KR20100073125A - 무선 네트워크에서 보안 상황 감시 장치 - Google Patents
무선 네트워크에서 보안 상황 감시 장치 Download PDFInfo
- Publication number
- KR20100073125A KR20100073125A KR1020080131716A KR20080131716A KR20100073125A KR 20100073125 A KR20100073125 A KR 20100073125A KR 1020080131716 A KR1020080131716 A KR 1020080131716A KR 20080131716 A KR20080131716 A KR 20080131716A KR 20100073125 A KR20100073125 A KR 20100073125A
- Authority
- KR
- South Korea
- Prior art keywords
- information
- wireless network
- security event
- security
- signal
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W64/00—Locating users or terminals or network equipment for network management purposes, e.g. mobility management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/79—Radio fingerprint
Abstract
본 발명은 무선 네트워크에서 보안 상황 감시 장치에 관한 것으로, 본 발명에 따른 무선 네트워크에서 보안 상황 감시 장치는 하나 이상의 RF 신호 정보를 수집하는 RF 신호 수집부, 트래픽 정보, 경보 정보 중 하나 이상을 포함하는 보안 이벤트 정보를 수집하는 보안 이벤트 수집부, 수집된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석하여 매핑하는 보안 이벤트 정보 매핑부 및 매핑된 보안 이벤트 정보를 표시하는 보안 이벤트 정보 표시부를 포함한다. 이에 의해, RF 신호 감시를 통해 획득된 RF 신호 정보와, 무선 네트워크 장비에서 발생되는 트래픽 정보, 경보 정보를 포함하는 보안 이벤트 정보를 매핑하여 정보 시각화 기법을 사용하여 효과적으로 표현함으로써 네트워크 관리자가 현재 무선 네트워크의 보안 상황을 직관적으로 인지할 수 있는 장점이 있다.
RF 신호, 보안, 매핑, 표시
Description
본 발명은 무선 네트워크에서 보안 상황 감시 장치에 관한 것으로, 더욱 상세하게는 수집된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석하여 매핑하고, 매핑된 보안 이벤트 정보를 표시하는 무선 네트워크에서 보안 상황 감시 장치에 관한 것이다.
본 발명은 지식경제부 및 정보통신연구진흥원의 IT 성장동력기술개발 사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-022-02, 과제명: All-IP 환경의 지능형 사이버 공격 감시 및 추적 시스템 개발].
무선 네트워크의 보안 상황을 감시하는 방법은 무선 네트워크 기반의 방법과 유선 네트워크 기반의 방법이 있다. 무선 네트워크 기반으로 보안 상황을 감시하는 방법은 무선 네트워크의 보안 장비로부터 탐지된 공격의 결과만을 표시하는 방법과 무선 네트워크를 구성하는 장비로부터 트래픽 정보를 수집하여 통계 정보를 표현하는 방법이 있다.
첫 번째 방법의 경우 무선 네트워크의 RF 신호를 감시하는 센서 또는 공격 탐지 기능이 있는 무선 엑세스 포인트(Access Point : AP)가 무선 트래픽을 분석하여 사이버 공격 여부를 판단한 후 그 결과를 관리 서버로 전송하여 화면상에 경보 데이터를 테이블 또는 그래프를 사용하여 표현한다. 이와 같은 방법의 경우 RF 신호를 감시하는 센서 또는 공격 탐지 기능이 있는 무선 AP가 사이버 공격을 탐지하지 못하는 경우에 네트워크 관리자가 공격을 인지할 수 없는 단점이 있다.
두 번째 방법의 경우 무선 네트워크를 구성하는 무선 AP 또는 RF 신호를 수집하는 이벤트 수집 에이전트가 무선 트래픽을 수집하여 관리 서버로 전송하면, 관리 서버에서는 전송받은 트래픽에 대한 통계치를 화면상에 표현하였다. 이와 같은 방법의 경우 통계 정보만을 네트워크 관리자에게 전달하기 때문에 네트워크 관리자는 현재 이상 현상에 대한 상세한 정보를 획득하기 어려운 단점이 있다.
유선 네트워크 기반으로 무선 네트워크의 보안 상황을 감시하는 방법은 무선 AP에 연결된 유선 네트워크로부터 트래픽 정보 또는 경보 정보를 전송받은 후, 전송받은 정보에 대한 통계치를 화면상에 표현하는 것이다. 이와 같은 방법의 경우 무선 네트워크의 특성을 반영하지 못한다는 단점이 있다. 또한, 통계 정보를 표현하기 때문에 네트워크 관리자에게 상세한 정보를 전달하기 어려운 단점이 있다.
본 발명의 목적은, 무선 네트워크에서 RF 신호 정보와 보안 이벤트 정보를 수집하고 수집된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석 및 매핑하여 표시함으로써, 네트워크 관리자가 현재 무선 네트워크의 보안 상황을 직관적으로 인지할 수 있는 무선 네트워크에서 보안 상황 감시 장치를 제공하는 것이다.
본 발명에 따른 무선 네트워크에서 보안 상황 감시 장치는, 하나 이상의 RF 신호 정보를 수집하는 RF 신호 수집부, 트래픽 정보, 경보 정보 중 하나 이상을 포함하는 보안 이벤트 정보를 수집하는 보안 이벤트 수집부, 상기 수집된 RF 신호 정보와 상기 보안 이벤트 정보의 연관성을 분석하여 매핑하는 보안 이벤트 정보 매핑부 및 상기 매핑된 보안 이벤트 정보를 표시하는 보안 이벤트 정보 표시부를 포함한다.
상기 보안 이벤트 정보 매핑부는, 하나 이상의 RF 신호 수집기로부터 RF 신호 정보를 수신하여 상기 RF 신호 정보를 수집하고, 상기 수집된 하나 이상의 RF 신호 정보를 무선 네트워크 장비 별로 통합하며, 상기 무선 네트워크 장비 별로 통합된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석하여 매핑한다.
상기 보안 이벤트 정보 매핑부는, 무선 네트워크에서 발생되어 수집된 상기 트래픽 정보와 상기 RF 신호 정보의 수집을 통하여 생성되는 엑세스 포인트(Access Point: AP)에 대한 상세 정보를 무선 네트워크 장비 별로 매핑한다.
상기 보안 이벤트 정보 표시부는, 무선 네트워크에서 발생되어 수집된 상기 트래픽 정보로부터 주기 시간 동안의 분산도를 계산하여 네트워크의 이상 현상을 분류하고 표시한다.
상기 보안 이벤트 정보 표시부는, 하나 이상의 무선 네트워크 장비 위치를 3차원 기반으로 표시하는 위치 정보 표시 부분, 무선 네트워크 장비 별로 보안 상황을 표시하는 보안 상황 표시 부분 및 이상 현상이 발생한 무선 네트워크 장비에 대한 이상 현상을 유형에 따라 분류하여 표시하는 이상 현상 표시 부분 중 하나 이상을 표시한다.
상기 보안 상황 표시 부분은, 엑세스 포인트 정보 표시창을 포함하며, 상기 억세스 포인트 정보 표시창은 엑세스 포인트(Access Point: AP)의 SSID(Service Set Identifier), ESSID(Extended Service Set Identifier), IP 정보, 현재 접속 호스트 수 정보, AP가 처음 패킷을 생성한 시간 정보 및 AP가 마지막 패킷을 생성한 시간 정보 중 하나 이상을 표시한다.
상기 보안 이벤트 정보 표시부는, 반원 또는 원을 N개의 영역으로 나누어서 무선 채널을 할당하고, 엑세스 포인트와의 거리를 반지름으로 표현하며, 엑세스 포인트 관련 정보를 식별력 있는 도형과 글자 표현하여, 상기 RF 신호 정보 수집을 통해서 획득한 데이터를 표시한다.
상기 보안 이벤트 정보 표시부는, 상기 반원 또는 원의 외곽에 각 채널에서 발생한 통계 정보를 식별력 있는 도형과 글자로 표시한다.
본 발명에 따르면, 무선 네트워크에서 RF 신호 정보와 보안 이벤트 정보를 수집하고 수집된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석 및 매핑하여 표시함으로써, 네트워크 관리자가 현재 무선 네트워크의 보안 상황을 직관적으로 인지할 수 있다.
특히, 무선 네트워크를 구성하는 장비의 물리적 위치 정보, 무선 네트워크 장비 별 보안 상황 정보 및 이상 현상이 발생한 무선 네트워크 장비의 이상 현상 정보를 정보 시각화 기법을 사용하여 효과적으로 표현함으로써, 네트워크 관리자가 무선 네트워크에서 발생한 이상 현상을 빠르게 인지하여 대응할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명한다.
도 1은 본 발명에 따른 무선 네트워크에서 보안 상황 감시 시스템을 나타낸 도면이다.
도 1을 참조하면, 무선 네트워크에서 보안 상황 감시 시스템은 무선 정보 단말 장치(124, 126, 128, 134, 136, 138), 무선 정보 단말 장치와 무선으로 접속된 무선 네트워크 장비(122, 132), 보안 이벤트 수집기(120, 130), RF 신호 수집기(110, 112, 114) 및 보안 상황 감시 장치(100)를 포함하며, 보안 상황 감시 장치(100)는 보안 이벤트 수집부(102), RF 신호 수집부(104), 보안 이벤트 정보 매핑부(106) 및 보안 이벤트 정보 표시부(108)를 포함한다.
이때, 보안 상황 감시 장치(100)는 TCP(Transmission Control Protocol) 또 는 UDP(User Datagram Protocol) 등의 프로토콜을 이용하여, 유선 또는 무선으로 보안 이벤트 수집기(120, 130) 및 RF 신호 수집기(110, 112, 114)와 통신을 수행할 수 있으며, 데이터베이스를 통해 데이터를 수신할 수 있다.
보안 이벤트 수집부(102)는 무선 네트워크 장비로부터 발생되는 트래픽을 수집하는 보안 이벤트 수집기(120, 130)로부터 Netflow, sflow 등의 트래픽 데이터와 무선 침입 탐지 시스템 등의 무선 보안 장비에서 생성되는 경보 데이터를 수집한다. 보안 이벤트 수집부(102)에서 수집되는 데이터는 트래픽의 근원지 IP 정보, 목적지 IP 정보, 근원지 포트 번호, 목적지 포트 번호, 프로토콜 정보 등을 포함한다.
RF 신호 수집부(104)는 다수의 RF 신호 수집기(110, 112, 114)가 RF 신호 감시를 통하여 획득하는 RF 신호 정보를 수신한다. RF 신호 감시를 통하여 얻어지는 정보는 무선 엑세스 포인트(Access Point: AP)에 관련된 SSID(Service Set Identifier), AP의 MAC(Media Access Control) 주소, 사용하는 채널 정보, 발생되는 패킷의 양 등의 정보와 무선 채널 별 발생되는 패킷의 양, CRC(Cyclic Redundancy Check) 에러, ICV(Integrity Check Value) 에러 등의 정보 및 무선 AP와 연결된 호스트의 IP 및 MAC 주소 정보 등이 있다.
보안 이벤트 정보 매핑부(106)는 RF 신호 수집부(104)에서 제공받은 RF 신호 정보들을 통합하여 무선 네트워크 장비 별로 통합한다. 또한, 보안 이벤트 정보 매핑부(106)는 보안 이벤트 수집부(102)로부터 제공받은 보안 이벤트 정보와 무선 네트워크 장비 별로 생성된 RF 신호 정보의 연관성을 분석 및 매핑하여 보안 이벤트 정보 표시부(108)로 제공한다.
예를 들어, 보안 이벤트 정보 매핑부(106)는 RF 신호 정보에 포함된 엑세스 포인트 관련 정보와, 각 보안 이벤트 정보를 전송하는 보안 이벤트 수집기의 관련 엑세스 포인트 정보를 참조하여 연관성을 분석할 수 있다.
보안 이벤트 정보 표시부(108)는 보안 이벤트 정보 매핑부(106)로부터 제공된 매핑 결과를 화면상에 표시하고, 보안 이벤트를 분석하여 이상 현상의 유형 별로 분류하여 화면상에 표시한다. 또한 무선 네트워크의 구조를 3차원 공간으로 표현할 수 있다.
도 2는 본 발명에 따른 무선 네트워크에서 보안 상황 감시 장치의 내부 구성을 나타낸 블록도이다.
도 2를 참조하면, 본 발명에 따른 무선 네트워크에서 보안 상황 감시 장치(200)는 보안 이벤트 수집부(210), RF 신호 수집부(220), 보안 이벤트 정보 매핑부(230) 및 보안 이벤트 정보 표시부(240)를 포함하되, 보안 이벤트 수집부(210)는 보안 이벤트 수집 모듈(212), 보안 이벤트 정규화 모듈(214)을 포함하고, RF 신호 수집부(220)는 RF 신호 수집 모듈(222), RF 신호 정규화 모듈(224)을 포함하고, 보안 이벤트 정보 매핑부(230)는 이벤트 정보 매핑 모듈(232), RF 신호 통합 모듈(234)를 포함하며, 보안 이벤트 정보 표시부(240)는 이상 현상 탐지 모듈(242), 보안 이벤트 정보 표시 모듈(244)을 포함한다.
보안 이벤트 수집 모듈(212)은 TCP 또는 UDP 등의 네트워크 통신 또는 데이터베이스를 통하여 다양한 보안 이벤트 정보를 전송 받은 후, 보안 이벤트 정규화 모듈(214)로 제공한다. 보안 이벤트 정규화 모듈(214)은 수집된 보안 이벤트 정보들을 하나의 통일된 포맷으로 정규화한 후, 이벤트 정보 매핑 모듈(232)로 제공한다.
RF 신호 수집 모듈(222)은 TCP 또는 UDP 등의 네트워크 통신 또는 데이터베이스를 통하여 RF 신호 감시를 통해서 획득된 RF 신호 정보를 전송 받은 후, RF 신호 정규화 모듈(224)로 제공한다. RF 신호 정규화 모듈(224)은 제공받은 RF 신호 정보로부터 필요한 정보들을 추출하여 하나의 통일된 포맷으로 정규화한 후, RF 신호 통합 모듈(234)로 제공한다.
RF 신호 통합 모듈(234)은 RF 신호 정규화 모듈(224)로부터 제공받은 데이터들을 무선 네트워크 장비 별로 통합한다. RF 신호 정보는 RF 신호 감시를 통해서 생성되기 때문에, 하나의 무선 네트워크 장비에서 발생하는 RF 신호 정보가 다수의 RF 신호 수집기를 통해 획득될 수 있다. 따라서, RF 신호 감시를 통해서 획득되는 RF 신호 정보는 무선 네트워크 장비 별로 통합되어야 한다. 예를 들어, 하나의 무선 네트워크 장비(x)에 의해서 발생되는 정보가 n개의 속성을 가지고 있고, k개의 RF 신호 수집기에 의해서 획득되는 경우 다음 수식에 의해서 무선 네트워크 장비에 대한 속성이 결정된다.
Xn 은 무선 네트워크 장비에 대한 속성이고, F는 RF 신호 정보를 통합하는 함수이고, n은 하나의 무선 네트워크 장비에 의해서 발생되는 정보의 속성 개수이고, k는 RF 신호 수집기의 개수를 나타낸다.
RF 신호 정보를 통합하는 함수 F는 입력값 중에서 유일한 값을 추출하는 함수, 또는 평균 함수, 또는 가중치의 평균 함수 등이 사용될 수 있다.
RF 신호 통합 모듈(234)에 의해 통합된 RF 신호 정보는 이벤트 정보 매핑 모듈(232)로 전달된다.
이벤트 정보 매핑 모듈(232)은 RF 신호 통합 모듈(234)과 보안 이벤트 정규화 모듈(214)로부터 제공받은 데이터들의 연관성을 분석하여 매핑한다. 보안 이벤트 정규화 모듈(214)로부터 제공받은 데이터에는 IP 주소가 있어서 트래픽의 흐름을 파악 할 수 있으며, RF 신호 정보를 통해 AP의 현재 상태에 대한 상세한 정보를 얻을 수 있다. 따라서, 무선 AP별로 생성된 트래픽 정보와 RF 신호 감시를 통해 획득된 AP에 대한 상세 정보를 매핑하여 통합된 정보로 생성하면 네트워크 관리자는 트래픽의 흐름에 따른 특성뿐만 아니라 AP에 상태에 대한 정보를 동시에 얻을 수 있다. 이벤트 정보 매핑 모듈(232)에서 생성된 정보는 이상 현상 탐지 모듈(242)과 보안 이벤트 정보 표시 모듈(244)로 전달된다.
이상 현상 탐지 모듈(242)은 이벤트 정보 매핑 모듈(232)로부터 제공받은 이벤트 정보를 무선 네트워크 장비 별로 분석하여 이상 현상을 판단하는 기능을 수행하며, 이상 현상이 발생한 무선 네트워크 장비 정보를 보안 이벤트 정보 표시 모듈(244)에 알려준다.
보안 이벤트 정보 표시 모듈(244)은 현재 무선 네트워크 장비 및 무선 단말 의 위치를 3차원 공간에 표현하고, 이벤트 정보 매핑 모듈(232)로부터 제공받은 이벤트 정보를 화면에 표시한다. 즉, 보안 이벤트 정보 표시 모듈(244)은 현재 무선 네트워크 장비의 위치를 GIS(Geographical Information System) 기반으로 표시할 수 있다. 또한, 보안 이벤트 정보 표시 모듈(244)은 이상 현상 탐지 모듈(242)로부터 이상 현상이 발생한 무선 네트워크 장비 정보를 제공받은 경우, 관리자가 인지하기 쉽도록 화면상에 표시한다.
도 3은 본 발명에 따른 하나의 무선 네트워크 장비에 대한 트래픽 정보 분석 결과와 RF 신호 정보를 동시에 표현하는 화면을 나타낸 도면이다.
도 3을 참조하면, 무선 네트워크 장비에서 발생한 트래픽 정보에 대해서 주기 시간 T 동안 근원지 IP, 근원지 포트 번호, 목적지 포트 번호, 목적지 IP, 트래픽의 개수에 대해서 각각의 분산도를 계산하게 된다.
근원지 IP 분산도(310)는 전체 이벤트 중에서 유일한 값을 가지는 근원지 IP의 비율로 계산한다. 예를 들어, 전체 트래픽의 수가 100일 때, 전체 트래픽 중 유일한 근원지 IP가 50개이면 근원지 IP분산도(310)는 0.5가 된다.
근원지 포트 번호 분산도(320), 목적지 포트 번호 분산도(330), 목적지 IP 분산도(340), 트래픽 개수에 대한 분산도(350)도 근원지 IP 분산도와 동일한 방법으로 계산되며, 이때, 분산도는 최소값 0, 최대값 1을 가진다.
제1 주기 시간 동안의 분산도가 막대 그래프로 표현되고, 제2 주기 시간 동안의 분산도(360), 제3 주기 시간 동안의 분산도(370)는 식별력을 가지는 라인으로 표현된다. 제2 주기 시간, 제3 주기 시간은 아래 수학식2를 통해 계산된다. n과 k 는 0보다 큰 정수 값을 가진다.
T"=k*T'
T는 제1 주기 시간을 나타내고, T'는 제2 주기 시간을 나타내고, T"는 제3 주기 시간을 나타내며, n과 k는 0보다 큰 임의의 정수 값이다.
네트워크 관리자는 주기 시간 별로 분산도의 분포를 통해서 네트워크의 이상 현상을 파악할 수 있다. 보안 이벤트 정보 표시부의 이상 현상 탐지 모듈은 상기 계산된 분산도와 주기 시간 별 분산도의 변화를 통하여 이상 현상을 탐지하게 된다.
RF 신호 수집을 통하여 획득된 정보는 AP 정보 표시창(380)을 통하여 표시된다. AP 정보 표시창(380)에 표시될 수 있는 정보는 AP의 SSID(Service Set Identifier), ESSID(Extended Service Set Identifier), IP 정보, 현재 접속 호스트의 수, AP가 처음 패킷을 생성한 시간, AP가 마지막으로 패킷을 생성한 시간 등의 정보이다. 이와 같이, 트래픽의 분석 정보와 RF 신호 수집을 통하여 획득된 정보를 동시에 표현함으로써, 네트워크 관리자는 무선 네트워크 장비에 대한 상세 정보를 보다 신속하게 인지할 수 있다.
도 4는 본 발명의 일 실시예에 따른 무선 네트워크에서 보안 상황 표시 화면을 나타낸 도면이다.
도 4를 참조하면, 본 발명에 의해서 표시되는 화면은 3차원 기반의 건물 정 보를 바탕으로 무선 네트워크의 장비 및 호스트를 표시하는 위치 정보 표현 부분, 관리 대상이 되는 무선 네트워크 장비 별 보안 상황을 표현하는 부분, 이상 현상이 발생한 무선 네트워크 장비를 발생 유형에 따라 분류하여 표시하는 부분으로 구성된다.
위치 정보 표현 부분은 3차원 건물이 다수의 층으로 구성되며, 사용자의 선택에 따라서 다수의 건물로 구성될 수 있다. 위치 정보 표현 부분에서는 이상 현상이 발생한 무선 네트워크 장비 또는 호스트를 식별력 있는 도형과 글자로 표현할 수 있다.
무선 네트워크 장비 별 보안 상황을 표현하는 부분은 도 3에서 제시된 방법을 통하여 표시하며, RF 신호 수집을 통하여 추출한 특성 정보 및 트래픽에 관련된 정보를 식별력 있게 표현할 수 있다.
이상 현상 발생 유형에 따라 분류하여 표시하는 부분은 예를 들어, Ddos, Worm, HostScan, PortScan 등과 같은 이상 현상을 발생 유형을 분류하여 표시한다.
한편, 본 발명에 의해서 표시되는 화면은 무선 네트워크 장비에 한정하지 않고, 유선 네트워크 장비 및 호스트를 표시하는 위치 정보 표현 부분, 관리 대상이 되는 유선 네트워크 장비 별 보안 상황을 표현하는 부분, 이상 현상이 발생한 유선 네트워크 장비를 발생 유형에 따라 분류하여 표시하는 부분을 포함할 수 있다.
도 5는 본 발명의 다른 실시예에 따른 무선 네트워크에서 보안 상황 표시 화면을 나타낸 도면이다.
도 5를 참조하면, 본 발명에 의해서 표시되는 화면은 반원을 N개로 나누어서 채널로 할당하고, 반지름을 거리로 매핑하여 현재 AP의 거리 및 사용하는 채널로 AP의 위치를 표현한다. AP의 거리는 무선 패킷의 시그널 강도를 사용하여 계산한다. AP가 발생하는 패킷의 양, 현재 접속되어 있는 호스트의 수, 데이터 암호화의 사용 여부 및 암호화 방법 등의 정보를 식별력 있는 도형과 글자로 표현한다. 반원의 외곽에는 각 채널에서 발생하는 패킷의 통계 정보를 식별력 있는 도형과 글자로 표현한다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한, 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 용이하게 추론될 수 있다.
이상에서 본 발명의 바람직한 실시예에 대해 도시하고 설명하였으나, 본 발명은 상술한 특정의 바람직한 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변경 은 청구범위 기재의 범위 내에 있게 된다.
도 1은 본 발명에 따른 무선 네트워크에서 보안 상황 감시 시스템을 나타낸 도면.
도 2는 본 발명에 따른 무선 네트워크에서 보안 상황 감시 장치의 내부 구성을 나타낸 블록도.
도 3은 본 발명에 따른 하나의 무선 네트워크 장비에 대한 트래픽 정보 분석 결과와 RF 신호 정보를 동시에 표현하는 화면을 나타낸 도면.
도 4는 본 발명의 일 실시예에 따른 무선 네트워크에서 보안 상황 표시 화면을 나타낸 도면.
도 5는 본 발명의 다른 실시예에 따른 무선 네트워크에서 보안 상황 표시 화면을 나타낸 도면.
Claims (10)
- 하나 이상의 RF 신호 정보를 수집하는 RF 신호 수집부;트래픽 정보, 경보 정보 중 하나 이상을 포함하는 보안 이벤트 정보를 수집하는 보안 이벤트 수집부;상기 수집된 RF 신호 정보와 상기 보안 이벤트 정보의 연관성을 분석하여 매핑하는 보안 이벤트 정보 매핑부; 및상기 매핑된 보안 이벤트 정보를 표시하는 보안 이벤트 정보 표시부를 포함하는 무선 네트워크에서 보안 상황 감시 장치.
- 제 1항에 있어서,상기 보안 이벤트 정보 매핑부는,하나 이상의 RF 신호 수집기로부터 RF 신호 정보를 수신하여 상기 RF 신호 정보를 수집하고, 상기 수집된 하나 이상의 RF 신호 정보를 무선 네트워크 장비 별로 통합하며, 상기 무선 네트워크 장비 별로 통합된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석하여 매핑하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
- 제 1항에 있어서,상기 보안 이벤트 정보 매핑부는,무선 네트워크에서 발생되어 수집된 상기 트래픽 정보와 상기 RF 신호 정보의 수집을 통하여 생성되는 엑세스 포인트(Access Point: AP)에 대한 상세 정보를 무선 네트워크 장비 별로 매핑하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
- 제 1항에 있어서,상기 보안 이벤트 정보 표시부는,무선 네트워크에서 발생되어 수집된 상기 트래픽 정보로부터 주기 시간 동안의 분산도를 계산하여 네트워크의 이상 현상을 분류하고 표시하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
- 제 1항에 있어서,상기 보안 이벤트 정보 표시부는,하나 이상의 무선 네트워크 장비 위치를 3차원 기반으로 표시하는 위치 정보 표시 부분, 무선 네트워크 장비 별로 보안 상황을 표시하는 보안 상황 표시 부분 및 이상 현상이 발생한 무선 네트워크 장비에 대한 이상 현상을 유형에 따라 분류하여 표시하는 이상 현상 표시 부분 중 하나 이상을 표시하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
- 제 5항에 있어서,상기 보안 상황 표시 부분은, 억세스 포인트 정보 표시창을 포함하며,상기 억세스 포인트 정보 표시창은 엑세스 포인트(Access Point: AP)의 SSID(Service Set Identifier), ESSID(Extended Service Set Identifier), IP 정보, 현재 접속 호스트 수 정보, AP가 처음 패킷을 생성한 시간 정보 및 AP가 마지막 패킷을 생성한 시간 정보 중 하나 이상을 표시하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
- 제 1항에 있어서,상기 보안 이벤트 정보 표시부는,반원 또는 원을 N개의 영역으로 나누어서 무선 채널을 할당하고, 엑세스 포인트와의 거리를 반지름으로 표현하며, 엑세스 포인트 관련 정보를 식별력 있는 도형과 글자 표현하여, 상기 RF 신호 정보 수집을 통해서 획득한 데이터를 표시하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
- 제 7항에 있어서,상기 보안 이벤트 정보 표시부는,상기 반원 또는 원의 외곽에 각 채널에서 발생한 통계 정보를 식별력 있는 도형과 글자로 표시하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
- 제 1항에 있어서,상기 RF 신호 정보는,엑세스 포인트(Access Point: AP)의 SSID(Service Set Identifier), AP의 MAC(Media Access Control) 주소, 사용 채널 정보, 발생 패킷의 양, 무선 채널 별 발생 패킷의 양, CRC(Cyclic Redundancy Check) 에러, ICV(Integrity Check Value) 에러, AP와 접속된 호스트 IP 및 호스트 MAC 주소 정보 중 하나 이상을 포함하는 것을 특징으로 무선 네트워크에서 보안 상황 감시 장치.
- 제 1항에 있어서,상기 보안 이벤트 정보는,트래픽의 근원지 IP 정보, 목적지 IP 정보, 근원지 포트 번호, 목적지 포트 번호 및 프로토콜 정보 중 하나 이상을 포함하는 것을 특징으로 하는 무선 네트워크에서 보안 상황 감시 장치.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080131716A KR101003104B1 (ko) | 2008-12-22 | 2008-12-22 | 무선 네트워크에서 보안 상황 감시 장치 |
US12/482,716 US20100162392A1 (en) | 2008-12-22 | 2009-06-11 | Apparatus and method for monitoring security status of wireless network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080131716A KR101003104B1 (ko) | 2008-12-22 | 2008-12-22 | 무선 네트워크에서 보안 상황 감시 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100073125A true KR20100073125A (ko) | 2010-07-01 |
KR101003104B1 KR101003104B1 (ko) | 2010-12-21 |
Family
ID=42268117
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080131716A KR101003104B1 (ko) | 2008-12-22 | 2008-12-22 | 무선 네트워크에서 보안 상황 감시 장치 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20100162392A1 (ko) |
KR (1) | KR101003104B1 (ko) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140007615A (ko) * | 2012-07-09 | 2014-01-20 | 한국전자통신연구원 | 네트워크 보안 상황 시각화 방법 및 그 장치 |
KR20150115175A (ko) * | 2014-04-03 | 2015-10-14 | 한국전자통신연구원 | 무선 디바이스의 rf 특징 수집 장치 및 방법 |
KR102038927B1 (ko) * | 2018-11-17 | 2019-10-31 | 한국과학기술정보연구원 | 공격자 가시화 장치 및 공격자 가시화 장치의 동작 방법 |
KR102038926B1 (ko) * | 2018-11-17 | 2019-11-15 | 한국과학기술정보연구원 | 공격자 선정 장치 및 공격자 선정 장치의 동작 방법 |
WO2020091170A1 (ko) * | 2018-11-02 | 2020-05-07 | 고려대학교 산학협력단 | 협력 재밍과 스푸핑을 이용한 무선 통신 채널 감시 시스템 및 방법 |
KR102125440B1 (ko) * | 2020-04-01 | 2020-06-22 | 주식회사 이글루시큐리티 | 보안 관제 인터페이스 제공 방법 및 그 장치 |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8904522B1 (en) * | 2010-09-16 | 2014-12-02 | Rockwell Collins, Inc. | Universal communications gateway |
US8973147B2 (en) * | 2011-12-29 | 2015-03-03 | Mcafee, Inc. | Geo-mapping system security events |
KR20140035600A (ko) * | 2012-09-14 | 2014-03-24 | 한국전자통신연구원 | 무선 침입방지 동글 장치 |
US9830458B2 (en) * | 2014-04-25 | 2017-11-28 | Symantec Corporation | Discovery and classification of enterprise assets via host characteristics |
US9813484B2 (en) | 2014-12-31 | 2017-11-07 | Motorola Solutions, Inc. | Method and apparatus analysis of event-related media |
US9615255B2 (en) * | 2015-04-29 | 2017-04-04 | Coronet Cyber Security Ltd | Wireless communications access security |
US10235523B1 (en) | 2016-05-10 | 2019-03-19 | Nokomis, Inc. | Avionics protection apparatus and method |
CN108494727A (zh) * | 2018-02-06 | 2018-09-04 | 成都清华永新网络科技有限公司 | 一种用于网络安全管理的安全事件闭环处理方法 |
JP7069399B2 (ja) * | 2018-07-18 | 2022-05-17 | ビットディフェンダー アイピーアール マネジメント リミテッド | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 |
US11310206B2 (en) | 2019-08-06 | 2022-04-19 | Kyndryl, Inc. | In-line cognitive network security plugin device |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040049698A1 (en) * | 2002-09-06 | 2004-03-11 | Ott Allen Eugene | Computer network security system utilizing dynamic mobile sensor agents |
WO2006029399A2 (en) * | 2004-09-09 | 2006-03-16 | Avaya Technology Corp. | Methods of and systems for network traffic security |
GB0428533D0 (en) * | 2004-12-30 | 2005-02-09 | Nokia Corp | Presence services in a wireless communications network |
US8205244B2 (en) * | 2007-02-27 | 2012-06-19 | Airdefense, Inc. | Systems and methods for generating, managing, and displaying alarms for wireless network monitoring |
KR100874015B1 (ko) * | 2007-06-11 | 2008-12-17 | 스콥정보통신 주식회사 | 무선랜 침입 방지 시스템 및 방법 |
CN101884212B (zh) * | 2007-10-18 | 2013-11-20 | 意大利电信股份公司 | 用于在用户手机上显示用户相关信息的方法和系统 |
-
2008
- 2008-12-22 KR KR1020080131716A patent/KR101003104B1/ko not_active IP Right Cessation
-
2009
- 2009-06-11 US US12/482,716 patent/US20100162392A1/en not_active Abandoned
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140007615A (ko) * | 2012-07-09 | 2014-01-20 | 한국전자통신연구원 | 네트워크 보안 상황 시각화 방법 및 그 장치 |
KR20150115175A (ko) * | 2014-04-03 | 2015-10-14 | 한국전자통신연구원 | 무선 디바이스의 rf 특징 수집 장치 및 방법 |
US9681330B2 (en) | 2014-04-03 | 2017-06-13 | Electronics And Telecommunications Research Institute | Apparatus and method for collecting radio frequency feature of wireless device in wireless communication apparatus |
WO2020091170A1 (ko) * | 2018-11-02 | 2020-05-07 | 고려대학교 산학협력단 | 협력 재밍과 스푸핑을 이용한 무선 통신 채널 감시 시스템 및 방법 |
US11722239B2 (en) | 2018-11-02 | 2023-08-08 | Korea University Research And Business Foundation | System and method for monitoring wireless communication channel by using cooperative jamming and spoofing |
KR102038927B1 (ko) * | 2018-11-17 | 2019-10-31 | 한국과학기술정보연구원 | 공격자 가시화 장치 및 공격자 가시화 장치의 동작 방법 |
KR102038926B1 (ko) * | 2018-11-17 | 2019-11-15 | 한국과학기술정보연구원 | 공격자 선정 장치 및 공격자 선정 장치의 동작 방법 |
KR102125440B1 (ko) * | 2020-04-01 | 2020-06-22 | 주식회사 이글루시큐리티 | 보안 관제 인터페이스 제공 방법 및 그 장치 |
Also Published As
Publication number | Publication date |
---|---|
US20100162392A1 (en) | 2010-06-24 |
KR101003104B1 (ko) | 2010-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101003104B1 (ko) | 무선 네트워크에서 보안 상황 감시 장치 | |
CN112651006B (zh) | 一种电网安全态势感知系统 | |
US20100262873A1 (en) | Apparatus and method for dividing and displaying ip address | |
CN102340485B (zh) | 基于信息关联的网络安全态势感知系统及其方法 | |
KR100925176B1 (ko) | 지리 정보를 이용한 네트워크 상태 표시장치 및 방법 | |
CN105577679A (zh) | 一种基于特征选择与密度峰值聚类的异常流量检测方法 | |
KR20150091775A (ko) | 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 | |
CN104852927A (zh) | 基于多源异构的信息安全综合管理系统 | |
CN113612763B (zh) | 基于网络安全恶意行为知识库的网络攻击检测装置和方法 | |
CN103532776A (zh) | 业务流量检测方法及系统 | |
CA2430571A1 (en) | Flow-based detection of network intrusions | |
CN110138770B (zh) | 一种基于物联网威胁情报生成和共享系统及方法 | |
CN107277443A (zh) | 一种大范围周边安全监控方法和系统 | |
CN109104438A (zh) | 一种窄带物联网中的僵尸网络预警方法及装置 | |
CN112363443A (zh) | 一种数据中心的自动化监控方法及系统 | |
KR20140080738A (ko) | 빌딩 통합 운영 관리 서버 및 그 관리 방법 | |
US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
Valtorta et al. | A clustering approach for profiling LoRaWAN IoT devices | |
Garlisi et al. | Exploratory approach for network behavior clustering in LoRaWAN | |
Hamza et al. | Combining device Behavioral models and building schema for cybersecurity of large-scale IoT infrastructure | |
CN106100875A (zh) | 基于地理信息系统的网络管理系统及网络管理方法 | |
Chowdhury et al. | Packet-level and IEEE 802.11 MAC frame-level analysis for IoT device identification | |
CN116362445B (zh) | 一种面向多终端的智慧城市数字孪生地图管理系统 | |
CN114244727A (zh) | 一种电力物联网通信全景图即时生成方法及系统 | |
Abad et al. | Correlation between netflow system and network views for intrusion detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20131128 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20151127 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20161121 Year of fee payment: 7 |
|
LAPS | Lapse due to unpaid annual fee |