JP2010514248A - 点対点トンネリング通信のための侵入防止装置及び方法 - Google Patents
点対点トンネリング通信のための侵入防止装置及び方法 Download PDFInfo
- Publication number
- JP2010514248A JP2010514248A JP2009541233A JP2009541233A JP2010514248A JP 2010514248 A JP2010514248 A JP 2010514248A JP 2009541233 A JP2009541233 A JP 2009541233A JP 2009541233 A JP2009541233 A JP 2009541233A JP 2010514248 A JP2010514248 A JP 2010514248A
- Authority
- JP
- Japan
- Prior art keywords
- packet data
- tunneling
- intrusion prevention
- network
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/04—Protocols for data compression, e.g. ROHC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
【解決手段】本発明は、点対点トンネリングパケットデータに対して非正常なトラフィックを探知し、その侵入を防止する方法であって、トンネリングパケットデータをIPパケットデータに復元し、このIPパケットデータに対して非正常なトラフィックであるか否かを判別した後、IPパケットデータが非正常なトラフィックであると判断されれば上記トンネリングパケットデータを廃棄し、IPパケットデータが正常なトラフィックであると判断されれば上記トンネリングパケットデータを他のネットワークノードに伝送することを特徴とする。
Description
本発明は、移動通信網での点対点(point‐to‐point)トンネリング通信に関するものであって、より詳しくは、移動通信端末間に伝送されるトンネリングパケットデータに対して非正常なトラフィックをモニタリングし、遮断する装置及び方法に関する。
IPデータ網保安システムの中で侵入防止システム(IPS:Intrusion Protection System)は、潜在的な脅威を認知した後これに即刻対応をするためのネットワーク保安技術のうち予防的次元の接近方式に該当する。IPSも侵入探知システムであるIDS(Intrusion Detecting System)と同様に、ネットワークトラフィックを監視する。
攻撃者が内部の権限を獲得してからはシステムの悪意的利用が非常に速く進行され得るので、IPSもネットワーク管理者が設定しておいた一連の規則に基づいて即刻行動を取ることができる能力を持っていなければならない。このため、IPSは、ある一つのパケットを検査してそれが不当なパケットであると判断されれば、該当のIPまたはポートから入ってくるすべてのトラフィックを封鎖する一方、合法的なトラフィックに対しては何の妨害やサービスの遅延なく受信側に伝達する。
このような侵入防止システム(IPS)は、バックボーンスイッチとホストコンピュータとの間に位置し、非正常なIPパケットデータを遮断する機能を行う。従って、移動通信網で着・発信端末間に直接伝送される点対点トンネリングパケットデータの場合にはIP網を経由しないので、非正常なトラフィックの攻撃から無防備状態に置かれている。
特許文献1(韓国公開特許公報第2006‐118830号)には、非同期式移動通信網(WCDMA網)のSGSNとGGSNとの間に送・受信されるパケットデータを信号パケットとデータパケットとに分割し、信号パケットをさらにソースごとに分類して不要な信号パケットや故意的な信号パケットを除去することで、故意的で且つ悪意的な信号パケットや非正常状態の信号パケットが多量受信されることを防止する装置及び方法を開示する。
しかし、特許文献1の方法は、パケットデータを信号パケットとデータパケットとに分割しなければならず、信号パケットはまたそのソースごとに分類しなければならないので、非正常なトラフィックを探知する手続きが複雑である。また、非正常なトラフィックを探知するにおいて、信号パケットとデータパケットとを比較するか、設定された臨界値と比較して異常であるか否かを判別するので、多様な有害情報の監視や遮断は困難である。
本発明は、移動通信網の点対点トンネリングパケットに対して侵入防止機能を提供することを目的とする。
また本発明は、IPパケットに使用される有害トラフィック判断政策をそのまま移動通信網のトンネリングパケットに適用することを他の目的とする。
また本発明は、非同期式移動通信網だけでなく同期式移動通信網にも適用できる侵入防止システムを構築することをまた他の目的とする。
本発明の他の目的及び長所は以下に説明し、本発明の実施によって分かるであろう。また、本発明の目的及び長所は添付した特許請求の範囲に示された手段及び組み合わせによって実現できる。
上述の目的を達成するための本発明による一様態としての、移動通信網に位置し移動通信端末間の点対点トンネリングパケット通信に対して侵入防止機能を実現する侵入防止装置は、移動通信端末間に伝送されるトンネリングパケットデータからIPパケットデータを復元する復元手段;上記IPパケットデータに対して非正常なトラフィックであるか否かを判別する判別手段;及び上記IPパケットデータが非正常なトラフィックであると判断されれば、上記トンネリングパケットデータを廃棄する手段を含む。
また、上記侵入防止装置は、上記判別手段で上記IPパケットデータを正常なトラフィックであると判断すれば、上記トンネリングパケットデータを次のネットワーク要素に伝送する手段をさらに含む。
また、上記侵入防止装置は、多数の非正常なトラフィックパターン情報を貯蔵し管理する有害情報データベースをさらに含むことができ、これによって上記判別手段は、上記有害情報データベースを参照して上記IPパケットデータが非正常なトラフィックであるか否かを判別する。
上記復元手段は、上記トンネリングパケットデータをデカプセル化(decapsulation)するためのデカプセル化手段;及び上記トンネリングパケットデータのペイロード(payload)を統合する統合手段を含む。また、上記復元手段は、上記トンネリングパケットデータの圧縮を解除するための圧縮解除手段をさらに含むことができる。
本発明の他の様態による移動通信端末間の点対点トンネリング通信を行うパケットデータ伝送システムは、アクセス網とのトンネリングパケット通信を支援する第1ネットワークノード;他のパケット交換網との連結を支援する第2ネットワークノード;及び上記第1ネットワークノードと第2ネットワークノードとの間に位置して、交換されるトンネリングパケットデータをIPパケットデータに復元し、復元されたIPパケットデータが非正常なトラフィックである場合上記トンネリングパケットデータを廃棄する侵入防止装置;を含む。
このとき、上記侵入防止装置は、上記トンネリングパケットデータからIPパケットデータを復元する復元手段;上記IPパケットデータに対して非正常なトラフィックであるか否かを判別する判別手段;及び上記IPパケットデータが非正常なトラフィックであると判断されれば、上記トンネリングパケットデータを廃棄する手段を含む。
また、上記侵入防止装置は、上記判別手段で上記IPパケットデータを正常なトラフィックであると判断すれば、上記トンネリングパケットデータを第1ネットワークノードまたは第2ネットワークノードに伝送する手段をさらに含む。
このとき、上記第1ネットワークノードは、PCF(Packet Control Function)またはSGSN(Serving GPRS Supporting Node)であり、上記第2ネットワークノードは、PDSN(Packet Data Serving Node)またはGGSN(Gateway GPRS Supporting Node)である。
本発明のまた他の様態としての、移動通信端末間の点対点トンネリングパケットデータに対して非正常なトラフィックを探知し、遮断する侵入防止方法は、上記トンネリングパケットデータをIPパケットデータに復元する復元段階;上記IPパケットデータに対して非正常なトラフィックであるか否かを判別する判別段階;及び上記判別段階で上記IPパケットデータが非正常なトラフィックであると判断されれば上記トンネリングパケットデータを廃棄し、上記IPパケットデータが正常なトラフィックであると判断されれば上記トンネリングパケットデータを他のネットワークノードに伝送するパケット処理段階を含む。
このとき、上記復元段階は、上記トンネリングパケットデータをデカプセル化するためのデカプセル化段階;及び上記トンネリングパケットデータのペイロードを統合する統合段階を含む。
上記トンネリングパケットデータがVJC(Van Jacobson compression)圧縮されたGRE(Generic Routing Encapsulation)パケットデータである場合、上記復元段階は、上記トンネリングパケットデータの圧縮を解除するための圧縮解除段階をさらに含む。
本明細書に添付される下記の図面は本発明の望ましい実施例を例示するものであって、発明の詳細な説明とともに本発明の技術思想をさらに理解させる役割を果たすものであるため、本発明はそのような図面に記載された事項にのみ限定されて解釈されてはいけない。
本発明による侵入防止機能を行うトンネリングパケット伝送システムのブロック構成図である。
上記図1のシステムに適用される侵入防止システムの内部ブロック構成図である。
図3の(a)及び図3の(b)は、CDMA‐2000に基づくGREパケットデータからIPパケットデータを復元する状態図である。
図4の(a)及び図4の(b)は、WCDMAに基づくGTPパケットデータからIPパケットデータを復元する状態図である。
本発明による点対点トンネリングパケットデータの侵入防止機能を説明するためのデータ流れ図である。
以下、添付した図面を参照しながら本発明の望ましい実施例を詳しく説明する。
図1は、本発明による侵入防止機能を行うトンネリングパケット伝送システムのブロック構成図である。
図1を参照すれば、本発明のパケット伝送システムは、移動通信端末10、アクセス網100、コア網200、IP網300及びインターネット網400を含む。図1のアクセス網100とコア網200とからなる移動通信網は、非同期式移動通信網(GSM、WCDMA)または同期式移動通信網(CDMA、CDMA2000 EV‐DO)がすべて可能である。
上記移動通信端末10は、上記移動通信網を通じて他の移動通信端末と点対点トンネリングパケット通信を行うモバイル情報通信端末であって、例えば、同期式または非同期式移動電話端末、PDA、無線通信が可能なノートPC、DMBフォンなどをすべて含む。
上記アクセス網100は、トンネリングパケット通信時に移動通信端末10とコア網200とをインターフェースするものであって、WCDMAではノード B(Node B)とRNC(Radio Network Controller)とからなり、CDMA2000ではBTS(Base Tranceiver Station)とRNC(Radio Network Controller)とからなる。
また、上記コア網200は、加入者の呼処理、セッション管理、移動性制御、そして網内のスイッチングなどと関連したすべての網構成要素を含む。特に、本発明のコア網200には、図2に示した構成の侵入防止システム250が位置している。
この侵入防止システム250は、アクセス網から伝達されるトンネリングパケットの非正常なトラフィック(または有害トラフィック)を探知し、遮断するためのネットワーク要素であって、コア網200のどこに配置しても構わない。但し、図1のように、コア網200の第1パケット支援ノード210と第2パケット支援ノード260との間に介在されることが望ましい。
図1のシステムがWCDMAに基づく場合、上記第1パケット支援ノード210はSGSN(Serving GPRS Supporting Node)であり、上記第2パケット支援ノード260はGGSN(Gateway GPRS Supporting Node)である。
上記SGSNは、アクセス網100に向かうパケット交換サービスを管理、支援するネットワーク要素であって、パケット交換サービスを提供受ける移動通信端末の移動性管理のために、ルーティング領域更新、位置情報登録、呼出しなどの機能を行う。
上記GGSNは、パケット交換領域をIP網300やインターネット網400のような他のパケット交換網に連結させるネットワーク要素である。
一方、図1のシステムがCDMA‐2000に基づく場合、上記第1パケット支援ノード210はPCF(Packet Control Function)であり、上記第2パケット支援ノード260はPDSN(Packet Data Serving Node)である。
ここで、上記PCFは、アクセス網100及びPDSNと連結されてPDSNとの接続を設定/維持/解除する機能を行い、アクセス網にパケットデータ伝送のための無線資源割当を要求し、課金情報を収集してPDSNに伝送するネットワーク要素である。
上記PDSNは、アクセス網100から伝達受けたパケットデータをIP網300やインターネット網400のような他のパケット交換網に伝送するネットワーク要素である。
上記IP網300は、コア網200の第2パケット支援ノード260、インターネット網400及びその他ネットワーク要素(例えば、Home Agent、SIPサーバーなど)を連結するための網であって、IP網300に連結されたすべての構成要素間のデータ伝送を中継する役割をする。
上記インターネット網400は、TCP/IPプロトコル及びその上位階層に存在する多くのサービス、すなわち、HTTP、Telnet、FTP、DNS、SMTP、SNTP、NFS及びNISを提供する全世界的な開放型コンピュータネットワーク構造を意味する。
次いで、図2を参照しながら上記侵入防止システム250の具体的な構成を説明する。
望ましくは、上記侵入防止システム250は、コア網200の第1パケット支援ノード210と第2パケット支援ノード260との間に位置してアクセス網100から伝達されるトンネリングパケットデータと他の移動通信端末から伝達されるトンネリングパケットデータとから非正常なトラフィックを監視し、遮断する役割をする。
このような役割を果たすため、上記侵入防止システム250は、トンネリングパケット送受信部251、IPパケット生成部252、非正常なトラフィック探知及び処理部253及び有害情報データベース254を含む。
上記トンネリングパケット送受信部251は、第1パケット支援ノード210からアクセス網100を経由して伝達されるトンネリングパケットデータ(例えば、GRE/VJCパケットまたはGTPパケット)を受信し、非正常なトラフィック探知及び処理部253の指示に従って上記トンネリングパケットデータを廃棄するか第2パケット支援ノード260に送信する役割をする。
上記IPパケット生成部252は、上記トンネリングパケット送受信部251に受信されたトンネリングパケットデータ30、40、50、60を図3の(a)ないし図4の(b)のようにIPパケットデータ31、41、51、61に復元した後、非正常なトラフィック探知及び処理部253に伝達する。
上記非正常なトラフィック探知及び処理部253は、上記IPパケット生成部252から伝達受けたIPパケットデータ31、41、51、61に非正常なトラフィック(例えば、ワーム/ウイルス、UDP Flooding、IP Spoofing、DoSトラフィックなど)が存在するか否かをモニタリングする。モニタリングの結果、IPパケットデータ内に非正常なトラフィックが存在する場合上記トンネリングパケット送受信部251に該当のトンネリングパケットの廃棄を指示し、非正常なトラフィックが存在しない場合には該当のトンネリングパケットの正常な伝送を指示する。
上記有害情報データベース254は、既存に発見された非正常なトラフィックパターンや運用者によって設定された非正常なトラフィックパターンを貯蔵し管理する。この有害情報データベース254は周期的にまたはイベントに応じて非正常なトラフィックパターンのアップデートが可能である。上記非正常なトラフィックパターン(例えば、ワーム、ウイルス、UDP Flooding、IP Spoofing、DoS トラフィックなど)は外部攻撃による非正常なトラフィックパターンを含む。
このように、本発明の侵入防止システム250は、トンネリングパケットデータをIPパケットデータに復元するので、既存のIPパケットデータに対するIPSと同一の判断政策を使用して非正常なトラフィックを探知することができる。
以下、図3の(a)ないし図4の(b)を参照しながら点対点トンネリングパケットデータからIPパケットデータを復元するメカニズムをより詳しく説明する。
まず、図3の(a)を参照しながら侵入防止システムのIPパケット生成部252がCDMA‐2000に基づくGRE/VJCパケットデータからIPパケットデータを復元する原理を説明する。
侵入防止システム250のトンネリングパケット送受信部251から伝達されるGRE/VJCパケットデータ30は、データフレーム内に追加的なヘッダーが添付されてカプセル化され、VJC圧縮されている。また、GRE/VJCパケットデータ30のTCPペイロード内にはワーム/ウイルスが存在する。
IPパケット生成部252は、上記GRE/VJCパケットデータ30をデカプセル化してIPパケットデータのためのIPヘッダー及びTCPヘッダーを生成する。また、GRE/VJCパケットデータのVJC圧縮を解除し(VJC Decompression)、TCPペイロードを統合してIPパケットデータ31を復元する。従って、復元されたIPパケットデータ31のTCPペイロード内にもワーム/ウイルスが存在することになる。
このように復元されたIPパケットデータ31は上記非正常なトラフィック探知及び処理部253に伝達され、非正常なトラフィック探知及び処理部253は復元されたIPパケットデータ31のペイロード内のワーム/ウイルスのパターン情報、ポート情報、時間当発生回数などを判断して非正常なトラフィックであるか否かを判別する。
図3の(b)にはCDMA‐2000に基づくGREパケットデータ40とこのパケットデータから復元されたIPパケットデータ41のフォーマットが示されている。
侵入防止システムのトンネリングパケット送受信部251から伝達されるGREパケットデータ40は、データフレーム内に追加的なヘッダーが添付されカプセル化されている。また、上記GREパケットデータ40のUDPペイロード内にはワーム/ウイルスが存在する。
IPパケット生成部252は、図3の(b)のGREパケットデータ40をデカプセル化してIPパケットデータのIPヘッダー及びUDPヘッダーを生成し、UDPペイロードを統合してIPパケットデータ41を復元する。従って、復元されたIPパケットデータのUDPペイロード内にもワーム/ウイルスが存在することになる。
次いで、図4の(a)及び図4の(b)は、WCDMAに基づくGTP(GPRS Tunneling Protocol)パケットデータ50、60と、このパケットデータから復元されたIPパケットデータ51、61のフォーマットを示している。
侵入防止システムのトンネリングパケット送受信部251から伝達されるGTPパケットデータ50、60は、データフレーム内に追加的なヘッダーが添付されカプセル化されている。また、GTPパケットデータ50、60のTCPペイロード内にはワーム/ウイルスが存在する。
IPパケット生成部252は、図4の(a)及び図4の(b)のGTPパケットデータ50、60をデカプセル化してIPパケットデータのIPヘッダー(または内部IPヘッダー)及びTCPヘッダーを生成し、TCPペイロードを統合してIPパケットデータ51、61を復元する。従って、復元されたIPパケットデータのTCPペイロード内にもワーム/ウイルスが存在することになる。
このように復元されたIPパケットデータ51、61は上記非正常なトラフィック探知及び処理部253に伝達され、非正常なトラフィック探知及び処理部253は復元されたIPパケットデータ51、61のペイロード内のワーム/ウイルスのパターン情報、ポート情報、時間当発生回数などを判断して非正常なトラフィックであるか否かを判別する。
次いで、図5を参照しながら本発明によるトンネリングパケットデータの伝送方法を詳しく説明する。
次いで、図5を参照しながら本発明によるトンネリングパケットデータの伝送方法を詳しく説明する。
移動通信端末10から点対点トンネリングパケットデータ(例えば、GRE/VJCパケットデータまたはGTPパケットデータ)を受信したコア網200の第1パケット支援ノード210は、このトンネリングパケットデータを侵入防止システム250のトンネリングパケット送受信部251に伝達する(S100、S200)。
侵入防止システム250のIPパケット生成部252は、上記トンネリングパケットデータ30、40、50、60に対してデカプセル化、圧縮解除及びペイロード統合のうち少なくとも何れか一つの処理を行うことによって、図3の(a)ないし図4の(b)のように、ヘッダー部(IPヘッダー‐TCPヘッダーまたはIPヘッダー‐UDPヘッダー)と、ペイロード(TCPペイロードまたはUDPペイロード)とからなったIPパケットデータ31、41、51、61を生成する(S300)。
このように生成されたIPパケットデータ31、41、51、61は、侵入防止システム250の非正常なトラフィック探知及び処理部253に伝達され、非正常なトラフィック探知及び処理部253は有害情報データベース254を参照してIPパケットデータが非正常なトラフィック(例えば、ワーム、ウイルス、UDP Flooding、IP Spoofing、DoSトラフィックなど)に該当するか否かを判断する(S400)。
このとき、上記IPパケットデータが非正常なトラフィックであると判断されれば、非正常なトラフィック探知及び処理部253はトンネリングパケット送受信部251に該当のトンネリングパケットデータの廃棄を指示する(S420)。その反面、上記IPパケットデータが正常であると判断されれば、非正常なトラフィック探知及び処理部253はトンネリングパケット送受信部251に該当のトンネリングパケットデータを第2パケット支援ノード260に伝送することを指示する(S410)。これによって、アクセス網100を経由して受信されたトンネリングパケットデータが非正常なトラフィックであるか否かが判別された後、第2パケット支援ノード260を経由して該当の移動通信端末に直接伝送される。
したがって、IP網のIPSを経由しない移動通信端末間の点対点トンネリングパケット通信においても、既存のIPS機能をそのまま使用して非正常なトラフィックの遮断が可能になる。
上述のように、本発明は移動通信端末から移動通信網にトンネリングパケットデータがアップリンクされる場合を代表的な例として説明した。しかし、本発明はトンネリングパケットデータが移動通信網から移動通信端末にダウンリンクされる場合にも実質的に同一に適用されることは言うまでもない。
以上では本発明による望ましい実施例を添付した図面を参照しながら詳細に説明した。しかし、本発明の実施例は本発明が属した技術分野で通常の知識を持つ者により多様な変形や応用が可能であり、本発明による技術的思想の範囲は後述する特許請求範囲によって定められるべきである。
本発明によれば、非同期式または同期式移動通信網での移動通信端末間の点対点トンネリング通信において、既存のIPパケットデータに対する非正常なトラフィック判別政策をそのまま使用しながらトンネリングパケットが非正常なトラフィックであるか否かを判別することができる。
また、本発明の侵入防止装置は、移動通信網のコア網内に構築されるので課金の前に非正常なトラフィックを遮断することができて誤った課金を根本的に防止することができる。
Claims (21)
- 移動通信網に位置し移動通信端末間の点対点トンネリングパケット通信に対して侵入防止機能を実現する装置であって、
移動通信端末間に伝送されるトンネリングパケットデータからIPパケットデータを復元する復元手段;
上記IPパケットデータに対して非正常なトラフィックであるか否かを判別する判別手段;及び
上記IPパケットデータが非正常なトラフィックであると判断されれば、上記トンネリングパケットデータを廃棄する手段を含むことを特徴とする侵入防止装置。 - 上記判別手段で上記IPパケットデータを正常なトラフィックであると判断すれば、上記トンネリングパケットデータを次のネットワーク要素に伝送する手段をさらに含むことを特徴とする請求項1に記載の侵入防止装置。
- 多数の非正常なトラフィックパターン情報を貯蔵し管理する有害情報データベースをさらに含み、
上記判別手段は、上記有害情報データベースを参照して上記IPパケットデータが非正常なトラフィックであるか否かを判別することを特徴とする請求項1または請求項2に記載の侵入防止装置。 - 上記復元手段は、
上記トンネリングパケットデータをデカプセル化するためのデカプセル化手段;及び
上記トンネリングパケットデータのペイロードを統合する統合手段を含むことを特徴とする請求項3に記載の侵入防止装置。 - 上記復元手段は、
上記トンネリングパケットデータの圧縮を解除するための圧縮解除手段をさらに含むことを特徴とする請求項4に記載の侵入防止装置。 - 上記侵入防止装置が移動通信網のコア網内に位置することを特徴とする請求項3に記載の侵入防止装置。
- 上記移動通信網が同期式である場合、
上記侵入防止装置は、PCFとPDSNとの間に位置することを特徴とする請求項6に記載の侵入防止装置。 - 上記移動通信網が非同期式である場合、
上記侵入防止装置は、SGSNとGGSNとの間に位置することを特徴とする請求項6に記載の侵入防止装置。 - 移動通信端末間の点対点トンネリング通信を行うパケットデータ伝送システムであって、
アクセス網とのトンネリングパケット通信を支援する第1ネットワークノード;
他のパケット交換網との連結を支援する第2ネットワークノード;及び
上記第1ネットワークノードと第2ネットワークノードとの間に位置して、交換されるトンネリングパケットデータをIPパケットデータに復元し、復元されたIPパケットデータが非正常なトラフィックである場合上記トンネリングパケットデータを廃棄する侵入防止装置;を含むことを特徴とするパケットデータ伝送システム。 - 上記侵入防止装置は、
上記トンネリングパケットデータからIPパケットデータを復元する復元手段;
上記IPパケットデータに対して非正常なトラフィックであるか否かを判別する判別手段;及び
上記IPパケットデータが非正常なトラフィックであると判断されれば、上記トンネリングパケットデータを廃棄する手段を含むことを特徴とする請求項9に記載のパケットデータ伝送システム。 - 上記侵入防止装置は、
上記判別手段で上記IPパケットデータを正常なトラフィックであると判断すれば、上記トンネリングパケットデータを第1ネットワークノードまたは第2ネットワークノードに伝送する手段をさらに含むことを特徴とする請求項10に記載のパケットデータ伝送システム。 - 上記侵入防止装置は、多数の非正常なトラフィックパターン情報を貯蔵し管理する有害情報データベースさらに含み、
上記判別手段は、上記有害情報データベースを参照して上記IPパケットデータが非正常なトラフィックであるか否かを判別することを特徴とする請求項10または請求項11に記載のパケットデータ伝送システム。 - 上記復元手段は、
上記トンネリングパケットデータをデカプセル化するためのデカプセル化手段;及び
上記トンネリングパケットデータのペイロードを統合する統合手段を含むことを特徴とする請求項10に記載のパケットデータ伝送システム。 - 上記復元手段は、
上記トンネリングパケットデータの圧縮を解除するための圧縮解除手段をさらに含むことを特徴とする請求項13に記載のパケットデータ伝送システム。 - 上記第1ネットワークノードはPCFであり、上記第2ネットワークノードはPDSNであることを特徴とする請求項10に記載のパケットデータ伝送システム。
- 上記第1ネットワークノードはSGSNであり、上記第2ネットワークノードはGGSNであることを特徴とする請求項10に記載のパケットデータ伝送システム。
- 移動通信端末間の点対点トンネリングパケットデータに対して非正常なトラフィックを探知し、遮断する侵入防止方法であって、
上記トンネリングパケットデータをIPパケットデータに復元する復元段階;
上記IPパケットデータに対して非正常なトラフィックであるか否かを判別する判別段階;及び
上記判別段階で、上記IPパケットデータが非正常なトラフィックであると判断されれば上記トンネリングパケットデータを廃棄し、上記IPパケットデータが正常なトラフィックであると判断されれば上記トンネリングパケットデータを他のネットワークノードに伝送するパケット処理段階を含むことを特徴とする侵入防止方法。 - 上記復元段階は、
上記トンネリングパケットデータをデカプセル化するためのデカプセル化段階;及び
上記トンネリングパケットデータのペイロードを統合する統合段階を含むことを特徴とする請求項17に記載の侵入防止方法。 - 上記トンネリングパケットデータがGTPパケットデータであることを特徴とする請求項18に記載の侵入防止方法。
- 上記トンネリングパケットデータがVJC圧縮されたGREパケットデータであることを特徴とする請求項18に記載の侵入防止方法。
- 上記復元段階は、
上記トンネリングパケットデータの圧縮を解除するための圧縮解除段階をさらに含むことを特徴とする請求項20に記載の侵入防止方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20060130456 | 2006-12-19 | ||
KR1020070132353A KR20080057161A (ko) | 2006-12-19 | 2007-12-17 | 점대점 터널링 통신을 위한 침입 방지 장치 및 방법 |
PCT/KR2007/006652 WO2008075891A1 (en) | 2006-12-19 | 2007-12-18 | Intrusion protection device and intrusion protection method for point-to-point tunneling protocol |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010514248A true JP2010514248A (ja) | 2010-04-30 |
Family
ID=39803122
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009541233A Pending JP2010514248A (ja) | 2006-12-19 | 2007-12-18 | 点対点トンネリング通信のための侵入防止装置及び方法 |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP2010514248A (ja) |
KR (1) | KR20080057161A (ja) |
CN (1) | CN101617498A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019097069A (ja) * | 2017-11-24 | 2019-06-20 | 日本電信電話株式会社 | フォーマット変換装置及びフォーマット変換プログラム |
JP2019106621A (ja) * | 2017-12-12 | 2019-06-27 | 日本電信電話株式会社 | 異常検知システム、異常検知方法、および、異常検知プログラム |
WO2022059328A1 (ja) * | 2020-09-17 | 2022-03-24 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 検知システム、検知方法、および、プログラム |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5245837B2 (ja) * | 2009-01-06 | 2013-07-24 | 富士ゼロックス株式会社 | 端末装置、中継装置及びプログラム |
KR101116780B1 (ko) * | 2011-08-08 | 2012-02-28 | 플러스기술주식회사 | 이동통신 단말기의 트래픽 차단 방법 및 시스템 |
KR101253615B1 (ko) * | 2011-10-31 | 2013-04-11 | 한국인터넷진흥원 | 이동통신망의 보안 시스템 |
US8948019B2 (en) | 2011-12-12 | 2015-02-03 | Korea Internet & Security Agency | System and method for preventing intrusion of abnormal GTP packet |
KR101434155B1 (ko) * | 2012-11-30 | 2014-08-27 | 한국인터넷진흥원 | 이동통신망에서 ip 스푸핑으로 인한 비정상 패킷 탐지 방법 |
KR101414231B1 (ko) * | 2013-08-28 | 2014-07-01 | 한국인터넷진흥원 | 비정상 호 탐지 장치 및 방법 |
KR101401168B1 (ko) * | 2013-09-27 | 2014-05-29 | 플러스기술주식회사 | Ip 주소를 이용한 네트워크 보안 방법 및 장치 |
KR101499022B1 (ko) * | 2014-02-12 | 2015-03-05 | 한국인터넷진흥원 | 4g 모바일 네트워크에서의 비정상 mms 메시지 탐지 장치 및 방법 |
KR101538309B1 (ko) * | 2014-12-17 | 2015-07-23 | 한국인터넷진흥원 | 4G 모바일 네트워크에서의 비정상 VoLTE 등록 메시지 탐지 장치, 시스템 및 방법 |
CN111490986B (zh) * | 2020-04-05 | 2022-05-27 | 杭州迪普科技股份有限公司 | 用于入侵防御设备的测试系统及方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001333110A (ja) * | 2000-05-23 | 2001-11-30 | Toshiba Corp | ゲートウェイ装置、通信装置、制御装置、および通信制御方法 |
JP2003518821A (ja) * | 1999-12-22 | 2003-06-10 | ノキア コーポレイション | テレコミュニケーションシステムにおけるなりすましの防止 |
WO2006104752A1 (en) * | 2005-03-31 | 2006-10-05 | Lucent Technologies Inc. | Methods and devices for defending a 3g wireless network against a signaling attack |
JP2006279938A (ja) * | 2005-03-01 | 2006-10-12 | Matsushita Electric Works Ltd | 暗号通信復号装置 |
-
2007
- 2007-12-17 KR KR1020070132353A patent/KR20080057161A/ko not_active Application Discontinuation
- 2007-12-18 JP JP2009541233A patent/JP2010514248A/ja active Pending
- 2007-12-18 CN CN200780046592A patent/CN101617498A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003518821A (ja) * | 1999-12-22 | 2003-06-10 | ノキア コーポレイション | テレコミュニケーションシステムにおけるなりすましの防止 |
JP2001333110A (ja) * | 2000-05-23 | 2001-11-30 | Toshiba Corp | ゲートウェイ装置、通信装置、制御装置、および通信制御方法 |
JP2006279938A (ja) * | 2005-03-01 | 2006-10-12 | Matsushita Electric Works Ltd | 暗号通信復号装置 |
WO2006104752A1 (en) * | 2005-03-31 | 2006-10-05 | Lucent Technologies Inc. | Methods and devices for defending a 3g wireless network against a signaling attack |
JP2008537385A (ja) * | 2005-03-31 | 2008-09-11 | ルーセント テクノロジーズ インコーポレーテッド | 3g無線ネットワークをシグナリング攻撃から防御するための方法及び装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019097069A (ja) * | 2017-11-24 | 2019-06-20 | 日本電信電話株式会社 | フォーマット変換装置及びフォーマット変換プログラム |
JP2019106621A (ja) * | 2017-12-12 | 2019-06-27 | 日本電信電話株式会社 | 異常検知システム、異常検知方法、および、異常検知プログラム |
WO2022059328A1 (ja) * | 2020-09-17 | 2022-03-24 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 検知システム、検知方法、および、プログラム |
Also Published As
Publication number | Publication date |
---|---|
KR20080057161A (ko) | 2008-06-24 |
CN101617498A (zh) | 2009-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2010514248A (ja) | 点対点トンネリング通信のための侵入防止装置及び方法 | |
JP4994359B2 (ja) | 3g無線ネットワークをシグナリング攻撃から防御するための方法及び装置 | |
JP3464664B2 (ja) | 送信データの量をチェックする方法 | |
US8185946B2 (en) | Wireless firewall with tear down messaging | |
EP3404949B1 (en) | Detection of persistency of a network node | |
US20060128406A1 (en) | System, apparatus and method for detecting malicious traffic in a communications network | |
US20100138920A1 (en) | Method and system for detecting and responding to harmful traffic | |
US20060272025A1 (en) | Processing of packet data in a communication system | |
US8036107B2 (en) | Limiting traffic in communications systems | |
CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
US20200287871A1 (en) | Diameter security with next generation firewall | |
JP2006304303A (ja) | 無線ネットワークにおける安全な隔離と回復 | |
Žagar et al. | Security aspects in IPv6 networks–implementation and testing | |
US20070153696A1 (en) | Collaborative communication traffic control systems and methods | |
US7805759B2 (en) | Systems and methods for malware-contaminated traffic management | |
JP2005293550A (ja) | パブリックネットワークからの攻撃に対してプライベートネットワークを監視保護する方法およびシステム | |
JP6980885B2 (ja) | 次世代ファイアウォールを用いたトランスポート層の信号安全性 | |
CN106982427B (zh) | 连接建立方法及装置 | |
CN110892745B (zh) | 用于服务提供商网络中的基于位置的安全性的方法和系统 | |
US8646081B1 (en) | Method and system to detect a security event in a packet flow and block the packet flow at an egress point in a communication network | |
WO2019035488A1 (ja) | 制御装置、通信システム、制御方法及びコンピュータプログラム | |
KR102173661B1 (ko) | 영상 관제시스템 | |
CN109547442B (zh) | 一种gtp协议防护方法及装置 | |
KR102165000B1 (ko) | 보안성이 강화된 카메라 사용환경 설정시스템을 구비하는 영상 관제 설비 | |
WO2008075891A1 (en) | Intrusion protection device and intrusion protection method for point-to-point tunneling protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110127 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110215 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110802 |