변경 여부를 확인하여 탐지하는 Spoof/DoS/Stumbler/MITM 탐지 모듈(124-2)를 포함하여 이루어진 것을 특징으로 하는 무선 액세스 포인트 장치(100).The rogue AP detection of claim 1, wherein the intrusion detection module 124 compares the AP information transmitted from the network monitoring module 114 with an authorized AP list input by an administrator in advance. Detect MAC spoofing attack by tracking module 124-1 and sequence number. Deauth flooding attack of DoS checks whether broadcast disassociate / deauthenticate frame has occurred and detects fingerprint that exists by stumbler for stumbler attack detection. Compared to the packet detection, and Man-in-the-middle attack detection is a wireless characterized in that it comprises a Spoof / DoS / Stumbler / MITM detection module (124-2) for detecting and detecting whether the AP channel changes Access point device 100. 무선 액세스 포인트 장치(100)를 통해 무선 네트워크 공격 트래픽을 탐지하고 차단하는 무선 액세스 포인트 장치(100)를 이용한 무선 네트워크 침입탐지 및 차단방법에 있어서, In the wireless network intrusion detection and blocking method using the wireless access point device 100 for detecting and blocking wireless network attack traffic through the wireless access point device 100, 접수된 무선 트래픽을 분석하고 전송하는 단계와;Analyzing and transmitting the received wireless traffic; 전송된 무선 트래픽을 필터링하는 단계와;Filtering the transmitted wireless traffic; 필터링된 패킷이 네트워크 공격패킷 인지를 규칙 DB/서명 모듈(126)과 연동하여 판단하는 단계와;Determining whether the filtered packet is a network attack packet in conjunction with the rule DB / signing module 126; 상기 판단결과, 필터링된 패킷이 네트워크 공격 패킷인 경우에는 그 결과를 경고 메시지로 공격자에게 전달하는 단계로 이루어진 것을 특징으로 하는 무선 액세스 포인트 장치(100)를 이용한 무선 네트워크 침입탐지 및 차단방법.And, if the filtered packet is a network attack packet, transmitting the result to the attacker as a warning message. The wireless network intrusion detection and blocking method using the wireless access point device 100 according to the determination result. 제 6 항에 있어서,The method of claim 6, 상기 경고메시지 전달단계 이후에 수신자가 확인을 하였는지를 판단하는 단계와;Determining whether the recipient has confirmed after the warning message delivery step; 만약, 수신자가 확인한 경우에는 해당 데이터를 버리는 단계;를 더 포함하여 이루어진 것을 특징으로 하는 무선 액세스 포인트 장치(100)를 이용한 무선 네트워크 침입탐지 및 차단방법.If the receiver confirms, discarding the corresponding data; wireless network intrusion detection and blocking method using a wireless access point device 100, characterized in that further comprises. 제 6 항에 있어서, 만약 필터링된 패킷이 네트워크 공격 패킷인 경우에, 경 고메시지 전송시 수신자의 접속을 끊는 deauth 데이터를 전송하는 것을 특징으로 하는 무선 액세스 포인트 장치(100)를 이용한 무선 네트워크 침입탐지 및 차단방법.7. The wireless network intrusion detection using the wireless access point device 100 according to claim 6, wherein if the filtered packet is a network attack packet, the deauthentication data for disconnecting the receiver is transmitted when the warning message is transmitted. And blocking method.
KR1020050112061A 2005-11-22 2005-11-22 Wireless access point apparatus and network traffic intrusion detection and prevention method using the same KR20070054067A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020050112061A KR20070054067A (en) 2005-11-22 2005-11-22 Wireless access point apparatus and network traffic intrusion detection and prevention method using the same
PCT/KR2006/002364 WO2007061167A1 (en) 2005-11-22 2006-06-20 Wireless access point apparatus and a network traffic intrusion detection and prevention method using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050112061A KR20070054067A (en) 2005-11-22 2005-11-22 Wireless access point apparatus and network traffic intrusion detection and prevention method using the same

Publications (1)

Publication Number Publication Date
KR20070054067A true KR20070054067A (en) 2007-05-28

Family

ID=38067371

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050112061A KR20070054067A (en) 2005-11-22 2005-11-22 Wireless access point apparatus and network traffic intrusion detection and prevention method using the same

Country Status (2)

Country Link
KR (1) KR20070054067A (en)
WO (1) WO2007061167A1 (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101248601B1 (en) * 2011-05-17 2013-03-28 류연식 Security system for distributed denial of service and method for finding zombie terminal
WO2013089395A1 (en) * 2011-12-16 2013-06-20 주식회사 코닉글로리 Signature-based wireless intrusion prevention system
WO2013100433A1 (en) * 2011-12-30 2013-07-04 주식회사 코닉글로리 Method for operating wireless intrusion detection system of wired and wireless integration system
KR101279912B1 (en) * 2011-12-16 2013-07-30 (주)시큐리티존 Intrusion protecting system with smart sensor
KR101294280B1 (en) * 2011-08-31 2013-08-23 (주)소만사 System and Method capable of Preventing Individual Information Leakage by Monitoring Encrypted HTTPS-based Communication Data via Network Packet Mirroring
KR101437405B1 (en) * 2013-04-04 2014-09-05 건국대학교 산학협력단 An Effective Mechanism and method against Intrusion Attack using Aggregate Traffic Prediction for Wireless Industrial Networks
KR20180107789A (en) * 2017-03-22 2018-10-04 (주)휴네시온 Wire and wireless access point for analyzing abnormal action based on machine learning and method thereof
CN114095060A (en) * 2022-01-21 2022-02-25 华东交通大学 Smart power grid signal safety transmission method and system and readable storage medium

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8769639B2 (en) 2007-09-04 2014-07-01 Microsoft Corporation History-based downgraded network identification
US8752175B2 (en) 2008-10-31 2014-06-10 Hewlett-Packard Development Company, L.P. Method and apparatus for network intrusion detection
WO2010107605A1 (en) * 2009-03-18 2010-09-23 Merck Sharp & Dohme Corp. Cgrp receptor antagonists
US20170208079A1 (en) * 2016-01-19 2017-07-20 Qualcomm Incorporated Methods for detecting security incidents in home networks
US11263320B2 (en) 2017-01-20 2022-03-01 Hewlett-Packard Development Company, L.P. Updating firmware
CN112839015B (en) * 2019-11-25 2022-08-19 杭州萤石软件有限公司 Method, device and system for detecting attack Mesh node
CN114553580B (en) * 2022-02-28 2024-04-09 国网新疆电力有限公司博尔塔拉供电公司 Network attack detection method and device based on rule generalization and attack reconstruction

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101248601B1 (en) * 2011-05-17 2013-03-28 류연식 Security system for distributed denial of service and method for finding zombie terminal
KR101294280B1 (en) * 2011-08-31 2013-08-23 (주)소만사 System and Method capable of Preventing Individual Information Leakage by Monitoring Encrypted HTTPS-based Communication Data via Network Packet Mirroring
WO2013089395A1 (en) * 2011-12-16 2013-06-20 주식회사 코닉글로리 Signature-based wireless intrusion prevention system
KR101279912B1 (en) * 2011-12-16 2013-07-30 (주)시큐리티존 Intrusion protecting system with smart sensor
WO2013100433A1 (en) * 2011-12-30 2013-07-04 주식회사 코닉글로리 Method for operating wireless intrusion detection system of wired and wireless integration system
KR101437405B1 (en) * 2013-04-04 2014-09-05 건국대학교 산학협력단 An Effective Mechanism and method against Intrusion Attack using Aggregate Traffic Prediction for Wireless Industrial Networks
KR20180107789A (en) * 2017-03-22 2018-10-04 (주)휴네시온 Wire and wireless access point for analyzing abnormal action based on machine learning and method thereof
CN114095060A (en) * 2022-01-21 2022-02-25 华东交通大学 Smart power grid signal safety transmission method and system and readable storage medium
CN114095060B (en) * 2022-01-21 2022-04-08 华东交通大学 Smart power grid signal safety transmission method and system and readable storage medium

Also Published As

Publication number Publication date
WO2007061167A1 (en) 2007-05-31

Similar Documents

Publication Publication Date Title
KR20070054067A (en) Wireless access point apparatus and network traffic intrusion detection and prevention method using the same
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
US7710933B1 (en) Method and system for classification of wireless devices in local area computer networks
US7216365B2 (en) Automated sniffer apparatus and method for wireless local area network security
US8281392B2 (en) Methods and systems for wired equivalent privacy and Wi-Fi protected access protection
US9003527B2 (en) Automated method and system for monitoring local area computer networks for unauthorized wireless access
US7856656B1 (en) Method and system for detecting masquerading wireless devices in local area computer networks
US20090016529A1 (en) Method and system for prevention of unauthorized communication over 802.11w and related wireless protocols
US7640585B2 (en) Intrusion detection sensor detecting attacks against wireless network and system and method of detecting wireless network intrusion
EP1834466B1 (en) Method and system for detecting attacks in wireless data communication networks
US20150040194A1 (en) Monitoring of smart mobile devices in the wireless access networks
EP2023571A1 (en) Method and system for wireless communications characterized by IEEE 802.11W and related protocols
Takahashi et al. IEEE 802.11 user fingerprinting and its applications for intrusion detection
US7409715B2 (en) Mechanism for detection of attacks based on impersonation in a wireless network
US7333800B1 (en) Method and system for scheduling of sensor functions for monitoring of wireless communication activity
WO2010027121A1 (en) System and method for preventing wireless lan intrusion
KR101186876B1 (en) Realtime intrusion protecting method for network system connected to wire and wireless integrated environment
Ma et al. RAP: Protecting commodity wi-fi networks from rogue access points
Kaplanis Detection and prevention of man in the middle attacks in Wi-Fi technology
Tung et al. Wireless LAN security: Securing your access point
Neumerkel et al. A sophisticated solution for revealing attacks on wireless LAN
Hasan et al. Protecting Regular and Social Network Users in a Wireless Network by Detecting Rogue Access Point: Limitations and Countermeasures
Wright Detecting Detectors: Layer 2 Wireless Intrusion Analysis
Makhlouf et al. Intrusion and anomaly detection in wireless networks
Ma et al. Passive listening and intrusion management in commodity wi-fi networks

Legal Events

Date Code Title Description
N231 Notification of change of applicant
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid