[go: up one dir, main page]

KR101832720B1 - Network device and method for detecting host modumation attack thereof - Google Patents

Network device and method for detecting host modumation attack thereof Download PDF

Info

Publication number
KR101832720B1
KR101832720B1 KR1020150183135A KR20150183135A KR101832720B1 KR 101832720 B1 KR101832720 B1 KR 101832720B1 KR 1020150183135 A KR1020150183135 A KR 1020150183135A KR 20150183135 A KR20150183135 A KR 20150183135A KR 101832720 B1 KR101832720 B1 KR 101832720B1
Authority
KR
South Korea
Prior art keywords
certificate
domain
related information
server
new
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020150183135A
Other languages
Korean (ko)
Other versions
KR20170074079A (en
Inventor
김동준
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020150183135A priority Critical patent/KR101832720B1/en
Publication of KR20170074079A publication Critical patent/KR20170074079A/en
Application granted granted Critical
Publication of KR101832720B1 publication Critical patent/KR101832720B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 장치 및 이의 호스트 변조 공격 탐지 방법에 관한 것이다.
이에 따른 본 발명은, 도메인 및 상기 도메인에 대응하는 제1 인증서에 관한 정보를 기초로 상기 도메인의 연결 히스토리를 저장하는 단계, 클라이언트 장치의 상기 도메인에 대한 연결 요청에 의해 서버로부터 제2 인증서가 수신되면, 상기 연결 히스토리를 이용하여 상기 제2 인증서를 검증하는 단계 및 상기 제2 인증서가 유효하지 않는 것으로 검증되면, 상기 서버에 의하여 상기 클라이언트 장치에 호스트 변조 공격이 발생한 것으로 판단하고, 상기 클라이언트 장치 및 상기 호스트 서버 간 변조 공격 방지 동작을 수행하는 단계를 포함하는 것을 특징으로 하는 호스트 변조 공격 탐지 방법 및 그 네트워크 장치에 관한 것이다. The present invention relates to a network device and a method of detecting a host modulation attack thereof.
According to another aspect of the present invention, there is provided a method for managing a domain, the method comprising: storing a connection history of the domain based on a domain and information about a first certificate corresponding to the domain; Verifying the second certificate using the connection history, and if the second certificate is verified to be invalid, determining that a host modulation attack has occurred in the client device by the server, And performing a modulation attack prevention operation between the host servers and the host server.

Description

네트워크 장치 및 이의 호스트 변조 공격 탐지 방법{Network device and method for detecting host modumation attack thereof} [0001] The present invention relates to a network device and a method for detecting a host tampering attack,

본 발명은 네트워크 장치 및 이의 호스트 변조 공격 탐지 방법에 관한 것이다. The present invention relates to a network device and a method of detecting a host modulation attack thereof.

호스트(host) 변조를 이용하는 일반적인 공격 방법에서 해커는 클라이언트 장치에 위조된 인증 기관(Certificate Authority; CA)을 등록하고, 클라이언트 장치에 저장된 호스트 파일의 도메인 및 IP 주소에 관한 정보를 변조한다. 클라이언트 장치가 해당 도메인으로 접속하고자 하는 경우, 클라이언트 장치는 변조된 호스트 파일에 의하여 해커의 변조 서버로 접속하게 된다. In a common attack method using host modulation, a hacker registers a forged Certificate Authority (CA) on a client device and modulates information about the domain and IP address of the host file stored in the client device. When the client device attempts to access the domain, the client device accesses the hacker's modulation server by means of the modified host file.

해커는 변조 서버에 접속한 클라이언트 장치로 위조된 인증 기관에서 발급된 인증서를 전송한다. 클라이언트 장치에는 위조된 인증 기관이 이미 등록되어 있기 때문에, 클라이언트 장치는 해커가 전송한 인증서를 신뢰할 수 있는 인증 기관에서 발급하였다고 판단하게 된다. 결과적으로, 클라이언트 장치는 해커의 변조 서버가 해당 도메인의 올바른 서버라고 판단하여 변조 서버와 네트워크 통신을 수행하게 된다. The hacker sends the certificate issued by the forged certification authority to the client device connected to the modulation server. Since the falsified certificate authority is already registered in the client apparatus, the client apparatus judges that the certificate sent by the hacker has been issued by the trusted certificate authority. As a result, the client device determines that the hacker's modulation server is the correct server of the corresponding domain and performs network communication with the modulation server.

상술한 바와 같이 호스트 변조 공격은, 클라이언트 장치에 위조된 인증 기관을 직접 등록하기 때문에, 인증서를 이용하여 서버의 유효성을 검증하기 어렵다는 문제점이 있다. As described above, since the host modulation attack directly registers a forged authentication authority in the client apparatus, there is a problem in that it is difficult to verify the validity of the server using the certificate.

본 발명은 상기한 문제점을 해결하기 위한 것으로, 임의의 도메인에 대한 연결 히스토리를 이용하여 호스트 변조 여부를 판단하는 네트워크 장치 및 이의 호스트 변조 공격 탐지 방법에 관한 것이다. The present invention is directed to a network device for determining host tampering using a connection history for an arbitrary domain and a host tampering attack detection method thereof.

상술한 과제를 해결하기 위한 본 발명에 따른 호스트 변조 공격 탐지 방법은, 도메인 및 상기 도메인에 대응하는 제1 인증서에 관한 정보를 기초로 상기 도메인의 연결 히스토리를 저장하는 단계, 클라이언트 장치의 상기 도메인에 대한 연결 요청에 의해 서버로부터 제2 인증서가 수신되면, 상기 연결 히스토리를 이용하여 상기 제2 인증서를 검증하는 단계 및 상기 제2 인증서가 유효하지 않는 것으로 검증되면, 상기 서버에 의하여 상기 클라이언트 장치에 호스트 변조 공격이 발생한 것으로 판단하고, 상기 클라이언트 장치 및 상기 호스트 서버 간 변조 공격 방지 동작을 수행하는 단계를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a host tampering attack detection method, comprising: storing a connection history of a domain based on a domain and information on a first certificate corresponding to the domain; Verifying the second certificate using the connection history if the second certificate is received from the server by the connection request for the connection, and if the second certificate is verified as invalid, And performing a modulation attack prevention operation between the client device and the host server.

또한, 상술한 과제를 해결하기 위한 본 발명에 따른 네트워크 장치는, 클라이언트 장치 및 서버와 데이터 통신을 수행하는 통신부, 도메인 및 상기 도메인에 대응하는 제1 인증서에 관한 정보를 기초로 상기 도메인의 연결 히스토리를 저장하는 저장부 및 클라이언트 장치의 상기 도메인에 대한 연결 요청에 의해 서버로부터 제2 인증서가 수신되면, 상기 연결 히스토리를 이용하여 상기 제2 인증서를 검증하고, 상기 제2 인증서가 유효하지 않는 것으로 검증되면, 상기 서버에 의하여 상기 클라이언트 장치에 호스트 변조 공격이 발생한 것으로 판단하고, 상기 클라이언트 장치 및 상기 호스트 서버 간 변조 공격 방지 동작을 수행하는 제어부를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a network device including a client device, a communication unit for performing data communication with a server, a domain connection history And a verification unit that verifies the second certificate using the connection history when the second certificate is received from the server by a connection request for the domain of the client apparatus, And a controller for determining that a host modulation attack has occurred in the client device by the server and performing a tamper attack prevention operation between the client device and the host server.

본 발명에 따른 네트워크 장치 및 이의 호스트 변조 공격 탐지 방법은, 도메인에 대한 클라이언트 장치들의 연결 히스토리를 이용하여 인증서 위조 여부를 판단함으로써, 효과적인 호스트 변조 공격 탐지 방법을 제공한다. The network device and the host tampering attack detection method according to the present invention provide an effective host tampering attack detection method by determining whether a certificate is forged using a connection history of client devices for a domain.

도 1은 본 발명에 따른 네트워크 장치가 동작하는 네트워크 시스템을 나타낸 도면이다.
도 2는 본 발명에 따른 네트워크 장치의 구조를 나타낸 블록도이다.
도 3은 본 발명에 따른 네트워크 장치의 호스트 변조 공격 탐지 방법을 나타낸 흐름도이다.
도 4는 본 발명에 따른 네트워크 장치의 호스트 변조 공격 탐지 방법을 나타낸 순서도이다. 1 is a diagram illustrating a network system in which a network device according to the present invention operates.
2 is a block diagram showing the structure of a network device according to the present invention.
3 is a flowchart illustrating a method of detecting a host modulation attack in a network device according to the present invention.
4 is a flowchart illustrating a method of detecting a host modulation attack in a network device according to the present invention.

본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다. In the description of the embodiments of the present invention, if it is determined that a detailed description of known configurations or functions related to the present invention can not be applied to the present invention, detailed description thereof may be omitted.

본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.  Quot ;, " include, "" include," as used herein. And the like are intended to indicate the existence of the disclosed function, operation, component, etc., and do not limit the one or more additional functions, operations, components, and the like. Also, in this specification, "include." Or "have." , Etc. are intended to designate the presence of stated features, integers, steps, operations, components, parts, or combinations thereof, may be combined with one or more other features, steps, operations, components, It should be understood that they do not preclude the presence or addition of combinations thereof.

본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.As used herein, the singular forms "a", "an" and "the" include plural referents unless the context clearly dictates otherwise.

이하, 첨부된 도면을 참조하여 본 발명을 설명한다.Hereinafter, the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명에 따른 네트워크 장치가 동작하는 네트워크 시스템을 나타낸 도면이다.1 is a diagram illustrating a network system in which a network device according to the present invention operates.

도 1을 참조하면, 본 발명에 따른 네트워크 장치(100)는 클라이언트 장치(200) 및 호스트 서버(서버, 네트워크 서버 등으로 명명될 수 있음)(300)와 통신할 수 있다. Referring to FIG. 1, a network device 100 according to the present invention may communicate with a client device 200 and a host server 300 (which may be referred to as a server, a network server, or the like).

클라이언트 장치(200)는 적어도 하나의 호스트 서버(300)에 접속하여 호스트 서버(300)와 네트워크 통신을 수행한다. 각각의 호스트 서버(300)에는 도메인 및 IP 주소가 할당된다. 클라이언트 장치(200)는 호스트 서버(300)의 도메인 및 IP 주소에 관한 정보를 포함하는 호스트 파일을 기저장하고, 기저장된 호스트 파일을 이용하여 원하는 도메인의 호스트 서버(300)로 접속할 수 있다. The client device 200 connects to at least one host server 300 and performs network communication with the host server 300. Each host server 300 is assigned a domain and an IP address. The client device 200 may store a host file including information on a domain and an IP address of the host server 300 and access the host server 300 of a desired domain using the previously stored host file.

클라이언트 장치(200)는 접속한 호스트 서버(300)가 해당 도메인의 올바른 호스트 서버인지 판단하기 위해 호스트 서버(300)와 인증 절차를 수행할 수 있다. 본 발명의 다양한 실시 예에서, 클라이언트 장치(200)는 호스트 서버(300)와 Secure Socket Layer(이하 SSL) 인증서를 이용하여 인증 절차를 수행할 수 있다. The client device 200 can perform an authentication procedure with the host server 300 to determine whether the connected host server 300 is a valid host server of the domain. In various embodiments of the present invention, the client device 200 may perform an authentication procedure using a Secure Socket Layer (SSL) certificate with the host server 300.

구체적으로, 클라이언트 장치(200)가 호스트 서버(300)에 접속하면, 호스트 서버(300)는 클라이언트 장치(200)로 SSL 인증서를 전송한다. 클라이언트 장치(200)는 수신된 SSL 인증서가 신뢰할 수 있는 인증 기관에서 발급된 것인지 판단한다. SSL 인증서가 신뢰할 수 있는 인증 기관에서 발급된 것이면, 클라이언트 장치(200)는 접속된 호스트 서버(300)가 해당 도메인의 올바른 호스트 서버(300)인 것으로 판단하고, 호스트 서버(300)와 네트워크 통신을 수행한다. 반대로, SSL 인증서가 신뢰할 수 있는 인증 기관에서 발급된 것이 아니면, 클라이언트 장치(200)는 접속된 호스트 서버(300)가 해당 도메인의 올바른 호스트 서버(300)가 아닌 것으로 판단하고, 호스트 서버(300)와의 접속을 종료한다. Specifically, when the client device 200 accesses the host server 300, the host server 300 transmits the SSL certificate to the client device 200. [ The client device 200 determines whether the received SSL certificate is issued by a trusted certification authority. If the SSL certificate is issued by a trusted authentication authority, the client device 200 determines that the connected host server 300 is the correct host server 300 of the corresponding domain, and transmits the network communication with the host server 300 . On the contrary, if the SSL certificate is not issued by the trusted certification authority, the client device 200 determines that the connected host server 300 is not the correct host server 300 of the corresponding domain, Lt; / RTI >

상술한 바와 같이, 클라이언트 장치(200)는 SSL 인증서가 신뢰할 수 있는 인증 기관에서 발급된 것인지 확인하기 위해, 신뢰할 수 있는 인증 기관에 대한 정보를 미리 저장하고 관리한다.As described above, the client device 200 previously stores and manages the information on the trusted certification authority in order to check whether the SSL certificate is issued by the trusted certification authority.

클라이언트 장치(200)에 호스트 변조에 의한 공격을 가하는 경우, 해커는 클라이언트 장치(200)에 기저장된 호스트 파일의 도메인 및 IP 주소에 관한 정보를 변조하여, 임의의 도메인에 대한 호스트 서버를 해커의 변조 서버(301)에 대응시킨다. 일 예로, 해커는 호스트 파일의 도메인에 매핑된 IP 주소를 자신의 변조 서버(301)의 IP 주소로 변조한다. 또한, 해커는 클라이언트 장치(200)에 기저장된 신뢰할 수 있는 인증 기관에 대한 정보에 해커의 위조된 인증 기관을 등록한다. In the case where an attack is caused by host tampering to the client device 200, the hacker modulates the information about the domain and the IP address of the host file stored in the client device 200, and transmits the host server for the arbitrary domain to the tampering And corresponds to the server 301. For example, the hacker modifies the IP address mapped to the domain of the host file to the IP address of the modulation server 301 of the host file. In addition, the hacker registers the fake certificate authority of the hacker in the information on the trusted certificate authority previously stored in the client device 200. [

클라이언트 장치(200)가 호스트 변조 공격의 대상이 된 도메인에 접속하게 되면, 클라이언트 장치(200)는 해커의 변조 서버(301)로 연결되고, 해커로부터 위조된 인증 기관에 의해 발급된 인증서를 수신하게 된다. 위조된 인증 기관은 해커에 의해 클라이언트 장치(200)에 미리 저장되기 때문에, 클라이언트 장치(200)는 해커로부터 수신한 인증서가 유효한 인증서인 것으로 판단하게 된다. 그에 따라 클라이언트 장치(200)는 해커의 변조 서버(301)를 도메인의 올바른 호스트 서버인 것으로 판단하여 변조 서버(301)와 네트워크 통신을 수행하게 된다. When the client device 200 is connected to the domain subjected to the host modulation attack, the client device 200 is connected to the hacker's modulation server 301 and receives a certificate issued by a forged certification authority from the hacker do. Since the forged certification authority is previously stored in the client device 200 by the hacker, the client device 200 determines that the certificate received from the hacker is a valid certificate. Accordingly, the client device 200 determines that the hacker's modulation server 301 is a valid host server of the domain and performs network communication with the modulation server 301.

본 발명의 다양한 실시 예에서는, 상술한 호스트 변조에 의한 공격을 방지하기 위하여, 네트워크 장치(100)가 임의의 도메인에 대하여 클라이언트 장치들의 연결 히스토리를 저장하고, 저장된 연결 히스토리를 이용하여 인증서의 위조 여부, 즉 인증 기관의 위조 여부를 탐지할 수 있다. 이에 대하여 구체적인 내용은 후술한다. In various embodiments of the present invention, in order to prevent an attack by the above-described host tampering, the network device 100 stores the connection history of the client devices with respect to an arbitrary domain, and checks whether the certificate is falsified , That is, whether or not the certification authority is falsified. Details of this will be described later.

추가로, 네트워크 장치(100)는 DNS 서버(400)와 통신할 수 있다. DNS 서버(400)는 도메인 이름과 IP 주소의 매핑 레코드를 저장하고 관리한다. 본 발명의 다양한 실시 예에서, 네트워크 장치(100)는 저장된 연결 히스토리로부터 호스트 변조 공격을 탐지할 수 없는 경우, DNS 서버(400)로 클라이언트 장치(200)에 의해 연결 요청된 도메인의 IP 주소를 요청할 수 있다. DNS 서버(400)는 요청된 도메인에 대응하는 IP 주소를 확인하여 네트워크 장치(100)로 전송할 수 있다. In addition, the network device 100 may communicate with the DNS server 400. The DNS server 400 stores and manages a mapping record of a domain name and an IP address. In various embodiments of the present invention, when the network device 100 can not detect a host tampering attack from the stored connection history, the network device 100 requests the DNS server 400 for the IP address of the domain requested to be connected by the client device 200 . The DNS server 400 can confirm the IP address corresponding to the requested domain and transmit the IP address to the network device 100.

네트워크 장치(100)는 DNS 서버(400)로부터 수신된 IP 주소와, 클라이언트 장치(200)가 연결된 호스트 서버의 IP 주소가 동일한지 여부를 기초로, 호스트 변조 공격을 탐지할 수 있다. The network device 100 can detect a host modulation attack based on whether the IP address received from the DNS server 400 is the same as the IP address of the host server to which the client device 200 is connected.

이하에서는, 상기한 본 발명에 따른 네트워크 장치(100)의 구체적인 동작을 도면을 참조하여 설명한다. Hereinafter, specific operations of the network device 100 according to the present invention will be described with reference to the drawings.

도 2는 본 발명에 따른 네트워크 장치의 구조를 나타낸 블록도이다.2 is a block diagram showing the structure of a network device according to the present invention.

도 2를 참조하면, 본 발명에 따른 네트워크 장치(100)는 통신부(110), 제어부(120) 및 저장부(130)를 포함하여 구성된다. 2, the network device 100 according to the present invention includes a communication unit 110, a control unit 120, and a storage unit 130.

통신부(110)는 제어부(120)의 제어에 따라 적어도 하나의 클라이언트 장치(200) 및 적어도 하나의 호스트 서버(300)와 데이터 통신을 수행한다. The communication unit 110 performs data communication with at least one client device 200 and at least one host server 300 under the control of the controller 120. [

제어부(120)는 본 발명에 따른 호스트 변조 공격 탐지를 수행하기 위해, 네트워크 장치(100)의 각 구성 요소들을 제어한다. The control unit 120 controls each component of the network device 100 in order to perform the host modulation attack detection according to the present invention.

구체적으로, 임의의 도메인에 대한 연결 절차를 수행하여 클라이언트 장치(200)와 호스트 서버(300)가 연결된 후, 통신부(110)를 통하여 호스트 서버(300)로부터 인증서가 수신되면, 제어부(120)는 인증서 관련 정보를 해당 도메인에 매핑하여 연결 히스토리로 저장부(130)에 저장할 수 있다. 제어부(120)는 인증서 관련 정보로 도메인에 대응하여 발급된 인증서의 인증서 발급 대상(common name), 일련 번호(serial number), 인증 기관(발급자) 중 적어도 하나를 저장할 수 있다. 제어부(120)는 이러한 방법으로 임의의 도메인에 대한 인증서를 학습하고 연결 히스토리를 축적할 수 있다. Specifically, after the client device 200 and the host server 300 are connected by performing a connection procedure for an arbitrary domain, when the certificate is received from the host server 300 through the communication unit 110, the controller 120 The certificate related information may be mapped to the corresponding domain and stored in the storage unit 130 as the connection history. The control unit 120 may store at least one of a certificate issuance common name, a serial number, and a certification authority (issuer) of the certificate issued corresponding to the domain as the certificate related information. In this way, the control unit 120 can learn the certificate for any domain and accumulate the connection history.

본 발명의 다양한 실시 예에서, 제어부(120)는 임의의 도메인에 대하여 기설정된 N개의 인증서가 수신되는 동안, N개의 인증서에 대한 인증서 관련 정보를 누적하여 연결 히스토리를 구성할 수 있다. 일 실시 예에서, 제어부(120)는 가장 누적 빈도가 가장 큰 인증서 관련 정보를 해당 도메인의 유효한 인증서 관련 정보인 것으로 판단하고, 유효한 것으로 판단된 인증서 관련 정보만으로 해당 도메인의 연결 히스토리를 구성할 수 있다. In various embodiments of the present invention, the control unit 120 may accumulate the certificate-related information for N certificates to configure a connection history while N predetermined certificates are received for any domain. In one embodiment, the controller 120 determines that the certificate-related information having the largest cumulative frequency is the valid certificate-related information of the corresponding domain, and configures the connection history of the corresponding domain based only on the certificate-related information determined to be valid .

연결 히스토리가 구성된 이후에, 클라이언트 장치(200)가 동일한 도메인에 대한 연결 절차를 수행하여 임의의 호스트 서버(300)와 연결되고, 호스트 서버(300)로부터 인증서가 수신되면, 제어부(120)는 미리 저장된 연결 히스토리와 수신된 인증서를 비교하여 인증서의 유효성을 검증한다. 일 예로, 제어부(120)는 기저장된 연결 히스토리에서 해당 도메인에 대응하여 발급된 인증서의 인증 기관과 수신된 인증서의 인증 기관을 비교한다. After the connection history is configured, the client device 200 performs the connection procedure for the same domain and is connected to any host server 300. When the certificate is received from the host server 300, The validity of the certificate is verified by comparing the stored connection history with the received certificate. For example, the control unit 120 compares the certification authority of the certificate issued corresponding to the corresponding domain in the pre-stored connection history with the certification authority of the received certificate.

연결 히스토리의 인증 기관과 수신된 인증서의 인증 기관이 동일하면, 제어부(120)는 클라이언트 장치(200)가 연결된 호스트 서버(300)가 해당 도메인의 유효한 호스트 서버인 것으로 판단하고 클라이언트 장치(200)와 호스트 서버(300)가 네트워크 통신을 계속해서 중계한다. 반면, 연결 히스토리의 인증 기관과 수신된 인증서의 인증 기관이 동일하지 않으면, 제어부(120)는 클라이언트 장치(200)가 연결된 호스트 서버(300)가 해당 도메인의 유효한 호스트 서버가 아니며, 클라이언트 장치(200)에 호스트 변조 공격이 발생한 것으로 판단할 수 있다. 그에 따라 제어부(120)는 클라이언트 장치(200)로 호스트 변조 공격이 발생하였음을 알리기 위한 경고 메시지를 전송하거나, 클라이언트 장치(200)와 연결된 호스트 서버(300) 간 네트워크 통신을 차단하는 동작을 수행할 수 있다. The control unit 120 determines that the host server 300 to which the client device 200 is connected is a valid host server of the corresponding domain and transmits the authentication information to the client device 200 The host server 300 continues to relay the network communication. On the other hand, if the certification authority of the connection history is not the same as the certification authority of the received certificate, the control unit 120 determines that the host server 300 to which the client apparatus 200 is connected is not a valid host server of the corresponding domain, It can be determined that a host modulation attack has occurred. Accordingly, the control unit 120 transmits a warning message to the client apparatus 200 to notify that a host tampering attack has occurred, or performs an operation to block network communication between the client apparatus 200 and the host server 300 connected thereto .

제어부(120)가 N개의 인증서들의 인증서 관련 정보를 누적적으로 저장하여 연결 히스토리를 관리하는 경우, 제어부(120)는 누적 빈도가 가장 높은 인증서 관련 정보를 해당 도메인의 유효한 인증서 관련 정보인 것으로 판단하고, 유효한 인증서 관련 정보와 수신된 인증서를 비교하여 인증서의 유효성을 검증할 수 있다. When the controller 120 cumulatively stores the certificate-related information of the N certificates to manage the connection history, the controller 120 determines that the certificate-related information having the highest cumulative frequency is the valid certificate-related information of the corresponding domain , The validity of the certificate can be verified by comparing the received certificate with the valid certificate related information.

일 실시 예에서, 누적 빈도가 동일한 인증서 관련 정보가 존재하는 경우, 제어부(120)는 DNS 서버(400)로 해당 도메인에 대응하는 IP 주소를 직접 요청할 수 있다. 제어부(120)는 클라이언트 장치(200)에 연결된 호스트 서버(300)의 IP 주소가 DNS 서버(400)로부터 수신된 IP 주소와 동일한지 여부를 판단하여, 호스트 변조 공격을 탐지할 수 있다. In one embodiment, when certificate-related information having the same cumulative frequency exists, the control unit 120 can directly request the DNS server 400 for an IP address corresponding to the corresponding domain. The control unit 120 may determine whether the IP address of the host server 300 connected to the client device 200 is the same as the IP address received from the DNS server 400 and detect a host modulation attack.

저장부(130)는 제어부(120)의 제어에 따라, 적어도 하나의 도메인에 대한 연결 히스토리를 저장한다. 연결 히스토리는 적어도 하나의 도메인에 대응하는 인증서의 인증서 관련 정보로 구성될 수 있으며, 인증서 관련 정보는 도메인, 도메인에 대응하여 발급된 인증서의 인증서 발급 대상(common name), 일련 번호(serial number), 인증 기관(발급자) 중 적어도 하나를 포함할 수 있다. The storage unit 130 stores a connection history for at least one domain under the control of the control unit 120. [ The connection history may be composed of certificate related information of a certificate corresponding to at least one domain. The certificate related information may include a common name, a serial number, And a certification authority (issuer).

도 3은 본 발명에 따른 네트워크 장치의 호스트 변조 공격 탐지 방법을 나타낸 흐름도이다. 본 발명에 따른 네트워크 장치의 호스트 변조 공격 탐지 방법은, 연결 히스토리 구성 과정과 구성된 연결 히스토리를 이용하여 호스트 변조 공격을 탐지하는 방법으로 구성된다. 먼저, 연결 히스토리 구성 과정을 설명한다. 3 is a flowchart illustrating a method of detecting a host modulation attack in a network device according to the present invention. A method of detecting a host modulation attack in a network device according to the present invention comprises a connection history configuration process and a method of detecting a host modulation attack using a connection history configured. First, the connection history configuration process will be described.

클라이언트 장치(200)는 임의의 도메인에서 제공하는 서비스를 이용하기 위해, 도메인에 대응하는 호스트 파일을 이용하여 호스트 서버(300)에 대한 정보를 확인한다(311). 구체적으로, 클라이언트 장치(200)는 도메인에 대응하는 호스트 서버(300)의 IP 주소를 확인할 수 있다. In order to use a service provided by a certain domain, the client device 200 confirms information about the host server 300 using a host file corresponding to the domain (311). Specifically, the client device 200 can confirm the IP address of the host server 300 corresponding to the domain.

이후 클라이언트 장치(200)는 확인된 호스트 서버(300)에 대한 정보를 이용하여 호스트 서버(300)와 연결 절차를 수행한다(312). 클라이언트 장치(200)와 확인된 호스트 서버(300)가 연결되면, 클라이언트 장치(200)와 호스트 서버(300)는 인증 절차를 수행한다. 구체적으로, 호스트 서버(300)는 클라이언트 장치(200)로 연결 요청된 도메인에 대한 인증서를 전송한다(313). 클라이언트 장치(200)는 기저장된 신뢰할 수 있는 인증 기관에 대한 정보를 이용하여 수신된 인증서의 유효성을 판단하고(314), 인증서가 유효한 것으로 판단되면, 연결된 호스트 서버(300)와 네트워크 통신을 수행한다(315). Thereafter, the client device 200 performs a connection procedure with the host server 300 using information about the identified host server 300 (312). When the client device 200 and the identified host server 300 are connected, the client device 200 and the host server 300 perform an authentication procedure. Specifically, the host server 300 transmits a certificate for the domain requested to be connected to the client device 200 (313). The client device 200 determines the validity of the received certificate using information about the previously stored trusted certificate authority (314), and performs a network communication with the connected host server 300 when it is determined that the certificate is valid (315).

네트워크 장치(100)는 클라이언트 장치(200)와 호스트 서버(300)가 연결 절차 및 인증 절차를 수행하는 동안, 클라이언트 장치(200)에 의해 연결 요청된 도메인, 인증서의 인증서 관련 정보를 획득할 수 있다. 네트워크 장치(100)는 연결 요청된 도메인에 대해 인증서 관련 정보를 매핑시켜 저장함으로써 해당 도메인에 대한 연결 히스토리를 저장한다(316). The network device 100 can acquire the certificate related information of the domain and the certificate requested by the client device 200 while the client device 200 and the host server 300 perform the connection procedure and the authentication procedure . The network device 100 stores the connection history for the corresponding domain by mapping and storing the certificate related information to the connection requested domain (316).

본 발명의 다양한 실시 예에서, 네트워크 장치(100)는 동일한 도메인에 대하여 N번의 연결 절차 및 인증 절차가 수행되는 동안, 즉 N개의 인증서를 획득하는 동안, N개의 인증서에 대한 인증 관련 정보를 누적하여 연결 히스토리를 구성할 수 있다. 일 실시 예에서, 네트워크 장치(100)는 가장 누적 빈도가 높은 인증서 관련 정보를 해당 도메인의 유효한 인증서 관련 정보인 것으로 판단하고, 유효한 것으로 판단된 인증서 관련 정보만으로 해당 도메인의 연결 히스토리를 구성할 수 있다. In various embodiments of the present invention, the network device 100 accumulates authentication-related information for N certificates while N connection procedures and authentication procedures are performed for the same domain, that is, while acquiring N certificates You can configure the connection history. In one embodiment, the network device 100 determines that the certificate-related information having the highest cumulative frequency is valid certificate-related information of the corresponding domain, and configures the connection history of the corresponding domain based only on the certificate-related information determined to be valid .

이하에서는, 상기한 방법에 따라 구성된 연결된 히스토리를 이용하여 호스트 변조 공격을 탐지하는 방법을 설명한다. Hereinafter, a method for detecting a host modulation attack using a connected history configured according to the above method will be described.

먼저, 동일 또는 다른 클라이언트 장치(200)가 도메인에서 제공하는 서비스를 이용하기 위해 도메인에 대응하는 호스트 서버(300)와 연결 절차를 수행한다(321). 네트워크 장치(100)는 클라이언트 장치(200)와 호스트 서버(300)가 연결 절차를 수행하는 동안, 클라이언트 장치(200)에 의해 연결 요청된 도메인을 확인할 수 있다. First, the same or another client device 200 performs a connection procedure with a host server 300 corresponding to a domain to use a service provided by a domain (321). The network device 100 can identify the domain requested to be connected by the client device 200 while the client device 200 and the host server 300 perform the connection procedure.

클라이언트 장치(200)가 호스트 서버(300)와 연결되면, 호스트 서버(300)는 클라이언트 장치(200)로 인증서를 전송한다(322). 네트워크 장치(100)는 호스트 서버(300)로부터 전송된 인증서를 획득하여, 호스트 변조 공격을 탐지한다(323). 구체적으로, 네트워크 장치(100)는 클라이언트 장치(200)에 의하여 연결 요청된 도메인의 연결 히스토리와 수신된 인증서를 비교하여 인증서의 유효성을 검증한다. 이를 위하여, 네트워크 장치(100)는 도메인에 대응하는 연결 히스토리의 인증서 관련 정보와 수신된 인증서의 인증서 관련 정보를 비교하여 동일성 여부를 판단한다. When the client device 200 is connected to the host server 300, the host server 300 transmits the certificate to the client device 200 (322). The network device 100 obtains the certificate transmitted from the host server 300 and detects a host modulation attack (323). Specifically, the network device 100 verifies the validity of the certificate by comparing the connection history of the domain requested to be connected by the client device 200 with the received certificate. To this end, the network device 100 compares the certificate-related information of the connection history corresponding to the domain with the certificate-related information of the received certificate to determine whether or not they are the same.

인증서 관련 정보가 서로 동일하면, 네트워크 장치(100)는 인증서가 유효한 것으로 판단하고, 해당 도메인에 대하여 호스트 변조 공격이 발생하지 않은 것으로 판단한다. 그에 따라, 네트워크 장치(100)는 수신된 인증서를 클라이언트 장치(200)로 전달하여(323), 클라이언트 장치(200)와 호스트 서버(300)가 인증 절차를 완료할 수 있도록 한다.If the certificate-related information is identical to each other, the network device 100 determines that the certificate is valid, and determines that a host modulation attack has not occurred for the corresponding domain. Accordingly, the network device 100 forwards the received certificate to the client device 200 (323), allowing the client device 200 and the host server 300 to complete the authentication procedure.

인증서 관련 정보가 서로 동일하지 않으면, 네트워크 장치(100)는 인증서가 유효하지 않은 것으로 판단하고, 해당 도메인에 대한 호스트 변조 공격을 감지한다. 그에 따라, 네트워크 장치(100)는 호스트 변조 공격이 발생하였음을 알리기 위한 경고 메시지를 클라이언트 장치(200)로 전송하거나(324), 네트워크 통신을 차단하는 동작을 수행한다(325).If the certificate related information is not identical to each other, the network device 100 determines that the certificate is invalid, and detects a host modulation attack for the corresponding domain. Accordingly, the network device 100 transmits (324) a warning message to inform the client device 200 that a host modulation attack has occurred, and performs an operation to block the network communication (325).

네트워크 장치(100)가 N개의 인증서들의 인증서 관련 정보를 누적적으로 저장하여 연결 히스토리를 관리하는 경우, 네트워크 장치(100)는 누적 빈도가 가장 높은 인증서 관련 정보를 해당 도메인의 유효한 인증서 관련 정보인 것으로 판단하고, 유효한 인증서 관련 정보와 수신된 인증서를 비교하여 인증서의 유효성을 검증할 수 있다. When the network device 100 cumulatively stores the certificate-related information of the N certificates to manage the connection history, the network device 100 regards the certificate-related information having the highest cumulative frequency as the valid certificate-related information of the corresponding domain And verifies the validity of the certificate by comparing the valid certificate-related information with the received certificate.

일 실시 예에서, 누적 빈도가 동일한 인증서 관련 정보가 존재하는 경우, 네트워크 장치(100)는 DNS 서버(400)로 해당 도메인에 대응하는 IP 주소를 직접 요청할 수 있다. 네트워크 장치(100)는 인증서를 전송한 호스트 서버(300)의 IP 주소가 DNS 서버(400)로부터 수신된 IP 주소와 동일한지 여부를 판단하여, 호스트 변조 공격을 탐지할 수 있다. In one embodiment, when there is certificate-related information having the same cumulative frequency, the network device 100 may directly request the DNS server 400 to obtain an IP address corresponding to the corresponding domain. The network device 100 can detect a host modulation attack by determining whether the IP address of the host server 300 that transmitted the certificate is the same as the IP address received from the DNS server 400. [

도 4는 본 발명에 따른 네트워크 장치의 호스트 변조 공격 탐지 방법을 나타낸 순서도이다.4 is a flowchart illustrating a method of detecting a host modulation attack in a network device according to the present invention.

본 발명에 따른 네트워크 장치(100)는 클라이언트 장치(200)에 의해 연결 요청된 도메인과 그에 대응하여 클라이언트 장치(200)에 연결된 호스트 서버(300)로부터 전송된 인증서를 획득한다(401). The network device 100 according to the present invention acquires the domain requested to be connected by the client device 200 and the certificate transmitted from the host server 300 connected to the client device 200 in response thereto.

네트워크 장치(100)는 연결 요청된 도메인에 대한 연결 히스토리가 구성되어 있는지 여부를 판단하여(402), 연결 히스토리가 존재하지 않으면 연결 히스토리 구성 동작을, 연결 히스토리가 존재하면 연결 히스토리를 이용한 호스트 변조 공격 탐지 동작을 수행한다. The network device 100 determines whether a connection history for the connection-requested domain is configured (402). If the connection history does not exist, the connection history configuration operation is performed. If there is a connection history, the network device 100 performs a host modulation attack And performs a detection operation.

연결 히스토리가 존재하지 않으면, 네트워크 장치(100)는 도메인과 인증서의 인증서 관련 정보를 매핑시켜, 해당 도메인에 대한 연결 히스토리를 저장한다(403). 본 발명의 다양한 실시 예에서, 네트워크 장치(100)는 하나의 도메인에 되하여 기설정된 N개의 인증서를 획득하는 동안, N개의 인증서에 관한 인증서 관련 정보를 이용하여 해당 도메인에 대한 연결 히스토리를 구성할 수 있다. 일 실시 예에서, 네트워크 장치(100)는 가장 누적 빈도가 높은 인증서 관련 정보를 해당 도메인의 유효한 인증서 관련 정보인 것으로 판단하고, 유효한 것으로 판단된 인증서 관련 정보만으로 해당 도메인의 연결 히스토리를 구성할 수 있다. If the connection history does not exist, the network device 100 maps the certificate-related information of the domain and the certificate, and stores the connection history for the corresponding domain (403). In various embodiments of the present invention, the network device 100 may configure a connection history for a corresponding domain using certificate-related information about N certificates while acquiring N certificates set in one domain . In one embodiment, the network device 100 determines that the certificate-related information having the highest cumulative frequency is valid certificate-related information of the corresponding domain, and configures the connection history of the corresponding domain based only on the certificate-related information determined to be valid .

연결 히스토리가 존재하면, 네트워크 장치(100)는 연결 요청된 도메인의 연결 히스토리 내에 인증서 관련 정보와, 획득된 인증서의 인증서 관련 정보를 비교한다(404).If a connection history exists, the network device 100 compares the certificate-related information in the connection history of the domain requested to be connected with the certificate-related information of the obtained certificate (404).

두 인증서 관련 정보가 동일하면(405), 네트워크 장치(100)는 인증서를 클라이언트 장치(200)로 전달한다(406). 반면, 두 인증서 관련 정보가 동일하지 않으면(405), 네트워크 장치(100)는 클라이언트 장치(200)와 호스트 서버(300) 간 호스트 변조 공격 방지 동작을 수행한다(407). 예를 들어, 네트워크 장치(100)는 클라이언트 장치(200)로 호스트 변조 공격이 발생하였음을 알리기 위한 경고 메시지를 전송하거나, 네트워크 통신을 차단하는 동작을 수행한다. If the two certificate-related information are identical 405, the network device 100 forwards the certificate to the client device 200 (406). On the other hand, if the two pieces of certificate related information are not the same (405), the network device 100 performs a host modulation attack prevention operation between the client device 200 and the host server 300 (407). For example, the network device 100 transmits a warning message to the client device 200 to notify that a host modulation attack has occurred, or performs an operation to block network communication.

본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. Accordingly, the scope of the present invention should be construed as being included in the scope of the present invention, all changes or modifications derived from the technical idea of the present invention.

100: 네트워크 장치
110: 통신부
120: 제어부
130: 저장부
200: 클라이언트 장치
300: 호스트 서버
301: 변조 서버
400: DNS 서버100: Network device
110:
120:
130:
200: Client device
300: Host server
301: Modulation server
400: DNS server

Claims (19)

네트워크 장치의 호스트 변조 공격 탐지 방법으로,
도메인에 대한 클라이언트 장치의 적어도 하나의 연결 요청에 대응하여 수신되는 적어도 하나의 인증서에 관한 정보를 기초로 상기 도메인의 연결 히스토리를 저장하는 단계;
상기 클라이언트 장치의 상기 도메인에 대한 새로운 연결 요청에 대응하여 서버로부터 새로운 인증서가 수신되면, 상기 연결 히스토리를 이용하여 상기 새로운 인증서를 검증하는 단계; 및
상기 새로운 인증서가 유효하지 않는 것으로 검증되면, 상기 서버에 의하여 상기 클라이언트 장치에 호스트 변조 공격이 발생한 것으로 판단하고, 상기 클라이언트 장치 및 상기 서버 간 변조 공격 방지 동작을 수행하는 단계;
상기 연결 히스토리에, 누적 빈도가 동일한 복수 개의 유효한 인증서들의 인증서 관련 정보들이 존재하면, DNS 서버로 상기 도메인에 대한 IP 주소를 요청하는 단계;
상기 요청에 응답하여 수신된 상기 도메인에 대한 IP 주소와 상기 서버의 IP 주소를 비교하는 단계; 및
상기 비교 결과, 상기 도메인에 대한 IP 주소와 상기 서버의 IP 주소가 동일하면 상기 새로운 인증서가 유효한 것으로, 동일하지 않으면 상기 새로운 인증서가 유효하지 않은 것으로 검증하는 단계를 포함하되,
상기 도메인의 연결 히스토리를 저장하는 단계는,
상기 도메인에 대한 초기 N번의 연결 요청에 응답하여 수신되는 N개의 인증서를 누적하여 저장하는 단계;
상기 누적하여 저장된 N개의 인증서 중 상기 누적 빈도가 가장 큰 인증서를 유효한 인증서로 판단하는 단계; 및
상기 유효한 인증서의 인증서 관련 정보를 상기 연결 히스토리로 저장하는 단계를 포함하고,
상기 새로운 연결 요청은,
상기 초기 N번의 연결 요청 이후의 연결 요청인 것을 특징으로 하는 호스트 변조 공격 탐지 방법. A method for detecting a host-modulated attack in a network device,
Storing a connection history of the domain based on information on at least one certificate received corresponding to at least one connection request of the client apparatus for the domain;
Verifying the new certificate using the connection history when a new certificate is received from the server corresponding to a new connection request for the domain of the client device; And
Determining that a host tampering attack has occurred in the client device by the server when the new certificate is verified to be invalid; and performing a tampering prevention operation between the client device and the server;
Requesting an IP address for the domain from the DNS server if the certificate history information of the plurality of valid certificates having the same cumulative frequency exists in the connection history;
Comparing an IP address of the domain received in response to the request with an IP address of the server; And
And verifying that the new certificate is valid if the IP address for the domain is the same as the IP address of the server and that the new certificate is not valid if the IP address for the domain is identical to the IP address of the server,
Wherein the step of storing the connection history of the domain comprises:
Accumulating and storing N certificates received in response to an initial N connection requests for the domain;
Determining that the certificate with the highest cumulative frequency among the cumulative N stored certificates is a valid certificate; And
Storing certificate related information of the valid certificate in the connection history,
The new connection request may include:
Wherein the connection request is a connection request after the initial N connection requests. 제1항에 있어서, 상기 도메인의 연결 히스토리를 저장하는 단계는,
상기 도메인과 상기 유효한 인증서의 상기 인증서 관련 정보를 매핑하여 상기 도메인의 상기 연결 히스토리로 저장하는 단계를 포함하는 것을 특징으로 하는 호스트 변조 공격 탐지 방법. The method of claim 1, wherein storing the connection history of the domain comprises:
And storing the connection history of the domain in the domain by mapping the certificate related information of the valid certificate to the domain. 제1항에 있어서, 상기 새로운 인증서를 검증하는 단계는,
상기 도메인에 대한 상기 연결 히스토리의 인증서 관련 정보와 상기 새로운 인증서의 인증서 관련 정보를 비교하는 단계; 및
상기 비교 결과, 상기 연결 히스토리의 인증서 관련 정보와 상기 새로운 인증서의 인증서 관련 정보가 동일하면 상기 새로운 인증서가 유효한 것으로, 동일하지 않으면 상기 새로운 인증서가 유효하지 않은 것으로 검증하는 단계를 포함하는 것을 특징으로 하는 호스트 변조 공격 탐지 방법. 2. The method of claim 1, wherein verifying the new certificate comprises:
Comparing the certificate-related information of the connection history for the domain with the certificate-related information of the new certificate; And
And verifying that the new certificate is valid if the certificate-related information of the connection history is the same as the certificate-related information of the new certificate, and verifying that the new certificate is not valid if it is not the same Host tampering detection method. 제3항에 있어서, 상기 인증서 관련 정보는,
인증서 발급 대상, 일련 번호, 인증 기관 중 적어도 하나를 포함하는 것을 특징으로 하는 호스트 변조 공격 탐지 방법. 4. The method of claim 3, wherein the certificate-
A certificate issue object, a serial number, and a certification authority. 제4항에 있어서, 상기 인증서 관련 정보를 비교하는 단계는,
상기 연결 히스토리의 인증서 관련 정보와 상기 새로운 인증서의 인증서 관련 정보 내의 상기 인증 기관을 비교하는 단계를 포함하는 것을 특징으로 하는 호스트 변조 공격 탐지 방법. 5. The method of claim 4, wherein comparing the certificate-
And comparing the certificate-related information of the connection history with the certificate authority in certificate-related information of the new certificate. 삭제delete 삭제delete 삭제delete 제1항에 있어서, 상기 적어도 하나의 인증서 및 상기 새로운 인증서는,
SSL(Secure Socket Layer) 인증서인 것을 특징으로 하는 호스트 변조 공격 탐지 방법.2. The method of claim 1, wherein the at least one certificate and the new certificate are <
Wherein the certificate is a Secure Socket Layer (SSL) certificate. 제1항에 있어서, 상기 변조 공격 방지 동작은,
상기 클라이언트 장치로 경고 메시지를 전송하는 동작 및 상기 클라이언트 장치 및 상기 서버 간 네트워크 통신을 차단하는 동작 중 적어도 하나를 포함하는 것을 특징으로 하는 호스트 변조 공격 탐지 방법. 2. The method of claim 1, wherein the anti-
Sending an alert message to the client device, and interrupting network communication between the client device and the server. 호스트 변조 공격을 탐지하는 네트워크 장치로,
클라이언트 장치 및 서버와 데이터 통신을 수행하는 통신부;
도메인에 대한 상기 클라이언트 장치의 적어도 하나의 연결 요청에 대응하여 수신되는 적어도 하나의 인증서에 관한 정보를 기초로 상기 도메인의 연결 히스토리를 저장하는 저장부; 및
상기 클라이언트 장치의 상기 도메인에 대한 새로운 연결 요청에 대응하여 서버로부터 새로운 인증서가 수신되면, 상기 연결 히스토리를 이용하여 상기 새로운 인증서를 검증하고, 상기 새로운 인증서가 유효하지 않는 것으로 검증되면, 상기 서버에 의하여 상기 클라이언트 장치에 호스트 변조 공격이 발생한 것으로 판단하고, 상기 클라이언트 장치 및 상기 서버 간 변조 공격 방지 동작을 수행하는 제어부를 포함하되,
상기 제어부는,
상기 연결 히스토리에, 누적 빈도가 동일한 복수 개의 유효한 인증서들의 인증서 관련 정보들이 존재하면, DNS 서버로 상기 도메인에 대한 IP 주소를 요청하고, 상기 요청에 응답하여 수신된 상기 도메인에 대한 IP 주소와 상기 서버의 IP 주소를 비교하고, 상기 비교 결과, 상기 도메인에 대한 IP 주소와 상기 서버의 IP 주소가 동일하면 상기 새로운 인증서가 유효한 것으로, 동일하지 않으면 상기 새로운 인증서가 유효하지 않은 것으로 검증하고,
상기 제어부는,
상기 도메인에 대한 초기 N번의 연결 요청에 응답하여 수신되는 N개의 인증서를 누적하여 저장하고, 상기 누적하여 저장된 N개의 인증서 중 상기 누적 빈도가 가장 큰 인증서를 유효한 인증서로 판단하고, 상기 유효한 인증서의 인증서 관련 정보를 상기 연결 히스토리로 저장하고,
상기 새로운 연결 요청은,
상기 초기 N번의 연결 요청 이후의 연결 요청인 것을 특징으로 하는 네트워크 장치.A network device that detects host tampering attacks,
A communication unit for performing data communication with the client device and the server;
A storage unit for storing a connection history of the domain based on information about at least one certificate received corresponding to at least one connection request of the client apparatus for the domain; And
If a new certificate is received from the server corresponding to a new connection request for the domain of the client device, verifies the new certificate using the connection history, and if the new certificate is verified to be invalid, And a control unit for determining that a host modulation attack has occurred in the client apparatus and performing a modulated attack prevention operation between the client apparatus and the server,
Wherein,
Requesting an IP address for the domain to a DNS server if certificate related information of a plurality of valid certificates having the same cumulative frequency exists in the connection history, and receiving an IP address for the domain received in response to the request, And verifies that the new certificate is not valid if the IP address for the domain is the same as the IP address of the server and that the new certificate is not valid,
Wherein,
Accumulating and storing N certificates received in response to an initial N connection request for the domain, determining a certificate having the largest cumulative frequency among the cumulative N stored certificates as a valid certificate, Storing related information in the connection history,
The new connection request may include:
Wherein the connection request is a connection request after the initial N connection requests. 제11항에 있어서, 상기 제어부는,
상기 도메인과 상기 유효한 인증서의 상기 인증서 관련 정보를 매핑하여 상기 도메인의 상기 연결 히스토리로 저장하는 것을 특징으로 하는 네트워크 장치. 12. The apparatus according to claim 11,
And mapping the domain and the certificate-related information of the valid certificate to the connection history of the domain. 제11항에 있어서, 상기 제어부는,
상기 도메인에 대한 상기 연결 히스토리의 인증서 관련 정보와 상기 새로운 인증서의 인증서 관련 정보를 비교하고, 상기 비교 결과, 상기 연결 히스토리의 인증서 관련 정보와 상기 새로운 인증서의 인증서 관련 정보가 동일하면 상기 새로운 인증서가 유효한 것으로, 동일하지 않으면 상기 새로운 인증서가 유효하지 않은 것으로 검증하는 것을 특징으로 하는 네트워크 장치. 12. The apparatus according to claim 11,
Comparing the certificate related information of the connection history for the domain with the certificate related information of the new certificate; if the certificate related information of the connection history and the certificate related information of the new certificate are the same, And verifies that the new certificate is not valid if it is not the same. 제13항에 있어서, 상기 인증서 관련 정보는,
인증서 발급 대상, 일련 번호, 인증 기관 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크 장치. The information processing method according to claim 13,
A certificate issuance target, a serial number, and a certification authority. 제14항에 있어서, 상기 제어부는,
상기 연결 히스토리의 인증서 관련 정보와 상기 새로운 인증서의 인증서 관련 정보 내의 상기 인증 기관을 비교하는 것을 특징으로 하는 네트워크 장치.15. The apparatus of claim 14,
And compares the certificate-related information of the connection history with the certification authority in the certificate-related information of the new certificate. 삭제delete 삭제delete 삭제delete 제11항에 있어서, 상기 변조 공격 방지 동작은,
상기 클라이언트 장치로 경고 메시지를 전송하는 동작 및 상기 클라이언트 장치 및 상기 서버 간 네트워크 통신을 차단하는 동작 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크 장치. 12. The method of claim 11,
Sending an alert message to the client device, and interrupting network communication between the client device and the server.
KR1020150183135A 2015-12-21 2015-12-21 Network device and method for detecting host modumation attack thereof Expired - Fee Related KR101832720B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150183135A KR101832720B1 (en) 2015-12-21 2015-12-21 Network device and method for detecting host modumation attack thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150183135A KR101832720B1 (en) 2015-12-21 2015-12-21 Network device and method for detecting host modumation attack thereof

Publications (2)

Publication Number Publication Date
KR20170074079A KR20170074079A (en) 2017-06-29
KR101832720B1 true KR101832720B1 (en) 2018-04-13

Family

ID=59279951

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150183135A Expired - Fee Related KR101832720B1 (en) 2015-12-21 2015-12-21 Network device and method for detecting host modumation attack thereof

Country Status (1)

Country Link
KR (1) KR101832720B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140325209A1 (en) * 2013-04-30 2014-10-30 Cloudpath Networks, Inc. System and method for managing network access based on a history of a certificate
US9077546B1 (en) 2012-11-27 2015-07-07 Symnatec Corporation Two factor validation and security response of SSL certificates

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9077546B1 (en) 2012-11-27 2015-07-07 Symnatec Corporation Two factor validation and security response of SSL certificates
US20140325209A1 (en) * 2013-04-30 2014-10-30 Cloudpath Networks, Inc. System and method for managing network access based on a history of a certificate

Also Published As

Publication number Publication date
KR20170074079A (en) 2017-06-29

Similar Documents

Publication Publication Date Title
US11831642B2 (en) Systems and methods for endpoint management
KR102193644B1 (en) Facility verification method and device
KR101480605B1 (en) Accessing system for vehicle network and method of the same
US20140020067A1 (en) Apparatus and method for controlling traffic based on captcha
US20060048228A1 (en) Communication system and security assurance device
KR20160038091A (en) Method and System for Issuing CSR Certificate for Vehicle-to-Anything Communication
WO2010082253A1 (en) Server authentication method and client terminal
KR101488627B1 (en) Platform authentication strategy management method and device for trusted connection architecture
JP2017228264A5 (en)
US20170324564A1 (en) Systems and methods for enabling trusted communications between entities
EP1280312A2 (en) Methods, systems and computer program products for checking the validity of data
CN104348924A (en) Method, system and device for domain name resolution
CN109347875A (en) Internet of things equipment, platform of internet of things and the method and system for accessing platform of internet of things
US20150280920A1 (en) System and method for authorization
CN111935123A (en) Method, equipment and storage medium for detecting DNS spoofing attack
KR102062851B1 (en) Single sign on service authentication method and system using token management demon
JP5391551B2 (en) Authentication system, server device, and authentication method
KR101803535B1 (en) Single Sign-On Service Authentication Method Using One-Time-Token
KR101832720B1 (en) Network device and method for detecting host modumation attack thereof
KR101432039B1 (en) Method for remote monitoring using IP camera
CN110830465B (en) Security protection method for accessing UKey, server and client
CN113840223B (en) Position positioning method, device, terminal and network equipment
US10263976B2 (en) Method for excluding a participant from a group having authorized communication
CN106953728B (en) Data transmission method and electronic equipment
JP2015170220A (en) Equipment authentication method and equipment authentication system

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20151221

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20170214

Patent event code: PE09021S01D

AMND Amendment
PG1501 Laying open of application
E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20170825

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20170214

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

AMND Amendment
PX0901 Re-examination

Patent event code: PX09011S01I

Patent event date: 20170825

Comment text: Decision to Refuse Application

Patent event code: PX09012R01I

Patent event date: 20170412

Comment text: Amendment to Specification, etc.

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20171016

Patent event code: PE09021S01D

AMND Amendment
PX0701 Decision of registration after re-examination

Patent event date: 20180213

Comment text: Decision to Grant Registration

Patent event code: PX07013S01D

Patent event date: 20171215

Comment text: Amendment to Specification, etc.

Patent event code: PX07012R01I

Patent event date: 20170922

Comment text: Amendment to Specification, etc.

Patent event code: PX07012R01I

Patent event date: 20170825

Comment text: Decision to Refuse Application

Patent event code: PX07011S01I

Patent event date: 20170412

Comment text: Amendment to Specification, etc.

Patent event code: PX07012R01I

X701 Decision to grant (after re-examination)
GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20180221

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20180222

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20210201

Start annual number: 4

End annual number: 4

PR1001 Payment of annual fee

Payment date: 20220203

Start annual number: 5

End annual number: 5

PC1903 Unpaid annual fee

Termination category: Default of registration fee

Termination date: 20231204