WO2022255619A1

WO2022255619A1 - 무선 침입 방지 시스템 및 그 동작 방법

Info

Publication number: WO2022255619A1
Application number: PCT/KR2022/004892
Authority: WO
Inventors: 손민기; 강석주
Original assignee: 주식회사 시큐아이
Priority date: 2021-06-02
Filing date: 2022-04-05
Publication date: 2022-12-08
Also published as: KR102359801B1; CN117397271A

Abstract

본 기술은 전자 장치에 관한 것으로, 본 기술에 따른 무선 침입 방지 시스템은 센싱 장치 및 컨트롤러를 포함할 수 있다. 센싱 장치는 무선 네트워크를 통해 액세스 포인트(Access Point, AP)와 복수의 단말들 간에 송수신되는 무선 프레임을 모니터링하고, 무선 프레임을 기초로 프레임 분석 정보를 생성할 수 있다. 컨트롤러는 제조사 고유 식별자(Organizationally Unique Identifier, OUI)들을 포함하는 제조사 식별 정보와 프레임 분석 정보에 포함된 각 단말들의 MAC(Media Access Control) 주소의 비교하고, 비교 결과를 기초로 복수의 단말들 중 랜덤 MAC 주소를 갖는 타겟 단말을 결정하고, 차단 정책에 기초하여 타겟 단말의 액세스 포인트에 대한 액세스를 제어할 수 있다.

Description

무선 침입 방지 시스템 및 그 동작 방법

본 발명은 무선 침입 방지 시스템(WIPS) 및 그 동작 방법에 관한 것이다.

인터넷의 급속한 발전과 보급으로 네트워크 환경은 점점 거대해지고 있으며, 인터넷의 간편하고 편리한 네트워크 액세스와 제공하고 있는 다양한 서비스로 인하여 그 형태가 복잡해지고 있다. 그러나 인터넷 상에서의 바이러스, 해킹, 시스템 침입, 시스템 관리자 권한 획득, 침입사실 은닉, 서비스 거부공격 등과 같은 다양한 형태의 네트워크 공격으로 인해 인터넷은 항상 해킹의 위험에 노출되어 인터넷에 대한 침해가 증가하고 있고, 공공기관과 사회기반시설 및 금융 기관은 피해 규모가 점점 증가하며 그 영향력이 크다. 이러한 인터넷 보안문제를 해결하기 위해 바이러스 백신, 방화벽, 통합 보안 관리, 침입탐지시스템 등의 네트워크 보안 기술의 필요성이 대두되고 있다.

무선 인터넷 통신을 위한 무선 네트워크 시스템은 무선랜 액세스 포인트(Wireless LAN Access Point, AP)와 무선랜 단말을 포함한다. AP는 액세스 포인트 장치라는 장비를 설치하여 사용하고 있다.

최근에는 유선과 무선을 이용한 통합형 네트워크 시스템이 널리 개발되고 적용되고 있다. 유선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것도 어렵지만, 무선으로 접근하는 유해 트래픽을 안정적으로 차단하는 것은 더 어렵다. 이를 해결하기 위해 무선 침입 방지 시스템(Wireless Intrusion Prevention System, WIPS)이 개발되고 있는 상황이다. WIPS는 무선 구간 모니터링을 통해 비인가(rouge) AP 또는 DoS (Denial of Service) 공격 등의 무선 침입을 탐지 및 차단하는 시스템이다.

본 발명이 해결하려는 과제는, 예컨대 IEEE 802.11 기술 또는 IEEE 802.11w 기술이 적용된 무선 네트워크를 통해 AP에 랜덤 MAC 주소를 갖는 단말이 액세스하는 경우, 차단 정책에 따라 단말의 액세스를 차단하는 무선 침입 방지 시스템 및 그 동작 방법을 제공한다.

본 발명의 실시 예에 따른 무선 침입 방지 시스템은 센싱 장치 및 컨트롤러를 포함할 수 있다. 센싱 장치는 무선 네트워크를 통해 액세스 포인트(Access Point, AP)와 복수의 단말들 간에 송수신되는 무선 프레임을 모니터링하고, 무선 프레임을 기초로 프레임 분석 정보를 생성할 수 있다. 컨트롤러는 제조사 고유 식별자(Organizationally Unique Identifier, OUI)들을 포함하는 제조사 식별 정보와 프레임 분석 정보에 포함된 각 단말들의 MAC(Media Access Control) 주소의 비교하고, 비교 결과를 기초로 복수의 단말들 중 랜덤 MAC 주소를 갖는 타겟 단말을 결정하고, 차단 정책에 기초하여 타겟 단말의 액세스 포인트에 대한 액세스를 제어할 수 있다.

본 발명의 실시 예에 따른 무선 침입 방지 시스템(Wireless Intrusion Prevention System, WIPS)의 동작 방법은, 무선 네트워크를 통해 액세스 포인트와 무선 프레임을 송수신하는 복수의 단말들 중 타겟 단말로부터 액세스 포인트에 대한 액세스 요청을 수신하는 단계; 제조사 고유 식별자(Organizationally Unique Identifier, OUI)들을 포함하는 제조사 식별 정보와 무선 프레임에 포함된 타겟 단말의 MAC(Media Access Control) 주소의 비교 결과를 기초로 타겟 단말의 MAC 주소가 랜덤 MAC 주소 또는 고유 MAC 주소인지 결정하는 단계; 및 타겟 단말의 MAC 주소가 랜덤 MAC 주소인지 여부에 따라 타겟 단말의 액세스 포인트에 대한 액세스를 제어하는 단계;를 포함할 수 있다.

본 발명의 실시 예들에 의하면, 예컨대 IEEE 802를 통해 AP에 단말이 연결되는 경우, 단말의 MAC 주소가 랜덤 MAC 주소인지 여부에 따라 연결을 해제하고, 액세스를 차단할 수 있다.

도 1은 무선 침입 방지 시스템의 구성을 나타내는 블록도이다.

도 2는 무선 침입 방지 시스템의 액세스 차단 방법을 나타내는 순서도이다.

도 3은 일 실시 예에 따른 무선 침입 방지 시스템에서 단말의 액세스 제어를 설명하기 위한 도면이다.

도 4는 일 실시 예에 따른 무선 침입 방지 시스템의 동작을 설명하기 위한 순서도이다.

도 5는 일 실시 예에 따른 무선 침입 방지 시스템의 동작을 설명하기 위한 순서도이다.

도 6은 일 실시 예에 따른 무선 침입 방지 시스템의 동작을 설명하기 위한 순서도이다.

도 7은 일 실시 예에 따른 무선 침입 방지 시스템의 동작을 설명하기 위한 순서도이다.

본 명세서 또는 출원에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 개념에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서 또는 출원에 설명된 실시 예들에 한정되는 것으로 해석되어서는 아니 된다.

도 1을 참조하면, 무선 침입 방지 시스템(Wireless Intrusion Prevention System, 이하 WIPS)은 무선 구간 모니터링을 통해 비인가(rouge) AP(Access Point) 또는 DoS(Denial of Service) 공격 등의 무선 침입을 탐지 및 차단하는 시스템이다.

본 명세서에서 기술하는 일반 무선 네트워크는 IEEE 802.11 또는 IEEE 802.11w가 적용되는 무선 네트워크를 포함할 수 있다. IEEE 802.11w는 관리 프레임의 보안성을 향상시킨 IEEE 802.11의 수정 기술이다. 그러나, 이에 한정되는 것은 아니고, 본 발명의 실시 예는 다양한 보안 기술이 적용된 무선 네트워크에 적용될 수 있음은 물론이다.

무선 네트워크 시스템은 하나 또는 그 이상의 베이직 서비스 세트(Basic Service Set, BSS)를 포함하는데, BSS는 성공적으로 동기화를 이루어서 서로 통신할 수 있는 기기들의 집합을 나타낸다. 일반적으로 BSS는 인프라스트럭쳐 BSS(infrastructure BSS)와 독립 BSS(Independent BSS, IBSS)로 구분될 수 있다.

액세스 포인트(Access Point, 이하 AP)는 자신에게 결합된(associated) 단말들을 위하여 무선 매체를 경유하여 분배시스템에 대한 액세스를 제공하는 개체이다. AP는 PCP(Personal BSS Coordination Point)를 포함하는 개념으로 사용되며, 광의적으로는 집중 제어기, 기지국(Base Station, BS), 노드-B, BTS(Base Transceiver System), 또는 사이트 제어기 등의 개념을 모두 포함할 수 있다. 본 발명에서 AP는 베이스 무선 통신 단말로도 지칭될 수 있으며, 베이스 무선 통신 단말은 광의의 의미로는 AP, 베이스 스테이션(base station), eNB(eNodeB) 및 트랜스미션 포인트(TP)를 모두 포함하는 용어로 사용될 수 있다. 뿐만 아니라, 베이스 무선 통신 단말은 복수의 무선 통신 단말과의 통신에서 통신 매개체(medium) 자원을 할당하고, 스케줄링(scheduling)을 수행하는 다양한 형태의 무선 통신 단말을 포함할 수 있다.

단말(Station)은 IEEE 802.11 표준의 규정을 따르는 매체 액세스 제어(Medium Access Control, MAC)와 무선 매체에 대한 물리층(Physical Layer) 인터페이스를 포함하는 임의의 디바이스로서, 광의로는 비 액세스 포인트(non-AP) 스테이션뿐만 아니라 액세스 포인트(AP)를 모두 포함할 수 있다. 본 명세서에서 '단말'은 non-AP 스테이션을 가리키나, 실시 예에 따라 non-AP 스테이션 및 AP 모두 가리키는 용어로 사용될 수도 있다. 무선 통신을 위한 스테이션은 프로세서(Processor)와 송수신부(transmitter/receiver)를 포함하고, 실시 예에 따라 유저 인터페이스부와 디스플레이 유닛 등을 더 포함할 수 있다. 프로세서는 무선 네트워크를 통해 전송할 프레임을 생성하거나 또는 상기 무선 네트워크를 통해 수신된 프레임을 처리하며, 그 밖에 스테이션을 제어하기 위한 다양한 처리를 수행할 수 있다. 그리고, 송수신부는 상기 프로세서와 기능적으로 연결되어 있으며 스테이션을 위하여 무선 네트워크를 통해 프레임을 송수신한다. 단말은 무선 네트워크를 통해 AP와 프레임을 송수신할 수 있다.

실시 예에서, WIPS(10)는 제조사 고유 식별자(Organizationally Unique Identifier, OUI)들을 포함하는 제조사 식별 정보와 무선 프레임에 포함된 각 단말들의 MAC(Media Access Control) 주소를 비교할 수 있다. WIPS(10)는 비교 결과를 기초로 복수의 단말들 중 랜덤 MAC 주소를 갖는 타겟 단말을 결정하고, 차단 정책에 기초하여 타겟 단말의 액세스 포인트에 대한 액세스를 제어할 수 있다.

일 실시 예에서, 차단 정책은 랜덤 MAC 주소를 갖는 타겟 단말의 액세스 포인트에 대한 액세스를 차단하고, 복수의 단말들 중 고유 MAC 주소를 갖는 단말의 액세스 포인트에 대한 액세스는 허용하는 정책일 수 있다. 이는 사용자를 특정할 수 없는 랜덤 MAC 주소를 갖는 단말의 접속을 차단하여, 무선 네트워크에 대한 침입을 방지하기 위함이다.

일 실시 예에서, 차단 정책은 랜덤 MAC 주소를 갖는 타겟 단말의 액세스 포인트에 대한 액세스를 차단하고, 고유 MAC 주소를 갖는 단말들 중 비등록 MAC 주소를 갖는 단말의 액세스 포인트에 대한 액세스는 차단하고, 등록 MAC 주소를 갖는 단말의 액세스 포인트에 대한 액세스를 허용하는 정책일 수 있다. 이는 사용자를 특정할 수 있는 고유 MAC 주소를 갖는 단말들 중 액세스가 인가된 단말만의 접속을 허용하여, 무선 네트워크에 대한 침입을 방지하기 위함이다. 등록 MAC 주소는 관리자에 의해 사전에 등록된 단말의 MAC 주소일 수 있다.

일 실시 예에서, 차단 정책은 랜덤 MAC 주소를 갖는 타겟 단말 중 관리자의 승인을 받지 못한 단말의 액세스 포인트에 대한 액세스를 차단하고, 관리자의 승인을 받은 단말의 액세스 포인트에 대한 액세스를 허용하는 정책일 수 있다. 사용자를 특정할 수 없는 랜덤 MAC 주소를 갖는 단말이라도, 관리자로부터 사전 승인을 획득한 경우 예외적으로 액세스를 허용하기 위함이다.

실시 예에서, WIPS(10)는 센싱 장치(100) 및 컨트롤러(200)를 포함할 수 있다.

센싱 장치(100)는 복수의 단말들과 액세스 포인트 간의 송수신되는 무선 프레임을 모니터링하고, 모니터링한 무선 프레임을 분석한 프레임 분석 정보를 컨트롤러(200)로 전송할 수 있다. 프레임 분석 정보는 무선 프레임을 전송한 단말 또는 AP의 MAC 주소, 보안 설정 내용, 전송 속도, SSID, IEEE 802.11 a/b/g/n/ac/ax 등 여부, 채널, RSSI 등을 포함할 수 있다. 센싱 장치(100)는 컨트롤러(200)로부터 수신한 차단 명령 정보를 기초로 AP 또는 단말에 대한 차단 명령을 실행할 수 있다.

실시 예에서, 센싱 장치(100)는 센싱 모듈(110) 및 통신 모듈(120)을 포함할 수 있다.

센싱 모듈(110)은 컨트롤러(200)로부터 수신한 차단 명령 정보를 기초로 차단 메시지를 생성할 수 있다. 센싱 모듈(110)은 생성한 차단 메시지를 타겟 AP 및 단말로 전송하도록 통신 모듈(120)을 제어할 수 있다. 통신 모듈(120)은 타겟 AP 및 단말로 차단 메시지를 전송할 수 있다.

실시 예에서, 센싱 모듈(110)은 센서 수신부(111), 센서 분석부(112) 및 센서 차단부(113)를 포함할 수 있다.

센서 수신부(111)는 통신 모듈(120)을 제어하여 복수의 채널에서 무선 프레임을 모니터링할 수 있다.

센서 분석부(112)는 모니터링 결과, 수신된 무선 프레임을 분석한 프레임 분석 정보를 컨트롤러(200)로 전송할 수 있다. 프레임 분석 정보는 무선 프레임을 송신한 AP 또는 단말의 정보를 포함할 수 있다.

센서 차단부(113)는 차단 명령을 실행할 수 있다. 센서 차단부(113)는 컨트롤러(200)로부터 수신한 차단 명령 정보를 기초로 차단 메시지를 생성할 수 있다.

예를 들어, 센서 차단부(113)는 IEEE 802.11이 적용된 일반 무선 네트워크에서 비인증(Deauthentication) 프레임을 포함하는 차단 메시지를 생성할 수 있다. 센서 차단부(113)는 IEEE 802.11w이 적용된 보안 무선 네트워크에서 방해 신호 및 위장 패킷을 포함하는 차단 메시지를 생성할 수 있다.

센서 차단부(113)는 생성된 차단 메시지를 무선 프레임을 송수신한 AP 및 단말로 전송하도록 통신 모듈(120)를 제어할 수 있다. 이 때, 센서 차단부(113)는 차단 메시지를 보내는 주소는 AP의 BSSID로 설정하고, 받는 주소는 단말의 MAC 주소로 설정할 수 있다. 또는 센서 차단부(113)는 차단 메시지를 보내는 주소는 단말의 MAC 주소로 설정하고, 받는 주소는 AP의 BSSID로 설정할 수 있다. 통신 모듈(120)로부터 전송되는 차단 메시지를 받은 AP와 단말은, 상대방이 연결 종료를 알리는 차단 메시지를 전송하였다고 판단하여 서로 간의 액세스를 중지할 수 있다.

컨트롤러(200)는 센싱 장치(100)로부터 수신한 프레임 분석 정보를 DB(database)화된 서명(signature) 정보와 비교하여 해당 단말 또는 AP의 비인가 여부 및 이상 동작 여부를 판단할 수 있다. 이때, 서명 정보는 기존에 수집된 무선 프레임 정보, 차단 정책 또는 차단 대상 목록 등의 정보를 포함할 수 있다. 컨트롤러(200)는 해당 단말 또는 AP가 비인가 되었거나 이상 동작 중인 경우, 차단 정책에 의한 자동 차단을 실시하거나 알람을 발생시켜 관리자에 의해 수동 차단을 실시하게 할 수 있다.

실시 예에서, 컨트롤러(200)는 차단 정책 및 프레임 분석 정보를 기초로 차단할 AP 또는 단말을 결정할 수 있다.

컨트롤러(200)는 제조사 식별 정보와 프레임 분석 정보에 포함된 각 단말들의 MAC 주소를 비교할 수 있다. 제조사 식별 정보는 IEEE에 등록된 제조사 고유 식별자들을 포함할 수 있다. 컨트롤러(200)는 비교 결과를 기초로 복수의 단말들 중 랜덤 MAC 주소를 갖는 타겟 단말과 고유 MAC 주소를 갖는 단말을 결정할 수 있다.

구체적으로, 컨트롤러(200)는 각 단말들의 MAC 주소에 포함된 상위 24 비트 값이 제조사 고유 식별자들에 포함하는지 여부를 기초로, 각 단말들의 MAC 주소가 랜덤 MAC 주소인지 결정할 수 있다. 컨트롤러(200)는 단말의 MAC 주소에 포함된 상위 24 비트 값이 제조사 고유 식별자들에 포함되면, 단말의 MAC 주소를 고유 MAC 주소로 결정할 수 있다. 센싱 모듈(110)는 상위 24 비트 값이 제조사 고유 식별자들과 다르면, 단말의 MAC 주소를 랜덤 MAC 주소로 결정할 수 있다.

차단 정책은 무선 네트워크 환경에 따라 다양하게 설정될 수 있다.

일 실시 예에서, 차단 정책은 랜덤 MAC 주소를 갖는 타겟 단말 중 관리자의 승인을 받지 못한 단말의 액세스 포인트에 대한 액세스를 차단하고, 관리자의 승인을 받은 단말의 액세스 포인트에 대한 액세스를 허용하는 정책일 수 있다. 사용자를 특정할 수 없는 랜덤 MAC 주소를 갖는 단말이라도, 관리자의 사전 승인을 받은 경우 예외적으로 액세스를 허용하기 위함이다.

컨트롤러(200)는 차단 명령 정보를 생성하고, 생성한 차단 명령 정보를 센싱 장치(100)로 전송할 수 있다. 차단 명령 정보는, 차단 대상 목록에 포함되거나 차단 정책을 위반하여 차단 결정된 AP 또는 단말에 관한 정보를 포함할 수 있다.

실시 예에서, 컨트롤러(200)는 다양한 방식으로 AP 또는 단말의 액세스를 차단할 수 있다.

일 예로, 컨트롤러(200)의 차단 방식은 AP 차단을 포함할 수 있다. 이때, 컨트롤러(200)는 차단 대상 AP의 BSSID가 감지되면 특정 단말 대상이 아니고 AP에 액세스하는 모든 단말을 차단할 수 있다.

다른 예로, 컨트롤러(200)의 차단 방식은 단말 차단을 포함할 수 있다. 이때, 컨트롤러(200)는 비인가 단말로 판단되거나 해당 단말이 인가된 단말로 변조했음을 탐지했을 경우, 해당 단말을 차단할 수 있다. 해당 단말의 MAC이 나타나면 컨트롤러(200)는 이의 모든 AP로의 액세스를 차단할 수 있다.

또 다른 예로, 컨트롤러(200)의 차단 방식은 특정 AP-단말 차단을 포함할 수 있다. 이때, 컨트롤러(200)는 비인가 AP에 인가 단말이 연결되었을 경우 또는 인가 AP에 비인가 단말이 연결되었을 경우 연결을 차단할 수 있다. 컨트롤러(200)는 해당 단말 MAC이 나타나면 지정된 AP로의 액세스에 대해서만 차단하고 그 외 AP의 액세스에는 관여하지 않을 수 있다.

도 2를 참조하면, S201 단계에서, 센서 수신부(111)는 복수의 채널들을 통해, AP와 복수의 단말들 간에 송수신되는 무선 프레임을 모니터링 할 수 있다.

S203단계에서, 센서 수신부(111)는 센서 분석부(112)에 수신한 무선 프레임의 분석을 호출할 수 있다.

S205단계에서, 센서 분석부(112)는 무선 프레임을 분석하고, 프레임 분석 정보를 생성할 수 있다. 프레임 분석 정보는 무선 프레임을 전송한 단말 또는 AP의 MAC 주소, 보안 설정 내용, 전송 속도, SSID, IEEE 802.11 a/b/g/n/ac/ax 등 여부, 채널, RSSI 등을 포함할 수 있다.

S207단계에서, 센서 분석부(112)는 프레임 분석 정보를 컨트롤러(200)에 제공할 수 있다.

S209단계에서, 컨트롤러(200)는 프레임 분석 정보를 기초로 무선 프레임을 송신한 AP 또는 단말 정보를 추가하거나 갱신할 수 있다.

S211단계에서, 컨트롤러(200)는 차단 정책을 기초로 해당 AP 또는 단말의 차단 정책 위반 여부를 판단할 수 있다.

S213단계에서, 컨트롤러(200)는 해당 AP 또는 단말이 차단 정책 위반으로 판단되는 경우, 정책 설정 값에 따른 차단 명령 정보를 생성할 수 있다.

S215단계에서, 컨트롤러(200)는 차단 명령 정보를 센서 차단부(113)에 전송할 수 있다. 차단 명령 정보는, 차단 대상 목록에 포함되거나 차단 정책을 위반하여 차단 결정된 AP 또는 단말에 관한 정보를 포함할 수 있다.

S217단계에서, 센서 차단부(113)는 수신한 차단 명령 정보를 기초로 차단 명령을 실행할 수 있다. 구체적으로, 센서 차단부(113)는 차단 명령 정보를 기초로 차단 메시지를 생성할 수 있다. 센서 차단부(113)는 차단 메시지를 타겟 AP 또는 단말로 전송하도록 통신 모듈을 제어할 수 있다. 차단 메시지는 전술한 비인증 프레임 또는 방해 신호, 위장 패킷을 포함할 수 있다.

도 3을 참조하면, S301단계에서 단말(30)은 AP(20)에 액세스 요청을 포함하는 무선 프레임을 송신할 수 있다.

S303단계에서 WIPS(10)는 AP(20)와 단말(30) 간에 전송되는 무선 프레임을 수집할 수 있다.

S305단계에서 WIPS(10)는 수집된 무선 프레임에 포함된 단말(30)의 MAC 주소가 랜덤 MAC 주소인지 판단할 수 있다.

예를 들어, WIPS(10)는 단말(30)의 MAC 주소에 포함된 상위 24 비트 값이 제조사 고유 식별자에 포함되면 단말(30)의 MAC 주소를 고유 MAC 주소로 결정하고, 상위 24 비트 값이 제조사 고유 식별자와 다르면 단말(30)의 MAC 주소를 랜덤 MAC 주소로 결정할 수 있다. WIPS(10)는 IEEE로부터 제조사 고유 식별자들을 포함하는 제조사 식별 정보를 획득할 수 있다.

S307단계에서 WIPS(10)는 단말(30)의 MAC 주소가 등록 MAC 주소인지 판단할 수 있다. 등록 MAC 주소는 관리자가 사전에 액세스 포인트에 대한 액세스를 허용한 단말의 MAC 주소일 수 있다. 다른 실시 예에서 S307단계는 생략될 수 있다.

S309단계에서 WIPS(10)는 차단 정책에 따라 AP(20)에 대한 단말(30)의 액세스 허용 여부를 결정할 수 있다.

일 실시 예에서, 차단 정책은 랜덤 MAC 주소를 갖는 타겟 단말 중 관리자의 승인을 받지 못한 단말의 액세스 포인트에 대한 액세스를 차단하고, 관리자의 승인을 받은 단말의 액세스 포인트에 대한 액세스를 허용하는 정책일 수 있다. 사용자를 특정할 수 없는 랜덤 MAC 주소를 갖는 단말이라도, 관리자가 승인한 경우 예외적으로 액세스를 허용하기 위함이다.

S311단계에서 WIPS(10)는 AP(20)에 대한 단말(30)의 액세스 허용 여부를 나타내는 액세스 제어 정보를 AP(20)에 제공할 수 있다.

S313단계에서 AP(20)는 액세스 제어 정보를 기초로 단말(30)의 액세스를 허용하거나 차단할 수 있다.

도 4를 참조하면, S401단계에서 무선 침입 방지 시스템은 IEEE(Institute of Electrical and Electronics Engineers)로부터 제조사 고유 식별자(Organizationally Unique Identifier, OUI)를 수신할 수 있다.

S403단계에서 무선 침입 방지 시스템은 액세스 포인트에 액세스 요청한 단말의 MAC 주소와 제조사 고유 식별자의 비교 결과를 기초로, 단말의 MAC 주소가 랜덤 MAC 주소인지 판단할 수 있다.

S405단계에서 무선 침입 방지 시스템은 단말의 MAC 주소가 랜덤 MAC 주소이면, 차단 정책에 따라 단말의 액세스 허용 여부를 결정할 수 있다.

도 5를 참조하면, S501단계에서 무선 침입 방지 시스템은 액세스 요청한 단말로부터 단말의 MAC 주소를 포함하는 무선 프레임을 수신할 수 있다.

S503단계에서 무선 침입 방지 시스템은 단말의 MAC 주소가 랜덤 MAC 주소인지 판단할 수 있다. 예를 들어, 무선 침입 방지 시스템은 단말의 MAC 주소가 제조사 고유 식별자와 일치하면, 단말의 MAC 주소를 고유 MAC 주소로 결정하고, 단말의 MAC 주소가 제조사 고유 식별자와 다르면, 단말의 MAC 주소를 랜덤 MAC 주소로 결정할 수 있다.

무선 침입 방지 시스템은 판단 결과, 단말의 MAC 주소가 랜덤 MAC 주소이면 S505단계로 진행하고, 단말의 MAC 주소가 고유 MAC 주소이면 S507단계로 진행한다.

S505단계에서 무선 침입 방지 시스템은 랜덤 MAC 주소를 갖는 단말의 액세스 포인트에 대한 액세스를 차단할 수 있다.

S507단계에서 무선 침입 방지 시스템은 고유 MAC 주소를 갖는 단말의 액세스 포인트에 대한 액세스를 허용할 수 있다.

도 5의 실시 예에 따르면 랜덤 MAC 주소를 갖는 타겟 단말의 액세스 포인트에 대한 액세스를 차단되고, 복수의 단말들 중 고유 MAC 주소를 갖는 단말의 액세스 포인트에 대한 액세스는 허용될 수 있다. 이는 사용자를 특정할 수 없는 랜덤 MAC 주소를 갖는 단말의 접속을 차단하여, 무선 네트워크에 대한 침입을 방지하기 위함이다.

도 6을 참조하면, S601단계에서 무선 침입 방지 시스템은 액세스 요청한 단말로부터 단말의 MAC 주소를 포함하는 무선 프레임을 수신할 수 있다.

S603단계에서 무선 침입 방지 시스템은 단말의 MAC 주소가 랜덤 MAC 주소인지 판단할 수 있다.

무선 침입 방지 시스템은 판단 결과, 단말의 MAC 주소가 랜덤 MAC 주소이면 S605단계로 진행하고, 단말의 MAC 주소가 고유 MAC 주소이면 S607단계로 진행한다. 포함하는 무선 프레임을 수신할 수 있다.

S605단계에서 무선 침입 방지 시스템은 랜덤 MAC 주소를 갖는 단말의 액세스 포인트에 대한 액세스를 차단할 수 있다.

S607단계에서 무선 침입 방지 시스템은 단말의 MAC 주소가 등록 MAC 주소인지 판단할 수 있다. 판단 결과, 단말의 MAC 주소가 등록 MAC 주소이면 S609단계로 진행하고, 단말의 MAC 주소가 비등록 MAC 주소이면 S605단계로 진행한다. 등록 MAC 주소는 관리자가 사전에 액세스 포인트에 대한 액세스를 허용한 단말의 MAC 주소일 수 있다.

S609단계에서 무선 침입 방지 시스템은 등록 MAC 주소를 갖는 단말의 액세스 포인트에 대한 액세스를 허용할 수 있다.

도 6의 실시 예에 따르면, 랜덤 MAC 주소를 갖는 타겟 단말의 액세스 포인트에 대한 액세스를 차단될 수 있다. 고유 MAC 주소를 갖는 단말들 중 비등록 MAC 주소를 갖는 단말의 액세스 포인트에 대한 액세스는 차단되고, 등록 MAC 주소를 갖는 단말의 액세스 포인트에 대한 액세스를 허용될 수 있다. 이는 고유 MAC 주소를 갖는 단말들 중 관리자에 의해 액세스가 허용된 단말만의 접속을 허용하여, 무선 네트워크에 대한 침입을 방지하기 위함이다. 액세스를 허용할 수 있다.

도 7을 참조하면, S701단계에서 무선 침입 방지 시스템은 액세스 포인트에 액세스 요청한 단말로부터 단말의 MAC 주소를 포함하는 무선 프레임을 수신할 수 있다.

S703단계에서 무선 침입 방지 시스템은 단말의 MAC 주소가 랜덤 MAC 주소인지 판단할 수 있다. 무선 침입 방지 시스템은 판단 결과, 단말의 MAC 주소가 랜덤 MAC 주소이면 S705단계로 진행하고, 단말의 MAC 주소가 고유 MAC 주소이면 S709단계로 진행한다.

S705단계에서 무선 침입 방지 시스템은 차단 정책을 기초로 단말이 관리자로부터 사전 승인된 단말인지 판단할 수 있다. 무선 침입 방지 시스템은 단말이 사전에 승인된 단말이면 S709단계로 진행하고, 단말이 사전에 승인되지 않은 단말이면 S707단계로 진행한다.

S707단계에서 무선 침입 방지 시스템은 랜덤 MAC 주소를 갖는 단말 중 관리자로부터 사전 승인되지 않은 단말의 액세스 포인트에 대한 액세스를 차단할 수 있다.

S709단계에서 무선 침입 방지 시스템은 고유 MAC 주소를 갖는 단말이거나 랜덤 MAC 주소를 갖는 단말 중 관리자로부터 사전 승인된 단말의 액세스 포인트에 대한 액세스를 허용할 수 있다.

도 7의 실시 예에 따르면, 랜덤 MAC 주소를 갖는 타겟 단말 중 관리자의 승인을 받지 못한 단말의 액세스 포인트에 대한 액세스를 차단되고, 관리자의 사전 승인을 받은 단말의 액세스 포인트에 대한 액세스를 허용될 수 있다. 이는 사용자를 특정할 수 없는 랜덤 MAC 주소를 갖는 단말이라도, 관리자가 사전 승인한 경우 예외적으로 액세스를 허용하기 위함이다.

Claims

무선 네트워크를 통해 액세스 포인트(Access Point, AP)와 복수의 단말들 간에 송수신되는 무선 프레임을 모니터링하고, 상기 무선 프레임을 기초로 프레임 분석 정보를 생성하는 센싱 장치; 및

제조사 고유 식별자(Organizationally Unique Identifier, OUI)들을 포함하는 제조사 식별 정보와 상기 프레임 분석 정보에 포함된 각 단말들의 MAC(Media Access Control) 주소의 비교하고, 비교 결과를 기초로 상기 복수의 단말들 중 랜덤 MAC 주소를 갖는 타겟 단말과 고유 MAC 주소를 갖는 단말을 결정하고, 상기 타겟 단말의 상기 액세스 포인트에 대한 액세스는 차단하고, 상기 고유 MAC 주소를 갖는 단말의 상기 액세스 포인트에 대한 액세스는 허용하는 컨트롤러;를 포함하는 무선 침입 방지 시스템(Wireless Intrusion Prevention System, WIPS).
제 1항에 있어서, 상기 컨트롤러는,

IEEE(Institute of Electrical and Electronics Engineers)로부터 상기 제조사 식별 정보를 획득하는 무선 침입 방지 시스템.
제 1항에 있어서, 상기 컨트롤러는,

상기 각 단말들의 MAC 주소에 포함된 상위 24 비트 값이 상기 제조사 고유 식별자들에 포함하는지 여부를 기초로, 상기 각 단말들의 MAC 주소가 랜덤 MAC 주소인지 결정하는 무선 침입 방지 시스템.
제 3항에 있어서, 상기 컨트롤러는,

단말의 MAC 주소에 포함된 상위 24 비트 값이 상기 제조사 고유 식별자들에 포함되면, 상기 단말의 MAC 주소를 고유 MAC 주소로 결정하고, 상기 상위 24 비트 값이 상기 제조사 고유 식별자들과 다르면, 상기 단말의 MAC 주소를 랜덤 MAC 주소로 결정하는 무선 침입 방지 시스템.
제 1항에 있어서, 상기 컨트롤러는,

상기 고유 MAC 주소가 등록 MAC 주소인지 여부에 따라 상기 고유 MAC 주소를 갖는 단말의 상기 액세스 포인트에 대한 액세스를 허용하는 무선 침입 방지 시스템.
제 1항에 있어서, 상기 컨트롤러는

상기 타겟 단말 중 관리자로부터 사전 승인된 단말의 상기 액세스 포인트에 대한 액세스의 차단을 해제하는 무선 침입 방지 시스템.
제 1항에 있어서, 상기 무선 네트워크는,

IEEE 802.11이 적용되는 일반 무선네트워크 및 IEEE 802.11w이 적용되는 보안 무선 네트워크를 포함하는 무선 침입 방지 시스템.
제 1항에 있어서, 상기 프레임 분석 정보는,

상기 무선 프레임을 송수신한 단말의 MAC 주소, 상기 액세스 포인트의 SSID(Service Set IDentifer), 보안 설정 내용, 전송 속도, IEEE 802.11의 버전, 채널 정보 및 RSSI(Received Signal Strength Indication) 중 적어도 하나를 포함하는 무선 침입 방지 시스템.
무선 네트워크를 통해 액세스 포인트와 무선 프레임을 송수신하는 복수의 단말들 중 타겟 단말로부터 상기 액세스 포인트에 대한 액세스 요청을 수신하는 단계;

제조사 고유 식별자(Organizationally Unique Identifier, OUI)들을 포함하는 제조사 식별 정보와 상기 무선 프레임에 포함된 상기 타겟 단말의 MAC(Media Access Control) 주소의 비교 결과를 기초로 상기 타겟 단말의 MAC 주소가 랜덤 MAC 주소 또는 고유 MAC 주소인지 결정하는 단계; 및

상기 타겟 단말의 MAC 주소가 상기 랜덤 MAC 주소이면, 상기 타겟 단말의 상기 액세스 포인트에 대한 상기 액세스를 차단하고, 상기 타겟 단말의 MAC 주소가 상기 고유 MAC 주소이면, 상기 타겟 단말의 상기 액세스 포인트에 대한 상기 액세스를 허용하는 단계;를 포함하는 무선 침입 방지 시스템(Wireless Intrusion Prevention System, WIPS)의 동작 방법.
제 9항에 있어서, 상기 타겟 단말의 MAC 주소가 상기 고유 MAC 주소이면, 상기 타겟 단말의 상기 액세스 포인트에 대한 상기 액세스를 허용하는 단계는,

상기 고유 MAC 주소가 등록 MAC 주소인지 여부에 상기 타겟 단말의 상기 액세스 포인트에 대한 상기 액세스를 허용하는 무선 침입 방지 시스템의 동작 방법.
제 9항에 있어서, 상기 타겟 단말의 MAC 주소가 상기 랜덤 MAC 주소이면, 상기 타겟 단말의 상기 액세스 포인트에 대한 상기 액세스를 차단하는 단계는,

상기 타겟 단말이 관리자로부터 사전 승인되었는지 여부에 따라 상기 타겟 단말의 상기 액세스 포인트에 대한 상기 액세스의 차단을 해제하는 무선 침입 방지 시스템의 동작 방법.
제 9항에 있어서,

IEEE(Institute of Electrical and Electronics Engineers)로부터 상기 제조사 식별 정보를 획득하는 단계;를 더 포함하는 무선 침입 방지 시스템의 동작 방법.
제 9항에 있어서, 상기 타겟 단말의 MAC 주소가 랜덤 MAC 주소 또는 고유 MAC 주소인지 결정하는 단계는,

상기 타겟 단말의 MAC 주소에 포함된 상위 24 비트 값이 상기 제조사 고유 식별자들에 포함되는지 여부에 따라, 상기 타겟 단말의 MAC 주소가 랜덤 MAC 주소 또는 고유 MAC 주소인지 결정하는 단계;를 포함하는 무선 침입 방지 시스템의 동작 방법.
제 9항에 있어서,

상기 타겟 단말의 상기 액세스 포인트에 대한 상기 액세스를 차단하기 위한 차단 메시지를 생성하는 단계; 및

비인증 프레임을 포함하거나 방해 신호 및 위장 패킷을 포함하는 상기 차단 메시지를 상기 타겟 단말에 전송하는 단계;를 더 포함하는 무선 침입 방지 시스템의 동작 방법.
제 9항에 있어서, 상기 무선 네트워크는,

IEEE 802.11이 적용되는 일반 무선네트워크 및 IEEE 802.11w이 적용되는 보안 무선 네트워크를 포함하는 무선 침입 방지 시스템의 동작 방법.