KR20200126427A - 단말 장치 및 이에 의한 악성 ap의 식별 방법 - Google Patents

단말 장치 및 이에 의한 악성 ap의 식별 방법 Download PDF

Info

Publication number
KR20200126427A
KR20200126427A KR1020207029216A KR20207029216A KR20200126427A KR 20200126427 A KR20200126427 A KR 20200126427A KR 1020207029216 A KR1020207029216 A KR 1020207029216A KR 20207029216 A KR20207029216 A KR 20207029216A KR 20200126427 A KR20200126427 A KR 20200126427A
Authority
KR
South Korea
Prior art keywords
malicious
information
time information
terminal device
beacon signal
Prior art date
Application number
KR1020207029216A
Other languages
English (en)
Other versions
KR102378515B1 (ko
Inventor
조정일
권순홍
김현우
송민규
이종성
이중환
정용수
최대성
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Publication of KR20200126427A publication Critical patent/KR20200126427A/ko
Application granted granted Critical
Publication of KR102378515B1 publication Critical patent/KR102378515B1/ko

Links

Images

Classifications

    • H04W12/1202
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • H04W12/00502
    • H04W12/00512
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/73Access point logical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

제 1 AP로부터 수신되는 제 1 비콘 신호에 기초하여 상기 제 1 AP의 하드웨어와 관련된 제 1 성능 정보를 획득하는 단계; 미리 저장된 제 2 AP의 제 2 성능 정보와 상기 제 1 성능 정보를 비교하는 단계; 및 상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 단계를 포함하는, 일 실시예에 따른 악성 AP의 식별 방법이 개시된다.

Description

단말 장치 및 이에 의한 악성 AP의 식별 방법
본 개시는 통신 분야에 관한 것이다. 보다 구체적으로, 본 개시는 단말 장치가 접속하고자 하는 AP(access point)가 악성인지, 정상인지 여부를 판단하는 방법 및 장치에 관한 것이다.
모바일 기기 및 네트워크 기술의 발전에 따라, 사용자들은 언제 어디서나 자신의 모바일 기기로 AP(access point)에 접속하여 인터넷을 이용하고 있다. 그러나, 사용자들이 호텔, 식당, 공항 등과 같은 공공 장소에서 AP에 접속하는 경우 안정성에 문제가 있을 수 있다. 예를 들어, 일부 해커들은 사용자들이 악성 AP에 접속하게끔 유도한 뒤, 악성 AP를 통해 수집된 정보들을 이용하여 피싱(phishing)에 활용하거나, 민감한 개인 정보를 무단으로 수집하고 있다.
사용자들은 SSID(Service Set Identifier), BSSID(Basic Service Set Identifier)를 이용하여 AP를 구분할 수 있지만, 해커가 AP의 SSID 및 BSSID를 위장(spoofing)하는 경우, 어떤 AP가 안전한지 판단하기는 거의 불가능하다. 따라서, 다양한 종류의 악성 AP에 대비하여, 사용자들이 정상적인 AP로만 접근할 수 있게 하는 방안이 요구된다.
일 실시예에 따른 단말 장치 및 이에 의한 악성 AP의 식별 방법은 접속하고자 하는 AP가 정상 AP인지, 악성 AP인지를 판단하는 것을 기술적 과제로 한다.
또한, 일 실시예에 따른 단말 장치 및 이에 의한 악성 AP의 식별 방법은 악성 AP를 통한 개인 정보 유출을 방지하는 것을 기술적 과제로 한다.
일 실시예에 따른 악성 AP의 식별 방법은, 제 1 AP로부터 수신되는 제 1 비콘 신호에 기초하여 상기 제 1 AP의 하드웨어와 관련된 제 1 성능 정보를 획득하는 단계; 미리 저장된 제 2 AP의 제 2 성능 정보와 상기 제 1 성능 정보를 비교하는 단계; 및 상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 단계를 포함할 수 있다.
일 실시예에 따른 단말 장치 및 이에 의한 악성 AP의 식별 방법은 접속하고자 하는 AP가 정상 AP인지, 악성 AP인지를 판단할 수 있다.
또한, 일 실시예에 따른 단말 장치 및 이에 의한 악성 AP의 식별 방법은 악성 AP를 통한 개인 정보 유출을 방지할 수 있다.
다만, 일 실시예에 따른 단말 장치 및 이에 의한 악성 AP의 식별 방법이 달성할 수 있는 효과는 이상에서 언급한 것들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1a는 사용자 단말이 악성 AP로 접속하는 상황을 설명하기 위한 도면이다.
도 1b는 사용자 단말이 악성 AP로 접속하는 다른 상황을 설명하기 위한 도면이다.
도 1c는 사용자 단말이 악성 AP로 접속하는 또 다른 상황을 설명하기 위한 도면이다.
도 2는 일 실시예에 따른 단말 장치의 구성을 도시하는 블록도이다.
도 3은 일 실시예에 따른 악성 AP 식별 방법을 설명하기 위한 순서도이다.
도 4는 일 실시예에 따른 단말 장치의 악성 AP 식별 방법을 설명하기 위한 흐름도이다.
도 5는 비콘 신호의 구조를 나타내는 예시적인 도면이다.
도 6은 일 실시예에 따른 단말 장치의 악성 AP 식별 방법을 설명하기 위한 흐름도이다.
도 7은 일 실시예에 따른 단말 장치의 악성 AP 식별 방법을 설명하기 위한 흐름도이다.
도 8은 정상 AP로부터 수신된 응답 메시지와 악성 AP로부터 수신된 응답 메시지의 분석 결과를 나타내는 도면이다.
도 9는 정상 AP로부터 수신된 응답 메시지와 악성 AP로부터 수신된 응답 메시지의 분석 결과를 나타내는 도면이다.
도 10은 일 실시예에 따른 단말 장치의 악성 AP 식별 방법을 설명하기 위한 흐름도이다.
도 11은 정상 AP로부터 수신된 비콘 신호들의 타임스탬프 정보들과 악성 AP로부터 수신된 비콘 신호들의 타임스탬프 정보들의 분석 결과를 나타내는 도면이다.
발명의 실시를 위한 최선의 형태
일 실시예에 따른 악성 AP의 식별 방법은, 제 1 AP로부터 수신되는 제 1 비콘 신호에 기초하여 상기 제 1 AP의 하드웨어와 관련된 제 1 성능 정보를 획득하는 단계; 미리 저장된 제 2 AP의 제 2 성능 정보와 상기 제 1 성능 정보를 비교하는 단계; 및 상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 단계를 포함할 수 있다.
상기 악성 AP의 식별 방법은, 상기 제 1 비콘 신호와 관련된 제 1 타임 정보를 획득하는 단계; 제 2 AP의 제 2 비콘 신호와 관련된 제 2 타임 정보와 상기 제 1 타임 정보를 비교하는 단계; 및 상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 단계를 더 포함할 수 있다.
상기 제 1 타임 정보는, 상기 제 1 비콘 신호에 포함된 제 1 타임스탬프 정보 및 상기 제 1 비콘 신호의 제 1 수신 타임 정보를 포함하고, 상기 제 2 타임 정보는, 상기 제 2 비콘 신호에 포함된 제 2 타임스탬프 정보 및 상기 제 2 비콘 신호의 제 2 수신 타임 정보를 포함하고, 상기 판단하는 단계는, 상기 제 1 타임스탬프 정보와 상기 제 2 타임스탬프 정보의 차이 값이, 상기 제 1 수신 타임 정보와 상기 제 2 수신 타임 정보의 차이 값에 대응하지 않으면, 상기 제 1 AP를 악성 AP로 판단하는 단계를 포함할 수 있다.
상기 제 1 AP는, 상기 단말 장치와 상기 제 2 AP의 접속이 종료된 후, 상기 단말 장치가 접속을 시도하는 AP이며, 상기 제 1 AP의 식별 정보는 상기 제 2 AP의 식별 정보와 동일할 수 있다.
상기 비교하는 단계는, 상기 제 1 AP의 SSID가 미리 저장된 SSID 리스트에 포함된 경우, 서버 장치로부터 수신된 상기 제 2 AP의 제 2 성능 정보와 상기 제 1 성능 정보를 비교하는 단계를 포함할 수 있다.
상기 악성 AP의 식별 방법은, 소정의 식별 정보 및 소정의 채널 정보 중 적어도 하나를 포함하는 요청 메시지를 상기 제 1 AP로 전송하는 단계; 상기 요청 메시지에 대한 응답으로 상기 제 1 AP로부터 수신되는 응답 메시지를 수신하는 단계; 및 상기 응답 메시지에 상기 소정의 식별 정보 및 소정의 채널 정보 중 적어도 하나가 포함되어 있는 경우, 상기 제 1 AP를 악성 AP로 판단하는 단계를 더 포함할 수 있다.
상기 악성 AP의 식별 방법은, 상기 제 1 AP로부터 n(n은 자연수)번째까지 수신된 제 1 비콘 신호들과 관련된 제 1 타임 정보들에 기초하여, n+1 번째부터의 제 1 타임 정보들을 예측하는 단계; 상기 예측된 제 1 타임 정보들과, n+1번째부터 수신된 제 1 비콘 신호들의 제 1 타임 정보들을 비교하는 단계; 및 상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 단계를 더 포함할 수 있다.
상기 예측하는 단계는, 선형 회귀 분석을 통해 상기 n+1 번째부터의 제 1 타임 정보들을 예측하는 단계를 포함할 수 있다.
상기 판단하는 단계는, 상기 예측된 제 1 타임 정보들과, n+1번째부터 수신된 제 1 비콘 신호들의 제 1 타임 정보들 사이의 차이 값들이 시간에 따라 증가하거나 감소하는 경우, 상기 제 1 AP를 악성 AP로 판단하는 단계를 포함할 수 있다.
상기 악성 AP의 식별 방법은, 상기 제 1 비콘 신호 내 정보 요소들의 제 1 배치 순서와, 미리 저장된 정보 요소들의 제 2 배치 순서를 비교하는 단계; 및 상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 단계를 더 포함할 수 있다.
일 실시예에 따른 단말 장치는, 하나 이상의 인스트럭션들을 저장하는 메모리; 및 상기 메모리에 저장된 상기 하나 이상의 인스트럭션들을 실행하는 프로세서를 포함하고, 상기 프로세서는, 제 1 AP로부터 수신되는 제 1 비콘 신호에 기초하여 상기 제 1 AP의 하드웨어와 관련된 제 1 성능 정보를 획득하고, 미리 저장된 제 2 AP의 제 2 성능 정보와 상기 제 1 성능 정보를 비교하고, 상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단할 수 있다.
상기 프로세서는, 상기 제 1 비콘 신호와 관련된 제 1 타임 정보를 획득하고, 제 2 AP의 제 2 비콘 신호와 관련된 제 2 타임 정보와 상기 제 1 타임 정보를 비교하고, 상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단할 수 있다.
상기 프로세서는, 소정의 식별 정보 및 소정의 채널 정보 중 적어도 하나를 포함하는 요청 메시지를 상기 제 1 AP로 전송하고, 상기 요청 메시지에 대한 응답으로 상기 제 1 AP로부터 수신되는 응답 메시지를 수신하고, 상기 응답 메시지에 상기 소정의 식별 정보 및 소정의 채널 정보 중 적어도 하나가 포함되어 있는 경우, 상기 제 1 AP를 악성 AP로 판단할 수 있다.
상기 프로세서는, 상기 제 1 AP로부터 n(n은 자연수)번째까지 수신된 제 1 비콘 신호들과 관련된 제 1 타임 정보들에 기초하여, n+1 번째부터의 제 1 타임 정보들을 예측하고, 상기 예측된 제 1 타임 정보들과, n+1번째부터 수신된 제 1 비콘 신호들과 관련된 제 1 타임 정보들을 비교하고, 상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단할 수 있다.
발명의 실시를 위한 형태
본 개시는 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고, 이를 상세한 설명을 통해 설명하고자 한다. 그러나, 이는 본 개시를 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 개시의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
실시예를 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 실시예의 설명 과정에서 이용되는 숫자(예를 들어, 제 1, 제 2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.
또한, 본 명세서에서 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
또한, 본 명세서에서 '~부(유닛)', '모듈' 등으로 표현되는 구성요소는 2개 이상의 구성요소가 하나의 구성요소로 합쳐지거나 또는 하나의 구성요소가 보다 세분화된 기능별로 2개 이상으로 분화될 수도 있다. 또한, 이하에서 설명할 구성요소 각각은 자신이 담당하는 주기능 이외에도 다른 구성요소가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성요소 각각이 담당하는 주기능 중 일부 기능이 다른 구성요소에 의해 전담되어 수행될 수도 있음은 물론이다.
또한, 본 개시에서 'AP(access point)'는 단말 장치의 네트워크 접속을 중개하는 기기로서, 예를 들어, 와이파이(Wi-Fi) 기기를 포함할 수 있다.
또한, 본 개시에서 'AP의 식별 정보'는 AP를 구분하기 위한 SSID(Service Set Identifier) 및 BSSID(Basic Service Set Identifier) 중 적어도 하나를 포함할 수 있다.
이하, 본 개시의 기술적 사상에 의한 실시예들을 차례로 상세히 설명한다.
도 1a, 도 1b 및 도 1c는 사용자 단말(10)이 악성 AP로 접속하는 상황을 설명하기 위한 도면이다.
전술한 바와 같이, 해커들은 사용자들의 단말(10)이 악성 AP로 접속하게 유도하여 사용자들의 개인 정보를 탈취할 수 있다.
먼저, 도 1a를 참조하면, 사용자 단말(10)이 정상 AP(20)에 접속되어 있는 상태에서, 정상 AP(20)의 식별 정보와 동일한 식별 정보를 갖는 악성 AP(30)는 사용자 단말(10) 및 정상 AP(20)로 Deauthentication 패킷을 전송한다. Deauthentication 패킷을 수신한 사용자 단말(10)과 정상 AP(20)는 서로 간의 접속을 해제한다. 사용자 단말(10)과 정상 AP(20) 사이에서 송수신되는 대부분의 패킷들은 암호화되어 있으나, Deauthentication 패킷은 암호화가 되어 있지 않으므로, 악성 AP(30)가 허위의 Deauthentication 패킷을 사용자 단말(10)과 정상 AP(20)로 전송하여 이들 사이의 접속을 해제시킬 수 있다. 사용자 단말(10)과 정상 AP(20) 사이의 접속이 해제된 이후, 악성 AP(30)는 신호 세기를 증가시켜 사용자 단말(10)이 정상 AP(20) 대신 악성 AP(30)에 접속하게 한다. 사용자 단말(10)의 입장에서는 정상 AP(20)의 식별 정보와 악성 AP(30)의 식별 정보가 동일하기 때문에, 이들이 서로 다르다는 것을 구분하지 못하고, 단순히 신호 세기가 더 큰 악성 AP(30)로 접속하게 된다.
다음으로, 도 1b를 참조하면, 악성 AP(40)의 식별 정보가, 공신력있는 공공 AP의 식별 정보로 설정된다. 사용자들은 악성 AP(40)의 식별 정보를 보고, 악성 AP(40)가 공공 AP인 것으로 오인하게 되고, 이에 사용자들은 단말(10)을 악성 AP(40)로 접속시킨다.
다음으로, 도 1c를 참조하면, 악성 AP가 소프트웨어 기반으로 컴퓨터(예를 들어, 노트북, 데스크탑 컴퓨터 등)(50)에서 구동된다. 사용자들은 악성 AP를 정상 AP로 오인하여 컴퓨터(50)에 접속하게 된다.
도 1a 내지 도 1c를 참조하여 설명한 상황들은 모두 사용자 단말(10)이 식별 정보를 기반으로 AP를 구분하기 때문에 발생한다. 따라서, AP의 식별 정보 이외의 정보에 기반하여 악성 AP를 감지하는 방안이 필요하다.
도 2는 일 실시예에 따른 단말 장치(200)의 구성을 도시하는 블록도이다.
도 2를 참조하면, 단말 장치(200)는 메모리(210), 통신부(230) 및 제어부(250)를 포함할 수 있다. 메모리(210), 통신부(230) 및 제어부(250)는 적어도 하나의 프로세서로 구현될 수 있다. 제어부(250)는 메모리(210)에 저장된 하나 이상의 인스트럭션을 실행하여 후술하는 악성 AP의 식별 동작을 수행할 수 있다.
메모리(210)는 단말 장치(200)가 접속하고자 하는 제 1 AP가 악성 AP에 해당하는지를 판단하기 위한 정보들을 저장할 수 있다. 제 1 AP는 단말 장치(200)가 접속하고자 하는 AP로서, 정상인지, 악성인지 여부가 판별되지 않은 AP를 의미한다. 제 1 AP가 악성 AP에 해당하는지를 판단하기 위한 정보들은 예를 들어, 정상 AP에 해당하는 제 2 AP의 성능 정보, 타임 정보, 위치 정보 및 식별 정보 중 적어도 하나를 포함할 수 있다. 제 2 AP의 성능 정보, 타임 정보, 위치 정보 및 식별 정보 중 적어도 하나에 기반하여, 제 1 AP가 악성 AP에 해당하는지 여부를 판단하는 방법에 대해서는 후술한다.
통신부(230)는 제어부(250)의 제어에 따라 제 1 AP 및/또는 제 2 AP로 접속하거나, 제 1 AP 및/또는 제 2 AP와의 접속을 해제한다. 또한, 통신부(230)는 제 1 AP 및/또는 제 2 AP와 데이터를 송수신할 수 있다. 통신부(230)는 제 1 AP 및/또는 제 2 AP를 통해 인터넷에 접속할 수 있다. 통신부(230)는 예를 들어, IEEE 802.11 규격에 따라 동작할 수 있다.
제어부(250)는 메모리(210)에 저장된 정보 및 제 1 AP로부터 수신된 정보에 기초하여 제 1 AP가 악성 AP인지 여부를 판단하고, 판단 결과에 따라 통신부(230)와 제 1 AP 사이의 접속을 제어한다. 제 1 AP가 악성 AP인 경우, 제어부(250)는 통신부(230)와 제 1 AP 사이의 접속을 차단하고, 제 1 AP가 정상 AP인 경우, 제어부(250)는 통신부(230)와 제 1 AP 사이의 접속을 허용할 수 있다.
일 실시예에서, 단말 장치(200)는 AP를 통해 외부 장치와 통신할 수 있는 노트북, 스마트폰, 태블릿 PC, 웨어러블 기기 등을 포함할 수 있으나, 이에 한정되는 것은 아니다.
도 3은 일 실시예에 따른 단말 장치(200)의 악성 AP 식별 방법을 설명하기 위한 순서도이다.
S310 단계에서, 제어부(250)는 접속하고자 하는 제 1 AP로부터 수신되는 비콘 신호에 기초하여 제 1 AP의 하드웨어와 관련된 제 1 성능 정보를 획득한다.
AP의 성능 정보는 AP의 하드웨어에 기초하여 발휘되는 성능에 대한 정보로서, 예를 들어, 허용 비트레이트, AP의 커버리지, 채널 정보, 파워 정보, HT(high throughput) 성능 정보 등을 포함할 수 있으나, 이에 한정되는 것은 아니다.
S320 단계에서, 제어부(250)는 미리 저장된 제 2 AP의 제 2 성능 정보와 제 1 성능 정보를 비교한다. 제 2 AP는 단말 장치(200)가 정상 AP로 판단하였거나, 외부의 서버로부터 정상 AP로 확인받은 AP를 의미한다.
S330 단계에서, 제어부(250)는 S320 단계에서의 비교 결과에 따라 제 1 AP가 악성 AP인지 여부를 판단할 수 있다.
제 1 성능 정보가 제 2 성능 정보에 대응하는 경우, 제어부(250)는 제 1 AP가 정상 AP인 것으로 판단할 수 있다. 또한, 제어부(250)는 제 1 성능 정보가 제 2 성능 정보에 대응하지 않는 경우 제 1 AP가 악성 AP인 것으로 판단할 수 있다.
제 1 AP가 제 2 AP와 동일한 경우에는, 제 1 성능 정보와 제 2 성능 정보 역시 동일할 수밖에 없으므로, 단말 장치(200)는 1 성능 정보가 제 2 성능 정보에 대응하는 경우, 제 1 AP를 정상 AP로 판단하는 것이다.
S340 단계에서, 제 1 AP가 정상으로 판단되면, 제어부(250)는 통신부(230)를 제어하여 제 1 AP에 접속한다. 통신부(230)는 제 1 AP를 통해 외부 장치와 통신을 할 수 있다. 제어부(250)는 제 1 AP가 악성으로 판단되면, 통신부(230)에 의한 제 1 AP의 접속을 차단한다.
AP의 성능 정보는, AP의 하드웨어와 관련된 정보들을 포함하며, 비콘 신호는 AP의 펌웨어(firmware)로부터 생성되므로, 해커가 성능 정보를 조작하기는 어렵다는 특징이 있다. 따라서, 일 실시예에서는, 정상 AP의 성능 정보와 접속하고자 하는 AP의 성능 정보를 비교하여, 접속하고자 하는 AP가 악성 AP인지 여부를 판단하는 것이다.
이하에서는, 도 4 내지 도 11을 참조하여, 단말 장치(200)가 악성 AP를 식별하는 방법에 대해 구체적으로 설명한다.
도 4는 일 실시예에 따른 단말 장치(200)의 악성 AP 식별 방법을 설명하기 위한 흐름도이다.
먼저, 단말 장치(200)는 악성 AP가 아닌 제 2 AP(430)에 접속한다(S410). 단말 장치(200)는 제 2 AP(430)를 통해 외부 장치, 예를 들어, 서버와 통신할 수 있다.
단말 장치(200)는 제 2 AP(430)로부터 비콘 신호를 수신(S420)하고, 비콘 신호로부터 제 2 AP(430)의 하드웨어와 관련된 제 2 성능 정보를 획득하여 저장(S430)한다. 도 4는 단말 장치(200)가 제 2 AP(430)에 접속한 이후에 제 2 AP(430)로부터 비콘 신호를 수신하는 것으로 도시하고 있으나, 단말 장치(200)는 제 2 AP(430)에 접속하기 이전부터 비콘 신호를 수신할 수 있다. 비콘 신호는 단말 장치(200)의 접속 여부와 무관하게 AP로부터 방송되는 신호이기 때문이다.
도 5는 비콘 신호(500)의 구조를 나타내는 예시적인 도면으로서, 도 5를 참조하면, 비콘 신호(500)는 헤더 및 바디를 포함할 수 있다. 바디에는 타임스탬프 필드(510) 및 옵션 필드(520) 등이 포함되는데, 타임스탬프 필드(510)에는 비콘 신호(500)와 관련된 타임 정보, 예를 들어, 비콘 신호(500)의 생성 시간 정보가 포함된다. 또한, 옵션 필드(520)에는 정보 요소(information element)들이 포함되는데, 이 정보 요소들에 전술한 AP의 성능 정보가 포함될 수 있다.
다시 도 4를 참조하면, 일 실시예에서, 단말 장치(200)는 제 2 AP(430)의 비콘 신호에 기초하여 제 2 타임 정보를 저장(S430)할 수도 있는데, 여기서, 제 2 타임 정보는 제 2 AP(430)의 비콘 신호에 포함된 제 2 타임스탬프 정보 및 제 2 AP(430)의 비콘 신호의 수신 시간을 나타내는 제 2 수신 타임 정보 중 적어도 하나를 포함할 수 있다.
제 2 성능 정보를 저장한 후, 단말 장치(200)는 제 2 AP(430)와의 접속을 해제(S440)한다. 전술한 바와 같이, 단말 장치(200)는 제 1 AP(410)로부터 수신되는 Deauthentication 패킷에 따라 제 2 AP(430)와의 접속을 해제할 수 있다.
단말 장치(200)는 접속하고자 하는 제 1 AP(410)로부터 비콘 신호를 수신(S450)하고, 수신된 비콘 신호로부터 획득되는 제 1 AP(410)의 제 1 성능 정보와 미리 저장된 제 2 성능 정보를 비교(S460)한다. 도 3은 단말 장치(200)와 제 2 AP(430) 사이의 접속이 해제된 이후 제 1 AP(410)로부터 비콘 신호를 수신하는 것으로 도시하고 있으나, 단말 장치(200)는 제 2 AP(430)와의 접속을 해제하기 이전에 제 1 AP(410)로부터 비콘 신호를 수신할 수도 있다. 전술한 바와 같이, 비콘 신호는 단말 장치(200)의 접속 여부와 무관하게 AP로부터 방송되는 신호이기 때문이다.
일 실시예에서, 단말 장치(200)는 제 1 AP(410)의 비콘 신호로부터 제 1 타임 정보를 획득할 수도 있다. 제 1 타임 정보는 제 1 AP(410)의 비콘 신호에 포함된 제 1 타임스탬프 정보 및 제 1 AP(410)의 비콘 신호의 수신 시간을 나타내는 제 1 수신 타임 정보 중 적어도 하나를 포함할 수 있다.
제 1 성능 정보가 제 2 성능 정보에 대응하는 경우, 단말 장치(200)는 제 1 AP(410)가 정상 AP인 것으로 판단하고, 제 1 AP(410)로 접속(S470)한다. 제 1 성능 정보가 제 2 성능 정보에 대응하지 않는 경우, 단말 장치(200)는 제 1 AP(410)로 접속하지 않을 수 있다. 전술한 바와 같이, 제 1 AP(410)가 제 2 AP(430)와 동일한 경우에는, 제 1 성능 정보와 제 2 성능 정보 역시 동일할 수밖에 없으므로, 단말 장치(200)는 1 성능 정보가 제 2 성능 정보에 대응하는 경우, 제 1 AP(410)를 정상 AP로 판단하는 것이다.
일 실시예에서, 단말 장치(200)는 제 1 타임 정보가 제 2 타임 정보에 대응하는 경우, 제 1 AP(410)로 접속할 수도 있다. 여기서, 제 1 타임 정보가 제 2 타임 정보에 대응하는지 여부는, 제 1 타임스탬프 정보, 제 1 수신 타임 정보, 제 2 타임스탬프 정보 및 제 2 수신 타임 정보에 기초할 수 있다.
구체적으로, 단말 장치(200)는 제 1 타임스탬프 정보와 제 2 타임스탬프 정보의 차이 값이, 제 1 수신 타임 정보와 제 2 수신 타임 정보의 차이 값에 대응하지 않으면, 제 1 AP(410)를 악성 AP로 판단할 수 있다. 예를 들어, 단말 장치(200)는 제 1 타임스탬프 정보와 제 2 타임스탬프 정보의 차이 값이, 제 1 수신 타임 정보와 제 2 수신 타임 정보의 차이 값과 동일하지 않으면, 제 1 AP(410)를 악성 AP로 판단할 수 있다. 또는, 단말 장치(200)는 제 1 타임스탬프 정보와 제 2 타임스탬프 정보의 차이 값이, 제 1 수신 타임 정보와 제 2 수신 타임 정보의 차이 값보다 기 설정된 값 이상 차이가 난다면, 제 1 AP(410)를 악성 AP로 판단할 수 있다.
AP는 비콘 신호를 주기적으로 방송하므로, 제 1 AP(410)와 제 2 AP(430)가 동일한 경우, 제 1 타임스탬프 정보와 제 2 타임스탬프 정보 사이의 차이 값은, 제 1 수신 타임 정보와 제 2 수신 타임 정보 사이의 차이 값과 동일하여야 하지만, 이 두 차이 값이 서로 상이하다는 것은, 제 1 AP(410)는 악성 AP라는 것을 의미하게 된다.
다른 예로, 단말 장치(200)는 제 1 타임스탬프 정보와 제 1 수신 타임 정보의 차이 값이, 제 2 타임스탬프 정보와 제 2 수신 타임 정보의 차이 값에 대응하지 않으면, 제 1 AP(410)를 악성 AP로 판단할 수 있다. 예를 들어, 단말 장치(200)는 제 1 타임스탬프 정보와 제 1 수신 타임 정보의 차이 값이, 제 2 타임스탬프 정보와 제 2 수신 타임 정보의 차이 값과 동일하지 않으면, 제 1 AP(410)를 악성 AP로 판단할 수 있다. 또는, 단말 장치(200)는 제 1 타임스탬프 정보와 제 1 수신 타임 정보의 차이 값이, 제 2 타임스탬프 정보와 제 2 수신 타임 정보의 차이 값과 기 설정된 값 이상 차이가 난다면, 제 1 AP(410)를 악성 AP로 판단할 수 있다.
제 1 타임스탬프 정보와 제 1 수신 타임 정보의 차이 값은 단말 장치(200)와 제 1 AP(410) 사이의 거리에 대응하고, 제 2 타임스탬프 정보와 제 2 수신 정보의 차이 값은 단말 장치(200)와 제 2 AP(430) 사이의 거리에 대응하는데, 이 두 차이 값이 서로 대응하지 않는 경우, 단말 장치(200)는 제 1 AP(410)를 악성 AP로 판단할 수 있는 것이다.
단말 장치(200)는 제 1 성능 정보와 제 2 성능 정보의 비교 결과, 및 제 1 타임 정보와 제 2 타임 정보의 비교 결과 중 적어도 하나에 기반하여 제 1 AP(410)가 악성 AP인지 여부를 판단할 수 있다.
도 6은 일 실시예에 따른 단말 장치(200)의 악성 AP 식별 방법을 설명하기 위한 흐름도이다.
서버(450)는 정상 AP에 해당하는 제 2 AP들의 제 2 성능 정보들을 저장(S610)한다. 서버(450)는 제 2 AP들의 제 2 위치 정보 및 제 2 BSSID들을 더 저장할 수 있다. 서버(450)는 제 2 AP들에 접속한 사용자 단말들로부터 제 2 AP들의 제 2 성능 정보들, 제 2 위치 정보들 및 제 2 BSSID들 중 적어도 하나를 수신하여 미리 저장할 수 있다. 여기서, 제 2 위치 정보는 제 2 AP의 설치 위치를 나타내는 GPS 좌표 정보를 포함할 수 있으나, 이에 한정되는 것은 아니다.
단말 장치(200)는 서버(450)로부터 제 2 AP들의 제 2 성능 정보들을 수신(S620)한다. 단말 장치(200)는 제 2 AP들의 제 2 위치 정보 및 제 2 BSSID들을 더 수신할 수 있다. 단말 장치(200)는 제 2 AP들의 SSID 리스트를 서버(450)로부터 수신할 수 있다.
단말 장치(200)는 접속하고자 하는 제 1 AP(410)로부터 비콘 신호를 수신(S630)하고, 비콘 신호로부터 제 1 AP(410)의 제 1 성능 정보를 획득한다. 단말 장치(200)는 제 1 AP(410)의 제 1 위치 정보 및 제 1 BSSID를 더 획득할 수 있다. 여기서, 제 1 위치 정보들은 제 1 AP(410)의 설치 위치를 나타내는 GPS 좌표 정보를 포함할 수 있으나, 이에 한정되는 것은 아니다.
단말 장치(200)는 제 1 성능 정보와 제 2 성능 정보를 비교(S640)하고, 비교 결과에 따라 제 1 AP(410)로 접속(S650)한다. 단말 장치(200)는 제 1 성능 정보가 제 2 성능 정보에 대응하는 경우, 제 1 AP(410)로 접속할 수 있다. 제 1 성능 정보가 제 2 성능 정보에 대응하지 않는 경우, 단말 장치(200)는 제 1 AP(410)로 접속하지 않을 수 있다.
일 실시예에서, 단말 장치(200)는 제 1 위치 정보 및 제 1 BSSID 중 적어도 하나가 제 2 위치 정보 및 제 2 BSSID 중 적어도 하나에 대응하지 않으면, 제 1 AP(410)로 접속하지 않을 수 있다.
또한, 일 실시예에서, 단말 장치(200)는 제 1 성능 정보, 제 1 위치 정보 및 제 1 BSSID 중 어느 하나라도 제 2 성능 정보, 제 2 위치 정보 및 제 2 BSSID에 대응하지 않으면 제 1 AP(410)로 접속하지 않을 수 있다.
도 6에 도시된 실시예는, 제 1 AP(410)가 공공 AP로 위장한 경우에 유효할 수 있다. 전술한 바와 같이, 공공 AP로 위장한 악성 AP는 공공 AP의 SSID를 가질 수 있으므로, 단말 장치(200)는 제 1 AP(410)의 SSID가 공공 AP들의 SSID 리스트에 포함된 경우, 서버(450)로부터 수신된 공공 AP들의 성능 정보와 제 1 AP(410)의 성능 성보를 비교하여 제 1 AP(410)가 악성 AP인지 여부를 판단할 수 있는 것이다.
도 7은 일 실시예에 따른 단말 장치(200)의 악성 AP 식별 방법을 설명하기 위한 흐름도이다.
도 7 및 후술하는 도 10과 관련된 실시예는 도 1c에서 설명한 소프트웨어로 구현된 악성 AP로의 접속을 차단하는데 유효할 수 있다.
도 7을 참조하면, 단말 장치(200)는 제 1 AP(410)로 요청 메시지(예를 들어, Probe Request packet)를 전송(S710)한다. 단말 장치(200)는 요청 메시지에 식별 정보(예를 들어, 단말 장치(200)의 SSID) 및 채널 정보 중 적어도 하나를 포함시킬 수 있다. 요청 메시지에 포함되는 식별 정보의 개수는 하나 이상일 수 있고, 요청 메시지에 포함되는 채널 정보의 개수도 하나 이상일 수 있다. 일 예시에서, 요청 메시지에 포함되는 식별 정보 및 채널 정보는 페이크 정보일 수 있다. 다시 말하면, 단말 장치(200)의 실제 식별 정보 및 단말 장치(200)가 실제 이용하는 채널 정보가 아닌, 임의로 결정된 식별 정보 및 채널 정보가 요청 메시지에 포함될 수 있다.
단말 장치(200)는 제 1 AP(410)로부터 요청 메시지에 대한 응답으로서, 응답 메시지(예를 들어, Probe Response packet)를 수신(S720)하고, 응답 메시지에 포함된 식별 정보 및 채널 정보 중 적어도 하나를 확인(S730)한다.
단말 장치(200)는 요청 메시지에 포함되었던 식별 정보 및 채널 정보 중 적어도 하나가 응답 메시지에 포함되어 있는 경우, 제 1 AP(410)로의 접속을 차단하고, 요청 메시지에 포함되었던 식별 정보 및 채널 정보가 응답 메시지에 포함되어 있지 않으면 제 1 AP(410)로 접속(S740)할 수 있다.
소프트웨어 기반의 악성 AP에서는, 응답 메시지가 펌웨어에 의해 생성되는 것이 아니므로, 응답 메시지에 일부 오류가 있을 수 있다. 예를 들어, 어떤 소프트웨어 기반의 악성 AP는 단말 장치(200)로부터 수신된 요청 메시지를 그대로 이용하여 응답 메시지를 생성할 수 있다. 따라서, 일 실시예에서는, 요청 메시지에 포함되어 있던 식별 정보 및 채널 정보가 응답 메시지에도 그대로 포함되어 있는 경우, 제 1 AP(410)를 악성 AP로 판단하는 것이다.
일 실시예에서, 단말 장치(200)는 응답 메시지에 복수의 식별 정보가 포함되어 있거나, 복수의 채널 정보가 포함되어 있는 경우, 제 1 AP(410)를 악성 AP로 판단하고 제 1 AP(410)로의 접속을 차단할 수도 있다. 일반적으로, 응답 메시지에는 AP의 식별 정보와 채널 정보가 포함되어야 하지만, 전술한 바와 같이, 악성 AP가 응답 메시지의 생성에 요청 메시지를 이용하는 경우, 응답 메시지에는 복수의 식별 정보가 포함되어 있거나 복수의 채널 정보가 포함될 수 있기 때문이다.
도 8 및 도 9는 정상 AP로부터 수신된 응답 메시지와 악성 AP로부터 수신된 응답 메시지의 분석 결과를 나타내는 도면이다.
단말 장치(200)가 'test'라는 SSID를 포함하는 요청 메시지를 AP로 전송한 경우, 도 8의 (a)는 정상 AP로부터 수신된 응답 메시지의 분석 결과를 나타내고, 도 8의 (b)는 악성 AP로부터 수신된 응답 메시지의 분석 결과를 나타낸다. 도 8을 참조하면, 악성 AP로부터 수신된 응답 메시지에 'test'의 SSID(800)가 포함되어 있는 것을 확인할 수 있다.
또한, 단말 장치(200)가 '49'라는 채널 정보를 포함하는 요청 메시지를 AP로 전송한 경우, 도 9의 (a)는 정상 AP로부터 수신된 응답 메시지의 분석 결과를 나타내고, 도 9의 (b)는 악성 AP로부터 수신된 응답 메시지의 분석 결과를 나타낸다. 도 9를 참조하면, 악성 AP로부터 수신된 응답 메시지에 '6' 및 '49'의 채널 정보(900)가 포함되어 있는 것을 알 수 있다. 채널 정보 '49'는 IEEE 802.11 규격에서 이용되지 않는 페이크 정보이다.
즉, 악성 AP로부터 수신된 응답 메시지에는, 요청 메시지에 포함되어 있던 'test' SSID와 '49'의 채널 정보가 포함되어 있는 것을 확인할 수 있다.
도 10은 일 실시예에 따른 단말 장치(200)의 악성 AP 식별 방법을 설명하기 위한 흐름도이다.
단말 장치(200)는 제 1 AP(410)로부터 n(n은 자연수)번째 비콘 신호를 수신(S1010)한다. 상기 n은 1보다 큰 자연수일 수 있다. 상기 n은 제 1 AP(410)가 방송하는 비콘 신호들을 단말 장치(200)가 수신하는 순서를 의미할 수 있다.
단말 장치(200)는 n번째까지 수신된 비콘 신호들과 관련된 제 1 타임 정보들에 기초하여, n+1 번째부터의 제 1 타임 정보들을 예측(S1020)한다. 여기서, 제 1 타임 정보는 비콘 신호에 포함된 제 1 타임스탬프 정보 또는 비콘 신호의 수신 시간을 나타내는 제 1 수신 타임 정보를 포함할 수 있다. 주기적으로 방송되는 비콘 신호들의 타임스탬프 값들은 시간이 지남에 따라 증가하므로, 단말 장치(200)는 n번째까지 수신된 비콘 신호와 관련된 제 1 타임 정보들에 기초하여, 그 이후의 제 1 타임 정보들을 예측할 수 있다. 일 예시에서, 단말 장치(200)는 선형 회귀 분석(linear regression analysis)을 통해 제 1 타임 정보들을 예측할 수 있다. 비콘 신호들에 포함된 타임스탬프 값들은 시간에 따라 선형적으로 증가하므로, 미래의 타임스탬프 값들을 예측할 수 있는 다양한 알고리즘이 이용될 수 있다.
단말 장치(200)는 n+1번째 비콘 신호 및 그 이후의 비콘 신호를 제 1 AP(410)로부터 수신(S1030)한다. 단말 장치(200)는 n+1번째 비콘 신호 및 그 이후의 비콘 신호들과 관련된 제 1 타임 정보들과, 상기 예측된 제 1 타임 정보들을 비교(S1040)한다.
단말 장치(200)는 예측된 제 1 타임 정보들과, n+1번째부터 수신된 비콘 신호들의 제 1 타임 정보들 사이의 차이 값들이 시간에 따라 증가하거나 감소하는 경우, 제 1 AP(410)를 악성 AP로 판단할 수 있다. 전술한 바와 같이, 정상 AP의 경우 비콘 신호가 하드웨어를 제어하는 펌웨어에 의해 생성되므로 비콘 신호의 생성 주기나 타임스탬프 값들이 정확하지만, 소프트웨어 기반의 악성 AP의 경우에는 응용 어플리케이션에 의해 비콘 신호가 생성되므로 생성 주기나 타임스탬프 값들에 오류가 발생할 확률이 크다. 특히, 비콘 신호를 생성하기 위한 응용 어플리케이션은 컴퓨터의 CPU, 램(ram) 등을 통해 구동되는데, 컴퓨터의 CPU, 램(ram) 등이 다른 응용 어플리케이션의 실행에도 관여하고 있다면, 응용 어플리케이션의 비콘 신호 생성 동작 및 타임스탬프 값의 설정 동작에 오류가 발생하기 쉽다.
도 11은 정상 AP로부터 수신된 비콘 신호들의 타임스탬프 정보들과 악성 AP로부터 수신된 비콘 신호들의 타임스탬프 정보들의 분석 결과를 나타내는 도면이다.
도 11의 (a)와 같이 정상 AP의 경우에는 예측된 타임스탬프 값들과 실제 타임스탬프 값들 사이의 차이 값이 시간에 따라 일정한 경향을 보이지만, 도 11의 (b)와 같이 악성 AP의 경우에는 예측된 타임스탬프 값들과 실제 타임스탬프 값들 사이의 차이 값이 시간에 따라 증가하는 경향을 보일 수 있다. 다시 말하면, 도 11의 (a)와 같이, 정상 AP의 경우에는 예측된 타임스탬프 값들과 실제 타임스탬프 값들 사이의 차이 값들의 기울기는 0이지만, 도 11의 (b)와 같이 악성 AP의 경우에는 예측된 타임스탬프 값들과 실제 타임스탬프 값들 사이의 차이 값들의 기울기는 0보다 크거나 0보다 작을 수 있다.
단말 장치(200)는 비교 결과에 따라 제 1 AP(410)가 정상 AP로 판단되면 제 1 AP(410)로 접속(S1050)하고, 제 1 AP(410)가 악성 AP로 판단되면, 제 1 AP(410)로의 접속을 차단할 수 있다.
다른 실시예에서, 단말 장치(200)는 제 1 AP(410)로부터 수신된 복수의 비콘 신호들 각각의 제 1 타임 정보와 바로 이전 비콘 신호의 제 1 타임 정보 사이의 차이 값이 시간에 따라 점점 증가하거나, 점점 감소하는 경우 제 1 AP(410)를 악성 AP로 판단할 수도 있다. 예를 들어, i-1 번째 비콘 신호의 제 1 타임 정보와 i번째 비콘 신호의 제 1 타임 정보 사이의 차이 값들은 시간에 따라 일정하여야 하나, 차이 값들이 점점 증가하거나, 점점 감소하는 경우 제 1 AP(410)를 악성 AP로 판단할 수 있는 것이다.
또 다른 실시예에서, 단말 장치(200)는 제 1 AP(410)로부터 수신된 비콘 신호 내 정보 요소(information element)들의 제 1 배치 순서와, 미리 저장된 정보 요소들의 제 2 배치 순서를 비교하고, 제 1 배치 순서가 제 2 배치 순서에 대응하면 제 1 AP(410)를 악성 AP로 판단할 수 있다.
소프트웨어 기반의 악성 AP는 소프트웨어에 의해 설정된 순서로 정보 요소들을 비콘 신호에 포함시키는데, 단말 장치(200)는 소프트웨어 기반의 악성 AP가 정보 요소들을 배치하는 순서를 미리 저장하여 놓고, 제 1 AP(410)의 비콘 신호 내 정보 요소들의 제 1 배치 순서와 미리 저장된 제 2 배치 순서를 비교하여 제 1 AP(410)가 소프트웨어 기반의 악성 AP인지를 판단하는 것이다.
한편, 도 7 및 도 10에 도시된 실시예를 비교하면, 도 7에 도시된 실시예는 단말 장치(200)가 요청 메시지를 제 1 AP(410)로 전송하는 active probing 방법에 해당하고, 도 10에 도시된 실시예는 제 1 AP(410)로부터 수신되는 비콘 신호를 분석하는 passive probing 방법에 해당할 수 있다.
도 7 및 도 10에 도시된 실시예는 단말 장치(200)에 의해 별개로 수행되는 것이 아니라, 단말 장치(200)가 도 7 및 도 10에 도시된 실시예에 따라 제 1 AP(410)가 악성 AP인지 여부를 판단할 수도 있다. 예를 들어, 단말 장치(200)는 active probing 방법에 따라 제 1 AP(410)가 정상 AP로 판단되고, passive probing 방법에 따라 제 1 AP(410)가 정상 AP로 판단된 경우에, 제 1 AP(410)를 최종적으로 정상 AP로 판단할 수 있다. 단말 장치(200)는 active probing 방법 및 passive probing 방법 중 어느 하나의 방법에 따라 제 1 AP(410)가 악성 AP로 판단되면, 제 1 AP(410)를 최종적으로 악성 AP로 판단할 수 있다.
마찬가지로, 도 4, 도 6, 도 7 및 도 10에 도시된 실시예들은 단말 장치(200)에 의해 별개로 수행되는 것이 아니라, 단말 장치(200)가 도 4, 도 6, 도 7 및 도 10에 도시된 실시예들 중 적어도 하나의 실시예에 따라 제 1 AP(410)가 악성 AP인지 여부를 판단할 수도 있다.
일 예로, 단말 장치(200)는 도 4에 도시된 실시예, 도 7에 도시된 실시예 및 도 10에 도시된 실시예에 따라 제 1 AP(410)가 모두 정상 AP로 판단된 경우에 제 1 AP(410)를 최종적으로 정상 AP로 판단할 수 있다. 단말 장치(200)는 도 4에 도시된 실시예, 도 7에 도시된 실시예 및 도 10에 도시된 실시예 중 어느 하나의 실시예에 따라 제 1 AP(410)가 악성 AP로 판단되면, 제 1 AP(410)를 최종적으로 악성 AP로 판단할 수 있다.
다른 예로, 단말 장치(200)는 도 6에 도시된 실시예, 도 7에 도시된 실시예 및 도 10에 도시된 실시예에 따라 제 1 AP(410)가 모두 정상 AP로 판단된 경우에 제 1 AP(410)를 최종적으로 정상 AP로 판단할 수 있다. 단말 장치(200)는 도 6에 도시된 실시예, 도 7에 도시된 실시예 및 도 10에 도시된 실시예 중 어느 하나의 실시예에 따라 제 1 AP(410)가 악성 AP로 판단되면, 제 1 AP(410)를 최종적으로 악성 AP로 판단할 수 있다.
한편, 상술한 본 개시의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 작성된 프로그램은 매체에 저장될 수 있다.
매체는 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수개 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 애플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다.
이상, 본 개시의 기술적 사상을 바람직한 실시예를 들어 상세하게 설명하였으나, 본 개시의 기술적 사상은 상기 실시예들에 한정되지 않고, 본 개시의 기술적 사상의 범위 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 여러 가지 변형 및 변경이 가능하다.

Claims (15)

  1. 단말 장치에 의한 악성 AP 식별 방법에 있어서,
    제 1 AP로부터 수신되는 제 1 비콘 신호에 기초하여 상기 제 1 AP의 하드웨어와 관련된 제 1 성능 정보를 획득하는 단계;
    미리 저장된 제 2 AP의 제 2 성능 정보와 상기 제 1 성능 정보를 비교하는 단계; 및
    상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 악성 AP의 식별 방법.
  2. 제1항에 있어서,
    상기 악성 AP의 식별 방법은,
    상기 제 1 비콘 신호와 관련된 제 1 타임 정보를 획득하는 단계;
    제 2 AP의 제 2 비콘 신호와 관련된 제 2 타임 정보와 상기 제 1 타임 정보를 비교하는 단계; 및
    상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성 AP의 식별 방법.
  3. 제2항에 있어서,
    상기 제 1 타임 정보는, 상기 제 1 비콘 신호에 포함된 제 1 타임스탬프 정보 및 상기 제 1 비콘 신호의 제 1 수신 타임 정보를 포함하고,
    상기 제 2 타임 정보는, 상기 제 2 비콘 신호에 포함된 제 2 타임스탬프 정보 및 상기 제 2 비콘 신호의 제 2 수신 타임 정보를 포함하고,
    상기 판단하는 단계는,
    상기 제 1 타임스탬프 정보와 상기 제 2 타임스탬프 정보의 차이 값이, 상기 제 1 수신 타임 정보와 상기 제 2 수신 타임 정보의 차이 값에 대응하지 않으면, 상기 제 1 AP를 악성 AP로 판단하는 단계를 포함하는 것을 특징으로 하는 악성 AP의 식별 방법.
  4. 제1항에 있어서,
    상기 제 1 AP는,
    상기 단말 장치와 상기 제 2 AP의 접속이 종료된 후, 상기 단말 장치가 접속을 시도하는 AP이며,
    상기 제 1 AP의 식별 정보는 상기 제 2 AP의 식별 정보와 동일한 것을 특징으로 하는 악성 AP의 식별 방법.
  5. 제1항에 있어서,
    상기 비교하는 단계는,
    상기 제 1 AP의 SSID가 미리 저장된 SSID 리스트에 포함된 경우, 서버 장치로부터 수신된 상기 제 2 AP의 제 2 성능 정보와 상기 제 1 성능 정보를 비교하는 단계를 포함하는 것을 특징으로 하는 악성 AP의 식별 방법.
  6. 제1항에 있어서,
    상기 악성 AP의 식별 방법은,
    소정의 식별 정보 및 소정의 채널 정보 중 적어도 하나를 포함하는 요청 메시지를 상기 제 1 AP로 전송하는 단계;
    상기 요청 메시지에 대한 응답으로 상기 제 1 AP로부터 수신되는 응답 메시지를 수신하는 단계; 및
    상기 응답 메시지에 상기 소정의 식별 정보 및 소정의 채널 정보 중 적어도 하나가 포함되어 있는 경우, 상기 제 1 AP를 악성 AP로 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성 AP의 식별 방법.
  7. 제1항에 있어서,
    상기 악성 AP의 식별 방법은,
    상기 제 1 AP로부터 n(n은 자연수)번째까지 수신된 제 1 비콘 신호들과 관련된 제 1 타임 정보들에 기초하여, n+1 번째부터의 제 1 타임 정보들을 예측하는 단계;
    상기 예측된 제 1 타임 정보들과, n+1번째부터 수신된 제 1 비콘 신호들의 제 1 타임 정보들을 비교하는 단계; 및
    상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성 AP의 식별 방법.
  8. 제7항에 있어서,
    상기 예측하는 단계는,
    선형 회귀 분석을 통해 상기 n+1 번째부터의 제 1 타임 정보들을 예측하는 단계를 포함하는 것을 특징으로 하는 악성 AP의 식별 방법.
  9. 제7항에 있어서,
    상기 판단하는 단계는,
    상기 예측된 제 1 타임 정보들과, n+1번째부터 수신된 제 1 비콘 신호들의 제 1 타임 정보들 사이의 차이 값들이 시간에 따라 증가하거나 감소하는 경우, 상기 제 1 AP를 악성 AP로 판단하는 단계를 포함하는 것을 특징으로 하는 악성 AP의 식별 방법.
  10. 제1항에 있어서,
    상기 악성 AP의 식별 방법은,
    상기 제 1 비콘 신호 내 정보 요소들의 제 1 배치 순서와, 미리 저장된 정보 요소들의 제 2 배치 순서를 비교하는 단계; 및
    상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 단계를 더 포함하는 것을 특징으로 하는 악성 AP의 식별 방법.
  11. 하드웨어와 결합하여 제1항 내지 제10항 중 어느 하나의 항의 악성 AP의 식별 방법을 실행하기 위하여 매체에 저장된 프로그램.
  12. 하나 이상의 인스트럭션들을 저장하는 메모리; 및
    상기 메모리에 저장된 상기 하나 이상의 인스트럭션들을 실행하는 프로세서를 포함하고,
    상기 프로세서는,
    제 1 AP로부터 수신되는 제 1 비콘 신호에 기초하여 상기 제 1 AP의 하드웨어와 관련된 제 1 성능 정보를 획득하고,
    미리 저장된 제 2 AP의 제 2 성능 정보와 상기 제 1 성능 정보를 비교하고,
    상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 것을 특징으로 하는 단말 장치.
  13. 제12항에 있어서,
    상기 프로세서는,
    상기 제 1 비콘 신호와 관련된 제 1 타임 정보를 획득하고,
    제 2 AP의 제 2 비콘 신호와 관련된 제 2 타임 정보와 상기 제 1 타임 정보를 비교하고,
    상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 것을 특징으로 하는 단말 장치.
  14. 제12항에 있어서,
    상기 프로세서는,
    소정의 식별 정보 및 소정의 채널 정보 중 적어도 하나를 포함하는 요청 메시지를 상기 제 1 AP로 전송하고,
    상기 요청 메시지에 대한 응답으로 상기 제 1 AP로부터 수신되는 응답 메시지를 수신하고,
    상기 응답 메시지에 상기 소정의 식별 정보 및 소정의 채널 정보 중 적어도 하나가 포함되어 있는 경우, 상기 제 1 AP를 악성 AP로 판단하는 것을 특징으로 하는 단말 장치.
  15. 제12항에 있어서,
    상기 프로세서는,
    상기 제 1 AP로부터 n(n은 자연수)번째까지 수신된 제 1 비콘 신호들과 관련된 제 1 타임 정보들에 기초하여, n+1 번째부터의 제 1 타임 정보들을 예측하고,
    상기 예측된 제 1 타임 정보들과, n+1번째부터 수신된 제 1 비콘 신호들과 관련된 제 1 타임 정보들을 비교하고,
    상기 비교 결과에 기초하여 상기 제 1 AP가 악성 AP인지 여부를 판단하는 것을 특징으로 하는 단말 장치.
KR1020207029216A 2018-05-28 2019-05-28 단말 장치 및 이에 의한 악성 ap의 식별 방법 KR102378515B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862677117P 2018-05-28 2018-05-28
US62/677,117 2018-05-28
PCT/KR2019/006389 WO2019231215A1 (ko) 2018-05-28 2019-05-28 단말 장치 및 이에 의한 악성 ap의 식별 방법

Publications (2)

Publication Number Publication Date
KR20200126427A true KR20200126427A (ko) 2020-11-06
KR102378515B1 KR102378515B1 (ko) 2022-03-24

Family

ID=68697061

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207029216A KR102378515B1 (ko) 2018-05-28 2019-05-28 단말 장치 및 이에 의한 악성 ap의 식별 방법

Country Status (4)

Country Link
US (2) US11457362B2 (ko)
KR (1) KR102378515B1 (ko)
CN (1) CN112237017B (ko)
WO (1) WO2019231215A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11239874B2 (en) * 2020-01-30 2022-02-01 Deeyook Location Technologies Ltd. System, apparatus, and method for providing wireless communication and a location tag
US11432152B2 (en) 2020-05-04 2022-08-30 Watchguard Technologies, Inc. Method and apparatus for detecting and handling evil twin access points
CN116156500A (zh) * 2021-11-23 2023-05-23 大唐移动通信设备有限公司 设备鉴权方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060200862A1 (en) * 2005-03-03 2006-09-07 Cisco Technology, Inc. Method and apparatus for locating rogue access point switch ports in a wireless network related patent applications
US20140376533A1 (en) * 2013-06-21 2014-12-25 Kabushiki Kaisha Toshiba Wireless communication apparatus and wireless communication system
KR20150028139A (ko) * 2013-09-05 2015-03-13 숭실대학교산학협력단 로그 ap 탐지 시스템 및 방법

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7236460B2 (en) 2002-03-29 2007-06-26 Airmagnet, Inc. Detecting a counterfeit access point in a wireless local area network
US7069024B2 (en) * 2003-10-31 2006-06-27 Symbol Technologies, Inc. System and method for determining location of rogue wireless access point
US7768960B1 (en) * 2004-07-20 2010-08-03 Atheros Communications, Inc. Efficient communication channel survey
US8782745B2 (en) 2006-08-25 2014-07-15 Qwest Communications International Inc. Detection of unauthorized wireless access points
CN101277229A (zh) * 2008-05-26 2008-10-01 杭州华三通信技术有限公司 一种非法设备的检测方法和无线客户端
US9049225B2 (en) * 2008-09-12 2015-06-02 University Of Utah Research Foundation Method and system for detecting unauthorized wireless access points using clock skews
WO2012091529A2 (ko) 2010-12-30 2012-07-05 (주)노르마 단말기
US8655312B2 (en) * 2011-08-12 2014-02-18 F-Secure Corporation Wireless access point detection
CN103634270B (zh) * 2012-08-21 2017-06-16 中国电信股份有限公司 识别接入点合法性的方法、系统与接入点鉴别服务器
KR101953547B1 (ko) * 2012-11-26 2019-03-04 한국전자통신연구원 보안 이벤트를 이용한 모바일 단말의 관리 제어 방법 및 그 장치
CN103856957B (zh) * 2012-12-04 2018-01-12 航天信息股份有限公司 探测无线局域网中仿冒ap的方法和装置
KR102107132B1 (ko) * 2013-12-05 2020-05-06 삼성전자주식회사 전자 장치의 억세스 포인트 접속 방법 및 그 전자 장치
US10122736B2 (en) * 2014-06-02 2018-11-06 Bastille Networks, Inc. Ground and air vehicle electromagnetic signature detection and localization
US20160164889A1 (en) * 2014-12-03 2016-06-09 Fortinet, Inc. Rogue access point detection
US9705913B2 (en) 2015-10-29 2017-07-11 Intel Corporation Wireless hotspot attack detection
US10270789B2 (en) * 2016-01-29 2019-04-23 Acalvio Technologies, Inc. Multiphase threat analysis and correlation engine
CN107172006B (zh) * 2017-03-22 2020-06-26 深信服科技股份有限公司 检测无线网络恶意性的方法及装置
KR101999148B1 (ko) * 2017-07-28 2019-07-11 (주)씨드젠 로그 ap 탐지 시스템 및 방법과, 이를 위한 사용자 단말 및 컴퓨터 프로그램
US10911956B2 (en) * 2017-11-10 2021-02-02 Comcast Cable Communications, Llc Methods and systems to detect rogue hotspots

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060200862A1 (en) * 2005-03-03 2006-09-07 Cisco Technology, Inc. Method and apparatus for locating rogue access point switch ports in a wireless network related patent applications
US20140376533A1 (en) * 2013-06-21 2014-12-25 Kabushiki Kaisha Toshiba Wireless communication apparatus and wireless communication system
KR20150028139A (ko) * 2013-09-05 2015-03-13 숭실대학교산학협력단 로그 ap 탐지 시스템 및 방법

Also Published As

Publication number Publication date
CN112237017A (zh) 2021-01-15
WO2019231215A1 (ko) 2019-12-05
CN112237017B (zh) 2024-04-12
US20230016491A1 (en) 2023-01-19
KR102378515B1 (ko) 2022-03-24
US20210204135A1 (en) 2021-07-01
US11457362B2 (en) 2022-09-27

Similar Documents

Publication Publication Date Title
US11409881B2 (en) Method and apparatus for wireless signal based location security system
US8898783B2 (en) Detecting malicious device
US7068999B2 (en) System and method for detection of a rogue wireless access point in a wireless communication network
US9264893B2 (en) Method for selecting access point with reliability
KR102378515B1 (ko) 단말 장치 및 이에 의한 악성 ap의 식별 방법
US10945307B2 (en) Implementation of wireless relaying
US20080250498A1 (en) Method, Device a Program for Detecting an Unauthorised Connection to Access Points
US20140006787A1 (en) Method and apparatus for restricting access to a wireless system
WO2014113882A1 (en) Computer system and method for indoor geo-fencing and access control
US20230379662A1 (en) Spoofing protection for mobile device positioning
KR102323712B1 (ko) Wips 센서 및 wips 센서를 이용한 불법 무선 단말의 침입 차단 방법
US20180124111A1 (en) System and method for network entity assisted honeypot access point detection
US10609071B2 (en) Preventing MAC spoofing
US20150138013A1 (en) Apparatus and method for positioning wlan terminal
US11974351B2 (en) Device for wireless communication with other devices
CN106878992B (zh) 无线网络安全检测方法和系统
KR20130002044A (ko) 불법 액세스 포인트 탐지 방법 및 이를 위한 무선 통신 단말
US20230146970A1 (en) Management server, terminal, and method for providing and applying wireless lan security policy by participating in multiple access points
TW202418858A (zh) 入侵偵測功能的自動切換方法及能夠自動切換入侵偵測功能的無線偵測系統
Chopra et al. Cracking and hardening hidden SSID mechanism in 802.11 using PYTHON
Seth et al. Emergency service in Wi-Fi networks without access point association
Feng et al. Vulnerability Analysis and Countermeasures for Wi-Fi-based Location Services and Applications

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant