KR20130019892A - Method and wips for security of wireless network - Google Patents

Method and wips for security of wireless network Download PDF

Info

Publication number
KR20130019892A
KR20130019892A KR1020110082178A KR20110082178A KR20130019892A KR 20130019892 A KR20130019892 A KR 20130019892A KR 1020110082178 A KR1020110082178 A KR 1020110082178A KR 20110082178 A KR20110082178 A KR 20110082178A KR 20130019892 A KR20130019892 A KR 20130019892A
Authority
KR
South Korea
Prior art keywords
wireless terminal
wireless
predefined
internal
signal
Prior art date
Application number
KR1020110082178A
Other languages
Korean (ko)
Inventor
주문돈
Original Assignee
주식회사 퓨쳐시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 퓨쳐시스템 filed Critical 주식회사 퓨쳐시스템
Priority to KR1020110082178A priority Critical patent/KR20130019892A/en
Publication of KR20130019892A publication Critical patent/KR20130019892A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/04Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PURPOSE: A wireless network security method and a wireless intrusion prevention system are provided to determine clearance for an AP(Access Point) according to a tracked location by tracking the location of a terminal which accesses to a wireless network. CONSTITUTION: A determination unit(140) confirms an MAC(Medium Access Control) address of a wireless terminal. The determination unit determines the wireless terminal based on the confirmed MAC address. When the wireless terminal does not belong to defined groups, the determination unit determines the location of the wireless terminal. When the wireless terminal is located in the defined location, a control unit(150) blocks other AP which is different from the defined AP. [Reference numerals] (110) Signal sensing unit; (120) Comparing unit; (130) Storing unit; (131) Internal group list storing unit; (132) External group list storing unit; (133) Internal signal characteristic storing unit; (134) External signal characteristic storing unit; (140) Determination unit; (150) Control unit

Description

무선 네트워크 보안 방법 및 무선침입방지시스템{Method and WIPS for security of wireless network}Wireless network security method and wireless intrusion prevention system {Method and WIPS for security of wireless network}

본 발명은 무선 네트워크 보안 방법 및 무선침입방지시스템에 관한 것으로, 보다 상세하게는 네트워크에 접속하고자 하는 단말기의 위치에 따라 접속을 허용하거나 차단함으로써 무선 네트워크의 보안을 강화하는 무선 네트워크 보안 방법 및 무선침입방지시스템에 관한 것이다.The present invention relates to a wireless network security method and a wireless intrusion prevention system, and more particularly, to a wireless network security method and a wireless intrusion for enhancing the security of the wireless network by allowing or blocking access according to the location of the terminal to access the network. It is about a prevention system.

유선 네트워크의 경우에는 단말기가 유선 케이블을 통해 네트워크에 접속하는 것이므로, 단말기의 물리적 위치가 고정된다. 그러므로, 네트워크 보안 문제가 크게 우려할 수준이 아니었다.In the case of a wired network, since the terminal accesses the network through a wired cable, the physical location of the terminal is fixed. Therefore, network security issues were not of great concern.

하지만, 무선 네트워크의 경우에는 단말기가 유선 케이블을 통해 네트워크에 접속하는 것이 아니라, 어떠한 물리적 연결이 개입되지 않고 현재 위치에서 사용자가 선택적으로 네트워크에 접속할 수 있다.However, in the case of a wireless network, the terminal does not access the network through a wired cable, but the user may selectively access the network at the current location without any physical connection.

한편, 회사 내부 또는 건물 내부에 위치한 단말기들 중에서, 허가 받지 않은 단말기들이 외부 AP를 이용하여 데이터를 송수신하는 경우에는 정보가 유출될 수 있는 문제가 있다.On the other hand, among terminals located inside a company or inside a building, there is a problem that information may leak when unauthorized terminals transmit and receive data using an external AP.

본 발명은 무선 네트워크에 접속하고자 하는 단말기의 위치를 추적하여 그에 따라 AP에 대한 사용 허가를 결정함으로써, 무선 네트워크의 보안을 강화하는 무선 네트워크 보안 방법 및 무선침입방지시스템을 제공함을 목적으로 한다.An object of the present invention is to provide a wireless network security method and a wireless intrusion prevention system for reinforcing security of a wireless network by tracking the location of a terminal to access a wireless network and determining a use permission for the AP accordingly.

본 발명의 일 실시예에 따르면, 무선 단말기의 맥 어드레스를 확인하는 단계; 상기 확인된 맥 어드레스에 기초하여 상기 무선 단말기가 기정의된 그룹들에 속한 단말기인지를 판단하는 단계; 상기 무선 단말기가 상기 기정의된 그룹들 중 어떤 그룹에도 속하지 않는 경우, 상기 무선 단말기가 기정의된 지역에 위치하는지를 판단하는 단계; 및 상기 무선 단말기가 상기 기정의된 지역에 위치하는 경우에는, 기정의한 AP(Access Point)들이 아닌 다른 AP들을 상기 무선 단말기가 사용하는 것을 차단하는 단계;를 포함하는 것을 특징으로 하는 무선 네트워크 보안 방법이 제공된다.According to one embodiment of the invention, the step of checking the MAC address of the wireless terminal; Determining whether the wireless terminal is a terminal belonging to predefined groups based on the confirmed MAC address; If the wireless terminal does not belong to any of the predefined groups, determining whether the wireless terminal is located in a predefined area; And when the wireless terminal is located in the predefined area, blocking the use of APs other than predefined access points (APs) by the wireless terminal. A method is provided.

상기 무선 단말기의 무선 신호를 감지하는 단계;를 더 포함하며, 상기 맥 어드레스를 확인하는 단계는, 상기 감지된 무선 신호의 세기가 기준 값 이상인 경우에 수행한다.The method may further include detecting a wireless signal of the wireless terminal, wherein the checking of the MAC address is performed when the intensity of the detected wireless signal is equal to or greater than a reference value.

상기 기정의된 그룹들 중 내부 그룹에 상기 무선 단말기가 속하는 경우, 상기 무선 단말기가 상기 기정의된 AP들을 사용하는지를 판단하는 단계; 및 상기 내부 그룹에 속한 무선 단말기가, 상기 기정의한 AP들이 아닌 다른 AP들을 사용하는 것을 차단하는 단계;를 더 포함한다.If the wireless terminal belongs to an internal group of the predefined groups, determining whether the wireless terminal uses the predefined APs; And blocking, by the wireless terminal belonging to the inner group, from using other APs than the predefined APs.

상기 기정의된 그룹들 중 외부 그룹에 상기 무선 단말기가 속하지 않는 경우, 상기 외부 그룹에 속한 무선 단말기가 기정의된 지역에 위치하는지를 판단하는 위치 판단 단계; 및 상기 외부 그룹에 속한 무선 단말기가 상기 기정의된 지역에 위치하는 경우에, 상기 기정의한 AP들이 아닌 다른 AP들을 사용하는 것을 차단하는 단계;를 더 포함한다.A location determining step of determining whether a wireless terminal belonging to the external group is located in a predefined area when the wireless terminal does not belong to an external group among the predefined groups; And if the wireless terminal belonging to the external group is located in the predefined area, blocking using other APs than the predefined APs.

상기 무선 단말기의 무선 신호를 감지하는 단계;를 더 포함하며, 상기 위치 판단 단계는, SVM(Support Vector Machine)을 사용하여, 상기 감지한 무선 신호의 특성과 기정의된 지역의 무선 신호 특성 데이터를 비교하여 상기 기정의된 지역에 위치된 것인지를 판단한다.Detecting a wireless signal of the wireless terminal; wherein the determining of the position comprises: using a support vector machine (SVM), the detected wireless signal characteristic and wireless signal characteristic data of a predetermined region; By comparison, it is determined whether it is located in the predefined area.

상기 기정의된 그룹들 각각에 대한 그룹 리스트들을 저장하는 단계;를 더 포함하며, 상기 그룹 리스트들은, 무선 단말기의 맥 어드레스를 포함하는 내부 그룹 리스트와, 무선 단말기의 맥 어드레스를 포함하는 외부 그룹 리스트를 포함하며, 상기 기정의된 그룹들에 속한 무선 단말기인지를 판단하는 단계는, 상기 확인된 맥 어드레스가 상기 내부 그룹 리스트 또는 외부 그룹 리스트에 포함되어 있는지 여부를 판단한다.Storing group lists for each of the predefined groups, wherein the group lists include an internal group list including a MAC address of the wireless terminal and an external group list including a MAC address of the wireless terminal The determining of whether a wireless terminal belongs to the predefined groups includes determining whether the identified MAC address is included in the internal group list or the external group list.

상기 내부 그룹 리스트에 포함된 무선 단말기들의 AP 신호 특성을 제1지역 무선 신호 특성 데이터로서 저장하는 단계; 및 상기 외부 그룹 리스트에 포함된 무선 단말기들의 AP 신호 특성을 제2지역 무선 신호 특성 데이터로서 저장하는 단계;를 더 포함하며, 상기 위치 판단 단계는, i) 상기 감지한 무선 신호의 특성과 ii) 상기 제1 지역 무선 신호 특성 데이터와 상기 제2 지역 무선 신호 특성 데이터 중 적어도 하나의 데이터를 비교하여, 상기 기정의된 지역에 위치되었는지 여부를 판단한다.Storing AP signal characteristics of wireless terminals included in the internal group list as first region wireless signal characteristic data; And storing AP signal characteristics of the wireless terminals included in the external group list as second region wireless signal characteristic data, wherein the location determining step includes: i) characteristics of the detected wireless signal; Comparing at least one of the first area radio signal characteristic data and the second area radio signal characteristic data, it is determined whether or not it is located in the predefined area.

한편, 본 발명의 다른 실시예에 따르면, 무선 단말기의 맥 어드레스를 확인하고, 상기 확인된 맥 어드레스에 기초하여 상기 무선 단말기가 기정의된 그룹들에 속한 단말기인지를 판단하며, 상기 무선 단말기가 상기 기정의된 그룹들 중 어떤 그룹에도 속하지 않는 경우, 상기 무선 단말기가 기정의된 지역에 위치하는지를 판단하는 판단부; 및 상기 무선 단말기가 상기 기정의된 지역에 위치하는 경우에는, 기정의한 AP(Access Point)들이 아닌 다른 AP들을 상기 무선 단말기가 사용하는 것을 차단하는 제어부;를 포함하는 것을 특징으로 하는 무선 네트워크 보안 서버가 제공된다.Meanwhile, according to another embodiment of the present invention, a MAC address of a wireless terminal is checked, and it is determined whether the wireless terminal belongs to a predefined group based on the confirmed MAC address, and the wireless terminal is A determination unit that determines whether the wireless terminal is located in a predefined area if it does not belong to any of the predefined groups; And when the wireless terminal is located in the predefined area, a controller which blocks the wireless terminal from using other APs other than the predefined access points. A server is provided.

상기 무선 단말기의 무선 신호를 감지하는 신호 감지부;를 더 포함하며, 상기 판단부는, 상기 감지된 무선 신호의 세기가 기준 값 이상인 경우에 맥 어드레스를 확인한다.And a signal detector for detecting a wireless signal of the wireless terminal, wherein the determination unit checks the MAC address when the detected intensity of the wireless signal is equal to or greater than a reference value.

상기 판단부는, 상기 기정의된 그룹들 중 내부 그룹에 상기 무선 단말기가 속하는 경우, 상기 무선 단말기가 상기 기정의된 AP들을 사용하는지를 판단하고, 상기 제어부는, 상기 내부 그룹에 속한 무선 단말기가, 상기 기정의한 AP들이 아닌 다른 AP들을 사용하는 것을 차단한다.The determination unit, when the wireless terminal belongs to an internal group of the predefined groups, determines whether the wireless terminal uses the predefined AP, the control unit, the wireless terminal belonging to the internal group, the Block the use of APs other than the predefined APs.

상기 판단부는, 상기 기정의된 그룹들 중 외부 그룹에 상기 무선 단말기가 속하지 않는 경우, 상기 외부 그룹에 속한 무선 단말기가 기정의된 지역에 위치하는지를 판단하고, 상기 제어부는, 상기 외부 그룹에 속한 무선 단말기가 상기 기정의된 지역에 위치하는 경우에, 상기 기정의한 AP들이 아닌 다른 AP들을 사용하는 것을 차단한다.If the wireless terminal does not belong to an external group of the predefined groups, the determination unit determines whether a wireless terminal belonging to the external group is located in a predetermined area, and the control unit is a wireless belonging to the external group When the terminal is located in the predefined area, it blocks the use of other APs than the predefined APs.

상기 무선 단말기의 무선 신호를 감지하는 신호 감지부;를 더 포함하며, 상기 판단부는, SVM(Support Vector Machine)을 사용하여, 상기 감지한 무선 신호의 특성과 기정의된 지역의 무선 신호 특성 데이터를 비교하여 상기 기정의된 지역에 위치된 것인지를 판단한다.And a signal detecting unit configured to detect a wireless signal of the wireless terminal, wherein the determination unit uses a SVM (Support Vector Machine) to determine characteristics of the detected wireless signal and wireless signal characteristic data of a predetermined region. By comparison, it is determined whether it is located in the predefined area.

상기 기정의된 그룹들 각각에 대한 그룹 리스트들을 저장하는 저장부;를 더 포함하며, 상기 그룹 리스트들은, 무선 단말기의 맥 어드레스를 포함하는 내부 그룹 리스트와, 무선 단말기의 맥 어드레스를 포함하는 외부 그룹 리스트를 포함하며, 상기 판단부는, 상기 기정의된 그룹들에 속한 무선 단말기인지를 판단하기 위하여, 상기 확인된 맥 어드레스가 상기 내부 그룹 리스트 또는 외부 그룹 리스트에 포함되어 있는지 여부를 판단한다.And a storage unit for storing group lists for each of the predefined groups, wherein the group lists include an internal group list including a MAC address of the wireless terminal and an external group including a MAC address of the wireless terminal. And a list, wherein the determining unit determines whether the identified MAC address is included in the internal group list or the external group list to determine whether the wireless terminal belongs to the predefined groups.

상기 저장부는, 상기 내부 그룹 리스트에 포함된 무선 단말기들의 AP 신호 특성을 제1지역 무선 신호 특성 데이터로서 저장하고, 상기 외부 그룹 리스트에 포함된 무선 단말기들의 AP 신호 특성을 제2지역 무선 신호 특성 데이터로서 저장하며, 상기 판단부는, 상기 제1 지역 무선 신호 특성 데이터와 상기 제2 지역 무선 신호 특성 데이터 중 적어도 하나와 상기 감지한 무선 신호의 특성을 비교하여, 상기 기정의된 지역에 위치되었는지 여부를 판단한다.The storage unit stores the AP signal characteristics of the wireless terminals included in the internal group list as first region wireless signal characteristic data, and stores the AP signal characteristics of the wireless terminals included in the external group list as second region wireless signal characteristic data. The determination unit may compare the at least one of the first local radio signal characteristic data and the second local radio signal characteristic data with the sensed characteristics of the detected radio signal to determine whether it is located in the predefined area. To judge.

본 발명의 실시예에 따르면, 네트워크에 접속하고자 하는 단말기의 위치를 추적하여 그에 따라 능동적으로 AP로의 접속을 차단하거나 허가함으로써, 무선 네트워크의 보안을 강화시킬 수 있는 효과가 있다.According to an embodiment of the present invention, by tracking the location of the terminal to be connected to the network and actively blocking or allowing access to the AP, there is an effect that can enhance the security of the wireless network.

도 1은 본 발명의 실시예에 따른 네트워크 보안 서버를 설명하기 위한 도면,
도 2는 본 발명의 실시예에 따른 네트워크 보안 서버의 기능 블럭도, 그리고,
도 3은 본 발명의 실시예에 따른 무선 네트워크 보안 방법을 설명하기 위한 흐름도이다.1 is a view for explaining a network security server according to an embodiment of the present invention;
2 is a functional block diagram of a network security server according to an embodiment of the present invention, and
3 is a flowchart illustrating a wireless network security method according to an embodiment of the present invention.

이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. 본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 게재될 수도 있다는 것을 의미한다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features, and advantages of the present invention will become more readily apparent from the following description of preferred embodiments with reference to the accompanying drawings. However, the present invention is not limited to the embodiments described herein but may be embodied in other forms. Rather, the embodiments disclosed herein are provided so that the disclosure can be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. In this specification, when an element is referred to as being on another element, it means that it can be formed directly on the other element, or a third element may be placed therebetween.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. The terms "comprises" and / or "comprising" used in the specification do not exclude the presence or addition of one or more other elements.

이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다. Hereinafter, the present invention will be described in detail with reference to the drawings. In describing the specific embodiments below, various specific details have been set forth in order to explain the invention in greater detail and to assist in understanding it. However, those skilled in the art can understand that the present invention can be used without these various specific details. In some cases, it is mentioned in advance that parts of the invention which are commonly known in the description of the invention and which are not highly related to the invention are not described in order to prevent confusion in explaining the invention without cause.

먼저, 본 실시예에서 사용되는 용어들을 정의한다.First, terms used in the present embodiment are defined.

- 내부: 기정의된 지역으로서, 예를 들어, 특정 네트워크를 사용하는 특정 영역 혹은 건물을 의미한다. 통상, 하나의 네트워크는 네트워크를 사용할 수 있는 범위가 지정되어 있다. 예를 들면, AA사의 사내 네트워크의 경우, 네트워크를 사용할 수 있는 범위는 AA사의 건물 전체에 해당할 것이다.-Internal: A predefined area, for example, a specific area or building that uses a specific network. Typically, one network has a range in which the network can be used. For example, in the case of AA's in-house network, the extent to which the network can be used would correspond to the entire AA building.

- 외부: 기정의된 지역 외의 지역으로서, 주로 내부에 인접하는 지역일 수 있다.Outside: Areas outside of the predefined area, which may be primarily adjacent to the inside.

- 내부 AP(Access Point): 내부에 위치한 AP-Internal AP (Access Point): AP located inside

- 외부 AP: 외부에 위치한 APExternal AP: Externally located AP

- 내부 단말기: 내부에 위치하는 무선 단말기로서, 내부 그룹 리스트 또는 외부 그룹 리스트에 정의되어 있을 수 있다.-Internal terminal: A wireless terminal located inside, which may be defined in an internal group list or an external group list.

- 외부 단말기: 외부에 위치하는 무선 단말기로서, 내부 그룹 리스트 또는 외부 그룹 리스트에 정의되어 있거나, 어느 하나의 리스트에도 정의되어 있지 않을 수 있다.-External terminal: An external terminal located externally, which may be defined in the internal group list or the external group list, or not in any of the lists.

- 내부 그룹 리스트: 내부 그룹에서 사용이 허가된 단말기들의 목록-Internal group list: list of terminals allowed to use in internal group

- 내부 그룹 리스트에 포함된 단말기: 내부 그룹 리스트에서 정의한 단말기로서, 예를 들어, 회사에서의 사용이 허가된 단말기일 수 있다. 따라서, 원칙적으로는 내부 그룹 리스트에 속한 단말기만이 내부에서 내부 AP들을 사용할 수 있다.A terminal included in the internal group list: The terminal defined in the internal group list, for example, may be a terminal permitted for use in a company. Therefore, in principle, only terminals belonging to the internal group list can use the internal APs internally.

- 외부 그룹 리스트: 내부가 아닌 인근 지역에서 사용되나 수시로 신호가 감지되는 단말기들의 목록-External group list: A list of terminals that are used in nearby areas, not internally, but whose signals are frequently detected

- 외부 그룹 리스트에 포함된 단말기: 외부 그룹 리스트에서 정의한 단말기로서, 내부 그룹 리스트에 포함되어 있지는 않고, 내부가 아닌 인근 지역에서 사용되나 수시로 신호가 감지되는 단말기이다. 예를 들어, 외부 그룹 리스트에 속한 단말기는 회사 부근에서 상주하거나 근무하는 단말기일 수 있으며, 기정의된 지역, 즉, 내부를 1회성으로 지나가는 단말기는 포함되지 않는다.-Terminal included in the external group list: A terminal defined in the external group list, which is not included in the internal group list but is used in a nearby area instead of internally, but a signal is frequently detected. For example, a terminal belonging to an external group list may be a terminal residing or working near a company, and a terminal passing through a predetermined area, ie, an internal one time, is not included.

- 내부 그룹 리스트의 신호 특성 데이터: 내부 그룹 리스트에 포함된 단말기들의 AP 신호특성을 모아놓은 데이터이다.-Signal characteristic data of the internal group list: Data that collects AP signal characteristics of terminals included in the internal group list.

- 외부 그룹 리스트의 신호 특성 데이터 : 외부 그룹 리스트에 포함된 단말기들의 AP 신호특성을 모아 놓은 데이터이다.-Signal characteristic data of the external group list: Data that collects the AP signal characteristics of the terminals included in the external group list.

도 1은 본 발명의 실시예에 따른 위치에 따른 무선 네트워크 보안 시스템을 도시한 도면이다.1 is a diagram illustrating a wireless network security system according to a location according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 실시예에 따른 무선 네트워크 보안 시스템은 네트워크 보안 서버(100), 내부 단말기(200), 내부 AP(300), 외부 AP(400) 및 외부 단말기(500)를 포함할 수 있다.Referring to FIG. 1, a wireless network security system according to an embodiment of the present invention includes a network security server 100, an internal terminal 200, an internal AP 300, an external AP 400, and an external terminal 500. can do.

네트워크 보안 서버(100)(본원 명세서에서는, ‘무선침입방지시스템’ 또는 ‘WIPS’라고 종종 부르기로 한다), 내부 단말기(200) 및 내부 AP(300)는 내부(A)에 위치한다. 또한, 외부 AP(400) 및 외부 단말기(500)는 내부(A)에 속해 있지 않은 장치로서, 내부(A)의 외부에 위치한다.The network security server 100 (sometimes referred to herein as 'wireless intrusion prevention system' or 'WIPS'), the internal terminal 200 and the internal AP 300 are located inside (A). In addition, the external AP 400 and the external terminal 500 are devices that do not belong to the inside (A), and are located outside the inside (A).

네트워크 보안 서버(100)는 통신 가능 범위 이내에서 전송되는 모든 신호, 즉, AP들과 무선 단말기들간의 신호를 감지할 수 있다. 예를 들면, 네트워크 보안 서버(100)는 내부(A)에 위치하는 내부 단말기(200) 중 적어도 하나가 AP들(300, 400) 중 적어도 하나와 송수신하는 신호를 감지할 수 있다. 또한, 네트워크 보안 서버(100)는 기정해진 지역 외의 지역, 즉, 외부에 위치하는 외부 단말기(500) 중 적어도 하나가 AP들(300, 400) 중 적어도 하나 사이와 송수신하는 신호를 감지할 수 있다. 이때, 네트워크 보안 서버(100)는 모든 외부의 신호를 감지하는 것은 아니며, 내부(A)에 인접한 지역의 신호를 감지할 수 있다.The network security server 100 may detect all signals transmitted within a communication range, that is, signals between the APs and the wireless terminals. For example, the network security server 100 may detect a signal that at least one of the internal terminals 200 located in the interior A transmits and receives to at least one of the APs 300 and 400. In addition, the network security server 100 may detect a signal transmitted or received between at least one of the external terminals 500 located outside the predetermined area, that is, the external terminal 500 between at least one of the APs 300 and 400. . In this case, the network security server 100 may not detect all external signals, but may detect a signal of an area adjacent to the inside (A).

그리고, 네트워크 보안 서버(100)는 감지된 신호에 기초하여 이들 간의 통신을 허용 또는 차단할 수 있다. 이를 위해, 네트워크 보안 서버(100)는 지속적으로 통신 가능 범위 이내에 신호가 존재하는지를 감시한다. 이러한 네트워크 보안 서버(100)는 무선침입방지 시스템(WIPS: Wireless Intrusion Prevention System)일 수 있다. 네트워크 보안 서버(100)에 관하여는 후술하는 도 2에서 보다 상세히 설명한다.The network security server 100 may allow or block communication between them based on the detected signal. To this end, the network security server 100 continuously monitors whether a signal exists within a communication range. The network security server 100 may be a wireless intrusion prevention system (WIPS). The network security server 100 will be described in more detail later with reference to FIG. 2.

내부 단말기(200)는 내부(A)에 위치해 있는 단말기로, 본 실시예에서는 네트워크 보안 서버(100)에 의해 내부 AP(300)를 사용하여 네트워크에 접속할 수 있도록 사용이 허가된 단말기에 해당한다. 또한, 내부 단말기(200)는 후술할 내부 그룹 리스트 또는 외부 그룹 리스트에 포함될 수 있다. 내부 단말기(200)가 내부 그룹 리스트에 포함된 경우 내부 단말기(200)는 내부(A)에 위치하는 것으로 판단될 수 있다. 내부 단말기(200)가 외부 그룹 리스트에 포함된 경우, 내부 단말기(200)는 내부(A)에 일시적으로 위치하거나 또는 내부(A)와 외부의 경계에 위치하는 것으로 판단될 수 있다.The internal terminal 200 is a terminal located in the interior A. In this embodiment, the internal terminal 200 corresponds to a terminal licensed for use by the network security server 100 to access the network using the internal AP 300. In addition, the internal terminal 200 may be included in an internal group list or an external group list to be described later. When the internal terminal 200 is included in the internal group list, the internal terminal 200 may be determined to be located in the interior A. FIG. When the internal terminal 200 is included in the external group list, the internal terminal 200 may be determined to be temporarily located in the inside A or at a boundary between the inside A and the outside.

내부 단말기(200)는 내부 AP(300) 중 적어도 하나를 사용하여 네트워크에 접속하도록 사용이 허가된 단말기인 반면, 외부 AP(400)를 통해서는 네트워크에 접속할 수 없도록 통제될 수 있다. 이는, 내부 단말기(200)가 외부 AP(400)를 통해 네트워크에 접속할 경우 내부 정보가 외부로 유출될 우려가 있기 때문이다.While the internal terminal 200 is a terminal licensed to access the network using at least one of the internal APs 300, the internal terminal 200 may be controlled to prevent access to the network through the external AP 400. This is because when the internal terminal 200 accesses the network through the external AP 400, internal information may be leaked to the outside.

내부 단말기(200)는 이동이 용이한 무선 단말기이므로, 내부(A)에서 그 위치가 수시로 변동될 수 있고, 혹은 내부(A)를 벗어나 외부로도 이동될 수 있다. 그러므로, 네트워크 보안 서버(100)에 의해 사용이 허가된 단말기이더라도, 내부 단말기(200)가 외부에서 내부 AP(300)를 사용하고자 하는 경우에는 통제 대상이 될 수 있다.Since the internal terminal 200 is a mobile terminal that is easy to move, its position may change from time to time within the interior A, or may be moved out of the interior A. Therefore, even if the terminal is permitted to be used by the network security server 100, when the internal terminal 200 intends to use the internal AP 300 from the outside, it may be controlled.

내부 AP(300)는 내부 단말기(200)가 네트워크에 접속할 수 있도록 하는 기기로, 무선 네트워크 종류에 따라 각각 제공될 수 있다. 내부 AP(300)는 각각 고유의 이름인 SSID(Service Set Identifier)와 맥 어드레스(Mac address)를 가진다. 도 1에서, APin #1 및 APin #2는 내부 AP(300) 각각의 SSID와 각각의 맥 어드레스를 나타낸다.The internal AP 300 is a device that allows the internal terminal 200 to access a network, and may be provided according to a wireless network type. The internal AP 300 has its own name, SSID (Service Set Identifier) and Mac address (Mac address), respectively. In FIG. 1, AP in # 1 and AP in # 2 represent SSIDs of respective internal APs 300 and respective MAC addresses.

사용자가 내부 단말기(200) 중 하나를 사용하여 네트워크에 접속하고자 하면, 내부 AP(300)의 리스트가 내부 단말기(200) 중 하나에게 제공되고, 사용자는 내부 AP(300)의 리스트에서 하나를 선택하고, 선택한 내부 AP를 통해 네트워크에 접속할 수 있다.If the user wants to access the network using one of the internal terminals 200, a list of internal APs 300 is provided to one of the internal terminals 200, and the user selects one from the list of internal APs 300. And access the network through the selected internal AP.

외부 AP(400)는 내부(A)와 무관하게 다른 네트워크와의 통신을 지원하는 기기로, 각각 고유의 SSID와 맥 어드레스를 가진다. 도 1에서, APout #1 및 APout #2는 외부 AP(400) 각각의 SSID와 맥 어드레스를 나타낸다.The external AP 400 is a device supporting communication with other networks irrespective of the internal A and each has a unique SSID and MAC address. In FIG. 1, AP out # 1 and AP out # 2 indicate SSIDs and MAC addresses of the external APs 400, respectively.

외부 단말기(500)는 외부에 위치해 있는 무선 단말기로, 내부 AP(300)의 사용이 허가되지 않은 단말기일 수 있다. 외부 단말기(500)는 이동이 용이한 단말기인 관계로, 외부에서 내부(A)로 이동되거나 내부(A)와 인접한 곳으로 이동될 수 있다. 이 경우, 외부 단말기(500)가 외부 그룹 리스트에 속하고 내부(A)에 위치하면, 외부 단말기(500)가 외부 AP를 사용하는 것은 차단될 수 있다.The external terminal 500 is a wireless terminal located outside, and may be a terminal that is not permitted to use the internal AP 300. Since the external terminal 500 is an easy-to-move terminal, the external terminal 500 may be moved from the outside to the inside (A) or to a place adjacent to the inside (A). In this case, when the external terminal 500 belongs to the external group list and is located in the internal A, the use of the external AP by the external terminal 500 may be blocked.

도 2는 본 발명의 실시예에 따른 위치에 따른 무선 네트워크 보안 서버의 블럭도이다.2 is a block diagram of a wireless network security server based on location in accordance with an embodiment of the present invention.

도 2를 참조하여, 본 발명의 일 실시예에 따른 무선 네트워크 보안 서버(100)는 신호 감지부(110), 비교부(120), 저장부(130), 판단부(140) 및 제어부(150)를 포함할 수 있다.Referring to FIG. 2, the wireless network security server 100 according to an exemplary embodiment of the present invention may include a signal detector 110, a comparator 120, a storage 130, a determiner 140, and a controller 150. ) May be included.

신호 감지부(110)는 통신 가능 범위 이내에서 전송되는 모든 신호를 감지한다. 예를 들면, 신호 감지부(110)는 내부 단말기(200)와 내부 AP(300) 간에 상호 송수신되는 신호, 내부 단말기(200)와 외부 AP(400) 간에 상호 송수신되는 신호, 및 외부 단말기(500)와 내부 AP(300)간에 상호 송수신되는 신호를 감지할 수 있다.The signal detector 110 detects all signals transmitted within a communication range. For example, the signal detector 110 may transmit and receive signals between the internal terminal 200 and the internal AP 300, signals transmitted and received between the internal terminal 200 and the external AP 400, and the external terminal 500. ) And a signal transmitted and received between the internal AP 300 may be detected.

비교부(120)는 신호 감지부(110)에 의해 신호가 감지되면, 감지된 신호의 강도를 기설정된 기준값과 비교한다. '기준값'은 신호가 데이터를 전송할 수 있는 정도의 최소 강도로 설정될 수 있다. 비교부(120)에서 신호의 강도를 기준값과 비교하는 이유는, 신호 감지부(110)에 의해 감지된 신호가 데이터를 전송할 수 있는 정도의 강도가 되지 않는 경우에는 보안상 문제가 되지 않으므로 약한 강도의 신호를 필터링하기 위한 것이다.When the signal is detected by the signal detector 110, the comparator 120 compares the intensity of the detected signal with a preset reference value. 'Reference value' may be set to the minimum strength that the signal can transmit data. The reason why the comparator 120 compares the signal strength with a reference value is not a security problem when the signal sensed by the signal detector 110 is not strong enough to transmit data. To filter the signal of.

저장부(130)는 네트워크 보안 서버(100)의 동작에 필요한 모든 정보를 저장할 수 있다. 저장부(130)는 내부 그룹 리스트 저장부(131), 외부 그룹 리스트 저장부(132), 내부 신호 특성 저장부(133) 및 외부 신호 특성 저장부(134)를 포함한다. 내부 그룹 리스트 저장부(131), 외부 그룹 리스트 저장부(132), 내부 신호 특성 저장부(133) 및 외부 신호 특성 저장부(134)는 물리적으로 하나의 저장매체에 속할 수 있다.The storage unit 130 may store all information necessary for the operation of the network security server 100. The storage unit 130 includes an internal group list storage unit 131, an external group list storage unit 132, an internal signal characteristic storage unit 133, and an external signal characteristic storage unit 134. The internal group list storage unit 131, the external group list storage unit 132, the internal signal characteristic storage unit 133, and the external signal characteristic storage unit 134 may physically belong to one storage medium.

내부 그룹 리스트 저장부(131)는 내부 그룹 리스트를 저장하고 있다. 내부 그룹 리스트는 내부(A)에서 사용이 가능하도록 허가된 무선 단말기들의 맥 어드레스를 목록화한 것이다.The internal group list storage unit 131 stores the internal group list. The internal group list is a list of MAC addresses of wireless terminals authorized to be used internally (A).

외부 그룹 리스트 저장부(132)는 외부 그룹 리스트를 저장하고 있다. 외부 그룹 리스트는 외부에 위치하나, 수시로 신호가 감지된 무선 단말기들의 맥 어드레스를 목록화한 것이다. 외부 그룹 리스트에 속하는 무선 단말기는 외부 단말기(500)일 수 있다.The external group list storage unit 132 stores the external group list. The external group list is a list of MAC addresses of wireless terminals that are located outside but are detected from time to time. The wireless terminal belonging to the external group list may be the external terminal 500.

내부 신호 특성 저장부(133)는 내부 그룹 리스트의 신호 특성 데이터를 저장한다. 내부 그룹 리스트의 신호 특성 데이터는 내부 그룹 리스트에 포함된 무선 단말기들의 AP 신호 특성을 제1지역 무선 신호 특성 데이터로서 저장한 목록이다. 제1지역은 내부(A)이고, 후술할 제2지역은 외부일 수 있다.The internal signal characteristic storage unit 133 stores signal characteristic data of the internal group list. The signal characteristic data of the internal group list is a list storing AP signal characteristics of wireless terminals included in the internal group list as first region wireless signal characteristic data. The first region may be internal (A), and the second region, which will be described later, may be external.

제어부(150)는 내부 그룹 리스트에 포함된 무선 단말기들의 신호가 신호 감지부(110)에 의해 감지될 때마다, 감지된 강도와 감지된 시간을 제1지역 무선 신호 특성 데이터로서 내부 신호 특성 저장부(133)에 저장한다.When the signal of the wireless terminals included in the internal group list is detected by the signal detector 110, the controller 150 uses the detected intensity and the detected time as internal signal characteristics data as the first region wireless signal characteristic data. Save to (133).

외부 신호 특성 저장부(134)는 외부 그룹 리스트의 신호 특성 데이터를 저장한다. 외부 그룹 리스트의 신호 특성 데이터는 외부 그룹 리스트에 포함된 무선 단말기들의 AP 신호 특성을 제2지역 무선 신호 특성 데이터로서 저장한 목록이다.The external signal characteristic storage unit 134 stores signal characteristic data of the external group list. The signal characteristic data of the external group list is a list storing AP signal characteristics of wireless terminals included in the external group list as second region wireless signal characteristic data.

제어부(150)는 외부 그룹 리스트에 포함된 무선 단말기들의 신호가 신호 감지부(110)에 의해 감지될 때마다, 감지된 강도와 감지된 시간을 제2지역 무선 신호 특성 데이터로서 외부 신호 특성 저장부(134)에 저장한다. 외부 그룹 리스트와 제2지역 무선 신호 특성 데이터는 내부(A)의 주변에서 네트워크에 접속하는 단말기들에 대하여 네트워크 보안 서버(100)에서 네트워크 접속을 차단하지 않도록 하기 위한 테이블이다.When the signal of the wireless terminals included in the external group list is detected by the signal detector 110, the controller 150 uses the detected intensity and the detected time as the second region wireless signal characteristic data as an external signal characteristic storage unit. Save to 134. The external group list and the second region wireless signal characteristic data are tables for preventing the network security server 100 from blocking the network connection for terminals connecting to the network in the vicinity of the inside A. FIG.

한편, 판단부(140)는 신호 감지부(110)에 의해 감지된 신호가 비교부(120)에 의해 기준값 이상의 강도를 가지는 것으로 판단된 경우에, 이 신호를 송출한 무선 단말기가 내부 그룹 리스트에 속하는지 또는 외부 그룹 리스트에 속하는지를 판단한다.On the other hand, if it is determined that the signal sensed by the signal detector 110 has a strength greater than or equal to the reference value, the determination unit 140 transmits the signal to the internal group list. Determine whether it belongs to or belongs to an external group list.

자세히 설명하면, 판단부(140)는 기준값 이상의 신호가 감지되면, 이 기준값 이상의 신호를 송출한 무선 단말기의 식별자 즉, 맥 어드레스를 내부 그룹 리스트 및 외부 그룹 리스트와 비교하여 일치하는 것이 있는지를 판단한다. 만약, 무선 단말기의 맥 어드레스가 내부 그룹 리스트에 저장되어 있으면, 판단부(140)는 무선 단말기가 내부 그룹 리스트에 속하므로 무선 단말기를 내부 그룹 소속인 내부 단말기(200)로 판단한다. 또한, 기준값 이상의 신호를 송출한 무선 단말기의 맥 어드레스가 외부 그룹 리스트에 저장되어 있으면, 판단부(140)는 무선 단말기를 외부 그룹 소속인 외부 단말기(500)로 판단한다.In detail, when a signal equal to or greater than a reference value is detected, the determination unit 140 compares an identifier, that is, a MAC address, of the wireless terminal that sent the signal equal to or greater than the reference value with an internal group list and an external group list to determine whether there is a match. . If the MAC address of the wireless terminal is stored in the internal group list, the determination unit 140 determines the wireless terminal as the internal terminal 200 belonging to the internal group because the wireless terminal belongs to the internal group list. In addition, if the MAC address of the wireless terminal that has sent the signal higher than the reference value is stored in the external group list, the determination unit 140 determines the wireless terminal as the external terminal 500 belonging to the external group.

그리고, 제어부(150)는 기준값 이상의 신호를 송출한 무선 단말기가 내부 그룹 소속이면(즉, 내부 그룹 리스트에 포함되면), 무선 단말기가 내부 AP(300)를 사용하여 신호를 송수신하는지 판단한다. 무선 단말기가 내부 AP(300)를 사용하는 것으로 판단되면, 제어부(150)는 사용 중인 내부 AP(300)의 사용을 유지하도록 한다. 또한, 무선 단말기가 내부 AP(300)를 사용하고 있지 않은 것으로 판단되면, 제어부(150)는 사용 중인 외부 AP(400)의 사용을 차단시킨다.The controller 150 determines whether the wireless terminal transmits / receives a signal using the internal AP 300 when the wireless terminal that transmits a signal having a reference value or more belongs to an internal group (that is, included in the internal group list). If it is determined that the wireless terminal uses the internal AP 300, the controller 150 maintains the use of the internal AP 300 in use. In addition, if it is determined that the wireless terminal is not using the internal AP 300, the controller 150 blocks the use of the external AP 400 in use.

또한, 판단부(140)는 신호 감지부(110)에 의해 감지된 신호를 이용하여, 신호를 송출한 무선 단말기의 위치를 판단할 수 있다. 이를 위하여, 판단부(140)는 신호를 송출한 무선 단말기의 신호 특성을 내부 신호 특성 저장부(133)와 외부 신호 특성 저장부(134)에 저장된 신호 특성과 비교하여 어느 쪽에 유사한지를 분석한다. In addition, the determination unit 140 may determine the location of the wireless terminal that transmits the signal by using the signal detected by the signal detection unit 110. To this end, the determination unit 140 compares the signal characteristics of the wireless terminal transmitting the signal with the signal characteristics stored in the internal signal characteristic storage unit 133 and the external signal characteristic storage unit 134 and analyzes which one is similar.

자세히 설명하면, 판단부(140)는 감지된 신호의 특성 데이터와 내부 그룹 리스트의 신호 특성 데이터(즉, 제1지역 무선 신호 특성 데이터)를 비교하여, 일정 오차 범위 내에서 서로 유사하면 무선 단말기가 내부(A)에 위치하는 것으로 판단할 수 있다. 또한, 판단부(140)는 감지된 무선 신호의 특성 데이터와 제2지역 무선 신호 특성 데이터(즉, 외부 그룹 리스트의 신호 특성 데이터)를 비교하여, 일정 오차 범위 내에서 서로 유사하면 무선 단말기가 외부에 위치하는 것으로 판단할 수 있다. 판단부(140)는 SVM(Support Vector Machine) 알고리즘을 이용하여 신호 특성 간의 유사성을 비교할 수 있다. SVM 알고리즘은 수학 분야에서 기공지된 기술이므로 이에 대한 구체적인 설명은 생략한다. 다만, SVM 알고리즘을 적용하기 이전에 신호의 강도를 정규화하는 과정을 필요로 한다.In detail, the determination unit 140 compares the characteristic data of the detected signal with the signal characteristic data (ie, the first region wireless signal characteristic data) of the internal group list, and if the wireless terminal is similar to each other within a certain error range, It can be determined that it is located inside (A). In addition, the determination unit 140 compares the detected characteristic data of the wireless signal with the second region wireless signal characteristic data (that is, the signal characteristic data of the external group list). May be determined to be located at. The determination unit 140 may compare the similarity between signal characteristics by using a support vector machine (SVM) algorithm. SVM algorithm is a well-known technology in the field of mathematics, so a detailed description thereof will be omitted. However, before applying the SVM algorithm, a process of normalizing the signal strength is required.

또는, 판단부(1401)는 SVM을 사용하여, 감지된 무선 신호의 특성과 기정의된 지역의 무선 신호 특성 데이터를 비교하여 무선 단말기가 기정의된 지역에 위치하고 있는지를 판단할 수도 있다. 여기서, '기정의된 지역의 무선 신호 특성 데이터'는 내부(A)에서 일정 기간동안 감지된 무선 신호들의 시간 별 평균값일 수 있다.Alternatively, the determination unit 1401 may use the SVM to determine whether the wireless terminal is located in the predefined region by comparing the detected characteristic of the wireless signal with wireless signal characteristic data of the predefined region. Here, the 'wireless signal characteristic data of the predefined area' may be an average value for each time of the wireless signals detected for a predetermined period in the interior (A).

판단부(140)에서 기준값 이상의 신호를 송출한 무선 단말기가 내부 그룹 소속도 아니고 외부 그룹 소속도 아니면서, 기정해진 지역(즉, 내부(A))에 위치하는 것으로 판단되면, 제어부(150)는 무선 단말기가 사용 중인 외부 AP(400)의 사용을 차단시킨다. 또한, 판단부(140)에서 기준값 이상의 신호를 송출한 무선 단말기가 내부 그룹 소속도 아니고 외부 그룹 소속도 아니면서, 외부에 위치하는 것으로 판단되면, 제어부(150)는 무선 단말기가 사용 중인 내부 AP(300)의 사용을 차단시킨다. 또한, 판단부(140)에서 기준값 이상의 신호를 송출한 무선 단말기가 외부 그룹 소속(즉, 외부 그룹 리스트에 포함)된 것으로 판단되면, 제어부(150)는 무선 단말기가 사용 중인 내부 AP의 사용을 차단시킨다. If it is determined that the wireless terminal which has transmitted the signal greater than or equal to the reference value by the determination unit 140 is located in a predetermined area (that is, inside A) while not belonging to an internal group or belonging to an external group, the controller 150 Blocks the use of the external AP 400 being used by the wireless terminal. In addition, if it is determined that the wireless terminal which transmits a signal greater than or equal to the reference value by the determination unit 140 is not belonging to the internal group or the external group, and is located outside, the controller 150 determines that the internal AP (which is being used by the wireless terminal); Block the use of 300). In addition, if it is determined that the wireless terminal which transmits a signal greater than or equal to the reference value by the determination unit 140 belongs to an external group (that is, included in the external group list), the controller 150 blocks the use of the internal AP that the wireless terminal is using. Let's do it.

상술한 바와 같이, 제어부(150)는 기준값 이상의 신호를 송출한 무선 단말기가 내부 그룹 리스트에 포함되는지의 여부와 기정해진 지역에 위치하는지의 여부와 내부 AP(300)를 사용중인지에 기초하여, 무선 단말기가 사용 중인 AP(300, 400)의 사용을 차단하거나 유지시킬 수 있다.As described above, the controller 150 is based on whether the wireless terminal that has sent out a signal equal to or greater than a reference value is included in the internal group list, whether it is located in a predetermined region, and whether the internal AP 300 is in use. The terminal may block or maintain the use of the APs 300 and 400 in use.

도 3은 본 발명의 실시예에 따른 무선 네트워크 보안 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a wireless network security method according to an embodiment of the present invention.

도 3의 무선 네트워크 보안 방법은 도 1 및 도 2를 참조하여 설명한 네트워크 보안 서버(100)에 의해 동작되거나 처리될 수 있다. 또한, 도 3에서 사용되는 네트워크 보안 서버, 무선 단말기, AP는 도 1에 도시된 네트워크 보안 서버(100), 내부 단말기(200), 외부 단말기(500), 내부 AP(300) 및 외부 AP(400)일 수 있다.The wireless network security method of FIG. 3 may be operated or processed by the network security server 100 described with reference to FIGS. 1 and 2. In addition, a network security server, a wireless terminal, and an AP used in FIG. 3 may include a network security server 100, an internal terminal 200, an external terminal 500, an internal AP 300, and an external AP 400 shown in FIG. 1. May be).

네트워크 보안 서버는 주변에 위치하는 무선 단말기들 중 어느 하나(이하, '무선 단말기'라 함)가 AP와 통신하는 신호를 감지할 수 있다(S701).The network security server may detect a signal in which any one of the wireless terminals located below (hereinafter, referred to as a "wireless terminal") communicates with the AP (S701).

신호가 감지되면, 네트워크 보안 서버는 감지된 신호의 강도가 기설정된 기준값 이상인지 판단한다(S703).If a signal is detected, the network security server determines whether the detected signal strength is greater than or equal to a preset reference value (S703).

감지된 신호의 강도가 기설정된 기준값 이상이면, 네트워크 보안 서버는 무선 단말기의 맥 어드레스를 확인한다(S705).If the detected signal strength is greater than or equal to the preset reference value, the network security server checks the MAC address of the wireless terminal (S705).

네트워크 보안 서버는 확인된 맥 어드레스에 기초하여 무선 단말기가 기정의된 그룹들에 속한 단말기인지를 판단한다(S707). 즉, 네트워크 보안 서버는 무선 단말기가 내부 그룹 소속인지를 판단한다. 무선 단말기가 내부 그룹 소속이면, 무선 단말기는 내부 그룹 리스트에 포함되어 있음을 의미한다. 무선 단말기가 외부 그룹 소속이면, 무선 단말기는 외부 그룹 리스트에 포함되어 있음을 의미한다. 내부 그룹 리스트와 외부 그룹 리스트는 무선 단말기들의 맥 어드레스를 포함한다.The network security server determines whether the wireless terminal is a terminal belonging to the predefined groups based on the confirmed MAC address (S707). That is, the network security server determines whether the wireless terminal belongs to the internal group. If the wireless terminal belongs to an internal group, it means that the wireless terminal is included in the internal group list. If the wireless terminal belongs to an external group, it means that the wireless terminal is included in the external group list. The inner group list and the outer group list include MAC addresses of wireless terminals.

무선 단말기가 내부 그룹 소속인 것으로 판단되면(즉, 내부 그룹 리스트에 포함되어 있으면)(S707-Y), 네트워크 보안 서버는 무선 단말기가 내부 AP를 사용하여 통신 중인지 판단한다(S709). S709단계는 S701단계에서 감지된 신호가 어느 AP와 통신 중이었는지를 확인함으로써 알 수 있다.If it is determined that the wireless terminal belongs to the internal group (that is, included in the internal group list) (S707-Y), the network security server determines whether the wireless terminal is communicating using the internal AP (S709). Step S709 can be known by checking with which AP the signal detected in step S701 is communicating.

무선 단말기가 내부 AP를 사용하여 통신 중인 것으로 판단되면(S709-N), 네트워크 보안 서버는 무선 단말기가 사용중인 외부 AP의 사용을 차단시킨다(S711).If it is determined that the wireless terminal is communicating using the internal AP (S709-N), the network security server blocks the use of the external AP that the wireless terminal is using (S711).

또한, 무선 단말기가 내부 AP를 사용하여 통신 중인 것으로 판단되면(S709-Y), 네트워크 보안 서버는 무선 단말기가 사용중인 내부 AP의 사용을 유지하도록 한다(S713).In addition, if it is determined that the wireless terminal is communicating using the internal AP (S709-Y), the network security server allows the wireless terminal to maintain the use of the internal AP in use (S713).

한편, S707단계에서, 무선 단말기가 내부 그룹 소속이 아닌 것으로 판단되면(S707-N), 네트워크 보안 서버는 무선 단말기가 외부 그룹 소속인지를 판단한다(S715).On the other hand, if it is determined in step S707 that the wireless terminal does not belong to the internal group (S707-N), the network security server determines whether the wireless terminal belongs to the external group (S715).

무선 단말기가 외부 그룹 소속이 아닌 것으로 판단되면(즉, 외부 그룹 리스트에 포함되어 있지 않으면)(S715-N), 네트워크 보안 서버는 무선 단말기가 기정해진 지역, 즉, 내부에 위치하는지를 판단한다(S717). S717단계에서 네트워크 보안 서버는 SVM 알고리즘, 감지된 신호의 특성, 기저장된 제1지역 무선 신호 특성 데이터 및 기저장된 제2지역 무선 신호 특성 데이터를 비교하여 무선 단말기가 내부에 위치하는지 또는 외부에 위치하는지를 판단할 수 있다.If it is determined that the wireless terminal does not belong to an external group (that is, it is not included in the external group list) (S715-N), the network security server determines whether the wireless terminal is located in a predetermined area, that is, inside (S717). ). In step S717, the network security server compares the SVM algorithm, characteristics of the detected signal, previously stored first region wireless signal characteristic data, and previously stored second region wireless signal characteristic data to determine whether the wireless terminal is located inside or outside. You can judge.

무선 단말기가 내부에 위치하는 것으로 판단되면(S717-Y), 네트워크 보안 서버는 무선 단말기가 사용 중인 외부 AP의 사용을 차단시킨다(S719).If it is determined that the wireless terminal is located inside (S717-Y), the network security server blocks the use of the external AP that the wireless terminal is using (S719).

또한, 무선 단말기가 내부에 위치하지 않는 것으로 판단되면(S717-N), 네트워크 보안 서버는 무선 단말기가 사용중인 내부 AP의 사용을 차단시킨다(S721).In addition, if it is determined that the wireless terminal is not located inside (S717-N), the network security server blocks the use of the internal AP that the wireless terminal is using (S721).

상기와 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.While the present invention has been described with reference to the particular embodiments and drawings, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the appended claims. This is possible. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims, as well as the claims.

100: 네트워크 보안 서버 110: 신호 감지부
120: 비교부 130: 저장부
140: 판단부 150: 제어부100: network security server 110: signal detector
120: comparison unit 130: storage unit
140: determination unit 150: control unit

Claims (14)

무선 단말기의 맥 어드레스를 확인하는 단계;
상기 확인된 맥 어드레스에 기초하여 상기 무선 단말기가 기정의된 그룹들에 속한 단말기인지를 판단하는 단계;
상기 무선 단말기가 상기 기정의된 그룹들 중 어떤 그룹에도 속하지 않는 경우, 상기 무선 단말기가 기정의된 지역에 위치하는지를 판단하는 단계; 및
상기 무선 단말기가 상기 기정의된 지역에 위치하는 경우에는, 기정의한 AP(Access Point)들이 아닌 다른 AP들을 상기 무선 단말기가 사용하는 것을 차단하는 단계;를 포함하는 것을 특징으로 하는 무선 네트워크 보안 방법.Checking the MAC address of the wireless terminal;
Determining whether the wireless terminal is a terminal belonging to predefined groups based on the confirmed MAC address;
If the wireless terminal does not belong to any of the predefined groups, determining whether the wireless terminal is located in a predefined area; And
If the wireless terminal is located in the predefined area, blocking the use of other APs other than the predefined access points (AP); and a wireless network security method comprising the . 제1항에 있어서,
상기 무선 단말기의 무선 신호를 감지하는 단계;를 더 포함하며,
상기 맥 어드레스를 확인하는 단계는, 상기 감지된 무선 신호의 세기가 기준 값 이상인 경우에 수행하는 것을 특징으로 하는 무선 네트워크 보안 방법.The method of claim 1,
Detecting a wireless signal of the wireless terminal;
The checking of the MAC address is performed when the detected strength of the wireless signal is greater than or equal to a reference value. 제1항에 있어서,
상기 기정의된 그룹들 중 내부 그룹에 상기 무선 단말기가 속하는 경우, 상기 무선 단말기가 상기 기정의된 AP들을 사용하는지를 판단하는 단계; 및
상기 내부 그룹에 속한 무선 단말기가, 상기 기정의한 AP들이 아닌 다른 AP들을 사용하는 것을 차단하는 단계;를 더 포함하는 것을 특징으로 하는 무선 네트워크 보안 방법.The method of claim 1,
If the wireless terminal belongs to an internal group of the predefined groups, determining whether the wireless terminal uses the predefined APs; And
And blocking, by the wireless terminal belonging to the internal group, the use of other APs other than the predefined APs. 제1항에 있어서,
상기 기정의된 그룹들 중 외부 그룹에 상기 무선 단말기가 속하지 않는 경우, 상기 외부 그룹에 속한 무선 단말기가 기정의된 지역에 위치하는지를 판단하는 위치 판단 단계; 및
상기 외부 그룹에 속한 무선 단말기가 상기 기정의된 지역에 위치하는 경우에, 상기 기정의한 AP들이 아닌 다른 AP들을 사용하는 것을 차단하는 단계;를 더 포함하는 것을 특징으로 하는 무선 네트워크 보안 방법.The method of claim 1,
A location determining step of determining whether a wireless terminal belonging to the external group is located in a predefined area when the wireless terminal does not belong to an external group among the predefined groups; And
Blocking the use of APs other than the predefined APs when the wireless terminal belonging to the external group is located in the predefined area. 제4항에 있어서,
상기 무선 단말기의 무선 신호를 감지하는 단계;를 더 포함하며,
상기 위치 판단 단계는, SVM(Support Vector Machine)을 사용하여, 상기 감지한 무선 신호의 특성과 기정의된 지역의 무선 신호 특성 데이터를 비교하여 상기 기정의된 지역에 위치된 것인지를 판단하는 것을 특징으로 하는 무선 네트워크 보안 방법.5. The method of claim 4,
Detecting a wireless signal of the wireless terminal;
Wherein the step of determining, using the SVM (Support Vector Machine), by comparing the characteristics of the detected radio signal with the radio signal characteristic data of the predefined region, it is determined whether the location is located in the predefined region Wireless network security method. 제5항에 있어서,
상기 기정의된 그룹들 각각에 대한 그룹 리스트들을 저장하는 단계;를 더 포함하며,
상기 그룹 리스트들은,
무선 단말기의 맥 어드레스를 포함하는 내부 그룹 리스트와, 무선 단말기의 맥 어드레스를 포함하는 외부 그룹 리스트를 포함하며,
상기 기정의된 그룹들에 속한 무선 단말기인지를 판단하는 단계는,
상기 확인된 맥 어드레스가 상기 내부 그룹 리스트 또는 외부 그룹 리스트에 포함되어 있는지 여부를 판단하는 것을 특징으로 하는 무선 네트워크 보안 방법.The method of claim 5,
Storing group lists for each of the predefined groups;
The group lists,
An internal group list including the MAC address of the wireless terminal and an external group list including the MAC address of the wireless terminal,
Determining whether or not the wireless terminal belongs to the predefined groups,
And determining whether the identified MAC address is included in the internal group list or the external group list. 제4항에 있어서,
상기 기정의된 그룹들 각각에 대한 그룹 리스트들-무선 단말기의 맥 어드레스를 포함하는 내부 그룹 리스트와 외부 그룹 리스트-을 저장하는 단계;
상기 내부 그룹 리스트에 포함된 무선 단말기들의 AP 신호 특성을 제1지역 무선 신호 특성 데이터로서 저장하는 단계; 및
상기 외부 그룹 리스트에 포함된 무선 단말기들의 AP 신호 특성을 제2지역 무선 신호 특성 데이터로서 저장하는 단계;를 더 포함하며,
상기 위치 판단 단계는, i) 상기 감지한 무선 신호의 특성과 ii) 상기 제1 지역 무선 신호 특성 데이터와 상기 제2 지역 무선 신호 특성 데이터 중 적어도 하나의 데이터를 비교하여, 상기 기정의된 지역에 위치되었는지 여부를 판단하는 것을 특징으로 하는 무선 네트워크 보안 방법.5. The method of claim 4,
Storing group lists for each of the predefined groups, an internal group list and an external group list including the MAC address of the wireless terminal;
Storing AP signal characteristics of wireless terminals included in the internal group list as first region wireless signal characteristic data; And
Storing the AP signal characteristics of the wireless terminals included in the external group list as second region wireless signal characteristic data;
The determining of the position may include: i) comparing the detected wireless signal characteristic with ii) at least one data of the first region wireless signal characteristic data and the second region wireless signal characteristic data, And determining whether or not it is located. 무선 단말기의 맥 어드레스를 확인하고, 상기 확인된 맥 어드레스에 기초하여 상기 무선 단말기가 기정의된 그룹들에 속한 단말기인지를 판단하며, 상기 무선 단말기가 상기 기정의된 그룹들 중 어떤 그룹에도 속하지 않는 경우, 상기 무선 단말기가 기정의된 지역에 위치하는지를 판단하는 판단부; 및
상기 무선 단말기가 상기 기정의된 지역에 위치하는 경우에는, 기정의한 AP(Access Point)들이 아닌 다른 AP들을 상기 무선 단말기가 사용하는 것을 차단하는 제어부;를 포함하는 것을 특징으로 하는 무선 네트워크 보안 서버.Check the MAC address of the wireless terminal, determine whether the wireless terminal belongs to a predefined group based on the confirmed mac address, and wherein the wireless terminal does not belong to any of the predefined groups A determination unit determining whether the wireless terminal is located in a predetermined area; And
When the wireless terminal is located in the predefined area, the wireless network security server, characterized in that the control unit for blocking the use of the AP other than the predefined access point (AP); . 제8항에 있어서,
상기 무선 단말기의 무선 신호를 감지하는 신호 감지부;를 더 포함하며,
상기 판단부는, 상기 감지된 무선 신호의 세기가 기준 값 이상인 경우에 맥 어드레스를 확인하는 것을 특징으로 하는 무선 네트워크 보안 서버.9. The method of claim 8,
Further comprising: a signal detector for detecting a wireless signal of the wireless terminal,
The determination unit, the wireless network security server, characterized in that for checking the MAC address when the strength of the detected wireless signal is greater than the reference value. 제8항에 있어서,
상기 판단부는, 상기 기정의된 그룹들 중 내부 그룹에 상기 무선 단말기가 속하는 경우, 상기 무선 단말기가 상기 기정의된 AP들을 사용하는지를 판단하고,
상기 제어부는, 상기 내부 그룹에 속한 무선 단말기가, 상기 기정의한 AP들이 아닌 다른 AP들을 사용하는 것을 차단하는 것을 특징으로 하는 무선 네트워크 보안 서버.9. The method of claim 8,
The determination unit, when the wireless terminal belongs to an internal group of the predefined groups, determines whether the wireless terminal uses the predefined AP,
The control unit, the wireless terminal belonging to the internal group, the wireless network security server, characterized in that the use of other APs other than the predefined AP. 제8항에 있어서,
상기 판단부는, 상기 기정의된 그룹들 중 외부 그룹에 상기 무선 단말기가 속하지 않는 경우, 상기 외부 그룹에 속한 무선 단말기가 기정의된 지역에 위치하는지를 판단하고,
상기 제어부는, 상기 외부 그룹에 속한 무선 단말기가 상기 기정의된 지역에 위치하는 경우에, 상기 기정의한 AP들이 아닌 다른 AP들을 사용하는 것을 차단하는 것을 특징으로 하는 무선 네트워크 보안 서버.9. The method of claim 8,
The determination unit, when the wireless terminal does not belong to an external group of the predefined groups, determines whether the wireless terminal belonging to the external group is located in the predefined area,
The control unit, when the wireless terminal belonging to the external group is located in the predefined area, the wireless network security server, characterized in that the use of other APs other than the predefined AP. 제11항에 있어서,
상기 무선 단말기의 무선 신호를 감지하는 신호 감지부;를 더 포함하며,
상기 판단부는, SVM(Support Vector Machine)을 사용하여, 상기 감지한 무선 신호의 특성과 기정의된 지역의 무선 신호 특성 데이터를 비교하여 상기 기정의된 지역에 위치된 것인지를 판단하는 것을 특징으로 하는 무선 네트워크 보안 서버.The method of claim 11,
Further comprising: a signal detector for detecting a wireless signal of the wireless terminal,
The determination unit may use the SVM (Support Vector Machine) to compare the detected characteristic of the radio signal with the radio signal characteristic data of the predefined area to determine whether it is located in the predefined area. Wireless network security server. 제12항에 있어서,
상기 기정의된 그룹들 각각에 대한 그룹 리스트들을 저장하는 저장부;를 더 포함하며,
상기 그룹 리스트들은, 무선 단말기의 맥 어드레스를 포함하는 내부 그룹 리스트와, 무선 단말기의 맥 어드레스를 포함하는 외부 그룹 리스트를 포함하며,
상기 판단부는, 상기 기정의된 그룹들에 속한 무선 단말기인지를 판단하기 위하여, 상기 확인된 맥 어드레스가 상기 내부 그룹 리스트 또는 외부 그룹 리스트에 포함되어 있는지 여부를 판단하는 것을 특징으로 하는 무선 네트워크 보안 서버.The method of claim 12,
And a storage unit for storing group lists for each of the predefined groups.
The group lists include an internal group list including the MAC address of the wireless terminal and an external group list including the MAC address of the wireless terminal,
The determination unit determines whether the identified MAC address is included in the internal group list or the external group list to determine whether the wireless terminal belongs to the predefined groups. . 제11항에 있어서,
상기 기정의된 그룹들 각각에 대한 그룹 리스트들-무선 단말기의 맥 어드레스를 포함하는 내부 그룹 리스트와 외부 그룹 리스트-들, 상기 내부 그룹 리스트에 포함된 무선 단말기들의 AP 신호 특성을 제1지역 무선 신호 특성 데이터로서 저장하고, 상기 외부 그룹 리스트에 포함된 무선 단말기들의 AP 신호 특성을 제2지역 무선 신호 특성 데이터로서 저장하는 저장부;를 더 포함하며,
상기 판단부는, 상기 제1 지역 무선 신호 특성 데이터와 상기 제2 지역 무선 신호 특성 데이터 중 적어도 하나와 상기 감지한 무선 신호의 특성을 비교하여, 상기 기정의된 지역에 위치되었는지 여부를 판단하는 것을 특징으로 하는 무선 네트워크 보안 서버.The method of claim 11,
Group signals for each of the predefined groups-an internal group list and an external group list including the MAC address of the wireless terminal, and AP signal characteristics of the wireless terminals included in the internal group list. And storing the AP signal characteristics of the wireless terminals included in the external group list as the second region wireless signal characteristic data.
The determination unit may compare the at least one of the first region radio signal characteristic data and the second region radio signal characteristic data with the sensed characteristics of the detected radio signal to determine whether or not it is located in the predefined region. Wireless network security server.
KR1020110082178A 2011-08-18 2011-08-18 Method and wips for security of wireless network KR20130019892A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110082178A KR20130019892A (en) 2011-08-18 2011-08-18 Method and wips for security of wireless network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110082178A KR20130019892A (en) 2011-08-18 2011-08-18 Method and wips for security of wireless network

Publications (1)

Publication Number Publication Date
KR20130019892A true KR20130019892A (en) 2013-02-27

Family

ID=47897926

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110082178A KR20130019892A (en) 2011-08-18 2011-08-18 Method and wips for security of wireless network

Country Status (1)

Country Link
KR (1) KR20130019892A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016047843A1 (en) * 2014-09-24 2016-03-31 주식회사 코닉글로리 Wireless security apparatus and method
CN107431971A (en) * 2015-03-27 2017-12-01 泛网安全株式会社 Wireless invasive system of defense sensor and the method using the sensor disconnected end

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016047843A1 (en) * 2014-09-24 2016-03-31 주식회사 코닉글로리 Wireless security apparatus and method
KR20160035823A (en) * 2014-09-24 2016-04-01 주식회사 코닉글로리 Wireless security apparatus and method
CN107431971A (en) * 2015-03-27 2017-12-01 泛网安全株式会社 Wireless invasive system of defense sensor and the method using the sensor disconnected end

Similar Documents

Publication Publication Date Title
KR101599178B1 (en) Detecting neighboring access points in a network
KR101648434B1 (en) Method and apparatus for controlling signal transmission, electronic device, program and recording medium
US9380536B2 (en) Enhanced device selection algorithm for device-to-device (D2D) communication
KR20120129741A (en) Wireless access point apparatus and method for detecting unauthorized wireless lan node
JP2013117835A5 (en) Image forming apparatus, control method thereof, and program
US20140282905A1 (en) System and method for the automated containment of an unauthorized access point in a computing network
KR20150049144A (en) Method and apparatus for detecting unauthorized access point
US8493977B2 (en) Detection of an unauthorized access point in a wireless communication network
US20180130275A1 (en) System and method for mitigating relay station attack
US20070155403A1 (en) Rogue Detection Using Geophysical Information
KR20130019892A (en) Method and wips for security of wireless network
CN108029067B (en) Radio communication device, radio communication system, connection management method, and non-transitory computer-readable medium
JP2024520585A (en) WIRELESS INTRUSION PREVENTION SYSTEM AND METHOD OF OPERATION - Patent application
KR20150041407A (en) Trust Access Point connection Apparatus and Method
KR101566765B1 (en) Wireless network device detecting system
KR102421759B1 (en) Apparatus and Method for Detecting Failure of Network
CN106937289B (en) Network access method and electronic equipment
US8923133B2 (en) Detection of unauthorized changes to an address resolution protocol cache in a communication network
US11409007B2 (en) Communication apparatus, communication system, communication control method, and non-transitory computer readable medium storing communication control program
KR101553827B1 (en) System for detecting and blocking illegal access point
KR101458299B1 (en) Method and system of operating multi-cell wifi and wifi offloading for solving both the hidden node problem and exposed node problem
KR101071527B1 (en) Wireless communication terminal and method for controlling access point connection thereof
US9661500B2 (en) Method and its apparatus for blocking access of unauthorized device
JP7187771B2 (en) Wireless communication device, wireless communication system, control device, wireless communication method and control method
KR102321683B1 (en) Method and apparatus capable of selectively blocking unauthorized bluetooth device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application