KR20210058639A - 블루투스 보안 위협 탐지 시스템, 방법 및 이러한 방법을 컴퓨터에 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체 - Google Patents

블루투스 보안 위협 탐지 시스템, 방법 및 이러한 방법을 컴퓨터에 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체 Download PDF

Info

Publication number
KR20210058639A
KR20210058639A KR1020200110495A KR20200110495A KR20210058639A KR 20210058639 A KR20210058639 A KR 20210058639A KR 1020200110495 A KR1020200110495 A KR 1020200110495A KR 20200110495 A KR20200110495 A KR 20200110495A KR 20210058639 A KR20210058639 A KR 20210058639A
Authority
KR
South Korea
Prior art keywords
bluetooth
risk
computer
devices
packet
Prior art date
Application number
KR1020200110495A
Other languages
English (en)
Inventor
정현철
송창녕
Original Assignee
(주)노르마
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)노르마 filed Critical (주)노르마
Priority to KR1020200110495A priority Critical patent/KR20210058639A/ko
Publication of KR20210058639A publication Critical patent/KR20210058639A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L61/3065
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/30Types of network names
    • H04L2101/365Application layer names, e.g. buddy names, unstructured names chosen by a user or home appliance name

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

일 실시예에 따른 블루투스 보안 위협 탐지 방법은 디바이스들로부터 전송되는 블루투스 패킷들을 수집하는 단계(S101); 수집한 상기 블루투스 패킷들 중에서 동일한 시간대에 수집된 블루투스 패킷들에 포함된 정보들을 서로 비교하여, '디바이스 네임'이 서로 동일한 블루투스 패킷 - 디바이스 네임 중복 블루투스 패킷 - 들이 있는지를 찾는 동작을 포함하는 탐색 단계(S103); 및 탐색 단계(S103)의 결과에 기초하여, 블루투스 패킷들을 전송한 디바이스들 각각에 대하여, 위험한 디바이스의 정도를 나타내는 지수 - 위험도 - 를 계산하는 단계(S105);를 포함할 수 있다.

Description

블루투스 보안 위협 탐지 시스템, 방법 및 이러한 방법을 컴퓨터에 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체{System and method for bluetooth security threat detection and computer readable medium}
본 발명은 블루투스 보안 위협 탐지 시스템, 방법 및 이러한 방법을 컴퓨터에 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체에 관한 것이다.
블루투스(Bluetooth)는 좁은 범위 내에서 휴대용 PC 또는 휴대폰을 비롯한 이동 가능한 장치들을 무선으로 연결하여 주는 기술 규격이다. 블루투스(Bluetooth)는 예를 들면 245MHZ의 ISM(Industrial Scientific Medical) 밴드의 무선 주파수를 이용하여 각종 디지털 장비들이 물리적인 케이블 없이 음성과 데이터를 송수신할 수 있도록 지원한다. 예컨대, 블루투스(Bluetooth) 통신용 모듈은 이동 통신 단말과 랩탑 컴퓨터 안에 내장되어 무선 통신이 가능하도록 지원한다. 이러한 편리성 때문에, 블루투스블루투스(Bluetooth)는 PDA(Personal Digital Assistant), 데스크탑, FAX, 키보드, 또는 조이스틱은 물론 거의 모든 디지털 장비들에 사용되고 있다.
본 발명의 일 실시예에 따르면, 컴퓨터에 블루투스 보안 위협 탐지 시스템이 제공될 수 있다.
본 발명의 일 실시예에 따르면, 컴퓨터에 블루투스 보안 위협 탐지 방법이 제공될 수 있다.
본 발명의 일 실시예에 따르면, 본 발명의 일 실시예에 따르면, 컴퓨터에 블루투스 보안 위협 탐지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체가 제공될 수 있다.
본 발명의 일 실시예에 따르면, 컴퓨터에 블루투스 보안 위협 탐지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체에 있어서,
상기 블루투스 보안 위협 탐지 방법은
디바이스들로부터 전송되는 블루투스 패킷들을 수집하는 단계; 수집한 상기 블루투스 패킷들 중에서 동일한 시간대에 수집된 블루투스 패킷들에 포함된 정보들을 서로 비교하여, '디바이스 네임'이 서로 동일한 블루투스 패킷 - 디바이스 네임 중복 블루투스 패킷 - 들이 있는지를 찾는 동작을 포함하는 탐색 단계; 및 상기 탐색 단계의 결과에 기초하여, 상기 블루투스 패킷들을 전송한 디바이스들 각각에 대하여, 위험한 디바이스의 정도를 나타내는 지수 - 위험도 - 를 계산하는 단계;를 포함할 수 있다.
상술한 상기 블루투스 보안 위협 탐지 방법에서, 상기 위험도를 계산하는 단계는, 상기 디바이스 네임 중복 블루투스 패킷을 전송한 디바이스 - 디바이스 네임 중복 디바이스 - 들 중에 적어도 어느 하나의 디바이스에 대한 위험도를 증가시키는 동작 - 제1동작- 을 포함할 수 있다.
본 발명의 하나 이상의 실시예들에 따르면, 블루투스 디바이스를 사용하는 사용자들은 안전하게 블루투스 디바이스에 접속하여 사용할 수 있다.
본 발명의 하나 이상의 실시예들에 따르면, 블루투스 디바이스들과의 연결시 사전에 위협이 되는 디바이스들을 탐지할 수 있다.
도 1은 본 발명의 일 실시예에 따른 블루투스 보안 위협 탐지 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 블루투스 보안 위협 탐지 방법을 설명하기 위한 도면이다.
도 3은 블루투스 RSSI 값과 거리와의 관계를 테스트한 결과를 나타낸 도면이다.
이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시예들에 한정되지 않고 다른 형태로 구체화될 수 있다. 이하에 설명되는 실시예들은 당업자에게 본 발명의 사상을 충분히 전달할 수 있도록 하기 위해 제공되는 예시적 실시예들이다.
용어의 정의
본원 명세서에서, 용어 '소프트웨어'는 컴퓨터에서 하드웨어를 움직이는 기술을 의미하고, 용어 '하드웨어'는 컴퓨터를 구성하는 유형의 장치나 기기(CPU, 메모리(203), 입력 장치, 출력 장치, 주변 장치 등)를 의미하고, 용어 '단계'는 소정의 목을 달성하기 위해 시계열으로 연결된 일련의 처리 또는 조작을 의미하고, 용어 '프로그램은 컴퓨터로 처리하기에 합한 명령의 집합을 의미하고, 용어 '프로그램 기록 매체'는 프로그램을 설치하고 실행하거나 유통하기 위해 사용되는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 의미한다.
본 명세서에서 제1, 제2 등의 용어가 구성요소들을 기술하기 위해서 사용된 경우, 이들 구성요소들이 이 같은 용어들에 의해서 한정되어서는 안 된다. 이들 용어들은 단지 어느 구성요소를 다른 구성요소와 구별시키기 위해서 사용되었을 뿐이다. 여기에 설명되고 예시되는 실시예들은 그것의 상보적인 실시예들도 포함한다.
본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprise)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
본원 명세서에서, 용어 '관리'는 데이터의 '수신', '송신', '저장', '수정', 및 '삭제'를 포함하는 의미로 사용된다.
본원 명세서에서, '구성요소 A 및/또는 구성요소 B'는 '구성요소 A', '구성요소 B' 또는 '구성요소 A와 구성요소 B'를 의미한다.
본원 명세서에서, '컴퓨터'는 컴퓨터 프로세서와 기억장치, 운영체제, 펌웨어, 응용 프로그램들, 네트워크 인터페이스, 입출력 인터페이스, 버스, 및 리소스를 포함하며, 여기서, 운영체제(OS: OPERATING SYSTEM)은 다른 하드웨어, 펌웨어, 또는 응용프로그램(예를 들면, 관리 프로그램)을 동작적으로 연결시킬 수 있다. 네트워크 인터페이스는 외부와 통신을 하기 위한 것으로 소프트웨어 및 하드웨어로 이루어진 모듈을 의미하며, 예를 들면 통신용 랜카드와 같은 것일 수 있다. 기억장치는 프로그램을 기록하고 컴퓨터로 읽을 수 있을 수 있는 기록 매체이며, 예를 들면, 후술하는 설명들에서 메모리나 영구 저장 장치와 같은 것일 수 있다. 또한, 컴퓨터 프로세서와 기억장치, 운영체제, 응용 프로그램, 펌웨어, 응용 프로그램들, 네트워크 인터페이스, 입출력 인터페이스, 버스, 및 기타 리소스는 서로 동작적으로(operatively) 연결되어 있다. 한편, 위에서 언급한 구성요소들에 대한 설명이나 도면은 본 발명의 설명의 목적을 위한 한도에서 기재 또는 도시된다.
본 명세서에서, 구성요소 'A'가 구성요소 'B'에게 정보, 내역, 및/ 또는 데이터를 전송한다고 함은 구성요소 'A'가 구성요소 'B'에게 직접 전송하거나 또는 구성요소 'A'가 적어도 하나 이상의 다른 구성요소를 통해서 구성요소 'B'에 전송하는 것을 포함하는 의미로 사용한다.
본 명세서에서, 용어 '블루투스 디바이스'는 블루투스라는 무선 통신을 할 수 있는 무선 랜 카드를 구비한 기기를 의미한다.
이하, 도면들을 참조하여, 본 발명의 실시예들에 대해 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 블루투스 보안 위협 탐지 시스템을 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 블루투스 보안 위협 탐지 시스템은 블루투스 보안 위협 탐지 방법을 사용자 단말 장치(200)에 실행시키기 위한 프로그램 (이하, '블루투스 보안 위협 탐지 프로그램(202)')이 설치되어 실행되는 사용자 단말 장치(200)를 포함한다. 한편, 본 발명의 설명의 목적을 위해서, 도 1에는 블루투스 디바이스들(A, B, C, D, ...)이 추가적으로 도시되어 있다.
사용자 단말 장치(200)는 프로세서(201), 메모리(203), 영구 저장 장치(205), 입출력 인터페이스(207), 및 네트워크 인터페이스(209)를 포함한다. 한편, '사용자 단말 장치(200)'는 컴퓨터이며, 예를 들면 데스크탑 컴퓨터, 노트북, 스마트폰, 또는 PDA와 같은 장치일 수 있다.
프로세서(201)는 블루투스 보안 위협 탐지 방법을 수행하기 위한 구성요소로서 명령어들의 시퀀스를 처리할 수 있는 임의의 장치를 포함하거나 그의 일부일 수 있다. 프로세서(201)는 예를 들어 컴퓨터 프로세서, 이동 장치 또는 다른 전자 장치 내의 프로세서 및/또는 디지털 프로세서를 포함할 수 있다. 프로세서(201)는 예를 들어, 서버 컴퓨팅 디바이스, 서버 컴퓨터, 일련의 서버 컴퓨터들, 서버 팜, 클라우드 컴퓨터, 컨텐츠 플랫폼 등에 포함될 수 있다. 프로세서(201)는 버스(211)를 통해 메모리(203)에 접속될 수 있다.
메모리(203)는 사용자 단말 장치(200)에 의해 사용되거나 그에 의해 출력되는 정보를 저장하기 위한 휘발성 메모리, 영구, 가상 또는 기타 메모리를 포함할 수 있다. 메모리(203)는 예를 들어 랜덤 액세스 메모리(RAM:random access memory) 및/또는 다이내믹 RAM(DRAM: dynamic RAM)을 포함할 수 있다.
메모리(203)는 사용자 단말 장치(200)의 상태 정보와 같은 임의의 정보를 저장하는 데 사용될 수 있다. 메모리(203)는 예를 들어 블루투스 보안 위협 탐지 방법을 수행하기 위한 명령어들을 포함하는 사용자 단말 장치(200)의 명령어들을 저장하는 데에도 사용될 수 있다. 사용자 단말 장치(200)는 필요에 따라 또는 적절한 경우에 하나 이상의 프로세서를 포함할 수 있다.
버스(211)는 사용자 단말 장치(200)의 다양한 구성요소들 사이의 상호작용을 가능하게 하는 통신 기반 구조를 포함할 수 있다. 버스(211)는 예를 들어 사용자 단말 장치(200)의 구성요소들 사이에, 예를 들어 프로세서(201)와 메모리(203) 사이에 데이터를 운반할 수 있다. 버스(211)는 사용자 단말 장치(200)의 구성요소들 간의 무선 및/또는 유선 통신 매체를 포함할 수 있으며, 병렬, 직렬 또는 다른 토폴로지 배열들을 포함할 수 있다.
영구 저장 장치(205)는 소정의 연장된(예를 들어, 메모리(203)에 비해) 기간 동안 데이터를 저장하기 위해 사용자 단말 장치(200)에 의해 사용되는 메모리(203) 또는 다른 영구 저장 장치(205)와 같은 구성요소들을 포함할 수 있다. 영구 저장 장치(205)는 사용자 단말 장치(200) 내의 프로세서(201)에 의해 사용되는 바와 같은 비휘발성 메인 메모리를 포함할 수 있다. 영구 저장 장치(205)는 예를 들어 플래시 메모리, 하드 디스크, 광 디스크 또는 다른 컴퓨터 판독 가능 매체를 포함할 수 있다.
입출력 인터페이스(207)는 키보드, 마우스, 음성 명령 입력, 디스플레이 또는 다른 입력 또는 출력 장치에 대한 인터페이스들을 포함할 수 있다. 구성 명령들 및/또는 블루투스 보안 위협 탐지 방법을 위한 입력이 입출력 인터페이스(207)를 통해 수신될 수 있다.
네트워크 인터페이스(209)는 근거리 네트워크 또는 인터넷과 같은 네트워크들에 대한 하나 이상의 인터페이스를 포함할 수 있다. 네트워크 인터페이스(209)는 유선 또는 무선 접속들에 대한 인터페이스들을 포함할 수 있다. 본 실시예에서, 네트워크 인터페이스(209)는 블루투스 무선을 위한 인터페이스(예를 들면, 블루투스 통신용 무선 랜 카드)를 포함할 수 있다. 한편, 네트워크 인터페이스(209)는 구성 명령들 및/또는 블루투스 보안 위협 탐지 방법을 위한 입력이 네트워크 인터페이스(209)를 통해 수신될 수 있다.
본 실시예에 따르면, 블루투스 보안 위협 탐지 프로그램(202)은 메모리(203)에 로딩되어 프로세서(201)의 제어하에 실행될 수 있다. 블루투스 보안 위협 탐지 프로그램(202)은 영구 저장 장치(205)에 저장되어 있다가 프로세서(201)의 제어하에 메모리(203)에 로딩되어 실행될 수 있다. 대안으로는(Alternatively), 블루투스 보안 위협 탐지 프로그램(202)의 적어도 일부 또는 전부가 사용자 단말 장치(200)와 근거리 네트워크 또는 인터넷과 같은 네트워크를 통해서 연결된 영구 저장 장치(미 도시)에 저장되어 있다가, 사용자 단말 장치(200)의 요청에 의해 사용자 단말 장치(200)로 다운로드된 후에, 메모리(203)에 로딩되어 프로세서(201)의 제어하에 실행될 수 있다.
본 발명의 대안적인 실시예들에서, 사용자 단말 장치(200)는 도 1에 도시된 구성요소들보다 더 많은 구성요소들을 포함할 수도 있다. 다만, 대부분의 종래 기술적 구성요소들은 명확하게 도시할 필요가 없어서 도 1에 도시하지 않았음을 본 발명이 속하는 기술분야에 속하는 자(이하, '당업자')라면 용이하게 이해할 수 있을 것이다. 예를 들면, 사용자 단말 장치(200)는, 입출력 인터페이스(207)와 연결되는 입출력 장치들 중 적어도 일부를 포함하도록 구현되거나, 또는 트랜시버, GPS 모듈, 카메라, 및 지자기나 가속도 센서와 같은 다양한 센서들, 및 데이터베이스 등과 같이 다른 구성요소들을 더 포함할 수 있다.
도 2는 본 발명의 일 실시예에 따른 컴퓨터에 블루투스 보안 위협 탐지 방법을 설명하기 위한 도면이고, 도 3은 블루투스 RSSI 값과 거리와의 관계를 테스트한 결과를 나타낸 것이다. 이하에서는, 도 1 내지 도 3을 같이 참조하여, 블루투스 보안 위협 탐지 프로그램(202)에 의해 수행되는 블루투스 보안 위협 탐지 방법에 설명하기로 한다.
일 실시예에 따르면, 블루투스 보안 위협 탐지 방법은, 디바이스들로부터 전송되는 블루투스 패킷들을 수집하는 단계(S101), 수집한 블루투스 패킷들 중에서 동일한 시간대에 수집된 블루투스 패킷들에 포함된 정보들을 서로 비교하여, '디바이스 네임'이 서로 동일한 블루투스 패킷 - 디바이스 네임 중복 블루투스 패킷 - 들이 있는지를 찾는 동작을 포함하는 탐색 단계(S103), 탐색 단계(S103)의 결과에 기초하여, 블루투스 패킷들을 전송한 디바이스들 각각에 대하여, 위험한 디바이스의 정도를 나타내는 지수 - 위험도 - 를 계산하는 단계(S105)를 포함한다. 블루투스 보안 위협 탐지 방법은, 또한, 위험도 계산 단계(105)의 결과에 따라서 계산된 위험도에 기초하여 보안 위협 디바이스들을 사용자에게 알리고, 블루투스 연결을 차단하는 동작을 수행하는 보안 위협 디바이스 차단 단계(S107)를 더 포함할 수 있다.
예를 들면, 위험도를 계산하는 단계(S105)는, 디바이스 네임 중복 블루투스 패킷을 전송한 디바이스 - 디바이스 네임 중복 디바이스 - 들 중에 적어도 어느 하나의 디바이스에 대한 위험도를 증가시키는 동작 - 제1동작- 을 포함한다.
예를 들면, 수집하는 단계(S101)는, 블루투스 디바이스들로부터 전송되는 블루투스 패킷들을 수신하는 동작일 수 있다.
예를 들면, 블루투스 디바이스 A는 자신의 블루투스 패킷(PACKET_A)을 브로드캐스팅(broadcasting)하여 사용자 단말 장치(200)에게 제공하거나 또는 사용자 단말 장치(200)와 연결(Connection)되어 자신의 블루투스 패킷(PACKET_A)를 사용자 단말 장치(200)에게 제공할 수 있다. 한편, 본원 명세서에서, 블루투스 패킷의 전송은 특정 전송 방식에 한정되지 않으며, 예를 들면 브로드캐스팅(broadcasting) 방식 또는 연결 방식과 같이 어떠한 방식이라도 해당된다.
예를 들면, 탐색 단계(S103)는, 수집한 블루투스 패킷들 중에서 동일한 시간대에 수집된 블루투스 패킷들에 포함된 정보들을 서로 비교하는 동작을 포함한다. 비교하는 동작은, 예를 들면, 디바이스 A에 의해 전송된 블루투스 패킷(PACKET_A), 디바이스 B에 의해 전송된 블루투스 패킷(PACKET_B), 디바이스 C에 의해 전송된 블루투스 패킷(PACKET_C), 디바이스 D에 의해 전송된 블루투스 패킷(PACKET_D) 등을 서로 비교한다. 블루투스 패킷 A에는 '디바이스 네임', '맥 어드레스', '블루투스 연결 상태' , '기기 타입'(Class Of Device), '디바이스 지원 서비스', '블루투스 타입', '신호세기'(RSSI), 및 '제조사 데이터'가 포함되어 있다.
한편, 동일한 시간대라고 하면, 예를 들면 2019년11월7일 오전 10시~오전11시와 같이, 사용자가 미리 설정한 시간대를 의미한다. 상술한 2019년11월7일 오전 10시~오전11시는 예시적인 것으로서 이보다 짧거나 길게 시간대가 설정될 수 있다.
탐색 단계(S103)는, 동일한 시간대에 수집된 모든 블루투스 패킷들에 포함된 정보들을 비교하여, 예를 들면, '디바이스 네임', '맥 어드레스', '블루투스 연결 상태' , '기기 타입'(Class Of Device), '디바이스 지원 서비스', '블루투스 타입', '신호세기'(RSSI), 및 '제조사' 중 적어도 어느 하나가 동일한지를 찾는 동작이다. 여기서, '제조사'는 디바이스들에 설치된 블루투스 통신을 위한 무선 랜카드의 제조사를 의미하고, '맥 어드레스'는 무선 랜카드에 할당된 고유 식별자를 의미하며, '신호세기'는 네트워크 인터페이스(209)가 블루투스 패킷들의 수신할 때의 각각의 패킷의 신호 강도를 의미하며, '기기 타입'은 블루투스 디바이스들의 기기의 종류(예를 들면, 퍼스널 컴퓨터(예를 들면, 노트북), 스마트폰, ..)를 의미하며, '디바이스 네임'은 디바이스에 부여된 네임이다.
탐색 단계(S103)는, 동일한 시간대에 수집된 모든 블루투스 패킷들에 포함된 정보들을 비교하여, '디바이스 네임'이 서로 동일한 블루투스 패킷(이하, '디바이스 네임 중복 블루투스 패킷')들이 있는지를 찾는 동작을 포함한다. 이 동작의 수행 결과로, 서로 동일한 '디바이스 네임'을 가진 블루투스 패킷을 전송한 디바이스(이하, '디바이스 네임 중복 디바이스)들이 찾아지면, 디바이스 네임 중복 디바이스들의 위험도는 높아질 수 있다. 예를 들면, 디바이스 A의 디바이스 네임과 디바이스 C의 디바이스 네임이 서로 동일하다면, 디바이스 A의 위험도와 디바이스 C의 위험도 중 어느 하나는 더 높아질 수 있다. 디바이스 A와 디바이스 C 중 어느 하나가 해커에 의한 페이크 디바이스일 수 있기 때문이다.
예를 들면, 탐색 단계(S103)는, 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...) 중에서 동일한 시간대에 수집된 블루투스 패킷들에 포함된 정보들을 서로 비교하여, '제조사'가 서로 동일한 블루투스 패킷 - 제조사 중복 블루투스 패킷 - 들이 있는지를 찾는 동작과, 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...) 중에서 동일한 시간대에 수집된 블루투스 패킷들에 포함된 정보들을 비교하여, '맥 어드레스'가 서로 동일한 블루투스 패킷 - 맥 어드레스 중복 블루투스 패킷 - 들이 있는지를 찾는 동작 중 적어도 어느 하나의 동작을 더 포함한다. 이러한 동작들의 수행결과, 서로 동일한 '제조사'를 가진 블루투스 패킷을 전송한 디바이스(이하, '제조사 중복 디바이스')들과 서로 동일한 '맥 어드레스'를 가진 블루투스 패킷을 전송한 디바이스(이하, '맥 어드레스 중복 디바이스)들이 찾아지면, 제조사 중복 디바이스들과 맥 어드레스 중복 디바이스들의 위험도는 높아질 수 있다.
예를 들면, 디바이스 B의 제조사와 디바이스 D의 제조사가 서로 동일하다면, 디바이스 B의 위험도와 디바이스 D의 위험도 중 어느 하나는 더 높아질 수 있다. 디바이스 B와 디바이스 D 중 어느 하나가 해커에 의한 페이크 디바이스일 수 있기 때문이다. 다른 예를 들면, 디바이스 B의 맥 어드레스와 디바이스 D의 맥 어드레스가 서로 동일하다면, 디바이스 B의 위험도와 디바이스 D의 위험도 중 어느 하나는 더 높아질 수 있다.
예를 들면, 탐색 단계(S103)는, 디바이스 네임 중복 디바이스들 중에서 '기기 타입'이 퍼스널 컴퓨터인 디바이스를 찾는 동작을 더 포함할 수 있다. 탐색 단계(S103)는, 디바이스 네임 중복 디바이스들을 찾는 동작을 수행하고 난 후에, 찾은 디바이스 네임 중복 디바이스들의 블루투스 패킷들에 포함된 '기기 타입'이 퍼스널 컴퓨터인지를 확인하는 동작을 수행한다. 만약, 디바이스 네임 중복 디바이스들 중에서, '기기 타입'이 퍼스널 컴퓨터인 디바이스가 존재하면, 그러한 디바이스에 대한 위험도는 증가될 것이다. 예를 들면, 예를 들면, 디바이스 A의 디바이스 네임과 디바이스 C의 디바이스 네임이 서로 동일하고, 디바이스 C의 '기기 타입'이 퍼스널 컴퓨터라면 디바이스 C에 대한 위험도가 증가될 것이다.
예를 들면, 탐색 단계(S103)는, 제조사 중복 블루투스 패킷을 전송한 디바이스들 중에서 '기기 타입'이 퍼스널 컴퓨터인 디바이스를 찾는 동작과, 맥 어드레스 중복 블루투스 패킷을 전송한 디바이스들 중에서 '기기 타입'이 퍼스널 컴퓨터인 디바이스를 찾는 동작 중 적어도 하나의 동작을 더 포함할 수 있다.
예를 들면, 탐색 단계(S103)는, 디바이스 B의 제조사와 디바이스 D의 제조사가 서로 동일하다면, 디바이스 B와 디바이스 D 중에서 '디바이스 타입'이 퍼스널 컴퓨터인 디바이스를 찾는 동작을 포함할 수 있다. 또한, 탐색 단계(S103)는 디바이스 A의 맥 어드레스와 디바이스 C의 맥 어드레스가 서로 동일하다면, 디바이스 A와 디바이스 C 중에서 '디바이스 타입'이 퍼스널 컴퓨터인 디바이스를 찾는 동작을 포함할 수 있다. 한편, 탐색 단계(S103)는 제조사가 서로 동일한 디바이스 B와 디바이스 D중에서 '디바이스 타입'이 퍼스널 컴퓨터인 디바이스를 찾는 동작과, 맥 어드레가 서로 동일한 디바이스 A와 디바이스 C 중에서 '디바이스 타입'이 퍼스널 컴퓨터인 디바이스를 찾는 동작 중 적어도 하나를 포함할 수 있다.
만약, 제조사 중복 블루투스 패킷을 전송한 디바이스들 중에서 '기기 타입'이 퍼스널 컴퓨터인 디바이스가 존재하면 그 디바이스에 대한 위험도가 증가될 것이다. 또한, 맥 어드레스 중복 블루투스 패킷을 전송한 디바이스들 중에서, '기기 타입'이 퍼스널 컴퓨터인 디바이스가 존재하면 그 디바이스에 대한 위험도가 증가될 것이다.
예를 들면, 탐색 단계(S103)는, 수집한 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)에 포함된 정보들에서 '디바이스 네임'이 미리 정한 기준보다 긴 네임일 경우 디바이스를 찾는 동작을 더 포함할 수 있다. 미리 정한 기준은, 예를 들면 한글 기준 10자리 이하일 수 있다. 예를 들면, '디바이스 네임'이 '노르마'와 같은 경우는 3자리이고, '가산구로디지털단지케이티'와 같은 경우는 12자리이다. 상술한 한글기준 10자리는 예시적인 것이므로 본원 발명이 그러한 기준에만 한정되는 것이 아님을 당업자는 용이하게 이해할 것이다. 해커가 디바이스 네임의 길이를 길게 하여 의도적으로 오버플로우를 발생시키는 경우가 종종 있음을 반영한 것이다.
예를 들면, 탐색 단계(S103)는, 수집한 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)에 포함된 정보들에서 'RSSI' 값이 미리 설정된 기준값보다 낮은 디바이스를 찾는 동작을 더 포함할 수 있다.
한편, 'RSSI' 값 에 대한 미리 정한 기준은 예를 들면, -80 dBm 일 수 있다. 이러한 경우 탐색 단계(S103)는 수집한 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)에 포함된 정보들에서 'RSSI'의 세기가 -80 dBm 이하의 디바이스들을 찾는 동작을 수행한다. 후술하겠지만, 위험도를 계산하는 단계(S105)는, 'RSSI' 값이 미리 설정된 기준값보다 낮은 디바이스에 대하여, 위험도를 증가시킨다. 예를 들면, 위험도가 3이 증가될 수 있다.
예를 들면, 탐색 단계(S103)는, 수집한 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)에 포함된 정보들에서 'RSSI'값이 미리 설정된 변화값보다 많은 변화를 가지는 디바이스를 찾는 동작을 더 포함할 수 있다. 미리 정한 변화값은 예를 들면, ±20 dBm 일 수 있다. 이러한 경우 탐색 단계(S103)는 수집한 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)에 포함된 정보들에서 'RSSI'의 세기의 변화가 ±20 dBm 이상인 디바이스들을 찾는 동작을 수행한다. 후술하겠지만, 위험도를 계산하는 단계(S105)는, 'RSSI'값이 미리 설정된 변화값보다 많이 변화되는 디바이스에 대하여, 위험도를 증가시킨다. 예를 들면, 위험도가 3이 증가될 수 있다.
도 3을 참조하면, 'RSSI'값과 블루투스 디바이스와의 거리(사용자 단말 장치(200)와 블루투스 디바이스와의 거리)간의 관계를 알 수 있다. 본 실시예는, 블루투스 디바이스가 블루투스 패킷을 수집하는 사용자 단말 장치(200)와 멀리 떨어져 있을 수록, 그리고 'RSSI'값의 변화가 클수록 보안에 위협이 될 확률이 높다는 경험적 결과를 반영한 것이다.
예를 들면, 수집하는 단계(S101)는, 제1시간대에 디바이스들(A, B, C, D, ...)로부터 전송되는 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)을 수집하는 동작과, 제1시간대과 다른 제2시간대에 디바이스들(A, B, C, D, ...)로부터 전송되는 블루투스 패킷들(PACKET'_A, PACKET'_B, PACKET'_C, PACKET'_D, ...)을 수집하는 동작을 포함할 수 있다.
예를 들면, 탐색 단계(S103)는, 제1시간대에 수집된 블루투스 패킷들에 포함된 정보들과, 제2시간대에 수집된 블루투스 패킷들에 포함된 정보를 비교하여, 정보의 변경이 있는 디바이스를 찾는 동작을 더 포함할 수 있다. 한편, 탐색 단계(S103)의 수행결과 정보의 변경이 있는 디바이스가 찾아진 경우, 위험도를 계산하는 단계(S105)는, 정보의 변경이 있는 디바이스에 대한 위험도를 증가시키는 동작을 더 포함한다.
본 실시예에서, 비교의 대상이 되는 정보는 블루투스 패킷들(PACKET'_A, PACKET'_B, PACKET'_C, PACKET'_D, ...)에 포함된 '디바이스 네임', '맥 어드레스', '블루투스 연결 상태', '기기 타입'(Class Of Device), '디바이스 지원 서비스', '블루투스 타입', '신호세기'(RSSI), 및 '제조사 데이터' 중 적어도 어느 하나일 수 있다. 구체적인 예를 들면, 제1시간대는 2019년11월7일 오전 10시~오전11시까지 일수 있고, 제2시간대는 2019년11월7일 오전 12시~오후 1시까지 일 수 있다. 이는 해커가 제1시간대에는 존재하지 않다가, 제2시간대에 나타나는 경우를 탐지하기 위해서이다. 즉, 제2시간대에 나타난 해커의 디바이스(위협 디바이스)가 다른 디바이스를 해킹하여, 해킹한 디바이스의 정보를 복제할 경우를 탐지하기 위함이다.
예를 들면, 위험도를 계산하는 단계(S105)는, 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)을 수집한 대상이 되는 디바이스들(A, B, C, D, ...)에 대한 위험도를 각각 계산하는 단계(S105)일 수 있다. 한편, 위험도를 계산하는 단계(S105)는, 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)을 수집한 대상이 되는 디바이스들(A, B, C, D, ...) 중에서, 제조사 중복 디바이스들, 디바이스 네임 중복 디바이스들, 맥 어드레스 중복 디바이스들, 시간대가 달라짐에 따라 정보의 변경이 있는 디바이스들, 'RSSI'의 값이 기준값 이하인 디바이스들, 'RSSI'의 값의 변화가 미리 설정된 변화값 이상인 디바이스들에 대하여 위험도를 각각 계산하는 단계(S105)일 수 있다.
일 실시예에 따르면, 위험도는 '하', '상', 및 '최상'으로 분류될 수 있고, '하'는 위험도 점수가 0 내지 4인 경우, '상'인 경우 위험도 점수가 5 내지 9인 경우, '최상'인 경우 위험도 점수가 10 이상인 경우로 설정될 수 있다.
예를 들면, 위험도를 계산하는 단계(S105)는, 제조사 중복 디바이스들, 디바이스 네임 중복 디바이스들, 맥 어드레스 중복 디바이스들, 시간대가 달라짐에 따라 정보의 변경이 있는 디바이스들, 'RSSI'의 값이 기준값 이하인 디바이스들, 'RSSI'의 값의 변화가 미리 설정된 변화값 이상인 디바이스들에 해당될 때 마다, 해당되는 디바이스에 대한 위험도 점수를 미리 정한 점수만큼 증가시키는 방식으로 수행될 수 있다.
상술한 위험도의 분류나 점수 계산 방식은 예시적인 것이므로 본원 발명은 그러한 것에만 한정되는 것이 아니다. 한편, 위험도는 메모리(203)나 영구 저장 장치(205)에 저장되어 있을 수 있다.
예를 들면, 위험도를 계산하는 단계(S105)는, 디바이스 네임 중복 디바이스들 중에 적어도 어느 하나의 디바이스에 대한 위험도를 증가시키는 동작 - 제1동작- 을 포함한다. 여기서, 제1동작은 예를 들면, 탐색 단계(S103)의 수행결과 디바이스 네임 중복 디바이스들 중에서 '기기 타입'이 퍼스널 컴퓨터인 디바이스가 존재할 경우, 그러한 디바이스에 대한 위험도를 증가시키는 동작일 수 있다. 구체적인 예를 들면, 제1동작은, 디바이스 네임 중복 디바이스이면서, '기기 타입'이 퍼스널 컴퓨터인 디바이스에 대한 위험도를 '10'점 증가시키는 동작일 수 있다.
예를 들면, 위험도를 계산하는 단계(S105)는, 탐색 단계(S103)의 수행결과로 찾아진 제조사 중복 디바이스들 중에서, '기기 타입'이 퍼스널 컴퓨터인 디바이스에 대한 위험도를 증가시키는 동작 - 제2동작 -과, 맥 어드레스 중복 디바이스들 중에서, '기기 타입'이 퍼스널 컴퓨터인 디바이스에 대한 위험도를 증가시키는 동작 - 제3동작 - 중에서 적어도 하나의 동작을 더 포함할 수 있다. 즉, 제2동작은, 제조사 중복 디바이스이면서, '기기 타입'이 퍼스널 컴퓨터인 디바이스에 대한 위험도를 증가시키는 동작이고, 제3동작은 맥 어드레스 중복 디바이스이면서 '기기 타입'이 퍼스널 컴퓨터인 디바이스에 대한 위험도를 증가시키는 동작이다. 구체적인 예를 들면, 제2동작은 제조사 중복 디바이스이면서, '기기 타입'이 퍼스널 컴퓨터인 디바이스에 대한 위험도를 '3'점 증가시키는 동작일 수 있고, 제3동작은 맥 어드레스 중복 디바이스이면서 '기기 타입'이 퍼스널 컴퓨터인 디바이스에 대한 위험도를 '10'점 증가시키는 동작일 수 있다.
예를 들면, 위험도를 계산하는 단계(S105)는, 탐색 단계(S103)의 수행결과 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)에 포함된 정보들에서 '디바이스 네임'이 미리 정한 기준보다 긴 디바이스가 찾아지면, 그러한 디바이스에 대한 위험도를 증가시키는 동작 - 제4동작 - 을 더 포함할 수 있다.
즉, 제4동작은 '디바이스 네임'의 길이가 미리 정한 기준보다 길어지는 정도에 따라서 위험도를 다르게 증가시킬 수 있다. 예를 들면, 미리 정한 기준이 한글 10자리인 경우, 위험도를 계산하는 단계(S105)는 '디바이스 네임'의 길이가 24자 이상이고 50자 미만이면 위험도를 3을 증가시키고, '디바이스 네임'의 길이가 50자 이상이면 위험도를 5를 증가시키도록 수행될 수 있다.
예를 들면, 위험도를 계산하는 단계(S105)는, 탐색 단계(S103)의 수행결과, 제1시간대에서 수집된 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)에 포함된 정보들과 제2시간대에서 수집된 블루투스 패킷들(PACKET'_A, PACKET'_B, PACKET'_C, PACKET'_D, ...)에 포함된 정보들의 차이가 있으면, 즉, 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)에 포함된 정보들이 시간대가 달라짐에 따라 변경된 디바이스가 존재하면, 그처럼 정보가 변경된 디바이스에 대하여 위험도를 증가시키는 동작 - 제5동작 -을 더 포함할 수 있다. 예를 들면, 제5동작은, 정보가 변경된 디바이스에 대하여 그 위험도를 10 증가시키는 동작일 수 있다. 여기서, 변경의 대상이 되는 정보는, 예를 들면 '디바이스 네임', '맥 어드레스', '블루투스 연결 상태' , '기기 타입'(Class Of Device), '디바이스 지원 서비스', '블루투스 타입', '신호세기'(RSSI), 및 '제조사 데이터' 중 어느 하나일 수 있다.
예를 들면, 위험도를 계산하는 단계(S105)는, 탐색 단계(S103)의 수행결과, 수집된 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)의 'RSSI' 값이 미리 설정된 기준값보다 작은 디바이스에 대하여, 그 위험도를 증가시킨다. 예를 들면, 위험도가 3 증가될 수 있다.
예를 들면, 탐색 단계(S103)는, 탐색 단계(S103)의 수행결과, 수집된 블루투스 패킷들(PACKET_A, PACKET_B, PACKET_C, PACKET_D, ...)의 'RSSI' 값이 미리 설정된 변화값보다 큰 디바이스에 대하여, 그 위험도를 증가시킨다. 예를 들면, 위험도가 3 증가될 수 있다.
예를 들면, 위험도를 계산하는 단계(S105)에서, 위험도를 증가시킬때의 수치들(예를 들면, 3, 10)은 예시적인 것으로 이와 다른 수치가 적용되는 것도 가능할 것이다.
이와 같이 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 상술한 명세서의 기재로부터 다양한 수정 및 변형이 가능하다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니되며 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
10: 블루투스 보안 위협 탐지 시스템 200: 사용자 단말장치
201: 프로세서
202: 블루투스 보안 위협 탐지 프로그램 203: 메모리
205: 영구 저장 장치 207: 입출력 인터페이스
209: 네트워크 인터페이스 211: 버스

Claims (6)

  1. 컴퓨터에 블루투스 보안 위협 탐지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체에 있어서,
    상기 블루투스 보안 위협 탐지 방법은
    디바이스들로부터 전송되는 블루투스 패킷들을 수집하는 단계;
    수집한 상기 블루투스 패킷들 중에서 동일한 시간대에 수집된 블루투스 패킷들에 포함된 정보들을 서로 비교하여, '디바이스 네임'이 서로 동일한 블루투스 패킷 - 디바이스 네임 중복 블루투스 패킷 - 들이 있는지를 찾는 동작을 포함하는 탐색 단계; 및
    상기 탐색 단계의 결과에 기초하여, 상기 블루투스 패킷들을 전송한 디바이스들 각각에 대하여, 위험한 디바이스의 정도를 나타내는 지수 - 위험도 - 를 계산하는 단계;를 포함하며,
    상기 위험도를 계산하는 단계는, 상기 디바이스 네임 중복 블루투스 패킷을 전송한 디바이스 - 디바이스 네임 중복 디바이스 - 들 중에 적어도 어느 하나의 디바이스에 대한 위험도를 증가시키는 동작 - 제1동작- 을 포함하는 것인,
    컴퓨터에 블루투스 보안 위협 탐지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체.
  2. 제1항에 있어서,
    상기 탐색 단계는,
    상기 블루투스 패킷들 중에서 동일한 시간대에 수집된 블루투스 패킷들에 포함된 정보들을 서로 비교하여, '제조사'가 서로 동일한 블루투스 패킷 - 제조사 중복 블루투스 패킷 - 들이 있는지를 찾는 동작과,
    상기 블루투스 패킷들 중에서 동일한 시간대에 수집된 블루투스 패킷들에 포함된 정보들을 비교하여, '맥 어드레스'가 서로 동일한 블루투스 패킷 - 맥 어드레스 중복 블루투스 패킷 - 들이 있는지를 찾는 동작 중 적어도 어느 하나의 동작을 더 포함하며,
    상기 '제조사'는 상기 디바이스들에 설치된 블루투스 통신을 위한 무선 랜카드의 제조사를 의미하고, 상기 '맥 어드레스'는 상기 무선 랜카드에 할당된 고유 식별자를 의미하는 것인,
    컴퓨터에 블루투스 보안 위협 탐지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체.
  3. 제1항에 있어서,
    상기 탐색 단계는,
    상기 디바이스 네임 중복 디바이스들 중에서 '기기 타입'이 퍼스널 컴퓨터인 디바이스를 찾는 동작을 더 포함하며,
    상기 제1동작은, 상기 디바이스 네임 중복 디바이스들 중에서, '기기 타입'이 퍼스널 컴퓨터인 디바이스에 대한 위험도를 증가시키는 것인,
    컴퓨터에 블루투스 보안 위협 탐지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체.
  4. 제2항에 있어서,
    상기 탐색 단계는,
    상기 제조사 중복 블루투스 패킷을 전송한 디바이스들 중에서 '기기 타입'이 퍼스널 컴퓨터인 디바이스를 찾는 동작과, 상기 맥 어드레스 중복 블루투스 패킷을 전송한 디바이스들 중에서 '기기 타입'이 퍼스널 컴퓨터인 디바이스를 찾는 동작 중 적어도 하나의 동작을 더 포함하며,
    상기 위험도를 계산하는 단계는,
    상기 제조사 중복 블루투스 패킷을 전송한 디바이스들 중에서, '기기 타입'이 퍼스널 컴퓨터인 디바이스에 대한 위험도를 증가시키는 동작 - 제2동작 -과,
    상기 맥 어드레스 중복 블루투스 패킷을 전송한 디바이스들 중에서, '기기 타입'이 퍼스널 컴퓨터인 디바이스에 대한 위험도를 증가시키는 동작 - 제3동작 - 중에서 적어도 하나의 동작을 더 포함하는 것인,
    컴퓨터에 블루투스 보안 위협 탐지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체.
  5. 제1항에 있어서,
    상기 탐색 단계는, 수집한 상기 블루투스 패킷들에 포함된 정보들에서 '디바이스 네임'이 미리 정한 기준보다 긴 디바이스를 찾는 동작을 더 포함하며,
    상기 위험도를 계산하는 단계는, 미리 정한 기준보다 긴 '디바이스 네임'을 가진 디바스에 대한 위험도를 증가시키는 동작 - 제4동작- 을 더 포함하는 것인,
    컴퓨터에 블루투스 보안 위협 탐지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체.
  6. 제1항에 있어서,
    상기 수집하는 단계는,
    제1시간 대역에 상기 디바이스들로부터 전송되는 블루투스 패킷들을 수집하는 동작과, 제1시간대와 다른 제2시간대에 상기 디바이스들로부터 전송되는 블루투스 패킷들을 수집하는 동작을 포함하고,
    상기 탐색 단계는, 제1시간대에 수집된 블루투스 패킷들에 포함된 정보들과, 제2시간대에 수집된 블루투스 패킷들에 포함된 정보를 비교하여, 정보의 변경이 있는 디바이스를 찾는 동작을 더 포함하며,
    상기 위험도를 계산하는 단계는, 상기 정보의 변경이 있는 디바이스에 대한 위험도를 증가시키는 동작 - 제5동작- 을 더 포함하는 것인,
    컴퓨터에 블루투스 보안 위협 탐지 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체.
KR1020200110495A 2019-11-14 2020-08-31 블루투스 보안 위협 탐지 시스템, 방법 및 이러한 방법을 컴퓨터에 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체 KR20210058639A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200110495A KR20210058639A (ko) 2019-11-14 2020-08-31 블루투스 보안 위협 탐지 시스템, 방법 및 이러한 방법을 컴퓨터에 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020190146021 2019-11-14
KR1020200110495A KR20210058639A (ko) 2019-11-14 2020-08-31 블루투스 보안 위협 탐지 시스템, 방법 및 이러한 방법을 컴퓨터에 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020190146021 Division 2019-11-14 2019-11-14

Publications (1)

Publication Number Publication Date
KR20210058639A true KR20210058639A (ko) 2021-05-24

Family

ID=71842582

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200110495A KR20210058639A (ko) 2019-11-14 2020-08-31 블루투스 보안 위협 탐지 시스템, 방법 및 이러한 방법을 컴퓨터에 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체

Country Status (3)

Country Link
EP (1) EP3823326B1 (ko)
KR (1) KR20210058639A (ko)
CN (1) CN112804668A (ko)

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060165073A1 (en) * 2004-04-06 2006-07-27 Airtight Networks, Inc., (F/K/A Wibhu Technologies, Inc.) Method and a system for regulating, disrupting and preventing access to the wireless medium
US7907900B2 (en) * 2007-09-07 2011-03-15 Motorola Mobility, Inc. Method and apparatus that mitigates the effects of bluetooth-based denial of service attacks against mobile devices
US9525689B2 (en) * 2014-03-25 2016-12-20 Symbol Technologies, Llc Detection of an unauthorized wireless communication device
CN104270366B (zh) * 2014-09-30 2017-09-29 北京金山安全软件有限公司 检测karma攻击的方法及装置
US9582975B2 (en) * 2015-01-27 2017-02-28 Honeywell International Inc. Alarm routing in integrated security system based on security guards real-time location information in the premises for faster alarm response
EP3148237A1 (en) * 2015-09-28 2017-03-29 Alcatel Lucent Monitoring of attacks on bluetooth beacon devices
US10038705B2 (en) * 2015-10-12 2018-07-31 Dell Products, L.P. System and method for performing intrusion detection in an information handling system
KR102389576B1 (ko) * 2016-01-08 2022-04-22 삼성전자주식회사 무선 통신 시스템에서 위조 광고자 검출 장치 및 방법
CN106851540B (zh) * 2017-02-08 2019-11-15 飞天诚信科技股份有限公司 一种蓝牙配对的实现方法及装置
US20190166502A1 (en) * 2017-11-29 2019-05-30 Mojo Networks, LLC. Security monitoring for wireless sensor nodes
CN108430063B (zh) * 2018-04-13 2021-11-19 上海尚往网络科技有限公司 一种用于监测无线局域网中arp欺骗的方法与设备
CN109104717A (zh) * 2018-11-14 2018-12-28 四川科道芯国智能技术股份有限公司 蓝牙配对方法、蓝牙设备及蓝牙模块
CN109525580A (zh) * 2018-11-19 2019-03-26 南京邮电大学 一种基于蓝牙高威胁远程执行代码漏洞的防范方法

Also Published As

Publication number Publication date
CN112804668A (zh) 2021-05-14
EP3823326B1 (en) 2023-05-10
EP3823326A1 (en) 2021-05-19

Similar Documents

Publication Publication Date Title
US9965565B2 (en) Methods and terminals for generating and reading 2D barcode and servers
CN112492589B (zh) 一种访问设备标识符的方法及装置
US20150163232A1 (en) Method, device and system for detecting malware in a mobile terminal
TWI736123B (zh) Ble通信方法、裝置、設備及儲存媒體
KR102107132B1 (ko) 전자 장치의 억세스 포인트 접속 방법 및 그 전자 장치
JP2015511047A (ja) マルウェアを検出するコンピューティングデバイス
WO2015014259A1 (en) Method and device for accelerating anti-virus scanning cross-reference to related applications
US11275835B2 (en) Method of speeding up a full antivirus scan of files on a mobile device
CN112099979A (zh) 一种访问控制方法、装置、计算机设备和存储介质
CN114860677A (zh) 关于终端设备的文件去冗方法、终端设备及存储介质
CN114528598A (zh) 文件系统的文件完整性的确定方法、装置及电子设备
US10506544B2 (en) Method and equipment for distinguishing homonymic wireless access points
CN110413351B (zh) 一种可信免疫力检测方法
CN115640567B (zh) Tee完整性认证方法、装置、系统及存储介质
US11295016B2 (en) System and method of categorization of an application on a computing device
CN109976828B (zh) 一种配置文件的方法及装置
KR20210058639A (ko) 블루투스 보안 위협 탐지 시스템, 방법 및 이러한 방법을 컴퓨터에 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체
KR20210058497A (ko) 블루투스 보안 위협 탐지 시스템, 방법 및 이러한 방법을 컴퓨터에 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 매체
CN110753909A (zh) 服务调度方法和装置、计算机设备、计算机可读存储介质
KR101582420B1 (ko) 실행 모듈의 무결성 체크 방법 및 장치
KR102570604B1 (ko) 블루투스 중간자 공격 탐지 시스템
CN112988913A (zh) 一种数据处理方法和相关装置
EP4178244A1 (en) System for detecting mitm attack in bluetooth
US12075252B1 (en) Radio frequency capture analysis reporting
KR101366544B1 (ko) 해킹을 위한 dll 루트킷 감지 방법 및 장치