KR20170120291A - 사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법 - Google Patents

사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법 Download PDF

Info

Publication number
KR20170120291A
KR20170120291A KR1020160048556A KR20160048556A KR20170120291A KR 20170120291 A KR20170120291 A KR 20170120291A KR 1020160048556 A KR1020160048556 A KR 1020160048556A KR 20160048556 A KR20160048556 A KR 20160048556A KR 20170120291 A KR20170120291 A KR 20170120291A
Authority
KR
South Korea
Prior art keywords
internet
object internet
packet
destination
service request
Prior art date
Application number
KR1020160048556A
Other languages
English (en)
Inventor
권다운
Original Assignee
주식회사 나온웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 나온웍스 filed Critical 주식회사 나온웍스
Priority to KR1020160048556A priority Critical patent/KR20170120291A/ko
Publication of KR20170120291A publication Critical patent/KR20170120291A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • H04L67/16
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

인터넷 통신망을 통해서 복수의 서버 중 대응하는 서버와 접속하여 정보 또는 데이터를 송수신하는 복수의 사물인터넷 디바이스 중 이상이 있는 디바이스에 대해 접속을 차단하는 사물인터넷 이상 디바이스 차단장치로, 서비스 요청이 있으면 당해 서비스 요청이 이루어진 사물인터넷 디바이스의 디바이스 패킷을 수신하는 패킷 수신부(151)와, 수신한 디바이스 패킷의 MAC 어드레스, 디바이스 IP, 목적지 IP, IP 프로토콜, 디바이스 애플리케이션 프로토콜 중 어느 하나 이상을 추출하고, 추출된 MAC 어드레스, 디바이스 IP, 목적지 IP, IP 프로토콜, 디바이스 애플리케이션 프로토콜 중 어느 하나 이상에 대해 검증을 실행함으로써 정상 사물인터넷 디바이스인가 여부를 검증하는 패킷 검증부(153)를 포함한다.

Description

사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법{BLOCKING APPARATUS FOR ABNORMAL DEVICE OF INTERNET OF THINGS DEVICES AND BLOCKING METHOD FOR THE SAME}
본 발명은 사물인터넷 디바이스 중 이상이 있는 이상 디바이스를 탐지 및 차단하는 사물인터넷 이상 디바이스 차단장치 및 차단방법에 관한 것이다.
해킹과 같은 비정상적이고도 불법적인 접근으로부터 소중한 정보자산을 보호하는 동시에 각종 유해정보 유입의 차단을 목적으로 하는 방화벽은 접근 제어, 로깅(logging) 및 감사추적(audit trail), 사용자 인증, 데이터 암호화 등의 기능을 수행하며, 그 구성방식에 따라서 패킷 필터링 방식, 애플리케이션 게이트웨이 방식, 스테이트풀 인스펙션 방식, 하이브리드 방식 등 다양한 방식이 알려져 있다.
그러나 이와 같은 방화벽 장비들은 웹이나 인터넷전화 등의 특정 서비스에 대한 보안기능만 제공하고 있을 뿐으로, 다양한 프로토콜을 사용하는 사물인터넷 환경에는 적합하지 않다는 문제가 있고, 이들 방화벽 장비는 특정 패킷만 통과하도록 설정하거나 또는 특정 패킷에 대해서는 접속하지 못하도록 설정하는 방식의 이른바 화이트리스트/블랙리스트 기반으로 설계되어 있어서 탐지율 면에서도 한계가 있다. 또, 이들 방화벽 장비의 유지 및 운용에는 사용자의 전문 지식과 함께 고성능의 하드웨어를 요구하고 있어서 사용자의 관여 없이 상호 작용하는 사물인터넷 인증환경 및 블루투스나 Wi-Fi 등 다양한 사물인터넷 네트워크 환경에서 발생하는 보안 위협에는 능동적인 대처가 어렵다는 문제점이 있다.
한편, 최근 급격히 부각되고 있는 사물인터넷은 정보를 센싱하기 위한 센서기술과 센싱된 정보의 원활한 통신을 위한 네트워킹을 위한 기술, 사물인터넷 디바이스 자체를 위한 칩 기술, 기능 구현을 위한 OS 기술 및 실장(Embedded) 기술, 디바이스의 자율적 동작과 지능적 동작을 위한 플랫폼 기술, 대량의 데이터를 처리하는 빅데이터 처리기술, 유용한 정보 추출을 위한 데이터 마이닝(data mining) 기술, 사용자 중심의 사물인터넷 서비스를 위한 웹 서비스, 응용 서비스 및 WoT(Web of Things) 기술 등 다양한 주체가 공존하는 특성을 가지므로 각 요소 기술 자체의 보안 취약성과 함께 연동 시 새로운 보안 취약성이 발생할 가능성이 매우 크다. 또, 많은 사물인터넷 디바이스와 플랫폼에는 접근제어, 인증 및 인가 기술에 있어서 높은 등급의 기술이 구현되지 않으므로 상대적으로 공격에 취약하다는 문제도 존재하며, 이와 같은 사물인터넷 디바이스의 취약점을 이용하여 개인정보 유출이나 악성코드 또는 스팸을 퍼트리는 등의 다양한 보안 위협사례가 증가하고 있으며, 이와 사물인터넷에서의 보안관리방법으로 특허문헌 1에 기재된 기술이 알려져 있다.
그러나 특허문헌 1에 기재된 보안관리방법은 사물인터넷시스템의 전체 시스템을 구성하는 서비스서버와 클라이언트 및 실시간 관리장치 상호 간의 클라이언트의 등록 및 서비스 이용요청 등에 대한 것으로, 복수의 사물인터넷 디바이스와 당해 복수의 사물인터넷 디바이스와 인터넷을 통해서 접속된 복수의 서버 사이, 즉, 인터넷 통신망을 사이에 두고 사물인터넷 디바이스가 설치된 내부 네트워크와 복수의 서버로 이루어지는 외부 네트워크 사이에서 내부 네트워크에 대해 보안 기능을 하는 방화벽 장치에 대해서는 기재되어 있지 않다.
특허문헌 1 : 공개특허 10-2016-0006915호 공보(2016. 1. 20. 공개)
본 발명은 상기 종래기술의 문제를 감안하여 이루어진 것으로, 인터넷 통신망을 사이에 두고 사물인터넷 디바이스가 설치된 내부 네트워크와 복수의 서버로 이루어지는 외부 네트워크 사이에서의 방화벽 기능을 하는 사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법을 제공하는 것을 목적으로 한다.
상기 과제를 해결하기 위한 본 발명의 사물인터넷 디바이스의 이상 디바이스 차단장치는, 인터넷 통신망을 통해서 복수의 서버 중 대응하는 서버와 접속하여 정보 또는 데이터를 송수신하는 복수의 사물인터넷 디바이스 중 이상이 있는 디바이스에 대해 상기 접속을 차단하는 사물인터넷 이상 디바이스 차단장치로, 상기 사물인터넷 이상 디바이스 차단장치는, 미리 정해진 일정 구역 내에 설치되어 있는 상기 사물인터넷 디바이스와 상기 인터넷 통신망 사이에 설치되며, 상기 사물인터넷 디바이스가 상기 인터넷 통신망을 통해서 상기 대응하는 서버와 접속을 시도하거나 또는 상기 대응하는 서버로부터의 정보 또는 데이터 전송요청에 응답하는 서비스 요청이 있은 때에, 상기 서비스 요청이 상기 접속 또는 상기 응답을 할 권한을 가진 정상 사물인터넷 디바이스로부터 이루어진 것인가 여부를 검증하고, 상기 서비스 요청이 상기 정상 사물인터넷 디바이스로부터의 서비스 요청이 아닌 때에는 그 서비스 요청을 차단한다.
상기 과제를 해결하기 위한 본 발명의 사물인터넷 디바이스의 이상 디바이스 차단방법은, 인터넷 통신망을 통해서 복수의 서버 중 대응하는 서버와 접속하여 정보 또는 데이터를 송수신하는 복수의 사물인터넷 디바이스 중 이상이 있는 디바이스에 대해 상기 접속을 차단하는 사물인터넷 이상 디바이스 차단방법으로, 상기 복수의 사물인터넷 디바이스 중 상기 접속을 시도하는 사물인터넷 디바이스의 디바이스 패킷을 수신하는 단계 a)와, 상기 단계 a)에서 수신한 상기 디바이스 패킷에 의해 상기 접속을 시도하는 사물인터넷 디바이스가 사전에 미리 등록된 사물인터넷 디바이스인가 여부를 판단하는 단계 b)를 포함하고, 상기 단계 b)에서 상기 접속을 시도하는 사물인터넷 디바이스가 사전에 미리 등록된 사물인터넷 디바이스가 아닌 것으로 판단되면 상기 접속을 차단한다.
본 발명에 의하면 종래와 같은 웹 및 인터넷전화는 물론 사물인터넷을 구성하는 사물인터넷 디바이스의 종류에 상관없이 인터넷 통신망에 접속하여 서비스를 요청할 수 있는 서비스 요청권한이 없는 사물인터넷 디바이스를 탐지하여 그 서비스 요청을 차단할 수 있다.
도 1은 본 발명의 바람직한 실시형태의 사물인터넷 보안시스템의 전체 구성을 나타내는 시스템 구성도,
도 2는 도 1의 사물인터넷 보안시스템의 이상 디바이스 차단장치의 내부 구성을 나타내는 블록도,
도 3은 본 발명의 바람직한 실시형태의 사물인터넷 디바이스의 이상 디바이스 차단장치의 동작을 나타내는 플로차트이다.
이하, 본 발명의 바람직한 실시형태에 대해서 첨부 도면을 참조하면서 상세하게 설명한다. 도 1은 본 발명의 바람직한 실시형태의 사물인터넷 보안시스템의 전체 구성을 나타내는 시스템 구성도이다.
도 1에 나타내는 것과 같이, 본 발명의 바람직한 실시형태의 사물인터넷 보안시스템은 미리 정해진 일정 구역(100) 내에 설치된 복수의 사물인터넷 디바이스(110)와 복수의 사물인터넷 디바이스(110) 중 대응하는 사물인터넷 디바이스와의 사이에서 필요한 정보를 송수신하는 복수의 서버(300)가 인터넷 통신망(900)을 통해서 통신 가능하게 접속되어 있고, 복수의 사물인터넷 디바이스(110)는 이상 디바이스 차단장치(150)를 통해서 인터넷 통신망(900)과 연결된다. 또, 상기 인터넷 통신망(900)에는 분석시스템(700)이 접속되며, 이른바 해커로 불리는 하나 이상의 공격자(500)도 접속 가능하다.
본 명세서 및 청구범위에서 말하는 미리 정해진 일정 구역(100)은 예를 들어 단독주택과 같은 특정의 단일 건물일 수도 있고, 아파트나 다세대주택 또는 오피스 빌딩과 같은 집단형 건물일 수도 있으며, 예를 들어 집단형 건물 내의 어느 한 층 또는 어느 한 구역과 같이 집단형 건물 내의 일정 구역이라도 좋다. 또, 미리 정해진 일정 구역(100)은 2 이상의 집단형 건물의 집합체라도 좋으며, 필요에 따라서 적절하게 구획할 수 있는 구역으로서, 하나의 이상 디바이스 차단장치(150)에 접속되는 복수의 사물인터넷 디바이스(110)가 인터넷 통신망(900)과 접속되도록 설치된 구역이다.
복수의 사물인터넷 디바이스(110)는 도 1에 나타내는 것과 같이 예를 들어 CCTV(110-1), 헬스케어 기기(110-2), 컴퓨터(110-3), 웨어러블 기기(110-n), 또는 스마트 가전 등과 같은 다양한 종류의 기기들일 수 있으며, 그 종류나 개수에 대해서 제한은 없다.
여기서, 복수의 사물인터넷 디바이스(110)는 이상 디바이스 차단장치(150)와 유선으로 접속되어도 좋고, 도 1과 같이 공유기(130)를 이용하여 무선으로 접속되어도 좋다.
공유기(130)는 예를 들어 블루투스나 WI-FI 등의 공지의 기기이며, 공유기(130)를 이용한 복수의 사물인터넷 디바이스(110)와 이상 디바이스 차단장치(150) 사이의 접속은 예를 들어서 도 1의 CCTV(110-1)와 이상 디바이스 차단장치(150) 사이의 접속방식과 같이 복수의 사물인터넷 디바이스(110) 각각이 각각 하나의 공유기(130-1)를 통해서 이상 디바이스 차단장치(150)와 1대 1 방식으로 접속되어도 좋고, 도 1의 헬스케어 기기(110-2), 컴퓨터(110-3), 웨어러블 기기(110-n)와 같이 복수의 사물인터넷 디바이스(110)가 하나의 공유기(130-2)를 통해서 이상 디바이스 차단장치(150)와 다(多)대 1 방식으로 접속되어도 좋으며, 도 1에 나타내는 것과 같이 1대 1 방식 및 다대 1 방식을 혼용해도 좋다.
이상 디바이스 차단장치(150)는 인터넷 통신망을 사이에 두고 사물인터넷 디바이스가 설치된 내부 네트워크와 복수의 서버로 이루어지는 외부 네트워크 사이에서의 일종의 방화벽 기능을 하는 장치이며, 구체적으로는, 미리 정해진 일정 구역(100) 내에 설치되어 있는 복수의 사물인터넷 디바이스(110)와 인터넷 통신망(900) 사이에 설치되어, 복수의 사물인터넷 디바이스(110)가 인터넷 통신망(900)을 통해서 복수의 서버(300) 중 대응하는 서버와 접속을 시도하거나, 또는 역으로, 복수의 서버(300) 중 대응하는 서버로부터의 정보 또는 데이터 전송요청에 응답하는 경우(이하, 본 명세서 및 청구범위에서는 이와 같은 접속 시도 및 응답을 간단히 「서비스 요청」이라 한다), 이 접속 시도 또는 응답이 접속 또는 응답 권한을 가진 정상적인 디바이스로부터 이루어진 것인가 여부를 검증하여, 만일 정상적인 디바이스로부터의 접속 시도 또는 응답인 때에는 이를 허용하고, 비정상적인 디바이스로부터의 접속 시도 또는 응답인 때에는 이를 차단하는 기능을 한다.
또, 이상 디바이스 차단장치(150)는 복수의 사물인터넷 디바이스(110)로부터 복수의 서버(300) 중 대응하는 서버로의 정보 또는 데이터를 업로드 하는 업로드 트래픽 및 복수의 서버(300)로부터 대응하는 사물인터넷 디바이스(110)로의 정보 또는 데이터를 다운로드 하는 다운로드 트래픽을 측정하여, 업로드/다운로드 트래픽이 미리 정해진 임계치를 넘으면 정보 또는 데이터의 업로드 또는 다운로드를 차단하는 디바이스 트래픽 오버로드 차단기능도 한다.
복수의 서버(300)는 각각 복수의 사물인터넷 디바이스(110)와 대응하도록 설치되며, 예를 들어 CCTV(110-1)와 접속되어서 CCTV(110-1)와의 사이에서 필요한 정보나 데이터 등을 송수신하는 CCTV(110-1)용 서버(300-1), 헬스케어 기기(110-2)와 접속되어서 헬스케어 기기(110-2)와의 사이에서 필요한 정보나 데이터 등을 송수신하는 헬스케어 기기(110-2), 컴퓨터(110-3)와 접속되어서 컴퓨터(110-3)와의 사이에서 필요한 정보나 데이터 등을 송수신하는 컴퓨터(110-3)용 서버(300-3), 웨어러블 기기(110-n)와 접속되어서 웨어러블 기기(110-n)와의 사이에서 필요한 정보나 데이터 등을 송수신하는 웨어러블 기기(110-n)용 서버(300-n) 등을 포함할 수 있다.
본 명세서에서 「복수의 서버 중 대응하는 서버」는, 예를 들어 서비스 요청이 있은 사물인터넷 디바이스가 CCTV(110-1)인 때에는 그 CCTV(110-1)와의 사이에서 필요한 정보나 데이터 등을 송수신하는 CCTV(110-1)용 서버(300-1)이고, 서비스 요청이 있은 사물인터넷 디바이스가 헬스케어 기기(110-2)인 때에는 그 헬스케어 기기(110-2)와의 사이에서 필요한 정보나 데이터 등을 송수신하는 헬스케어 서버(300-2)이며, 서비스 요청이 있은 사물인터넷 디바이스가 컴퓨터(110-3)인 때에는 그 컴퓨터(110-3)와의 사이에서 필요한 정보나 데이터 등을 송수신하는 컴퓨터(110-3)용 서버(300-3)이고, 서비스 요청이 있은 사물인터넷 디바이스가 웨어러블 기기(110-n)인 때에는 웨어러블 기기(110-n)와의 사이에서 필요한 정보나 데이터 등을 송수신하는 웨어러블 기기(110-n)용 서버(300-n)를 말한다.
복수의 사물인터넷 디바이스(110)와 마찬가지로 복수의 서버(300)도 그 종류나 개수에 대해서 제한은 없으나, 복수의 사물인터넷 디바이스(110)의 종류별로 적어도 하나 이상의 서버가 설치되는 것이 일반적이다.
공격자(500)는 컴퓨터 지식을 이용하여 남의 정보체계에 침입하거나 범죄를 저지르는 장치로서, 단수일 수도 있고, 도 1과 같이 복수(500-1, 500-2, …, 500-n)일 수도 있다.
빅데이터 분석시스템(700)은 인터넷 통신망(900)을 통해서 하나 이상의 이상 디바이스 차단장치(150)로부터 수신한 업로드/다운로드 트래픽을 분석 및 저장한다. 또, 빅데이터 분석시스템(700)은 하나 이상의 이상 디바이스 차단장치(150)에 의해 서비스 요청이 차단되거나 또는 허용된 디바이스 패킷의 디바이스 정보로 예를 들어 MAC 어드레스, IP 타입, 소스 IP, 목적지 IP(Destination IP), IP 프로토콜, 애플리케이션 프로토콜, 패킷 길이, 디바이스의 업로드/다운로드 트래픽, 시간정보 등을 추출한 이벤트 로그를 수신하고 수신한 이벤트 로그를 미 도시의 데이터베이스에 저장한다.
또, 빅데이터 분석시스템(700)은 하나 이상의 이상 디바이스 차단장치(150)로부터 수신한 이벤트 로그를 주기적으로 분석하여 복수의 사물인터넷 디바이스(110) 각각에 대한 업로드/다운로드 트래픽 임계치를 포함하여 필요한 통계를 추출하고, 이를 이용하여 이전에 작성된 복수의 사물인터넷 디바이스(110) 각각의 프로파일과의 비교 분석을 함으로써 새로운 프로파일을 작성한다.
또, 빅데이터 분석시스템(700)은 새로 작성된 프로파일(업로드/다운로드 트래픽 임계치를 포함)을 대응하는 이상 디바이스 차단장치(150)에 다운로드 함으로써 이상 디바이스 차단장치(150)에서 트래픽 임계치 등을 갱신하도록 한다.
다음에, 이상 디바이스 차단장치(150) 및 빅데이터 분석시스템(700)의 내부 구성에 대해서 상세하게 설명한다. 도 2는 사물인터넷 보안시스템의 이상 디바이스 차단장치의 내부 구성을 나타내는 블록도이다.
먼저, 이상 디바이스 차단장치(150)는 디바이스 패킷 수신부(151)와 패킷 검증부(153)와 프로파일 데이터 수신부(155) 및 서비스 송신부(157)를 구비하며, 미 도시의 인터넷 통신망(900)을 통해서 빅데이터 분석시스템(700)과 접속되어 있다.
디바이스 패킷 수신부(151)는 복수의 사물인터넷 디바이스(110)와 복수의 서버(300) 중 대응하는 서버 사이에서 인터넷 통신망(900)을 통한 서비스 요청이 있으면, 복수의 사물인터넷 디바이스(110) 중 서비스 요청이 이루어진 디바이스의 디바이스 패킷을 수신하고, 수신한 디바이스 패킷을 패킷 검증부(153)로 출력한다.
패킷 검증부(153)는 디바이스 패킷 수신부(151)로부터 수신한 디바이스 패킷을 파싱하여 파싱된 패킷의 MAC 어드레스, 디바이스 IP, 목적지 IP, IP 프로토콜, 디바이스 애플리케이션 프로토콜을 추출하고, 추출된 MAC 어드레스, 디바이스 IP, 목적지 IP, IP 프로토콜, 디바이스 애플리케이션 프로토콜에 대해 검증을 실행한다.
검증 결과, 서비스 요청이 이루어진 디바이스가 이상 디바이스 차단장치(150)에 미리 등록된 디바이스인 때, 즉, 사전에 미리 등록된 디바이스로부터 서비스 요청이 이루어진 때에는 이상 디바이스 차단장치(150)는 그 서비스 요청을 허용한다. 구체적으로는, 복수의 사물인터넷 디바이스(110) 중 어느 하나로부터 인터넷 통신망(900)을 통해서 복수의 서버(300) 중 대응하는 서버로 접속을 시도하는 때에는 그 접속을 허용하고, 또, 복수의 서버(300) 중 어느 하나의 서버에서 인터넷 통신망(900)을 통해서 복수의 사물인터넷 디바이스(110)에 요청한 정보 또는 데이터의 요구에 대한 응답인 때에는 이 응답의 전송을 허용한다.
또, 검증 결과, 서비스 요청이 이루어진 디바이스가 이상 디바이스 차단장치(150)에 미리 등록된 디바이스가 아닌 경우, 다시 말해, 사전에 미리 등록되지 않은 디바이스로부터 서비스 요청이 이루어진 때에는 이상 디바이스 차단장치(150)는 그 서비스 요청을 거절한다. 구체적으로는, 복수의 사물인터넷 디바이스(110) 중 어느 하나로부터 인터넷 통신망(900)을 통해서 복수의 서버(300) 중 대응하는 서버로 접속을 시도하는 때에는 그 접속을 차단하고, 또, 복수의 서버(300) 중 어느 하나의 서버에서 인터넷 통신망(900)을 통해서 복수의 사물인터넷 디바이스(110)에 요청한 정보 또는 데이터의 요구에 대한 응답인 때에는 이 응답의 전송을 차단한다.
또, 패킷 검증부(153)는 서비스 요청의 업로드/다운로드 트래픽을 분석하고, 분석된 업로드/다운로드 트래픽이 미리 정해진 임계치를 초과하는 경우에도 서비스 요청을 차단한다.
또, 사전에 미리 등록된 디바이스로부터 서비스 요청이 이루어져서 이상 디바이스 차단장치(150)가 그 서비스 요청을 허용한 경우는 물론, 사전에 미리 등록되지 않은 디바이스로부터 서비스 요청이 이루어져서 이상 디바이스 차단장치(150)가 그 서비스 요청을 거절한 때에도 패킷 검증부(153)는 서비스 요청이 허용되거나 또는 차단된 디바이스 패킷의 디바이스 정보로 예를 들어 MAC 어드레스, IP 타입, 소스 IP, 목적지 IP, IP 프로토콜, 애플리케이션 프로토콜, 패킷 길이, 디바이스의 업로드/다운로드 트래픽, 시간정보 등을 추출한 이벤트 로그를 빅데이터 분석시스템(700)으로 전송한다.
프로파일 데이터 수신부(155)는 빅데이터 분석시스템(700)으로부터 업로드 다운로드 트래픽 임계치를 포함하는 프로파일 데이터를 수신하여 패킷 검증부(153)로 전송하며, 이때, 프로파일 데이터에 변동이 있을 때에는 패킷 검증부(153)는 이전에 저장된 프로파일 데이터를 갱신한다.
서비스 송신부(157)는 패킷 검증부(153)에서의 검증 결과 서비스 요청을 허용하는 경우, 복수의 서버(300) 중 그 서비스 요청이 이루어진 디바이스와 대응하는 서버로 인터넷 통신망(900)을 통해서 필요한 정보 또는 데이터를 송신한다.
이상의 동작을 위해 이상 디바이스 차단장치(150)는 당해 이상 디바이스 차단장치(150)의 하위 영역인 미리 정해진 일정 구역(100) 내에 설치된 복수의 사물인터넷 디바이스(110) 각각에 대해 적어도 디바이스 IP, 목적지 IP, IP 프로토콜, 디바이스 애플리케이션 프로토콜을 미리 등록하고 있고, 또, 빅데이터 분석시스템(700)으로부터 수신한 프로파일 데이터, 그 중에서 적어도 업로드/다운로드 트래픽 임계치도 기억하고 있으며, 또, 허용 가능한 MAC 어드레스, 디바이스 IP, IP 프로토콜, 디바이스 애플리케이션 프로토콜을 미리 등록하고 있고, 이를 위해 이상 디바이스 차단장치(150)는 기억수단(메모리장치, 미 도시)을 구비하고 있다.
여기서, 서비스 요청에 대해 허용 가능한 IP 프로토콜은 예를 들어 ICMP, IGMP, TCP, UDP 등일 수 있고, 서비스 요청에 대해 허용 가능한 애플리케이션 프로토콜은 TLS, HTTP, FTP, SFTP, TELNET, SSH, SMTP, IMAP, DNS, DHCP, POP3, NTP, SNMP, SSL VNC ARP 등일 수 있다.
다음에, 본 발명의 바람직한 실시형태의 이상 디바이스 차단장치(150)의 동작에 대해서 설명한다. 도 3은 본 발명의 바람직한 실시형태의 사물인터넷 디바이스의 이상 디바이스 차단장치의 동작을 나타내는 플로차트이다.
먼저, 이상동작 차단장치(150)와 접속된 복수의 사물인터넷 디바이스(110) 중 인터넷 통신망(900)을 통해서 외부 네트워크인 복수의 서버(300)와 접속을 시도하거나, 또는 복수의 서버(300) 중 어느 하나의 서버로부터의 정보 또는 데이터의 전송 요청에 대해 응답을 시도하는 서비스 요청이 있을 때에는, 이상동작 차단장치(150)의 디바이스 패킷 수신부(151)는 그 서비스 요청이 있은 사물인터넷 디바이스(예를 들어, 도 1의 CCTV(110-1) 내지 웨어러블 기기(110-n) 중 어느 하나의 디바이스)의 디바이스 패킷을 수신한다(단계 S1).
이어서, 단계 S2로 진행하여, 패킷 검증부(153)는 단계 S1에서 디바이스 패킷 수신부(151)가 수신한 디바이스 패킷에서 적어도 MAC 어드레스 및 디바이스 IP를 포함하는 디바이스 정보를 추출하고, 추출한 MAC 어드레스 및 디바이스 IP를 이용하여 서비스 요청을 한 사물인터넷 디바이스가 이상동작 차단장치(150)에 사전에 등록된 디바이스인가 여부를 판단한다.
단계 S2에서의 판단 결과, 적어도 추출한 디바이스 패킷의 MAC 어드레스가 정상적인 MAC 어드레스이고, 디바이스 IP가 사전에 등록된 IP인 때에는(단계 S2=YES) 단계 S3으로 진행하고, 반대로, 추출한 디바이스 패킷의 MAC 어드레스가 비정상적이거나, 또는, 추출한 디바이스 패킷의 디바이스 IP가 사전에 등록된 IP가 아닌 때에는(단계 S2=NO) 패킷 검증부(153)는 서비스 요청을 한 사물인터넷 디바이스가 부정한 디바이스, 즉, 당해 이상동작 차단장치(150)를 통해서 복수의 서버(300) 중 대응하는 서버와 접속하여 통신을 할 자격이 없는 디바이스로 판단하고 단계 S9로 진행하여 서비스 요청을 차단하고 종료한다.
이어서, 단계 S3에서, 패킷 검증부(153)는 단계 S1에서 수신한 디바이스 패킷에서 목적지 IP를 추출하고, 추출된 디바이스 패킷의 목적지 IP가 사전에 등록된 목적지 IP인가 여부를 판단한다.
단계 S3에서의 판단 결과, 추출된 디바이스 패킷의 목적지 IP가 사전에 등록된 목적지 IP인 때에는(단계 S3=YES) 단계 S4로 진행한다. 또, 단계 S3에서의 판단 결과 추출된 디바이스 패킷의 목적지 IP가 사전에 등록된 목적지 IP가 아닌 때에는(단계 S3=NO) 패킷 검증부(153)는 서비스 요청을 한 사물인터넷 디바이스가 부정한 디바이스, 즉, 당해 이상동작 차단장치(150)를 통해서 복수의 서버(300) 중 대응하는 서버와 접속하여 통신을 할 자격이 없는 디바이스로 판단하고 단계 S9로 진행하여 서비스 요청을 차단하고 종료한다.
이어서, 단계 S4에서, 패킷 검증부(153)는 단계 S1에서 수신한 디바이스 패킷에서 IP 프로토콜을 확인하고, 확인된 디바이스 패킷의 IP 프로토콜이 사전에 등록된 IP 프로토콜이어서 서비스 요청을 허용할 수 있는 IP 프로토콜인가 여부를 판단한다.
여기서, 사전에 등록되어 허용 가능한 IP 프로토콜로는 예를 들어 앞에서 설명한 ICMP, IGMP, TCP, UDP 중 어느 하나일 수 있고, 단계 S4에서의 판단 결과, 추출된 디바이스 패킷의 IP 프로토콜이 사전에 등록되어 허용 가능한 IP 프로토콜인 때에는(단계 S4=YES) 단계 S5로 진행한다.
또, 단계 S4에서의 판단 결과 추출된 디바이스 패킷의 IP 프로토콜이 사전에 등록되어 허용 가능한 IP 프로토콜이 아닌 때에는(단계 S4=NO) 패킷 검증부(153)는 서비스 요청을 한 사물인터넷 디바이스가 부정한 디바이스, 즉, 당해 이상동작 차단장치(150)를 통해서 복수의 서버(300) 중 대응하는 서버와 접속하여 통신을 할 자격이 없는 디바이스로 판단하고 단계 S9로 진행하여 서비스 요청을 차단하고 종료한다.
이어서, 단계 S5에서, 패킷 검증부(153)는 단계 S1에서 수신한 디바이스 패킷에서 애플리케이션 프로토콜을 확인하고, 확인된 디바이스 패킷의 애플리케이션 프로토콜이 사전에 등록되어 서비스 요청을 허용할 수 있는 애플리케이션 프로토콜인가 여부를 판단한다.
여기서, 사전에 등록되어 허용 가능한 애플리케이션 프로토콜은 예를 들어 앞에서 설명한 TLS, HTTP, FTP, SFTP, TELNET, SSH, SMTP, IMAP, DNS, DHCP, POP3, NTP, SNMP, SSL VNC ARP 중 어느 하나일 수 있고, 단계 S5에서의 판단 결과, 추출된 디바이스 패킷의 애플리케이션 프로토콜이 사전에 등록되어 허용 가능한 애플리케이션 프로토콜인 때에는(단계 S5=YES) 단계 S6으로 진행한다. 또, 단계 S5에서의 판단 결과 추출된 디바이스 패킷의 애플리케이션 프로토콜이 사전에 등록되어 허용 가능한 애플리케이션 프로토콜이 아닌 때에는(단계 S5=NO) 패킷 검증부(153)는 서비스 요청을 한 사물인터넷 디바이스가 부정한 디바이스, 즉, 당해 이상동작 차단장치(150)를 통해서 복수의 서버(300) 중 대응하는 서버와 접속하여 통신을 할 자격이 없는 디바이스로 판단하고 단계 S9로 진행하여 서비스 요청을 차단하고 종료한다.
이어서, 단계 S6에서 패킷 검증부(153)는 업로드 또는 다운로드 트래픽을 측정한 후 단계 S7로 진행하며, 단계 S7에서 패킷 검증부(153)는 단계 S6에서 측정한 업로드 또는 다운로드 트래픽이 미리 설정된 임계치를 초과하는가 여부를 판단한다.
단계 S7에서의 판단 결과, 복수의 사물인터넷 디바이스(110) 중 서비스 요청을 한 사물인터넷 디바이스의 업로드 또는 다운로드 트래픽이 미리 설정된 임계치를 초과하지 않는 때에는(단계 S7=NO) 패킷 검증부(153)는 서비스 요청을 한 사물인터넷 디바이스는 정상적인 디바이스, 즉, 당해 이상동작 차단장치(150)를 통해서 복수의 서버(300) 중 대응하는 서버와 접속하여 통신을 할 자격이 있는 디바이스로 판단하고 단계 S8로 진행하여 서비스 요청을 허용하고, 서비스 송신부(157)는 서비스 요청된 정보 또는 데이터를 복수의 서버(300) 중 서비스 요청을 한 사물인터넷 디바이스와 대응하는 서버로 송신한 후 종료한다.
또, 단계 S7에서의 판단 결과, 복수의 사물인터넷 디바이스(110) 중 서비스 요청을 한 사물인터넷 디바이스의 업로드 또는 다운로드 트래픽이 미리 설정된 임계치를 초과할 때에는(단계 S7=YES) 패킷 검증부(153)는 서비스 요청을 한 사물인터넷 디바이스가 부정한 디바이스, 즉, 당해 이상동작 차단장치(150)를 통해서 복수의 서버(300) 중 대응하는 서버와 접속하여 통신을 할 자격이 없는 디바이스로 판단하고 단계 S9로 진행하여 서비스 요청을 허용하고 종료한다.
이상, 본 발명을 바람직한 실시형태에 의해 설명하였으나, 본 발명은 앞에서 설명한 실시형태에 한정되는 것은 아니며, 본 발명의 범위 내에서 다양한 변경 또는 변형이 가능함은 당연하다.
110 사물인터넷 디바이스
130 공유기
150 이상 디바이스 차단장치
151 디바이스 패킷 수신부
153 패킷 검증부
155 프로파일 데이터 수신부
157 서비스 송신부
300 서버
500 공격자
700 빅데이터 분석시스템
900 인터넷 통신망

Claims (7)

  1. 인터넷 통신망을 통해서 복수의 서버 중 대응하는 서버와 접속하여 정보 또는 데이터를 송수신하는 복수의 사물인터넷 디바이스 중 이상이 있는 디바이스에 대해 상기 접속을 차단하는 사물인터넷 이상 디바이스 차단장치로,
    상기 사물인터넷 이상 디바이스 차단장치는,
    미리 정해진 일정 구역 내에 설치되어 있는 상기 사물인터넷 디바이스와 상기 인터넷 통신망 사이에 설치되며,
    상기 사물인터넷 디바이스가 상기 인터넷 통신망을 통해서 상기 대응하는 서버와 접속을 시도하거나 또는 상기 대응하는 서버로부터의 정보 또는 데이터 전송요청에 응답하는 서비스 요청이 있은 때에, 상기 서비스 요청이 상기 접속 또는 상기 응답을 할 권한을 가진 정상 사물인터넷 디바이스로부터 이루어진 것인가 여부를 검증하고,
    상기 서비스 요청이 상기 정상 사물인터넷 디바이스로부터의 서비스 요청이 아닌 때에는 그 서비스 요청을 차단하는 것을 특징으로 하는 사물인터넷 이상 디바이스 차단장치.
  2. 청구항 1에 있어서,
    상기 검증은 상기 서비스 요청이 이루어진 사물인터넷 디바이스가 상기 사물인터넷 이상 디바이스 차단장치에 사전에 미리 등록된 사물인터넷 디바이스인가 여부에 의해 이루어지는 것을 특징으로 하는 사물인터넷 이상 디바이스 차단장치.
  3. 청구항 1에 있어서,
    상기 사물인터넷 이상 디바이스 차단장치는,
    상기 서비스 요청이 있으면 당해 서비스 요청이 이루어진 사물인터넷 디바이스의 디바이스 패킷을 수신하는 패킷 수신부와,
    수신한 상기 디바이스 패킷의 MAC 어드레스, 디바이스 IP, 목적지 IP, IP 프로토콜, 디바이스 애플리케이션 프로토콜 중 어느 하나 이상을 추출하고, 추출된 상기 MAC 어드레스, 디바이스 IP, 목적지 IP, IP 프로토콜, 디바이스 애플리케이션 프로토콜 중 어느 하나 이상에 대해 검증을 실행함으로써 상기 정상 사물인터넷 디바이스인가 여부를 검증하는 패킷 검증부를 포함하는 것을 특징으로 하는 사물인터넷 이상 디바이스 차단장치.
  4. 청구항 1 내지 3 중 어느 한 항에 있어서,
    상기 이상 디바이스 차단장치는,
    상기 복수의 사물인터넷 디바이스로부터 상기 대응하는 서버로 정보 또는 데이터를 업로드 하는 업로드 트래픽 및 상기 복수의 서버로부터 상기 복수의 사물인터넷 디바이스 중 대응하는 사물인터넷 디바이스로 정보 또는 데이터를 다운로드 하는 다운로드 트래픽을 측정하고,
    상기 업로드 트래픽 또는 상기 다운로드 트래픽이 미리 정해진 임계치를 넘으면 상기 업로드 또는 상기 다운로드를 차단하는 것을 특징으로 하는 사물인터넷 이상 디바이스 차단장치.
  5. 인터넷 통신망을 통해서 복수의 서버 중 대응하는 서버와 접속하여 정보 또는 데이터를 송수신하는 복수의 사물인터넷 디바이스 중 이상이 있는 디바이스에 대해 상기 접속을 차단하는 사물인터넷 이상 디바이스 차단방법으로,
    상기 복수의 사물인터넷 디바이스 중 상기 접속을 시도하는 사물인터넷 디바이스의 디바이스 패킷을 수신하는 단계 a)와,
    상기 단계 a)에서 수신한 상기 디바이스 패킷에 의해 상기 접속을 시도하는 사물인터넷 디바이스가 사전에 미리 등록된 사물인터넷 디바이스인가 여부를 판단하는 단계 b)를 포함하고,
    상기 단계 b)에서 상기 접속을 시도하는 사물인터넷 디바이스가 사전에 미리 등록된 사물인터넷 디바이스가 아닌 것으로 판단되면 상기 접속을 차단하는 것을 특징으로 하는 사물인터넷 이상 디바이스 차단방법.
  6. 청구항 5에 있어서,
    상기 단계 a)에서 수신한 상기 디바이스 패킷에서 목적지 IP, IP 프로토콜, 디바이스 애플리케이션 프로토콜 중 어느 하나 이상을 추출하고, 추출한 목적지 IP, IP 프로토콜, 디바이스 애플리케이션 프로토콜 중 어느 하나 이상이 사전에 미리 등록된 것인가 여부를 판단하는 단계 c)를 더 포함하고,
    상기 단계 c)에서의 판단 결과 목적지 IP, IP 프로토콜, 디바이스 애플리케이션 프로토콜 중 어느 하나 이상이 사전에 미리 등록된 것이 아닌 것으로 판단되면 상기 접속을 차단하는 것을 특징으로 하는 사물인터넷 이상 디바이스 차단방법.
  7. 청구항 5 또는 청구항 6에 있어서,
    상기 복수의 사물인터넷 디바이스로부터 상기 대응하는 서버로 정보 또는 데이터를 업로드 하는 업로드 트래픽 및 상기 복수의 서버로부터 상기 복수의 사물인터넷 디바이스 중 대응하는 사물인터넷 디바이스로 정보 또는 데이터를 다운로드 하는 다운로드 트래픽을 측정하는 단계 d)를 더 포함하고,
    상기 단계 d)에서의 판단 결과 상기 업로드 트래픽 또는 상기 다운로드 트래픽이 미리 정해진 임계치를 넘으면 상기 업로드 또는 상기 다운로드를 차단하는 것을 특징으로 하는 사물인터넷 이상 디바이스 차단방법.
KR1020160048556A 2016-04-21 2016-04-21 사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법 KR20170120291A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160048556A KR20170120291A (ko) 2016-04-21 2016-04-21 사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160048556A KR20170120291A (ko) 2016-04-21 2016-04-21 사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법

Publications (1)

Publication Number Publication Date
KR20170120291A true KR20170120291A (ko) 2017-10-31

Family

ID=60301592

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160048556A KR20170120291A (ko) 2016-04-21 2016-04-21 사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법

Country Status (1)

Country Link
KR (1) KR20170120291A (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200025196A (ko) 2018-08-29 2020-03-10 국방과학연구소 복수의 주변 디바이스로부터 데이터를 수신하는 방법 및 디바이스
KR20210084993A (ko) 2019-12-30 2021-07-08 한국전자통신연구원 사물인터넷 환경에서의 보안통제 대상 결정 장치 및 방법
WO2021246607A1 (ko) * 2020-06-02 2021-12-09 주식회사 티오이십일콤즈 IoT 디바이스 자율 제어 시스템 및 이를 이용한 자율 제어 방법
CN114143227A (zh) * 2021-10-25 2022-03-04 国网山西省电力公司阳泉供电公司 一种物联网卡异常状态监测预警方法
CN114363066A (zh) * 2022-01-04 2022-04-15 中国建设银行股份有限公司 终端设备的安全接入方法、装置、电子设备和存储介质

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200025196A (ko) 2018-08-29 2020-03-10 국방과학연구소 복수의 주변 디바이스로부터 데이터를 수신하는 방법 및 디바이스
JP2020536295A (ja) * 2018-08-29 2020-12-10 国防科学研究所Agency For Defense Development 複数の周辺デバイスからデータを受信する方法及びそのデバイス
KR20210084993A (ko) 2019-12-30 2021-07-08 한국전자통신연구원 사물인터넷 환경에서의 보안통제 대상 결정 장치 및 방법
WO2021246607A1 (ko) * 2020-06-02 2021-12-09 주식회사 티오이십일콤즈 IoT 디바이스 자율 제어 시스템 및 이를 이용한 자율 제어 방법
CN114143227A (zh) * 2021-10-25 2022-03-04 国网山西省电力公司阳泉供电公司 一种物联网卡异常状态监测预警方法
CN114363066A (zh) * 2022-01-04 2022-04-15 中国建设银行股份有限公司 终端设备的安全接入方法、装置、电子设备和存储介质

Similar Documents

Publication Publication Date Title
KR102075228B1 (ko) 시큐리티 시스템 및 통신 제어 방법
Verba et al. Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS)
US11271952B2 (en) Network probe and method of processing message
KR20170120291A (ko) 사물인터넷 디바이스의 이상 디바이스 차단장치 및 차단방법
CA2563422A1 (en) Systems and methods for managing a network
GB2449852A (en) Monitoring network attacks using pattern matching
KR100947211B1 (ko) 능동형 보안 감사 시스템
Mahan et al. Secure data transfer guidance for industrial control and SCADA systems
JP6737610B2 (ja) 通信装置
US11632399B2 (en) Secure administration of a local communication network comprising at least one communicating object
US20160127316A1 (en) Highly secure firewall system
US10348687B2 (en) Method and apparatus for using software defined networking and network function virtualization to secure residential networks
Čeleda et al. Flow-based security issue detection in building automation and control networks
Dua et al. Iisr: A secure router for iot networks
Tippenhauer et al. Vbump: Securing ethernet-based industrial control system networks with vlan-based traffic aggregation
US20110154469A1 (en) Methods, systems, and computer program products for access control services using source port filtering
CN113489731A (zh) 基于虚拟化网络的数据传输方法、系统和网络安全设备
JP6780838B2 (ja) 通信制御装置及び課金方法
US20210051163A1 (en) Identification and control of suspicious connected identities and activities
KR101047994B1 (ko) 네트워크 기반 단말인증 및 보안방법
JP6896264B2 (ja) 通信装置、通信方法、及びプログラム
KR100983549B1 (ko) 클라이언트 ddos 방어 시스템 및 그 방법
US8590031B2 (en) Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server
Skorpil et al. Internet of things security overview and practical demonstration
KR100539760B1 (ko) 인터넷 접근 제어를 통한 에이전트 설치 유도 시스템 및그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application