WO2021182667A1 - 무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법 - Google Patents
무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법 Download PDFInfo
- Publication number
- WO2021182667A1 WO2021182667A1 PCT/KR2020/004571 KR2020004571W WO2021182667A1 WO 2021182667 A1 WO2021182667 A1 WO 2021182667A1 KR 2020004571 W KR2020004571 W KR 2020004571W WO 2021182667 A1 WO2021182667 A1 WO 2021182667A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- access point
- specific terminal
- frame
- terminal
- wireless
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04K—SECRET COMMUNICATION; JAMMING OF COMMUNICATION
- H04K3/00—Jamming of communication; Counter-measures
- H04K3/80—Jamming or countermeasure characterized by its function
- H04K3/86—Jamming or countermeasure characterized by its function related to preventing deceptive jamming or unauthorized interrogation or access, e.g. WLAN access or RFID reading
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/02—Access restriction performed under specific conditions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04K—SECRET COMMUNICATION; JAMMING OF COMMUNICATION
- H04K2203/00—Jamming of communication; Countermeasures
- H04K2203/10—Jamming or countermeasure used for a particular application
- H04K2203/18—Jamming or countermeasure used for a particular application for wireless local area networks or WLAN
Definitions
- the present invention relates to a wireless intrusion prevention system (WIPS), a wireless network system including the same, and a method of operating the wireless network system.
- WIPS wireless intrusion prevention system
- a wireless network system for wireless Internet communication includes a wireless LAN access point (AP) and a wireless LAN terminal.
- the AP installs and uses a device called an access point device.
- WIPS Wireless Intrusion Prevention System
- the problem to be solved by the present invention is to provide a WIPS that blocks access of a specific terminal when a specific terminal accesses the AP through a protected non-authentication frame such as IEEE 802.11w technology, for example, and a wireless network system including the same. .
- a wireless network system for solving the above problems, an access point (Access Point), a plurality of terminals (Station) for transmitting and receiving a radio frame to the access point through a wireless network, and the wireless Including a wireless intrusion prevention system for monitoring a frame, wherein the wireless intrusion prevention system transmits a connection release request to a specific terminal among a plurality of terminals, and the access point responds to the specific terminal block
- the wireless intrusion prevention system may transmit a jamming signal to the access point to block the access point from responding to the specific terminal.
- the interference signal may include a clear to send (CTS) frame or a request to send (RTS) frame.
- CTS clear to send
- RTS request to send
- the interference signal may include a signal for increasing the degree of congestion of the access point.
- the jamming signal may include a spoofed packet.
- the spoofed packet may include a frame requesting a new association (Association frame), a frame requesting re-association (Re-Association frame), or a frame requesting disconnection for the current association state (Dis-Association frame).
- Association frame a frame requesting a new association
- Re-Association frame a frame requesting re-association
- Dis-Association frame a frame requesting disconnection for the current association state
- the specific terminal may transmit a protected question to the access point in response to the connection release request.
- the specific terminal instructs the access point to respond to the protected question within a first predetermined time, and the specific terminal may terminate the connection with the access point if there is no response within the first time. have.
- the specific terminal may transmit an authentication request frame to the access point.
- the wireless intrusion prevention system may transmit a deauthentication frame to the access point or the specific terminal.
- the specific terminal may be an unauthorized terminal or a terminal connected to an unauthorized attacker through a network.
- the wireless network may include IEEE 802.11w technology.
- an access point maintains a connection with a specific terminal among a plurality of terminals that transmit and receive radio frames to and from the access point through a wireless network
- an interfering signal is transmitted including the steps of
- the method of operating the wireless network system includes: transmitting, by a wireless intrusion prevention system monitoring the radio frame, a connection release request to the specific terminal; transmitting, by the specific terminal, a protected question to the access point; Instructing, by the terminal, to respond to the protected question within a first predetermined time, and, if there is no response within the first time, by the specific terminal, terminating the connection with the access point may further include.
- the method of operating a wireless network system includes, after the specific terminal terminates the connection with the access point, transmitting an authentication request frame to the access point, and after the wireless intrusion prevention system transmits the authentication request frame, The method may further include transmitting a de-authentication frame to the access point or the specific terminal.
- the method of operating a wireless network system further comprising the step of the specific terminal transmitting an access request to the access point, wherein the interference signal is that the access point transmits an access request rejection to the specific terminal, or the access It may include a signal that blocks the point from transmitting the protected question to the specific terminal.
- the method of operating a wireless network system further includes the step of, by the wireless intrusion prevention system, transmitting an access request to the access point, wherein the interference signal blocks the access point from transmitting the protected question to the specific terminal may include a signal to
- a wireless intrusion prevention system for solving the above problems, a sensing device for monitoring a radio frame transmitted and received by an access point and a plurality of terminals through a wireless network and processing information based on the radio frame and a server for determining whether the access point and the plurality of terminals are unauthorized and whether abnormal operation is performed based on the processed information, but for a specific terminal among the plurality of terminals It includes the ability to provide a signal.
- the wireless intrusion prevention system further includes a function of transmitting a de-authentication frame to the access point or the specific terminal when the specific terminal transmits an authentication request frame to request access to the access point.
- the interference signal may include a signal that blocks the access point from responding to the specific terminal or blocking transmission of a protected question.
- a connection to a specific terminal among the plurality of terminals may be released and access may be blocked.
- 1 is a block diagram showing a schematic configuration of WIPS.
- FIG. 2 is a flowchart illustrating a WIPS access blocking method.
- FIG. 3 is a conceptual diagram for explaining a connection technique in a wireless intrusion prevention system according to an embodiment of the present invention.
- FIG. 4 is a conceptual diagram for explaining a connection defense technique in a wireless intrusion prevention system according to an embodiment of the present invention.
- FIG. 5 is a conceptual diagram for explaining a connection technique in a wireless intrusion prevention system according to an embodiment of the present invention.
- FIG. 6 is a conceptual diagram illustrating a connection release defense technique in a wireless intrusion prevention system according to an embodiment of the present invention.
- FIG. 7 is a conceptual diagram for explaining a specific terminal connection release technique in a wireless intrusion prevention system according to an embodiment of the present invention.
- FIG. 8 and 9 are each a modification of FIG. 7 and are conceptual diagrams for explaining a specific terminal connection release technique.
- FIG. 10 is a conceptual diagram for explaining a specific terminal connection release technique in a wireless intrusion prevention system according to another embodiment of the present invention.
- FIG. 11 and 12 are each a modification of FIG. 10, and is a conceptual diagram showing that the embodiment of FIG. 8 or 9 is additionally applied in the wireless intrusion prevention system.
- 13 to 15 are conceptual diagrams for explaining a specific terminal connection release technique in a wireless intrusion prevention system according to another embodiment of the present invention, respectively.
- 16 is a conceptual diagram for explaining a specific terminal connection release technique in a wireless intrusion prevention system according to another embodiment of the present invention.
- the Wireless Intrusion Prevention System described below is a system that detects and blocks wireless intrusions such as rogue AP (Access Point) or DoS (Denial of Service) attacks through wireless section monitoring. am.
- the general wireless network described in this specification may refer to a wireless network to which IEEE 802.11 technology is applied, and among them, a wireless network to which a predetermined security technology is applied may refer to a wireless network to which IEEE 802.11w technology is applied.
- IEEE 802.11w is a modification technology of IEEE 802.11 that improves the security of the management frame.
- the present invention is not limited thereto, and of course, embodiments of the present invention may be applied to a wireless network to which various security technologies are applied.
- the wireless network system includes one or more basic service sets (BSS), which indicate a set of devices that can communicate with each other by successfully synchronizing.
- BSS basic service sets
- the BSS can be divided into an infrastructure BSS (infrastructure BSS) and an independent BSS (Independent BSS, IBSS).
- An access point (hereinafter referred to as an AP) is an entity that provides access to a distribution system via a wireless medium for terminals associated with it.
- AP is used as a concept including a PCP (Personal BSS Coordination Point), and broadly refers to the concept of a centralized controller, a base station (BS), a Node-B, a BTS (Base Transceiver System), or a site controller. can include all of them.
- the AP may also be referred to as a base wireless communication terminal, and the base wireless communication terminal is a term including all of an AP, a base station, an eNB (eNodeB), and a transmission point (TP) in a broad sense.
- the base wireless communication terminal may include various types of wireless communication terminals for allocating communication medium resources and performing scheduling in communication with a plurality of wireless communication terminals.
- a terminal is an arbitrary device including a medium access control (MAC) and a physical layer interface to a wireless medium that comply with the IEEE 802.11 standard, and in a broad sense, a non-access point (non- access point) It may include both an access point (AP) as well as an AP) station.
- MAC medium access control
- AP access point
- 'terminal' refers to a non-AP station, but may be used as a term to refer to both a non-AP station and an AP according to an embodiment.
- the station for wireless communication includes a processor and a transmit/receive unit, and may further include a user interface unit and a display unit according to an embodiment.
- the processor may generate a frame to be transmitted through the wireless network or process a frame received through the wireless network, and may perform various other processes for controlling the station.
- the transceiver is functionally connected to the processor and transmits and receives frames through a wireless network for the station.
- the terminal may transmit and receive frames to and from the AP through the wireless network.
- 1 is a block diagram showing a schematic configuration of WIPS.
- the WIPS 10 may include a sensing device 100 and a server 130 . Meanwhile, in a corporate network capable of simultaneously configuring a wireless network service and a sensing device, an AP controller may be additionally included if necessary.
- the operation of the WIPS 10 determining the blocking policy may be as follows.
- the sensing device 100 monitors a radio frame, and based on the monitored radio frame, the MAC address of the terminal or AP that transmitted it, security settings, frame appearance frequency, transmission rate, data amount, SSID, IEEE 802.11 a Information such as /b/g/n, channel, RSSI, etc. can be processed. In addition, the sensing device 100 may transmit the processed information to the server 130 .
- the server 130 may compare the processed information with DB (database)-formed signature information to determine whether the corresponding terminal or AP is unauthorized and whether an abnormal operation is performed.
- the signature information may include information such as header information of a radio frame or a frame occurrence frequency.
- the server 130 may determine whether the detected AP is unauthorized in two cases.
- the server 130 may determine whether the AP is an unauthorized AP based on the SSID, MAC address, and other information stored in the DB, or may determine that the AP is an unauthorized AP if the corresponding AP is not connected to the in-house wired network. In this case, the determination of whether to connect to the in-house wired network may be made in various ways. An unauthorized terminal may also be determined in a similar manner.
- the server 130 may automatically block according to a blocking policy or generate an alarm so that the administrator may manually block the block. According to the blocking decision, the server 130 may transmit a blocking target list or blocking policy information to the sensor device 100 .
- the sensor device 100 may select an AP and a terminal to be blocked by determination based on the block target list and block policy, and may block.
- blocking of the sensing device 100 based on the blocking target list and blocking policy may include the following types.
- blocking of the sensing device 100 may include blocking an AP.
- the sensing device 100 may block all terminals accessing the AP rather than a specific terminal target.
- blocking of the sensing device 100 may include blocking a terminal.
- the sensing device 100 may block the corresponding terminal.
- the sensing device 100 may block access to all APs thereof.
- blocking of the sensing device 100 may include blocking a specific AP-terminal.
- the sensing device 100 may block the connection when the authorized terminal is connected to the unlicensed AP or when the unlicensed terminal is connected to the authorized AP.
- the sensing device 100 may block only access to a designated AP and may not participate in access to other APs.
- the sensing device 100 may include a controller 105 and a communication module 125 .
- the communication module 125 may monitor the radio frame and transmit the blocking message to the terminal and the AP when generating the blocking message.
- the controller 105 may generate a blocking message related to a wireless frame received as a result of monitoring based on the blocking list and policy information related to wireless intrusion prevention. In addition, the controller 105 may control to transmit the generated blocking message to the AP and the terminal configured to transmit and receive the radio frame.
- the controller 105 may include a sensor receiving unit 110 , a sensor analyzing unit 115 , and a sensor blocking unit 120 .
- the sensor receiver 110 may control the communication module 125 to monitor radio frames in a plurality of channels.
- the sensor analyzer 115 may analyze a radio frame received as a result of monitoring to add/update information of an AP or a terminal that has transmitted the radio frame.
- the sensor analyzer 115 may generate a blocking event by determining whether the AP or the terminal violates the policy based on the blocking target list and blocking policy.
- the sensor analyzer 115 may transmit the generated blocking event to the server 130 .
- the sensor blocking unit 120 may execute the generated blocking event.
- the sensor blocking unit 120 may generate a blocking message and transmit it to the AP and the terminal configured to transmit and receive the radio frame.
- the sensor blocking unit 120 may perform blocking by generating a Deauthentication frame and transmitting it to the AP and the terminal.
- the sensor blocking unit 120 may set the address for sending the non-authentication frame as the BSSID of the AP and the receiving address as the MAC address of the terminal, and may transmit the generated address to the terminal.
- the sensor blocking unit 120 may set the address for sending the non-authentication frame as the MAC address of the terminal and the receiving address as the BSSID of the AP to generate and transmit to the AP.
- the AP and the terminal that have received the non-authentication frame transmitted from the sensing device 100 may determine that the other party has transmitted the non-authentication frame indicating termination of the connection, and may suspend the connection between each other.
- FIG. 2 is a flowchart illustrating a WIPS access blocking method.
- the server 130 may transmit wireless intrusion prevention related policy information and a block list to the sensing device 100 in step 205 .
- the sensor receiver 110 may monitor radio frames in a plurality of channels in step 210 .
- the sensor receiving unit 110 may call the sensor analyzing unit 115 to analyze the corresponding radio frame in step 215 .
- the sensor analyzer 115 may analyze the corresponding radio frame in step 220 and add or update information on the AP or the terminal that has transmitted the radio frame in step 225 . In step 230, it may be determined whether the corresponding AP or the terminal violates the policy. The sensor analyzer 115 may generate a blocking event in step 235 when it is determined that the policy is violated. The sensor analyzer 115 may transmit the blocking event information generated in step 240 to the server 130 .
- the sensor blocking unit 120 may execute the blocking event in step 250 .
- the sensor blocking unit 120 may generate an unauthenticated frame as described above and transmit it to the AP and the terminal configured to transmit and receive the radio frame.
- FIG. 3 is a conceptual diagram for explaining a connection technique in a wireless intrusion prevention system according to an embodiment of the present invention.
- connection technique may be performed when the terminal 30 loses the encryption key.
- the terminal 30 may lose the encryption key due to a specific reason ( S101 ).
- the specific reason may include resetting or rebooting the terminal 30 .
- the terminal 30 may be in a state in which the encryption and key are lost (S101).
- the terminal 30 may request access to the AP 20 ( S102 ). At this time, since the terminal 30 has lost all encryption keys, it may transmit an unprotected access request frame to the AP 20 .
- the AP 20 Since the AP 20 still determines that the terminal 30 has a valid connection using the encryption key, it rejects the connection request of the terminal 30 and instructs it to try again after a predetermined first time (S103).
- the AP 20 may perform a check ( S104 ) to determine whether such an access request ( S102 ) is an attack.
- the mechanism of the check ( S104 ) may include a Security Association (SA) query step.
- SA Security Association
- the SA query step may include the AP 20 transmitting at least one Protected Security Association Query to the terminal 30 .
- the AP 20 If the AP 20 does not respond until the response time (second time) of the terminal 30 predetermined by the SA query step elapses, the AP 20 sends the AP 20 to the existing terminal 30 .
- the connection disconnection is transmitted (S105), and the encryption key that is no longer valid may be discarded.
- the terminal 30 may transmit a (re)connection request frame to the AP 20 (S106). Thereafter, the AP 20 permits the access of the terminal 30 ( S107 ), and the AP 20 and the terminal 30 may be connected to each other ( S108 ).
- FIG. 4 is a conceptual diagram for explaining a connection defense technique in a wireless intrusion prevention system according to an embodiment of the present invention.
- connection defense technique may be performed when an attacker attempts to access the AP 20 .
- the AP 20 and the terminal 30 may be connected to each other ( S200 ).
- the attacker 40 may request access to the AP 20 ( S201 ).
- the attacker 40 may include an unauthorized terminal and a terminal 30 that can be substantially viewed as an unauthorized terminal as the terminal 30 controlled from the outside.
- the AP 20 Since the AP 20 still determines that the terminal 30 has a valid connection using the encryption key, it rejects the access request of the attacker 40 and instructs it to try again after a predetermined third time (S202). can
- the AP 20 may perform a check to determine whether such an access request is an attack.
- the AP 20 may transmit (S203a, S203b) a protected question to the attacker 40 and the terminal 30, respectively.
- the AP 20 may transmit each protected question to the attacker 40 and the terminal 30 at the same time, but the transmission time (order) of the protected question is not limited thereto.
- the terminal 30 may respond with a protected answer to the AP 20 in response to the protected question (S204).
- the AP 20 may determine the request of the attacker 40 as a disguised association request, and ignore the access request of the attacker 40 ( S205 ).
- FIG. 5 is a conceptual diagram for explaining a connection technique in a wireless intrusion prevention system according to an embodiment of the present invention.
- connection scheme may be performed when the AP 20 loses an encryption key.
- the AP 20 may lose the encryption key due to a specific reason ( S301 ).
- the specific reason may include resetting or rebooting the AP 20 .
- the AP 20 may be in a state in which the password and key are lost (S301).
- the mechanism of the inspection may include a Security Association (SA) query step.
- SA query step may include the terminal 30 transmitting at least one protected question (SA query) to the AP 20 ( S304 ).
- the terminal 30 determines that the connection with the AP 20 has been released, and the AP 20 is not valid. You can discard an encryption key that is not yet available.
- the terminal 30 transmits an unprotected question to the AP 20 (S305), and when the AP 20 responds to the unprotected answer to the terminal 30 in response (S306), the AP 20 ) and the terminal 30 may be connected to each other.
- FIG. 6 is a conceptual diagram illustrating a connection release defense technique in a wireless intrusion prevention system according to an embodiment of the present invention.
- connection release defense technique may be performed in order to prevent the attacker 40 from disconnecting the terminal 30 from the terminal 30 connected to the AP 20 .
- the AP 20 and the terminal 30 may maintain a connection with each other ( S401 ).
- the attacker 40 may request the terminal 30 to disconnect ( S402 ).
- the attacker 40 may transmit the above disconnection request ( S402 ) to the terminals 30 .
- the terminal 30 may perform a check to determine whether it is an attack.
- the terminal 30 may transmit at least one protected question to the AP 20 ( S403 ). Since the AP 20 and the terminal 30 are effectively connected to each other, the AP 20 may respond ( S404 ) with a protected answer to the terminal 30 .
- the terminal 30 may determine that the request for disconnection of the attacker 40 is an attack, ignore the request for disconnection from the attacker 40 , and maintain the connection with the AP 20 .
- FIG. 7 is a conceptual diagram for explaining a specific terminal connection release technique in a wireless intrusion prevention system according to an embodiment of the present invention.
- the specific terminal 31 connection release technique releases the connection of an unauthorized specific terminal 31 or, as shown, is controlled by the attacker 40 among a plurality of terminals connected to the AP 20 and is substantially It may be performed in the case of releasing the connection of a specific terminal 31 that can be viewed as an unauthorized terminal.
- the term 'specific terminal 31' refers to at least some terminals 30 targeted for disconnection among a plurality of terminals 30 connected to the AP 20 .
- the specific terminal 31 may be connected to the attacker 40 through a network.
- a wireless network system may include an AP 20 , terminals 30 including a specific terminal 31 , and a WIPS 10 .
- the AP 20 may be connected to a plurality of terminals 30 , and a connection between the AP 20 and the specific terminal 31 may be maintained ( S501 ).
- the specific terminal 31 may be an unauthorized terminal or may include a terminal 30 that can be viewed as an unauthorized terminal in a state S500 controlled by the attacker 40 .
- the WIPS 10 may transmit a connection release request to a plurality of terminals 30 connected to the AP 20 .
- a connection release request (S502) may also be transmitted to the specific terminal 31 .
- the connection release request S502 may include a forged frame.
- the forged frame includes a frame requesting a new association (Association frame), a frame requesting re-association (Re-Association frame), or a frame requesting disconnection of the current connection state (Dis-Association frame) and It may contain the same spoofed packet.
- the specific terminal 31 may perform a check to determine whether the received AP 20 and the connection release request ( S502 ) is an attack. That is, the specific terminal 31 may retry mutual authentication with the AP 20 .
- the specific terminal 31 may transmit a protected question to the AP 20 ( S503 ).
- the specific terminal 31 may transmit the protected question to the AP 20 ( S503 ) multiple times.
- the WIPS 10 may prevent the AP 20 from responding to the specific terminal 31 ( S504 ).
- the WIPS 10 may transmit the interference signal to the AP 20 and/or the specific terminal 31 .
- the AP 20 should respond to the protected question sent to the specific terminal 31, but the AP 20 may be blocked from responding to the specific terminal 31 by the interruption (S504) (S505). have.
- the specific terminal 31 since the specific terminal 31 does not receive a response from the AP 20 within the fifth predetermined time period, the specific terminal 31 may release the connection with the AP 20 after the fifth predetermined time period. Accordingly, the specific terminal 31 may terminate the connection with the AP 20 ( S506 ).
- FIG. 8 and 9 are each a modification of FIG. 7 and are conceptual diagrams for explaining a specific terminal connection release technique.
- the WIPS 10 may interfere with the channel through CST frame and/or RTS frame transmission ( S504a ) in order to prevent the AP 20 from responding to a specific terminal 31 .
- a terminal performing wireless LAN communication checks whether a channel is busy by performing carrier sensing before transmitting data. If a radio signal of a predetermined strength or higher is detected, it is determined that the corresponding channel is busy, and the terminal delays access to the corresponding channel. This process is called clear channel assessment (CCA), and the level at which a corresponding signal is detected is called a CCA threshold. If a radio signal greater than the CCA threshold value received by the terminal has the corresponding terminal as a receiver, the terminal processes the received radio signal. On the other hand, when no radio signal is detected in the corresponding channel or a radio signal having an intensity smaller than the CCA threshold is detected, the channel is determined to be in an idle state.
- CCA clear channel assessment
- each terminal having data to transmit performs a backoff procedure after a time of InterFrame Space (IFS), such as AIFS (Arbitration IFS), PIFS (PCF IFS), etc. according to the situation of each terminal.
- IFS InterFrame Space
- the AIFS may be used as a configuration to replace the existing DIFS (DCF IFS).
- DIFS DIFS
- Each terminal waits while decreasing the slot time as much as a random number assigned to the corresponding terminal during the interval of the idle state of the channel, and the terminal that has exhausted all the slot time attempts access to the corresponding channel will do In this way, a period in which each terminal performs a backoff procedure is referred to as a contention window period.
- the terminal may transmit data through the channel.
- the collided terminals receive a new random number and perform the backoff procedure again.
- the random number newly allocated to each terminal may be determined within a range twice the range of random numbers previously allocated to the corresponding terminal.
- each terminal attempts to access by performing the backoff procedure again in the next contention window period, and at this time, each terminal performs the backoff procedure from the remaining slot time in the previous contention window period. In this way, each terminal performing wireless LAN communication can avoid collision with each other for a specific channel.
- Terminals compete for the right to transmit data.
- each terminal having data to transmit performs the backoff procedure while decreasing the random number backoff counter (or backoff timer) assigned to each terminal after the AIFS time elapses.
- the terminal whose backoff counter has expired transmits a Request to Send (RTS) frame to notify that the terminal has data to transmit.
- the RTS frame includes information such as a receiver address, a transmitter address, and a duration.
- the AP 20 waits for the SIFS (Short IFS) time and then transmits a CTS (Clear to Send) frame to inform the specific terminal 31 that data transmission is possible.
- the CTS frame includes information such as a receiver address and duration. In this case, the receiver address of the CTS frame may be set to be the same as the transmitter address of the corresponding RTS frame, that is, the address of the specific terminal 31 .
- the AP 20 receiving the CTS frame transmits data after the SIFS time.
- the AP 20 transmits an acknowledgment (ACK) frame after the SIFS time to inform that the data transmission is complete.
- ACK acknowledgment
- the transmitting terminal considers that the data transmission is successful.
- the peripheral terminals 30 that have received at least one of the RTS frame and the CTS frame during the transmission process set a Network Allocation Vector (NAV), and do not perform data transmission until the set NAV expires.
- NAV Network Allocation Vector
- the NAV of each terminal may be set based on the duration field of the received RTS frame or CTS frame.
- the specific terminal 31 may transmit a protected question to the AP 20 ( S503 ), and may instruct the AP 20 to respond within a sixth predetermined time.
- the WIPS 10 may collect that a specific terminal 31 transmits a protected question to the AP 20 ( S503 ). Correspondingly, the WIPS 10 may transmit the CST frame and/or the RTS frame to the AP 20 and/or the specific terminal 31 ( S504a ).
- the AP 20 must respond within the sixth time to the protected question received from the specific terminal 31, but by receiving the CST frame and/or RTS frame from the WIPS 10, until the set NAV expires Data transmission may not be performed. That is, the AP 20 may be blocked from responding to the specific terminal 31 within the sixth time ( S505 ). Accordingly, the specific terminal 31 may determine that the transmission of the connection release request from the WIPS 10 (S502) is correct, and terminate the connection with the AP 20 (S506).
- the WIPS 10 increases the level of congestion for the AP 20 and/or the specific terminal 31 ( S504b ) in order to prevent the AP 20 from responding to the specific terminal 31 . It can interfere with the channel.
- the WIPS 10 collects that the specific terminal 31 transmits (S503) a protected question to the AP 20, and in response, the AP 20 and/or the specific terminal 31 It is possible to increase the degree of congestion (S504b).
- the WIPS 10 is a frame requesting a new connection (Association frame), a frame requesting re-association (Re-Association frame), or a frame requesting disconnection of the current connection state (Dis-Association frame) By generating a plurality of spoofed packets including
- the WIPS 10 increases the degree of congestion by adjusting the bit rate of the signal transmitted by the AP 20 or adjusting the transmission delay time to the AP 20 and the specific terminal 31 ). It may lead to mutual authentication failure between the two.
- the WIPS 10 increases the degree of congestion in the AP 20 and/or the specific terminal 31 ( S504 ), and the connection between the AP 20 and the specific terminal 31 connected by IEEE 802.11w is terminated ( S506 ). can be induced.
- FIG. 10 is a conceptual diagram for explaining a specific terminal connection release technique in a wireless intrusion prevention system according to another embodiment of the present invention.
- the WIPS 10 further includes the step of transmitting a connection blockade (S508) command to the AP 20 and/or a specific terminal 31. have.
- S508 connection blockade
- the specific terminal 31 may request access to the AP 20 again ( S507 ). For example, the specific terminal 31 may transmit an authentication request frame to the AP 20 .
- the WIPS 10 transmits a management frame, such as a deauthentication frame, to the AP 20 and/or in response to the specific terminal 31 transmitting the authentication request frame to the AP 20 . It can be transmitted to a specific terminal (31). Accordingly, the connection between the specific terminal 31 and the AP 20 may fail.
- a management frame such as a deauthentication frame
- FIG. 11 and 12 are each a modification of FIG. 10, and is a conceptual diagram showing that the embodiment of FIG. 8 or 9 is additionally applied in the wireless intrusion prevention system.
- the WIPS 10 interrupts the channel through CST frame and/or RTS frame transmission (S504a) in order to prevent the AP 20 from responding to the specific terminal 31, or
- the channel may be disturbed through an increase in the degree of congestion for the AP 20 and/or the specific terminal 31 ( S504b ).
- connection blockage (S508) command such as a deauthentication frame may be transmitted to the AP 20 and/or the specific terminal 31 to induce connection failure between the specific terminal 31 and the AP 20 .
- 13 to 15 are conceptual diagrams for explaining a specific terminal connection release technique in a wireless intrusion prevention system according to another embodiment of the present invention, respectively.
- the specific terminal 31 may lose the encryption key due to a specific reason ( S101 ).
- the specific terminal 31 may request access to the AP 20 ( S603 ). At this time, since the specific terminal 31 has lost all encryption keys, it may transmit an unprotected access request frame to the AP 20 .
- the AP 20 Since the AP 20 still determines that the specific terminal 31 has a valid connection using the encryption key, it rejects the connection request of the specific terminal 31 and instructs to try again after a predetermined seventh time (S604a) )can do. According to an embodiment, a protected question may be transmitted together (S604b).
- the specific terminal 31 may transmit a reconnection request frame to the AP 20 ( S605 ).
- the WIPS 10 may prevent the AP 20 from transmitting the protected question to the specific terminal 31 in response to the reconnection request frame ( S606a ).
- the WIPS 10 may transmit a jamming signal to the AP 20 and/or the specific terminal 31 .
- the AP 20 should transmit the protected question to the specific terminal 31 in response to the reconnection request frame, but the AP 20 transmits the protected question to the specific terminal 31 by the interruption S606a. It may be blocked (S607a).
- connection between the AP 20 and the specific terminal 31 may be terminated ( S608 ).
- the WIPS 10 prevents the AP 20 from transmitting a protected question in response to a frame requesting access to a specific terminal 31 ( S603 ) ( S606b ) can do.
- the WIPS 10 may transmit a disturbance signal to the AP 20 and/or the specific terminal 31 .
- the AP 20 should transmit the protected question to the specific terminal 31 in response to the access request frame, but the AP 20 transmits the protected question to the specific terminal 31 by the interruption S606b. It may be blocked (S604c).
- the AP 20 may also block the transmission of an instruction to reject the access request of the specific terminal 31 and try again after a predetermined seventh time period.
- connection between the AP 20 and the specific terminal 31 may be terminated ( S608 ).
- the WIPS 10 prevents the AP 20 from transmitting a protected question in response to a frame requesting access to the specific terminal 31 (S603) (S606b) can do.
- the WIPS 10 may transmit a disturbance signal to the AP 20 and/or the specific terminal 31 .
- the AP 20 should transmit the protected question to the specific terminal 31 in response to the access request frame, but the AP 20 transmits the protected question to the specific terminal 31 by the interruption S606b. It may be blocked (S604c).
- the AP 20 may also block the transmission of an instruction to reject the access request of the specific terminal 31 and try again after a predetermined seventh time period.
- the WIPS 10 may again prevent the AP 20 from transmitting the protected question to the specific terminal 31 in response to the reconnection request frame ( S606a ).
- the WIPS 10 may transmit a disturbance signal to the AP 20 and/or the specific terminal 31 .
- the AP 20 should transmit the protected question to the specific terminal 31 in response to the reconnection request frame, but the AP 20 transmits the protected question to the specific terminal 31 by the interruption S606a. It may be blocked (S607a).
- connection between the AP 20 and the specific terminal 31 may be terminated ( S608 ).
- At least one of the interference signals described for example with reference to FIGS. 9 and 10 may be applied to the interference signal described above with reference to FIGS. 13 to 15 .
- 16 is a conceptual diagram for explaining a specific terminal connection release technique in a wireless intrusion prevention system according to another embodiment of the present invention.
- the AP 20 and the specific terminal 31 may be connected to each other ( S701 ).
- the WIPS 10 may request access to the AP 20 ( S702 ).
- the AP 20 Since the AP 20 still determines that the specific terminal 31 has a valid connection using the encryption key, it rejects the access request of the WIPS 10 and instructs it to try again after a predetermined eighth time (S703) can do.
- the AP 20 must transmit a protected question to the WIPS 10 and the specific terminal 31, respectively, in order to perform a check to check whether such an access request is an attack, but this is a WIPS ( 10) can be blocked.
- the WIPS 10 may transmit an interference signal to the AP 20 and/or a specific terminal 31 ( S703a ).
- the AP 20 may be blocked from transmitting the protected question to the WIPS 10 and/or the specific terminal 31 by the interference signal (S704a).
- connection between the AP 20 and the specific terminal 31 may be terminated (S705).
- At least one of the interference signals described for example with reference to FIGS. 9 and 10 may be applied to the interference signal described above in FIG. 16 .
- the WIPS 10 may release the connection of the specific terminal 31 , which can be viewed as a substantially unlicensed terminal connected to the AP 20 .
- the WIPS 10 may target a specific terminal among all terminals connected to the AP 20 through a wireless network to which the IEEE 802.11w technology is applied and release the connection.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법이 제공된다. 그 중 무선 침입 방지 시스템은, 액세스 포인트, 상기 액세스 포인트에 무선 네트워크를 통해 무선 프레임을 송수신하는 복수의 단말들, 및 상기 무선 프레임을 모니터링 하는 무선 침입 방지 시스템을 포함하되, 상기 무선 침입 방지 시스템은 복수의 단말들 중 특정 단말에게 연결 해제 요청을 전송하고, 상기 액세스 포인트가 상기 특정 단말에게 응답하는 것을 차단한다.
Description
본 발명은 무선 침입 방지 시스템(WIPS), 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법에 관한 것이다.
인터넷의 급속한 발전과 보급으로 네트워크 환경은 점점 거대해지고 있으며, 인터넷의 간편하고 편리한 네트워크 접속과 제공하고 있는 다양한 서비스로 인하여 그 형태가 복잡해지고 있다. 그러나 인터넷 상에서의 바이러스, 해킹, 시스템 침입, 시스템 관리자 권한 획득, 침입사실 은닉, 서비스 거부공격 등과 같은 다양한 형태의 네트워크 공격으로 인해 인터넷은 항상 해킹의 위험에 노출되어 인터넷에 대한 침해가 증가하고 있고, 공공기관과 사회기반시설 및 금융 기관은 피해 규모가 점점 증가하며 그 영향력이 크다. 이러한 인터넷 보안문제를 해결하기 위해 바이러스 백신, 방화벽, 통합 보안 관리, 침입탐지시스템 등의 네트워크 보안 기술의 필요성이 대두되고 있다.
무선 인터넷 통신을 위한 무선 네트워크 시스템은 무선랜 액세스 포인트(Wireless LAN Access Point, AP)와 무선랜 단말을 포함한다. AP는 액세스 포인트 장치라는 장비를 설치하여 사용하고 있다.
최근에는 유선과 무선을 이용한 통합형 네트워크 시스템이 널리 개발되고 적용되고 있다. 유선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것도 어렵지만, 무선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것은 더 어렵다. 이를 해결하기 위해 침입 차단 시스템(Wireless Intrusion Prevention System, WIPS)이 개발되고 있는 상황이다. WIPS는 무선 구간 모니터링을 통해 비인가(rouge) AP 또는 DoS (Denial of Service) 공격 등의 무선 침입을 탐지 및 차단하는 시스템이다.
본 발명이 해결하려는 과제는, 예컨대 IEEE 802.11w 기술과 같이 보호된 비인증 프레임을 통해 AP에 특정 단말이 접속하는 경우, 특정 단말의 접속을 차단하는 WIPS, 이를 포함하는 무선 네트워크 시스템을 제공하고자 하는 것이다.
본 발명의 과제들은 이상에서 언급한 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 무선 네트워크 시스템은, 액세스 포인트(Access Point), 상기 액세스 포인트에 무선 네트워크를 통해 무선 프레임을 송수신하는 복수의 단말(Station)들, 및 상기 무선 프레임을 모니터링 하는 무선 침입 방지 시스템(wireless intrusion prevention system)을 포함하되, 상기 무선 침입 방지 시스템은 복수의 단말들 중 특정 단말에게 연결 해제 요청을 전송하고, 상기 액세스 포인트가 상기 특정 단말에게 응답하는 것을 차단한다.
상기 무선 침입 방지 시스템은 상기 액세스 포인트에게 상기 액세스 포인트가 상기 특정 단말에게 응답하는 것을 차단하기 위해 방해 신호를 전송할 수 있다.
상기 방해 신호는 CTS(Clear to Send) 프레임 또는 RTS(Request to Send) 프레임을 포함할 수 있다.
상기 방해 신호는 상기 액세스 포인트의 혼잡도를 증가시키기 위한 신호를 포함할 수 있다.
상기 방해 신호는 위장된 패킷을 포함할 수 있다.
상기 위장된 패킷은 새로운 연결을 요쳥하는 프레임(Association frame), 재연결을 요청하는 프레임(Re-Association frame), 또는 현재 연결 상태에 대한 연결 해제를 요쳥하는 프레임(Dis-Association frame)을 포함할 수 있다.
상기 특정 단말은 상기 연결 해제 요청에 응답하여 상기 액세스 포인트에게 보호된 질문을 전송할 수 있다.
상기 특정 단말은 상기 액세스 포인트에게 소정의 제1 시간 내에 상기 보호된 질문에 대해 응답할 것을 지시하고, 상기 특정 단말은 상기 제1 시간 내에 상기 응답이 없는 경우, 상기 액세스 포인트와 연결을 종료할 수 있다.
상기 특정 단말은 상기 액세스 포인트와 연결이 종료된 이후, 상기 액세스 포인트에게 인증 요청 프레임(authentication request frame)을 전송할 수 있다.
상기 무선 침입 방지 시스템은 상기 인증 요청 프레임이 전송된 이후, 상기 액세스 포인트 또는 상기 특정 단말에게 인증해제 프레임(deauthentication frame)을 전송할 수 있다.
상기 특정 단말은 비인가된 단말, 또는 비인가된 공격자와 네트워크를 통해 연결된 단말일 수 있다.
상기 무선 네트워크는 IEEE 802.11w기술이 포함될 수 있다.
상기 과제를 해결하기 위한 본 발명의 다른 실시예에 따른 무선 네트워크 시스템의 작동 방법은, 액세스 포인트가 상기 액세스 포인트에 무선 네트워크를 통해 무선 프레임을 송수신하는 복수의 단말 중 특정 단말과 연결을 유지하는 단계, 상기 무선 프레임을 모니터링 하는 무선 침입 방지 시스템이 상기 액세스 포인트가 상기 특정 단말에게 응답하는 것을 차단하거나, 또는 상기 액세스 포인트가 상기 특정 단말에게 보호된 질문을 전송하는 것을 차단하기 위해, 방해 신호를 전송하는 단계를 포함한다.
상기 무선 네트워크 시스템의 작동 방법은, 상기 무선 프레임을 모니터링 하는 무선 침입 방지 시스템이 상기 특정 단말에게 연결 해제 요청을 전송하는 단계, 상기 특정 단말이 상기 액세스 포인트에게 보호된 질문을 전송하는 단계, 상기 특정 단말이 상기 액세스 포인트에게 소정의 제1 시간 내에 상기 보호된 질문에 대해 응답할 것을 지시하는 단계, 및 상기 제1 시간 내에 상기 응답이 없는 경우, 상기 특정 단말이 상기 액세스 포인트와 연결을 종료하는 단계를 더 포함할 수 있다.
무선 네트워크 시스템의 작동 방법은, 상기 특정 단말은 상기 액세스 포인트와 연결을 종료된 이후, 상기 액세스 포인트에게 인증 요청 프레임을 전송하는 단계, 및 상기 무선 침입 방지 시스템이 상기 인증 요청 프레임이 전송된 이후, 상기 액세스 포인트 또는 상기 특정 단말에게 인증해제 프레임을 전송하는 단계를 더 포함할 수 있다.
무선 네트워크 시스템의 작동 방법은, 상기 특정 단말이 상기 액세스 포인트에게 접속 요청을 전송하는 단계를 더 포함하되, 상기 방해 신호는 상기 액세스 포인트가 상기 특정 단말에게 접속 요청 거절을 전송하는 것, 또는 상기 액세스 포인트가 상기 특정 단말에게 상기 보호된 질문을 전송하는 것을 차단하는 신호를 포함할 수 있다.
무선 네트워크 시스템의 작동 방법은, 상기 무선 침입 방지 시스템이 상기 액세스 포인트에게 접속 요청을 전송하는 단계를 더 포함하되, 상기 방해 신호는 상기 액세스 포인트가 상기 특정 단말에게 상기 보호된 질문을 전송하는 것을 차단하는 신호를 포함할 수 있다.
상기 과제를 해결하기 위한 본 발명의 일 실시예에 따른 무선 침입 방지 시스템은, 액세스 포인트 및 복수의 단말들이 무선 네트워크를 통해 송수신하는 무선 프레임을 모니터링하고 상기 무선 프레임을 기반으로 정보를 가공하는 센싱 장치, 및 상기 가공된 정보를 상기 액세스 포인트 및 상기 복수의 단말들의 비인가 여부 및 이상 동작 여부를 판단하는 서버를 포함하되, 상기 복수의 단말들 중 특정 단말에 대해 상기 액세스 포인트와 연결을 종료시키기 위한 방해 신호를 제공하는 기능을 포함한다.
상기 무선 침입 방지 시스템은, 상기 특정 단말이 상기 액세스 포인트에 접속을 요청하기위해 인증 요청 프레임을 전송하면, 상기 액세스 포인트 또는 상기 특정 단말에게 인증해제 프레임을 전송하는 기능을 더 포함한다.
상기 방해 신호는 상기 액세스 포인트가 상기 특정 단말에게 응답하는 것을 차단하거나, 또는 보호된 질문을 전송하는 것을 차단하는 신호를 포함할 수 있다.
기타 실시예의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 실시예들에 의하면, 예컨대 IEEE 802.11w 기술과 같이 보호된 비인증 프레임을 통해 AP에 복수의 단말이 연결되는 경우, 복수의 단말 중 특정 단말에 대해 연결을 해제하고, 접속을 차단할 수 있다.
실시예들에 따른 효과는 이상에서 예시된 내용에 의해 제한되지 않으며, 더욱 다양한 효과들이 본 명세서 내에 포함되어 있다.
도 1은 WIPS의 개략적인 구성을 나타내는 블록도이다.
도 2는 WIPS의 접속 차단 방법을 나타내는 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 무선 침입 방지 시스템에서 연결 기법을 설명하기 위한 개념도이다.
도 4는 본 발명의 일 실시예에 따른 무선 침입 방지 시스템에서 연결 방어 기법을 설명하기 위한 개념도이다.
도 5는 본 발명의 일 실시예에 따른 무선 침입 방지 시스템에서 연결 기법을 설명하기 위한 개념도이다.
도 6는 본 발명의 일 실시예에 따른 무선 침입 방지 시스템에서 연결 해제 방어 기법을 설명하기 위한 개념도이다.
도 7은 본 발명의 일 실시예에 따른 무선 침입 방지 시스템에서 특정 단말 연결 해제 기법을 설명하기 위한 개념도이다.
도 8 및 도 9는 각각 도 7의 변형예로서, 특정 단말 연결 해제 기법을 설명하기 위한 개념도이다.
도 10은 본 발명의 다른 실시예에 따른 무선 침입 방지 시스템에서 특정 단말 연결 해제 기법을 설명하기 위한 개념도이다.
도 11 및 도 12는 각각 도 10의 변형예로서, 무선 침입 방지 시스템에서 도 8 또는 도 9의 실시예가 추가 적용된 것을 나타내는 개념도이다.
도 13 내지 도 15는 각각 본 발명의 또 다른 실시예에 따른 무선 침입 방지 시스템에서 특정 단말 연결 해제 기법을 설명하기 위한 개념도이다.
도 16은 본 발명의 또 다른 실시예에 따른 무선 침입 방지 시스템에서 특정 단말 연결 해제 기법을 설명하기 위한 개념도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
비록 제1, 제2 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
이하에서 설명하는 무선 침입 방지 시스템(Wireless Intrusion Prevention System, 이하 WIPS)은 무선 구간 모니터링을 통해 비인가(rouge) AP(Access Point) 또는 DoS(Denial of Service) 공격 등의 무선 침입을 탐지 및 차단하는 시스템이다.
본 명세서에서 기술하는 일반 무선 네트워크는 IEEE 802.11기술이 적용되는 무선 네트워크를 지칭할 수 있고, 그 중 소정 보안 기술이 적용된 무선 네트워크는 IEEE 802.11w기술이 적용된 무선 네트워크를 지칭할 수 있다. IEEE 802.11w는 관리 프레임의 보안성을 향상시킨 IEEE 802.11의 수정 기술이다. 그러나, 이에 한정되는 것은 아니고, 본 발명의 실시 예는 다양한 보안 기술이 적용된 무선 네트워크에 적용될 수 있음은 물론이다.
무선 네트워크 시스템은 하나 또는 그 이상의 베이직 서비스 세트(Basic Service Set, BSS)를 포함하는데, BSS는 성공적으로 동기화를 이루어서 서로 통신할 수 있는 기기들의 집합을 나타낸다. 일반적으로 BSS는 인프라스트럭쳐 BSS(infrastructure BSS)와 독립 BSS(Independent BSS, IBSS)로 구분될 수 있다.
액세스 포인트(Access Point, 이하 AP)는 자신에게 결합된(associated) 단말들을 위하여 무선 매체를 경유하여 분배시스템에 대한 접속을 제공하는 개체이다. AP는 PCP(Personal BSS Coordination Point)를 포함하는 개념으로 사용되며, 광의적으로는 집중 제어기, 기지국(Base Station, BS), 노드-B, BTS(Base Transceiver System), 또는 사이트 제어기 등의 개념을 모두 포함할 수 있다. 본 발명에서 AP는 베이스 무선 통신 단말로도 지칭될 수 있으며, 베이스 무선 통신 단말은 광의의 의미로는 AP, 베이스 스테이션(base station), eNB(eNodeB) 및 트랜스미션 포인트(TP)를 모두 포함하는 용어로 사용될 수 있다. 뿐만 아니라, 베이스 무선 통신 단말은 복수의 무선 통신 단말과의 통신에서 통신 매개체(medium) 자원을 할당하고, 스케줄링(scheduling)을 수행하는 다양한 형태의 무선 통신 단말을 포함할 수 있다.
단말(Station)은 IEEE 802.11 표준의 규정을 따르는 매체 접속 제어(Medium Access Control, MAC)와 무선 매체에 대한 물리층(Physical Layer) 인터페이스를 포함하는 임의의 디바이스로서, 광의로는 비 액세스 포인트(non-AP) 스테이션뿐만 아니라 액세스 포인트(AP)를 모두 포함할 수 있다. 본 명세서에서 ‘단말’은 non-AP 스테이션을 가리키나, 실시예에 따라 non-AP 스테이션 및 AP 모두 가리키는 용어로 사용될 수도 있다. 무선 통신을 위한 스테이션은 프로세서(Processor)와 송수신부(transmit/receive unit)를 포함하고, 실시예에 따라 유저 인터페이스부와 디스플레이 유닛 등을 더 포함할 수 있다. 프로세서는 무선 네트워크를 통해 전송할 프레임을 생성하거나 또는 상기 무선 네트워크를 통해 수신된 프레임을 처리하며, 그 밖에 스테이션을 제어하기 위한 다양한 처리를 수행할 수 있다. 그리고, 송수신부는 상기 프로세서와 기능적으로 연결되어 있으며 스테이션을 위하여 무선 네트워크를 통해 프레임을 송수신한다. 단말은 무선 네트워크를 통해 AP와 프레임을 송수신할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예들을 상세히 설명한다. 도면상의 동일한 구성 요소에 대해서는 동일하거나 유사한 참조 부호를 사용한다.
도 1은 WIPS의 개략적인 구성을 나타내는 블록도이다.
도 1을 참조하면, WIPS(10)는 센싱 장치(100) 및 서버(130)를 포함할 수 있다. 한편, 무선 네트워크 서비스와 센싱 장치를 동시에 구성할 수 있는 기업 네트워크에서는, 필요 시 AP 컨트롤러를 추가적으로 포함할 수 있다.
WIPS(10)가 차단 정책을 결정하는 동작은 다음과 같을 수 있다.
예컨대, 센싱 장치(100)는 무선 프레임을 모니터링하고, 모니터링한 무선 프레임을 기반으로 이를 전송한 단말 또는 AP의 MAC 주소, 보안 설정 내용, 프레임 출현 빈도, 전송 속도, 데이터 양, SSID, IEEE 802.11 a/b/g/n 등 여부, 채널, RSSI 등의 정보를 가공할 수 있다. 그리고, 센싱 장치(100)는 가공된 정보를 서버(130)로 전송할 수 있다.
서버(130)는 가공된 정보를 DB(database)화된 서명(signature) 정보와 비교하여 해당 단말 또는 AP의 비인가 여부 및 이상 동작 여부를 판단할 수 있다. 이때, 서명 정보는 무선 프레임의 헤더 정보 또는 프레임 발생 빈도 등의 정보를 포함할 수 있다.
서버(130)는 탐지된 AP의 비인가 여부를 2가지 경우로 판단할 수 있다. 서버(130)는 SSID, MAC 주소, DB에 저장된 기타 정보를 기반으로 비인가 AP 여부를 판단하거나, 해당 AP가 사내 유선망에 연결되지 않을 경우 비인가 AP로 판단할 수 있다. 이때, 사내 유선망에 연결 여부의 판단은 다양한 방법으로 이루어질 수 있다. 비인가 단말도 이와 유사한 방법으로 판단할 수 있다.
서버(130)는 해당 AP가 비인가 되었거나 이상 동작 중인 AP 또는 단말로 판단될 경우, 차단 정책에 의한 자동 차단을 실시하거나 알람을 발생시켜 관리자에 의해 수동 차단을 실시하게 할 수 있다. 차단 결정에 따라 서버(130)는 센서 장치(100)에게 차단 대상 목록 또는 차단 정책 정보룰 전송할 수 있다.
센서 장치(100)는 차단 대상 목록 및 차단 정책에 기반한 판단에 의해 차단해야 할 AP와 단말을 선택하게 되고, 차단을 실시할 수 있다.
예컨대, 차단 대상 목록 및 차단 정책에 기반한 센싱 장치(100)의 차단은 아래와 같은 종류를 포함할 수 있다.
일 예로, 센싱 장치(100)의 차단은 AP 차단을 포함할 수 있다. 이때, 센싱 장치(100)는 차단 대상 AP의 BSSID가 감지되면 특정 단말 대상이 아니고 AP에 접속하는 모든 단말을 차단할 수 있다.
다른 예로, 센싱 장치(100)의 차단은 단말 차단을 포함할 수 있다. 이때, 센싱 장치(100)는 비인가 단말로 판단되거나 해당 단말이 인가된 단말로 변조했음을 탐지했을 경우, 해당 단말을 차단할 수 있다. 해당 단말의 MAC이 나타나면 센싱 장치(100)는 이의 모든 AP로의 접속을 차단할 수 있다.
또 다른 예로, 센싱 장치(100)의 차단은 특정 AP-단말 차단을 포함할 수 있다. 이때, 센싱 장치(100)는 비인가 AP에 인가 단말이 연결되었을 경우 또는 인가 AP에 비인가 단말이 연결되었을 경우 연결을 차단할 수 있다. 센싱 장치(100)는 해당 단말 MAC이 나타나면 지정된 AP로의 접속에 대해서만 차단하고 그 외 AP의 접속에는 관여하지 않을 수 있다.
예컨대, 센싱 장치(100)는 컨트롤러(105) 및 통신 모듈(125)을 포함할 수 있다.
통신 모듈(125)은 무선 프레임을 모니터링할 수 있고, 차단 메시지 생성 시 단말 및 AP로 차단 메시지를 전송할 수 있다.
컨트롤러(105)는 무선 침입 방지와 관련한 정책 정보 및 차단 목록에 기반하여, 모니터링 결과 수신한 무선 프레임과 관련한 차단 메시지를 생성할 수 있다. 그리고, 컨트롤러(105)는 생성된 차단 메시지를, 상기 무선 프레임을 송수신하도록 설정된 AP 및 단말로 전송하도록 제어할 수 있다.
예컨대, 컨트롤러(105)는 센서 수신부(110), 센서 분석부(115) 및 센서 차단부(120)를 포함할 수 있다.
센서 수신부(110)는 통신 모듈(125)을 제어하여 복수의 채널에서 무선 프레임을 모니터링할 수 있다.
센서 분석부(115)는 모니터링 결과 수신된 무선 프레임을 분석하여 상기 무선 프레임을 송신한 AP 또는 단말의 정보를 추가/갱신할 수 있다. 센서 분석부(115)는 차단 대상 목록 및 차단 정책에 기반하여 상기 AP 또는 단말의 정책 위반 여부를 판단하여 차단 이벤트를 생성할 수 있다. 센서 분석부(115)는 생성된 차단 이벤트를 서버(130)로 전달할 수 있다.
센서 차단부(120)는 생성된 차단 이벤트를 실행할 수 있다. 센서 차단부(120)는 차단 메시지를 생성하여 상기 무선 프레임을 송수신하도록 설정됐던 AP 및 단말로 전송할 수 있다.
예컨대, AP와 단말이 서로 연결되어 있을 경우, 센서 차단부(120)는 비인증(Deauthentication) 프레임을 생성하여 이를 AP 및 단말로 전송함으로써 차단을 수행할 수 있다. 센서 차단부(120)는 비인증 프레임을 보내는 주소는 AP의 BSSID로 설정하고, 받는 주소는 단말의 MAC 주소로 설정하여 생성 후 단말에게 전송할 수 있다. 그리고, 센서 차단부(120)는 비인증 프레임을 보내는 주소는 단말의 MAC 주소로 설정하고, 받는 주소는 AP의 BSSID로 설정하여 생성 후 AP에게 전송할 수 있다. 센싱 장치(100)로부터 전송되는 비인증 프레임을 받은 AP와 단말은, 상대방이 연결 종료를 알리는 비인증 프레임을 전송하였다고 판단하여 서로간의 접속을 중지할 수 있다.
도 2는 WIPS의 접속 차단 방법을 나타내는 흐름도이다.
서버(130)는 205 단계에서 센싱 장치(100)에 무선 침입 방지 관련 정책 정보 및 차단 목록을 전송할 수 있다.
센서 수신부(110)는 210 단계에서 복수의 채널에서 무선 프레임을 모니터링할 수 있다. 모니터링 결과 무선 프레임이 수신되면, 215 단계에서 센서 수신부(110)는 센서 분석부(115)에 해당 무선 프레임 분석을 호출할 수 있다.
센서 분석부(115)는 220 단계에서 해당 무선 프레임을 분석하여, 225 단계에서 해당 무선 프레임을 송신한 AP 또는 단말 정보를 추가하거나 갱신할 수 있다. 그리고, 230 단계에서 해당 AP 또는 단말의 정책 위반 여부를 판단할 수 있다. 센서 분석부(115)는 정책 위반으로 판단되는 경우 235 단계에서 차단 이벤트를 생성할 수 있다. 센서 분석부(115)는 240 단계에서 생성된 차단 이벤트 정보를 서버(130)로 전달할 수 있다.
245 단계에서 차단 이벤트가 발생하였음이 센서 차단부(120)로 전달되면, 센서 차단부(120)는 250 단계에서 차단 이벤트를 실행할 수 있다. 센서 차단부(120)는 예컨대, 앞서 설명한 바와 같이 비인증 프레임을 생성하여 상기 무선 프레임을 송수신하도록 설정됐던 AP 및 단말로 전송할 수 있다.
도 3은 본 발명의 일 실시예에 따른 무선 침입 방지 시스템에서 연결 기법을 설명하기 위한 개념도이다.
이하의 도면들에서는 도면상 하측 방향으로 시간의 흐름에 따른 각 단계가 도시되었다.
예컨대, 연결 기법은 단말(30)이 암호화 키를 분실한 경우에 수행될 수 있다.
도 3을 참조하면, AP(20)와 단말(30)은 서로 연결되어 있다가, 특정 사유로 인하여 단말(30)은 암호화 키를 분실(S101)할 수 있다. 예를 들어, 상기 특정 사유는 단말(30)의 재설정 또는 재부팅 등을 포함할 수 있다. 이때, 단말(30)은 암호와 키를 분실(S101)한 상태일 수 있다.
암호와 키를 분실한 상태에서, 단말(30)은 AP(20)에 접속을 요청(S102)할 수 있다. 이때, 단말(30)은 모든 암호화 키를 잃어버렸으므로, 보호되지 않은 접속 요청 프레임을 AP(20)에 전송할 수 있다.
AP(20)는 여전히 단말(30)이 암호화 키를 사용하여 유효한 연결을 가지고 있는 것으로 판단하므로, 단말(30)의 접속 요청을 거절하고, 소정의 제1 시간 이후 다시 시도하도록 지시(S103)할 수 있다.
그런 다음, AP(20)는 이와 같은 접속 요청(S102)이 공격인지 확인하려고 검사(S104)를 수행할 수 있다. 일 실시예로, 상기 검사(S104)의 매커니즘은 SA(Security Association) 쿼리 단계를 포함할 수 있다. 예를 들어, SA 쿼리 단계는 AP(20)가 단말(30)에게 적어도 한번의 보호된 질문(Protected Security Association Query)을 전송하는 단계를 포함할 수 있다.
AP(20)는 SA 쿼리 단계에 의해 미리 정해진 단말(30)의 응답 시간(제2 시간)이 경과될 때까지 단말(30)이 응답하지 않는 경우, AP(20)는 기존 단말(30)에 대해 연결 해제를 전송(S105)하고, 더 이상 유효하지 않은 암호화 키를 버릴 수 있다.
상기 제1 시간 이후 단말(30)은 (재)접속 요청 프레임을 AP(20)에 전송(S106)할 수 있다. 이후, AP(20)는 단말(30)의 접속을 허가(S107)하고, AP(20)와 단말(30)은 서로 연결(S108)될 수 있다.
도 4는 본 발명의 일 실시예에 따른 무선 침입 방지 시스템에서 연결 방어 기법을 설명하기 위한 개념도이다.
예컨대, 연결 방어 기법은 공격자가 AP(20)에 접속을 시도하는 경우에 수행될 수 있다.
도 4를 참조하면, 우선, AP(20)와 단말(30)은 서로 연결된 상태(S200)일 수 있다. 공격자(40)는 AP(20)에 접속을 요청(S201)할 수 있다. 여기서, 공격자(40)는 비인가 단말 및 외부로부터 통제되는 단말(30)로서 실질적으로 비인가 단말로 볼 수 있는 단말(30) 등을 포함할 수 있다.
AP(20)는 여전히 단말(30)이 암호화 키를 사용하여 유효한 연결을 가지고 있는 것으로 판단하므로, 공격자(40)의 접속 요청을 거절하고, 소정의 제3 시간 이후 다시 시도하도록 지시(S202)할 수 있다.
이후, AP(20)는 이와 같은 접속 요청이 공격인지 확인하려고 검사를 수행할 수 있다. AP(20)는 공격자(40) 및 단말(30)에 각각 보호된 질문을 전송(S203a, S203b)할 수 있다. 일 실시예로, AP(20)는 동시에 공격자(40) 및 단말(30)에 각각 보호된 질문을 전송할 수 있지만, 보호된 질문의 전송 시간(순서)이 이에 제한되는 것은 아니다.
단말(30)은 보호된 질문에 응답하여 AP(20)에 보호된 답변으로 응답(S204)할 수 있다.
AP(20)는 공격자(40)의 요청을 위장된 연관 요청으로 판단하고, 공격자(40)의 접속 요청을 무시(S205)할 수 있다.
도 5는 본 발명의 일 실시예에 따른 무선 침입 방지 시스템에서 연결 기법을 설명하기 위한 개념도이다.
예컨대, 상기 연결 기법은 AP(20)가 암호화 키를 분실한 경우에 수행될 수 있다.
도 5를 참조하면, AP(20)와 단말(30)은 서로 연결되어 있다가, 특정 사유로 인하여 AP(20)는 암호화 키를 분실(S301)할 수 있다. 예를 들어, 상기 특정 사유는 AP(20)의 재설정 또는 재부팅 등을 포함할 수 있다. 이때, AP(20)는 암호와 키를 분실(S301)한 상태일 수 있다.
이전에 연결된 단말(30)이 AP(20)에게 암호화된 데이터 프레임을 전송(S302)하면, AP(20)는 단말(30)에 보호되지 않는 프레임을 전송(S303)하여 다시 연결을 시도할 수 있다. 단말(30)은 여전히 암호화 키를 포함하여 AP(20)와의 유효한 연결을 유지하고 있다고 판단하므로, AP(20)의 연결 시도가 공격인지 확인하기 위해, 검사를 수행할 수 있다. 일 실시예로, 상기 검사의 매커니즘은 SA(Security Association) 쿼리 단계를 포함할 수 있다. 예를 들어, SA 쿼리 단계는 단말(30)이 AP(20)에게 적어도 한번의 보호된 질문(SA 쿼리)을 전송(S304)하는 단계를 포함할 수 있다.
소정의 제4 시간이 지난 후에도 AP(20)가 상기 보호된 질문에 응답할 수 없는 경우에, 단말(30)은 AP(20)와의 연결이 해제된 것으로 판단하고, AP(20)와의 유효하지 않은 암호화 키를 버릴 수 있다.
이후, 단말(30)은 AP(20)에게 보호되지 않은 질문을 전송(S305)하고, AP(20)가 이에 응답하여 단말(30)에게 보호되지 않은 답변을 응답(S306)하면, AP(20)와 단말(30)은 서로 연결될 수 있다.
도 6는 본 발명의 일 실시예에 따른 무선 침입 방지 시스템에서 연결 해제 방어 기법을 설명하기 위한 개념도이다.
예컨대, 상기 연결 해제 방어 기법은 AP(20)에 접속된 단말(30)에 대해 공격자(40)가 상기 단말(30)의 연결을 해제하는 것을 방어하기 위한 경우에 수행될 수 있다.
도 6을 참조하면, 우선, AP(20)와 단말(30)은 서로 연결이 유지(S401)될 수 있다.
이에 대하여, 공격자(40)는 AP(20)에 대한 단말(30)의 연결을 해제시키기 위해, 단말(30)에 연결 해제를 요청(S402)할 수 있다. 실시예에 따라, 공격자(40)는 AP(20)와 연결된 복수의 단말(30)들을 연결 해제시키기 위해, 위와 같은 연결 해제를 요청(S402) 단말(30)들에 전송할 수 있다.
단말(30)은 공격자(40)의 연결 해제를 요청(S402)에 대응하여, 공격인지 확인하기 위해, 검사를 수행할 수 있다. 단말(30)이 AP(20)에게 적어도 한번의 보호된 질문을 전송(S403)할 수 있다. AP(20)와 단말(30)은 서로 연결이 유효하게 유지되고 있으므로, AP(20)는 단말(30)에게 보호된 답변으로 응답(S404)할 수 있다.
이를 통해, 단말(30)은 공격자(40)의 연결 해제를 요청이 공격인 것으로 판단하고, 공격자(40)의 연결 해제를 요청을 무시하고, AP(20)와의 연결을 유지시킬 수 있다.
도 7은 본 발명의 일 실시예에 따른 무선 침입 방지 시스템에서 특정 단말 연결 해제 기법을 설명하기 위한 개념도이다.
예컨대, 특정 단말(31) 연결 해제 기법은 비인가된 특정 단말(31)의 연결을 해제시키거나, 도시된 것과 같이, AP(20)에 연결된 복수의 단말 중 공격자(40)에 의해 제어되어 실질적으로 비인가된 단말로 볼 수 있는 특정 단말(31)의 연결을 해제시키기 위한 경우에 수행될 수 있다. 본 명세서에서 ‘특정 단말(31)’이라 함은 AP(20)에 연결된 복수의 단말(30) 중 연결 해제를 위해 타겟팅 된 적어도 일부 단말(30)을 의미한다. 일 실시예로, 특정 단말(31)은 네트워크를 통해 공격자(40)와 연결될 수 있다.
도 7을 참조하면, 무선 네트워크 시스템은 AP(20), 특정 단말(31)을 포함하는 단말(30)들 및 WIPS(10)를 포함할 수 있다.
AP(20)는 복수의 단말(30)들과 연결될 수 있고, AP(20)와 특정 단말(31)과도 서로 연결이 유지(S501)될 수 있다. 실시예에 따라, 특정 단말(31)은 비인가된 단말이거나, 공격자(40)에 의해 제어되는 상태(S500)로서 실질적으로 비인가된 단말로 볼 수 있는 단말(30)을 포함할 수 있다.
일 실시예로, WIPS(10)는 AP(20)와 연결된 복수의 단말(30)들에게 연결 해제 요청을 전송할 수 있다. 이때, 특정 단말(31)에도 연결 해제 요청(S502)이 전송될 수 있다. 연결 해제 요청(S502)에는 위조된 프레임이 포함될 수 있다. 예를 들어, 위조된 프레임은 새로운 연결을 요쳥하는 프레임(Association frame), 재연결을 요청하는 프레임(Re-Association frame) 또는 현재 연결 상태에 대한 연결 해제를 요쳥하는 프레임(Dis-Association frame)과 같은 위장된 패킷을 포함할 수 있다.
이에 따라, 특정 단말(31)은 수신된 AP(20)와 연결 해제 요청(S502)이 공격인지 확인하기 위해, 검사를 수행할 수 있다. 즉, 특정 단말(31)은 AP(20)와 상호 인증을 다시 시도할 수 있다. 특정 단말(31)은 AP(20)에 보호된 질문을 전송(S503)할 수 있다. 실시예에 따라 특정 단말(31)은 AP(20)에 보호된 질문의 전송(S503)을 복수 회 수행할 수도 있다.
이때, WIPS(10)는 AP(20)가 특정 단말(31)에 응답하는 것을 방해(S504)할 수 있다. 상기 방해(S504)를 위해, 실시예에 따라, WIPS(10)는 AP(20) 및/또는 특정 단말(31)에게 방해 신호를 전송할 수 있다. AP(20)는 특정 단말(31)에게 전송된 보호된 질문에 대한 응답을 해야 하나, 상기 방해(S504)에 의해 AP(20)가 특정 단말(31)에게 응답하는 것이 차단(S505)될 수 있다.
결국 특정 단말(31)은 소정의 제5 시간 내 AP(20)로부터 응답을 받지 않았으므로, 소정의 제5 시간 이후 AP(20)와의 연결을 해제시킬 수 있다. 이에 따라, 특정 단말(31)은 AP(20)와의 연결이 종료(S506)될 수 있다.
이하, 도 8 및 도 9를 통해, 방해(S504) 단계에서 전송되는 방해 신호에 대해 구체적으로 설명한다. 또한, 도 8 및 도 9를 설명함에 있어, 도 7과 도면상의 동일한 구성 요소에 대해서는 설명을 생략하고, 동일하거나 유사한 참조 부호를 사용하였다.
도 8 및 도 9는 각각 도 7의 변형예로서, 특정 단말 연결 해제 기법을 설명하기 위한 개념도이다.
도 8을 참조하면, WIPS(10)는 AP(20)가 특정 단말(31)에 응답하는 것을 방해하기 위해, CST 프레임 및/또는 RTS 프레임 전송(S504a)을 통해 채널을 방해할 수 있다.
무선랜 통신을 수행하는 단말은 데이터를 전송하기 전에 캐리어 센싱(Carrier Sensing)을 수행하여 채널이 점유 상태(busy)인지 여부를 체크한다. 만약, 일정한 세기 이상의 무선 신호가 감지되는 경우 해당 채널이 점유 상태(busy)인 것으로 판별되고, 상기 단말은 해당 채널에 대한 액세스를 지연한다. 이러한 과정을 클리어 채널 할당(Clear Channel Assessment, CCA) 이라고 하며, 해당 신호 감지 유무를 결정하는 레벨을 CCA 임계값(CCA threshold)이라 한다. 만약 단말에 수신된 CCA 임계값 이상의 무선 신호가 해당 단말을 수신자로 하는 경우, 단말은 수신된 무선 신호를 처리하게 된다. 한편, 해당 채널에서 무선 신호가 감지되지 않거나 CCA 임계값보다 작은 세기의 무선 신호가 감지될 경우 상기 채널은 유휴 상태(idle)인 것으로 판별된다.
채널이 유휴 상태인 것으로 판별되면, 전송할 데이터가 있는 각 단말은 각 단말의 상황에 따른 IFS(InterFrame Space) 이를테면, AIFS(Arbitration IFS), PIFS(PCF IFS) 등의 시간 뒤에 백오프 절차를 수행한다. 실시예에 따라, 상기 AIFS는 기존의 DIFS(DCF IFS)를 대체하는 구성으로 사용될 수 있다. 각 단말은 해당 단말에 할당된 난수(random number) 만큼의 슬롯 타임을 상기 채널의 유휴 상태의 간격(interval) 동안 감소시켜가며 대기하고, 슬롯 타임을 모두 소진한 단말이 해당 채널에 대한 액세스를 시도하게 된다. 이와 같이 각 단말들이 백오프 절차를 수행하는 구간을 경쟁 윈도우 구간이라고 한다.
만약, 단말이 상기 채널에 성공적으로 액세스하게 되면, 해당 단말은 상기 채널을 통해 데이터를 전송할 수 있다. 그러나, 액세스를 시도한 단말이 다른 단말과 충돌하게 되면, 충돌된 단말들은 각각 새로운 난수를 할당 받아 다시 백오프 절차를 수행한다. 일 실시예에 따르면, 각 단말에 새로 할당되는 난수는 해당 단말이 이전에 할당 받은 난수 범위의 2배의 범위 내에서 결정될 수 있다. 한편, 각 단말은 다음 경쟁 윈도우 구간에서 다시 백오프 절차를 수행하여 액세스를 시도하며, 이때 각 단말은 이전 경쟁 윈도우 구간에서 남게 된 슬롯 타임부터 백오프 절차를 수행한다. 이와 같은 방법으로 무선랜 통신을 수행하는 각 단말들은 특정 채널에 대한 서로간의 충돌을 회피할 수 있다.
단말들은 데이터를 전송하기 위한 권리를 얻기 위해 경쟁을 하게 된다. 이전 단계의 데이터 전송이 완료되면, 전송할 데이터가 있는 각 단말들은 AIFS의 시간이 지난 후에 각 단말에 할당된 난수의 백오프 카운터(또는, 백오프 타이머)를 감소해가며 백오프 절차를 수행한다. 백오프 카운터가 만료된 단말은 RTS(Request to Send) 프레임을 전송하여, 해당 단말이 전송할 데이터가 있음을 알린다. RTS 프레임은 리시버 어드레스(receiver address), 트랜스미터 어드레스(transmitter address) 및 듀레이션(duration) 등의 정보를 포함한다. RTS 프레임을 수신한 AP(20)는 SIFS(Short IFS)의 시간을 대기한 후 CTS(Clear to Send) 프레임을 전송하여 특정 단말(31)에게 데이터 전송이 가능함을 알릴 수 있다. CTS 프레임은 리시버 어드레스와 듀레이션 등의 정보를 포함한다. 이때, CTS 프레임의 리시버 어드레스는 이에 대응하는 RTS 프레임의 트랜스미터 어드레스 즉, 특정 단말(31)의 어드레스와 동일하게 설정될 수 있다.
CTS 프레임을 수신한 AP(20)는 SIFS의 시간 후에 데이터를 전송한다. 데이터 전송이 완료되면, AP(20)는 SIFS의 시간 후에 응답(ACK) 프레임을 전송하여 데이터 전송이 완료되었음을 알린다. 기 설정된 시간 이내에 응답 프레임을 수신한 경우, 전송 단말은 데이터 전송에 성공한 것으로 간주한다. 그러나 기 설정된 시간 이내에 응답 프레임이 수신되지 않은 경우, 전송 단말은 데이터 전송에 실패한 것으로 간주한다. 한편, 상기 전송 과정 동안 RTS 프레임 및 CTS 프레임 중 적어도 하나를 수신한 주변 단말(30)들은 NAV(Network Allocation Vector)를 설정하며, 설정된 NAV가 만료될 때까지 데이터 전송을 수행하지 않는다. 이때, 각 단말의 NAV는 수신된 RTS 프레임 또는 CTS 프레임의 듀레이션 필드에 기초하여 설정될 수 있다.
일 실시예로, 특정 단말(31)은 AP(20)에게 보호된 질문을 전송(S503)하며, 소정의 제6 시간 내 AP(20)로부터 응답할 것을 지시할 수 있다.
일 실시예로, WIPS(10)는 특정 단말(31)이 AP(20)에 보호된 질문을 전송(S503)하는 것을 수집할 수 있다. 이에 대응하여, WIPS(10)는 AP(20) 및/또는 특정 단말(31)에 CST 프레임 및/또는 RTS 프레임을 전송(S504a)할 수 있다.
AP(20)는 특정 단말(31)로부터 수신된 보호된 질문에 대해 제6 시간 내 응답해야 하나, WIPS(10)로부터 CST 프레임 및/또는 RTS 프레임을 수신하게 됨으로써, 설정된 NAV가 만료될 때까지 데이터 전송을 수행하지 않을 수 있다. 즉, AP(20)가 특정 단말(31)로 제6 시간 내 응답하는 것이 차단(S505)될 수 있다. 이에 따라, 특정 단말(31)은 WIPS(10)로부터 연결 해제 요청이 전송(S502)이 옳은 것으로 판단하고, AP(20)와의 연결을 종료(S506)할 수 있다.
도 9를 참조하면, WIPS(10)는 AP(20)가 특정 단말(31)에 응답하는 것을 방해하기 위해, AP(20) 및/또는 특정 단말(31)에 대한 혼잡도 증가(S504b)를 통해 채널을 방해할 수 있다.
일 실시예로, WIPS(10)는 특정 단말(31)이 AP(20)에 보호된 질문을 전송(S503)하는 것을 수집하고, 이에 대응하여, AP(20) 및/또는 특정 단말(31)에 혼잡도를 증가(S504b)시킬 수 있다. 예를 들어, WIPS(10)는 새로운 연결을 요쳥하는 프레임(Association frame), 재연결을 요청하는 프레임(Re-Association frame) 또는 현재 연결 상태에 대한 연결 해제를 요쳥하는 프레임(Dis-Association frame)을 포함하는 위장된 패킷을 다수 발생시켜, 보호된 질문 전송(S503) 시 혼잡도를 증가하게 만들어 AP(20)와 특정 단말(31) 간 상호 인증 실패를 유도할 수 있다. 또한, 예를 들어, WIPS(10)는 AP(20)가 전송하는 신호의 비트레이트를 조절하거나, 전송 지연시간을 조절하는 등의 방법으로 혼잡도를 증가시켜 AP(20)와 특정 단말(31) 간 상호 인증 실패를 유도할 수도 있다. 즉, WIPS(10)는 AP(20) 및/또는 특정 단말(31)에 혼잡도를 증가(S504)시켜, IEEE 802.11w로 연결된 AP(20)와 특정 단말(31)의 연결이 종료(S506)되도록 유도할 수 있다.
도 10은 본 발명의 다른 실시예에 따른 무선 침입 방지 시스템에서 특정 단말 연결 해제 기법을 설명하기 위한 개념도이다.
도 10을 참조하면, 도 7의 실시예 대비, WIPS(10)가 AP(20) 및/또는 특정 단말(31)에 연결 봉쇄(S508) 명령을 전송하는 단계를 더 포함하는 점에서 그 차이가 있다.
실시예에 따라, 특정 단말(31)과 AP(20) 간의 연결이 종료(S506)된 이후, 특정 단말(31)은 다시 AP(20)에 접속을 요청(S507)할 수 있다. 예를 들어, 특정 단말(31)은 AP(20)에게 인증 요청 프레임(authentication request frame)을 전송할 수 있다.
일 실시예로, WIPS(10)는 특정 단말(31)이 AP(20)에게 인증 요청 프레임을 전송한 것에 대응하여, 인증해제 프레임(deauthentication frame) 등의 관리 프레임을 AP(20) 및/또는 특정 단말(31)에 전송할 수 있다. 이에 따라, 특정 단말(31)과 AP(20) 간의 연결이 실패될 수 있다.
도 11 및 도 12는 각각 도 10의 변형예로서, 무선 침입 방지 시스템에서 도 8 또는 도 9의 실시예가 추가 적용된 것을 나타내는 개념도이다.
도 11 및 도 12을 참조하면, WIPS(10)는 AP(20)가 특정 단말(31)에 응답하는 것을 방해하기 위해, CST 프레임 및/또는 RTS 프레임 전송(S504a)을 통해 채널을 방해하거나 또는 AP(20) 및/또는 특정 단말(31)에 대한 혼잡도 증가(S504b)를 통해 채널을 방해할 수 있다.
특정 단말(31)과 AP(20) 간의 연결이 종료(S506)된 이후, 특정 단말(31)이 AP(20)에게 인증 요청 프레임(authentication request frame)을 전송하더라도, WIPS(10)가 인증해제 프레임(deauthentication frame) 등의 연결 봉쇄(S508) 명령을 AP(20) 및/또는 특정 단말(31)에 전송하여 특정 단말(31)과 AP(20) 간의 연결 실패를 유도할 수 있다.
도 13 내지 도 15는 각각 본 발명의 또 다른 실시예에 따른 무선 침입 방지 시스템에서 특정 단말 연결 해제 기법을 설명하기 위한 개념도이다.
먼저 도 13을 참조하면, AP(20)와 특정 단말(31)은 서로 연결(S601)되어 있다가, 특정 사유로 인하여 특정 단말(31)은 암호화 키를 분실(S101)할 수 있다.
암호와 키를 분실한 상태에서, 특정 단말(31)은 AP(20)에 접속을 요청(S603)할 수 있다. 이때, 특정 단말(31)은 모든 암호화 키를 잃어버렸으므로, 보호되지 않은 접속 요청 프레임을 AP(20)에 전송할 수 있다.
AP(20)는 여전히 특정 단말(31)이 암호화 키를 사용하여 유효한 연결을 가지고 있는 것으로 판단하므로, 특정 단말(31)의 접속 요청을 거절하고, 소정의 제7 시간 이후 다시 시도하도록 지시(S604a)할 수 있다. 실시예에 따라, 보호된 질문이 함께 전송(S604b)될 수도 있다.
상기 제7 시간 이후 특정 단말(31)은 재접속 요청 프레임을 AP(20)에 전송(S605)할 수 있다.
한편, 일 실시예로, WIPS(10)는 AP(20)가 특정 단말(31)에 재접속 요청 프레임에 대응하여, 보호된 질문을 전송하는 것을 방해(S606a)할 수 있다. 상기 방해(S606a)를 위해, 실시예에 따라, WIPS(10)는 AP(20) 및/또는 특정 단말(31)에게 방해 신호를 전송할 수 있다. AP(20)는 특정 단말(31)에게 재접속 요청 프레임에 대응하여 보호된 질문을 전송해야 하나, 상기 방해(S606a)에 의해 AP(20)가 특정 단말(31)에게 보호된 질문을 전송하는 것이 차단(S607a)될 수 있다.
이에 따라, AP(20)와 특정 단말(31)은 서로 연결이 종료(S608)될 수 있다.
도 14를 참조하면, 실시예에 따라, WIPS(10)는 AP(20)가 특정 단말(31)에 접속을 요청(S603)하는 프레임에 대응하여, 보호된 질문을 전송하는 것을 방해(S606b)할 수 있다. 상기 방해(S606b)를 위해, 실시예에 따라, WIPS(10)는 AP(20) 및/또는 특정 단말(31)에게 방해 신호를 전송할 수 있다. AP(20)는 특정 단말(31)에게 접속 요청 프레임에 대응하여 보호된 질문을 전송해야 하나, 상기 방해(S606b)에 의해 AP(20)가 특정 단말(31)에게 보호된 질문을 전송하는 것이 차단(S604c)될 수 있다. 실시예에 따라, AP(20)가 특정 단말(31)의 접속 요청을 거절하고, 소정의 제7 시간 이후 다시 시도하도록 지시를 전송하는 것도 차단될 수 있다.
이에 따라, AP(20)와 특정 단말(31)은 서로 연결이 종료(S608)될 수 있다.
도 15를 참조하면, 실시예에 따라, WIPS(10)는 AP(20)가 특정 단말(31)에 접속을 요청(S603)하는 프레임에 대응하여, 보호된 질문을 전송하는 것을 방해(S606b)할 수 있다. 상기 방해(S606b)를 위해, 실시예에 따라, WIPS(10)는 AP(20) 및/또는 특정 단말(31)에게 방해 신호를 전송할 수 있다. AP(20)는 특정 단말(31)에게 접속 요청 프레임에 대응하여 보호된 질문을 전송해야 하나, 상기 방해(S606b)에 의해 AP(20)가 특정 단말(31)에게 보호된 질문을 전송하는 것이 차단(S604c)될 수 있다. 실시예에 따라, AP(20)가 특정 단말(31)의 접속 요청을 거절하고, 소정의 제7 시간 이후 다시 시도하도록 지시를 전송하는 것도 차단될 수 있다.
이후, AP(20)와 특정 단말(31)은 서로 연결이 종료되지 않고, 특정 단말(31)은 재접속 요청 프레임을 AP(20)에 전송(S605)할 수 있다. 이때, WIPS(10)는 AP(20)가 특정 단말(31)에 재접속 요청 프레임에 대응하여, 보호된 질문을 전송하는 것을 다시 방해(S606a)할 수 있다. 상기 방해(S606a)를 위해, 실시예에 따라, WIPS(10)는 AP(20) 및/또는 특정 단말(31)에게 방해 신호를 전송할 수 있다. AP(20)는 특정 단말(31)에게 재접속 요청 프레임에 대응하여 보호된 질문을 전송해야 하나, 상기 방해(S606a)에 의해 AP(20)가 특정 단말(31)에게 보호된 질문을 전송하는 것이 차단(S607a)될 수 있다.
이에 따라, AP(20)와 특정 단말(31)은 서로 연결이 종료(S608)될 수 있다.
도 13 내지 도 15에서 상술한 방해 신호는 도 9 및 도 10에서 예를 들어 설명한 방해 신호 중 적어도 하나가 적용될 수 있다.
도 16은 본 발명의 또 다른 실시예에 따른 무선 침입 방지 시스템에서 특정 단말 연결 해제 기법을 설명하기 위한 개념도이다.
도 16을 참조하면, 우선, AP(20)와 특정 단말(31)은 서로 연결된 상태(S701)일 수 있다. WIPS(10)는 AP(20)에 접속을 요청(S702)할 수 있다.
AP(20)는 여전히 특정 단말(31)이 암호화 키를 사용하여 유효한 연결을 가지고 있는 것으로 판단하므로, WIPS(10)의 접속 요청을 거절하고, 소정의 제8 시간 이후 다시 시도하도록 지시(S703)할 수 있다.
이후, AP(20)는 이와 같은 접속 요청이 공격인지 확인하려고 검사를 수행하기 위해, AP(20)는 WIPS(10) 및 특정 단말(31)에 각각 보호된 질문을 전송해야 하지만, 이는 WIPS(10)에 의해 차단될 수 있다. 일 실시예로, WIPS(10)는 AP(20) 및/또는 특정 단말(31)에게 방해 신호를 전송(S703a)할 수 있다. AP(20)는 상기 방해 신호에 의해 WIPS(10) 및/또는 특정 단말(31)에게 보호된 질문을 전송하는 것이 차단(S704a)될 수 있다.
이에 따라, AP(20)와 특정 단말(31)은 서로 연결이 종료(S705)될 수 있다.
도 16에서 상술한 방해 신호는 도 9 및 도 10에서 예를 들어 설명한 방해 신호 중 적어도 하나가 적용될 수 있다.
도 7 내지 도 16에서 상술했던 방법으로, WIPS(10)는 AP(20)에 연결된 실질적으로 비인가 단말로 볼 수 있는 특정 단말(31)의 연결을 해제시킬 수 있다. 특히, WIPS(10)는 IEEE 802.11w기술이 적용된 무선 네트워크를 통해 AP(20)에 연결된 모든 단말 중에서 특정 단말을 타겟팅하여 연결을 해제시킬 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
Claims (20)
- 액세스 포인트(Access Point);상기 액세스 포인트에 무선 네트워크를 통해 무선 프레임을 송수신하는 복수의 단말(Station)들; 및상기 무선 프레임을 모니터링 하는 무선 침입 방지 시스템(wireless intrusion prevention system)을 포함하되,상기 무선 침입 방지 시스템은 복수의 단말들 중 특정 단말에게 연결 해제 요청을 전송하고, 상기 액세스 포인트가 상기 특정 단말에게 응답하는 것을 차단하는 무선 네트워크 시스템.
- 제1 항에 있어서,상기 무선 침입 방지 시스템은 상기 액세스 포인트에게 상기 액세스 포인트가 상기 특정 단말에게 응답하는 것을 차단하기 위해 방해 신호를 전송하는 무선 네트워크 시스템.
- 제2 항에 있어서,상기 방해 신호는 CTS(Clear to Send) 프레임 또는 RTS(Request to Send) 프레임을 포함하는 무선 네트워크 시스템.
- 제2 항에 있어서,상기 방해 신호는 상기 액세스 포인트의 혼잡도를 증가시키기 위한 신호를 포함하는 무선 네트워크 시스템.
- 제4 항에 있어서,상기 방해 신호는 위장된 패킷을 포함하는 무선 네트워크 시스템.
- 제5 항에 있어서,상기 위장된 패킷은 새로운 연결을 요쳥하는 프레임(Association frame), 재연결을 요청하는 프레임(Re-Association frame), 또는 현재 연결 상태에 대한 연결 해제를 요쳥하는 프레임(Dis-Association frame)을 포함하는 무선 네트워크 시스템.
- 제1 항에 있어서,상기 특정 단말은 상기 연결 해제 요청에 응답하여 상기 액세스 포인트에게 보호된 질문을 전송하는 무선 네트워크 시스템.
- 제7 항에 있어서,상기 특정 단말은 상기 액세스 포인트에게 소정의 제1 시간 내에 상기 보호된 질문에 대해 응답할 것을 지시하고,상기 특정 단말은 상기 제1 시간 내에 상기 응답이 없는 경우, 상기 액세스 포인트와 연결을 종료하는 무선 네트워크 시스템.
- 제8 항에 있어서,상기 특정 단말은 상기 액세스 포인트와 연결이 종료된 이후, 상기 액세스 포인트에게 인증 요청 프레임(authentication request frame)을 전송하는 무선 네트워크 시스템.
- 제9 항에 있어서,상기 무선 침입 방지 시스템은 상기 인증 요청 프레임이 전송된 이후, 상기 액세스 포인트 또는 상기 특정 단말에게 인증해제 프레임(deauthentication frame)을 전송하는 무선 네트워크 시스템.
- 제1 항에 있어서,상기 특정 단말은 비인가된 단말, 또는 비인가된 공격자와 네트워크를 통해 연결된 단말인 무선 네트워크 시스템.
- 제1 항에 있어서,상기 무선 네트워크는 IEEE 802.11w기술이 포함되는 무선 네트워크 시스템.
- 액세스 포인트가 상기 액세스 포인트에 무선 네트워크를 통해 무선 프레임을 송수신하는 복수의 단말 중 특정 단말과 연결을 유지하는 단계;상기 무선 프레임을 모니터링 하는 무선 침입 방지 시스템이 상기 액세스 포인트가 상기 특정 단말에게 응답하는 것을 차단하거나, 또는 상기 액세스 포인트가 상기 특정 단말에게 보호된 질문을 전송하는 것을 차단하기 위해, 방해 신호를 전송하는 단계를 포함하는 무선 네트워크 시스템의 작동 방법.
- 제13 항에 있어서,상기 무선 프레임을 모니터링 하는 무선 침입 방지 시스템이 상기 특정 단말에게 연결 해제 요청을 전송하는 단계;상기 특정 단말이 상기 액세스 포인트에게 보호된 질문을 전송하는 단계;상기 특정 단말이 상기 액세스 포인트에게 소정의 제1 시간 내에 상기 보호된 질문에 대해 응답할 것을 지시하는 단계; 및상기 제1 시간 내에 상기 응답이 없는 경우, 상기 특정 단말이 상기 액세스 포인트와 연결을 종료하는 단계를 더 포함하는 무선 네트워크 시스템의 작동 방법.
- 제14 항에 있어서,상기 특정 단말은 상기 액세스 포인트와 연결을 종료된 이후, 상기 액세스 포인트에게 인증 요청 프레임을 전송하는 단계; 및상기 무선 침입 방지 시스템이 상기 인증 요청 프레임이 전송된 이후, 상기 액세스 포인트 또는 상기 특정 단말에게 인증해제 프레임을 전송하는 단계를 더 포함하는 무선 네트워크 시스템의 작동 방법.
- 제13 항에 있어서,상기 특정 단말이 상기 액세스 포인트에게 접속 요청을 전송하는 단계를 더 포함하되,상기 방해 신호는 상기 액세스 포인트가 상기 특정 단말에게 접속 요청 거절을 전송하는 것, 또는 상기 액세스 포인트가 상기 특정 단말에게 상기 보호된 질문을 전송하는 것을 차단하는 신호를 포함하는 무선 네트워크 시스템의 작동 방법.
- 제13 항에 있어서,상기 무선 침입 방지 시스템이 상기 액세스 포인트에게 접속 요청을 전송하는 단계를 더 포함하되,상기 방해 신호는 상기 액세스 포인트가 상기 특정 단말에게 상기 보호된 질문을 전송하는 것을 차단하는 신호를 포함하는 무선 네트워크 시스템의 작동 방법.
- 액세스 포인트 및 복수의 단말들이 무선 네트워크를 통해 송수신하는 무선 프레임을 모니터링하고 상기 무선 프레임을 기반으로 정보를 가공하는 센싱 장치; 및상기 가공된 정보를 상기 액세스 포인트 및 상기 복수의 단말들의 비인가 여부 및 이상 동작 여부를 판단하는 서버를 포함하되,상기 복수의 단말들 중 특정 단말에 대해 상기 액세스 포인트와 연결을 종료시키기 위한 방해 신호를 제공하는 기능을 포함하는 무선 침입 방지 시스템.
- 제18 항에 있어서,상기 특정 단말이 상기 액세스 포인트에 접속을 요청하기위해 인증 요청 프레임을 전송하면, 상기 액세스 포인트 또는 상기 특정 단말에게 인증해제 프레임을 전송하는 기능을 더 포함하는 무선 침입 방지 시스템.
- 제18 항에 있어서,상기 방해 신호는 상기 액세스 포인트가 상기 특정 단말에게 응답하는 것을 차단하거나, 또는 보호된 질문을 전송하는 것을 차단하는 신호를 포함하는 무선 침입 방지 시스템.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202080097599.9A CN115176488A (zh) | 2020-03-11 | 2020-04-03 | 无线入侵防御系统、包括该系统的无线网络系统以及无线网络系统的操作方法 |
JP2022554777A JP7455220B2 (ja) | 2020-03-11 | 2020-04-03 | 無線侵入防止システム、これを含む無線ネットワークシステム、及び無線ネットワークシステムの作動方法 |
US17/908,958 US20230099706A1 (en) | 2020-03-11 | 2020-04-03 | Wireless intrusion prevention system, wireless network system comprising same, and method for operating wireless network system |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2020-0030422 | 2020-03-11 | ||
KR1020200030422A KR102157661B1 (ko) | 2020-03-11 | 2020-03-11 | 무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2021182667A1 true WO2021182667A1 (ko) | 2021-09-16 |
Family
ID=72670398
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/KR2020/004571 WO2021182667A1 (ko) | 2020-03-11 | 2020-04-03 | 무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20230099706A1 (ko) |
JP (1) | JP7455220B2 (ko) |
KR (1) | KR102157661B1 (ko) |
CN (1) | CN115176488A (ko) |
WO (1) | WO2021182667A1 (ko) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210315042A1 (en) * | 2020-06-16 | 2021-10-07 | Ido Ouzieli | Fast reassociation with an access point |
KR102359801B1 (ko) * | 2021-06-02 | 2022-02-09 | 주식회사 시큐아이 | 무선 침입 방지 시스템 및 그 동작 방법 |
KR102521985B1 (ko) * | 2021-07-13 | 2023-04-17 | (주)넷비젼텔레콤 | 모바일 단말의 oui 자동 수집 컴퓨터 장치 및 그 방법 |
KR102359805B1 (ko) * | 2021-08-10 | 2022-02-09 | 주식회사 시큐아이 | 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법 |
KR20230056963A (ko) * | 2021-10-21 | 2023-04-28 | 삼성전자주식회사 | 무선랜 시스템에서 sa 쿼리를 수행하기 위한 전자 장치 및 그의 동작 방법 |
KR102366574B1 (ko) | 2021-11-29 | 2022-02-23 | 주식회사 심플솔루션 | 무선 침입 방지 방법 |
KR102366562B1 (ko) | 2021-11-29 | 2022-02-23 | 주식회사 심플솔루션 | 무선 침입 방지 시스템 및 방법 |
US20230422037A1 (en) * | 2022-06-28 | 2023-12-28 | Fortinet, Inc. | Identifying hidden service set identifiers (ssids) of unauthorized access points on a wireless network |
KR20240040431A (ko) * | 2022-09-21 | 2024-03-28 | 삼성전자주식회사 | 전자 장치, 시스템 및 그 통신 연결 방법 |
KR102671718B1 (ko) | 2022-12-26 | 2024-06-03 | 주식회사 한백코리아 | 머신러닝을 통한 새로운 침입을 예측하는 웹로그 신규 위협 탐지 보안 시스템 |
KR102679732B1 (ko) | 2023-05-09 | 2024-06-28 | 주식회사 한백코리아 | 웹로그 데이터 분석을 통한 신규 위협 탐지용 머신러닝 분석 방법 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060070309A (ko) * | 2004-12-20 | 2006-06-23 | 한국전자통신연구원 | 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 |
KR20130004172A (ko) * | 2011-07-01 | 2013-01-09 | 에어타이트 네트웍스 인코포레이티드 | 무선 억세스 네트워크 안의 스마트 모바일 장치 모니터링 |
KR20140058336A (ko) * | 2012-10-26 | 2014-05-14 | 주식회사 케이티 | 무선랜 시스템에서 채널 액세스 방법 |
KR20170062301A (ko) * | 2015-11-27 | 2017-06-07 | 삼성전자주식회사 | 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치 |
KR20190018354A (ko) * | 2017-08-14 | 2019-02-22 | 주식회사 케이티 | 와이파이 액세스 포인트를 이용한 무선 침입감지 시스템 검출 장치 및 방법 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007174287A (ja) * | 2005-12-22 | 2007-07-05 | Nec Corp | 無線パケット通信システム、無線パケット基地局、無線パケット端末及び不正通信の排除方法 |
DE102007016538A1 (de) * | 2007-04-05 | 2008-10-09 | Infineon Technologies Ag | Kommunikationsendgerät, Kommunikationseinrichtung, elektronische Karte, Verfahren für ein Kommunikationsendgerät und Verfahren für eine Kommunikationseinrichtung zum Bereitstellen eines Nachweises |
WO2011030466A1 (ja) * | 2009-09-14 | 2011-03-17 | 株式会社 東芝 | 無線局 |
JP2013157969A (ja) * | 2012-02-01 | 2013-08-15 | Hitachi Consumer Electronics Co Ltd | 携帯端末装置及びデータ送受信システム |
KR20140058306A (ko) * | 2012-11-05 | 2014-05-14 | 우석대학교 산학협력단 | 배터리 에너지 저장장치, 그리고 이를 제어하는 무선통신단말 |
US10834754B2 (en) * | 2013-10-29 | 2020-11-10 | Qualcomm Incorporated | Systems and methods for improved communication efficiency in high efficiency wireless networks |
CN107431971A (zh) * | 2015-03-27 | 2017-12-01 | 泛网安全株式会社 | 无线入侵防御系统传感器及利用该传感器断开终端的方法 |
-
2020
- 2020-03-11 KR KR1020200030422A patent/KR102157661B1/ko active IP Right Grant
- 2020-04-03 WO PCT/KR2020/004571 patent/WO2021182667A1/ko active Application Filing
- 2020-04-03 US US17/908,958 patent/US20230099706A1/en active Pending
- 2020-04-03 JP JP2022554777A patent/JP7455220B2/ja active Active
- 2020-04-03 CN CN202080097599.9A patent/CN115176488A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20060070309A (ko) * | 2004-12-20 | 2006-06-23 | 한국전자통신연구원 | 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 |
KR20130004172A (ko) * | 2011-07-01 | 2013-01-09 | 에어타이트 네트웍스 인코포레이티드 | 무선 억세스 네트워크 안의 스마트 모바일 장치 모니터링 |
KR20140058336A (ko) * | 2012-10-26 | 2014-05-14 | 주식회사 케이티 | 무선랜 시스템에서 채널 액세스 방법 |
KR20170062301A (ko) * | 2015-11-27 | 2017-06-07 | 삼성전자주식회사 | 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치 |
KR20190018354A (ko) * | 2017-08-14 | 2019-02-22 | 주식회사 케이티 | 와이파이 액세스 포인트를 이용한 무선 침입감지 시스템 검출 장치 및 방법 |
Also Published As
Publication number | Publication date |
---|---|
US20230099706A1 (en) | 2023-03-30 |
CN115176488A (zh) | 2022-10-11 |
JP2023517107A (ja) | 2023-04-21 |
KR102157661B1 (ko) | 2020-09-18 |
JP7455220B2 (ja) | 2024-03-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021182667A1 (ko) | 무선 침입 방지 시스템, 이를 포함하는 무선 네트워크 시스템 및 무선 네트워크 시스템의 작동 방법 | |
WO2017091047A1 (ko) | 무선 침입 방지 시스템에서의 접속 차단 방법 및 장치 | |
CA2495142C (en) | Wireless local or metropolitan area network with intrusion detection features and related methods | |
WO2023017952A1 (ko) | 센싱 장치, 센싱 장치를 포함하는 무선 침입 방지 시스템 및 그것의 동작 방법 | |
WO2022255619A1 (ko) | 무선 침입 방지 시스템 및 그 동작 방법 | |
EP1554837A2 (en) | System and method for remotely monitoring wirless networks | |
WO2017078459A1 (en) | Method, ue and network node for protecting user privacy in networks | |
EP1535414B1 (en) | Wireless local on metropolitan area network with intrusion detection features and related methods | |
CN101540667A (zh) | 无线局域网中的通信干扰方法和设备 | |
WO2019231215A1 (ko) | 단말 장치 및 이에 의한 악성 ap의 식별 방법 | |
US8145131B2 (en) | Wireless ad hoc network security | |
CN106878992B (zh) | 无线网络安全检测方法和系统 | |
WO2013089396A1 (ko) | 유무선 통합시스템에서 실시간 침입차단 방법 | |
WO2013172587A1 (ko) | 클라우드 센서 네트워크를 이용한 지능형 무선침입방지 시스템 및 센서 | |
WO2019182219A1 (ko) | 블록체인기반의 신뢰 네트워크 시스템 | |
KR102366574B1 (ko) | 무선 침입 방지 방법 | |
WO2022265265A1 (ko) | 유무선 네트워크의 불법 디바이스 검출 및 차단 방법과 장치 | |
KR102596544B1 (ko) | 무선 침입 차단 방법 및 장치 | |
KR100678390B1 (ko) | 침입 탐지 특징을 갖는 무선 근거리 또는 도시권 네트워크및 이와 관한 방법 | |
WO2012161386A1 (ko) | 무선 액세스 포인트 장치 및 비인가 무선 랜 노드 탐지 방법 | |
WO2014123347A1 (ko) | 기업내 보안망 제공시스템 및 그 방법 | |
WO2014082193A1 (zh) | 不平衡区用户设备随机接入方法、基站及系统 | |
WO2012070815A2 (ko) | 암호화 기능을 가지는 무선 통신 시스템 및 그 방법 | |
Kamau | DISABLING WIRELESS NETWORKS FOR LAW ENFORCEMENT | |
KR20050052462A (ko) | 침입 감지 특징이 있는 무선 근거리 또는 도시권 통신망및 이에 관한 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 20924102 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2022554777 Country of ref document: JP Kind code of ref document: A |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 20924102 Country of ref document: EP Kind code of ref document: A1 |