KR101139537B1 - Method for detecting scanning traffic in 3g wcdma networks - Google Patents

Method for detecting scanning traffic in 3g wcdma networks Download PDF

Info

Publication number
KR101139537B1
KR101139537B1 KR1020110112435A KR20110112435A KR101139537B1 KR 101139537 B1 KR101139537 B1 KR 101139537B1 KR 1020110112435 A KR1020110112435 A KR 1020110112435A KR 20110112435 A KR20110112435 A KR 20110112435A KR 101139537 B1 KR101139537 B1 KR 101139537B1
Authority
KR
South Korea
Prior art keywords
source
traffic
trw
communication network
mobile communication
Prior art date
Application number
KR1020110112435A
Other languages
Korean (ko)
Inventor
임채태
오주형
강동완
김세권
조정식
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020110112435A priority Critical patent/KR101139537B1/en
Application granted granted Critical
Publication of KR101139537B1 publication Critical patent/KR101139537B1/en
Priority to PCT/KR2012/007196 priority patent/WO2013065943A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PURPOSE: A scanning traffic detection method of a mobile communication network is provided to apply a method for managing a memory to a TRW(Threshold Random Walk) algorithm through a bloom filter. CONSTITUTION: IP information of a corresponding source is stored(S10). A success probability and a failed probability are supposed to source. It is determined whether the collected traffic is about reconnection attempt about fail(S20). A TRW value is calculated by using the supposed probability value(S30). The calculated TRW is compared with a critical value(S40).

Description

이동통신망의 스캐닝 트래픽 탐지방법{METHOD FOR DetectinG SCANNING Traffic in 3G WCDMA networks}Scanning traffic detection method of mobile communication network {METHOD FOR DetectinG SCANNING Traffic in 3G WCDMA networks}

본 발명은 이동통신망의 트래픽 탐지에 관한 것으로, 더욱 상세하게는 이동통신망의 스캐닝 트래픽 탐지방법에 관한 것이다. The present invention relates to traffic detection of a mobile communication network, and more particularly, to a scanning traffic detection method of a mobile communication network.

최근 스마트폰 이용자의 증가 및 모바일 서비스의 확산으로 이동 통신망으로 유입되는 데이터 트래픽이 폭증하고 있으며, 이에 따라 이동통신 네트워크 인프라의 잠재적 보안 위험성이 커지고 있다. 또한, 이동통신단말을 인터넷 모뎀으로 사용할 수 있는 테더링 서비스가 보편화됨에 따라 PC등과 같은 유선 환경의 악성 트래픽이 이동통신망으로 유입되고 있는 상황이다.Recently, the data traffic flowing into the mobile communication network is exploding due to the increase in the number of smartphone users and the proliferation of mobile services, thereby increasing the potential security risk of the mobile communication network infrastructure. In addition, as tethering services that can use a mobile communication terminal as an Internet modem have become popular, malicious traffic in a wired environment such as a PC is flowing into the mobile communication network.

반면, 국내 이동통신망은 엄격한 사업자 통제가 가능한 폐쇄적인 서비스 제공 구조이기 때문에 이동통신망을 구성하는 장비에 적용된 보안 기술이 전무한 상황이며, 모바일 악성코드 감염 스마트폰, 유선 환경에서 유입되는 악성 트래픽에 대한 대응이 어려운 실정이다. 또한, 기존의 네트워크 보안 장비는 IP를 기반으로 유해 트래픽을 탐지/대응하는 반면, 이동통신망에서, 이동단말은 망에 접속할 때마다 IP 주소가 동적으로 할당되고, 망의 내부는 NAT 기반 사설 IP 주소를 사용하기 때문에 기존 인터넷 망의 침해방지 기술을 적용하기 어려운 상황이다.On the other hand, the domestic mobile communication network has a closed service provision structure that allows strict operator control, so there is no security technology applied to the equipment that constitutes the mobile communication network, and it responds to malicious traffic from mobile malware infected smartphones and wired environments. This is difficult. In addition, while existing network security equipment detects and responds to harmful traffic based on IP, in a mobile communication network, an IP address is dynamically allocated every time the mobile terminal accesses the network, and the inside of the network is a NAT-based private IP address. It is difficult to apply the intrusion prevention technology of the existing Internet network because it uses.

스캐너는 대량의 트래픽을 발생시킬 뿐만 아니라 페이징 트래픽을 유발하기 때문에 인터넷 망과 비교하여 협소한 대역폭, 한정된 무선 자원을 가지고 있는 3G WCDMA 이동통신망에 장애를 유발하여 심각한 문제를 초래할 수 있다.Scanners not only generate a large amount of traffic but also cause paging traffic, which can cause serious problems in the 3G WCDMA mobile communication network which has a narrow bandwidth and limited radio resources compared to the Internet network.

한국공개특허 10-2011-0009813호(발명의 명칭: 올아이피 네트워크 환경의 공격 탐지 및 추적 시스템 및 방법)Korean Unexamined Patent Publication No. 10-2011-0009813 (Invention name: Attack Detection and Tracking System and Method in All IP Network Environment)

본 발명의 목적은, 이동통신망으로 유입되는 스캐닝 트래픽을 탐지하고, 블럼 필터(Bloom Filter)를 사용하여 알고리즘의 성능을 개선하는 3G WCDMA 이동통신망의 스캐닝 트래픽 탐지방법을 제공하는데 있다.An object of the present invention is to provide a scanning traffic detection method of a 3G WCDMA mobile communication network that detects scanning traffic flowing into the mobile communication network and improves the performance of the algorithm by using a bloom filter.

본 발명의 부가적인 특성 및 이점들은 아래의 설명에 기재될 것이며, 부분적으로는 상기 설명에 의해 명백해지거나 본 발명의 실행을 통해 숙지될 것이다. 본 발명의 목표 및 다른 이점들은 특히 아래 기재된 설명 및 부가된 도면뿐만 아니라 청구항에서 지적한 구조에 의해 구현될 것이다.Additional features and advantages of the invention will be set forth in the description which follows, and in part will be apparent from the description, or may be learned by practice of the invention. The objectives and other advantages of the present invention will be realized and attained by the structure particularly pointed out in the claims, as well as the following description and the annexed drawings.

본 발명은 이동통신망에서 발생 가능한 스캐닝 트래픽을 TRW 알고리즘을 사용하여 탐지할 수 있는 기술을 제안하였고, UDP 또는 ICMP를 이용하거나 반복적으로 스캐닝이 일어날 경우 탐지가 어려웠던 문제점을 해결하기 위해, 실시간으로 유입되는 대량의 트래픽에 효과적으로 대처할 수 있도록 블룸필터(Bloom Filter)를 사용하여 메모리를 관리하는 방법을 TRW 알고리즘에 적용하였다.The present invention proposes a technique for detecting a scanning traffic that can occur in a mobile communication network using a TRW algorithm, and in order to solve the problem that it is difficult to detect when using UDP or ICMP or repeatedly scanning, the present invention is introduced in real time. In order to effectively cope with a large amount of traffic, a memory filter using a bloom filter is applied to the TRW algorithm.

본 발명에 따른 스캐닝 트래픽 탐지방법은 실제 국내 이동통신망의 보안 위협 대응 용도로 사용될 수 있으며, 모듈 형태로 구현하여 기존의 이동통신망 관리 시스템에 기능 보완을 위한 용도로 활용할 수 있을 것으로 기대된다.The scanning traffic detection method according to the present invention can be used to counteract the security threat of the domestic mobile communication network, and is expected to be implemented as a module form to supplement the function in the existing mobile communication network management system.

도1은 일반적인 3G 이동통신망의 구조도.
도2는 일반적인 3G 프로토콜 스택의 구조도.
도3은 본 발명에 따른 스캐닝 트래픽 탐지방법에 관한 흐름도.
도4는 본 발명에 따라 Bloom Filter를 적용한 메모리 관리를 나타낸 예시도.1 is a structural diagram of a typical 3G mobile communication network.
2 is a structural diagram of a typical 3G protocol stack.
3 is a flowchart of a scanning traffic detection method according to the present invention;
4 is an exemplary diagram illustrating memory management using a Bloom Filter according to the present invention;

상기와 같은 목적을 달성하기 위하여 본 발명에 따른 이동통신망의 스캐닝 트래픽 탐지방법은,Scanning traffic detection method of a mobile communication network according to the present invention to achieve the above object,

SGSN(Serving GPRS Supporting Node)과 GGSN(Gateway GPRS Supporting Node) 사이의 구간에서 이동통신망으로 유입되는 트래픽을 수집하고 해당 소스의 IP정보를 저장하는 과정과, 상기 소스가 정상(H0) 또는 스캐너(H1)일 때의 연결시도 성공확률과 실패확률을 가정하는 과정과, 상기 수집된 트래픽이 연결시도 실패에 따른 재연결 시도에 관한 것인지 여부를 판단하는 과정과, 재연결 시도에 따른 트래픽이 아닌 경우, 상기 가정된 확률값을 이용하여 Threshold Random Walk(TRW)값을 계산하는 과정과, 상기 계산된 TRW를 소정의 임계값들과 비교하여 스캐너를 탐지하는 과정을 포함하여 구성된다. Collecting traffic flowing into the mobile communication network and storing the IP information of the source in the interval between the Serving GPRS Supporting Node (SGSN) and the Gateway GPRS Supporting Node (GGSN), and the source is normal (H0) or scanner (H1). A process of assuming success probability and failure probability of the connection attempt at the case of), determining whether the collected traffic is about a reconnection attempt due to a connection failure, and if the traffic is not due to the reconnection attempt, Calculating a threshold random walk (TRW) value using the assumed probability value, and detecting the scanner by comparing the calculated TRW with predetermined threshold values.

바람직하게, 상기 소스의 IP정보는 블룸필터(Bloom Filter)가 적용된 방식에 따라 IP관리 테이블에 저장되는 것을 특징으로 한다. Preferably, the IP information of the source is stored in an IP management table according to a method of applying a Bloom Filter.

본 발명의 착안점은 Threshold Random Walk(TRW) 알고리즘을 채택하여 스캐닝 트래픽을 탐지하고, TRW 알고리즘의 단점을 극복하고 실시간으로 유입되는 많은 양의 트래픽을 효율적으로 빠르게 검색할 수 있도록 블룸필터(Bloom Filter)를 적용한 스캐닝 트래픽 탐지방법을 구현하는데 있다.The concept of the present invention adopts a Threshold Random Walk (TRW) algorithm to detect scanning traffic, overcomes the disadvantages of the TRW algorithm, and can efficiently and quickly search for a large amount of traffic flowing in real time. To implement a scanning traffic detection method applied to.

이하, 본 발명의 바람직한 실시예를 도면을 참조하여 설명하면 다음과 같다.Hereinafter, preferred embodiments of the present invention will be described with reference to the drawings.

도1은 일반적인 3G 이동통신망의 구조도이다.1 is a structural diagram of a general 3G mobile communication network.

도1에 도시된 바와 같이, 3G 네트워크는 크게 두 가지 요소 즉, 음성 통신을 위한 서킷망과 데이터 통신을 위한 패킷 망으로 구성된다. 그리고 추가적으로 무선 엑세스를 담당하는 RAN과, 인증 및 과금 등을 위한 시스템들이 존재한다. As shown in FIG. 1, a 3G network is composed of two main components: a circuit network for voice communication and a packet network for data communication. In addition, there are RANs that are in charge of wireless access and systems for authentication and billing.

도2는 일반적인 3G 프로토콜 스택의 구조도이다.2 is a structural diagram of a general 3G protocol stack.

도2에 도시된 바와 같이, RNC(Radio Network Controller)는 무선자원을 관리하고 SGSN(Serving GPRS Supporting Node)은 데이터망인 패킷망에서의 서비스 관리와 지원을 담당한다. GGSN(Gateway GPRS Supporting Node)은 단말에 대한 IP 할당과 패킷망의 데이터를 IP 패킷으로 변환해 외부 인터넷과의 통신을 지원하는 역할을 수행한다. 각 구성 장비 간에는 터널링으로 데이터를 전송한다. RNC와 SGSN은 Iu-PS 구간으로 주로 ATM 프로토콜을 사용하며, SGSN과 GGSN은 Gn구간으로 GTP 프로토콜을 사용한다. GTP 프로토콜은 외부 인터넷 망과 3G 패킷망의 통신을 위해 SGSN과 GGSN 간의 터널링을 위한 IP기반 프로토콜이다. GTP는 패킷 데이터를 위한 GTP-U, 시그널링을 위한 GTP-C, 과금을 위한 GTP`(GTP 프라임)으로 분류될 수 있다.As shown in FIG. 2, a Radio Network Controller (RNC) manages radio resources and a Serving GPRS Supporting Node (SGSN) is responsible for service management and support in a packet network, which is a data network. Gateway GPRS Supporting Node (GGSN) plays a role of supporting communication with the external Internet by converting IP allocation and data of packet network into IP packets. Data is transmitted by tunneling between each component. RNC and SGSN mainly use ATM protocol for Iu-PS interval, and SGSN and GGSN use GTP protocol for Gn interval. GTP protocol is an IP-based protocol for tunneling between SGSN and GGSN for communication between external internet network and 3G packet network. GTP may be classified into GTP-U for packet data, GTP-C for signaling, and GTP` (GTP prime) for charging.

이동통신 단말은 3G망을 사용할 수 있는 단말을 의미한다. 이러한 터미널은 대표적으로 스마트폰을 들 수 있으며, 3G통신을 할 수 있는 노트북과 태블릿 등 점차 다양한 단말기들이 등장하고 있다. 특히, 3G 이동통신망을 사용할 수 없어도 Wi-Fi를 사용할 수 있는 단말들이 스마트폰의 테더링을 사용하여 3G 이동통신망을 통해 데이터 통신을 하고 있다.The mobile communication terminal means a terminal that can use a 3G network. Such terminals are typically smartphones, and various terminals such as laptops and tablets capable of 3G communication are gradually appearing. In particular, even if a 3G mobile communication network is not available, terminals that can use Wi-Fi are communicating data through a 3G mobile communication network using tethering of a smartphone.

이러한 다양한 단말들은 각각의 기기 특성에 따라서 발생하는 트래픽이 크게 차이가 난다. 결국 3G 이동통신망을 통해 유입되는 트래픽은 비단 스마트폰 뿐만 아니라 노트북과 넷북 등의 다양한 단말들의 트래픽도 존재한다. 이로써 이동통신 환경에서 볼 수 없던 트래픽들이 다양한 형태로 관찰되게 된다.These various terminals are greatly different from the traffic generated according to the characteristics of each device. As a result, the traffic flowing through 3G mobile communication networks is not only smart phones but also traffic from various terminals such as laptops and netbooks. As a result, traffic that cannot be seen in the mobile communication environment is observed in various forms.

도3은 본 발명에 따른 스캐닝 트래픽 탐지방법에 관한 흐름도로서, TRW알고리즘을 채택한 스캐닝 트래픽 탐지 알고리즘을 도시한 것이다. TRW 알고리즘은 정상 호스트 또는 스캐너가 원격의 로컬 호스트에 연결을 시도하여 성공 또는 실패할 확률을 가정하고, 이를 이용하여 스캐닝 트래픽을 탐지하는 알고리즘이다.3 is a flowchart illustrating a scanning traffic detection method according to the present invention, which illustrates a scanning traffic detection algorithm employing a TRW algorithm. The TRW algorithm assumes the probability of success or failure by a normal host or a scanner attempting to connect to a remote local host, and detects scanning traffic using this.

본 발명은 상기 SGSN과 GGSN사이의 Gn구간에서 트래픽을 수집하였으며, 계산 조건식은 연결시도 실패에 따른 재연결 시도를 고려하여 아래 [수식 1]와 같이 설정하였다. (S10 ~ S20)In the present invention, traffic is collected in the Gn section between the SGSN and the GGSN, and the calculation condition is set as shown in Equation 1 below in consideration of reconnection attempt due to connection failure. (S10-S20)

[수식 1][Equation 1]

(현재 시간 - 메시지 수신 시간) >= (연결실패에 따른 메시지 재전송 기간*2)
(Current time-message reception time)> = (message retransmission period due to connection failure * 2)

그리고, 아래 [수식 2]와 같이 원격의 소스가 정상(H0) 또는 스캐너(H1)일 때 연결시도 성공/실패 확률을 각각 가정한다.As shown in Equation 2 below, the success / failure probability at connection is assumed when the remote source is normal (H 0 ) or scanner (H 1 ).

[수식 2][Equation 2]

Pr[Yi = 0┃H0]=0.8, Pr[Yi = 1┃H0]=0.2Pr [Y i = 0┃H 0 ] = 0.8, Pr [Y i = 1┃H 0 ] = 0.2

Pr[Yi = 0┃H1]=0.2, Pr[Yi = 1┃H1]=0.8
Pr [Y i = 0┃H 1 ] = 0.2, Pr [Y i = 1┃H 1 ] = 0.8

여기서, Yi는 원격의 소스가 i번째 원격 로컬 호스트에 연결 시도한 결과를 나타낸다. Yi의 값은 아래 [수식 3]과 같다.Here, Y i represents the result of the remote source attempting to connect to the i-th remote local host. The value of Y i is as shown in [Equation 3] below.

[수식 3][Equation 3]

Figure 112011085601882-pat00001
Figure 112011085601882-pat00001

마지막으로, 위에서 가정한 확률 값을 이용하여, 아래 [수식 4]와 같이 TRW를 계산하고 임계값과 비교하여 스캐너를 탐지한다. (S30~ S50)Finally, using the probability value assumed above, the TRW is calculated as shown in [Equation 4] below and the scanner is detected by comparing with the threshold value. (S30-S50)

[수식 4][Equation 4]

Figure 112011085601882-pat00002
Figure 112011085601882-pat00002

상기 [수식 4]의 계산 결과, TRW가 99보다 클 경우 해당 소스를 스캐너로 판단하고(S60), 0.01보다 작거나 같을 경우 해당 소스를 정상으로 판단하여 효율적인 메모리 관리를 위해 해당 IP 테이블을 삭제한다.(S70) 만약 TRW가 99보다 작고 0.01보다 클 경우, 원격의 소스로부터 전송되는 추가적인 트래픽을 수집하여 원격의 소스가 정상인지 여부를 다시 판단한다. (S10 ~ S50) If the TRW is greater than 99, the source is determined as a scanner (S60), and if it is less than or equal to 0.01, the source is determined to be normal and the corresponding IP table is deleted for efficient memory management. (S70) If the TRW is less than 99 and greater than 0.01, additional traffic transmitted from the remote source is collected to determine again whether the remote source is normal. (S10-S50)

TRW 알고리즘은 UDP (User Datagram Protocol) 또는 ICMP (Internet Control Message Protocol)를 이용하거나 스캐닝 발생 빈도가 낮은 경우, 또는 반복적으로 스캐닝이 일어날 경우 탐지가 어렵다. 그리고 반복적인 입력으로 메모리 공간을 효율적으로 관리하기 어려운 단점이 있다. 이러한 단점을 극복하기 위해, 본 발명은 통계적 특성을 가진 자료 구조인 블룸필터(Bloom Filter)를 적용하였다.The TRW algorithm is difficult to detect when using the User Datagram Protocol (UDP) or the Internet Control Message Protocol (ICMP), or when the scanning frequency is low, or when the scanning occurs repeatedly. In addition, it is difficult to efficiently manage memory space with repetitive input. In order to overcome this drawback, the present invention applies a Bloom Filter, which is a data structure having statistical characteristics.

블룸필터(Bloom Filter)는 통계적 특성을 가진 자료구조 즉, 확률을 적용한 자료구조이다. 어떤 집합에 A가 있는지 없는지를 판단하는 자료구조이며, A가 있느냐 없느냐만을 판단할 뿐, A 자체를 원형대로 저장하지는 않는다.Bloom Filter is a data structure with statistical characteristics, that is, a data structure with probability applied. It is a data structure that determines whether a set exists or not. It only determines whether A exists or not, and does not store A in its original form.

블룸필터(Bloom Filter)의 구체적 원리를 설명하면 다음과 같다.The specific principle of the bloom filter will be described as follows.

블룸필터(bloom filter)는 두 개의 컴포넌트로 구성되어 있다. 하나는 k 해쉬 펑션과 다른 하나는 주어진 길이의 bit 벡터이다. 우리는 bit 벡터의 길이와 key의 갯수에 맞는 해쉬펑션의 갯수를 선택할 수 있다. 블룸필터(bloom filter)의 모든 해쉬 펑션은 그들의 값의 범위와 bit 벡터의 길이와 맞아떨어진다. 예를 들어, vector가 200 bit로 되어 있으면 해쉬 펑션은 1에서 200까지의 수만을 반환하게 된다. 이것은 모든 가능한 값들이 균등하게 분배될 것을 보장한다. The bloom filter consists of two components. One is the k hash function and the other is a bit vector of the given length. We can choose the number of hash functions that match the length of the bit vector and the number of keys. All hash functions of the bloom filter match their range of values and the length of the bit vector. For example, if the vector is 200 bits, the hash function returns only numbers from 1 to 200. This ensures that all possible values are distributed evenly.

블룸필터(bloom filter)로 키가 들어오면 우리는 이것을 k 해쉬 펑션 중 하나를 통해 값을 얻어내고 이를 bit 벡터의 해당 위치를 찾아 이 벡터를 설정한다. Bit가 이미 설정되어 있다면 우리는 이것을 그냥 놔둔다. 블룸필터 (bloom filter)에서 설정을 해제하는 메카니즘은 없다. When the key comes into the bloom filter, we get it through one of the k hash functions and set it by finding the corresponding position in the bit vector. If the Bit is already set we leave it alone. There is no mechanism to turn it off in the bloom filter.

세개의 해쉬 펑션과 14개의 bit 벡터를 가지고 있는 예를 들어보자. 처음에 이 bit 벡터는 모두 비어있는 상태로 시작한다. 여기에 apple이라는 값이 들어와 해쉬 펑션을 수행하여 각각 3, 12, 11이라는 값을 얻었다고 가정하자. 그러면 아래와 같을 것이다.For example, with three hash functions and 14 bit vectors. Initially, this bit vector starts out empty. Let's assume that the value apple is entered and the hash function is executed to obtain the values 3, 12, and 11, respectively. Then it will look like

<bit 벡터><bit vector>

OOOOOOOOOOOOOO --> OOXOOOOOOOXXOO OOOOOOOOOOOOOO-> OOXOOOOOOOXXOO

각 해쉬값 자리마다 설정이 되었다. 그리고 grape라는 값이 다시 들어와 각각 해쉬 값이 11,1,8을 얻게 되었다. 결과는 아래와 같다. Each hash value is set in place. Then grape came back, and each had a hash value of 11,1,8. The result is shown below.

<bit 벡터><bit vector>

XOXOOOOXOOXXOO XOXOOOOXOOXXOO

11번째 자리는 이미 설정이 되어 있다. 즉 11 bit은 apple과 grape라는 2개의 정보를 모두 저장하고 있는 셈이 된다. 이렇게 중첩되는 것은 블룸필터(Bloom Filter)가 아주 심플하게 운영될 수 있다는 것을 의미하고 다른 한편으로는 기존의 key를 없애버릴 수 없다는 의미도 된다. apple이라는 key를 지우려면 이것을 처음부터 다시 시작하여 apple이라는 key를 집어넣지 않는 것 외에는 방법이 없다. The eleventh digit is already set. In other words, 11 bits stores two pieces of information, apple and grape. This overlap means that the Bloom Filter can be operated very simply, and on the other hand, the existing keys cannot be removed. There is no way to delete the key named apple except to start from scratch and not insert the key named apple.

앞의 2가지 key는 bit벡터에서 이들은 모두 bit벡터 내에 있고 각각의 특정 값을 설정할 수 있었으므로 이것은 valid를 하달할 수 있다. 그러면 mango라는 키를 입력해 보자. 이것은 해쉬 펑션을 통해 8,3,12라는 값을 산출해 냈다. 일단 이것은 bit 벡터 내에 모두 있기 때문에 valid라고 가정한다. 물론, mango는 valid한 값이 아니다. 왜냐 하면 모든 값들이 이미 설정된 값들이었기 때문이다. 이미 만들어진 필터와 값이 같은 것은 우연일 뿐이다. 그러나 일단은 이것을 valid라고 한다. The first two keys in the bitvector are all valid in the bitvector because they were all in the bitvector and each particular value could be set. Then type the key mango. This yielded a value of 8,3,12 through a hash function. This is assumed to be valid because it is all in the bit vector. Of course, mango is not a valid value. Because all the values were already set. It's just a coincidence that the same filter and value are already created. But for now, this is called valid.

블룸필터(Bloom Filter)가 확률에 의한 자료구조라 하는 이유는 여기서 나온다. 블룸필터(Bloom Filter)는 false positive가 가능하기 때문이다. 상기 false positive는 없는데 있다라고 하는 오류의 일종이다. This is why Bloom Filter is called probabilistic data structure. This is because bloom filters can be false positives. The false positive is a kind of error that exists.

도4는 본발명에 따라 블룸필터를 적용한 메모리 관리를 나타낸 예시도이다.4 is an exemplary diagram illustrating memory management using a bloom filter according to the present invention.

도4에 도시된 바와 같이, 본 발명에 따른 메모리 관리의 IP테이블(IP관리 테이블)은 'IP address'필드, '연결시도 상태관리'필드, '응답상태 관리'필드, '연결시도 수'필드, '응답 수'필드, '응답대기 시간'필드, '소스IP 관리시간'필드를 포함하여 구성된다. 이동통신망으로 유입되는 트래픽들이 수집될 때 해당 소스들의 IP정보는 상기 IP관리 테이블에 저장된다.As shown in Fig. 4, the IP table (IP management table) of memory management according to the present invention includes an 'IP address' field, a 'connection attempt state management' field, a 'response state management' field, and a 'number of connection attempts' field. , 'Response Count' field, 'Response Wait Time' field, and 'Source IP Management Time' field. When the traffic flowing into the mobile communication network is collected, the IP information of the corresponding sources is stored in the IP management table.

본 발명에 따른 메모리 관리방법은 해싱된 소스IP주소를 색인 값으로 사용하고, '연결시도 상태관리', '응답상태 관리' 필드에 목적지 IP를 기록하여 각각의 상태정보를 관리함으로써, 반복적인 입력을 제거하고, 응답 메시지에 대한 요청 메시지의 매핑을 용이하게 한다. 그리고 상기 '소스IP 관리 시간'필드에 소정의 시간값을 설정하여 메모리를 주기적으로 삭제하도록 함으로써 메모리 공간을 효율적으로 사용한다.In the memory management method according to the present invention, the hashed source IP address is used as an index value, and the destination IP is recorded in the 'connection attempt status management' and 'response status management' fields to manage respective status information, thereby repeatedly inputting. Eliminates and facilitates mapping of request messages to response messages. The memory space is efficiently used by setting a predetermined time value in the 'source IP management time' field to periodically delete the memory.

본 발명은 3G WCDMA 이동통신망에서 스캐닝 트래픽을 탐지할 수 있는 기술을 제안하였다. 제안된 기술은 구현 및 성능/기능 검증을 거쳐 실제 국내 이동통신망의 보안 위협 대응 용도로 사용될 수 있으며, 모듈 형태로 구현하여 기존의 이동통신망 관리 시스템에 기능 보완을 위한 용도로 활용될 수 있다.The present invention has proposed a technique for detecting scanning traffic in a 3G WCDMA mobile communication network. The proposed technology can be used for countering the security threats of domestic mobile communication networks after implementation and performance / function verification, and can be implemented as a module to supplement the functions of existing mobile communication network management systems.

본 발명은 도면에 도시된 실시 예(들)를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형이 이루어질 수 있으며, 상기 설명된 실시예(들)의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.Although the present invention has been described with reference to the embodiment (s) shown in the drawings, this is merely exemplary, and various modifications can be made therefrom by those skilled in the art, and the embodiments described above ( It will be appreciated that all or some of these may be optionally combined. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

이상에서 설명한 바와 같이, 본 발명은 이동통신망에서 발생 가능한 스캐닝 트래픽을 TRW 알고리즘을 사용하여 탐지할 수 있는 기술을 제안하였고, UDP 또는 ICMP를 이용하거나 반복적으로 스캐닝이 일어날 경우 탐지가 어려웠던 문제점을 해결하기 위해, 실시간으로 유입되는 대량의 트래픽에 효과적으로 대처할 수 있도록 블룸필터(Bloom Filter)를 사용하여 메모리를 관리하는 방법을 TRW 알고리즘에 적용하였다.As described above, the present invention has proposed a technique for detecting scanning traffic that may occur in a mobile communication network using a TRW algorithm, and solves a problem that detection is difficult when using UDP or ICMP or repeatedly scanning. In order to effectively cope with a large amount of traffic flowing in real time, a method of managing memory using a bloom filter is applied to the TRW algorithm.

본 발명에 따른 스캐닝 트래픽 탐지방법은 실제 국내 이동통신망의 보안 위협 대응 용도로 사용될 수 있으며, 모듈 형태로 구현하여 기존의 이동통신망 관리 시스템에 기능 보완을 위한 용도로 활용할 수 있을 것으로 기대된다.The scanning traffic detection method according to the present invention can be used to counteract the security threat of the domestic mobile communication network, and is expected to be implemented as a module form to supplement the function in the existing mobile communication network management system.

Claims (8)

SGSN(Serving GPRS Supporting Node)과 GGSN(Gateway GPRS Supporting Node) 사이의 구간에서 이동통신망으로 유입되는 트래픽을 수집하고 해당 소스의 IP정보를 저장하는 과정과;
상기 소스가 정상(H0) 또는 스캐너(H1)일 때의 연결시도 성공확률과 실패확률을 가정하는 과정과;
상기 수집된 트래픽이 연결시도 실패에 따른 재연결 시도에 관한 것인지 여부를 판단하는 과정과;
재연결 시도에 따른 트래픽이 아닌 경우, 상기 가정된 확률값을 이용하여 Threshold Random Walk(TRW)값을 계산하는 과정과;
상기 계산된 TRW를 소정의 임계값들과 비교하여 스캐너를 탐지하는 과정을 포함하여 구성되는 것을 특징으로 하는 이동통신망의 스캐닝 트래픽 탐지방법.Collecting traffic flowing into the mobile communication network and storing IP information of a corresponding source in a section between a Serving GPRS Supporting Node (SGSN) and a Gateway GPRS Supporting Node (GGSN);
Assuming a success probability and a failure probability of a connection when the source is normal (H 0 ) or scanner (H 1 );
Determining whether the collected traffic relates to a reconnection attempt due to a connection failure;
Calculating a threshold random walk (TRW) value using the assumed probability value when the traffic is not caused by the reconnection attempt;
And detecting the scanner by comparing the calculated TRW with predetermined thresholds. 제1항에 있어서,
상기 수집된 트래픽이 재연결 시도에 관한 것인지를 판단하는 과정은,
하기 계산 조건식에 따라 결정되며, 상기 수집된 트래픽이 하기 계산 조건식을 만족하지 않은 때, 재연결 시도에 따른 트래픽이 아닌 것으로 판정하는 것을 특징으로 하는 이동통신망의 스캐닝 트래픽 탐지방법.
<계산 조건식>
(현재시간 - 메시지 수신시간) >= (연결실패에 따른 메시지 재전송 기간*2)The method of claim 1,
Determining whether the collected traffic relates to a reconnection attempt,
The scanning traffic detection method of the mobile communication network, which is determined according to the following calculation condition equation, and determines that the collected traffic does not meet the following reconnection attempt when the collected traffic does not satisfy the following calculation condition equation.
<Calculation Condition Expression>
(Current time-message reception time)> = (message retransmission period due to connection failure * 2) 제1항에 있어서, 상기 연결시도 성공확률과 실패확률은,
하기 수식으로부터 도출되며,
Pr[Yi = 0┃H0]=0.8, Pr[Yi = 1┃H0]=0.2
Pr[Yi = 0┃H1]=0.2, Pr[Yi = 1┃H1]=0.8
상기 Yi는 원격의 소스가 i번째 원격 로컬 호스트에 연결 시도한 결과를 나타내며, 연결 시도한 결과가 성공인 경우 Yi는 '0'값을 갖고 실패인 경우 '1'값을 갖는 것을 특징으로 하는 이동통신망의 스캐닝 트래픽 탐지방법.The method of claim 1, wherein the connection probability of success and probability of failure are:
Derived from the formula
Pr [Y i = 0┃H 0 ] = 0.8, Pr [Y i = 1┃H 0 ] = 0.2
Pr [Y i = 0┃H 1 ] = 0.2, Pr [Y i = 1┃H 1 ] = 0.8
The Y i represents a result of the remote source attempting to connect to the i-th remote local host, and if the result of the connection attempt is successful, Y i has a value of '0' and a value of '1' in case of failure. Scanning traffic detection method of communication network. 제1항에 있어서, 상기 TRW값은
하기 수식으로부터 도출되는 것을 특징으로 하는 이동통신망의 스캐닝 트래픽 탐지방법.
Figure 112011085601882-pat00003
The method of claim 1, wherein the TRW value is
Scanning traffic detection method of a mobile communication network, characterized in that derived from the following formula.
Figure 112011085601882-pat00003
 제1항에 있어서, 상기 계산된 TRW를 소정의 임계값들과 비교하는 과정은,
상기 TRW가 99보다 큰 경우 상기 소스를 스캐너로 판단하는 과정과;
상기 TRW가 0.01보다 작거나 같은 경우 상기 소스를 정상으로 판단하여 효율적인 메모리 관리를 위해 해당 IP 테이블을 삭제는 과정과;
상기 TRW가 99 보다 작거나 0.01 보다 큰 경우, 상기 소스로부터 전송되는 트래픽을 추가적으로 수집하여 상기 소스가 정상인지 여부를 다시 판단하는 과정으로 구성되는 것을 특징으로 하는 이동통신망의 스캐닝 트래픽 탐지방법.The method of claim 1, wherein the comparing the calculated TRW with predetermined thresholds comprises:
Determining the source with a scanner when the TRW is greater than 99;
Determining that the source is normal when the TRW is less than or equal to 0.01 and deleting the corresponding IP table for efficient memory management;
And if the TRW is less than 99 or greater than 0.01, further comprising collecting traffic transmitted from the source and determining again whether the source is normal. 제1항에 있어서, 상기 소스의 IP정보는
블룸필터(Bloom Filter)가 적용된 방식에 따라 IP관리 테이블에 저장되는 것을 특징으로 하는 이동통신망의 스캐닝 트래픽 탐지방법.The method of claim 1, wherein the IP information of the source is
Scanning traffic detection method of a mobile communication network, characterized in that stored in the IP management table in accordance with the method (Bloom Filter) applied. 제6항에 있어서, 상기 IP관리 테이블은
'IP address'필드와;
'연결시도 상태관리'필드와;
'응답상태 관리'필드와;
'연결시도 수'필드와;
'응답 수'필드와;
'응답대기 시간'필드와;
'소스IP 관리시간'필드를 포함하여 구성되는 것을 특징으로 하는 이동통신망의 스캐닝 트래픽 탐지방법.The method of claim 6, wherein the IP management table
An 'IP address'field;
A 'connection attempt state management'field;
'Response status management'field;
With the 'number of attempts to connect'field;
With 'answer number'field;
With the 'response wait time'field;
Scanning traffic detection method of a mobile communication network comprising a 'source IP management time' field. 제7항에 있어서, 상기 '소스IP 관리시간'필드는
메모리 공간의 효율적 사용을 위해, 메모리 저장 정보를 주기적으로 삭제하도록 하는 시간 설정값을 저장하는 것을 특징으로 하는 이동통신망의 스캐닝 트래픽 탐지방법.8. The method of claim 7, wherein the 'Source IP management time' field is
And a time setting value for periodically deleting memory storage information for efficient use of memory space.
KR1020110112435A 2011-10-31 2011-10-31 Method for detecting scanning traffic in 3g wcdma networks KR101139537B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020110112435A KR101139537B1 (en) 2011-10-31 2011-10-31 Method for detecting scanning traffic in 3g wcdma networks
PCT/KR2012/007196 WO2013065943A1 (en) 2011-10-31 2012-09-06 Method of detecting scanning traffic of mobile communication network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110112435A KR101139537B1 (en) 2011-10-31 2011-10-31 Method for detecting scanning traffic in 3g wcdma networks

Publications (1)

Publication Number Publication Date
KR101139537B1 true KR101139537B1 (en) 2012-05-02

Family

ID=46271125

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110112435A KR101139537B1 (en) 2011-10-31 2011-10-31 Method for detecting scanning traffic in 3g wcdma networks

Country Status (2)

Country Link
KR (1) KR101139537B1 (en)
WO (1) WO2013065943A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112614336A (en) * 2020-11-19 2021-04-06 南京师范大学 Traffic flow modal fitting method based on quantum random walk

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060022189A (en) * 2004-09-06 2006-03-09 엘지전자 주식회사 Apparatus and method for diagnostic between base station and network section in mobile communication system
KR20060067077A (en) * 2004-12-14 2006-06-19 한국전자통신연구원 Apparatus for recognizing abnormal and destructive traffic in network and method thereof
US20100036947A1 (en) 2008-08-05 2010-02-11 Balachander Krishnamurthy Method and apparatus for reducing unwanted traffic between peer networks
KR100953567B1 (en) 2006-12-05 2010-04-21 한국전자통신연구원 Data reception acknowledge signal transmission/reception apparatus and method in mobile communication system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060022189A (en) * 2004-09-06 2006-03-09 엘지전자 주식회사 Apparatus and method for diagnostic between base station and network section in mobile communication system
KR20060067077A (en) * 2004-12-14 2006-06-19 한국전자통신연구원 Apparatus for recognizing abnormal and destructive traffic in network and method thereof
KR100953567B1 (en) 2006-12-05 2010-04-21 한국전자통신연구원 Data reception acknowledge signal transmission/reception apparatus and method in mobile communication system
US20100036947A1 (en) 2008-08-05 2010-02-11 Balachander Krishnamurthy Method and apparatus for reducing unwanted traffic between peer networks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112614336A (en) * 2020-11-19 2021-04-06 南京师范大学 Traffic flow modal fitting method based on quantum random walk
CN112614336B (en) * 2020-11-19 2021-12-07 南京师范大学 Traffic flow modal fitting method based on quantum random walk

Also Published As

Publication number Publication date
WO2013065943A1 (en) 2013-05-10

Similar Documents

Publication Publication Date Title
WO2019192366A1 (en) Method and device for managing and controlling terminal ue
EP3472992B1 (en) Network path probing using available network connections
US11671402B2 (en) Service resource scheduling method and apparatus
US8495738B2 (en) Stealth network node
US20130212680A1 (en) Methods and systems for protecting network devices from intrusion
KR100548154B1 (en) Method and apparatus for packet transmission control and packet charging data generation in wired and wireless communication networks
CN109088799B (en) Client access method, device, terminal and storage medium
CN105635084A (en) Apparatus and method for authenticating terminal
CN102137111A (en) Method and device for preventing CC (Challenge Collapsar) attack and content delivery network server
CN108173812A (en) Prevent method, apparatus, storage medium and the equipment of network attack
KR20160122992A (en) Integrative Network Management Method and Apparatus for Supplying Connection between Networks Based on Policy
US20190394169A1 (en) Service flow control method and apparatus
EP3433978A1 (en) Standalone network probing using available network connections
US20140056131A1 (en) Methods and apparatuses for accessing internet
WO2021135382A1 (en) Network security protection method and protection device
US20150319749A1 (en) System and method for managing network resource impact of migrant wi-fi users
US20220174085A1 (en) Data Processing Method and Apparatus
US11245712B2 (en) Method and apparatus for generating virtual malicious traffic template for terminal group including device infected with malicious code
CN104717102A (en) Flow statistic method and device and NAT gateway device
Tawfik et al. A review: the risks and weakness security on the IoT
CN115914164A (en) Tunnel connection method and device, electronic equipment and storage medium
CN103916489B (en) The many IP of a kind of single domain name domain name analytic method and system
KR101139537B1 (en) Method for detecting scanning traffic in 3g wcdma networks
KR101174304B1 (en) Method for block and defense arp spoofing
KR101013274B1 (en) Method and system for intercepting unusual call in wireless data communication environment

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150416

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee