KR20140115574A - 보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템 - Google Patents

보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템 Download PDF

Info

Publication number
KR20140115574A
KR20140115574A KR1020130030238A KR20130030238A KR20140115574A KR 20140115574 A KR20140115574 A KR 20140115574A KR 1020130030238 A KR1020130030238 A KR 1020130030238A KR 20130030238 A KR20130030238 A KR 20130030238A KR 20140115574 A KR20140115574 A KR 20140115574A
Authority
KR
South Korea
Prior art keywords
packet
security
node
attack
wsn
Prior art date
Application number
KR1020130030238A
Other languages
English (en)
Other versions
KR101448091B1 (ko
Inventor
정지은
송병훈
Original Assignee
전자부품연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전자부품연구원 filed Critical 전자부품연구원
Priority to KR1020130030238A priority Critical patent/KR101448091B1/ko
Publication of KR20140115574A publication Critical patent/KR20140115574A/ko
Application granted granted Critical
Publication of KR101448091B1 publication Critical patent/KR101448091B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템이 제공된다. 본 발명의 실시예에 따른 WSN 보안 시스템은, WSN의 패킷을 스니핑하는 적어도 하나의 패킷 스니퍼 및 패킷 스니퍼로부터 스니핑된 패킷을 전달받아 WSN에 대한 보안 공격을 감지하는 모니터링 서버를 포함한다. 이에 의해, 기존의 보안 관리 프로토콜처럼 부가적인 컨트롤 패킷을 생성하지 않아 네트워크의 부하를 줄이고 노드의 베터리 소모를 줄일 수 있으며, 기존의 무선 센서 네트워크 프로토콜 스택을 변경하지 않고, 상위 어플리케이션 레이어에서 보안 탐지가 가능하므로 호환성이 높다.

Description

보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템{Wireless Sensor Network Security Method with Security Attack Detection and Security System using the same}
본 발명은 센서 네트워크 모니터링에 관한 것으로, 더욱 상세하게는, 센서 네트워크의 보안 공격을 감지하는 센서 네트워크 모니터링 장치 및 이에 적용되는 모니터링 방법에 관한 것이다.
최근 무선 센서 네트워크 기술은 시범사업 수준의 테스트 환경을 벗어나 산업 현장 전반에 적용되고 있으며, 현장 시험 및 시범사업을 통한 결과를 바탕으로 공장제어/감시, 물류관리, 방재, 환경/수질감지, 실내 온습도 감시 등의 다양한 영역에 추진되고 있다.
그러나, 아직까지 무선 센서 네트워크 기술은 신뢰성, 보안성, 호환성 취약의 문제로 인해, 대규모 플랜트와 같은 난환경 산업 현장(Industrial Area)에서의 사업화는 어려운 실정이다.
지금까지, 무선 센서 네트워크 기술과 관련하여 수많은 연구 개발이 수행되어 왔지만, 대부분이 네트워크 라우팅, 신뢰성, QoS(Quality of Service), 에너지관리 이슈들을 중심으로 다루어져 왔으며, 현재 운용 중인 센서 네트워크의 네트워크 보안 안정성 검증 및 문제 진단과 관련된 연구는 크게 주목받지 못하였다.
또한, 센서 네트워크 보안 검증을 위해 개발된 여러 툴(e.g. 디버거, 시뮬레이션, 에뮬레이터 툴 등)은 사전 분석에는 용이하지만 현재 설치되어 운영 중인 센서 네트워크 보안 관리에는 적합하지 않다.
기존의 무선 네트워크 관련 보안 관리 솔루션이 많이 제안되었던 것과 달리, 무선 센서 네트워크와 관련된 다양한 툴과 기법이 제안되지 못한 것은 무선 센서 네트워크의 제한된 대역폭과 전원, 즉 자원 때문이다.
무선 센서 네트워크 운영 상황을 실시간으로 모니터링 하기 위해서는 컨트롤 패킷(Control packet)을 많이 생성하고 전달할 수밖에 없으나, 이는 센서 노드의 배터리와 네트워크 부하를 가져올 수 있기 때문이다.
기존의 많은 시스템들이 센서 노드에 디버깅 에이전트(Debugging agent)를 설치하여, 주기적으로 미리 정의된 컨트롤 파라미터를 싱크 노드에 전달하는 방식을 채택하였다. 예를 들면, 싱크 노드가 센서 노드로부터 운영 상태와 관련된 라우팅 테이블, 흐름 정보를 받아, 노드와 네트워크 상태를 분석하는 기법을 사용하였다. 하지만 이와 같은 방식은 센서 노드에 부하를 가져올 수 있으며, 에너지 소모를 가속화시키는 악영향을 끼칠 수 있다.
특히나 산업용 무선 센서 네트워크에서 보안 매우 중요한 부분이므로, 효율적이고 동시에 네트워크에 부담을 주지 않는 보안성 보장과 공격 탐지 프레임 워크의 개발은 반드시 선행되어야 한다.
산업용 무선 센서 네트워크에서 보안이 매우 중요한 부분이므로, 효율적이면서 동시에 네트워크에 부담을 주지 않는 보안성 보장과 공격 탐지 프레임 워크의 개발이 반드시 필요하다. 그러나 기존에 제안된 보안 기법들은 추가사항으로써 실제 무선 센서 네트워크에 구현 및 운용되지 않는 경우가 많으며, 보안 기법이 구현되어 있더라도 보안상의 허점이 존재할 수 있다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은, 산업용 무선 센서네트워크에서는 패킷 스니핑 기법을 활용하여 악의적인 요소들을 효과적으로 제거할 수 있는 보안 공격 감지 방법을 제공함에 있다.
특히, 본 발명은 기존의 보안 관리 프로토콜처럼 컨트롤 패킷을 추가로 생성 및 전달하지 않아 네트워크와 노드의 부하를 줄일 수 있고, 다양한 보안 공격에 대한 감지 알고리즘으로 내외부적인 네트워크 공격에 대응할 수 있는 무선 센서네트워크 보안 방법 및 시스템을 제공함에 있다.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른, WSN 보안 시스템은, WSN의 패킷을 스니핑하는 적어도 하나의 패킷 스니퍼; 및 상기 패킷 스니퍼로부터 스니핑된 패킷을 전달받아 상기 WSN에 대한 보안 공격을 감지하는 모니터링 서버;를 포함한다.
그리고, 상기 모니터링 서버는, 지정된 호핑 패턴의 채널 순서를 따르지 않는 노드를 공격 노드로 판단할 수 있다.
또한, 상기 모니터링 서버는, 지정된 호핑 패턴의 채널 순서를 따르지 않고 전송률이 임계치를 초과하는 노드를 공격 노드로 판단할 수 있다.
그리고, 상기 모니터링 서버는, 패킷의 전달 경로가 시퀀스 종료 전에 변경되는 경우 공격 받는 것으로 판단할 수 있다.
또한, 상기 모니터링 서버는, 시퀀스 종료 전에 패킷의 Graph ID가 변경된 노드는 공격을 받는 노드로 판단할 수 있다.
그리고, 상기 모니터링 서버는, 수신되는 패킷 수가 포워딩되는 패킷 수 보다 설정된 임계치를 초과하여 많은 노드는 공격 받는 노드로 판단할 수 있다.
또한, 상기 모니터링 서버는, 소스가 소속된 블럭과 목적지가 소속된 블럭 간의 거리가 설정된 임계치를 초과하면, 상기 WSN이 공격 받는 것으로 판단할 수 있다.
그리고, 상기 모니터링 서버는, 상기 WSN의 토폴로지 뷰에서 감지된 보안 공격을 표시하여 관리자에 안내할 수 있다.
한편, 본 발명의 다른 실시예에 따른, WSN 보안 방법은, WSN의 패킷을 스니핑하는 단계; 및 상기 스니핑 단계에서 스니핑된 패킷으로부터 상기 WSN에 대한 보안 공격을 감지하는 단계;를 포함한다.
이상 설명한 바와 같이, 본 발명의 실시예들에 따르면, 기존의 보안 관리 프로토콜처럼 부가적인 컨트롤 패킷을 생성하지 않아 네트워크의 부하를 줄이고 노드의 베터리 소모를 줄일 수 있게 된다.
또한, 기존의 무선 센서 네트워크(e.g., Zigbee, ISA100 등) 프로토콜 스택을 변경하지 않고, 상위 어플리케이션 레이어에서 보안 탐지가 가능하므로 호환성이 높다.
아울러, 패킷스니핑(Packet Sniffing) 디바이스와 모니터링 SW에 구현된 알고리즘을 통해 악성 소스를 효율적으로 탐지하고 제거할 수 있으며, 가장 일반적인 보안 공격인 Denial of Service(DoS), Routing Falsification Attack, Sinkhole Attack, Wormhole Attack 에 대한 보안 관리 시나리오를 지원하여 보안 안정성을 높일 수 있게 된다.
도 1은 본 발명이 적용가능한 산업용 무선 네트워크 시스템을 도시한 도면,
도 2는, 도 1에 도시된 패킷 스니퍼의 상세 블럭도,
도 3은 모니터링 SW의 상세 구조를 나타낸 도면,
도 4는 모니터링 SW의 기본 동작 프로세스를 나타낸 도면,
도 5는 산업용 무선통신 표준의 채널 호핑 패턴의 예를 나타낸 도면,
도 6은 Dos 공격 감지 과정의 설명에 제공되는 흐름도,
도 7은 DPDU 구조를 나타낸 도면,
도 8은 Dos 공격 노드 안내 방식의 설명에 제공되는 도면,
도 9는 RF 공격 감지 과정의 설명에 제공되는 흐름도,
도 10은 SH 공격 감지 과정의 설명에 제공되는 흐름도,
도 11은 WH 공격 형태를 나타낸 도면,
도 12는 서브넷 블럭의 설명에 제공되는 도면,
도 13은 웜홀 공격 탐지 방법의 설명에 제공되는 도면, 그리고,
도 14는 WH 공격 감지 방법의 설명에 제공되는 흐름도이다.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.
산업 환경에서 사용되는 무선 제어 및 통신 기술은 기기의 이상과 오작동 알람 등의 '비주기적 긴급데이터'와 기기의 상태 및 제어를 위한 '주기적 I/O 데이터' 두 가지를 효과적으로 전송하기 위해 신뢰성과 실시간성을 만족해야 한다. 이러한 제약들로 인해 그동안 현장에서는 대부분 유선 기반의 제어망과 필드버스 기술들이 사용되어 왔다.
하지만, 최근 들어 무선 통신 기술의 성능과 신뢰성이 향상되고, 노드 당 가격이 저렴해지면서 무선 통신을 이용한 무선 제어망에 대한 연구들이 진행되고 있다. 무선 기술의 적용은 장비들의 연결성, 케이블링과 같은 유선 필드버스의 한계를 극복할 수 있고, 산업용 시스템의 유연성을 높일 수 있는 장점들이 있다. 이로 인해 기존 무선 기술의 장점들과 필드버스의 요구 사항들을 바탕으로 IEEE802.15.4 기반의 WirelessHART, ISA100.11a 무선 제어기술들이 연구되고 있다.
현재 지그비(Zigbee), IEEE802.15.4 기반의 WirelessHART, ISA100.11a와 같은 무선 제어 기술이 산업용 환경에 적용하기 위해서는 여러 가지 극복해야할 문제가 있으며, 그 중 가장 대표적인 산업 요구사항으로는 실시간성, 신뢰성, 그리고 보안성이다.
그러나, 무선 센서 네트워크의 제한된 대역폭과 전원, 즉 자원 때문에 이를 해결하는데 어려움이 많다. 특히나 무선 센서 네트워크 보안 상황을 실시간으로 모니터링 하기 위해서는 컨트롤 패킷(control packet)을 많이 생성하여 전달할 수밖에 없으나 이는 센서 노드의 배터리와 네트워크 부하를 가져올 수 있는 단점이 있다.
기존의 많은 시스템들이 센서 노드에 디버깅 에이전트(debugging agent)를 설치하여, 주기적으로 미리 정의된 컨트롤 파라미터를 싱크 노드에 전달하는 방식을 채택하였다. 예를 들면, 싱크 노드가 센서 노드로부터 운영 상태와 관련된 라우팅 테이블, 흐름 정보를 받아, 노드와 네트워크 상태를 분석하는 기법을 사용하였다. 하지만, 이와 같은 방식은 센서 노드에 부하를 가져올 수 있으며, 배터리 소모를 가속화시키는 악영향을 끼칠 수 있다.
따라서, 본 발명의 실시예에서는 산업용 무선 센서네트워크에서 악의적인 요소들을 제거할 수 있는 효율적인 보안 탐지 방법을 제안한다. 본 실시예에 따른 방법은 기존의 보안관리 프로토콜처럼 컨트롤 패킷을 추가로 생성하지 않아 네트워크와 노드의 부하를 줄일 수 있으며, 다양한 보안 공격에 대한 감지 알고리즘을 구현하여 내외부적인 네트워크 공격에 대응할 수 있다.
1. 전제 시스템 개요
도 1은 본 발명이 적용가능한 산업용 무선 네트워크 시스템을 도시한 도면이다. 본 발명이 적용가능한 산업용 무선 네트워크 시스템은 센서들(10)과 게이트웨이(30)로 구축되는 WSN(Wireless Sensor Network)을 포함하고, 이 WSN을 모니터링하기 위한 패킷 스니퍼들(100-1,100-2), 모니터링 서버(200) 및 원격 클라이언트들(300-1,300-2)을 포함한다.
패킷 스니퍼들(100-1,100-2)은 모니터링 대상인 타겟 WSN에서 전달되는 패킷들을 스니핑(Sniffing)하여, 모니터링 SW가 설치되어 있는 모니터링 서버(200)로 전달한다. 패킷 스니핑 영역은 패킷 스니퍼들(100-1,100-2) 마다 다르게 설정된다. 도 1에 도시된 바와 같이 패킷 스니퍼-1(100-1)의 패킷 스니핑 영역(20-1)과 패킷 스니퍼-2(100-2)의 패킷 스니핑 영역(20-2)은 다르다. 패킷 스니핑 영역은 고정되지 않고 가변될 수 있다.
모니터링 서버(200)는 모니터링 SW로 스니핑된 패킷을 분석하여 운용 중인 WSN의 보안 안정성을 검증하고, 검증 결과를 원격 클라이언트들(300-1,300-2)을 통해 관리자들에 안내한다.
2. 시스템 구성
2.1 패킷 스니퍼
이하에서, 도 1에 도시된 패킷 스니퍼들(100-1,100-2)에 대해 도 2를 참조하여 상세히 설명한다. 도 2에는 패킷 스니퍼들(100-1,100-2)을 참조부호 "100"으로 대표하여 도시한 상세 블럭도이다. 도 2에는 이해와 설명의 편의를 위해, 모니터링 서버(200)를 더 도시하였다.
도 2에 도시된 바와 같이, 패킷 스니퍼(100)는 RF 송수신부(110), 컨트롤러(120), UART I/F(130) 및 네트워크 I/F(140)를 포함한다.
RF 송수신부(110)는 WSN에서 전달되는 패킷들을 스니핑하고, 컨트롤러(120)는 RF 송수신부(110)에 의해 스니핑된 패킷들을 UART I/F(130) 또는 네트워크 I/F(140)를 통해 모니터링 서버(200)로 전달한다.
UART I/F(130)는 모니터링 서버(200)와의 유선 인터페이스를 가능하게 하고, 네트워크 I/F(140)는 모니터링 서버(200)와 3G, Wi-Fi 등의 무선 인터페이스를 가능하게 한다.
UART I/F(130)를 USB I/F로 구현한다면, 패킷 스니퍼(100)는 Dongle 타입으로 구현할 수 있다.
2.2 모니터링 SW
도 2에 도시된 바와 같이, 모니터링 서버(200)에는 모니터링 SW(210)와 어댑터 프로그램(220)이 설치되어 있다.
모니터링 SW(210)는 자바 기반의 어플리케이션으로, PC, 서버 외에 안드로이드 핸드폰, 태블릿(Tablet)에서 설치되어 운영가능하며, 상세 구조는 도 3에 도시된 바와 같다.
도 3은 모니터링 SW(210)의 상세 구조를 도시한 도면이다. 도 3에 도시된 바와 같이, 모니터링 SW(210)는 스니퍼 모듈(211), 버퍼링 모듈(213), 저장 모듈(215), 파싱 모듈(217) 및 데이터 처리 모듈(219)을 포함한다.
스니퍼 모듈(211)은 적어도 하나의 패킷 스니퍼(100)로부터 스니핑된 패킷을 수신하여 버퍼링 모듈(213)에 전달한다.
버퍼링 모듈(213)은 스니퍼 모듈(211)로부터 전달되는 패킷들을 패킷 스니퍼 별로 구분하여 프레임으로 결합시킨다. 따라서, 각 프레임에는 하나의 패킷 스니퍼로부터 전달받은 패킷들만이 수록된다. 스니퍼 모듈(211)을 통해 다수의 패킷 스니퍼들로부터 패킷들을 수신할 수 있는 환경을 고려한 것이다.
저장 모듈(215)은 버퍼링 모듈(213)에 의해 결합된 프레임을 영속성 있게 보관하기 위한 모듈로, 포맷화된 파일로 저장할 수도 있음은 물론 데이터베이스에 저장할 수도 있다.
파싱 모듈(217)은 패킷에서 디바이스 정보와 네트워크 정보 등을 추출하여 네트워크, 채널, 보안 관련 데이터를 용도에 맞게 파싱 및 분류하여, 데이터 처리 모듈(219)에 전달한다.
데이터 처리 모듈(219)은 파싱 모듈(217)에 의해 파싱된 데이터를 이용하여 WSN 환경과 상태 등을 파악하고, 각종 뷰(View)와 통계, 토폴로지, 차트(Chart), 알람 등을 생성한다.
모니터링 SW(210)의 기본 동작 프로세스가 도 4에 도시되어 있다. 도 4에 도시된 바와, 모니터링 SW(210)는 패킷 스니퍼 마다 하나의 쓰레드(Thread) 형태의 에이전트를 생성하고, 루프(Loop) 형태로 계속하여 전송된 데이터를 읽고, 파싱하고, 분석하여 표출하는 작업을 수행한다. 계속하여 루프로 각 function이 호출되는 것은, 데이터를 표출하는 각종 그래프, 차트, 그리고 보안공격자 알람 등을 갱신하기 위함이다.
3. 주요 기능
본 발명의 실시예는 공정 자동화와 같은 산업 환경에서는 매우 치명적일 수 있는 보안 공격을 감지하는 모니터링 장치 및 이에 적용되는 모니터링 방법을 제시한다.
본 실시예는 악의적 노드로부터 발생하는 공격을 감지하기 위한 방법으로 패킷 스니핑(Packet Sniffing) 기법을 응용하였고, 효율적인 알고리즘을 통해 다양한 위협을 인지하고 대처할 수 있다.
공격자는 무선 센서 네트워크의 보안 취약성을 이용하여 다양한 공격을 시도할 수 있기 때문에 제안하는 방법은 일반적인 보안 위협을 인지함과 동시에 공격들의 진원지를 찾아낼 수 있어야 한다. 여기서 대표적인 보안 공격으로 DoS 공격, RF(Routing Falsification) 공격, SH(Sinkhole) 공격, 그리고 WH(Wormhole) 공격을 선정하였으며, 이를 탐지할 수 있는 알고리즘을 구현하였다.
기본적으로 모니터링 SW(210)는 사전에 네트워크에 존재하는 모든 합법적인 노드들에 대한 주소 리스트인 "whitelist"를 관리하며, "whitelist"를 이용하여 네트워크에 참여하고자 하는 주변 노드들의 주소를 검증할 수 있다. 만일 요청하는 노드의 주소가 "whitelist"에 존재하지 않는다면, 이 노드는 위험 인자로 분류되어 사용자에게 알려줄 수 있다. 동일하게, 테스트 목적이나 이전 기록에 따라 특정 노드에 대해서는 "Blacklist"가 관리될 수 있다.
산업용 무선 센서 네트워크는 몇 가지 보안상의 취약점을 가지고 있으며 이는 보안 위협을 야기할 수 있는 가능성을 가지고 있다. 이에 제안하는 방법은 아래 4가지 보안 공격을 탐지할 수 있는 효율적인 알고리즘을 구현하였다.
3.1 Dos 공격( Jamming 공격)
Dos 공격은 네트워크를 구성하는 일부 노드가 일종의 가짜 메시지인 Bogus Protocol Message를 과도하게 브로드캐스트하여, 데이터 전송을 위해 필요한 여러 채널들을 혼잡하게 하는 잼(Jam) 현상을 야기한다. 그 결과, CCA(Clear Channel Assessment)는 이웃 노드에게 자신이 할당받은 타임슬롯(Time-slot)에서 조차도 데이터 패킷을 전송하지 못하도록 하며, 공격의 대상이 된 채널들을 "Blacklist"에 올라가게 된다.
기본적으로 산업용 무선 센서네트워크는 도 5에 나타난 5가지 호핑 패턴을 가지고 있다. 위와 같은 공격을 감지하는 모니터링 장치는 주변에 있는 모든 노드들의 채널 호핑 패턴 경로를 가지고 있으면서, 만일 어느 노드가 지정된 호핑 패턴의 채널 순서를 따르지 않고 많은 양의 메시지를 보낸다면, 이를 DoS 공격의 진원지로 판단한다.
이하에서, DoS 공격의 진원지를 판단하는 과정에 대해 도 6을 참조하여 상세히 설명한다. 도 6은 Dos 공격 감지 과정의 설명에 제공되는 흐름도이다. 도 6은 센서 노드 단위로 수행되며, 하나의 센서 노드에 대한 Dos 공격 감지가 완료되면, 다른 센서 노드에 대해 Dos 공격을 감지하는 방식으로 수행된다.
도 6에 도시된 바와 같이, 먼저 패킷 스니퍼(100)가 특정 센서 노드(10)가 전송하는 패킷들을 스니핑하여 모니터링 서버(200)에 전달한다(S410). 그러면, 모니터링 서버(200)의 모니터링 SW(210)는 스니핑된 패킷으로부터 채널 정보를 획득하고, 획득된 채널이 호핑 시작 채널인지 판단한다(S420).
채널 정보는, 도 7에 도시된 DPDU(Data link protocol data unit)의 DHR(Data link header) 중 DAUX(Data link layer auxiliary sub-header)에 수록되어 있다.
S420단계에서 호핑 시작 채널로 판단되면(S420-Y), 모니터링 SW(210)는 센서 노드(10)의 채널 호핑을 계속 모니터링하면서, 무효 채널 개수(호핑 패턴을 벗어난 횟수)를 카운팅한다(S430).
이후, 호핑 패턴이 종료되면(SS440-Y), 모니터링 SW(210)는 S430단계에서 카운팅된 무효 채널 개수와 패킷 전송률을 기초로, 센서 노드(10)가 Dos 공격 노드인지 판단한다.
구체적으로, 카운팅된 무효 채널 개수가 설정된 임계치(Cth)를 초과하고(S450-Y), 패킷 전송률이 설정된 임계치(Rth)를 초과하면(S460-Y), 모니터링 SW(210)는 Dos 공격 노드로 판단하고, 원격 클라이언트들(300-1,300-2)을 통해 관리자들에 안내한다(S470).
S470단계에서의 Dos 공격 노드 안내는, 도 8에 도시된 바와 같이 네트워크 토폴로지 뷰에서 아이콘을 변경하여(색을 바꾸거나, 특정 아이콘 표시) 표시하는 방식으로 가능하다.
3.2 Routing Falsification 공격
RF(Routing Falsification) 공격은 통신하고 있는 두 당사자 사이에 끼어들어 정보를 변경하는 수법인 중간자 공격(man-in-the-middle)의 하나로 볼 수 있다. RF 공격의 주된 내용은 공격자가 메시지 스트림의 라우팅 경로를 변경함으로써 운용중인 네트워크에 치명 결과를 가져오게 할 수 있으며, 향후 Sinkhole, Wormhole과 같은 공격이 기반이 될 수 있어 반드시 해결해야 하는 문제이다.
기본적으로 산업용 무선 센서 네트워크는 중앙 시스템에서 설정해 놓은 경로의 리스트(List of Paths)로 이루어진 그래프 라우팅(Graph Routing)을 지원하고 있으며, 데이터 링크에서는 Graph ID라는 파라미터를 통해 패킷이 속한 곳을 알려준다.
만일 공격자가 특정 그래프에 어떠한 악의적 정보를 전달하고자 할 때, 공격자는 구성 노드들에 수신되는 패킷들의 Graph ID를 수정하여 패킷의 라우팅 경로를 변경시킬 수 있다. 즉, 공격자는 라우팅에 대한 제어권을 가지게 되는 것이다. 이는 운영 중인 네트워크의 취약점을 발견함으로써 시도될 수 있는 공격이다.
이를 방지하기 위해 산업용 무선 센서네트워크에서는 암호화된 인증 방식을 제안하기도 하지만, 이는 선택사항이지 필수는 아니라 대부분의 경우에 구현되어 있지 않다. 보안키(Security Key) 또한 노드의 인증을 위해 제공되지만, 주기적으로 업데이트가 필요하며 또 다른 공격자가 이를 이용하여 공격을 개시할 수 있다.
이하에서, RF 공격을 감지하는 과정에 대해 도 9를 참조하여 상세히 설명한다. 도 9는 RF 공격 감지 과정의 설명에 제공되는 흐름도이다. 도 9에 도시된 알고리즘 역시 센서 노드 단위로 수행되며, 하나의 센서 노드에 대한 RF 공격 감지가 완료되면, 다른 센서 노드에 대해 RF 공격을 감지하는 방식으로 수행된다.
도 9에 도시된 바와 같이, 먼저 패킷 스니퍼(100)가 특정 센서 노드(10)가 수신하는 패킷을 스니핑하여 모니터링 서버(200)에 전달한다(S510). 패킷 수신/스니핑은 패킷을 구성하는 데이터 프레임 시퀀스들을 순차적으로 수신/스니핑하는 절차에 의한다.
이 과정에서, 모니터링 서버(200)의 모니터링 SW(210)는 스니핑된 데이터 프레임 시퀀스 마다 Graph ID를 추출하여 테이블에 저장/업데이트한다(S520). Graph ID는 도 7에 도시된 DPDU의 DHR 중 DROUT(Data link Routing sub-header)에 수록되어 있다.
S420단계를 수행 중에 동일 패킷을 구성하는 데이터 프레임 시퀀스임에도 Graph ID가 변경된 경우(즉, 앞서 테이블에 저장/업데이트된 Graph ID와 불일치하는 경우)(S530-Y), 모니터링 SW(210)는 센서 노드에 RF 공격이 가해지는 것으로 판단하고, 원격 클라이언트들(300-1,300-2)을 통해 관리자들에 안내한다(S540).
S540단계에서의 RF 공격 안내 역시, 도 8에 도시된 DoS 공격 안내와 동일한 방식으로 가능함은 물론, 다른 방식으로도 가능하다.
3.3 Sinkhole 공격
SH(Sinkhole) 공격은 어느 하나의 센서 노드에 트래픽이 집중시킴으로써, 이후에 패킷 폐기(Drop)과 선택적 전달(Selective Forwarding)이 일어나도록 한다. 이를 막기 위해서 네트워크를 구성하는 모든 센서 노드들에 대한 카운터(Counter)를 설정/운용한다.
이하에서, SH 공격을 감지하는 과정에 대해 도 10을 참조하여 상세히 설명한다. 도 10은 SH 공격 감지 과정의 설명에 제공되는 흐름도이다. 도 10에 도시된 알고리즘은 센서 노드 별로 구분하여(즉, 센서 노드 마다 카운터를 구분 설정/운용하여) 병렬적으로 수행할 수 있다.
도 10에 도시된 바와 같이, 먼저 패킷 스니퍼(100)가 게이트 웨이(30)로 전송되는 패킷들을 스니핑하여 모니터링 서버(200)에 전달한다(S610).
스니핑된 패킷이 감시 대상이 되는 센서 노드가 수신할 패킷인 경우(S620-Y), 모니터링 서버(200)는 그 센서 노드에 대한 카운터 값을 "1" 증가시킨다(S630).
반면, 스니핑된 패킷이 감시 대상이 되는 센서 노드에 의해 Graph ID에 부합하여 다음 홉으로 포워딩되는 패킷인 경우(S640-Y), 모니터링 서버(200)는 그 센서 노드에 대한 카운터 값을 "1" 감소시킨다(S650).
S620단계 내지 S650단계에 따라 카운팅을 수행하는 경우, 이상적으로 카운터 값은 0이 되어야 한다. 하지만, 카운터 값이 너무 큰 양수(Positive Number)일 경우(e.g., 특정 노드에서, 수신한 패킷 수 >> 포워딩한 패킷 수), SH 공격으로 취급한다.
즉, S620단계 내지 S650단계에 따른 카운팅 중에, 카운터 값이 설정된 임계치(Vth)를 초과하면(S660-Y), 모니터링 SW(210)는 센서 노드에 SH 공격이 가해지는 것으로 판단하고, 원격 클라이언트들(300-1,300-2)을 통해 관리자들에 안내한다(S670).
S670단계에서의 SH 공격 안내 역시, 도 8에 도시된 DoS 공격 안내와 동일한 방식으로 가능함은 물론, 다른 방식으로도 가능하다.
3.4 Wormhole 공격
WH(Wormhole) 공격은 가장 위협적인 공격 중에 하나로, 두 공격자가 라우팅 메시지를 위조하여 자신 쪽으로 트래픽을 가져오는 공격이다. 도 11에는 WH 공격의 형태를 나타내고 있다. 도 10에서 X와 Y는 두 공격자이다. 이들 공격자는 라우팅 메시지 변조를 통해 X와 Y가 서로 이웃한 것처럼 다른 노드들을 속이고 대부분의 패킷이 자신들을 지나가도록 만든다. 이를 통해, 많은 패킷들이 X와 Y를 거치게 되고, 이들은 자신들이 획득한 패킷을 버리거나 변조할 수 있다.
이를 방지하기 위해 산업용 무선 센서 네트워크의 Transport Layer에서는 종단간 보안(End-to end security)을 제공하고 있다. 이는, 타임 스탬프(Time Stamp)를 이용한 방법으로 데이터 패킷이 언제 생성되었는지를 알려주어, 최종으로 게이트웨이가 데이터를 받을 때 패킷의 타임스탬프가 맞지않으면 이를 버린다. 이는 WH 공격을 방지하기 위해 사용할 수 있지만, 게이트웨이가 종단에서야 이를 확인할 수 있다. 또한, 게이트웨이에 도달할 때까지 네트워크를 통해 이와 같은 패킷 전송이 이루어지는 문제가 있다.
이를 해소하기 위해, 노드 레벨에서 WH 공격을 탐지할 수 있는 방법을 아래에서 제시한다.
무선 센서 네트워크는 서브넷(Subnet)과 같이 논리적 블럭으로 나눌 수 있다. 그리고, 노드가 설치된 블럭의 주소는 도 12에 도시된 테이블과 같이 패킷 스니퍼(100)를 통해 관리될 수 있다.
예를 들어, 네트워크가 도 13과 같이 36개의 블럭으로 나눠져 있다고 가정하면, 만약 스니핑 디바이스가 블럭 #14에 위치할 때, 회색으로 표시된 주변 블럭의 노드들로부터 전송되는 패킷을 스니핑할 수 있을 것이다.
이때, 가능한 범위 이상의 노드로부터(예를 들어, 2블럭 이상 떨어진 블럭에 위치한 노드) 데이터를 받을 경우, 이는 WH 공격의 가능성이 있다고 판단한다. 일 예로, 도 13에서 블럭 14에 있는 노드와 블럭 17에 있는 노드 간에 데이터 전송이 이뤄지는 것을 확인했다면 이를 WH 공격의 가능성으로 볼 수 있는 것이다.
이하에서, WH 공격을 감지하는 과정에 대해 도 14를 참조하여 상세히 설명한다. 도 14는 WH 공격 감지 과정의 설명에 제공되는 흐름도이다. 도 14에 도시된 바와 같이, 먼저 패킷 스니퍼(100)가 패킷들을 스니핑하여 모니터링 서버(200)에 전달한다(S710).
모니터링 서버(200)는 스니핑한 패킷의 소스 노드가 소속된 소스 블럭과 목적지 노드가 소속된 목적지 블럭을 파악한다(S720,S730). 그리고, 모니터링 서버(200)는 소스 블럭과 목적지 블럭 간의 거리를 계산한다(S740).
S740단계에서의 거리 계산은, 소스 블럭의 중심 좌표와 목적지 블럭의 중심 좌표를 이용하며, 중심 좌표들은 GPS 좌표들로 구현할 수 있다.
WH 공격의 경우 소브 블럭과 목적지 블럭이 이웃하지 않으므로, S740단계에서 계산되는 거리가 매우 크다.
따라서, S740단계에서 계산된 블럭 간 거리가 설정된 임계치(Dth)를 초과하면(S750-Y), 모니터링 SW(210)는 WSN에 WH 공격이 가해지는 것으로 판단하고, 원격 클라이언트들(300-1,300-2)을 통해 관리자들에 안내한다(S750).
S750단계에서의 WH 공격 안내 역시, 도 8에 도시된 DoS 공격 안내와 동일한 방식으로 가능함은 물론, 다른 방식으로도 가능하다.
또한, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
100,100-1,100-2 : 패킷 스니퍼 200 : 모니터링 서버
110 : RF 송수신부 120 : 컨트롤러
130 : UART I/F 140 : 네트워크 I/F
210 : 모니터링 SW 211 : 스니퍼 모듈
213 : 버퍼링 모듈 215 : 저장 모듈
217 : 파싱 모듈 219 : 데이터 처리 모듈
220 : 어댑터 프로그램 300-1,300-2 : 원격 클라이언트

Claims (9)

  1. WSN(Wireless Sensor Network)의 패킷을 스니핑(sniffing)하는 적어도 하나의 패킷 스니퍼(sniffer); 및
    상기 패킷 스니퍼로부터 스니핑된 패킷을 전달받아 상기 WSN에 대한 보안 공격을 감지하는 모니터링 서버;를 포함하는 것을 특징으로 하는 WSN 보안 시스템.
  2. 제 1항에 있어서,
    상기 모니터링 서버는,
    지정된 호핑 패턴의 채널 순서를 따르지 않는 노드를 공격 노드로 판단하는 것을 특징으로 하는 WSN 보안 시스템.
  3. 제 2항에 있어서,
    상기 모니터링 서버는,
    지정된 호핑 패턴의 채널 순서를 따르지 않고 전송률이 임계치를 초과하는 노드를 공격 노드로 판단하는 것을 특징으로 하는 WSN 보안 시스템.
  4. 제 1항에 있어서,
    상기 모니터링 서버는,
    패킷의 전달 경로가 시퀀스 종료 전에 변경되는 경우 공격 받는 것으로 판단하는 것을 특징으로 하는 WSN 보안 시스템.
  5. 제 4항에 있어서,
    상기 모니터링 서버는,
    시퀀스 종료 전에 패킷의 Graph ID가 변경된 노드는 공격을 받는 노드로 판단하는 것을 특징으로 하는 WSN 보안 시스템.
  6. 제 1항에 있어서,
    상기 모니터링 서버는,
    수신되는 패킷 수가 포워딩되는 패킷 수 보다 설정된 임계치를 초과하여 많은 노드는 공격 받는 노드로 판단하는 것을 특징으로 하는 WSN 보안 시스템.
  7. 제 1항에 있어서,
    상기 모니터링 서버는,
    소스가 소속된 블럭과 목적지가 소속된 블럭 간의 거리가 설정된 임계치를 초과하면, 상기 WSN이 공격 받는 것으로 판단하는 것을 특징으로 하는 WSN 보안 시스템.
  8. 제 1항에 있어서,
    상기 모니터링 서버는,
    상기 WSN의 토폴로지 뷰에서 감지된 보안 공격을 표시하여 관리자에 안내하는 것을 특징으로 하는 WSN 보안 시스템.
  9. WSN(Wireless Sensor Network)의 패킷을 스니핑(sniffing)하는 단계; 및
    상기 스니핑 단계에서 스니핑된 패킷으로부터 상기 WSN에 대한 보안 공격을 감지하는 단계;를 포함하는 것을 특징으로 하는 WSN 보안 방법.
KR1020130030238A 2013-03-21 2013-03-21 보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템 KR101448091B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130030238A KR101448091B1 (ko) 2013-03-21 2013-03-21 보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130030238A KR101448091B1 (ko) 2013-03-21 2013-03-21 보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20140115574A true KR20140115574A (ko) 2014-10-01
KR101448091B1 KR101448091B1 (ko) 2014-10-08

Family

ID=51989861

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130030238A KR101448091B1 (ko) 2013-03-21 2013-03-21 보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101448091B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022100866A1 (en) * 2020-11-16 2022-05-19 Huawei Technologies Co., Ltd. Method and apparatus for network security
CN114615066A (zh) * 2022-03-17 2022-06-10 浙江网商银行股份有限公司 目标路径确定方法以及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120068294A (ko) * 2010-12-17 2012-06-27 한국전자통신연구원 무선 센서 네트워크의 감시 노드 제어 시스템 및 그 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022100866A1 (en) * 2020-11-16 2022-05-19 Huawei Technologies Co., Ltd. Method and apparatus for network security
CN114615066A (zh) * 2022-03-17 2022-06-10 浙江网商银行股份有限公司 目标路径确定方法以及装置

Also Published As

Publication number Publication date
KR101448091B1 (ko) 2014-10-08

Similar Documents

Publication Publication Date Title
Zarpelão et al. A survey of intrusion detection in Internet of Things
Xue et al. Linkscope: Toward detecting target link flooding attacks
Kasinathan et al. Denial-of-Service detection in 6LoWPAN based Internet of Things
KR101917062B1 (ko) 소프트웨어 정의 네트워크에서 링크 플러딩 공격을 완화하기 위한 허니넷 방법, 시스템 및 컴퓨터 프로그램
Pu et al. A light-weight countermeasure to forwarding misbehavior in wireless sensor networks: design, analysis, and evaluation
EP2890079B1 (en) Attack mitigation using learning machines
Parvin et al. Cognitive radio network security: A survey
US9398039B2 (en) Apparatus, system and method for suppressing erroneous reporting of attacks on a wireless network
Anjum et al. On optimal placement of intrusion detection modules in sensor networks
US20200053567A1 (en) Security architecture for machine type communications
AU2013272211A1 (en) Path scanning for the detection of anomalous subgraphs, anomaly/change detection and network situational awareness
Arıs et al. Security of internet of things for a reliable internet of services
Ioulianou et al. Battery drain denial-of-service attacks and defenses in the Internet of Things
Vegesna Incorporating Wireless Sensor Networks and the Internet of Things: A Hierarchical and Security-Based Analysis
Saeedi Machine learning for DDOS detection in packet core network for IoT
Fayssal et al. Anomaly-based behavior analysis of wireless network security
Gambhir et al. PPN: Prime product number based malicious node detection scheme for MANETs
KR101448091B1 (ko) 보안 공격 감지에 의한 무선 센서네트워크 보안 방법 및 시스템
Midi et al. A system for response and prevention of security incidents in wireless sensor networks
Laeeq Security challenges & preventions in wireless communications
AU2021100084A4 (en) IOT-Enable Wireless Sensor Networks for controlled And Safe Routing
Suomalainen et al. Security-driven prioritization for tactical mobile networks
Zhang et al. Constructing secured cognitive wireless networks: experiences and challenges
Skoufas et al. Identifying DDoS Attacks from Fluctuations in Wireless Traffic in an Intelligent IoT Road Network
Dandare et al. Detection of collision attacks and comparison of efficiency in wireless sensor network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170629

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181105

Year of fee payment: 5