KR20140057905A - 소프트 로그 액세스 포인트를 구동하는 공격 단말 색출 방법 및 이 방법을 수행하는 장치 - Google Patents

소프트 로그 액세스 포인트를 구동하는 공격 단말 색출 방법 및 이 방법을 수행하는 장치 Download PDF

Info

Publication number
KR20140057905A
KR20140057905A KR1020120124243A KR20120124243A KR20140057905A KR 20140057905 A KR20140057905 A KR 20140057905A KR 1020120124243 A KR1020120124243 A KR 1020120124243A KR 20120124243 A KR20120124243 A KR 20120124243A KR 20140057905 A KR20140057905 A KR 20140057905A
Authority
KR
South Korea
Prior art keywords
terminal
information
attack
frame
soft
Prior art date
Application number
KR1020120124243A
Other languages
English (en)
Inventor
안개일
권혁찬
이석준
김신효
정병호
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020120124243A priority Critical patent/KR20140057905A/ko
Priority to US13/729,156 priority patent/US20140130155A1/en
Publication of KR20140057905A publication Critical patent/KR20140057905A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 일 실시예에 따른 소프트 로그 AP를 구동하는 단말 색출 방법에 따르면, 비인가 소프트 로그 AP를 탐지하는 단계와, 탐지된 소프트 로그 AP의 정보, 탐지된 소프트 로그 AP에 접속된 접속 단말들의 정보 및 소프트 로그 AP와 연결성이 없는 공격 후보 단말들의 정보를 수집하여 저장하는 정보 수집 단계와, 저장된 소프트 로그 AP의 정보와 관련된 프레임을 수신하고 수신된 프레임에 기초하여 접속 단말들의 통신 패턴과 공격 후보 단말들의 통신 패턴의 유사성을 분석하는 통신 패턴 유사성 분석 단계 및 통신 패턴의 유사성 분석에 기초하여 소프트 로그 AP를 구동하는 공격 단말을 색출하는 공격 단말 색출 단계를 포함한다. 따라서, 소프트 로그 AP를 탐지할 수 있고, 소프트 로그 AP를 구동하는 공격 단말을 용이하게 색출할 수 있어, 소프트 로그 AP를 용이하게 차단할 수 있는 효과가 있다.

Description

소프트 로그 액세스 포인트를 구동하는 공격 단말 색출 방법 및 이 방법을 수행하는 장치{METHOD FOR TRACKING OUT ATTACK DEVICE DRIVING SOFT ROGUE ACCESS POINT AND APPARATUS POFORMING THE METHOD}
본 발명은 무선랜 보안에 관한 것으로, 더욱 상세하게는 소프트 로그 AP(Access Point)를 구동하는 공격 단말을 효과적으로 색출할 수 있는 소프트 로그 AP를 구동하는 공격 단말 색출 방법 및 이 방법을 수행하는 장치에 관한 것이다.
무선랜은 통신선로 없이도 손쉽게 네트워크에 접속할 수 있는 장점이 있었으나, 유선랜에 비해 상대적으로 느린 속도와 킬러 어플리케이션의 부재로 크게 각광받지 못했다.
그러나, 최근 무선랜 기술의 급속한 발전으로 유선랜에 버금가는 속도를 제공할 수 있게 됨에 따라 무선랜 수요가 폭발적으로 증가하고 있다. 특히, 유선랜 에 버금가는 속도 제공에 따라 스마트폰과 같은 모바일 기기가 개인생활은 물론 MDM(Mobile Device Management)과 BYOD(Bring Your Own Device)를 통한 비즈니스 업무 수행도 가능하게 되었다.
한편, 무선랜이 활성화되고 보편화되는데 제약이 되는 요소가 존재한다. 그 중 한가지는 바로 보안문제이다. 무선랜은 방화벽, IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 등 기존 보안시스템의 우회 침입이 가능하고, 위치에 상관없이 공격이 가능하므로 유선랜과 비교할 때 보안에 더 취약하다.
무선랜이 가지는 보안 문제를 일으키는 가장 핵심 요소는 바로 무선랜 도메인의 보안 정책을 따르지 않고 불법으로 설치된 로그(Rogue) AP(Access Point)이다.
여기서, 로그 AP는 사용자의 편의를 목적으로 유선 네트워크에 설치된 비인가 AP, 또는 공격자에 의해서 고의로 설치된 AP를 말한다. 이는 상당한 위협요소가 되는데 회사 내의 보안 정책을 거치지 않고 내부 유선망에 침입할 수 있으므로 로그 AP를 반드시 제거해야 한다. 만일 사용자의 부주의로 보안을 신경 쓰지 않은 채 AP를 연결하여 Ad-hoc 네트워크를 구성한다면 더욱 위험하게 되고 비인가 AP에 의한 네트워크 대역폭 낭비를 불러올 수도 있다.
로그 AP는 AP로서만 동작하는 전용 로그 AP와 무선 디바이스에서 소프트웨어에 의해 동작하는 소프트 로그 AP로 구분할 수 있다. 여기서, 소프트 로그 AP는 통상적으로 무선 디바이스에 USB 형태로 설치되어 동작한다.
상술한 로그 AP 문제를 해결하기 위해 비인가된 AP가 내부 도메인의 유선랜에 연결되어 있는지 검사하는 방법이 사용되었다.
그러나 상기 방법은 유선랜에 직접 연결되어 있는 전용 로그 AP를 탐지할 때는 효과적으로 동작하지만, 유선랜에 직접 연결되어 있지 않는 소프트 로그 AP를 구동하는 무선 디바이스의 색출을 더욱더 어렵게 한다는 문제점이 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 소프트 로그 AP를 효과적으로 차단할 수 있는 소프트 로그 AP를 구동하는 공격 단말 색출 방법을 제공하는 것이다.
또한, 본 발명의 다른 목적은 상기 소프트 로그 AP를 구동하는 공격 단말 색출 방법을 수행하는 장치를 제공하는 것이다.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 소프트 로그 AP를 구동하는 공격 단말 색출 방법에 따르면, 탐지된 비인가 소프트 로그 AP에 접속된 접속 단말들과 상기 소프트 로그 AP와 연결성이 없는 공격 후보 단말들의 정보를 수집하는 정보 수집 단계와, 상기 접속 단말들의 프레임 및 상기 공격 후보 단말들로부터 수신된 프레임에 기초하여 상기 접속 단말들의 통신 패턴과 상기 공격 후보 단말들의 통신 패턴의 유사성을 분석하는 통신 패턴 유사성 분석 단계와, 상기 통신 패턴의 유사성 분석에 기초하여 상기 소프트 로그 AP를 구동하는 공격 단말을 색출하는 공격 단말 색출 단계를 포함한다.
여기서, 상기 정보 수집 단계는, 미리 저장되어 있는 인가된 AP의 MAC 주소, 인가된 AP의 위치 정보 및 무선 신호 세기(Received Signal Strength Indication, RSSI) 중 적어도 하나에 기초하여 비인가 소프트 로그 AP를 탐지하는 단계를 포함할 수 있다.
여기서, 상기 통신 패턴 유사성 분석 단계는, 상기 공격 후보 단말들 중 검사할 공격 후보 단말을 선택하는 단계와, 상기 접속 단말들의 프레임 및 상기 선택한 공격 후보 단말로부터 프레임을 수신하는 단계 및 수신된 프레임의 암호화 여부에 따라 수신된 프레임으로부터 통신 정보를 추출하는 단계 및 상기 추출된 통신 정보에 기초하여 상기 접속 단말들의 통신 패턴과 상기 선택된 공격 후보 단말의 통신 패턴의 유사성을 분석하는 단계를 포함할 수 있다.
여기서, 상기 수신된 프레임의 암호와 여부에 따라 수신된 프레임으로부터 통신 정보를 추출하는 단계는, 상기 수신된 프레임이 암호화된 경우 상기 수신된 프레임에서 L2 프레임 정보를 추출하거나, 또는 상기 수신된 프레임이 암호화 되지 않은 경우 상기 수신된 프레임에서 L3 패킷 정보를 추출할 수 있다.
여기서, 상기 L2 프레임 정보는 발신지 MAC 주소, 수신지 MAC 주소, 프레임 전송 시간 및 프레임 크기 중 적어도 하나의 정보를 포함하고, 상기 L3 패킷 정보는 발신지 IP 주소, 목적지 IP 주소, 목적지 포트번호, 프로토콜 번호, 패킷 전송 시간 및 패킷 크기 중 적어도 하나의 정보를 포함할 수 있다.
여기서, 상기 공격 단말 색출 단계는, 추가로 검사할 공격 단말이 존재하는 경우 상기 통신 패턴 유사성 분석 단계를 반복 수행하는 단계를 포함할 수 있다.
여기서, 상기 공격 단말 색출 단계는, 추가로 검사할 공격 단말이 존재하지 않는 것으로 판단되면, 상기 분석된 통신 패턴의 유사성이 미리 설정된 임계치 이상인지 판단하는 단계 및 상기 분석된 통신 패턴의 유사성이 미리 설정된 임계치 이상인 것으로 판단되는 공격 후보 단말들 중 통신 패턴의 유사성이 가장 높은 단말을 상기 소프트로그 AP를 구동하는 공격 단말로 색출하는 단계를 포함할 수 있다.
여기서, 상기 공격 단말 색출 단계 이후에, 상기 색출된 공격 단말의 식별정보를 상기 색출된 공격 단말을 제어할 수 있는 서버에 전송하는 단계를 더 포함할 수 있다.
또한, 본 발명의 다른 목적을 달성하기 위한 본 발명의 일 실시예에 따른 공격 단말 색출 장치에 따르면, 무선 통신부와, 상기 무선 통신부로부터 탐지된 비인가 소프트 로그 AP에 접속된 접속 단말들과 상기 소프트 로그 AP와 연결성이 없는 공격 후보 단말들의 정보를 수집하는 정보 수집부 및 상기 접속 단말들의 통신 패턴과 상기 공격 후보 단말들의 통신 패턴의 유사성을 분석한 후, 분석 결과에 기초하여 상기 소프트 로그 AP를 구동하는 공격 단말을 색출하는 공격 단말 색출부를 포함한다.
여기서, 상기 정보 수집부는, 미리 저장되어 있는 인가된 AP의 MAC 주소, 인가된 AP의 위치 정보 및 무선 신호 세기(Received Signal Strength Indication, RSSI) 중 적어도 하나에 기초하여 비인가 소프트 로그 AP를 탐지할 수 있다.
여기서, 상기 공격 단말 색출부는, 상기 공격 후보 단말들 중 검사할 공격 후보 단말을 선택하고, 상기 접속 단말들의 프레임 및 상기 선택한 공격 후보 단말로부터 수신된 프레임으로부터 통신 정보를 추출하여 추출된 통신 정보를 제공하는 무선프레임 필터링 모듈 및 상기 통신 정보에 기초하여 상기 접속 단말들의 통신 패턴과 상기 선택된 공격 후보 단말의 통신 패턴의 유사성을 분석하는 통신 패턴 유사성 분석 모듈을 포함할 수 있다.
여기서, 상기 무선프레임 필터링 모듈은, 상기 수신된 프레임이 암호화된 경우 상기 수신된 프레임에서 L2 프레임 정보를 추출하거나, 또는 상기 수신된 프레임이 암호화 되지 않은 경우 상기 수신된 프레임에서 L3 패킷 정보를 추출할 수 있다.
여기서, 상기 L2 프레임 정보는 발신지 MAC 주소, 수신지 MAC 주소, 프레임 전송 시간 및 프레임 크기 중 적어도 하나의 정보를 포함하고, 상기 L3 패킷 정보는 발신지 IP 주소, 목적지 IP 주소, 목적지 포트번호, 프로토콜 번호, 패킷 전송 시간 및 패킷 크기 중 적어도 하나의 정보를 포함할 수 있다.
여기서, 상기 통신 패턴 유사성 분석 모듈은, 상기 분석된 통신 패턴의 유사성이 미리 설정된 임계치 이상인 것으로 판단되는 공격 후보 단말들 중 통신 패턴의 유사성이 가장 높은 단말을 상기 소프트로그 AP를 구동하는 공격 단말로 색출할 수 있다.
여기서, 상기 공격 단말 색출 장치는, 상기 색출된 공격 단말의 식별정보를 상기 색출된 공격 단말을 제어할 수 있는 서버에 전송하고, 상기 서버로부터 소프트 로그 AP 탐지 정책을 수신하는 통신 인터페이스부를 더 포함할 수 있다.
상기와 같은 본 발명의 일 실시예에 따른 소프트 로그 AP를 구동하는 공격 단말 색출 방법 및 이 방법을 수행하는 장치에 따르면, 소프트 로그 AP와 통신 중인 단말과 소프트 로그 AP 주변에 있는 공격 후보 단말로부터 프레임을 수신하고, 수신된 프레임에 기초하여 통신 유사성을 분석 한 후, 통신 유사성이 임계치 이상인 것으로 판단되면 해당 공격 후보 단말을 소프트 로그 AP를 구동하는 공격 단말로 색출한다.
따라서, 유선랜에 직접 연결되어 있지 않은 소프트 로그 AP의 경우에도, 소프트 로그 AP를 탐지할 수 있고, 소프트 로그 AP를 구동하는 공격 단말을 용이하게 색출할 수 있어, 소프트 로그 AP를 용이하게 차단할 수 있는 효과가 있다.
도 1은 무선랜 환경에서 비인가된 로그 AP의 사용예를 나타내는 개념도이다.
도 2는 본 발명의 일 실시예에 따른 소프트 로그 AP를 구동하는 단말을 색출하는 시스템의 동작 환경을 나타내는 개념도이다.
도 3은 도 2의 소프트 로그 AP를 구동하는 단말을 색출하는 시스템에서 수행되는 과정을 나타내는 순서도이다.
도 4는 본 발명의 일 실시예에 따른 소프트 로그 AP를 구동하는 공격 단말 색출 과정을 나타내는 흐름도이다.
도 5는 도 4의 과정 중 통신 패턴 유사성 분석에 관한 구체적인 과정을 나타내는 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 소프트 로그 액세스 포인트를 구동하는 공격 단말 색출 방법을 수행하는 공격 단말 색출 장치의 구성을 나타내는 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
본 발명에서 사용하는 단말은 이동국(MS), 사용자 장비(User Equipment: UE), 사용자 터미널(User Terminal: UT), 무선 터미널, 액세스 터미널(Access Terminal: AT), 가입자 유닛(Subscriber Unit: SU), 가입자 스테이션(Subscriber Station: SS), 무선 기기(wireless device), 무선 통신 디바이스, 무선송수신유닛(Wireless Transmit/Receive Unit: WTRU), 이동 노드, 모바일 또는 다른 용어들로서 지칭될 수 있다.
단말의 다양한 실시예들은 셀룰러 전화기, 무선통신 기능을 가지는 스마트 폰, 무선 통신 기능을 가지는 개인 휴대용 단말기(PDA), 무선 모뎀, 무선 통신 기능을 가지는 게이밍 장치, 무선 통신 기능을 가지는 음악 저장 및 재생 가전 제품, 무선 인터넷 접속 및 브라우징이 가능한 인터넷 가전제품뿐만 아니라 그러한 기능들의 조합들을 통합하고 있는 휴대형 유닛 또는 단말기들을 포함할 수 있으나, 이에 한정되는 것은 아니다.
도 1은 무선랜 환경에서 비인가된 로그 AP의 사용예를 나타내는 개념도이다.
도 1을 참조하면, 유선랜(1010)에 전용 로그 AP(1020)와 인가된 AP(1040)가 연결되어 있으며, 전용 로그 AP(1020)와 통신하는 무선 단말(1030), 인가된 AP(1040)와 통신하는 무선 단말(1050, 1060, 1090)이 있다.
무선 단말(1060, 1090)은 소프트 로그 AP(1070, 1100)을 각각 구동하고 있으며, 소프트 로그 AP(1070)는 무선 단말(1080)과 비암호 통신을 수행하고, 소프트 로그 AP(1100)는 무선 단말(1110)과 암호 통신을 수행한다.
여기서, 로그 AP(1020, 1070, 1100)는 내부의 유선랜(1010)에 연결된 경우 중간자 공격 및 도청 등의 공격을 통하여 해킹 및 정보유출 통로로 사용될 수 있기 때문에 무선랜 보안에 심각한 위협이 될 수 있다.
로그 AP를 탐지하기 위한 기술로 비인가된 AP(1020)가 내부 도메인의 유선랜(1010)에 연결되어 있는지 검사하는 기술이 있었다. 상기 기술은 만약 비인가된 AP가 유선랜(1010)에 연결되어 있으면 로그 AP로 간주하여 차단하며, 그렇지 않으면 외부 도메인에 속하는 외부 AP로 간주하여 아무런 조치도 취하지 않는다.
여기서, 비인가된 AP가 유선랜에 연결되어 있는지 여부를 검사하는 방법은 크게 유선랜 상에서 비인가된 AP가 유선랜에 연결되어 있는지를 검사하는 방법, 마크된 패킷을 보내어 확인하는 방법, 유선랜과 무선랜 상에서의 프레임 연관성을 검사하는 방법 등이 있다.
상술한 기술은 유선랜(1010)에 직접 연결되어 있는 전용 로그 AP(1020)를 탐지할 때 효과적인 기술이 될 수 있다. 그러나, 유선랜(1010)에 직접 연결되어 있지 않는 소프트 로그 AP(1070, 1100)를 구동하는 무선 단말(1060, 1090)을 색출하는 데는 어려움이 있다.
또한, 무선 단말(1090)과 같이 소프트 로그 AP(1100)가 암호 통신을 사용하여 다른 무선 단말(1110)만 통신하게 하는 경우, 소프트 로그 AP를 구동하는 무선 단말의 색출이 더 어려워진다.
도 2는 본 발명의 일 실시예에 따른 소프트 로그 AP를 구동하는 단말을 색출하는 시스템의 동작 환경을 나타내는 개념도이다.
도 2를 참조하면, 소프트 로그 AP를 구동하는 단말을 색출하는 시스템은 공격 단말 색출 장치(100), 공격 대응 서버(200) 및 공격 단말을 포함할 수 있다.
공격 단말 색출 장치(100)는 공격 대응 서버(200)로부터 소프트 로그 AP 탐지 정책을 수신하고, 수신된 소프트 로그 AP 탐지 정책에 기초하여 소프트 로그 AP를 구동하는 공격 단말을 색출한다.
이후, 공격 단말 색출 장치(100)는 색출한 공격 단말(300)의 식별정보를 공격 대응 서버(200)로 전송한다.
공격 대응 서버(200)는 수신된 공격 단말(300)의 식별정보에 기초하여 공격 단말(300)의 소프트 로그 AP 구동을 중지시킨다.
도 3은 도 2의 소프트 로그 AP를 구동하는 단말을 색출하는 시스템에서 수행되는 과정을 나타내는 순서도이다.
도 3을 참조하면, 공격 대응 서버(200)는 소프트 로그 AP 탐지 정책을 공격 단말 색출 장치(100)로 전송한다(S301).
여기서, 소프트 로그 AP 탐지 정책은 화이트 리스트(인가된 AP의 MAC 주소, 위치 정보 등)와 무선 신호 세기(Received Signal Strength Indication, RSSI)에 기초하여 소프트 로그 AP를 탐지하는 정책이다.
공격 단말 색출 장치(100)는 공격 대응 서버(200)로부터 수신된 소프트 로그 AP 탐지 정책에 기초하여 소프트 로그 AP를 탐지한다(S303).
구체적으로, 공격 단말 색출 장치(100)는 새로운 AP가 탐지되면 탐지된 AP의 MAC 주소가 상기 화이트 리스트에서 발견되지 않거나 또는 탐지된 AP의 무선 신호 세기가 전용 AP의 무선 신호 세기의 값과 다르면 소프트 로그 AP로 판단하여, 소프트 로그 AP가 탐지되었음을 확인한다.
이후, 공격 단말 색출 장치(100)는 탐지된 소프트 로그 AP를 구동하는 공격 단말을 색출한다(S305).
공격 단말 색출 장치(100)는 단계 305를 통해 색출된 공격 단말의 식별 정보를 공격 대응 서버(200)로 전송한다(S307).
공격 대응 서버(200)는 단계 307을 통해 수신된 공격 단말의 식별 정보가 수신되면, 공격 단말(300)의 MDM(Mobile Device Management) 모듈을 호출하여 소프트 로그 AP의 동작을 중단 시키도록 제어한다(S309).
여기서, 공격 단말(300)은 MDM 모듈을 탑재하고 있는 것으로 가정한다.
이하, 본 발명의 일 실시예에 따른 공격 단말 색출 장치에서 수행되는 로그 AP를 구동하는 공격 단말 색출 방법에 대해 설명하도록 한다.
도 4는 본 발명의 일 실시예에 따른 소프트 로그 AP를 구동하는 공격 단말 색출 과정을 나타내는 흐름도이다.
도 4를 참조하면, 공격 단말 색출 장치는 비인가된 소프트 로그 AP가 탐지되는지를 판단한다(S410).
여기서, 공격 단말 색출 장치는 미리 저장되어 있는 인가된 AP의 MAC 주소, 인가된 AP의 위치 정보 및 무선 신호 세기 등에 기초하여 비인가 소프트 로그 AP를 탐지할 수 있다.
이후, 공격 단말 색출 장치는 단계 410을 통해 소프트 로그 AP가 탐지된 것으로 판단되면 탐지된 소프트 로그 AP와 통신하는 접속 단말들의 정보를 수집한다(S420). 또한, 공격 단말 색출 장치는 소프트 로그 AP의 정보를 수집할 수 있으며, 단계 420에서 탐지된 소프트 로그 AP의 정보 및 접속 단말들의 정보를 저장할 수 있다.
여기서, 탐지된 소프트 로그 AP의 정보는 소프트 로그 AP의 식별자(예를 들어, MAC 주소)일 수 있고, 접속 단말들의 정보는 예를 들어, 접속 단말들의 MAC/IP 주소, 소프트 AP와 접속 유무 등의 정보를 포함할 수 있다.
공격 단말 색출 장치는 단계 410을 통해 소프트 로그 AP가 탐지된 것으로 판단되면 탐지된 소프트 로그 AP와 연결성이 없는 공격 후보 단말들의 정보를 수집하여 저장한다(S430).
이후, 공격 단말 색출 장치는 접속 단말들과 상기 공격 후보 단말들로부터 수신된 프레임에 기초하여 상기 접속 단말들의 통신 패턴과 상기 공격 후보 단말들의 통신 패턴의 유사성을 분석한다(S440).
공격 단말 색출 장치는 단계 440을 수행한 후 추가적으로 검사할 공격 후보 단말이 존재하는 지 판단한다(S450).
공격 단말 색출 장치는 단계 450에서 추가적으로 검사할 공격 후보 단말이 존재하는 것으로 판단되면 단계 440을 반복 수행한다.
또는, 공격 단말 색출 장치는 단계 450에서 추가적으로 검사할 공격 후보 단말이 존재하지 않는 것으로 판단되면 분석한 통신 패턴 유사성이 미리 설정된 임계치 이상인지 판단한다(S460).
이후, 공격 단말 색출 장치는 단계 460을 통해 공격 후보 단말의 통신 패턴 유사성이 미리 설정된 임계치 이상인 것으로 판단되면, 통신 패턴 유사성이 가장 높은 공격 후보 단말을 소프트 로그 AP를 구동하는 공격 단말로 색출한다(S470).
공격 단말 색출 장치는 단계 470을 통해 색출된 공격 단말의 식별 정보를 독출하여 상기 공격 단말을 제어할 수 있는 공격 대응 서버로 전송한다(S480).
본 발명의 일 실시예에 따른 로그 AP를 구동하는 공격 단말 색출 방법에 따르면, 내부 네트워크에 간접적으로 연결되어 해킹 및 정보유출 통로로 사용될 수 있는 소프트 로그 AP를 효과적으로 차단할 수 있다.
도 5는 도 4의 과정 중 통신 패턴 유사성 분석에 관한 구체적인 과정을 나타내는 흐름도이다.
도 5를 참조하면, 공격 단말 색출 장치는 공격 후보 단말들 중 검사를 수행할 공격 후보 단말을 선택한다(S441).
이후, 공격 단말 색출 장치는 상기 접속 단말들 및 상기 선택된 공격 후보 단말로부터 프레임을 수신한다(S442).
공격 단말 색출 장치는 단계 442를 통해 수신된 프레임이 암호화 되어 있는지 판단한다(S443).
공격 단말 색출 장치는 단계 443을 통해 수신된 프레임이 암호화되지 않은 것으로 판단되면, 수신된 프레임에서 L3 패킷 정보를 추출한다(S444).
여기서, L3 패킷 정보는 발신지 IP 주소, 목적지 IP 주소, 목적지 포트번호, 프로토콜 번호, 패킷 전송 시간 및 패킷 크기 등을 포함할 수 있다.
또는, 공격 단말 색출 장치는 단계 443을 통해 수신된 프레임이 암호화된 것으로 판단되면, 수신된 프레임에서 L2 프레임 정보를 추출한다(S445).
여기서, L2 프레임 정보는 발신지 MAC 주소, 수신지 MAC 주소, 프레임 전송 시간 및 프레임 크기 등을 포함할 수 있다.
이후, 공격 단말 색출 장치는 단계 444 또는 단계 445를 통해 추출된 정보에 기초하여 접속 단말들의 통신 패턴과 선택된 공격 후보 단말의 통신패턴의 유사성을 분석한다(S446).
여기서, 통신패턴의 유사성 분석은 예를 들어 도 1에서 소프트 로그 AP(1070)가 탐지되면, 소프트 로그 AP(1070)와 통신을 수행하는 접속 단말(1080)의 통신 패턴을 측정하고, 소프트 로그 AP(1070)와 연결성이 없이 주변에 있는 공격 후보 단말들(1050, 1060)의 인가된 AP(1040) 사이의 통신 패턴을 측정하여 수행될 수 있다.
구체적으로, 공격 단말 색출 장치는 (1)두 통신 연결간의 평균 전송률 차이, (2)두 통신 연결에서 특정 패킷(예를 들어, 특정 목적지 IP와 포트번호)이 양쪽 모두에서 발견되는지 여부 등에 기초하여 통신패턴의 유사성을 분석한다.
도 6은 본 발명의 일 실시예에 따른 소프트 로그 액세스 포인트를 구동하는 공격 단말 색출 방법을 수행하는 공격 단말 색출 장치의 구성을 나타내는 블록도이다.
도 6을 참조하면, 본 발명의 일 실시에에 따른 공격 단말 색출 장치는 통신 인터페이스부(110), 탐지 정책 저장부(120), 무선 통신부(130), 정보 수집부(140), 소프트 로그 AP 주변정보 저장부(150) 및 공격 단말 색출부(160)를 포함할 수 있다.
먼저, 통신 인터페이스부(110)는 공격 단말을 제어할 수 있는 공격 대응 서버(도 2의 200)로부터 소프트 로그 AP 탐지 정책을 수신하여 탐지 정책 저장부(120)에 제공한다.
또한, 통신 인터페이스부(110)는 공격 단말 색출부(160)로부터 제공 받은 공격 단말의 식별 정보를 공격 대응 서버(도 2의 200)로 전송한다.
탐지 정책 저장부(120)는 대용량의 비휘발성 저장장치(예를 들어, 하드디스크 드라이브)로 구성될 수 있고, 통신 인터페이스(100)를 통해 수신된 소프트 로그 AP 탐지정책이 저장될 수 있다.
여기서, 탐지 정책 저장부(120)은 소프트 로그 AP 탐지정책이 저장될 때마다 갱신될 수 있다.
무선 통신부(130)는 소프트 로그 AP에 접속된 접속 단말들과 상기 소프트 로그 AP와 연결성이 없이 주변에 있는 공격 후보 단말들의 정보를 수신하여 정보 수집부(140) 및 공격 단말 색출부(160)에 제공한다.
여기서, 무선 통신부(130)는 상기 접속 단말들 및 공격 후보 단말들과 802.11x(예를 들면, 802.11a, 802.11b, 802.11g, 802.11n, 802.11ac 등), 블루투스, 지그비(Zigbee), 초광대역 통신(UWB: Ultra Wide Band), 근거리 무선 통신(NFC: Near Field Communication), 바이너리 CDMA(B-CDMA: Binary Division Multiple Access), LTE(Long Term Evolution) 등의 다양한 무선 통신 기술을 이용하여 통신을 수행할 수 있다.
정보 수집부(140)는 탐지 정책 저장부(120)에 저장되어 있는 소프트 로그 AP 탐지 정책 기초하여 소프트 로그 AP를 탐지한다.
여기서, 정보 수집부(140)는 상기 탐지 정책 저장부(120)에 저장되어 있는 인가된 AP의 MAC 주소, 인가된 AP의 위치 정보 및 무선 신호 세기 등에 기초하여 소프트 로그 AP를 탐지할 수 있다.
또한, 정보 수집부(140)는 소프트 로그 AP가 탐지되면 무선 통신부(130)를 통해 탐지된 비인가 소프트 로그 AP에 접속된 접속 단말들과 상기 소프트 로그 AP와 연결성이 없는 공격 후보 단말들의 정보를 수집하고, 수집된 정보를 소프트 로그 AP 주변 정보 저장부(150)에 저장한다.
소프트 로그 AP 주변정보 저장부(150)는 정보 수집부(140)로부터 제공된 소프트 로그 AP에 접속된 접속 단말들과 상기 소프트 로그 AP와 연결성이 없는 공격 후보 단말들의 정보가 저장될 수 있다.
공격 단말 색출부(160)는 소프트 로그 AP 주변정보 저장부(150)에 저장된 정보와 무선 통신부(130)를 통해 수신한 정보를 통해 상기 접속 단말들의 통신 패턴과 상기 공격 후보 단말들의 통신 패턴의 유사성을 분석한 후, 분석 결과에 기초하여 소프트 로그 AP를 구동하는 공격 단말을 색출한다.
구체적으로, 공격 단말 색출부(160)는 무선프레임 필터링 모듈(161) 및 통신패턴 유사성 분석 모듈(163)을 포함할 수 있다. 또한, 무선프레임 필터링 모듈(161)은 L2 프레임 정보 추출 모듈(161-1)과 L3 패킷 정보 추출 모듈(161-2)을 포함할 수 있다.
무선프레임 필터링 모듈(161)은 공격 후보 단말들 중 검사할 공격 후보 단말을 선택하고, 접속 단말들의 프레임 및 상기 선택한 공격 후보 단말로부터 수신된 프레임으로부터 통신 정보를 추출하여 통신 패턴 유사성 분석 모듈(163)에 제공한다.
무선프레임 필터링 모듈(161)은 상기 접속 단말들의 프레임 및 선택한 공격 후보 단말로부터 수신된 프레임이 암호화된 경우 L2 프레임 정보 추출 모듈을 호출하여 수신된 프레임에서 L2 프레임 정보를 추출하고, 추출한 L2 프레임 정보를 통신패턴 유사성 분석 모듈(163)에 제공한다.
여기서, L2 프레임 정보는 발신지 MAC 주소, 수신지 MAC 주소, 프레임 전송 시간 및 프레임 크기 등의 정보를 포함할 수 있다.
또는, 무선프레임 필터링 모듈(161)은 상기 접속 단말들의 프레임 및 선택한 공격 후보 단말로부터 수신된 프레임이 암호화되지 않은 경우 L3 패킷 정보 추출 모듈을 호출하여 수신된 프레임에서 L3 패킷 정보를 추출하고, 추출한 L3 패킷 정보를 통신패턴 유사성 분석 모듈(163)에 전송한다.
여기서, L3 패킷 정보는 발신지 IP 주소, 목적지 IP 주소, 목적지 포트번호, 프로토콜 번호, 패킷 전송 시간 및 패킷 크기 등을 포함할 수 있다.
통신패턴 유사성 분석 모듈(163)은 무선프레임 필터링 모듈(161)로부터 제공 받은 통신 정보에 기초하여 접속 단말들의 통신 패턴과 선택된 공격 후보 단말의 통신패턴의 유사성을 분석한다.
여기서, 통신패턴 유사성 분석 모듈(163)은 예를 들어 도 1에서 소프트 로그 AP(1070)가 탐지되면, 소프트 로그 AP(1070)와 통신을 수행하는 접속 단말(1080)의 통신 패턴을 측정하고, 소프트 로그 AP(1070)와 연결성이 없이 주변에 있는 공격 후보 단말들(1050, 1060)의 인가된 AP(1040) 사이의 통신 패턴의 유사성을 측정할 수 있다.
구체적으로, 통신패턴 유사성 분석 모듈(163)은 (1)두 통신 연결간의 평균 전송률 차이, (2)두 통신 연결에서 특정 패킷(예를 들어, 특정 목적지 IP와 포트번호)이 양쪽 모두에서 발견되는지 여부 등에 기초하여 통신패턴의 유사성을 분석한다.
또한, 통신패턴 유사성 분석 모듈(163)은 통신 패턴의 유사성 측정 결과 공격 후보 단말의 통신 패턴 유사성이 미리 설정된 임계치 이상인 것으로 판단되면, 통신 패턴 유사성이 가장 높은 공격 후보 단말을 소프트 로그 AP를 구동하는 공격 단말로 색출한다.
또한, 통신패턴 유사성 분석 모듈(163)은 색출된 공격 단말의 식별 정보를 독출하여 상기 공격 단말을 제어할 수 있는 공격 대응 서버(도 2의 200)로 전송한다.
본 발명의 일 실시예에 따른 로그 AP를 구동하는 공격 단말 색출 방법에 따르면, 내부 네트워크에 간접적으로 연결되어 해킹 및 정보유출 통로로 사용될 수 있는 소프트 로그 AP를 효과적으로 차단할 수 있다.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 공격 단말 색출 장치 110: 통신 인터페이스부
120: 탐지 정책 저장부 130: 무선 통신부
140: 정보 수집부 150: 소프트 로그 AP 주변정보 저장부
160: 공격 단말 색출부 161: 무선프레임 필터링 모듈
161-1: L2 프레임 정보 추출 모듈 161-2: L3 패킷 정보 추출 모듈
163: 통신패턴 유사성 분석 모듈

Claims (15)

  1. 비인가 소프트 로그 AP를 탐지하는 단계;
    상기 탐지된 소프트 로그 AP의 정보, 상기 탐지된 소프트 로그 AP에 접속된 접속 단말들의 정보 및 상기 소프트 로그 AP와 연결성이 없는 공격 후보 단말들의 정보를 수집하여 저장하는 정보 수집 단계;
    상기 저장된 소프트 로그 AP의 정보와 관련된 프레임을 수신하고 수신된 프레임에 기초하여 상기 접속 단말들의 통신 패턴과 상기 공격 후보 단말들의 통신 패턴의 유사성을 분석하는 통신 패턴 유사성 분석 단계; 및
    상기 통신 패턴의 유사성 분석에 기초하여 상기 소프트 로그 AP를 구동하는 공격 단말을 색출하는 공격 단말 색출 단계를 포함하는 소프트 로그 AP를 구동하는 공격 단말 색출 방법.
  2. 청구항 1에 있어서,
    상기 비인가 소프트 로그 AP를 탐지하는 단계는,
    미리 저장되어 있는 인가된 AP의 MAC 주소, 인가된 AP의 위치 정보 및 무선 신호 세기(Received Signal Strength Indication, RSSI) 중 적어도 하나에 기초하여 비인가 소프트 로그 AP를 탐지하는 단계를 포함하는 것을 특징으로 하는 소프트 로그 AP를 구동하는 공격 단말 색출 방법.
  3. 청구항 1에 있어서,
    상기 통신 패턴 유사성 분석 단계는,
    상기 접속 단말들 및 상기 공격 후보 단말 중 소정 공격 후보 단말로부터 각각 프레임을 수신하는 단계;
    수신된 각각의 프레임으로부터 통신 정보를 추출하는 단계; 및
    상기 추출된 통신 정보를 비교하여 상기 접속 단말들의 통신 패턴과 상기 선택된 공격 후보 단말의 통신 패턴의 유사성을 분석하는 단계를 포함하는 것을 특징으로 하는 소프트 로그 AP를 구동하는 공격 단말 색출 방법.
  4. 청구항 3에 있어서,
    수신된 각각의 프레임으로부터 통신 정보를 추출하는 단계는,
    상기 수신된 각각의 프레임의 암호화 여부에 따라 통신 정보를 추출하되,
    상기 수신된 각각의 프레임이 암호화된 경우 상기 수신된 프레임에서 L2 프레임 정보를 추출하거나,
    또는 상기 수신된 프레임이 암호화 되지 않은 경우 상기 수신된 프레임에서 L3 패킷 정보를 추출하는 것을 특징으로 하는 소프트 로그 AP를 구동하는 공격 단말 색출 방법.
  5. 청구항 4에 있어서,
    상기 L2 프레임 정보는 발신지 MAC 주소, 수신지 MAC 주소, 프레임 전송 시간 및 프레임 크기 중 적어도 하나의 정보를 포함하고, 상기 L3 패킷 정보는 발신지 IP 주소, 목적지 IP 주소, 목적지 포트번호, 프로토콜 번호, 패킷 전송 시간 및 패킷 크기 중 적어도 하나의 정보를 포함하는 것을 특징으로 하는 소프트 로그 AP를 구동하는 공격 단말 색출 방법.
  6. 청구항 1에 있어서,
    상기 공격 단말 색출 단계는,
    추가로 검사할 공격 단말이 존재하는 경우 상기 통신 패턴 유사성 분석 단계를 반복 수행하는 단계를 포함하는 것을 특징으로 하는 소프트 로그 AP를 구동하는 공격 단말 색출 방법.
  7. 청구항 1에 있어서,
    상기 공격 단말 색출 단계는,
    추가로 검사할 공격 단말이 존재하지 않는 것으로 판단되면, 상기 분석된 통신 패턴의 유사성이 미리 설정된 임계치 이상인지 판단하는 단계; 및
    상기 분석된 통신 패턴의 유사성이 미리 설정된 임계치 이상인 것으로 판단되는 공격 후보 단말들 중 통신 패턴의 유사성이 가장 높은 단말을 상기 소프트 로그 AP를 구동하는 공격 단말로 색출하는 단계를 포함하는 것을 특징으로 하는 소프트 로그 AP를 구동하는 공격 단말 색출 방법.
  8. 청구항 1에 있어서,
    상기 공격 단말 색출 단계 이후에,
    상기 색출된 공격 단말의 식별정보를 상기 색출된 공격 단말을 제어할 수 있는 서버에 전송하는 단계를 더 포함하는 것을 특징으로 하는 공격 단말을 색출하는 방법.
  9. 무선 통신부;
    비인가 소프트 로그 AP를 탐지하고, 상기 비인가 소프트 로그 AP에 접속된 접속 단말들과 상기 소프트 로그 AP와 연결성이 없는 공격 후보 단말들의 정보를 상기 무선 통신부를 통해 수집하는 정보 수집부; 및
    상기 접속 단말들의 통신 패턴과 상기 공격 후보 단말들의 통신 패턴의 유사성을 분석한 후, 분석 결과에 기초하여 상기 소프트 로그 AP를 구동하는 공격 단말을 색출하는 공격 단말 색출부를 포함하는 공격 단말 색출 장치.
  10. 청구항 9에 있어서,
    상기 정보 수집부는,
    미리 저장되어 있는 인가된 AP의 MAC 주소, 인가된 AP의 위치 정보 및 무선 신호 세기(Received Signal Strength Indication, RSSI) 중 적어도 하나에 기초하여 비인가 소프트 로그 AP를 탐지하는 것을 특징으로 하는 공격 단말 색출 장치.
  11. 청구항 9에 있어서,
    상기 공격 단말 색출부는,
    상기 접속 단말들 및 상기 공격 후보 단말 중 소정 공격 후보 단말로부터 각각 프레임을 수신하고, 수신된 프레임으로부터 통신 정보를 추출하여 추출된 통신 정보를 제공하는 무선프레임 필터링 모듈; 및
    상기 제공된 통신 정보를 비교하여 상기 접속 단말들의 통신 패턴과 상기 소정 공격 후보 단말의 통신 패턴의 유사성을 분석하는 통신 패턴 유사성 분석 모듈을 포함하는 것을 특징으로 하는 공격 단말 색출 장치.
  12. 청구항 11에 있어서,
    상기 무선프레임 필터링 모듈은,
    상기 수신된 프레임이 암호화된 경우 상기 수신된 프레임에서 L2 프레임 정보를 추출하거나,
    또는 상기 수신된 프레임이 암호화 되지 않은 경우 상기 수신된 프레임에서 L3 패킷 정보를 추출하는 것을 특징으로 하는 공격 단말 색출 장치.
  13. 청구항 12에 있어서,
    상기 L2 프레임 정보는 발신지 MAC 주소, 수신지 MAC 주소, 프레임 전송 시간 및 프레임 크기 중 적어도 하나의 정보를 포함하고, 상기 L3 패킷 정보는 발신지 IP 주소, 목적지 IP 주소, 목적지 포트번호, 프로토콜 번호, 패킷 전송 시간 및 패킷 크기 중 적어도 하나의 정보를 포함하는 것을 특징으로 하는 공격 단말 색출 장치.
  14. 청구항 11에 있어서,
    상기 통신 패턴 유사성 분석 모듈은,
    상기 분석된 통신 패턴의 유사성이 미리 설정된 임계치 이상인 것으로 판단되는 공격 후보 단말들 중 통신 패턴의 유사성이 가장 높은 단말을 상기 소프트 로그 AP를 구동하는 공격 단말로 색출하는 것을 특징으로 하는 공격 단말 색출 장치.
  15. 청구항 9에 있어서,
    상기 공격 단말 색출 장치는,
    상기 색출된 공격 단말의 식별정보를 상기 색출된 공격 단말을 제어할 수 있는 서버에 전송하고, 상기 서버로부터 소프트 로그 AP 탐지 정책을 수신하는 통신 인터페이스부를 더 포함하는 것을 특징으로 하는 공격 단말 색출 장치.
KR1020120124243A 2012-11-05 2012-11-05 소프트 로그 액세스 포인트를 구동하는 공격 단말 색출 방법 및 이 방법을 수행하는 장치 KR20140057905A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020120124243A KR20140057905A (ko) 2012-11-05 2012-11-05 소프트 로그 액세스 포인트를 구동하는 공격 단말 색출 방법 및 이 방법을 수행하는 장치
US13/729,156 US20140130155A1 (en) 2012-11-05 2012-12-28 Method for tracking out attack device driving soft rogue access point and apparatus performing the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120124243A KR20140057905A (ko) 2012-11-05 2012-11-05 소프트 로그 액세스 포인트를 구동하는 공격 단말 색출 방법 및 이 방법을 수행하는 장치

Publications (1)

Publication Number Publication Date
KR20140057905A true KR20140057905A (ko) 2014-05-14

Family

ID=50623650

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120124243A KR20140057905A (ko) 2012-11-05 2012-11-05 소프트 로그 액세스 포인트를 구동하는 공격 단말 색출 방법 및 이 방법을 수행하는 장치

Country Status (2)

Country Link
US (1) US20140130155A1 (ko)
KR (1) KR20140057905A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106330935A (zh) * 2016-08-30 2017-01-11 上海交通大学 一种钓鱼Wi‑Fi的检测方法
KR102482245B1 (ko) * 2022-06-17 2022-12-28 (주)노르마 네트워크에 대한 모니터링을 수행하는 이동식 로봇 및 이의 동작 방법

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016014728A1 (en) * 2014-07-22 2016-01-28 Parallel Wireless, Inc. Signaling storm reduction from radio networks
US9900801B2 (en) 2014-08-08 2018-02-20 Parallel Wireless, Inc. Congestion and overload reduction
US10085328B2 (en) 2014-08-11 2018-09-25 RAB Lighting Inc. Wireless lighting control systems and methods
US10039174B2 (en) 2014-08-11 2018-07-31 RAB Lighting Inc. Systems and methods for acknowledging broadcast messages in a wireless lighting control network
US10531545B2 (en) 2014-08-11 2020-01-07 RAB Lighting Inc. Commissioning a configurable user control device for a lighting control system
KR20170096780A (ko) * 2016-02-17 2017-08-25 한국전자통신연구원 침해사고 정보 연동 시스템 및 방법
US10911956B2 (en) * 2017-11-10 2021-02-02 Comcast Cable Communications, Llc Methods and systems to detect rogue hotspots
US11190510B2 (en) 2017-11-15 2021-11-30 Parallel Wireless, Inc. Two-factor authentication in a cellular radio access network
US11121871B2 (en) 2018-10-22 2021-09-14 International Business Machines Corporation Secured key exchange for wireless local area network (WLAN) zero configuration
EP3671253A1 (en) 2018-12-20 2020-06-24 HERE Global B.V. Crowd-sourcing of potentially manipulated radio signals and/or radio signal parameters
EP3672305B1 (en) 2018-12-20 2023-10-25 HERE Global B.V. Enabling flexible provision of signature data of position data representing an estimated position
EP3672311A1 (en) 2018-12-20 2020-06-24 HERE Global B.V. Device-centric learning of manipulated positioning
EP3672310A1 (en) 2018-12-20 2020-06-24 HERE Global B.V. Identifying potentially manipulated radio signals and/or radio signal parameters based on radio map information
EP3671254A1 (en) 2018-12-20 2020-06-24 HERE Global B.V. Service for real-time spoofing/jamming/meaconing warning
EP3672304A1 (en) * 2018-12-20 2020-06-24 HERE Global B.V. Statistical analysis of mismatches for spoofing detection
US11696137B2 (en) * 2020-07-31 2023-07-04 T-Mobile Usa, Inc. Detecting malicious small cells based on a connectivity schedule

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7590418B1 (en) * 2006-01-20 2009-09-15 Cisco Technology, Inc. Method and apparatus of a location server for hierarchical WLAN systems
US20070186276A1 (en) * 2006-02-09 2007-08-09 Mcrae Matthew Auto-detection and notification of access point identity theft
US7971251B2 (en) * 2006-03-17 2011-06-28 Airdefense, Inc. Systems and methods for wireless security using distributed collaboration of wireless clients
US8000698B2 (en) * 2006-06-26 2011-08-16 Microsoft Corporation Detection and management of rogue wireless network connections
US20080186932A1 (en) * 2007-02-05 2008-08-07 Duy Khuong Do Approach For Mitigating The Effects Of Rogue Wireless Access Points

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106330935A (zh) * 2016-08-30 2017-01-11 上海交通大学 一种钓鱼Wi‑Fi的检测方法
KR102482245B1 (ko) * 2022-06-17 2022-12-28 (주)노르마 네트워크에 대한 모니터링을 수행하는 이동식 로봇 및 이의 동작 방법
US11772273B1 (en) 2022-06-17 2023-10-03 Norma Inc. Mobile robot for monitoring network and operation method for same

Also Published As

Publication number Publication date
US20140130155A1 (en) 2014-05-08

Similar Documents

Publication Publication Date Title
KR20140057905A (ko) 소프트 로그 액세스 포인트를 구동하는 공격 단말 색출 방법 및 이 방법을 수행하는 장치
KR101541073B1 (ko) 안전한 클라우드 환경 구현을 위한 스마트기기 기반의 모바일 침입 방지 시스템 및 방법
KR102329493B1 (ko) 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치
US20150040194A1 (en) Monitoring of smart mobile devices in the wireless access networks
EP2919500B1 (en) Method and apparatus for monitoring network device
US7710933B1 (en) Method and system for classification of wireless devices in local area computer networks
CN107197456B (zh) 一种基于客户端的识别伪ap的检测方法及检测装置
KR102323712B1 (ko) Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법
Kim et al. Online detection of fake access points using received signal strengths
WO2008001972A1 (en) Method for proactively preventing wireless attacks and apparatus thereof
US10055581B2 (en) Locating a wireless communication attack
US20140282905A1 (en) System and method for the automated containment of an unauthorized access point in a computing network
CN104270366B (zh) 检测karma攻击的方法及装置
KR20140035600A (ko) 무선 침입방지 동글 장치
Zhang et al. An overview of wireless intrusion prevention systems
CN103401845A (zh) 一种网址安全性的检测方法、装置
US20160164889A1 (en) Rogue access point detection
WO2010133634A1 (en) Wireless intrusion detection
KR101083727B1 (ko) 무선 네트워크 보안 장치 및 그 방법
CN111050397B (zh) 对使用伪mac策略移动终端的定位方法
KR101640074B1 (ko) 무선 디바이스의 rf 특징 수집 장치 및 방법
KR101557857B1 (ko) 무선침입방지시스템의 탐지장치
Lodro et al. Experimental Evaluation of a Wireless Local Area Network (WLAN) Impersonator Detection System Using Deep Learning
KR20160072533A (ko) 무선랜 침입방지를 위한 채널 스케줄링 장치 및 방법
Masiukiewicz et al. Security Threats in Wi-Fi Networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application