KR20180113321A - 패킷 워터마킹과 오류 정정 기법을 이용한 로그 ap 탐지 시스템 및 그 방법 - Google Patents

패킷 워터마킹과 오류 정정 기법을 이용한 로그 ap 탐지 시스템 및 그 방법 Download PDF

Info

Publication number
KR20180113321A
KR20180113321A KR1020170044710A KR20170044710A KR20180113321A KR 20180113321 A KR20180113321 A KR 20180113321A KR 1020170044710 A KR1020170044710 A KR 1020170044710A KR 20170044710 A KR20170044710 A KR 20170044710A KR 20180113321 A KR20180113321 A KR 20180113321A
Authority
KR
South Korea
Prior art keywords
packet
log
bit pattern
length
bit
Prior art date
Application number
KR1020170044710A
Other languages
English (en)
Inventor
정일안
박영근
김병관
이재구
Original Assignee
한국정보보호시스템(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보호시스템(주) filed Critical 한국정보보호시스템(주)
Priority to KR1020170044710A priority Critical patent/KR20180113321A/ko
Publication of KR20180113321A publication Critical patent/KR20180113321A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/55Prevention, detection or correction of errors
    • H04L49/557Error correction, e.g. fault recovery or fault tolerance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/608Watermarking

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Editing Of Facsimile Originals (AREA)

Abstract

본 발명은 임의로 생성된 워터마크 비트 패턴에 따라 두 가지의 지정된 길이를 갖는 패킷을 패킷 스트림 형태로 특정 AP를 통해 전송하고, 무선 네트워크 상에서 수집되는 무선 패킷들 중 상기 지정된 길이를 갖는 패킷을 검출하고 오류 정정 기법을 통해 정확한 비트 패턴을 추출한 후, 상기 워터마크 비트 패턴과 일치하는지 비교함으로써 비인가 AP가 내부 네트워크에 연결되었는지 확인하여 로그 AP를 탐지할 수 있는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템 및 그 방법에 대한 것이다.
본 발명에 따른 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템은, 네트워크에 연결된 AP 중 로그 AP를 탐지하는 로그 AP 탐지 시스템으로서, 서로 다른 패킷 길이를 갖는 복수의 패킷을 임의의 순서로 배열한 패킷 스트림을 생성하고, 상기 패킷 스트림을 상기 AP를 통해 상기 AP에 연결된 단말기로 전송하는 보안 관리 서버와, 상기 AP를 통해 상기 단말기로 전송되는 무선 패킷을 모니터링하고, 상기 무선 패킷 중 상기 각 패킷 길이를 갖는 각 패킷을 검출하는 패킷 탐지부를 포함하고, 상기 패킷 탐지부가, 검출된 각 패킷과 상기 패킷 스트림을 비교하여 상기 AP가 로그 AP인지 판단하는 것을 특징으로 한다.

Description

패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템 및 그 방법{SYSTEM FOR DETECTING ROUGE ACCESS POINT USING PACKET WATERMARKING AND ERROR CORRECTION METHOD AND METHOD THEREOF}
본 발명은 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템 및 그 방법에 대한 것이며, 보다 구체적으로는 임의로 생성된 워터마크 비트 패턴에 따라 두 가지의 지정된 길이를 갖는 패킷을 패킷 스트림 형태로 특정 AP를 통해 전송하고, 무선 네트워크 상에서 수집되는 무선 패킷들 중 상기 지정된 길이를 갖는 패킷을 검출하고 오류 정정 기법을 통해 정확한 비트 패턴을 추출한 후, 상기 워터마크 비트 패턴과 일치하는지 비교함으로써 비인가 AP가 내부 네트워크에 연결되었는지 확인하여 불법 로그 AP를 탐지할 수 있는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템 및 그 방법에 대한 것이다.
최근 들어 모바일 디바이스의 사용이 빈번해지고 스마트 TV나 셋톱박스 등이 가정 내에 보편적으로 사용됨에 따라 대부분의 사용자 단말기들이 네트워크를 통해 서비스를 이용할 수 있는 형태로 진화하고 있다. 이에 따라, 사무실 뿐만 아니라 가정 내에서도 다양한 단말기들을 서로 연결하거나 특히 외부 인터넷 망에 연결하기 위하여 유무선 공유기, 즉 액세스 포인트(AP: Access Point, 이하 'AP'라 함)를 사용하고 있다.
한편, 이와 같이 대부분의 사용자 단말기들이 유무선 네트워크에 연결되고 사용자 단말기에 중요한 사용자 정보(개인 정보, 카드와 같은 결제 정보 등)가 저장됨에 따라, 네트워크를 통해 사용자 단말기에 접근하여 사용자 단말기의 정상 동작을 방해하거나 사용자 정보를 빼 내가는 악성행위 역시 다양화되어 가고 있는 추세이다.
이러한 악성행위를 차단하기 위하여 스마트 폰이나 컴퓨터, 노트북 등에 다양한 백신 프로그램이나 방화벽 등을 설치하여 자체적으로 방어하는 방법을 사용하고 있다. 또한, 기업 등에서도 내부 네트워크에 연결된 단말기들을 악성행위로터 보호하기 위해 방화벽을 설치하고 자체적인 보안 정책을 실행하고 있다.
한편, 이러한 기업 등의 보안 정책을 따르지 않는 비인가 AP가 개인적인 용도 또는 불법적인 용도로 내부 네트워크에 연결되는 경우가 발생하는데, 이러한 비인가 AP를 로그 AP(Rouge Access Point)라 한다. 로그 AP는 보안 정책을 따르지 않으면서 인가되지 않은 불법적인 AP가 내부 네트워크에 연결되는 형태이다 보니, 로그 AP를 통해 외부로부터 불법적인 침입이 발생하여 내부 네트워크를 공격하거나 내부 네트워크에 연결된 단말기에 악성코드를 감염시키거나 정보를 탈취하는 등 악성행위가 이루어질 수 있다.
그러나 이러한 로그 AP를 탐지하기 위해서는 관리자가 직접 분석기를 들고 물리적으로 로그 AP를 직접 탐지할 수밖에 없어 보다 효과적으로 로그 AP를 탐지할 수 있는 방법이 요구되고 있다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 제시된 것으로, 본 발명의 목적은 임의로 생성된 워터마크 비트 패턴에 따라 복수의 패킷을 패킷 스트림 형태로 특정 AP를 통해, 무선 네트워크에서 패킷 스트림을 수집 및 오류 정정하여 정확한 워터마크 비트 패턴을 추출하여 전송한 워터마크 비트 패턴과 비교함으로써 비인가 AP가 내부 네트워크에 연결되어 있는지 확인하여 불법 로그 AP를 탐지할 수 있는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템 및 그 방법을 제공하는 것이다.
또한, 본 발명의 다른 목적은 두 가지의 지정된 길이를 갖는 패킷을 워터마크 비트 패턴에 따라 배열한 패킷 스트림을 전송하고, 무선 네트워크에서 수집되는 패킷 중 상기 지정된 길이에 대응하는 패킷만을 수집하여 이를 비트 패턴으로 변환하여 비교함으로써 로그 AP를 정확히 탐지할 수 있는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템 및 그 방법을 제공하는 것이다.
상기의 목적을 달성하기 위하여, 본 발명에 따른 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템은, 네트워크에 연결된 AP 중 로그 AP를 탐지하는 로그 AP 탐지 시스템으로서, 서로 다른 패킷 길이를 갖는 복수의 패킷을 임의의 순서로 배열한 패킷 스트림을 생성하고, 상기 패킷 스트림을 상기 AP를 통해 상기 AP에 연결된 단말기로 전송하는 보안 관리 서버와, 상기 AP를 통해 상기 단말기로 전송되는 무선 패킷을 모니터링하고, 상기 무선 패킷 중 상기 각 패킷 길이를 갖는 각 패킷을 검출하는 패킷 탐지부를 포함하고, 상기 패킷 탐지부가, 검출된 각 패킷과 상기 패킷 스트림을 비교하여 상기 AP가 로그 AP인지 판단하는 것을 특징으로 한다.
바람직하게는, 상기 보안 관리 서버가, 상기 패킷 길이를 2개 이상 선택한 후 상기 선택된 각 패킷 길이에 비트 값을 매핑하고, 임의의 난수적인 비트 패턴인 워터마크 비트 패턴을 생성하고, 상기 워터마크 비트 패턴의 각 비트 값의 순서대로 각 비트 값에 매핑된 패킷 길이를 갖는 각 패킷을 배열하여 상기 패킷 스트림을 생성한다.
이때, 상기 패킷 탐지부는, 검출된 각 패킷의 패킷 길이를 매핑된 비트 값으로 변환하여 비트 패턴을 획득하고, 획득된 비트 패턴과 상기 워터마크 비트 패턴을 비교하여 상기 AP가 로그 AP인지 판단한다.
더욱 바람직하게는, 상기 보안 관리 서버는, 비트 패턴의 각 비트 값이 이전 비트 값과 동일한지 여부를 나타내는 변수를 상기 각 패킷 길이에 반영하여 상기 패킷 스트림을 생성하고, 상기 패킷 탐지부는, 상기 획득된 비트 패턴을 상기 변수를 이용하여 오류 정정한다. 또한, 상기 보안 관리 서버는, 상기 워터마크 비트 패턴의 각 비트 값에 매핑된 패킷 길이를 갖는 각 패킷을 n번씩 중복적으로 배열하여 상기 패킷 스트림을 생성하고, 상기 패킷 탐지부는, 중복적으로 배열된 패킷을 통해 상기 획득된 비트 패턴의 오류를 정정할 수도 있다.
또한, 상기 보안 관리 서버는, 상기 AP와 상기 단말기 사이에 전송되는 패킷의 길이를 분석하여 전송 빈도수가 낮은 패킷 길이를 선택한다.
한편, 상기 패킷 탐지부는, 네트워크에 연결된 AP 및 단말기의 정보를 수집하고, 상기 보안 관리 서버는, 상기 AP가 인가된 AP의 목록인 인가 AP 목록에 포함되어 있는지 판단하고, 상기 AP가 인가 AP 목록에 포함되어 있지 않은 AP에 대하여 상기 패킷 스트림을 전송한다.
또한, 상기 보안 관리 서버는, 상기 AP가 로그 AP로 판단되는 경우 상기 AP의 정보를 로그 AP의 목록인 로그 AP 목록에 저장한다.
또한, 상기의 다른 목적을 달성하기 위하여, 본 발명에 따른 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 방법은, 네트워크에 연결된 AP 중 로그 AP를 탐지하는 로그 AP 탐지 방법으로서, 상기 AP의 정보 및 상기 AP에 연결된 단말기의 정보를 수집하는 단계, 서로 다른 패킷 길이를 갖는 복수의 패킷을 임의의 순서로 배열한 패킷 스트림을 생성하는 단계, 상기 AP 중 인가되지 않은 비인가 AP를 통해 상기 생성된 패킷 스트림을 상기 단말기로 전송하는 단계, 상기 비인가 AP를 통해 상기 단말기로 전송되는 무선 패킷을 모니터링하고, 상기 무선 패킷 중 상기 각 패킷 길이를 갖는 각 패킷을 검출하는 단계, 그리고 상기 검출된 각 패킷과 상기 패킷 스트림을 비교하여 상기 비인가 AP가 로그 AP인지 판단하는 단계를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 패킷 스트림을 생성하는 단계가, 서로 다른 상기 패킷 길이를 2개 이상 선택하는 단계, 선택된 각 패킷 길이에 비트 값을 매핑하는 단계, 임의의 난수적인 비트 패턴인 워터마크 비트 패턴을 생성하는 단계, 그리고 상기 워터마크 비트 패턴의 각 비트 값의 순서대로 각 비트 값에 매핑된 상기 패킷 길이를 갖는 각 패킷을 배열하는 단계를 포함한다.
이때, 상기 비인가 AP가 로그 AP인지 판단하는 단계는, 상기 검출된 각 패킷의 패킷 길이를 매핑된 비트 값으로 변환하여 비트 패턴을 획득하는 단계, 획득된 비트 패턴이 상기 워터마크 비트 패턴과 동일한지 비교하는 단계, 그리고 상기 획득된 비트 패턴이 상기 워터마크 비트 패턴과 동일하면 상기 비인가 AP를 로그 AP로 판단하는 단계를 포함한다.
더욱 바람직하게는, 상기 각 패킷을 배열하는 단계가, 비트 패턴의 각 비트 값이 이전 비트 값과 동일한지 여부를 나타내는 변수를 상기 각 패킷 길이에 반영하는 단계를 포함하고, 상기 비트 패턴을 획득하는 단계가, 상기 획득된 비트 패턴을 상기 변수를 이용하여 오류 정정하는 단계를 포함한다. 또한, 상기 각 패킷을 배열하는 단계가, 상기 워터마크 비트 패턴의 각 비트 값에 매핑된 패킷 길이를 갖는 각 패킷을 n번씩 중복적으로 배열하는 단계를 포함하고, 상기 비트 패턴을 획득하는 단계가, 중복적으로 배열된 패킷을 통해 상기 획득된 비트 패턴의 오류를 정정하는 단계를 포함할 수도 있다.
또한, 상기 각 패킷 길이를 갖는 각 패킷을 검출하는 단계는, 상기 비인가 AP가 보호 모드를 사용하는 경우 상기 보호 모드에 따른 암호화 오버헤드를 산출하는 단계, 상기 각 패킷 길이에 상기 산출된 암호화 오버헤드를 더하여 새로운 패킷 길이를 산출하는 단계, 그리고 상기 비인가 AP를 통해 상기 단말기로 전송되는 무선 패킷 중 상기 산출된 새로운 패킷 길이를 갖는 각 패킷을 검출하는 단계를 포함한다.
또한, 상기 수집된 각 AP의 정보를 이용하여 상기 각 AP가 인가된 AP의 목록인 인가 AP 목록에 포함되어 있는지 판단하는 단계, 그리고 상기 각 AP 중 상기 인가 AP 목록에 포함되어 있지 않은 AP를 상기 비인가 AP로 판단하는 단계를 더 포함한다.
또한, 상기 비인가 AP가 로그 AP로 판단되는 경우 상기 비인가 AP의 정보를 로그 AP의 목록인 로그 AP 목록에 저장하는 단계, 그리고 상기 비인가 AP가 로그 AP가 아닌 것으로 판단되는 경우 상기 비인가 AP의 정보를 외부 AP의 목록인 외부 AP 목록에 저장하는 단계를 더 포함한다.
이상 설명한 바대로, 본 발명에 따른 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템 및 그 방법은 임의로 생성된 워터마크 비트 패턴에 따라 패킷 스트림을 생성하고 이를 이용하여 로그 AP를 탐지하므로, 일반적인 데이터 통신에 따른 패킷 스트림과 혼동이 발생할 가능성을 낮춤으로써 로그 AP 탐지의 정확도를 높일 수 있다.
또한, 두 가지 길이를 지정하고 각 길이에 비트 값을 매핑한 후 지정된 각 길이를 갖는 패킷을 비트 패턴에 따라 배열함으로써 로그 AP 탐지를 위해 전송한 패킷 스트림의 탐지를 정확하고 용이하게 하여 로그 AP를 효과적으로 탐지할 수 있다.
또한, 탐지된 패킷 스트림으로부터 얻어진 비트 패턴을 오류 정정함으로써 정확한 비트 패턴을 획득할 수 있으므로, 무선 네트워크에서 전송 중 발생하는 오류로 인하여 로그 AP의 탐지율이 떨어지는 것을 방지할 수 있다.
도 1은 본 발명에 따른 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템의 구성도이다.
도 2는 본 발명에 따른 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 과정의 흐름도이다.
도 3a 및 도 3b는 본 발명에 따라 패킷 워터마킹과 오류 정정 기법을 이용하여 로그 AP 탐지하는 일 실시예를 도시한 예시도이다.
도 4a 및 도 4b는 본 발명에 따라 패킷 워터마킹과 오류 정정 기법을 이용하여 로그 AP 탐지하는 다른 실시예를 도시한 예시도이다.
이하에서는, 첨부한 도면을 참조하여 본 발명의 장점, 특징 및 바람직한 실시예에 대하여 상세히 설명한다.
도 1은 본 발명에 따른 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템의 구성도이다. 도 1에 도시한 바와 같이, 본 발명에 따른 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템은, 하나 이상의 단말기(100), 하나 이상의 AP(200), 보안 관리 서버(300) 및 패킷 탐지부(400)를 포함한다. 각각의 단말기(100) 및 AP(200)는 내부 네트워크에 연결되어 있을 수 있다.
단말기(100)는 AP(200)에 유무선으로 연결되며 AP를 통해 네트워크에 연결되어 데이터 통신 등 관련 기능을 제공한다. 단말기(100)로는 스마트 폰, 태블릿 PC, 스마트 워치 등의 모바일 디바이스, 스마트 TV, 셋톱박스, 노트북 또는 데스크탑 컴퓨터 등 네트워크에 연결되어 기능을 수행할 수 있는 다양한 형태의 단말기가 사용될 수 있다. 한편, 본 발명을 설명함에 있어서 '연결'이라 함은 물리적 또는 논리적인 방법으로 데이터 통신이 가능하게 연결된 상태, 즉 통신 연결된 상태를 포함한다. 이하에서는, 특정하여 언급하지 않는 한'연결'이라 함은 '통신 연결'을 포함한다.
AP(Access Point, 200)는 유선 또는 무선으로 연결된 단말기(100)를 내부 및 외부 네트워크에 연결하여 데이터 패킷을 송수신하는 기능을 수행한다. AP는 인가 AP 및 비인가 AP로 구분될 수 있다. 인가 AP는 화이트리스트 기반으로 보안 관리 서버에 이미 등록된 AP를 나타내며, 비인가 AP는 인가 AP 목록에 있지 않는 AP를 나타낸다. 비인가 AP는 로그 AP(Rogue AP)와 외부 AP로 구분될 수 있다. 로그 AP는 비인가 AP 중 내부 네트워크에 연결되어 있는 AP, 즉 내부 네트워크에 위협이 될 수 있는 AP를 나타낸다. 또한, 외부 AP는 비인가 AP 중 내부 네트워크에 연결되어 있지 않는 AP를 나타낸다.
한편, 각 단말기(100a 내지 100d)는 각기 AP(200a, 200b)에 유무선 연결될 수 있다. 도 1에서는 단말기 A(100a) 및 단말기 B(100b)가 AP A(200a)에 연결되고, 단말기 C(100c) 및 단말기 D(100d)는 AP B(200b)에 연결된 실시예를 도시하였다. 또한, 이하에서는 AP A(200a)가 인가 AP이고 AP B(200b)는 로그 AP로 가정하고 설명한다.
보안 관리 서버(300)는 내부 네트워크에 보안 정책을 실행하고 악성행위로부터 단말기 및 AP를 보호한다. 또한, 보안 관리 서버(300)는 후술하는 패킷 탐지부(350)와 연동하여 내부 네트워크에 연결된 AP 중 로그 AP를 탐지한다. 이를 위해, 보안 관리 서버(300)는 서로 다른 패킷 길이를 갖는 복수의 패킷을 임의의 순서로 배열한 패킷 스트림을 생성하고, 생성된 패킷 스트림을 AP를 통해 AP에 연결된 단말기로 전송한다. 또한, 패킷 탐지부(350)는 AP를 통해 단말기로 전송되는 무선 패킷을 모니터링하고, 무선 패킷 중 각 패킷 길이(또는 각 패킷 길이에 대응하는 길이)를 갖는 각 패킷을 검출하고, 검출된 각 패킷과 패킷 스트림을 비교하여 해당 AP가 로그 AP인지 여부를 판단한다.
보다 구체적으로, 보안 관리 서버(300)는 패킷 탐지부(350)로부터 내부 네트워크에 연결된 AP, 예를 들어 AP A(200a) 및 AP B(200b)의 정보를 수집하고 인가 AP 목록에 포함된 AP인지 판단한다. AP A(200a)가 인가 AP 목록에 포함되어 있는 경우 보안 관리 서버(300)는 AP A를 인가 AP로 판단하고, AP B(200b)가 인가 AP 목록에 포함되어 있지 않은 경우 보안 관리 서버는 AP B에 대하여 로그 AP인지 확인한다. 먼저, 보안 관리 서버(300)는 임의의 워터마크 비트 패턴을 생성하고, 임의의 패킷 길이(값)를 선택한다. 패킷 길이는 복수로 선택하도록 하며, AP B(200b)가 연결된 단말기(100c, 100d)와 교환하는 데이터 패킷 중 빈도가 낮은 길이를 선택한다. 바람직하게는 비트 값이 2진수로 0과 1, 두 가지이므로 패킷 길이 역시 두 가지(예를 들어 A, B)를 선택한다. 보안 관리 서버(300)는 선택된 각 패킷 길이에 비트 값을 매핑한다. 또한, 보안 관리 서버(300)는 각 패킷 길이를 갖는 패킷을 생성한 후, 워터마크 비트 패턴에 따라 각 패킷 길이의 패킷을 배열하여 패킷 스트림을 생성하고 AP B(200b)를 통해 단말기 C(100c) 또는 단말기 D(100d)로 패킷 스트림을 전송한다. 한편, 보안 관리 서버(300)는 패킷 탐지부(350)에 의해 검출되는 패킷 스트림을 비트 패턴으로 변환함에 있어 오류 정정이 가능하도록 패킷 스트림을 생성하여 전송한다. 오류 정정은 다양한 오류 정정 기법이 사용될 수 있는데, 본 발명에서는 순방향 오류 정정(Forward Error Correction) 기법을 사용할 수 있다. 순방향 오류 정정 기법은 통신 선로 상에서 일어난 비트 오류를 수신된 정보들을 토대로 하여 정정하는 부호화 기술이다. 예를 들어, 보안 관리 서버(300)는 워터마크 비트 패턴의 각 비트에 따라 패킷 길이(A, B)의 패킷을 배열함에 있어 오류 정정을 위해 워터마크 비트 패턴의 각 비트 값이 이전 비트 값들과 동일한지 여부를 나타내는 값(변수)을 반영한 패킷 길이를 이용하여 패킷 스트림을 생성할 수 있다. 예를 들어, 보안 관리 서버(300)는 패킷 길이가 A, B인 경우 A±α 또는 B±α 길이로 패킷을 생성할 수 있다(α는 정수). 예를 들어, +α는 α개의 이전 비트 모두가 현재 비트와 동일한 값인 것을 의미하고 -α는 α개의 이전 비트 모두가 현재 비트와 다른 값이라는 것을 의미한다. 따라서, 무선 패킷의 전송 중 손실이 발생하여도 ±α 값을 이용하여 오류를 정정할 수 있다. 또한, 보안 관리 서버(300)는 워터마크 비트 패턴에 따라 선택된 패킷 길이(A, B)의 패킷을 n번 중복적으로 전송할 수 있다(n은 자연수). 즉, 워터마트 비트 패턴의 각 비트에 대한 패킷 길이의 패킷을 n번씩 중복적으로 전송할 수 있다. 따라서 동일한 패킷 길이의 패킷이 중복적으로 전송되므로 일부 무선 패킷이 손실되더라도 오류 정정을 할 수 있게 된다. 보안 관리 서버(300)는 이외에도 다양한 오류 정정 기법을 활용할 수 있도록 패킷 스트림을 생성하여 전송할 수 있다.
한편, 보안 관리 서버(300)는 패킷 탐지부(350)에 의해 탐지 및 검출된 패킷 스트림으로부터 비트 패턴을 추출하고 오류 정정을 수행한다. 비트 패턴 추출 및 오류 정정은 패킷 탐지부(350)에 의해 수행될 수도 있다. 이후, 오류 정정된 비트 패턴과 워터마크 비트 패턴을 비교하여 두 비트 패턴이 서로 일치하는 경우 보안 관리 서버(300)는 AP B(200b)가 내부 네트워크에 연결된 비인가 AP인 로그 AP로 판단하고, 두 비트 패턴이 서로 일치하지 않는 경우 보안 관리 서버는 AP B를 외부 AP로 판단한다. AP B(200b)가 로그 AP인 경우 보안 관리 서버(300)는 AP B의 정보를 로그 AP 목록에 저장하고, AP B가 외부 AP인 경우 보안 관리 서버는 AP B의 정보를 외부 AP 목록에 저장한다.
보안 관리 서버(300)는 WIPS(Wireless Intrusion Prevention System) 서버를 포함할 수 있다. 보안 관리 서버(300)는 별도의 기기(Appliance) 형태로 이루어질 수 있고 클라우드(Cloud) 형태로 이루어질 수도 있다.
한편, 본 발명에 따른 로그 AP 탐지 시스템은 보안 관리 서버(300)와 연동하는 별도의 보안 관리 데이터베이스(미도시)를 더 포함할 수 있다. 보안 관리 데이터베이스는 인가된 AP의 목록인 인가 AP 목록, 인가 AP를 제외한 비인가 AP의 목록인 비인가 AP 목록, 로그 AP의 목록인 로그 AP 목록 및 외부 AP의 목록인 외부 AP 목록을 저장한다. 인가 AP 목록, 비인가 AP 목록, 로그 AP 목록 및 외부 AP 목록은 인가 AP/비인가 AP/로그 AP/외부 AP로 분류된 AP에 대한 정보를 포함한다. 구체적으로, 인가 AP 목록, 비인가 AP 목록, 로그 AP 목록 및 외부 AP 목록은 인가 AP/비인가 AP/로그 AP/외부 AP로 분류된 AP에 대하여, AP의 식별정보 및 보호 모드 정보(WEP, WPA, WPA2 등) 등의 정보를 포함할 수 있다. AP의 식별정보로는 BSSID(Basic Service Set IDentifier), 특히 MAC 주소를 사용할 수 있다. 또한, 인가 AP 목록, 비인가 AP 목록, 로그 AP 목록 및 외부 AP 목록은 해당 AP에 연결된 단말기의 정보와 단말기의 통신 대상(예를 들어, 단말기와 통신하는 상대 단말기, 서버 등)의 정보를 더 포함할 수도 있다. 단말기의 정보는 단말기의 식별정보(MAC 주소 등), IP 주소 및 포트 번호 등을 포함할 수 있다. 단말기의 통신 대상의 정보는 단말기의 통신 대상의 식별정보(MAC 주소 등), IP 주소 및 포트 번호 등을 포함할 수 있다. 한편, 인가 AP 목록, 비인가 AP 목록, 로그 AP 목록 및 외부 AP 목록은 각기 별도의 목록으로 생성 및 관리될 수도 있으며, 하나의 AP 목록 상에 인가 AP, 비인가 AP, 로그 AP 및 외부 AP를 구분하는 식별값이 포함된 형태로 생성 및 관리될 수도 있다. 보안 관리 데이터베이스는 보안 관리 서버(300)가 생성하는 워터마크 비트 패턴, 패킷 길이, 패킷 스트림 등을 저장할 수 있다. 바람직하게는, 보안 수준을 유지하기 위하여 보안 관리 서버(300)는 워터마크 비트 패턴, 패킷 길이 등을 로그 AP를 탐지할 때마다 임의로 생성하도록 하며, 보안 관리 데이터베이스 역시 워터마크 비트 패턴, 패킷 길이, 패킷 스트림 등을 임시 저장한 후 특정 AP에 대한 로그 AP 탐지가 완료되면 삭제한다.
패킷 탐지부(350)는 내부 네트워크에 연결된 AP(200) 및 단말기(100)의 정보를 탐지 및 수집한다. 구체적으로, 패킷 탐지부(350)는 내부 네트워크에 연결된 AP(200) 및 단말기(100)의 정보를 수집하여 보안 관리 서버(300)에 제공한다. 또한, 로그 AP를 탐지하고자 하는 경우 탐지할 대상인 AP의 정보, 해당 AP에 연결된 단말기의 정보와 함께, 보안 관리 서버(300)에 의해 생성된 워터마크 비트 패턴 및 패킷 길이 등의 정보를 수신하고 이를 이용하여 대상 AP로부터 전송되는 데이터 패킷을 모니터링한다. 패킷 탐지부(350)는 탐지되는 데이터 패킷 중 패킷 길이가 지정된 패킷 길이에 해당하는 데이터 패킷을 검출한다. 패킷 탐지부(350)는 검출된 패킷들을 보안 관리 서버(300)에 제공할 수 있으며, 검출된 패킷 스트림으로부터 비트 패턴을 추출하고 오류 정정을 수행할 수도 있다.
한편, 실시예에 따라 패킷 탐지부(350)는 보안 관리 서버(300)와 별도의 독립적인 WIPS 센서와 같은 형태로 구성될 수도 있고, 보안 관리 서버의 내부에 포함된 형태로 구성될 수도 있다.
도 2는 본 발명에 따른 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 과정의 흐름도이다. 이하에서는, 도 2를 참조하여 본 발명에 따른 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 과정에 대하여 설명한다.
패킷 탐지부(350)는 주변에 무선으로 전송되는 패킷을 모니터링하여 AP(200)와 단말기(100)의 정보를 수집한다. 구체적으로, 패킷 탐지부(350)는 AP의 식별정보(BSSID, MAC주소), 단말기의 식별정보(MAC 주소), AP와 단말기 간에 통신이 보호 모드를 사용하는 경우 보호 모드 정보(WEP, WPA, WPA2 등) 등을 수집할 수 있다. 또한, AP와 단말기 간의 통신이 보호 모드(WEP, WPA, WPA2 등)가 아닌 개방 모드인 경우, 패킷 탐지부(350)는 추가적으로 단말기의 IP 주소 및 포트 번호, 단말기의 통신 상대의 IP 주소 및 포트 번호와 같은 추가 정보를 수집한다. 패킷 탐지부(350)는 수집된 정보를 보안 관리 서버(300)로 전송한다.
보안 관리 서버(300)는 패킷 탐지부(350)로부터 전송된 AP 정보를 이용하여 탐지된 AP가 인가 AP인지 여부를 판단한다(ST105). 구체적으로, 보안 관리 서버(300)는 탐지된 AP의 식별정보가 인가 AP 목록에 포함되어 있는지 확인한다. ST100에서 탐지된 AP가 복수인 경우, 보안 관리 서버(300)는 각 AP에 대하여 식별정보가 인가 AP 목록에 포함되어 있는지 순차적으로 확인한다.
탐지된 AP의 식별정보가 인가 AP 목록에 포함되어 있는 경우, 보안 관리 서버(300)는 해당 AP를 인가 AP로 판단한다(ST110, ST115). 예를 들어, 도 1에서 AP A(200a)에 대하여 보안 관리 서버(300)는 인가 AP로 판단할 수 있다.
반면, 탐지된 AP의 식별정보가 인가 AP 목록에 포함되어 있지 않은 경우, 보안 관리 서버(300)는 해당 AP를 비인가 AP로 판단하고 해당 AP의 정보와 해당 AP에 연결된 단말기의 정보를 비인가 AP 목록에 임시로 저장한다(ST110, ST120). 예를 들어, 도 1에서 AP B(200b)에 대하여 보안 관리 서버(300)는 비인가 AP로 판단하고, AP B와 AP B에 연결된 단말기 C(100c) 및 단말기 D(100d)의 정보를 비인가 AP 목록에 임시 저장할 수 있다.
한편, 보안 관리 서버(300)는 해당 비인가 AP가 보호 모드(WEP, WPA 및 WPA2 등)이면서 라우터 모드인 경우, 선택적으로 내부 네트워크 패킷을 모니터링하여 해당 비인가 AP 및 연결된 단말기와 연관된 추가적인 정보를 수집하고, 수집된 정보를 비인가 AP 목록에 저장할 수 있다. 내부 네트워크 패킷 모니터링은 패킷 탐지부(350)에 의해 수행될 수 있으며, 예를 들어 내부 네트워크에서 패킷 덤프(dump)를 통해 비인가 AP로 의심될 만한 TCP/IP 세션을 찾아 그 세션 정보를 추가로 수집할 수 있다.
이후, 보안 관리 서버(300)는 비인가 AP로 판단한 AP에 대하여 패킷 탐지부(350)와 연동하여 로그 AP인지 여부를 판단 및 탐지한다.
우선, 보안 관리 서버(300)는 비인가 AP(200)에 연결된 단말기(100)로 전송할 패킷의 길이를 복수로 선택한다(ST125). 바람직하게는, 후술하는 바와 같이 패킷 길이에 매핑되는 비트 값이 2진수로 '0'과 '1', 2개 이므로 보안 관리 서버(300)는 2가지의 패킷 길이(예를 들어 A, B)를 선택한다. 또한, 보안 관리 서버(300)는 해당 비인가 AP(200)와 단말기(100) 사이에 전송되는 패킷의 길이를 통계적으로 분석하여 패킷 전송의 빈도수가 낮은 패킷 길이를 선택한다. 보안 관리 서버(300)가 전송 빈도수가 낮은 패킷 길이를 선택하는 것은 후술하는 패킷 탐지부(350)에 의한 패킷 수집 및 검출을 용이하고 정확하게 하기 위함이다. 구체적으로, 보안 관리 서버(300)가 선택된 패킷 길이로 패킷을 선택하여 전송하고 패킷 탐지부(350)가 해당 패킷 길이의 패킷을 검출함에 있어, 비인가 AP(200)와 단말기(100) 사이에 전송 빈도가 높은 패킷 길이를 선택할 경우 패킷 탐지부는 보안 관리 서버가 전송한 패킷 이외에 일반적인 데이터 통신에 따른 패킷을 함께 수집하게 된다. 이 경우 로그 AP를 정확히 탐지할 수 없으므로, 보안 관리 서버(300)는 비인가 AP와 단말기 사이의 전송 빈도수가 낮은 패킷 길이를 선택한다.
보안 관리 서버(300)는 고정된 비트 길이의 워터마크 비트 패턴을 생성한다(ST130). 워터마크 비트 패턴은 임의의 난수적인 비트 패턴 형태로 형성된다. 또한, 보안 관리 서버(300)는 ST125 단계에서 생성된 각 패킷 길이에 비트 값을 매핑한다. 한편, 보안 관리 서버(300)가 워터마크 패턴으로 2진수의 비트 패턴이 아닌 다른 진수로 표현되는 패턴을 사용하는 경우, ST125 단계에서 패킷 길이는 해당 진수에 맞게 생성될 수 있다. 예를 들어, 워터마크 패턴으로 10진수로 표현되는 패턴을 사용하는 경우, 보안 관리 서버(300)는 10가지의 패킷 길이를 선택할 수 있다. 보안 관리 서버(300)는 비인가 AP의 정보, 비인가 AP에 연결된 단말기의 정보, 생성된 워터마크 비트 패턴, 패킷 길이, 패킷 길이와 비트 값의 매핑 정보를 패킷 탐지부(350)에 전송한다.
보안 관리 서버(300)는 워터마크 비트 패턴에 따라 해당 패킷 길이의 패킷을 생성 및 배열하여 패킷 스트림을 생성하고, 비인가 AP(200)를 통해 단말기(100)로 패킷 스트림을 전송한다(ST135). 상기한 바와 같이, 보안 관리 서버(300)는 이후 탐지부(350)에 의해 탐지되는 패킷들의 패킷 길이를 비트 값으로 변환하여 비트 패턴을 추출함에 있어 오류 정정을 할 수 있도록 패킷 스트림을 생성하여 전송한다. 예를 들어, 보안 관리 서버(300)는 패킷 길이가 A, B인 경우 워터마크 비트 패턴에 따라 A±α 또는 B±α 길이의 패킷을 이용하여 패킷 스트림을 생성 및 전송할 수 있다(α는 정수). 여기서, +α는 α개의 이전 비트 모두가 현재 비트와 동일한 값인 것을 의미하고 -α는 α개의 이전 비트 모두가 현재 비트와 다른 값이라는 것을 의미할 수 있다. 또한, 보안 관리 서버(300)는 워터마크 비트 패턴에 따라 선택된 패킷 길이(A, B)의 패킷을 n번씩 중복적으로 전송할 수 있다(n은 자연수).
패킷 탐지부(350)는 보안 관리 서버(300)로부터 전송된 정보, 구체적으로 비인가 AP의 정보, 단말기의 정보, 워터마크 비트 패턴, 패킷 길이와 비트 값의 매핑 정보를 이용하여 비인가 AP에서 단말기로 전송되는 무선 패킷을 모니터링한다(ST140). 패킷 탐지부(350)는 비인가 AP에서 단말기로 전송되는 패킷 중 선택된 패킷 길이(A, B) 또는 선택된 패킷 길이에 대응하는 길이(A±α, B±α)에 해당하는 패킷을 검출한다. 또한, 패킷 탐지부(350)는 검출된 패킷의 패킷 길이를 매핑된 비트 값으로 변환함으로써 비트 패턴을 획득한다.
패킷 탐지부(350)는 획득된 비트 패턴을 오류 정정한다(ST145). 수집된 무선 패킷은 전송 과정에서 변조 또는 손실 가능성이 있으므로, 정확한 비트 패턴 획득을 위해 패킷 탐지부(350)는 오류 정정 기법을 이용하여 비트 패턴에 대한 오류를 정정한다. 즉, 패킷 탐지부(350)는 보안 관리 서버(300)가 오류 정정을 위해 패킷 스트림을 생성할 때 반영한 기법을 이용하여 오류를 정정한다.
패킷 탐지부(350)는 오류 정정된 비트 패턴과 워터마크 비트 패턴이 서로 동일한지 비교한다(ST150). ST150 단계에서 오류 정정된 비트 패턴과 워터마크 비트 패턴이 서로 일치하면, 해당 비인가 AP가 내부 네트워크에 연결된 것으로 볼 수 있으므로 패킷 탐지부(350)는 해당 비인가 AP를 로그 AP로 판단한다(ST155). 반면, ST150 단계에서 오류 정정된 비트 패턴과 워터마크 비트 패턴이 서로 일치하지 않는 경우 패킷 탐지부(350)는 해당 비인가 AP를 외부 AP로 판단한다. 패킷 탐지부(350)는 판단 결과를 보안 관리 서버(300)로 전송한다.
한편, ST140 단계 내지 ST155 단계에서 비트 패턴 획득, 비트 패턴의 오류 정정 및 오류 정정된 비트 패턴과 워터마크 비트 패턴의 비교 과정은 보안 관리 서버(300)에 의해 수행될 수도 있다.
보안 관리 서버(300)는 비인가 AP가 로그 AP로 판단된 경우 해당 비인가 AP의 정보를 로그 AP 목록에 저장하고, 해당 비인가 AP가 외부 AP로 판단된 경우 해당 비인가 AP의 정보를 외부 AP 목록에 저장한다(ST160, ST165).
도 3a 및 도 3b는 본 발명에 따라 패킷 워터마킹과 오류 정정 기법을 이용하여 로그 AP 탐지하는 일 실시예를 도시한 예시도로서, 도 2의 ST125 단계 내지 ST165 단계를 통해 로그 AP를 탐지하는 예를 도시하였다. 도 3a 및 도 3b에서는 순방향 오류 정정(FEC) 중 하나의 방법(FEC-1)을 이용하여 패킷 스트림을 생성하고 오류를 정정하는 예를 도시하였다. 또한, 도 3a 및 도 3b에서는 비인가 AP로 AP B(200b)를, 비인가 AP에 연결된 단말기로 단말기 C(100c)를 가정한 실시예를 도시하였다. 이하에서는, 도 3a 및 도 3b를 참조하여 본 발명에 따라 패킷 워터마킹과 오류 정정 기법을 이용하여 로그 AP 탐지하는 과정에 대하여 상세히 설명한다.
먼저, 도 3a에 도시된 바와 같이, 보안 관리 서버(300)는 AP B(200b)에 연결된 단말기 C(100c)로 전송할 패킷의 길이로 A, B를 선택하고, 고정된 비트 길이의 워터마크 비트 패턴을 생성한다(ST200). 워터마크 비트 패턴은 고정된 8비트 길이로 생성될 수 있으며, 예를 들어 '10101100'으로 생성할 수 있다.
보안 관리 서버(300)는 AP B의 정보, 단말기 C의 정보와 함께 패킷 길이(A, B), 워터마크 비트 패턴('10101100')을 패킷 탐지부(350)로 전송한다. 패킷 탐지부(350)는 보안 관리 서버(300)로부터 전송된 정보를 이용하여 AP B에서 단말기 C로 전송되는 무선 패킷을 모니터링한다(ST210).
한편, 보안 관리 서버(300)는 선택된 각 패킷 길이를 비트 패턴의 비트 값에 매핑한 후, 워터마크 비트 패턴에 따라 각 패킷 길이를 갖는 패킷을 배열하여 패킷 스트림을 생성한다(ST220). 또한, 보안 관리 서버(300)는 생성된 패킷 스트림을 AP B를 통해 단말기 C로 전송한다. 이때, 보안 관리 서버(300)는 오류 정정을 위해 워터마크 비트 패턴의 각 비트 값이 이전 비트 값들과 동일한지 여부를 나타내는 값(변수)을 반영한 패킷 길이를 이용하여 패킷 스트림을 생성할 수 있다.
예를 들어, 보안 관리 서버(300)는 비트 값 '1'에는 패킷 길이 A를, 비트 값 '0'에는 패킷 길이 B를 매핑할 수 있다. 또한, 각 비트 값이 '1'이면 패킷 길이가 A±α인 패킷을, 각 비트 값이 '0'이면 패킷 길이가 B±α인 패킷을 생성하여 각각 전송할 수 있다(α는 정수). ±α는 무선 패킷 손실에 대한 오류 정정을 하기 위한 것으로 +α는 α개의 이전 비트 모두가 현재 비트 값과 같다는 것을 의미하고 -α는 α개의 이전 비트 모두가 현재 비트 값과 다르다는 것을 의미한다.
보안 관리 서버(300)는 각 패킷 길이와 비트 값의 매핑 정보를 패킷 탐지부(350)로 전송한다.
상기한 바와 같이, 워터마크 비트 패턴은 '10101100'이므로, 첫 번째 비트는 이전 비트가 존재하지 않으므로 패킷 길이가 A인 패킷을 전송한다. 또한, 두 번째 비트는 이전 한 개의 비트 값과 다르므로 패킷 길이가 B-1인 패킷을 전송하고, 세 번째 비트는 이전 한 개의 비트 값과 다르므로 패킷 가 A-1인 패킷을 전송한다. 또한, 네 번째 비트는 이전 한 개의 비트 값과 다르므로 패킷 길이가 B-1인 패킷을 전송한다. 다섯 번째 비트는 이전 한 개의 비트 값과 다르므로 패킷 길이가 A-1인 패킷을 전송하고, 여섯 번째 비트는 이전 한 개의 비트 값과 같으므로 크기가 A+1인 패킷을 전송한다. 일곱 번째 비트는 이전 두 개의 비트 값과 다르므로 크기가 B-2인 패킷을 전송하고, 마지막 비트는 이전 한 개의 비트 값과 같으므로 크기가 B+1인 패킷을 전송한다. 워터마크 비트 패턴에 따라 비트 값에 매핑된 패킷 길이를 배열하면 'A -> B-1 -> A-1 -> B-1 -> A-1 -> A+1 -> B-2 -> B+1'가 된다. 따라서 보안 관리 서버(300)는 패킷 길이가 A인 패킷 -> 패킷 길이가 B-1인 패킷 -> 패킷 길이가 A-1인 패킷 -> 패킷 길이가 B-1인 패킷 -> 패킷 길이가 A-1인 패킷 -> 패킷 길이가 A+1인 패킷 -> 패킷 길이가 B-2인 패킷 -> 패킷 길이가 B+1인 패킷을 순차적으로 전송한다.
한편, AP B(200b)가 보호 모드를 사용하고 있다면 AP B는 보안 관리 서버(300)로부터 전송된 패킷을 각기 암호화하며, 이에 따라 패킷 길이가 A인 패킷의 길이는 A'(=A+암호화 오버헤드)가 되고, 패킷 길이가 B인 패킷의 길이는 B'(=B+암호화 오버헤드)가 되어 단말기 C(100c)로 전송된다. 암호화 오버헤드는 평문 패킷 데이터에서 보호 모드 적용에 의한 패킷 길이의 증가분으로, [암호화 패킷 데이터 길이 - 평문 패킷 데이터 길이]를 의미한다. 암호화를 적용하면 패딩 또는 무결성 검증 정보와 같은 데이터가 추가되기 때문이다. WiFi 통신에서 사용되는 보호 모드(WEP, WPA 및 WPA2 등)는 이미 프로토콜 규약 상으로 정해져 있으며, AP 및 단말기는 어떤 보호 모드를 사용하는지 확인 가능하다. 따라서 보안 관리 서버(300) 및 패킷 탐지부(350)는 AP B의 보호 모드에 따른 암호화 오버헤드를 알 수 있으며, 이를 통해 패킷 길이 A' 및 B'을 산출할 수 있다.
다음으로, 도 3b에 도시한 바와 같이, 패킷 탐지부(350)는 AP B에서 단말기 C로 전송되는 무선 패킷을 모니터링하고, 패킷 길이가 A'±α 또는 B'±α인 패킷을 검출한다(ST230). AP B(200b)에서 패킷 길이가 C인 패킷 -> 패킷 길이가 A'인 패킷 -> 패킷 길이가 D인 패킷 -> 패킷 길이가 B'-1인 패킷 -> 패킷 길이가 A'-1인 패킷 -> 패킷 길이가 B'-1인 패킷 -> 패킷 길이가 E인 패킷 -> 패킷 길이가 A'-1인 패킷 -> 패킷 길이가 B'-2인 패킷 -> 패킷 길이가 B'+1인 패킷이 전송되는 경우, 패킷 탐지부(350)는 패킷 길이가 C, D, E인 패킷은 스킵(skip)하고, 패킷 길이가 A'±α, B'±α인 패킷, 즉 상기 예에서 A', A'± 1, B'± 1, B'-2 등을 검출한다. 또한, 상기한 바와 같이구체적으로, AP B(200b)가 보호 모드를 사용하는 경우 패킷 탐지부(350)는 기 수집된 AP의 정보를 이용하여 AP B가 사용하는 보호 모드의 종류를 확인할 수 있다. 또한, WiFi 통신 프로토콜 규약 상 각 보호 모드의 암호화 오버헤드는 미리 규정되어 있으므로 패킷 탐지부(350)는 AP B(200b)의 보호 모드에 따른 암호화 오버헤드를 알 수 있다. 패킷 탐지부(350)는 패킷 길이 A와 B에 AP B의 보호 모드에 따른 암호화 오버헤드를 각기 더하여 패킷 길이 A'와 B'을 산출할 수 있다. 따라서 패킷 탐지부(350)는 패킷 길이가 A'±α 또는 B'±α인 패킷을 검출할 수 있다. 이와 같이 검출된 패킷 스트림의 각 패킷의 패킷 길이(A', B')를 매핑된 비트 값으로 변환하면 '10101 00'이 된다. 한편, 워터마크 비트 패턴은 8비트인데 검출된 비트 패턴은 7비트이므로 1비트, 즉 패킷 스트림 중 하나의 패킷이 손실되었으며 일부 비트에 오류가 있음을 알 수 있다. 패킷 탐지부(240)는 오류 정정을 위해 패킷 길이에 반영된 ±α를 이용하여 검출된 각 비트 값을 확인 및 오류 정정한다. 우선 첫 번째 비트는 α가 반영되지 않았으므로 그대로 비트 값 '1'을 유지한다. 다음으로, 두 번째 비트는 α로 '-1'이 반영되었고 비트 값이 '0'인데, 이전 비트 값이 '1'로 이전 1개의 비트가 다르므로 비트 값 '0'을 유지한다. 세 번째 비트는 α로 '-1'이 반영되었고 비트 값이 '1'인데, 이전 비트 값이 '10'으로 이전 1개의 비트가 다르므로 비트 값 '1'을 유지한다. 네 번째 비트는 α로 '-1'이 반영되었고 비트 값이 '0'인데, 이전 비트 값이 '101'로 이전 1개의 비트가 다르므로 비트 값 '0'을 유지한다. 다섯 번째 비트는 α로 '-1'이 반영되었고 비트 값이 '1'인데, 이전 비트 값이 '1010'으로 이전 1개의 비트가 다르므로 비트 값 '1'을 유지한다. 여섯 번째 비트는 α로 '-2'이 반영되었고 비트 값이 '0'인데, 이전 비트 값이 '10101'이므로 이전 1개의 비트가 다른데 α는 '-2'로 반영되어 있다. 따라서 여섯 번째 비트의 경우 비트 값과 α가 맞지 않음을 알 수 있다. 한편, 일곱 번째 비트를 살펴보면 α로 '+1'이 반영되었고 비트 값이 '0'인데, 이전 비트 값이 '101010'이므로 이전 1개의 비트가 같으므로 비트 값 '0'과 α가 서로 부합됨을 알 수 있다. 따라서 검출된 각 비트의 비트 값은 무결한데 여섯 번째 비트에 반영된 α가 '-2'이므로 검출된 다섯 번째 비트와 여섯 번째 비트 사이에 손실된 비트(즉, 손실된 패킷)가 있음을 알 수 있으며, α가 '-'값이므로 비트 값은 검출된 여섯 번째 비트 '0'과 다른 '1'임을 알 수 있다. 따라서 위와 같은 패킷 탐지부(240)는 오류 정정을 통해 비트 패턴'10101100'을 얻을 수 있다.
패킷 탐지부(240)는 오류 정정된 비트 패턴과 보안 관리 서버(300)로부터 전송된 워터마크 비트 패턴을 비교하고, 두 비트 패턴이 '10101100'으로 동일하므로 AP B는 로그 AP로 판단할 수 있다(ST240).
보안 관리 서버(300)는 AP B의 정보를 로그 AP 목록에 저장한다(ST250).
도 4a 및 도 4b는 본 발명에 따라 패킷 워터마킹과 오류 정정 기법을 이용하여 로그 AP 탐지하는 다른 실시예를 도시한 예시도로서, 도 2의 ST125 단계 내지 ST165 단계를 통해 로그 AP를 탐지하는 예를 도시하였다. 도 4a 및 도 4b에서는 순방향 오류 정정(FEC) 중 다른 하나의 방법(FEC-2)을 이용하여 패킷 스트림을 생성하고 오류를 정정하는 예를 도시하였다. 또한, 도 4a 및 도 4b도 마찬가지로 비인가 AP로 AP B(200b)를, 비인가 AP에 연결된 단말기로 단말기 C(100c)를 가정한 실시예를 도시하였다. 이하에서는, 도 4a 및 도 4b를 참조하여 본 발명에 따라 패킷 워터마킹과 오류 정정 기법을 이용하여 로그 AP 탐지하는 과정에 대하여 상세히 설명하되, 상기의 설명과 중복되는 부분은 그 설명을 생략한다.
먼저, 도 4a에 도시된 바와 같이, 보안 관리 서버(300)는 AP B(200b)에 연결된 단말기 C(100c)로 전송할 패킷의 길이로 A, B를 선택하고, 고정된 비트 길이의 워터마크 비트 패턴을 생성한다(ST300). 워터마크 비트 패턴은 고정된 4비트 길이로 생성될 수 있으며, 예를 들어 '1010'으로 생성할 수 있다.
보안 관리 서버(300)는 AP B의 정보, 단말기 C의 정보와 함께 패킷 길이(A, B), 워터마크 비트 패턴('1010')을 패킷 탐지부(350)로 전송한다. 패킷 탐지부(350)는 보안 관리 서버(300)로부터 전송된 정보를 이용하여 AP B에서 단말기 C로 전송되는 무선 패킷을 모니터링한다(ST310).
한편, 보안 관리 서버(300)는 선택된 각 패킷 길이를 비트 패턴의 비트 값에 매핑한 후, 워터마크 비트 패턴에 따라 각 패킷 길이를 갖는 패킷을 배열하여 패킷 스트림을 생성하고, 생성된 패킷 스트림을 AP B를 통해 단말기 C로 전송한다(ST320). 이때, 보안 관리 서버(300)는 워터마크 비트 패턴에 따라 선택된 패킷 길이(A, B)의 패킷을 n번씩 중복적으로 전송할 수 있다(n은 자연수). 이와 같이 각 비트 값에 대하여 패킷을 중복적으로 전송하는 것은 무선 패킷 손실에 대한 오류 정정을 위함이다.
예를 들어, 보안 관리 서버(300)는 비트 값 '1'에는 패킷 길이 A를, 비트 값 '0'에는 패킷 길이 B를 매핑할 수 있다. 보안 관리 서버(300)는 각 패킷 길이와 비트 값의 매핑 정보를 패킷 탐지부(350)로 전송한다.
또한, 워터마크 비트 패턴이 '1010'이므로 보안 관리 서버(300)는 각 비트 값에 대응하는 패킷 길이의 패킷을 예를 들어 2번씩 중복하여 전송할 수 있다. 워터마크 비트 패턴에 따라 비트 값에 매핑된 패킷 길이를 배열하면 'A -> A -> B -> B -> A -> A -> B -> B'가 된다. 따라서 보안 관리 서버(300)는 패킷 길이가 A인 패킷 -> 패킷 길이가 A인 패킷 -> 패킷 길이가 B인 패킷 -> 패킷 길이가 B인 패킷 -> 패킷 길이가 A인 패킷 -> 패킷 길이가 A인 패킷 -> 패킷 길이가 B인 패킷 -> 패킷 길이가 B인 패킷을 순차적으로 전송한다.
상기한 바와 같이, AP B(200b)가 보호 모드를 사용하고 있다면 AP B는 보안 관리 서버(300)로부터 전송된 패킷을 각기 암호화하며, 이에 따라 패킷 길이가 A인 패킷의 길이는 A'(=A+암호화 오버헤드)가 되고, 패킷 길이가 B인 패킷의 길이는 B'(=B+암호화 오버헤드)가 되어 단말기 C(100c)로 전송될 것이다.
다음으로, 도 4b에 도시한 바와 같이, 패킷 탐지부(350)는 AP B에서 단말기 C로 전송되는 무선 패킷을 모니터링하고, 패킷 길이가 A' 또는 B'인 패킷을 검출한다(ST330). AP B(200b)에서 패킷 길이가 C인 패킷 -> 패킷 길이가 A'인 패킷 -> 패킷 길이가 D인 패킷 -> 패킷 길이가 A'인 패킷 -> 패킷 길이가 B'인 패킷 -> 패킷 길이가 E인 패킷 -> 패킷 길이가 A'인 패킷 -> 패킷 길이가 B'인 패킷 -> 패킷 길이가 B'인 패킷이 전송되는 경우, 패킷 탐지부(350)는 패킷 길이가 C, D, E인 패킷은 스킵(skip)하고, 패킷 길이가 A', B'인 패킷을 검출한다. 상기한 바와 같이, AP B(200b)가 보호 모드를 사용하는 경우 패킷 탐지부(350)는 기 수집된 AP의 정보를 이용하여 AP B가 사용하는 보호 모드의 종류를 확인하여 암호화 오버헤드를 알 수 있으며, 이를 통해 패킷 길이 A'와 B'을 산출할 수 있다. 이와 같이 검출된 패킷 스트림의 각 패킷의 패킷 길이(A', B')를 매핑된 비트 값으로 변환하면 '110100'이 된다. 한편, 워터마크 비트 패턴은 4비트이고 각 비트에 대한 패킷을 2번씩 중복 전송하였으므로 8비트가 검출되어야 하는데 6비트만 검출되었으므로 2비트, 즉 패킷 스트림 중 2개의 패킷이 손실되었음을 알 수 있다. 상기한 바와 같이 보안 관리 서버(300)는 오류 정정을 위해 워터마크 비트 패턴의 각 비트에 따라 대응하는 패킷 길이의 패킷을 2번씩 중복하였으므로, 패킷 탐지부(240)는 이를 고려하여 오류 정정을 수행한다. 먼저, 검출된 첫 번째 및 두 번째 비트 값이 '1'이고 세 번째 비트 값과 네 번째 비트 값이 각기 '0'과 '1'이므로 세 번째 비트 값 이후에 '0'이 손실되었음을 알 수 있다. 또한, 검출된 다섯 번째 비트 값이 네 번째 비트 값과 다른 '0'이므로 네 번째 비트 값 이후에 '1'이 손실되었음을 알 수 있다. 따라서 오류 정정된 비트 패턴은 '11001100'이 되며, 중복 비트를 제거하면 '1010'이 된다.
패킷 탐지부(240)는 오류 정정된 비트 패턴과 보안 관리 서버(300)로부터 전송된 워터마크 비트 패턴을 비교하고, 두 비트 패턴이 '1010'으로 동일하므로 AP B는 로그 AP로 판단할 수 있다(ST340).
보안 관리 서버(300)는 AP B의 정보를 로그 AP 목록에 저장한다(ST350).
한편, 상기에서는 본 발명의 구성이 AP에 적용된 실시예를 중심으로 설명하였으나, AP 이외에도 다양한 네트워크 장비의 탐지 및 검증에 적용될 수 있음은 물론이다.
본 발명의 바람직한 실시예에 대해 특정 용어들을 사용하여 기재하였으나, 그러한 기재는 오로지 본 발명을 설명하기 위한 것이며, 다음의 청구범위의 기술적 사상 및 범위로부터 이탈되지 않는 범위 내에서 다양하게 변경될 수 있는 것으로 이해되어야 한다.
100: 단말기 200: AP
300: 보안 관리 서버 350: 패킷 탐지부

Claims (16)

  1. 네트워크에 연결된 AP 중 로그 AP를 탐지하는 로그 AP 탐지 시스템으로서,
    서로 다른 패킷 길이를 갖는 복수의 패킷을 임의의 순서로 배열한 패킷 스트림을 생성하고, 상기 패킷 스트림을 상기 AP를 통해 상기 AP에 연결된 단말기로 전송하는 보안 관리 서버; 및
    상기 AP를 통해 상기 단말기로 전송되는 무선 패킷을 모니터링하고, 상기 무선 패킷 중 상기 각 패킷 길이를 갖는 각 패킷을 검출하는 패킷 탐지부를 포함하고,
    상기 패킷 탐지부가, 검출된 각 패킷과 상기 패킷 스트림을 비교하여 상기 AP가 로그 AP인지 판단하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템.
  2. 제1항에 있어서,
    상기 보안 관리 서버가, 상기 패킷 길이를 2개 이상 선택한 후 상기 선택된 각 패킷 길이에 비트 값을 매핑하고, 임의의 난수적인 비트 패턴인 워터마크 비트 패턴을 생성하고, 상기 워터마크 비트 패턴의 각 비트 값의 순서대로 각 비트 값에 매핑된 패킷 길이를 갖는 각 패킷을 배열하여 상기 패킷 스트림을 생성하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템.
  3. 제2항에 있어서,
    상기 패킷 탐지부가, 검출된 각 패킷의 패킷 길이를 매핑된 비트 값으로 변환하여 비트 패턴을 획득하고, 획득된 비트 패턴과 상기 워터마크 비트 패턴을 비교하여 상기 AP가 로그 AP인지 판단하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템.
  4. 제3항에 있어서,
    상기 보안 관리 서버가, 비트 패턴의 각 비트 값이 이전 비트 값과 동일한지 여부를 나타내는 변수를 상기 각 패킷 길이에 반영하여 상기 패킷 스트림을 생성하고,
    상기 패킷 탐지부가, 상기 획득된 비트 패턴을 상기 변수를 이용하여 오류 정정하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템.

  5. 제3항에 있어서,
    상기 보안 관리 서버가, 상기 워터마크 비트 패턴의 각 비트 값에 매핑된 패킷 길이를 갖는 각 패킷을 n번씩 중복적으로 배열하여 상기 패킷 스트림을 생성하고,
    상기 패킷 탐지부가, 중복적으로 배열된 패킷을 통해 상기 획득된 비트 패턴의 오류를 정정하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템.
  6. 제2항에 있어서,
    상기 보안 관리 서버가, 상기 AP와 상기 단말기 사이에 전송되는 패킷의 길이를 분석하여 전송 빈도수가 낮은 패킷 길이를 선택하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템.
  7. 제1항에 있어서,
    상기 패킷 탐지부가, 네트워크에 연결된 AP 및 단말기의 정보를 수집하고,
    상기 보안 관리 서버가, 상기 AP가 인가된 AP의 목록인 인가 AP 목록에 포함되어 있는지 판단하고, 상기 AP가 인가 AP 목록에 포함되어 있지 않은 AP에 대하여 상기 패킷 스트림을 전송하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템.
  8. 제7항에 있어서,
    상기 보안 관리 서버가, 상기 AP가 로그 AP로 판단되는 경우 상기 AP의 정보를 로그 AP의 목록인 로그 AP 목록에 저장하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 시스템.
  9. 네트워크에 연결된 AP 중 로그 AP를 탐지하는 로그 AP 탐지 방법으로서,
    상기 AP의 정보 및 상기 AP에 연결된 단말기의 정보를 수집하는 단계;
    서로 다른 패킷 길이를 갖는 복수의 패킷을 임의의 순서로 배열한 패킷 스트림을 생성하는 단계;
    상기 AP 중 인가되지 않은 비인가 AP를 통해 상기 생성된 패킷 스트림을 상기 단말기로 전송하는 단계;
    상기 비인가 AP를 통해 상기 단말기로 전송되는 무선 패킷을 모니터링하고, 상기 무선 패킷 중 상기 각 패킷 길이를 갖는 각 패킷을 검출하는 단계; 및
    상기 검출된 각 패킷과 상기 패킷 스트림을 비교하여 상기 비인가 AP가 로그 AP인지 판단하는 단계를 포함하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 방법.
  10. 제9항에 있어서,
    상기 패킷 스트림을 생성하는 단계가,
    서로 다른 상기 패킷 길이를 2개 이상 선택하는 단계;
    선택된 각 패킷 길이에 비트 값을 매핑하는 단계;
    임의의 난수적인 비트 패턴인 워터마크 비트 패턴을 생성하는 단계; 및
    상기 워터마크 비트 패턴의 각 비트 값의 순서대로 각 비트 값에 매핑된 상기 패킷 길이를 갖는 각 패킷을 배열하는 단계를 포함하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 방법.
  11. 제10항에 있어서,
    상기 비인가 AP가 로그 AP인지 판단하는 단계가,
    상기 검출된 각 패킷의 패킷 길이를 매핑된 비트 값으로 변환하여 비트 패턴을 획득하는 단계;
    획득된 비트 패턴이 상기 워터마크 비트 패턴과 동일한지 비교하는 단계; 및
    상기 획득된 비트 패턴이 상기 워터마크 비트 패턴과 동일하면 상기 비인가 AP를 로그 AP로 판단하는 단계를 포함하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 방법.
  12. 제11항에 있어서,
    상기 각 패킷을 배열하는 단계가,
    비트 패턴의 각 비트 값이 이전 비트 값과 동일한지 여부를 나타내는 변수를 상기 각 패킷 길이에 반영하는 단계를 포함하고,
    상기 비트 패턴을 획득하는 단계가,
    상기 획득된 비트 패턴을 상기 변수를 이용하여 오류 정정하는 단계를 포함하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 방법.
  13. 제11항에 있어서,
    상기 각 패킷을 배열하는 단계가,
    상기 워터마크 비트 패턴의 각 비트 값에 매핑된 패킷 길이를 갖는 각 패킷을 n번씩 중복적으로 배열하는 단계를 포함하고,
    상기 비트 패턴을 획득하는 단계가,
    중복적으로 배열된 패킷을 통해 상기 획득된 비트 패턴의 오류를 정정하는 단계를 포함하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 방법.
  14. 제9항에 있어서,
    상기 각 패킷 길이를 갖는 각 패킷을 검출하는 단계가,
    상기 비인가 AP가 보호 모드를 사용하는 경우 상기 보호 모드에 따른 암호화 오버헤드를 산출하는 단계;
    상기 각 패킷 길이에 상기 산출된 암호화 오버헤드를 더하여 새로운 패킷 길이를 산출하는 단계; 및
    상기 비인가 AP를 통해 상기 단말기로 전송되는 무선 패킷 중 상기 산출된 새로운 패킷 길이를 갖는 각 패킷을 검출하는 단계를 포함하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 방법.
  15. 제9항에 있어서,
    상기 수집된 각 AP의 정보를 이용하여 상기 각 AP가 인가된 AP의 목록인 인가 AP 목록에 포함되어 있는지 판단하는 단계; 및
    상기 각 AP 중 상기 인가 AP 목록에 포함되어 있지 않은 AP를 상기 비인가 AP로 판단하는 단계를 더 포함하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 방법.
  16. 제9항에 있어서,
    상기 비인가 AP가 로그 AP로 판단되는 경우 상기 비인가 AP의 정보를 로그 AP의 목록인 로그 AP 목록에 저장하는 단계; 및
    상기 비인가 AP가 로그 AP가 아닌 것으로 판단되는 경우 상기 비인가 AP의 정보를 외부 AP의 목록인 외부 AP 목록에 저장하는 단계를 더 포함하는 것을 특징으로 하는 패킷 워터마킹과 오류 정정 기법을 이용한 로그 AP 탐지 방법.
KR1020170044710A 2017-04-06 2017-04-06 패킷 워터마킹과 오류 정정 기법을 이용한 로그 ap 탐지 시스템 및 그 방법 KR20180113321A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170044710A KR20180113321A (ko) 2017-04-06 2017-04-06 패킷 워터마킹과 오류 정정 기법을 이용한 로그 ap 탐지 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170044710A KR20180113321A (ko) 2017-04-06 2017-04-06 패킷 워터마킹과 오류 정정 기법을 이용한 로그 ap 탐지 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20180113321A true KR20180113321A (ko) 2018-10-16

Family

ID=64132778

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170044710A KR20180113321A (ko) 2017-04-06 2017-04-06 패킷 워터마킹과 오류 정정 기법을 이용한 로그 ap 탐지 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR20180113321A (ko)

Similar Documents

Publication Publication Date Title
US7685422B2 (en) Information processing apparatus, information processing method, and information processing program
CN107800678B (zh) 检测终端异常注册的方法及装置
US20140344933A1 (en) Method and apparatus for detecting an intrusion on a cloud computing service
US9641545B2 (en) Methods, systems, and computer program products for detecting communication anomalies in a network based on overlap between sets of users communicating with entities in the network
US11133931B2 (en) Security service providing apparatus and method for supporting lightweight security scheme
Calhoun Jr et al. An 802.11 MAC layer covert channel
CN108616521B (zh) 网络接入方法、装置、设备及可读存储介质
US8671451B1 (en) Method and apparatus for preventing misuse of a group key in a wireless network
CN112134893B (zh) 物联网安全防护方法、装置、电子设备及存储介质
CN110113351B (zh) Cc攻击的防护方法及装置、存储介质、计算机设备
Ye et al. Detection of spoofing attacks in WLAN-based positioning systems using WiFi hotspot tags
US10122755B2 (en) Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node
CN114268429A (zh) 特定终端加密通信接入设备
KR20050087725A (ko) 통신 장치 및 방법, 기록 매체, 및 프로그램
Park et al. Session management for security systems in 5g standalone network
CN112702417B (zh) 一种边缘计算报文防重放方法
Lovinger et al. Detection of wireless fake access points
US20150358334A1 (en) Method for authenticating a client program by a remote data processing system
CN109886011B (zh) 一种安全防护方法和装置
Kitisriworapan et al. Evil-twin detection on client-side
KR20180113321A (ko) 패킷 워터마킹과 오류 정정 기법을 이용한 로그 ap 탐지 시스템 및 그 방법
CN106101079A (zh) 一种实现签名加密的方法和系统
KR20180052479A (ko) 서명 체인을 이용한 유무선 공유기의 펌웨어 업데이트 시스템, 유무선 공유기 및 유무선 공유기의 펌웨어 업데이트 방법
Jadhav et al. Effective detection mechanism for TCP based hybrid covert channels in secure communication
KR101963174B1 (ko) 보안기능을 갖는 오류 관리 시스템 및 그 제어방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application