JP7798376B2 - Method and apparatus for detecting and blocking rogue devices in wired/wireless networks - Google Patents
Method and apparatus for detecting and blocking rogue devices in wired/wireless networksInfo
- Publication number
- JP7798376B2 JP7798376B2 JP2023577733A JP2023577733A JP7798376B2 JP 7798376 B2 JP7798376 B2 JP 7798376B2 JP 2023577733 A JP2023577733 A JP 2023577733A JP 2023577733 A JP2023577733 A JP 2023577733A JP 7798376 B2 JP7798376 B2 JP 7798376B2
- Authority
- JP
- Japan
- Prior art keywords
- illegal
- blocking
- control server
- network
- wired
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/10—Current supply arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Technology Law (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は不法カメラのように許容されていない不法デバイスを検出するシステムに関し、さらに詳細には、有線および無線ネットワークでデバイスを監視しながら、許容されていないデバイスが検出されるとこれを遮断させることができる、有線/無線ネットワークの不法デバイス検出および遮断方法と装置に関する。 The present invention relates to a system for detecting unauthorized devices such as illegal cameras, and more specifically to a method and apparatus for detecting and blocking unauthorized devices on wired/wireless networks, which can monitor devices on wired and wireless networks and block unauthorized devices when they are detected.
最近、悪意の目的でコンピュータ周辺機器にスパイチップを搭載して有、無線のバックドアを生成した後、国家機密資料や企業の技術および営業資料、個人情報などを奪取するセキュリティ問題がイシュー化されており、不法カメラを設置した後、隠し撮りをして個人のプライバシー(privacy)を侵害したり不法映像を流布する行為が社会問題として台頭している。 Recently, security issues have become a hot topic, with malicious actors installing spy chips in computer peripherals to create wired and wireless backdoors and stealing confidential national documents, corporate technical and sales data, and personal information. Furthermore, the act of installing illegal cameras and secretly recording footage to violate individuals' privacy or illegally distributing the footage has emerged as a social problem.
このような不法行為を予防するための従来技術としては、大韓民国特許庁公開特許公報に公開番号第10-2021-0009917号で公開された「AIアルゴリズム適用不法隠しカメラリアルタイム遮断および警報装置」がある。前記公開特許は、HMMモデル適用予測部が状態遷移確率行列(state transition probability)A、観測確率(emission probability)B、初期状態確率ベクトルπを利用するHMMモデルを適用して予測を遂行し、不法機器遮断部がトラフィック分析および電流量による機器負荷量を利用して不法隠しカメラをリアルタイムで遮断し、不法映像判断部がパケット分析で不法映像を確定するものである。 A prior art technique for preventing such illegal activities is the "AI Algorithm-Based Illegal Hidden Camera Real-Time Blocking and Alarm Device," published in the Korean Intellectual Property Office Patent Publication under Publication No. 10-2021-0009917. In this published patent, an HMM model application prediction unit performs predictions by applying an HMM model that uses a state transition probability matrix A, an emission probability B, and an initial state probability vector π. An illegal device blocking unit blocks illegal hidden cameras in real time using traffic analysis and device load based on current flow, and an illegal video determination unit identifies illegal videos through packet analysis.
また公開番号第10-2014-0071776号に公開された「無線ラン侵入探知方法およびシステム」は、侵入探知センサが外部または内部から攻撃の疑いがあるパケットを探知し、侵入探知APが無線ランのすべてのAPで生成されるAP生成フレームを管理し、威嚇管理サーバーが攻撃の疑いがあるパケットに含まれるフレームを抽出した後、抽出されたフレームがAP生成フレームに存在するフレームであるかどうかを検査してパケットの攻撃の有無を判断するものである。 In addition, the "Wireless LAN Intrusion Detection Method and System" disclosed in Publication No. 10-2014-0071776 involves an intrusion detection sensor detecting packets suspected of being an attack from either the outside or the inside, an intrusion detection AP managing AP-generated frames generated by all APs in the wireless LAN, and a threat management server extracting frames contained in packets suspected of being an attack, and then checking whether the extracted frames are frames present in AP-generated frames to determine whether the packets are an attack.
従来技術の不法隠しカメラ遮断装置と無線ラン侵入探知技術は、撮影された映像の伝送パケットをモニタリングして不法映像を探知する方式であるか伝送パケットに含まれたフレームを検査する方式であるので、不法デバイスを事前に探知して遮断できない問題点がある。 Prior art illegal hidden camera blocking devices and wireless LAN intrusion detection technologies either detect illegal video by monitoring the transmission packets of captured video or inspect the frames contained in the transmission packets, which means they have the problem of not being able to detect and block illegal devices in advance.
本発明は前記のような問題点を解決するために提案されたもので、本発明の目的は、有線および無線ネットワークでデバイスの情報をモニタリングしながら、許容されていない不法デバイスを検出して不法行為発生前に該当不法デバイスを予め遮断させることができる、有線/無線ネットワークの不法デバイス検出および遮断方法と装置を提供することである。 The present invention has been proposed to solve the above-mentioned problems, and its object is to provide a method and apparatus for detecting and blocking unauthorized devices on wired/wireless networks, which can monitor device information on wired and wireless networks, detect unauthorized devices, and block the unauthorized devices before any illegal activity occurs.
本発明の実施例は、有線/無線ネットワークで不法デバイス検出および遮断装置を開示する。 An embodiment of the present invention discloses an apparatus for detecting and blocking rogue devices on wired and wireless networks.
開示された不法デバイス検出および遮断装置は、監視対象ネットワークに接続してマック(MAC)アドレスを獲得し、制御命令により該当マック(MAC)アドレスのデバイスを遮断するためのネットワーク接続部と、不法デバイスのマック(MAC)アドレスをマックリスト(MAC list)として保存している保存手段と、前記ネットワーク接続部を通じて監視対象ネットワークに連結されたデバイスのマック(MAC)アドレスの入力を受けて前記マックリストのマック(MAC)アドレスと比較して不法デバイスを検出し、不法デバイスが検出されると前記ネットワーク接続部を通じて該当不法デバイスの伝送を遮断させるように前記ネットワーク接続部を制御する制御部を含む。 The disclosed illegal device detection and blocking device includes a network connection unit that connects to a monitored network to acquire a MAC address and blocks devices with the corresponding MAC address in response to a control command; storage means that stores the MAC addresses of illegal devices as a MAC list; and a control unit that receives MAC addresses of devices connected to the monitored network through the network connection unit, compares the MAC addresses with the MAC addresses in the MAC list to detect illegal devices, and controls the network connection unit to block transmissions from the illegal device via the network connection unit if an illegal device is detected.
前記不法デバイス検出および遮断装置は管制サーバーや外部ホスト装置と通信するための入出力部をさらに含むことができ、前記制御部は前記ネットワーク接続部を通じて監視対象ネットワークに接続されたデバイスのIP/MACアドレスを収集するパケットパターン情報収集部と、収集されたデバイスのMACアドレスを保存手段のマックリストに登録されたMACアドレスと比較して不法デバイスを検出する不法デバイス検出部と、前記不法デバイス検出部によって不法デバイスが検出されると、該当不法デバイスをネットワークから遮断する不法デバイス遮断部と、前記入出力部を通じて管制サーバーと通信して前記保存手段のマックリストを更新する入出力制御部を含むことができる。 The illegal device detection and blocking device may further include an input/output unit for communicating with a control server or an external host device, and the control unit may include a packet pattern information collection unit that collects IP/MAC addresses of devices connected to the monitored network through the network connection unit, an illegal device detection unit that compares the collected device MAC addresses with MAC addresses registered in the MAC list of the storage means to detect illegal devices, an illegal device blocking unit that blocks the illegal device from the network when an illegal device is detected by the illegal device detection unit, and an input/output control unit that communicates with the control server through the input/output unit and updates the MAC list of the storage means.
前記有線/無線ネットワークの不法デバイス検出および遮断装置は、監視対象ネットワークに連結されたデバイスのマック(MAC)アドレスを判別して不審なデバイスと判断されると該当不審なデバイスのマック(MAC)アドレスを管制サーバーに伝送し、前記管制サーバーは不審なデバイスのマック(MAC)アドレスが伝送されると該当不審なデバイスが不法デバイスであるかを判断して不法デバイスと判断されると該当不法デバイスの伝送を遮断させるための遮断命令を該当不法デバイス検出および遮断装置に伝送し、必要に応じて前記マックリストを更新させるものである。 The wired/wireless network illegal device detection and blocking device determines the MAC address of a device connected to the monitored network, and if it is determined to be a suspicious device, transmits the MAC address of the suspicious device to the control server. When the MAC address of the suspicious device is transmitted, the control server determines whether the suspicious device is an illegal device, and if it is determined to be an illegal device, transmits a blocking command to the illegal device detection and blocking device to block transmissions from the illegal device, and updates the MAC list as necessary.
前記ネットワークが有線ネットワークであれば、前記ネットワーク接続部は監視対象有線ラン(LAN)にエイアールピー(ARP)リクエストを伝送した後、エイアールピー(ARP)応答パケットを通じてアップデートされたエイアールピー(ARP)テーブルからマック(MAC)アドレスを獲得するための有線ネットワーク接続部であり、前記制御部は前記有線ネットワーク接続部を通じて有線ネットワークに連結されたデバイスのマック(MAC)アドレスの入力を受けて前記マックリスト(MAC list)のマック(MAC)アドレスと比較して、不法デバイスが検出されると管制サーバーに通報し、管制サーバーから遮断命令を文字メッセージで受信すると前記有線ネットワーク接続部を通じてエイアールピー(ARP)スプーフィングで該当不法デバイスの伝送を遮断させるものである。 If the network is a wired network, the network connection unit is a wired network connection unit that transmits an ARP request to the wired LAN to be monitored and then acquires a MAC address from the updated ARP table through an ARP response packet. The control unit receives the MAC address of a device connected to the wired network through the wired network connection unit, compares it with the MAC address in the MAC list, and if an illegal device is detected, notifies the control server. If a blocking command is received from the control server via a text message, the control unit blocks transmissions from the illegal device using ARP spoofing through the wired network connection unit.
前記ネットワークが無線ネットワークであれば、前記ネットワーク接続部はモニターモードで監視対象無線ラン(LAN)に存在するデバイスのマック(MAC)アドレスを獲得し、不法デバイスを遮断するための無線ネットワーク接続部であり、前記制御部は前記無線ネットワーク接続部をモニターモードで動作させた後、前記無線ネットワーク接続部からマック(MAC)アドレスの入力を受けて前記マックリスト(MAC list)のマック(MAC)アドレスと比較して、不法デバイスを検出すると管制サーバーに通報し、管制サーバーから遮断命令を文字メッセージ(SMS)で受信すると前記無線ネットワーク接続部を通じて認証解除パケット(de-Authentificate packet)を伝送して該当不法デバイスの伝送を遮断させるものである。 If the network is a wireless network, the network connection unit is a wireless network connection unit that acquires MAC addresses of devices present on the monitored wireless LAN in monitor mode and blocks illegal devices. The control unit operates the wireless network connection unit in monitor mode, receives MAC addresses from the wireless network connection unit, compares them with the MAC addresses in the MAC list, and notifies the control server if an illegal device is detected. If a blocking command is received from the control server via text message (SMS), the control unit transmits a de-authenticate packet through the wireless network connection unit to block transmissions from the illegal device.
また、本発明の他の実施例は有線/無線ネットワークで不法デバイス検出および遮断方法を開示する。 Another embodiment of the present invention discloses a method for detecting and blocking rogue devices on wired and wireless networks.
開示された不法デバイス検出および遮断方法は、不法デバイス検出および遮断端末が監視対象ネットワークに存在するマック(MAC)アドレスを獲得する段階と、不法デバイス検出および遮断端末が獲得されたマック(MAC)アドレスを保存されたマックリスト(MAC list)のマック(MAC)アドレスと比較して不法デバイスを検出する段階と、不法デバイスが検出されると、不法デバイス検出および遮断端末が管制サーバーに通報し、管制サーバーから遮断命令を文字メッセージで受信して該当不法デバイスの伝送を遮断する段階と、を含む。 The disclosed method for detecting and blocking illegal devices includes the steps of: an illegal device detection and blocking terminal acquiring a MAC address present in a monitored network; an illegal device detection and blocking terminal comparing the acquired MAC address with MAC addresses in a stored MAC list to detect the illegal device; and, if an illegal device is detected, the illegal device detection and blocking terminal notifying a control server, receiving a blocking command from the control server via a text message, and blocking transmissions from the illegal device.
前記ネットワークが有線ネットワークであれば、前記不法デバイス検出および遮断端末がエイアールピー(ARP)リクエストを通じて監視対象有線ネットワークに存在するマック(MAC)アドレスを獲得し、不法デバイスが検出されると管制サーバーに通報し、管制サーバーから遮断命令を文字メッセージで受信するとエイアールピー(ARP)スプーフィングを通じて該当不法デバイスの伝送を遮断するものである。 If the network is a wired network, the illegal device detection and blocking terminal obtains MAC addresses present on the monitored wired network through an ARP request, notifies the control server when an illegal device is detected, and blocks transmissions from the illegal device through ARP spoofing when it receives a blocking command from the control server via text message.
前記ネットワークが無線ネットワークであれば、前記不法デバイス検出および遮断端末がモニターモードで動作して監視対象無線ネットワークに存在するマック(MAC)アドレスを獲得し、不法デバイスが検出されると管制サーバーに通報し、管制サーバーから遮断命令を文字メッセージで受信すると認証解除パケット(de-Authentificate packet)を無線ネットワークに伝送して該当不法デバイスの伝送を遮断するものである。 If the network is a wireless network, the illegal device detection and blocking terminal operates in monitor mode to acquire MAC addresses present on the monitored wireless network. If an illegal device is detected, it notifies the control server. If a blocking command is received from the control server via text message, it transmits a de-authenticate packet to the wireless network to block transmissions from the illegal device.
また、本発明の他の実施例は有線/無線ネットワークで不法デバイス検出および遮断装置を開示する。 Another embodiment of the present invention discloses an apparatus for detecting and blocking rogue devices in wired/wireless networks.
開示された不法デバイス検出および遮断装置は、監視対象有線ラン(LAN)に存在するデバイスのマック(MAC)アドレスを獲得するための有線ネットワーク接続部と、監視対象無線ラン(LAN)に存在するデバイスのマック(MAC)アドレスを獲得するための無線ネットワーク接続部と、移動通信網を通じて管制サーバーと通信するための移動通信網接続部と、マックリスト(MAC list)とファームウェアを保存している保存手段と、前記有線ネットワーク接続部を通じて有線ネットワークに連結されたデバイスのマック(MAC)アドレスの入力を受け、前記無線ネットワーク接続部を通じて無線ネットワークに連結されたデバイスのマック(MAC)アドレスの入力を受けて有線/無線ネットワークに連結されたデバイスを監視し、不法マック(MAC)アドレスが検出されると前記移動通信網接続部を通じて管制サーバーに伝達し、前記移動通信網接続部を通じて文字命令が受信されるとこれをデコーディングして該当文字命令を処理する制御部を含む。 The disclosed illegal device detection and blocking device includes a wired network connection unit for acquiring MAC addresses of devices present on a monitored wired LAN, a wireless network connection unit for acquiring MAC addresses of devices present on a monitored wireless LAN, a mobile communication network connection unit for communicating with a control server via a mobile communication network, storage means for storing a MAC list and firmware, and a control unit that receives MAC addresses of devices connected to the wired network via the wired network connection unit and receives MAC addresses of devices connected to the wireless network via the wireless network connection unit to monitor devices connected to the wired/wireless networks, and transmits detected illegal MAC addresses to the control server via the mobile communication network connection unit, and decodes and processes text commands received via the mobile communication network connection unit.
前記制御部は前記移動通信網接続部を通じて管制サーバーと通信し、文字命令が受信されると該当文字命令を解釈して実行する入出力制御部と、前記ネットワーク接続部を通じて監視対象有線ランにサブネットに属するすべてのIPアドレスにARPリクエストを伝送し、有線ランに接続されたデバイスからARP応答パケットの受信を受けてARPテーブルをアップデートし、モニター(Monitor)モードで動作しながら周辺のWiFiデバイスのMACアドレスを収集するパケットパターン情報収集部と、ARP応答パケットを通じて収集された有線ランのMACアドレスと保存手段のマックリストに登録されたMACアドレスを比較して有線不法デバイスを検出し、モニターモードで収集された無線ランのMACアドレスを保存手段のマックリストに登録されたMACアドレスと比較して無線不法デバイスを検出し、有線不法デバイスや無線不法デバイスが検出されると前記入出力制御部を通じて管制サーバーにこれを報告する不法デバイス検出部と、前記入出力制御部を通じて管制サーバーから遮断命令が受信されると、エイアールピースプーフィング(ARP spoofing)機能を通じて有線不法デバイスのデータ伝送を遮断したり認証解除パケット(de-Authentificate packet)を伝送して無線不法デバイスの動作を遮断する不法デバイス遮断部を含む。 The control unit includes an input/output control unit that communicates with the control server through the mobile communication network connection unit and interprets and executes text commands when they are received; a packet pattern information collection unit that transmits ARP requests to all IP addresses belonging to the subnet of the wired LAN to be monitored through the network connection unit, updates the ARP table upon receiving ARP response packets from devices connected to the wired LAN, and operates in monitor mode to collect MAC addresses of surrounding Wi-Fi devices; an illegal device detection unit that detects wired illegal devices by comparing the MAC addresses of the wired LAN collected through the ARP response packets with the MAC addresses registered in the MAC list of the storage means, and detects wireless illegal devices by comparing the MAC addresses of the wireless LAN collected in monitor mode with the MAC addresses registered in the MAC list of the storage means, and reports the detection of wired or wireless illegal devices to the control server through the input/output control unit; and an illegal device detection unit that detects wired or wireless illegal devices by detecting ARP spoofing (ARP) when a blocking command is received from the control server through the input/output control unit. It includes an illegal device blocking unit that blocks data transmission from wired illegal devices through a spoofing function and blocks the operation of wireless illegal devices by transmitting de-authenticate packets.
前記入出力制御部は、文字命令が受信されると該当文字命令を解釈して有線/無線遮断命令であれば前記不法デバイス遮断部にこれを伝達し、マックリスト更新命令であれば前記保存手段のマックリストを更新し、ファームウェア更新命令であれば前記保存手段のファームウェアを更新するものである。 When a text command is received, the input/output control unit interprets the text command and, if it is a wired/wireless blocking command, transmits it to the illegal device blocking unit; if it is a MAC list update command, updates the MAC list of the storage means; and if it is a firmware update command, updates the firmware of the storage means.
本発明の実施例によると、不法デバイス検出および遮断端末を有線/無線内部ネットワークに連結して非認可有線/無線信号を探知して不法行為以前に不法デバイスを遮断することができ、事業者移動通信網、軍事通信網、無線通信網などの多様な有線/無線通信網のセキュリティに適用することができる。 According to an embodiment of the present invention, an illegal device detection and blocking terminal can be connected to a wired/wireless internal network to detect unauthorized wired/wireless signals and block illegal devices before any illegal activity occurs, which can be applied to the security of various wired/wireless communication networks such as carrier mobile communication networks, military communication networks, and wireless communication networks.
また、本発明の実施例によると、不法デバイスの信号強度を活用して位置を追跡することができる。 Furthermore, according to an embodiment of the present invention, the location of an illicit device can be tracked using its signal strength.
本発明と本発明の実施によって達成される技術的課題は、以下で説明する本発明の好ましい実施例によってより明確になるであろう。次の実施例は単に本発明を説明するために例示されたものに過ぎず、本発明の範囲を制限するためのものではない。 The present invention and the technical objectives achieved by implementing it will become clearer from the preferred embodiments of the present invention described below. The following examples are merely illustrative for the purpose of explaining the present invention and are not intended to limit the scope of the present invention.
図1は、本発明に係る不法デバイス検出および遮断装置のブロック図である。 Figure 1 is a block diagram of an illegal device detection and blocking device according to the present invention.
本発明の不法デバイス検出および遮断装置100は図1に図示された通り、ネットワーク接続部110、保存手段120、制御部130で構成される。 As shown in FIG. 1, the illegal device detection and blocking device 100 of the present invention comprises a network connection unit 110, a storage means 120, and a control unit 130.
図1を参照すると、ネットワーク接続部110は監視対象ネットワークに接続してマック(MAC)アドレスを獲得し、制御命令により該当マック(MAC)アドレスのデバイスを遮断するためのものであり、保存手段120は不法デバイスのマック(MAC)アドレスをマックリスト(MAC list)として保存している。 Referring to FIG. 1, the network connection unit 110 connects to the monitored network to obtain MAC addresses and block devices with the corresponding MAC addresses according to control commands, and the storage means 120 stores the MAC addresses of illegal devices as a MAC list.
保存手段はRAM(Random Access Memory)のような揮発性メモリ、ROM(Read Only Memory)、EPROM(Erasable Programmable ROM)、EEPROM(Electrically Erasable Programmable ROM)、フラッシュメモリなどのような不揮発性メモリ、ハードディスク、着脱型ディスク、または本発明が属する技術分野で広く知られている任意の形態のコンピュータで読み取り可能な記録媒体を含んで構成され得る。 The storage means may be composed of volatile memory such as RAM (Random Access Memory), non-volatile memory such as ROM (Read Only Memory), EPROM (Erasable Programmable ROM), EEPROM (Electrically Erasable Programmable ROM), flash memory, a hard disk, a removable disk, or any other form of computer-readable recording medium commonly known in the technical field to which the present invention pertains.
マックリスト(MAC list)はブラックリストとホワイトリストでデバイスを管理する場合、一種のブラックリストに対応する不法デバイスのMACアドレスが保存された遮断リストであって、本発明の不法デバイス検出および遮断装置を製造あるいは設置する時に設定することができ、管制サーバーによって持続的に更新され得る。 When managing devices using blacklists and whitelists, a MAC list is a blocking list that stores the MAC addresses of illegal devices that correspond to a type of blacklist. It can be set when manufacturing or installing the illegal device detection and blocking device of the present invention, and can be continuously updated by the control server.
制御部130はネットワーク接続部110を通じて監視対象ネットワークに連結されたデバイスのマック(MAC)アドレスの入力を受けて保存手段120のマックリストのマック(MAC)アドレスと比較して不法デバイスを検出し、不法デバイスが検出されると移動通信部を通じて管制サーバーに通報し、管制サーバーから遮断命令を文字メッセージ(MMS、SMSなど)で受信した後、ネットワーク接続部110を通じて該当不法デバイスの伝送を遮断させる。制御部130はCPU(Central Processing Unit)、MPU(Micro Processor Unit)、MCU(Micro Controller Unit)、GPU(Graphic Processing Unit)または本発明の技術分野に広く知られている任意の形態のプロセッサを含んで構成され得る。 The control unit 130 receives MAC addresses of devices connected to the monitored network through the network connection unit 110 and compares them with the MAC addresses in the MAC list stored in the storage unit 120 to detect illegal devices. If an illegal device is detected, the control unit 130 notifies the control server through the mobile communication unit, receives a blocking command from the control server via a text message (MMS, SMS, etc.), and then blocks transmissions from the illegal device through the network connection unit 110. The control unit 130 may be configured to include a CPU (Central Processing Unit), MPU (Micro Processor Unit), MCU (Micro Controller Unit), GPU (Graphics Processing Unit), or any other type of processor commonly known in the technical field of the present invention.
図2は、本発明に係る不法デバイス検出および遮断方法のフローチャートである。 Figure 2 is a flowchart of the method for detecting and blocking rogue devices according to the present invention.
図2を参照すると、マック(MAC)リスト記録段階(S1)では、不法デバイスと予測される「MACリスト」を獲得して保存手段120に記録する。 Referring to FIG. 2, in the MAC list recording step (S1), a "MAC list" of devices predicted to be illegal is obtained and recorded in the storage means 120.
パケット情報収集段階(S2)では、不法デバイス検出および遮断装置が監視対象ネットワークに存在するパケットを収集してマック(MAC)アドレスを抽出する。 In the packet information collection step (S2), the illegal device detection and blocking device collects packets present on the monitored network and extracts MAC addresses.
不法デバイス検出段階(S3)では、不法デバイス検出および遮断装置が抽出されたマック(MAC)アドレスを保存されたマックリスト(MAC list)のマック(MAC)アドレスと比較して不法デバイスを検出する。 In the illegal device detection step (S3), the illegal device detection and blocking device compares the extracted MAC address with the MAC addresses in the stored MAC list to detect illegal devices.
管制サーバー連動段階(S4)では、不法デバイス検出および遮断装置が移動通信網を利用して検出された不法デバイス情報(MACアドレス、探知距離など)を管制サーバーに伝送し、管制サーバーは文字メッセージ(MMS、SMS)を利用して不法デバイス遮断命令を不法デバイス検出および遮断装置に伝送する。 In the control server interlocking step (S4), the illegal device detection and blocking device transmits information about the detected illegal device (MAC address, detection distance, etc.) to the control server using the mobile communication network, and the control server transmits an illegal device blocking command to the illegal device detection and blocking device using a text message (MMS, SMS).
不法デバイス遮断段階(S5)では、不法デバイス検出および遮断装置が該当不法デバイスの伝送を遮断する。 In the illegal device blocking step (S5), the illegal device detection and blocking device blocks transmissions from the illegal device.
このような本発明の装置と方法は、次のような具体的な実施例を通じて具現され得る。 The device and method of the present invention can be embodied through the following specific examples.
図3は、本発明の実施例に係る不法デバイス検出および遮断システムを図示した概略図である。 Figure 3 is a schematic diagram illustrating an illicit device detection and blocking system according to an embodiment of the present invention.
本発明の実施例に係る不法デバイス検出および遮断システムは、図3に図示された通り、無線ラン(LAN)10と有線ラン(LAN)20環境に設置され、移動通信網30を通じて管制サーバー200と連結されて無線ラン(LAN)10と有線ラン(LAN)20に存在する不法デバイスを検出して連結を遮断するための不法デバイス検出端末100と、分散設置された不法デバイス検出および遮断端末100を総合して管理するための管制サーバー200で構成され得る。 As shown in FIG. 3, the illegal device detection and blocking system according to an embodiment of the present invention may be configured with an illegal device detection terminal 100 that is installed in a wireless LAN (LAN) 10 and wired LAN (LAN) 20 environment and connected to a control server 200 via a mobile communication network 30 to detect illegal devices present in the wireless LAN (LAN) 10 and wired LAN (LAN) 20 and block the connection, and a control server 200 that collectively manages the distributed illegal device detection and blocking terminals 100.
図3を参照すると、有線ラン(LAN)20はケーブルを通じて連結されるLAN(Local Area Network)であって、イーサネットやIEEE 802.3プロトコルにより動作する。有線ランには合法的な有線端末が連結されており、本発明で監視対象である有線不法デバイス60も連結され得る。 Referring to FIG. 3, the wired LAN 20 is a LAN (Local Area Network) connected via a cable and operates according to the Ethernet or IEEE 802.3 protocol. Legitimate wired terminals are connected to the wired LAN, and wired illicit devices 60, which are the subject of monitoring in the present invention, may also be connected.
無線ラン(LAN)10は無線方式で連結されるWireless LANであって、IEEE 802.11プロトコルにより動作しWiFiともいう。無線ランには合法的な無線端末が連結されており、本発明で監視対象である無線不法デバイス50も連結され得る。 The wireless LAN (LAN) 10 is a wireless LAN connected wirelessly, operates according to the IEEE 802.11 protocol, and is also known as Wi-Fi. Legitimate wireless terminals are connected to the wireless LAN, and illegal wireless devices 50, which are the subject of monitoring in this invention, may also be connected to it.
移動通信網30は移動電話機やスマートフォンのように移動端末から基地局31を通じて接続できる3G、4G(LTE)、5G通信網であって、USIMチップを通じて加入者を識別することができ、使用時に通信事業者によって所定の通信費用が課金される。本発明の実施例では管制サーバー200が移動通信網30を通じて不法デバイス検出および遮断端末100に連結され得る。 The mobile communication network 30 is a 3G, 4G (LTE), or 5G communication network that can be accessed from mobile terminals such as mobile phones and smartphones via a base station 31. Subscribers can be identified through a USIM chip, and predetermined communication fees are charged by the communication carrier when used. In an embodiment of the present invention, the control server 200 can be connected to the illegal device detection and blocking terminal 100 via the mobile communication network 30.
不法デバイス検出および遮断端末100は有線ラン(LAN)20と無線ラン(LAN)10環境に設置され、移動通信網30を通じて管制サーバー200と連結されて有線ラン(LAN)20と無線ラン(LAN)10に存在する不法デバイスを検出して管制サーバー200に報告し、管制サーバー200の遮断命令により該当不法デバイスを遮断させることができる。本発明の実施例で不法デバイスはマック(MAC)リストに記録されたデバイスであって、管制サーバー200に該当デバイスのMACアドレスを伝送して判断を要求した後、不法デバイスと判明して遮断命令が受信されると該当デバイスを遮断させる。 The illegal device detection and blocking terminal 100 is installed in a wired LAN (LAN) 20 and wireless LAN (LAN) 10 environment and is connected to the control server 200 via a mobile communication network 30. It detects illegal devices present in the wired LAN (LAN) 20 and wireless LAN (LAN) 10, reports them to the control server 200, and can block the illegal devices in response to a blocking command from the control server 200. In an embodiment of the present invention, the illegal devices are devices recorded in a MAC list, and after transmitting the MAC address of the device to the control server 200 to request a judgment, if the device is determined to be an illegal device and a blocking command is received, the device is blocked.
不法デバイス検出および遮断端末100はモニター(Monitor)モードで不法デバイスを監視し、管制サーバー200の命令により不法デバイスを遮断する。ここで、MonitorモードはWiFi端末がAPと連結されていなくてもアンテナを通じて受信されるすべての無線フレームを収集できる無線ラン(LAN)運営モードである。 The illegal device detection and blocking terminal 100 monitors illegal devices in monitor mode and blocks them according to the command of the control server 200. Here, monitor mode is a wireless LAN operation mode in which the WiFi terminal can collect all wireless frames received through the antenna even if it is not connected to an AP.
また、不法デバイス検出および遮断端末100はネットワークをスキャン後、MACアドレス、探知距離などを管制サーバー200に伝送してDB200aに登録できるようにする。 In addition, the illegal device detection and blocking terminal 100 scans the network and then transmits the MAC address, detection distance, etc. to the control server 200 so that they can be registered in DB 200a.
管制サーバー200はデータベース200aを具備しており、データベース200aには不法デバイス検出および遮断端末100のファームウェア(F/W)バージョンとMACリストのバージョン情報を保存しているバージョンファイルと、MACリスト、ファームウェア(F/W)データが保存されている。 The control server 200 has a database 200a, which stores a version file that stores firmware (F/W) version and MAC list version information of the illegal device detection and blocking terminal 100, as well as MAC list and firmware (F/W) data.
管制サーバー200は不法デバイス検出および遮断端末100を設置した使用者を会員として加入を受けて、不法デバイス検出および遮断端末100の設置場所と各種情報をデータベース200aに登録している。すなわち、管制サーバー200は機器選択機能、設置場所入力および地図表示機能、検索されたMACリスト表示機能、不審なデバイスMACリストチェック後遮断時にマックリスト(MAC list)に登録して更新する遮断機能、バージョンファイルとファームウェアファイル、MACリストファイルに対するアップロード機能などを具備しており、管理者モード画面、会員情報管理画面、会員機器管理画面などを提供することができる。検索MAC listには感度、データ量、疑いの有無などが記録されている。ここで、不審なデバイスとは、不法デバイス検出および遮断端末100が所定の手続きにより判別して不法デバイスと疑われるデバイスを意味し、管制サーバー200は不法デバイス検出および遮断端末100から報告された不審なデバイスが最終的に不法デバイスと判断される場合、該当不審なデバイスをマック(MAC)リストに登録して遮断させることができる。 The control server 200 accepts users who have installed an illegal device detection and blocking terminal 100 as members and registers the installation location and various information of the illegal device detection and blocking terminal 100 in the database 200a. Specifically, the control server 200 is equipped with a device selection function, an installation location input and map display function, a searched MAC list display function, a blocking function that registers and updates the MAC list when blocking a suspicious device after checking the MAC list, and an upload function for version files, firmware files, and MAC list files. It can also provide an administrator mode screen, a member information management screen, a member device management screen, etc. The searched MAC list records sensitivity, data volume, and whether or not there is suspicion. Here, a suspicious device refers to a device that the illegal device detection and blocking terminal 100 determines to be a suspected illegal device through a predetermined procedure, and if the control server 200 ultimately determines that a suspicious device reported by the illegal device detection and blocking terminal 100 is an illegal device, it can register the suspicious device in a MAC list and block it.
また、管制サーバー200は次の表1のような文字メッセージ(MMS)命令を通じて該当不法デバイス検出および遮断端末100に文字命令を伝送できるようになっている。 In addition, the control server 200 can transmit text commands to the corresponding illegal device detection and blocking terminal 100 through text message (MMS) commands as shown in Table 1 below.
図4は、本発明の実施例に係る不法デバイス検出および遮断端末の構成を図示したブロック図である。 Figure 4 is a block diagram illustrating the configuration of an illegal device detection and blocking terminal according to an embodiment of the present invention.
本発明の実施例に係る不法デバイス検出および遮断端末100は図4に図示された通り、無線ネットワーク接続部112と有線ネットワーク接続部114からなるネットワーク接続部110と、パケットパターン情報収集部131、不法デバイス検出部132、不法デバイス遮断部133、入出力制御部134からなる制御部130と、マック(MAC)リスト122が保存された保存手段120と、管制サーバー入出力部141とデバイス入出力部142からなる入出力部140で構成される。 As shown in FIG. 4, the illegal device detection and blocking terminal 100 according to an embodiment of the present invention comprises a network connection unit 110 consisting of a wireless network connection unit 112 and a wired network connection unit 114, a control unit 130 consisting of a packet pattern information collection unit 131, an illegal device detection unit 132, an illegal device blocking unit 133, and an input/output control unit 134, a storage means 120 storing a MAC list 122, and an input/output unit 140 consisting of a control server input/output unit 141 and a device input/output unit 142.
図4を参照すると、有線ネットワーク接続部114は監視対象有線ラン(LAN)20に接続して有線ネットワークに存在するデバイスのMACアドレスを獲得するためのものである。 Referring to Figure 4, the wired network connection unit 114 connects to the monitored wired LAN 20 to obtain the MAC addresses of devices present on the wired network.
無線ネットワーク接続部112は監視対象無線ラン(LAN)10に接続して無線ネットワークに存在するデバイスのMACアドレスを獲得するためのものである。 The wireless network connection unit 112 connects to the monitored wireless LAN (LAN) 10 and acquires the MAC addresses of devices present on the wireless network.
パケットパターン情報収集部131は有線ネットワーク接続部114を通じて監視対象の有線ラン20にサブネットに属するすべてのIPアドレスにARPリクエストを伝送し、有線ランに接続されたデバイスからARP応答パケットの受信を受けてARPテーブルをアップデートし、無線ネットワーク接続部112を通じてモニター(Monitor)モードで動作してAPに接続していない状態で周辺のWiFiデバイスのMACアドレスを収集する。 The packet pattern information collection unit 131 transmits an ARP request to all IP addresses belonging to the subnet of the wired LAN 20 being monitored through the wired network connection unit 114, receives ARP response packets from devices connected to the wired LAN, updates the ARP table, and operates in monitor mode through the wireless network connection unit 112 to collect MAC addresses of nearby Wi-Fi devices while not connected to an AP.
不法デバイス検出部132はARP応答パケットを通じて収集された有線ランのMACアドレスと保存手段のMACリスト122に登録されたMACアドレスと比較して有線不法デバイス60を検出し、モニターモードで収集された無線ランのMACアドレスを保存手段のMACリスト122に登録されたMACアドレスと比較して無線不法デバイス50を検出する。 The illegal device detection unit 132 detects wired illegal devices 60 by comparing the MAC addresses of wired LANs collected through ARP response packets with the MAC addresses registered in the MAC list 122 of the storage means, and detects wireless illegal devices 50 by comparing the MAC addresses of wireless LANs collected in monitor mode with the MAC addresses registered in the MAC list 122 of the storage means.
不法デバイス遮断部133は不法デバイス検出部132により有線不法デバイス60が検出されると、ARP spoofing機能を通じて有線不法デバイスのデータ伝送を遮断する。ここで、ARPスプーフィング(spoofing)はPCのMACアドレスを同一ネットワークに存在する他のPCのMACアドレスに偽装して中間でPCとサーバーの情報を横取りする攻撃方式をいう。また、不法デバイス検出部132により無線不法デバイス50が検出されると、認証解除パケット(de-Authentificate packet)を伝送して無線不法デバイスの動作を遮断する。ここで、De-Authentificationとは、802.11の管理フレームの一種である分離(結合解除、Disassociation)フレーム(subtype:1010)または脱認証(認証解除、Deauhentication)フレーム(subtype:1100)を利用してデバイスを遮断させるものである。 When a wired rogue device 60 is detected by the rogue device detection unit 132, the rogue device blocking unit 133 blocks data transmission from the wired rogue device through its ARP spoofing function. ARP spoofing refers to an attack method in which a PC's MAC address is spoofed to match the MAC address of another PC on the same network to intercept information between the PC and the server. Furthermore, when a wireless rogue device 50 is detected by the rogue device detection unit 132, a de-authenticate packet is transmitted to block the operation of the wireless rogue device. Here, de-authentication refers to blocking a device using a Disassociation frame (subtype: 1010) or a Deauthentication frame (subtype: 1100), which are types of 802.11 management frames.
入出力制御部134は管制サーバー入出力部141を通じて管制サーバー200と通信して保存手段120のマック(MAC)リスト122を更新したり、ファームウェアを更新するなどの動作を処理することができる。すなわち、入出力制御部134は不法デバイスが検出されると、管制サーバー入出力部141を通じて管制サーバー200に不法デバイス情報を伝達し、管制サーバー入出力部141を通じて文字が受信されると該当文字命令を処理する。例えば、MACリスト更新文字が受信されると、管制サーバー200からMACリストを持ってきて遮断動作を遂行する。また、バージョンファイル更新文字(ファームウェアバージョンやMACリストバージョン)が受信されるとMACリストデータやファームウェアデータを受信して更新する。 The input/output control unit 134 communicates with the control server 200 through the control server input/output unit 141 to process operations such as updating the MAC list 122 of the storage means 120 or updating firmware. That is, when an illegal device is detected, the input/output control unit 134 transmits illegal device information to the control server 200 through the control server input/output unit 141, and when a character is received through the control server input/output unit 141, it processes the corresponding character command. For example, when a MAC list update character is received, the input/output control unit 134 retrieves the MAC list from the control server 200 and performs a blocking operation. Also, when a version file update character (firmware version or MAC list version) is received, the input/output control unit 134 receives and updates the MAC list data or firmware data.
管制サーバー入出力部141は管制サーバー200と通信するための通信手段であって、本発明の実施例では移動通信網30を通じて管制サーバー200と通信することができる。 The control server input/output unit 141 is a communication means for communicating with the control server 200, and in an embodiment of the present invention, it is possible to communicate with the control server 200 via the mobile communication network 30.
本発明の実施例では、通信費用を節減できるように移動通信網30を利用した管制サーバー200への伝送は不法デバイスが発見された場合にのみデータ通信を開けて使用し、伝送後データ通信を閉じる。このようにデータ通信が端末100側から始まるので、前述した表1のように、管制サーバー側で送信する情報がある場合には移動通信網30を通じて文字メッセージ(SMS、MMS)の形態で該当命令を伝達し、不法デバイス検出および遮断端末100では文字命令を受信するとこれをデコーディングして関連動作を遂行する。 In an embodiment of the present invention, in order to reduce communication costs, data communication is opened and used for transmission to the control server 200 using the mobile communication network 30 only when an illegal device is detected, and data communication is closed after transmission. Since data communication thus begins from the terminal 100, as shown in Table 1 above, if the control server has information to send, it transmits the corresponding command in the form of a text message (SMS, MMS) through the mobile communication network 30. When the illegal device detection and blocking terminal 100 receives the text command, it decodes it and performs the relevant operation.
図5は、本発明の実施例が適用されるネットワーク環境で不法カメラの動作例を図示した図面である。 Figure 5 is a diagram illustrating an example of the operation of an illegal camera in a network environment to which an embodiment of the present invention is applied.
本発明の実施例が適用されるネットワーク環境の例は図5に図示された通り、無線不法カメラ50-1、50-2が無線ラン10でアクセスポイント11に連結されており、有線不法カメラ60-1が有線ラン20でゲートウェイ21に連結されており、不法デバイス検出および遮断端末100が有線/無線ネットワーク10、20と移動通信網30に連結されており、インターネット40を通じて管制サーバー40と不法デバイス視聴用デバイス70が連結されている。 As shown in FIG. 5, an example of a network environment to which an embodiment of the present invention can be applied is shown, in which wireless pirate cameras 50-1 and 50-2 are connected to an access point 11 via a wireless LAN 10, a wired pirate camera 60-1 is connected to a gateway 21 via a wired LAN 20, an pirate device detection and blocking terminal 100 is connected to wired/wireless networks 10 and 20 and a mobile communication network 30, and a control server 40 and an pirate device viewing device 70 are connected via the Internet 40.
このような状態で不法カメラが動作する場合には図5に図示された通り、無線不法カメラ50-1、50-2が撮影した不法映像は無線ラン10を通じてAP11に伝送され、AP11に伝送された不法映像はインターネット40を通じて不法映像視聴端末70に伝送される。また、有線不法カメラ60-1で撮影された不法映像は有線ラン20を通じてゲートウェイ21に伝送され、インターネット40を経て不法映像視聴端末70に伝送される。これに伴い、不法映像視聴用デバイス70で不法映像を視聴できるようになる。 When the illegal cameras are operating in this state, as shown in FIG. 5, the illegal videos captured by the wireless illegal cameras 50-1 and 50-2 are transmitted to the AP 11 via the wireless LAN 10, and the illegal videos transmitted to the AP 11 are then transmitted to the illegal video viewing terminal 70 via the Internet 40. Furthermore, the illegal videos captured by the wired illegal camera 60-1 are transmitted to the gateway 21 via the wired LAN 20, and then transmitted to the illegal video viewing terminal 70 via the Internet 40. As a result, the illegal videos can be viewed on the illegal video viewing device 70.
図6は本発明の実施例に係る無線不法カメラ検出方法を説明するための図面であり、図7は本発明の実施例に係る無線不法カメラ遮断方法を説明するための図面である。 Figure 6 is a diagram illustrating a method for detecting illegal wireless cameras according to an embodiment of the present invention, and Figure 7 is a diagram illustrating a method for blocking illegal wireless cameras according to an embodiment of the present invention.
図6を参照すると、不法デバイス検出および遮断端末100がモニタリングモードに転換されて無線ラン10に連結されたデバイスの無線パケットの受信を受けてMACアドレスを抽出した後、MACリストのMACアドレスと比較して無線不法カメラ50-1、50-2を検出し、無線不法カメラ50-1、50-2が検出されると図7に図示された通り、無線ラン10に認証解除パケット(de-Authentificate packet)を伝送して無線不法カメラ50-1、50-2がアクセスポイント11に接続することを遮断する。 Referring to FIG. 6, the illegal device detection and blocking terminal 100 switches to monitoring mode, receives wireless packets from devices connected to the wireless LAN 10, extracts the MAC addresses, and compares them with the MAC addresses in the MAC list to detect illegal wireless cameras 50-1 and 50-2. If illegal wireless cameras 50-1 and 50-2 are detected, as shown in FIG. 7, the terminal transmits a de-authenticate packet to the wireless LAN 10 to block the illegal wireless cameras 50-1 and 50-2 from connecting to the access point 11.
図8は本発明の実施例に係る有線不法カメラ検出方法を説明するための図面であり、図9は本発明の実施例に係る有線不法カメラ遮断方法を説明するための図面である。 Figure 8 is a diagram illustrating a method for detecting illegal wired cameras according to an embodiment of the present invention, and Figure 9 is a diagram illustrating a method for blocking illegal wired cameras according to an embodiment of the present invention.
図8を参照すると、不法デバイス検出および遮断端末100が有線ラン20にARPリクエストを要請した後、有線ラン20に連結されたデバイスのARP Replyの受信を受けてMACアドレスを抽出した後にMACリストのMACアドレスと比較して有線不法カメラ60-1を検出し、有線不法カメラ60-1が検出されると図9に図示された通り、有線ラン20にARP Reply(spoofing)パケットを伝送して有線不法カメラ60-1がゲートウェイに接続することを遮断する。 Referring to FIG. 8, the illegal device detection and blocking terminal 100 requests an ARP request from the wired LAN 20, then receives an ARP Reply from the device connected to the wired LAN 20, extracts the MAC address, and compares it with the MAC address in the MAC list to detect the wired illegal camera 60-1. If the wired illegal camera 60-1 is detected, as shown in FIG. 9, the terminal 100 transmits an ARP Reply (spoofing) packet to the wired LAN 20 to block the wired illegal camera 60-1 from connecting to the gateway.
図10は、本発明の実施例に係る不法デバイス検出および遮断システムの全体動作を図示したフローチャートである。 Figure 10 is a flowchart illustrating the overall operation of an illegal device detection and blocking system according to an embodiment of the present invention.
図10を参照すると、本発明の実施例に係る不法デバイス検出および遮断端末100を設置した使用者は、管制サーバー200に会員として加入して不法デバイス検出および遮断端末100の設置場所と各種情報(製品の一連番号など)を登録し、MACリストとAPリスト、ファームウェアリストなどの各種リストを保存して初期設定を遂行する(S101)。 Referring to FIG. 10, a user who has installed an illegal device detection and blocking terminal 100 according to an embodiment of the present invention registers as a member with the control server 200, registers the installation location of the illegal device detection and blocking terminal 100 and various information (such as the product serial number), and stores various lists such as a MAC list, AP list, and firmware list to perform initial configuration (S101).
以後、リセット命令が受け付けられたり電源がオン(Power On Reset)になると、不法デバイス検出および遮断端末100が有線ネットワーク接続部114と無線ネットワーク接続部112を作動させて有線/無線ラン(LAN)を活性化する(S102)。 After that, when a reset command is received or the power is turned on (Power On Reset), the illegal device detection and blocking terminal 100 activates the wired network connection unit 114 and the wireless network connection unit 112 to activate the wired/wireless LAN (S102).
引き続き、管制サーバー200のバージョンファイルでファームウェアバージョンとMACリストバージョンを確認する(S103)。 Next, check the firmware version and MAC list version in the version file on the control server 200 (S103).
新規のファームウェアバージョンが検出されたり新規のMACリストバージョンが検出されると、不法デバイス検出および遮断端末100が移動通信網30を通じて管制サーバー200の新規のファームウェアデータやMACリストデータをダウンロードしてファームウェアやMACリストを更新することができる(S104)。万一、ファームウェアデータがアップデートされた場合には再起動(Reboot)を通じて全体の過程を新しく始める。 If a new firmware version or a new MAC list version is detected, the illegal device detection and blocking terminal 100 can download new firmware data or MAC list data from the control server 200 via the mobile communication network 30 to update the firmware or MAC list (S104). If the firmware data is updated, the entire process starts anew through rebooting.
このように、動作初期にMACリストやファームウェアバージョンの更新を確認した後、不法デバイス検出および遮断端末100はモニター(WiFi monitor)モードで動作して無線ラン10に連結されたデバイスの無線パケットの受信を受けてMACアドレスを抽出した後、MACリストのMACアドレスと比較して無線不法デバイスを検出し、無線不法デバイスが検出されると管制サーバー200に該当情報を伝送する(S106~S109)。管制サーバー200は不法デバイス検出および遮断端末100から不審なデバイス情報が受信されるとマックリストに登録し、所定の手続きにより不法デバイス遮断命令を生成して文字メッセージ(MMS、SMS)を通じて該当不法デバイス検出および遮断端末100に伝送し、不法デバイス検出および遮断端末100は管制サーバー200から遮断命令を文字メッセージ(SMS)で受信した後、無線ラン10にde-Authentificate packetを伝送して無線不法デバイスを遮断する(S110~S112)。より詳しく説明すると、無線ラン(LAN)で不法デバイス検出および遮断端末100がモニターモードでMACアドレスをキャッチした後、MACヘッダーのアドレス2とアドレス3に不法デバイスがあるかを検査して不法デバイスが検出されると移動通信網30を通じて不審なデバイスのMACアドレスを管制サーバー200に伝送する。 In this way, after checking for updates to the MAC list and firmware version at the beginning of operation, the illegal device detection and blocking terminal 100 operates in monitor (WiFi monitor) mode to receive wireless packets from devices connected to the wireless LAN 10, extract the MAC address, and compare it with the MAC address in the MAC list to detect illegal wireless devices.If an illegal wireless device is detected, it transmits corresponding information to the control server 200 (S106 to S109). When the control server 200 receives suspicious device information from the illegal device detection and blocking terminal 100, it registers the information in the MAC list, generates an illegal device blocking command according to a predetermined procedure, and transmits it to the corresponding illegal device detection and blocking terminal 100 via a text message (MMS, SMS). After receiving the blocking command from the control server 200 via a text message (SMS), the illegal device detection and blocking terminal 100 transmits a de-authenticate packet to the wireless LAN 10 to block the wireless illegal device (S110-S112). More specifically, the illegal device detection and blocking terminal 100 captures a MAC address in monitor mode on the wireless LAN and checks whether there is an illegal device in addresses 2 and 3 of the MAC header. If an illegal device is detected, it transmits the MAC address of the suspicious device to the control server 200 via the mobile communication network 30.
引き続き、有線ラン(LAN)20で監視および遮断のために不法デバイス検出および遮断端末100がサブネットマスクを参照してローカルネットワーク(サブネット)ですべてのIPに対してARPリクエストを送った後、ARP応答パケットを受信してARPテーブルを更新し、更新されたARPテーブルのMACアドレス内に有線不法デバイスがあるかを検査して不法デバイスが検出されると移動通信網30を通じて不審なデバイスのMACアドレスを管制サーバー200に伝送する(S113~S118)。 Next, for monitoring and blocking on the wired LAN 20, the illegal device detection and blocking terminal 100 references the subnet mask and sends an ARP request to all IP addresses on the local network (subnet), then receives an ARP response packet and updates the ARP table. It checks whether there are any wired illegal devices among the MAC addresses in the updated ARP table, and if an illegal device is detected, it transmits the MAC address of the suspicious device to the control server 200 via the mobile communication network 30 (S113-S118).
管制サーバー200は不法デバイス検出および遮断端末100から不審なデバイス情報が受信されるとマックリストに登録し、所定の手続きにより不法デバイス遮断命令を生成して文字メッセージ(MMS、SMS)を通じて該当不法デバイス検出および遮断端末100に伝送し、これに伴い、不法デバイス検出および遮断端末100はARP spoofingを利用して該当有線不法デバイスを遮断させる(S119~S121)。 When the control server 200 receives suspicious device information from the illegal device detection and blocking terminal 100, it registers it in the MAC list, generates an illegal device blocking command according to a predetermined procedure, and transmits it to the corresponding illegal device detection and blocking terminal 100 via a text message (MMS, SMS). In response, the illegal device detection and blocking terminal 100 blocks the corresponding wired illegal device using ARP spoofing (S119-S121).
一方、管制サーバー200は必要に応じて前述した表1のような文字(MMSやSMS)命令を生成して移動通信網30を通じて該当不法デバイス検出および遮断端末100に伝送でき、不法デバイス検出および遮断端末100は文字(MMS、SMS)命令が受信されると、該当文字(MMS、SMS)命令をデコーディングして処理することができる。 Meanwhile, the control server 200 can generate a text (MMS or SMS) command as shown in Table 1 above as needed and transmit it to the corresponding illegal device detection and blocking terminal 100 via the mobile communication network 30, and when the illegal device detection and blocking terminal 100 receives the text (MMS, SMS) command, it can decode and process the corresponding text (MMS, SMS) command.
図11は、本発明の実施例に係る不法デバイス検出および遮断装置を外部網で構成した例を図示した概略図である。図11の実施例は管制サーバー200を多くの使用者が接続可能な外部インターネットに連結して、各ローカルネットワークの内部網に分散設置された不法デバイス検出および遮断端末100を中央で統合して管理できるようにした例である。 Figure 11 is a schematic diagram illustrating an example of an illegal device detection and blocking device configured on an external network according to an embodiment of the present invention. The embodiment of Figure 11 is an example in which the control server 200 is connected to the external Internet, which many users can access, and illegal device detection and blocking terminals 100 installed in various internal networks of each local network can be centrally integrated and managed.
図11を参照すると、内部網はスイッチ21を含む有線ラン(LAN)20と無線ラン(LAN)10で形成されており、外部網は通常のインターネット40であって、内部網はゲートウェイ21を通じて外部網と連結されている。 Referring to Figure 11, the internal network is formed by a wired LAN 20 including a switch 21 and a wireless LAN 10, and the external network is the regular Internet 40, with the internal network being connected to the external network via a gateway 21.
内部網の有線ラン(LAN)20には正常デバイス60Gと有線不法カメラ60-1、有線不法デバイス60-2が設置されており、内部網の無線ラン(LAN)10に無線不法カメラ50-1と無線不法デバイス50-3が設置されており、無線ラン(LAN)10はAP11を通じてスイッチ21と連結されている。 A normal device 60G, a wired pirate camera 60-1, and a wired pirate device 60-2 are installed on the wired LAN (LAN) 20 of the internal network, and a wireless pirate camera 50-1 and a wireless pirate device 50-3 are installed on the wireless LAN (LAN) 10 of the internal network, and the wireless LAN (LAN) 10 is connected to the switch 21 via AP 11.
不法デバイス検出および遮断端末100は有線ラン(LAN)20と無線ラン(LAN)10にすべて接続できるように内部網に設置されており、管制サーバー200は多数の使用者が接続できるように外部網のインターネット40に連結されている。また、管制サーバー200は正常使用者などのMACアドレスと不法デバイスのMACアドレスに対する情報をデータベース200aに保存している。 The illegal device detection and blocking terminal 100 is installed on an internal network so that it can be connected to both a wired LAN 20 and a wireless LAN 10, and the control server 200 is connected to the external network, the Internet 40, so that multiple users can access it. The control server 200 also stores information on the MAC addresses of legitimate users and the MAC addresses of illegal devices in a database 200a.
不法デバイス検出および遮断端末100は電源がオンされると、MACリストバージョンとファームウェアバージョンを確認して一連のMACリスト更新手続きとファームウェア更新手続きを遂行する。 When the illegal device detection and blocking terminal 100 is powered on, it checks the MAC list version and firmware version and performs a series of MAC list update procedures and firmware update procedures.
不法デバイス検出および遮断端末100はバージョン更新手続きを完了した後、有線ラン(LAN)20上での不法デバイス検出および遮断手続きと、無線ラン(LAN)10上での不法デバイス検出および遮断手続きを遂行する。 After completing the version update procedure, the illegal device detection and blocking terminal 100 performs the illegal device detection and blocking procedure on the wired LAN 20 and the illegal device detection and blocking procedure on the wireless LAN 10.
まず、有線ラン(LAN)上での不法デバイス検出および遮断手続きを詳察すると、不法デバイス検出および遮断端末100はサブネットマスクを参照して有線ラン(LAN)20のサブネットですべてのIPに対してARPリクエストを送った後、ARP応答パケットを受信してARPテーブルを更新し、更新されたARPテーブルのMACアドレス内に不法デバイスがあるかを検査して不法デバイスが検出されると不審なデバイスのMACアドレスを管制サーバー200に伝送する。 First, looking at the procedure for detecting and blocking illegal devices on a wired LAN, the illegal device detection and blocking terminal 100 refers to the subnet mask and sends an ARP request to all IPs in the subnet of the wired LAN 20, then receives an ARP response packet and updates the ARP table. It then checks whether there are any illegal devices among the MAC addresses in the updated ARP table, and if an illegal device is detected, it transmits the MAC address of the suspicious device to the control server 200.
管制サーバー200は不審なデバイスのMACアドレスを受け付けるとMACリストに登録した後、該当不法デバイス検出および遮断端末100に不法デバイスを遮断するようにMACリスト更新文字命令を伝送する。これに伴い、該当不法デバイス検出および遮断端末100はARP spoofingを利用して不法デバイスを遮断する。 When the control server 200 receives the MAC address of a suspicious device, it registers it in the MAC list and then transmits a MAC list update text command to the corresponding illegal device detection and blocking terminal 100 to block the illegal device. In response, the corresponding illegal device detection and blocking terminal 100 blocks the illegal device using ARP spoofing.
管制サーバー200は外部網のインターネット40や移動通信網30を利用して不法デバイスに対する各種管理情報と運営情報を使用者のモバイル端末80に伝送することもできる。 The control server 200 can also transmit various management and operational information regarding illegal devices to the user's mobile terminal 80 using the external network Internet 40 or the mobile communication network 30.
一方、無線ラン(LAN)上での不法デバイス検出および遮断手続きを詳察すると、不法デバイス検出および遮断端末100はWiFiをモニターモードで動作させてMACアドレスをキャッチした後、MACヘッダーのアドレス2とアドレス3に不法デバイスがあるかを検査して不法デバイスが検出されると不審なデバイスのMACアドレスを管制サーバー200に伝送する。 Meanwhile, looking more closely at the illegal device detection and blocking procedure on a wireless LAN, the illegal device detection and blocking terminal 100 operates the Wi-Fi in monitor mode to capture the MAC address, then checks whether there is an illegal device in address 2 and address 3 of the MAC header, and if an illegal device is detected, transmits the MAC address of the suspicious device to the control server 200.
管制サーバー200は不審なデバイスのMACアドレスを受け付けるとMACリストに登録した後、該当不法デバイス検出および遮断端末100に不法デバイスを遮断するようにMACリスト更新文字命令を伝送する。これに伴い、該当不法デバイス検出および遮断端末100はde-Authentificate packetを伝送して不法デバイスの動作を遮断する。 When the control server 200 receives the MAC address of a suspicious device, it registers it in the MAC list and then transmits a MAC list update text command to the corresponding illegal device detection and blocking terminal 100 to block the illegal device. In response, the corresponding illegal device detection and blocking terminal 100 transmits a de-authenticate packet to block the operation of the illegal device.
このように本発明の実施例によると、管制サーバー200を外部網に設置して各ローカルネットワークの内部網に分散設置された多様な使用者の不法デバイス検出および遮断端末100を中央で統合して管理することができる。 As such, according to an embodiment of the present invention, the control server 200 can be installed in an external network, and the illegal device detection and blocking terminals 100 of various users that are distributed across the internal networks of each local network can be centrally integrated and managed.
図12は、本発明の実施例に係る不法デバイス検出および遮断装置を閉鎖網で構成した例を図示した概略図である。すなわち、図12は内部網運営者が内部網に自身が運営する管制サーバー200を設置して内部網に設置された自身の不法デバイス検出および遮断端末100を閉鎖的に管理する例である。 Figure 12 is a schematic diagram illustrating an example of an illegal device detection and blocking device according to an embodiment of the present invention configured in a closed network. That is, Figure 12 illustrates an example in which an internal network operator installs a control server 200 operated by the operator in the internal network and manages the operator's own illegal device detection and blocking terminal 100 installed in the internal network in a closed manner.
図12を参照すると、内部網はスイッチ21を含む有線ラン(LAN)20と無線ラン(LAN)10で形成されており、外部網は通常のインターネット40であって、内部網はゲートウェイ21を通じて外部網と連結されている。 Referring to Figure 12, the internal network is formed by a wired LAN 20 including a switch 21 and a wireless LAN 10, and the external network is the regular Internet 40, with the internal network being connected to the external network via a gateway 21.
内部網の有線ラン(LAN)20には正常デバイス60Gと有線不法カメラ60-1、有線不法デバイス60-2が設置されており、内部網の無線ラン(LAN)10に無線不法カメラ50-1と無線不法デバイス50-3が設置されており、無線ラン(LAN)10はAP11を通じてスイッチ21と連結されている。 A normal device 60G, a wired pirate camera 60-1, and a wired pirate device 60-2 are installed on the wired LAN (LAN) 20 of the internal network, and a wireless pirate camera 50-1 and a wireless pirate device 50-3 are installed on the wireless LAN (LAN) 10 of the internal network, and the wireless LAN (LAN) 10 is connected to the switch 21 via AP 11.
不法デバイス検出および遮断端末100は有線ラン(LAN)20と無線ラン(LAN)10にすべて接続できるように内部網に設置されており、管制サーバー200は内部網でのみ接続できるように内部網に連結されており、外部網のインターネット40には不法デバイス検出および遮断端末100のファームウェアをアップグレードするためのファームウェア更新サーバー300が連結されている。ファームウェア更新サーバー300は不法デバイス検出および遮断端末のメーカーによって運営され得、管制サーバー200のDB200aには正常使用者などのMACアドレスと不法デバイスのMACアドレスに対する情報などが保存されている。 The illegal device detection and blocking terminal 100 is installed in an internal network so that it can be connected to both a wired LAN (LAN) 20 and a wireless LAN (LAN) 10, and the control server 200 is connected to the internal network so that it can only be connected via the internal network. A firmware update server 300 for upgrading the firmware of the illegal device detection and blocking terminal 100 is connected to the external network, the Internet 40. The firmware update server 300 can be operated by the manufacturer of the illegal device detection and blocking terminal, and the DB 200a of the control server 200 stores information such as MAC addresses of normal users and MAC addresses of illegal devices.
このような構造で不法デバイス検出および遮断端末100と管制サーバー200の間の通信は移動通信網30を通じてなされ得る。 With this structure, communication between the illegal device detection and blocking terminal 100 and the control server 200 can be performed via the mobile communication network 30.
このような閉鎖網の具現例は管制サーバー200が内部網に連結されて内部網の不法デバイス検出および遮断端末100を閉鎖的に管理し、MACリストバージョンは内部網の管制サーバー200を通じてアップグレードするがファームウェアバージョン管理は外部網のファームウェア更新サーバー300を通じてアップグレードするという点を除いては、不法デバイス検出および遮断端末100と管制サーバー200の間の動作は図11の外部網に設置した例と同一であるのでこれ以上の説明は省略することにする。 In this closed network embodiment, the control server 200 is connected to the internal network and manages the illegal device detection and blocking terminal 100 of the internal network in a closed manner, and the MAC list version is upgraded through the control server 200 of the internal network, but firmware version management is upgraded through the firmware update server 300 of the external network. Except for this, the operation between the illegal device detection and blocking terminal 100 and the control server 200 is the same as the example installed in the external network in Figure 11, so further explanation will be omitted.
以上で本発明は図面に図示された一実施例を参照して説明されたが、本技術分野の通常の知識を有する者であればこれから多様な変形および均等な他の実施例が可能であることが理解できるであろう。 Although the present invention has been described above with reference to one embodiment shown in the drawings, those skilled in the art will recognize that numerous modifications and equivalent alternative embodiments are possible.
Claims (3)
監視対象ネットワークに接続してマック(MAC)アドレスを獲得し、制御命令により該当マック(MAC)アドレスのデバイスを遮断するためのネットワーク接続部;
不法デバイスのマック(MAC)アドレスをマックリスト(MAC list)として保存している保存手段;
前記ネットワーク接続部を通じて監視対象ネットワークに連結されたデバイスのマック(MAC)アドレスの入力を受けて前記マックリストのマック(MAC)アドレスと比較して不法デバイスを検出し、不法デバイスが検出されると前記ネットワーク接続部を通じて該当不法デバイスの伝送を遮断させるように前記ネットワーク接続部を制御する制御部;および
管制サーバーや外部ホスト装置と通信するための入出力部
を含み、
前記制御部は、
前記ネットワーク接続部を通じて監視対象ネットワークに接続されたデバイスのIP/MACアドレスを収集するパケットパターン情報収集部と、
収集されたデバイスのMACアドレスを保存手段のマックリストに登録されたMACアドレスと比較して不法デバイスを検出する不法デバイス検出部と、
前記不法デバイス検出部によって不法デバイスが検出されると、該当不法デバイスをネットワークから遮断する不法デバイス遮断部と、
前記入出力部を通じて管制サーバーと通信して前記保存手段のマックリストを更新する入出力制御部を含み、
前記監視対象ネットワークの不法デバイス検出および遮断装置は、
監視対象ネットワークに連結されたデバイスのマック(MAC)アドレスを判別して不審なデバイスと判断されると該当不審なデバイスのマック(MAC)アドレスを管制サーバーに伝送し、前記管制サーバーは不審なデバイスのマック(MAC)アドレスが伝送されると該当不審なデバイスが不法デバイスであるかを判断して不法デバイスと判断されると該当不法デバイスの伝送を遮断させるための遮断命令を該当不法デバイス検出および遮断装置に伝送し、必要に応じて前記マックリストを更新させ、
前記ネットワークが有線ネットワークであれば、
前記ネットワーク接続部は監視対象有線ラン(LAN)にエイアールピー(ARP)リクエストを伝送した後、エイアールピー(ARP)応答パケットを通じてアップデートされたエイアールピー(ARP)テーブルからマック(MAC)アドレスを獲得するための有線ネットワーク接続部であり、
前記制御部は前記有線ネットワーク接続部を通じて有線ネットワークに連結されたデバイスのマック(MAC)アドレスの入力を受けて前記マックリスト(MAC list)のマック(MAC)アドレスと比較して、不法デバイスが検出されると管制サーバーに通報し、管制サーバーから遮断命令を文字メッセージで受信すると前記有線ネットワーク接続部を通じてエイアールピー(ARP)スプーフィングで該当不法デバイスの伝送を遮断させ、
前記ネットワークが無線ネットワークであれば、
前記ネットワーク接続部はモニターモードで監視対象無線ラン(LAN)に存在するデバイスのマック(MAC)アドレスを獲得し、不法デバイスを遮断するための無線ネットワーク接続部であり、
前記制御部は前記無線ネットワーク接続部をモニターモードで動作させた後、前記無線ネットワーク接続部からマック(MAC)アドレスの入力を受けて前記マックリスト(MAC list)のマック(MAC)アドレスと比較して、不法デバイスを検出すると管制サーバーに通報し、管制サーバーから遮断命令を文字メッセージ(SMS)で受信すると前記無線ネットワーク接続部を通じて認証解除パケット(de-Authentificate packet)を伝送して該当不法デバイスの伝送を遮断させ、
前記不法デバイス検出および遮断装置と前記管制サーバーとの間の通信は移動通信網を介して行われ、前記不法デバイス検出および遮断装置が前記管制サーバーに対してデータ通信によりデータを送信し、送信後にデータ通信を閉じ、前記管制サーバーは移動通信網を介して文字メッセージを用いて命令を伝達し、前記不法デバイス検出および遮断装置は文字メッセージを受信するとデコードして動作を実行し、
前記不法デバイス検出および遮断装置の前記マックリストは前記管制サーバーにより供給されてバージョンアップグレード可能であり、前記不法デバイス検出および遮断装置のファームウェアは外部網のファームウェア更新サーバーを介して供給されてバージョンアップグレード可能である、有線/無線ネットワークの不法デバイス検出および遮断装置。 An illegal device detection and blocking device that is additionally installed in an existing monitored network that has already been installed in order to detect and block illegal devices,
a network connection unit for connecting to a monitored network, acquiring a MAC address, and blocking a device with the MAC address according to a control command;
a storage means for storing MAC addresses of illegal devices as a MAC list ;
a control unit that receives a MAC address of a device connected to the monitored network through the network connection unit, compares the MAC address with the MAC address in the MAC list to detect an illegal device, and controls the network connection unit to block transmission of the illegal device through the network connection unit when an illegal device is detected ; and
Input/output section for communicating with the control server and external host devices
Including,
The control unit
a packet pattern information collecting unit that collects IP/MAC addresses of devices connected to the monitored network through the network connection unit;
an illegal device detection unit that compares the collected MAC addresses of the devices with MAC addresses registered in the MAC list of the storage means to detect illegal devices;
an illegal device blocking unit that blocks an illegal device from a network when the illegal device is detected by the illegal device detection unit;
an input/output control unit that communicates with a control server through the input/output unit to update the MAC list of the storage means;
The illegal device detection and blocking device for the monitored network includes:
The MAC address of a device connected to a monitored network is determined, and if the device is determined to be a suspicious device, the MAC address of the suspicious device is transmitted to a control server. When the MAC address of the suspicious device is transmitted, the control server determines whether the suspicious device is an illegal device, and if the suspicious device is determined to be an illegal device, transmits a blocking command to the illegal device detection and blocking device to block transmissions from the illegal device, and updates the MAC list as necessary.
If the network is a wired network,
The network connection unit is a wired network connection unit for transmitting an ARP request to a monitored wired LAN and then acquiring a MAC address from an ARP table updated through an ARP response packet;
The control unit receives an input of a MAC address of a device connected to the wired network through the wired network connection unit, compares the MAC address with the MAC address in the MAC list, and notifies a control server when an illegal device is detected, and blocks transmission of the illegal device by ARP spoofing through the wired network connection unit when a blocking command is received from the control server as a text message,
If the network is a wireless network,
The network connection unit is a wireless network connection unit for obtaining MAC addresses of devices present in a monitored wireless LAN in a monitor mode and blocking illegal devices;
The control unit operates the wireless network connection unit in a monitor mode, receives a MAC address from the wireless network connection unit, compares the MAC address with the MAC address in the MAC list, and notifies a control server when an illegal device is detected; and when a blocking command is received from the control server by a text message (SMS), transmits a de-authenticate packet through the wireless network connection unit to block transmission of the illegal device;
communication between the illegal device detection and blocking device and the control server is performed via a mobile communication network, the illegal device detection and blocking device transmits data to the control server via data communication and closes the data communication after the transmission, the control server transmits an instruction using a text message via the mobile communication network, and the illegal device detection and blocking device receives the text message and decodes it to perform an operation;
The rogue device detection and blocking device of a wired/wireless network, wherein the master list of the rogue device detection and blocking device is supplied by the control server and is upgradable, and the firmware of the rogue device detection and blocking device is supplied via a firmware update server of an external network and is upgradable .
不法デバイス検出および遮断端末が監視対象ネットワークに接続し、前記監視対象ネットワークに存在するマック(MAC)アドレスを獲得する段階;
不法デバイス検出および遮断端末が獲得されたマック(MAC)アドレスを保存されたマックリスト(MAC list)のマック(MAC)アドレスと比較して不法デバイスを検出する段階;および
不法デバイスが検出されると、不法デバイス検出および遮断端末が管制サーバーに通報し、管制サーバーから遮断命令を文字メッセージで受信して該当不法デバイスの伝送を遮断する段階を含み、
前記監視対象ネットワークが有線ネットワークであれば、
前記不法デバイス検出および遮断端末がエイアールピー(ARP)リクエストを通じて監視対象有線ネットワークに存在するマック(MAC)アドレスを獲得し、不法デバイスが検出されると管制サーバーに通報し、管制サーバーから遮断命令を文字メッセージで受信するとエイアールピー(ARP)スプーフィングを通じて該当不法デバイスの伝送を遮断し、
前記監視対象ネットワークが無線ネットワークであれば、
前記不法デバイス検出および遮断端末がモニターモードで動作して監視対象無線ネットワークに存在するマック(MAC)アドレスを獲得し、不法デバイスが検出されると管制サーバーに通報し、管制サーバーから遮断命令を文字メッセージで受信すると認証解除パケット(de-Authentificate packet)を無線ネットワークに伝送して該当不法デバイスの伝送を遮断し、
前記不法デバイス検出および遮断端末と前記管制サーバーとの間の通信は移動通信網を介して行われ、前記不法デバイス検出および遮断端末が前記管制サーバーに対してデータ通信によりデータを送信し、送信後にデータ通信を閉じ、前記管制サーバーは移動通信網を介して文字メッセージを用いて命令を伝達し、前記不法デバイス検出および遮断端末は文字メッセージを受信するとデコードして動作を実行し、
前記不法デバイス検出および遮断端末の前記マックリストは前記管制サーバーにより供給されてバージョンアップグレード可能であり、前記不法デバイス検出および遮断端末のファームウェアは外部網のファームウェア更新サーバーを介して供給されてバージョンアップグレード可能である、有線/無線ネットワークの不法デバイス検出および遮断方法。 A method for detecting and blocking rogue devices, which is additionally connected to an existing monitored network that has already been installed, in order to detect and block rogue devices, comprising:
A step of connecting an illegal device detection and blocking terminal to a monitored network and acquiring a MAC address present in the monitored network;
The illegal device detection and blocking terminal compares the acquired MAC address with a MAC address in a stored MAC list to detect the illegal device; and when the illegal device is detected, the illegal device detection and blocking terminal notifies the control server, receives a blocking command from the control server by a text message, and blocks transmission of the corresponding illegal device ,
If the monitored network is a wired network,
The illegal device detection and blocking terminal acquires a MAC address present in the monitored wired network through an ARP request, notifies a control server when an illegal device is detected, and blocks transmission of the illegal device through ARP spoofing when a blocking command is received from the control server as a text message.
If the monitored network is a wireless network,
The illegal device detection and blocking terminal operates in a monitor mode to acquire a MAC address present in the monitored wireless network, and when an illegal device is detected, it notifies the control server. When a blocking command is received from the control server as a text message, it transmits a de-authenticate packet to the wireless network to block transmission of the corresponding illegal device.
communication between the illegal device detection and blocking terminal and the control server is performed via a mobile communication network, the illegal device detection and blocking terminal transmits data to the control server via data communication and closes the data communication after transmission, the control server transmits a command using a text message via the mobile communication network, and the illegal device detection and blocking terminal receives the text message and decodes it to perform an operation;
The MAC list of the illegal device detection and blocking terminal is provided by the control server and is upgradable, and the firmware of the illegal device detection and blocking terminal is provided via a firmware update server in an external network and is upgradable .
監視対象有線ラン(LAN)に接続し、前記監視対象有線ラン(LAN)に存在するデバイスのマック(MAC)アドレスを獲得するための有線ネットワーク接続部;
監視対象無線ラン(LAN)に接続し、前記監視対象無線ラン(LAN)に存在するデバイスのマック(MAC)アドレスを獲得するための無線ネットワーク接続部;
移動通信網を通じて管制サーバーと通信するための移動通信網接続部;
マックリスト(MAC list)とファームウェアを保存している保存手段;および
前記有線ネットワーク接続部を通じて有線ネットワークに連結されたデバイスのマック(MAC)アドレスの入力を受け、前記無線ネットワーク接続部を通じて無線ネットワークに連結されたデバイスのマック(MAC)アドレスの入力を受けて有線/無線ネットワークに連結されたデバイスを監視し、不法マック(MAC)アドレスが検出されると前記移動通信網接続部を通じて管制サーバーに伝達し、前記移動通信網接続部を通じて文字命令が受信されるとこれをデコーディングして該当文字命令を処理する制御部を含み、
前記制御部は、
前記移動通信網接続部を通じて管制サーバーと通信し、文字命令が受信されると該当文字命令を解釈して実行する入出力制御部と、
前記有線ネットワーク接続部又は前記無線ネットワーク接続部を通じて監視対象有線ランにサブネットに属するすべてのIPアドレスにARPリクエストを伝送し、有線ランに接続されたデバイスからARP応答パケットの受信を受けてARPテーブルをアップデートし、モニター(Monitor)モードで動作しながら周辺のWiFiデバイスのMACアドレスを収集するパケットパターン情報収集部と、
ARP応答パケットを通じて収集された有線ランのMACアドレスと保存手段のマックリストに登録されたMACアドレスを比較して有線不法デバイスを検出し、モニターモードで収集された無線ランのMACアドレスを保存手段のマックリストに登録されたMACアドレスと比較して無線不法デバイスを検出し、有線不法デバイスや無線不法デバイスが検出されると前記入出力制御部を通じて管制サーバーにこれを報告する不法デバイス検出部と、
前記入出力制御部を通じて管制サーバーから遮断命令が受信されると、エイアールピースプーフィング(ARP spoofing)機能を通じて有線不法デバイスのデータ伝送を遮断したり認証解除パケット(de-Authentificate packet)を伝送して無線不法デバイスの動作を遮断する不法デバイス遮断部を含み、
前記入出力制御部は、
文字命令が受信されると該当文字命令を解釈して、有線/無線遮断命令であれば前記不法デバイス遮断部にこれを伝達し、マックリスト更新命令であれば前記保存手段のマックリストを更新し、ファームウェア更新命令であれば前記保存手段のファームウェアを更新し、
前記不法デバイス検出および遮断装置と前記管制サーバーとの間の通信は移動通信網を介して行われ、前記不法デバイス検出および遮断装置が前記管制サーバーに対してデータ通信によりデータを送信し、送信後にデータ通信を閉じ、前記管制サーバーは移動通信網を介して文字メッセージを用いて命令を伝達し、前記不法デバイス検出および遮断装置は文字メッセージを受信するとデコードして動作を実行し、
前記不法デバイス検出および遮断装置の前記マックリストは前記管制サーバにより供給されてバージョンアップグレード可能であり、前記不法デバイス検出および遮断装置のファームウェアは外部網のファームウェア更新サーバーを介して供給されてバージョンアップグレード可能である、有線/無線ネットワークの不法デバイス検出および遮断装置。 An illegal device detection and blocking device that is additionally installed in an existing monitored network that has already been installed in order to detect and block illegal devices,
a wired network connection unit for connecting to a wired LAN to be monitored and obtaining MAC addresses of devices present on the wired LAN to be monitored;
a wireless network connection unit for connecting to a monitored wireless LAN and acquiring MAC addresses of devices present on the monitored wireless LAN;
a mobile communication network connection unit for communicating with the control server through a mobile communication network;
a storage means for storing a MAC list and firmware; and a control unit for receiving an input of a MAC address of a device connected to a wired network through the wired network connection unit, receiving an input of a MAC address of a device connected to a wireless network through the wireless network connection unit, and monitoring devices connected to the wired/wireless network; if an illegal MAC address is detected, transmitting it to a control server through the mobile communication network connection unit; and if a text command is received through the mobile communication network connection unit, decoding the text command and processing the corresponding text command ,
The control unit
an input/output control unit that communicates with a control server through the mobile communication network connection unit and, upon receiving a text command, interprets and executes the text command;
a packet pattern information collecting unit that transmits an ARP request to all IP addresses belonging to a subnet of a wired LAN to be monitored through the wired network connection unit or the wireless network connection unit, receives an ARP response packet from a device connected to the wired LAN, updates an ARP table, and collects MAC addresses of surrounding Wi-Fi devices while operating in a monitor mode;
an illegal device detection unit that detects wired illegal devices by comparing MAC addresses of wired LANs collected through ARP response packets with MAC addresses registered in the MAC list of the storage means, and detects wireless illegal devices by comparing MAC addresses of wireless LANs collected in monitor mode with MAC addresses registered in the MAC list of the storage means, and reports the detection of wired illegal devices or wireless illegal devices to the control server through the input/output control unit;
and an illegal device blocking unit that blocks data transmission from a wired illegal device through an ARP spoofing function or blocks operation of a wireless illegal device by transmitting a de-authenticate packet when a blocking command is received from the control server through the input/output control unit,
The input/output control unit
When a text command is received, the corresponding text command is interpreted, and if it is a wired/wireless blocking command, the corresponding text command is transmitted to the illegal device blocking unit, if it is a MAC list update command, the MAC list of the storage means is updated, and if it is a firmware update command, the firmware of the storage means is updated;
communication between the illegal device detection and blocking device and the control server is performed via a mobile communication network, the illegal device detection and blocking device transmits data to the control server via data communication and closes the data communication after the transmission, the control server transmits an instruction using a text message via the mobile communication network, and the illegal device detection and blocking device receives the text message and decodes it to perform an operation;
The rogue device detection and blocking device of a wired/wireless network, wherein the master list of the rogue device detection and blocking device is supplied by the control server and is upgradable, and the firmware of the rogue device detection and blocking device is supplied via a firmware update server of an external network and is upgradable .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2025153252A JP2026001002A (en) | 2021-06-18 | 2025-09-16 | Method and apparatus for detecting and blocking rogue devices in wired/wireless networks |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2021-0079038 | 2021-06-18 | ||
| KR20210079038 | 2021-06-18 | ||
| PCT/KR2022/007705 WO2022265265A1 (en) | 2021-06-18 | 2022-05-31 | Method and apparatus for detecting and blocking illegal device in wired/wireless network |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2025153252A Division JP2026001002A (en) | 2021-06-18 | 2025-09-16 | Method and apparatus for detecting and blocking rogue devices in wired/wireless networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2024523378A JP2024523378A (en) | 2024-06-28 |
| JP7798376B2 true JP7798376B2 (en) | 2026-01-14 |
Family
ID=84526255
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023577733A Active JP7798376B2 (en) | 2021-06-18 | 2022-05-31 | Method and apparatus for detecting and blocking rogue devices in wired/wireless networks |
| JP2025153252A Pending JP2026001002A (en) | 2021-06-18 | 2025-09-16 | Method and apparatus for detecting and blocking rogue devices in wired/wireless networks |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2025153252A Pending JP2026001002A (en) | 2021-06-18 | 2025-09-16 | Method and apparatus for detecting and blocking rogue devices in wired/wireless networks |
Country Status (3)
| Country | Link |
|---|---|
| JP (2) | JP7798376B2 (en) |
| KR (3) | KR102479425B1 (en) |
| WO (1) | WO2022265265A1 (en) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005318037A (en) | 2004-04-27 | 2005-11-10 | Nippon Dentsu Co Ltd | Unauthorized use monitoring system, unauthorized use monitoring alarm device, unauthorized use monitoring method |
| JP2011004135A (en) | 2009-06-18 | 2011-01-06 | Quality Corp | Network supervising system, network supervising server, and network supervising program |
| JP2012049591A (en) | 2010-08-24 | 2012-03-08 | Buffalo Inc | Router apparatus, and method of initializing router apparatus |
| JP2014171128A (en) | 2013-03-04 | 2014-09-18 | National Institute Of Information & Communication Technology | Method for handing over between base stations |
| JP2016018462A (en) | 2014-07-10 | 2016-02-01 | スター精密株式会社 | Firmware update system and update control method |
| JP2017045253A (en) | 2015-08-26 | 2017-03-02 | コニカミノルタ株式会社 | Image forming apparatus, update method, and update program |
| JP2018064228A (en) | 2016-10-14 | 2018-04-19 | アンリツネットワークス株式会社 | Packet controller |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050026624A (en) * | 2003-09-09 | 2005-03-15 | 이상준 | Integration security system and method of pc using secure policy network |
| KR20050051269A (en) * | 2003-11-27 | 2005-06-01 | 주식회사 케이티 | System and method for intercepting service port attack on internet |
| KR20100027529A (en) * | 2008-09-02 | 2010-03-11 | 스콥정보통신 주식회사 | System and method for preventing wireless lan intrusion |
| KR101553827B1 (en) * | 2013-12-11 | 2015-09-17 | 주식회사 더보안 | System for detecting and blocking illegal access point |
| ES2552675B1 (en) * | 2014-05-29 | 2016-10-10 | Tecteco Security Systems, S.L. | Routing method with security and frame-level authentication |
| KR102374657B1 (en) * | 2019-11-29 | 2022-03-14 | 주식회사 케이티 | Apparatus for detecting of wireless intrusion prevention system and method for wireless intrusion prevention system signal avoidance using the same |
| KR102204338B1 (en) * | 2020-07-28 | 2021-01-19 | (주)넷비젼텔레콤 | Wireless IP camera detection system |
-
2022
- 2022-05-19 KR KR1020220061309A patent/KR102479425B1/en active Active
- 2022-05-31 JP JP2023577733A patent/JP7798376B2/en active Active
- 2022-05-31 WO PCT/KR2022/007705 patent/WO2022265265A1/en not_active Ceased
- 2022-10-14 KR KR1020220132627A patent/KR102749612B1/en active Active
- 2022-10-14 KR KR1020220132545A patent/KR102749611B1/en active Active
-
2025
- 2025-09-16 JP JP2025153252A patent/JP2026001002A/en active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005318037A (en) | 2004-04-27 | 2005-11-10 | Nippon Dentsu Co Ltd | Unauthorized use monitoring system, unauthorized use monitoring alarm device, unauthorized use monitoring method |
| JP2011004135A (en) | 2009-06-18 | 2011-01-06 | Quality Corp | Network supervising system, network supervising server, and network supervising program |
| JP2012049591A (en) | 2010-08-24 | 2012-03-08 | Buffalo Inc | Router apparatus, and method of initializing router apparatus |
| JP2014171128A (en) | 2013-03-04 | 2014-09-18 | National Institute Of Information & Communication Technology | Method for handing over between base stations |
| JP2016018462A (en) | 2014-07-10 | 2016-02-01 | スター精密株式会社 | Firmware update system and update control method |
| JP2017045253A (en) | 2015-08-26 | 2017-03-02 | コニカミノルタ株式会社 | Image forming apparatus, update method, and update program |
| JP2018064228A (en) | 2016-10-14 | 2018-04-19 | アンリツネットワークス株式会社 | Packet controller |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102749611B1 (en) | 2025-01-03 |
| JP2024523378A (en) | 2024-06-28 |
| KR20220169449A (en) | 2022-12-27 |
| KR102479425B1 (en) | 2022-12-20 |
| KR20220169448A (en) | 2022-12-27 |
| JP2026001002A (en) | 2026-01-06 |
| WO2022265265A1 (en) | 2022-12-22 |
| KR102749612B1 (en) | 2025-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101541073B1 (en) | Mobile Infringement Protection System based on smart apparatus for Securing Cloud Environments and Method thereof | |
| KR102329493B1 (en) | Method and apparatus for preventing connection in wireless intrusion prevention system | |
| US20140150049A1 (en) | Method and apparatus for controlling management of mobile device using security event | |
| CN106134117A (en) | The detection of undelegated Wireless Telecom Equipment | |
| CN104852894B (en) | A kind of air message listening detection method, system and control server | |
| US20190387408A1 (en) | Wireless access node detecting method, wireless network detecting system and server | |
| TW201717088A (en) | Dynamic honeypot system | |
| KR102323712B1 (en) | Wips sensor and method for preventing an intrusion of an illegal wireless terminal using wips sensor | |
| US7710933B1 (en) | Method and system for classification of wireless devices in local area computer networks | |
| CN104486765A (en) | Wireless intrusion detecting system and detecting method | |
| US10055581B2 (en) | Locating a wireless communication attack | |
| CN107197456A (en) | A kind of client-based identification puppet AP detection method and detection means | |
| CN108092970B (en) | Wireless network maintenance method and equipment, storage medium and terminal thereof | |
| CN106961683B (en) | A method, system and discoverer AP for detecting illegal AP | |
| Thankappan et al. | A distributed and cooperative signature-based intrusion detection system framework for multi-channel man-in-the-middle attacks against protected Wi-Fi networks | |
| US20190356571A1 (en) | Determining attributes using captured network probe data in a wireless communications system | |
| JP7798376B2 (en) | Method and apparatus for detecting and blocking rogue devices in wired/wireless networks | |
| Kim et al. | A technical survey on methods for detecting rogue access points | |
| KR20220100281A (en) | Method and system to take over control of unmanned vehicle | |
| KR101335293B1 (en) | System for blocking internal network intrusion and method the same | |
| KR101953562B1 (en) | Appratus of mobile device classification for preventing wireless intrusion | |
| KR102796964B1 (en) | Apparatus for detecting and blocking illegal devices | |
| KR20180019335A (en) | Method of providing safety information of an access point, and mobile terminal and server tehrefor | |
| CN116390094A (en) | A wireless internet of things security management method, device, storage medium and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20231215 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20241022 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20241112 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20250207 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20250520 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20250916 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20250919 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20251202 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20251218 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7798376 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |