KR100838811B1 - Secure session border controller system for voip service security - Google Patents
Secure session border controller system for voip service security Download PDFInfo
- Publication number
- KR100838811B1 KR100838811B1 KR1020070015692A KR20070015692A KR100838811B1 KR 100838811 B1 KR100838811 B1 KR 100838811B1 KR 1020070015692 A KR1020070015692 A KR 1020070015692A KR 20070015692 A KR20070015692 A KR 20070015692A KR 100838811 B1 KR100838811 B1 KR 100838811B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- sip
- media
- session control
- session
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
도 1은 본 발명의 보안 세션 제어 장치의 구성도, 1 is a block diagram of an apparatus for secure session control of the present invention;
도 2는 본 발명의 보안 세션 제어 장치의 기능 구성도, 2 is a functional configuration diagram of a security session control apparatus of the present invention;
도 3은 SSCS의 세부 구성 및 관련 모듈과의 인터페이스를 도시하는 도면,3 illustrates a detailed configuration of the SSCS and an interface with related modules;
도 4는 세션 매니저의 세부 구성도,4 is a detailed configuration diagram of a session manager;
도 5는 SSCS에서의 SIP 메시지 처리 흐름도,5 is a flow chart of SIP message processing in SSCS;
도 6은 MRMW와 관련 모듈과의 인터페이스를 도시하는 도면,6 illustrates an interface between an MRMW and associated modules;
도 7은 MRMS에서의 데이터 흐름도,7 is a data flow diagram in MRMS,
도 8은 MRWS의 세부 구성 및 관련 모듈과의 인터페이스를 도시하는 도면,8 illustrates a detailed configuration of an MRWS and an interface with related modules;
도 9a 및 도 9b는 MRWS에서의 데이터 흐름도,9A and 9B are data flow diagrams in MRWS;
도 10은 정책 매니저의 세부 구성 및 관련 모듈과의 인터페이스를 도시하는 도면,10 illustrates a detailed configuration of a policy manager and an interface with related modules;
도 11은 정책 매니저의 기능 구성 및 관련 모듈과의 인터페이스를 도시하는 도면,11 illustrates a functional configuration of a policy manager and an interface with related modules;
도 12는 MGATE의 세부 구성 및 관련 모듈과의 인터페이스를 도시하는 도면, 12 illustrates a detailed configuration of MGATE and an interface with related modules;
도 13은 MGATE의 세부 구성의 상세 모듈 및 관련 모듈과의 인터페이스를 도시하는 도면,13 is a diagram showing an interface with a detailed module and a related module of a detailed configuration of MGATE;
도 14는 SIP 탐지기 및 필터에서의 데이터 흐름도,14 is a data flow diagram in a SIP detector and filter;
도 15는 SIP 탐지기에서의 데이터 흐름도,15 is a data flow diagram in a SIP detector;
도 16은 MGATE에서의 데이터 흐름도,16 is a data flow diagram in MGATE;
도 17은 MGATE 탐지기에서의 데이터 흐름도이다.17 is a data flow diagram in the MGATE detector.
본 발명은 VoIP 서비스를 위한 세션 제어 장치(Session Border Controller;SBC)에 관한 것으로, 특히, 세션 제어 기능, SBC 시스템 보호 기능 및 VoIP 서비스 거부공격 대응 기능을 제공하는 VoIP 서비스를 위한 보안 세션 제어 장치(Secure SBC)에 관한 것이다. The present invention relates to a session border controller (SBC) for VoIP services, and more particularly, to a secure session control apparatus for a VoIP service that provides a session control function, an SBC system protection function, and a VoIP denial of service attack response function. Secure SBC).
종래의 세션 제어 시스템은 VoIP 서비스 시 사설 IP 주소 및 UDP 포트의 사용, 포트의 동적 할당 등의 이슈로 VoIP 트래픽이 방화벽과 네트워크 주소 변환 장치(Network Address Translation;NAT)를 통과하지 못하여 서비스의 가용성이 보장되지 못하거나, 역으로 방화벽을 우회하는 트래픽에 대한 보안성을 검토하지 못하는 취약성이 있었다. In the conventional session control system, VoIP traffic does not pass through the firewall and Network Address Translation (NAT) due to issues such as the use of private IP addresses and UDP ports and dynamic allocation of ports. There were vulnerabilities that could not be guaranteed or would not be able to review the security of traffic that bypasses the firewall.
따라서, NAT/FW 통과 기능과 네트워크 구조의 은닉 기능을 목적으로 하는 세 션 제어를 위한 방법이 애플리케이션 레벨 게이트웨이(Application level gateway), MIDCOM, SBC 등 다양하게 제안되었다. 이중, 상기 SBC 시스템은 기존의 네트워크 구성 및 기능의 변경 없이 NAT/FW 통과 문제 해결이 가능하고 병목 또는 지연이 발생하지 않아서 현재 서비스 제공자들에게 가장 선호되고 있는 방법이다.Therefore, various methods for session control aimed at NAT / FW traversal and concealment of network structures have been proposed in various ways such as application level gateway, MIDCOM, and SBC. Among these, the SBC system is the most preferred method for current service providers because NAT / FW traversal problem can be solved without changing the existing network configuration and function and bottlenecks or delays do not occur.
그러나 기존의 SBC 시스템은 사설 IP 사용을 위한 세션 제어 기능이 주목적으로서, VoIP 서비스 보호 기능이 없거나 기초적인 기능만을 제공하고 있어, 후술하는 SBC 시스템 및 VoIP 서비스에 대한 공격 위협이 있다. However, the existing SBC system is primarily intended for session control for private IP use, and does not have a VoIP service protection function or provides only basic functions, thereby threatening attacks on SBC systems and VoIP services described below.
인바이트 요청 플러딩(Invite Request Flooding) 공격은 VoIP 취약점 스캐너(SiVuS, Ethereal, Cain)를 이용하여 특정 망 대역에 SIP 서버 등 주요 시스템 스캐닝을 한 후, 다량의 유효한 요청 메시지(SIP INVITE)를 보내어 시스템이 이에 대한 응답 메시지를 준비하게 함으로써 SBC의 자원을 고갈시켜 서비스를 정상적으로 제공하지 못하도록 한다. Invite Request Flooding attack uses VoIP vulnerability scanner (SiVuS, Ethereal, Cain) to scan major system such as SIP server in specific network band, and then sends a large number of valid request messages (SIP INVITE). By preparing a response message to this, it depletes the resources of the SBC to prevent normal service.
미디어 플러딩(Media Flooding 또는 RTP Flooding) 공격은 사용자의 RTP 메시지를 캡쳐하여 사용자 IP주소 및 포트 번호를 획득한 후, 다량의 악의적 RTP 메시지를 생성 및 전송하여 SBC로 하여금 다량의 데이터 처리를 유도하여 서비스 장애를 유발한다. Media flooding (media flooding or RTP flooding) attacks capture the user's RTP message to obtain the user's IP address and port number, and then generate and send a large number of malicious RTP messages to induce the SBC to process a large amount of data. Cause disability.
RTP 삽입 공격은 공격자가 스니핑(sniffing)을 통해 RTP 신호를 모니터링 하여 공격 대상자가 사용하는 UDP 포트번호 및 SSRC(Synchronization Source)를 확인하여 증가치를 추측한다. 다음 세션이 생성되었을 때, 통화중 정상 패킷과 함께 악의적 패킷을 생성/전송하여 공격자의 미디어 트래픽을 처리하도록 하여 통화를 방 해하는 공격이다. In RTP injection attack, the attacker monitors the RTP signal through sniffing and checks the UDP port number and the synchronization source (SSRC) used by the target to guess the increase. When the next session is created, the attack interrupts the call by generating / transmitting a malicious packet along with the normal packet during the call to handle the media traffic of the attacker.
메시지 조작을 통한 공격은 대표적으로 SIP SQL 주입 공격이 있다. SIP SQL 주입에 의한 공격은 HTTP 다이제스트 매커니즘을 사용하여 인증하는 SIP 프락시(Proxy) 등에 SIP 메시지의 인증 헤더(Authorization Header)에 조작된 SQL 쿼리 구문을 삽입하여 가입자 정보를 담고 있는 데이터베이스 내의 특정 사용자의 등록 정보를 조작하거나 추가, 삭제하는 공격이다. Attacks through message manipulation are typical SIP SQL injection attacks. The attack by SIP SQL injection inserts the manipulated SQL query syntax into the Authorization Header of the SIP message to the SIP Proxy that authenticates using the HTTP Digest mechanism to register the specific user in the database that contains the subscriber information. It is an attack that manipulates, adds, or deletes information.
그 외, VoIP 관련 위협으로 OS 및 보안패치상의 취약점을 악용한 시스템 장애 공격이 있다. 공격자는 접속 가능한 시스템 스캐닝을 통해 정보를 수집하고, OS 취약점, 응용 어플리케이션의 취약점 및 잘못된 환경설정을 이용하여 시스템에 침입한 후, 관리자 권한으로 시스템에 접근 환경설정이나 패스워드를 변경하여 시스템 장애를 유발한다. In addition, VoIP-related threats include system failure attacks that exploit vulnerabilities in OS and security patches. An attacker collects information through accessible system scanning, intrudes the system using OS vulnerabilities, application vulnerabilities, and incorrect configuration, and then causes system failure by changing the access configuration or password to the system with administrator privileges. do.
본 발명은 상기와 같은 문제점을 해결하기 위하여 제안된 것으로, 세션 제어 기능, SBC 시스템 보호 기능 및 VoIP 서비스 거부공격 대응 기능을 제공하는 VoIP 서비스를 위한 보안 세션 제어 장치(Secure SBC)를 제공하는 것이 목적이다. The present invention has been proposed to solve the above problems, and an object of the present invention is to provide a secure session control apparatus (Secure SBC) for a VoIP service that provides a session control function, SBC system protection function and VoIP denial-of-service attack response function. to be.
상기 목적을 달성하기 위한 본 발명은, 단말 사이의 세션의 생성, 관리 및 데이터의 교환을 제어하는 세션 제어 모듈; 악의적인 호 및 미디어를 탐지하고 차 단하는 보안 모듈; 시스템의 구성 요소를 관리하고, 시스템의 정보를 리포팅하는 관리 모듈; 및 탐지 및 차단의 기본 정보를 부여하고 현재 시스템 자원 상태정보를 보안 정책에 반영할 수 있도록 저장 관리하는 DB를 포함하는 것을 특징으로 한다.The present invention for achieving the above object, the session control module for controlling the creation, management and exchange of data between the terminal; A security module to detect and block malicious calls and media; A management module for managing the components of the system and reporting information of the system; And a DB for assigning basic information of detection and blocking and storing and managing the current system resource state information to be reflected in a security policy.
이하, 본 발명의 VoIP 서비스를 위한 보안 세션 제어 장치(Secure SBC)를 첨부된 도면을 참조하여 설명한다. Hereinafter, a secure session control apparatus (Secure SBC) for VoIP service of the present invention will be described with reference to the accompanying drawings.
본 발명은 VoIP 서비스를 위해 세션 제어 기능, SBC 시스템 보호 기능 및 VoIP 서비스 거부공격 대응 기능을 제공하는 보안 세션 제어 장치에 관한 것이다. The present invention relates to a secure session control apparatus that provides a session control function, an SBC system protection function, and a VoIP denial of service attack response function for a VoIP service.
도 1은 본 발명의 보안 세션 제어 장치의 구성도이고, 도 2는 본 발명의 보안 세션 제어 장치의 기능 구성도로, 본 발명의 보안 SBC는 크게 세션 제어 모듈, 보안 모듈, 관리 모듈 및 DB로 구분된다. 1 is a configuration diagram of a security session control apparatus of the present invention, Figure 2 is a functional configuration diagram of a security session control apparatus of the present invention, the security SBC of the present invention is largely divided into a session control module, a security module, a management module and a DB do.
세션 제어 모듈 Session control module
상기 세션 제어 모듈은 SIP 시그널링 제어 서버(SIP Signaling Control Server;SSCS)(101), 미디어 관리 서버(Media Relay Management Server;MRMS)(102) 및 미디어 처리 서버(Media Relay Worker Server;MRWS)(103)로 구성된다. The session control module includes a SIP signaling control server (SSCS) 101, a media relay management server (MRMS) 102, and a media relay worker server (MRWS) 103. It consists of.
상기 SSCS(101)는 호 신호를 받고 이를 처리하여 통화 설정을 관리하는 모듈로써, SIP 메시지에 대한 기본적인 유효성 체크(validation check)를 하고, B2BUA 기능을 통해 NAT/FW를 통과할 수 있도록 한다. 또한, 호 설정이 정상적으로 이루어지는 경우, 상기 MRMS(102)로 시그널링을 통해 해당 호에 대한 미디어 채널을 생성하도록 정보를 전달한다. The SSCS 101 is a module for receiving call signals and processing them to manage call setup. The SSCS 101 performs basic validation checks on SIP messages and allows NAT / FW to pass through the B2BUA function. In addition, when call setup is normally performed, information is transmitted to the
이때, B2BUA 기능이라 함은, 송신자와 수신자 역할을 수행하는 기능으로써, 발신 단말과 B2BUA 에이전트, B2BUA 에이전트와 수신 단말과 세션을 형성하게 된다. 단말로부터의 인바이트 메시지는 NAT를 통과하면서 IP/포트(IP/Port)가 변경되지만, SDP에서의 채널 정보는 가상 IP/포트를 사용하고 있게 되는바, SBC는 이러한 정보를 해석하고, 매핑 테이블을 생성하여 세션이 정상적으로 생성되고 데이터가 전송되도록 지원한다. SBC의 B2BUA 기능을 위해서 SBC 장비는 특정 네트워크 망의 최 앞단에 위치하여 IP/포트를 매핑하고 호 처리를 유도하므로, SBC는 서비스 네트워크의 가장 앞단에 위치하게 되는데, 이를 통해 VoIP 서비스를 위한 장비의 위치를 숨겨주게 되어 네트워크를 은닉하는 효과가 있다. In this case, the B2BUA function is a function of performing a role of a sender and a receiver, and forms a session with a calling terminal, a B2BUA agent, a B2BUA agent, and a receiving terminal. While the byte message from the terminal passes through NAT, the IP / Port is changed, but the channel information in SDP uses a virtual IP / port. SBC interprets this information and maps the mapping table. Create a session to support the normal creation and transfer of data. For the B2BUA function of SBC, SBC equipment is located at the forefront of a specific network to map IP / ports and induce call processing. Therefore, SBC is located at the forefront of the service network. It hides the location, which hides the network.
상기 MRMS(102)는 상기 SSCS(101)에서 받은 호 정보를 기반으로 음성 미디어 채널을 관리하는 모듈로써, 상기 MRWS(103)로 미디어 바인드 포트를 할당하고 제거하는 역할을 수행한다. 또한, 상기 MRWS(103)와 주기적인 통신을 통해 통화상태에 따라 미디어 채널을 할당/소멸시키고, 잔여채널이 할당되어 있는지 등의 상태를 파악하는 등 채널을 관리한다. The MRMS 102 is a module for managing a voice media channel based on the call information received from the SSCS 101, and allocates and removes a media bind port to the MRWS 103. In addition, through periodic communication with the MRWS 103, the channel is allocated / deleted according to the call state, and the channel is managed such as checking whether the remaining channel is allocated.
상기 MRWS(103)는 SIP 단말 간에 세션이 연결되어 RTP/RTCP를 통해 통화가 이루어질 때, 단말의 미디어 데이터(RTP)를 교환해 주는 역할을 수행한다. The MRWS 103 exchanges media data (RTP) of a terminal when a session is connected between SIP terminals and a call is made through RTP / RTCP.
보안 모듈Security module
상기 보안 모듈은 SIP 탐지기(104), SIP 필터(105), 미디어 탐지기(106), 미디어 필터(107) 및 정책 매니저(policy manager)(108)로 구성된다. The security module consists of a
상기 SIP 탐지기(104)는 호 신호가 상기 SSCS(101)로 입력될 때, 해당 호에 대한 유효성 체크를 수행하고 호 신호에 대한 패턴을 파악하여 상기 정책 매니 저(108)로 전송하여 이상 유무를 판단하도록 한다. 특히, 시간당 전송 횟수 등을 검사하여 인바이트 요청 플러딩 공격을 탐지하고 이를 상기 정책 매니저(108)에 알려 대응토록 한다. When the call signal is input to the SSCS 101, the
상기 SIP 필터(105)는 SIP 주소(from, to, via, caller_ID 등)를 기반으로 차단 기능을 수행한다. 상기 정책 매니저(108)와 주기적인 통신을 통해 블록 리스트(Block List)를 받거나, 상기 관리 모듈의 QoS 상태(가용 대역폭 현황)에 따라 자동으로 차단할 수 있다.The
상기 미디어 탐지기(106)는 상기 정책 매니저(108)와의 통신을 통해 탐지 패턴을 업데이트 하고, 악의적인 공격 패턴(변조된 RTP 패킷 삽입, RTP 플러딩)을 기반으로 공격을 탐지하여 이를 상기 정책 매니저(108)로 전송하여 이상 유무를 판단하도록 한다. 또한, 미디어 패킷에 대한 유효성 체크를 통해 잘못된 형식의 미디어 패킷을 탐지하고, 설정된 세션의 IP/포트와 다른 IP/포트로 입력되는 패킷을 탐지한다.The
상기 미디어 필터(107)는 IP/포트/프로토콜에 기반하여 필터링을 수행하며, 본 발명에서는 상기 미디어 탐지기(106)와 상기 미디어 필터(107)를 합쳐 MGATE라 한다. 여기서, 본 발명의 RTP 패킷 탐지 방법은 IP/포트에 한정하지 않으며, 이후 다른 방법을 적용할 수도 있다. The
상기 정책 매니저(108)는 탐지규칙, 대응규칙, 차단규칙으로 구성되어, 상기 탐지기(104, 106) 및 필터(105, 107)에 효과적인 보호 정책을 하달한다. 상기 보호 정책은 관리자에 의해 변경될 수 있으며, 상기 대응규칙에 의해 상기 필터규칙이 자동적으로 업데이트 되도록 설정할 수도 있다.The
관리 모듈Management module
상기 관리 모듈은 구성요소 관리 시스템(Element Management System;EMS) (109) 및 이벤트 서버(Event Server;EVTS)(110)로 구성된다. The management module is composed of an Element Management System (EMS) 109 and an Event Server (EVTS) 110.
상기 EMS(109)는 본 발명의 보안 SBC 시스템의 망 관리 및 시스템 구성요소의 관리, 운영을 위한 시스템으로, 관리자 인터페이스를 제공하여 보안 SBC를 관리하도록 한다. 상기 EMS(109)는 기본적인 구성 정보, QoS 관련 정책, 보안 정책 등을 관리하며, 각 구성요소에 관련된 정보를 하달한다. The
상기 EVTS(110)는 각 구성요소의 로그 또는 상태 정보를 수집하는 프로세서로, 상기 세션 제어 모듈에 속하는 SSCS(101), MRMS(102) 및 MRWS(103)의 세션 정보와 시스템 자원 정보 등을 리포팅하여 상기 정책 매니저(108)가 정책을 내릴 수 있도록 한다. The
DBDB
상기 DB(111)는 탐지/차단에 대한 기본 정보를 가지고 상기 보안 모듈에 하달하며, 특히 세션 정보 및 시스템 정보를 보고받아 상기 세션 제어 모듈, 보안 모듈 및 관리 모듈과 공유할 수 있도록 한다. The
본 발명의 보안 SBC 시스템의 기능 구성은 도 2에 도시된 바와 같으며, 이하 보안 SBC 시스템을 구성하는 각 모듈의 세부 구성 및 각 모듈에서의 데이터 흐름에 대하여 설명한다. The functional configuration of the secure SBC system of the present invention is as shown in Fig. 2, the following describes the detailed configuration of each module and the data flow in each module constituting the secure SBC system.
도 3은 상기 SSCS(101)의 세부 구성 및 관련 모듈과의 인터페이스를 도시하 는 도면이다. 상기 SSCS(101)는 도 3에서 도시된 바와 같이, 세션을 관리하기 위한 세션 매니저(301)와 SIP 기반의 악의적인 공격을 탐지 및 차단하기 위한 SIP 필터(302) 및 SIP 탐지기(303)로 구성된다. 본 발명에서는 SIP 필터(302) 및 SIP 탐지기(303)가 상기 SSCS(101) 내부에 위치하고 있으나, 필요에 따라 상기 SSCS(101)와 독립적으로 위치할 수도 있다. SIP 신호에 대한 차단 절차는 다음과 같다. 악의적인 SIP 패킷을 차단하고 공격을 탐지하기 위해 DB(304)에서 SIP 필터링 규칙을 로딩한 후, 필터링 규칙 컴파일러(305) 및 탐지 규칙 컴파일러(306)를 통하여 필터에 적용한다. 상기 세션 매니저(301)는 새로운 세션을 관리하고 MRMS(307)와의 통신을 담당한다. 인바이트 메시지가 정상적인 것으로 판명되면, 상기 MRMS(307)를 통하여 새로운 RTP 세션과 연결하고 B2BUA 기능에 따라 SIP 프락시 서버에게 인바이트 메시지를 수정하여 전달함으로써 통화 설정이 이루어지도록 한다. 3 is a diagram illustrating a detailed configuration of the
도 4는 상기 세션 매니저(301)의 세부 구성도이다. 상기 세션 매니저(301)는 NAT/FW 통과 문제를 해결하기 위해, 전술한 것과 같이 B2BUA 기능을 제공하며, 세션 정보를 도 4에서 도시된 것과 같이 저장하여 정상적으로 통화가 이루어지도록 한다. SIP 메시지는 SIP 필터를 통해 수신 큐(401)에 전달되고, 상기 수신 큐(401)에 전달된 메시지는 다수의 호 처리를 위한 콜-레그(Call-LEG) 제어(402)에 의해 처리된다. 상기 수신 큐(401)로 전달된 메시지가 새로운 SIP 인바이트 요청일 경우 UA(403)를 생성하여 수신 단말과 별개의 세션을 맺음으로써 B2BUA 기능을 수행한다. 상기 UA(403)는 UAS(404) 및 UAC(405)로 구성되며, 상기 UAS(404)는 송신 단말과 맺어지는 세션의 수신자 역할을 수행하고, 상기 UAC(405)는 송신자와 통화하기 위한 수신 단말과 맺어지는 세션의 송신자 역할을 수행한다. 또한, 상기 UA(403)는 자신의 상태 정보를 RSDB에 저장한다. 이때, 상기 RSDB는 실시간으로 생성 및 폐기되는 세션 관련 정보를 저장하는 DB를 일컫는다. 4 is a detailed configuration diagram of the
도 5는 상기 SSCS(101)에서의 SIP 메시지 처리 흐름도이다. 우선, SIP 필터를 통과한 메시지는 수신 큐에 저장된다(S501). 상기 수신 큐에 저장된 SIP 메시지를 체크하여(S502), 상기 메시지가 인바이트 메시지인 경우, 기존 세션을 검색하여 상기 메시지가 기존 세션에 대한 요청인지 아니면 새로운 요청인지 판단한다(S503). 상기 인바이트 메시지가 기존에 생성된 호에 대한 재요청이면, 테이블에 저장된 UAS/UAC 정보를 판독하고(S504), 상기 메시지를 전송 메시지 큐에 저장한다(S517).5 is a flowchart of SIP message processing in the
만약, 상기 수신 큐에 저장된 SIP 메시지가 새로운 요청인 경우, 해당 채널을 할당하기 위한 대역폭이 있는지 검사하고(S505), 해당 대역폭이 존재하지 않을 경우, 대기 큐에 저장한다(S508). 단말에서 응답메시지를 기다리는 타이머가 만기되기 전에 추가로 여유 대역폭을 체크하고(S511), 그때도 대역폭이 없으면 단말에 서비스를 제공할 수 없다는 메시지를 전송하고 호 생성 절차를 종료한다(S512).If the SIP message stored in the reception queue is a new request, it is checked whether there is a bandwidth for allocating a corresponding channel (S505), and if the bandwidth does not exist, it is stored in the waiting queue (S508). Before the timer waiting for the response message expires in the terminal checks the additional bandwidth (S511), even if there is no bandwidth transmits a message that the service can not be provided to the terminal and terminates the call generation procedure (S512).
상기 새로운 요청에 대한 채널을 할당하기에 충분한 대역폭이 있는 경우, 새로운 미디어 세션을 생성하고(S506) 관련 정보(UAS/UAC)를 저장한 후(S507), 자신이 UAC인 것처럼 데이터를 변경하여(S516) 상기 메시지를 전송 메시지 큐에 저장한다(S517). 이때, 새로운 미디어 세션 생성 후(S506), 상기 SBC가 UAC로 동작하기 위한 세션 정보(수신 미디어 포트 등)를 생성하고(S509) 이를 상기 MRMS(102)에 전 송하여 채널을 생성하도록 한다(S510). If there is enough bandwidth to allocate a channel for the new request, create a new media session (S506) and store the relevant information (UAS / UAC) (S507), then change the data as if it were UAC ( S516) the message is stored in the transmission message queue (S517). At this time, after creating a new media session (S506), the SBC generates session information (receiving media port, etc.) for operating as UAC (S509) and transmits it to the
한편, 상기 SIP 필터를 통과한 메시지가 호 종료, 호 취소(Bye, Cancel) 메시지인 경우, 해당 호 세션 정보(UAS/UAC)를 검색하고(S513) 할당된 채널을 해제하기 위하여 관련 정보를 상기 MRMS(102)에 전송한다(S514). 또한, 관련 정보를 저장한 후(S515) 단말에 종료 메시지를 전송하기 위해 데이터를 변경하여(S516) 전송 메시지 큐에 저장한다(S517).On the other hand, if the message passing through the SIP filter is a call termination, call cancellation (Bye, Cancel) message, and retrieves the corresponding call session information (UAS / UAC) (S513) and the relevant information to release the allocated channel The data is transmitted to the MRMS 102 (S514). In addition, after storing the relevant information (S515), the data is changed to transmit the end message to the terminal (S516) and stored in the transmission message queue (S517).
도 6은 상기 MRMS(601)와 관련 모듈과의 인터페이스를 도시하는 도면이다. 상기 MRMS(601)는 MRWS(602)에 미디어 바인드 포트를 할당하고 제거하는 역할을 수행하며, 하나의 MRMS(601)는 다수의 MRWS(602)를 관리할 수 있다. 따라서, 상기 MRMS(601)는 MRWS(602) 프로세서의 부하를 제어하는 부하 발란싱(Load Balancing) 역할을 수행하며, 하나의 SSCS(603)에 MRMS(601) 하나가 할당된다. 6 illustrates an interface between the
상기 MRMS(601)는 상기 SSCS(603)로부터 새로운 세션에 대한 요청을 받아 새로운 MRWS(602)를 생성하여 RTP IP 및 포트 정보를 전송한다. 상기 SSCS(603)는 새로운 IP 및 포트를 사용하여 보안 SBC와 통화 상대 사이에 새로운 세션을 생성한다. 상기 MRMS(601)는 RSDB로부터 가용 대역폭을 계산하여 추가적인 세션 생성 여부를 상기 SSCS(603)에 알려주며, 만약 가용 대역폭이 없는 경우, 상기 SSCS(603)는 가용 대역폭이 확보될 때까지 호 설정 요청을 거부한다.The
도 7은 상기 MRMS(601)에서의 데이터 흐름도이다. 상기 MRMS(601)는 SSCS 인터페이스를 통해 상기 SSCS(603)로부터 미디어 데이터 정보를 전송받는다. 상기 MRMS(601)는 상기 SSCS 인터페이스로부터 전송받은 메시지에 미디어 세션에 대한 정보(SDP, Create Call)가 있으면, Call_ID 및 MRWS ID를 저장한 후(S701) MRWS를 새롭게 생성하고(S702) MRWS 메모리 맵에 상기 생성된 MRWS 정보를 저장한다(S703). 그 후, RSDB의 가용 대역폭에 대한 정보를 변경한다(S704).7 is a data flow diagram in the
상기 SSCS 인터페이스로부터 전송받은 메시지가 호 확인(200 OK) 메시지인 경우, 미디어 세션 정보가 존재하면 새로운 정보를 추가한다(S705). MRWS 검색한 후(S706) 세션 검색을 하여(S707) 발견되면 MRWS 맵에 저장(S703) 및 애크(ACK)를 전송하고(S708), 그렇지 않을 경우 상기 SSCS에 에러 결과를 전달한다. If the message received from the SSCS interface is a call confirmation (200 OK) message, new information is added if media session information exists (S705). After the MRWS search (S706), if the session is found (S707), if it is found, the storage (S703) and the ACK (ACK) are transmitted to the MRWS map (S708). If not, the error result is transmitted to the SSCS.
한편, 상기 SSCS 인터페이스로부터 전송받은 메시지가 호 종료의 메시지인 경우, 이를 해당 MRWS 맵에 저장하고(S711) 상기 MRWS로부터 응답을 받은 후 해당 MRWS를 삭제한다(S712). 그 후, RSDB의 가용 대역폭에 대한 정보를 변경한다(S713). 또한, 상기 MRWS로부터 일정한 시간 동안 데이터의 흐름이 없다는 것을 통보받았을 때에도 호 종료로 간주하고 상기 SSCS에 시간 만기에 따른 호 종료를 알려준다. On the other hand, if the message received from the SSCS interface is a call termination message, it is stored in the corresponding MRWS map (S711) and after receiving a response from the MRWS and deletes the corresponding MRWS (S712). Thereafter, the information on the available bandwidth of the RSDB is changed (S713). In addition, when the MRWS is informed that there is no data flow for a certain time, it is regarded as a call termination and the SSCS is notified of a call termination according to time expiration.
그리고 새로운 세션이 생성되거나 기존 세션이 삭제되었을 때, RSDB로부터 현재의 대역폭을 읽어들여 다음 세션을 허용할 것인지 아닌지를 결정하여 상기 SSCS에 통보한다. When a new session is created or an existing session is deleted, it reads the current bandwidth from RSDB and decides whether or not to allow the next session and notifies the SSCS.
도 8은 상기 MRWS(801)의 세부 구성 및 관련 모듈과의 인터페이스를 도시하는 도면이다. 상기 MRWS(801)는 SIP 단말 간에 세션이 연결되어 RTP/RTCP를 통해 통화가 이루어질 때 단말의 RTP 데이터를 교환해 주는 역할을 수행하는 프로세서로, 상기 MRMS(802)는 연결되는 세션에 따라 동적으로 상기 MRWS(801)를 생성한다.FIG. 8 is a diagram showing a detailed configuration of the
상기 MRWS(801)는 상기 MRMS(802)로부터 RTP 채널 요청을 받아 RTP 채널을 할당하고 포트 번호를 전송한다. 또한, 주기적으로 할당된 채널에 대한 정보(사일런스 시간)를 전송하는데, 상기 MRMS(802)는 상기 MRWS(801)의 사일런스 시간이 정의시간을 초과하면, 정상적으로 종료되지 못한 잔여 채널로 간주하고 할당 채널을 해제하고 상기 SSCS에 통보한다. 상기 MRWS(801)는 채널을 할당할 때, 정책 매니저(804)에 IP/포트 정보를 전송하여 데이터 채널을 할당받는다. 또한 상기 RSDB (805)에 채널 정보 및 패킷량을 전송하며, 정상적으로 할당된 트래픽에 대해서는 상기 MGATE(803)에 IP/포트를 알려주어 해당 음성 패킷을 허용하도록 한다.The
도 9a 및 도 9b는 상기 MRWS(801)에서의 데이터 흐름도이다. 상기 MRWS (801)는 초기화 시 RSDB에 평균 대역폭을 업데이트 하고, 정책 매니저 및 해당 미디어에 관련된 IP 및 포트 허용을 요청하며, IP 및 포트 정보를 RSDB에 업데이트 한다. 또한, MRMS 인터페이스는 해당 미디어 정보에 관련된 세션을 관리해주고, 타이머를 통해 일정 시간 동안 미디어 데이터가 전송되는지를 확인하여 데이터가 들어오지 않을 경우 타이머 만기를 발생시켜 해당 세션에 관련된 정보를 삭제한다.9A and 9B are data flow diagrams in the
상기 MRMS(801)로부터 채널 생성을 수신하였을 경우, 송신용/수신용 채널을 할당하고(S901) 송신용/수신용 채널 매핑 테이블을 변경한다(S902). 그 후, 타이머를 구동하고(S903), 결과를 상기 MRMS(801)에 알린다(S904). When the channel generation is received from the
상기 MRMS(801)로부터 채널 종료를 수신하였을 경우, 송신용/수신용 채널을 해제하고(S905) 송신용/수신용 채널 매핑 테이블을 변경한다(S906). 그 후, 결과를 상기 MRMS(801)에 알린다(S907). When the channel termination is received from the
해당 미디어에 대하여 일부 구간(송신 단말에서 보안 SBC 구간) 암/복호화가 필요할 경우, 미디어 컨버터를 통해 미디어 데이터를 변환 시켜준다. 이때, 송신 단말에서 SBC로 전송되는 데이터는 복호화하고(S909), 수신 단말에서 SBC로 전송되는 데이터는 암호화한다(S910). 암호화가 필요하지 않을 경우, 해당 데이터 변환을 하지 않고 포워딩한다.When encryption / decryption is required for some sections (transmission terminal to secure SBC section) for the media, media data is converted through the media converter. At this time, the data transmitted from the transmitting terminal to the SBC is decrypted (S909), and the data transmitted from the receiving terminal to the SBC is encrypted (S910). If no encryption is required, forwarding is done without any data conversion.
도 10은 상기 정책 매니저(108)의 세부 구성 및 관련 모듈과의 인터페이스를 도시하는 도면으로, 상기 정책 매니저(108)는 세션 관리 및 제어 메시지 필터링 및 탐지, 미디어 메시지 필터링 및 탐지 관련 정책을 설정하고 컴파일하여 실제 다른 프로세서들이 관리자에 의해 변경된 필터링 규칙을 적용할 수 있도록 해주는 프로세서이다.FIG. 10 is a diagram illustrating the detailed configuration of the
상기 정책 매니저(108)가 사용하는 규칙 정보는 정적 정보와 동적 정보가 존재한다. 상기 정적 정보는 초기 정책 매니저가 기동 될 때 필요한 정보로서, DB(1001)에 저장되어 있다. 그리고 상기 동적 정보는 정책 매니저가 동작하면서 침입 및 기타 규칙에 대해 발견된 비정상 데이터로서, 이러한 값은 보안 SBC가 동작하면서 추가 및 삭제된다. 따라서 상기 정책 매니저(108)는 시스템 구동시 최초 적용되는 기본 필터링 규칙 정보를 상기 DB에서 읽어서 사용한다.The rule information used by the
도 11은 상기 정책 매니저(108)의 기능 구성 및 관련 모듈과의 인터페이스를 도시하는 도면이다. 프로세서 간 통신 방법은 IPC를 사용하며, RTP/RTCP 포트 할당을 동적으로 생성 및 관리하고, RSDB에 음성 패킷 전달과 관련된 로그 정보를 업데이트한다.11 is a diagram illustrating a functional configuration of the
상기 정책 매니저(1101)는 상기 MRWS(1102)로부터 사용되는 RTP 정보를 얻는다. 그리고 획득한 RTP의 IP와 포트 정보를 MGATE에 알려 준다. 상기 MRWS(1102)는 RTP 데이터를 직접 처리 또는 포워딩 여부를 상기 정책 매니저(1101)에 알려준다. RTP 정보로부터 DB의 평균적인 대역폭을 RSDB에 기록한다. 이것은 SBC에서 처리 가능한 대역폭을 계산하기 위한 것이다. 즉, 상기 MRMS(1103)의 유효 채널 정보라고 명명된 것으로, 각각 상기 MRMS(1103)의 전체 대역폭이 시스템의 한계를 넘어서면 현재 처리되는 음성 품질를 보장하기 위해 새로운 호 정보를 차단하는 기능을 처리하기 위한 것이다. 즉, 추가적인 세션을 연결할지 결정하도록 한다.The
RSDB 로그는 상기 정책 매니저(1101)의 프로세서 상태를 알리며, (시작/종료/ID) 필터링 IP/포트 정보를 적는다. RTP 포트 허용에 따른 평균적인 대역폭을 기록한다.The RSDB log informs the processor status of the
상기 정책 매니저(1101)에서의 공격 대응으로서, 임계치 조정, 히스토리 관리, 정책의 능동적 및 수동적 결정, 탐지 방법의 추가 및 삭제를 들 수 있다. As the attack response in the
유연한 대응을 위해 VoIP 공격에 대한 탐지에 대한 임계치를 정의할 수 있다. 이때, 임계치 값이 작으면 정상적인 호도 VoIP 공격으로 감지할 수 있고, 너무 크면 공격에 대해 방어가 낮아 시스템 성능에 문제가 될 수 있다. 또한, 이러한 임계치의 일정 수준에 이르면 먼저 운용자에게 알려 운용자가 이러한 정책을 설정하게 할 수 있다.For flexible response, thresholds for detection of VoIP attacks can be defined. At this time, if the threshold value is small, a normal call can be detected as a VoIP attack, and if it is too large, the defense against the attack is low, which may be a problem in system performance. In addition, when a certain level of the threshold is reached, the operator can be notified first so that the operator can set this policy.
VoIP 메시지 탐지를 위해 어느 정도의 정보를 참조하여 처리할 것인가를 사용자가 정의할 수 있다. 따라서 이러한 정보를 바탕으로 단기간 혹은 장기간 정책 을 수립할 수 있으며, 보다 적절한 VoIP 공격에 대한 대응 정책을 수립할 수 있다. The user can define how much information to process for detecting VoIP messages. Therefore, based on this information, a short or long term policy can be established, and a more appropriate response policy for VoIP attacks can be established.
여러 가지 VoIP 공격에 대해 차단을 수행할 수 있는데, 이러한 탐지에 대한 처리를 위한 차단을 능동적으로 추가 및 삭제할 수 있도록 하거나, VoIP 공격 상황을 탐지하여 관리자에게 알려 관리자가 직접 정책을 반영시킬 수 있다. Blocking can be done for various VoIP attacks, either by actively adding or removing blocking for handling such detections, or by detecting and informing the administrator of the VoIP attack situation, and the administrator can directly apply the policy.
탐지 모듈의 추가가 필요할 때, 전체적인 모듈의 변경 없이 쉽게 추가 되도록 할 수 있고, 기존에 추가되어 동작하는 탐지 모듈이 시스템의 성능 등의 상황에 의해 더 이상 사용하지 않을 때, 간단하게 삭제할 수 있도록 구성된다.When the detection module is needed, it can be easily added without changing the whole module, and the existing detection module can be easily deleted when it is no longer used due to the performance of the system. do.
도 12는 상기 MGATE의 세부 구성 및 관련 모듈과의 인터페이스를 도시하는 도면이다. 상기 MGATE 프로세서는 실시간 패킷 감시를 통하여 IP/포트/프로토콜(TCP/IP, UDP, ICMP)에 대한 필터링을 수행한다. 상기 정책 매니저와 유기적으로 동작하여 네트워크를 통해 입력된 패킷을 동적으로 차단 또는 라우팅을 시켜서 시스템을 공격하는 불필요한 패킷을 1차적으로 필터링을 해주는 역할을 수행한다. 12 is a diagram illustrating a detailed configuration of the MGATE and an interface with a related module. The MGATE processor performs filtering on IP / port / protocol (TCP / IP, UDP, ICMP) through real time packet monitoring. It operates organically with the policy manager to dynamically block or route the packets input through the network, thereby primarily filtering unnecessary packets that attack the system.
도 13은 상기 MGATE 세부 구성의 상세 모듈 및 관련 모듈과의 인터페이스를 도시하는 도면이다. 입력 패킷 차단 모듈(1301)은 악의적인 패킷으로 설정된 규칙 셋을 이용하여 비정상적인 패킷의 진입은 1차적으로 차단되며, 필터링된 패킷들에 대한 정보는 메시지 형식으로 작성되어 패킷 분석기(1303)의 메시지 큐로 전송된 후 패킷 필터링에 대한 로그 정보를 작성하는 데 사용된다.It is a figure which shows the interface with the detailed module of the said MGATE detailed structure, and a related module. The input
패킷 필터링 모듈(1304)에서 상기 패킷 분석기(1303)의 메시지 큐로 전송되는 패킷 필터링 정보는 현재 필터링 된 패킷이 사용하는 프로토콜 및 근원지 주소, 목적지 포트 번호 등과 같은 기본적인 헤더 정보 이외에 필터링된 시간과 몇 개의 패킷들이 필터링되고 있는지(카운터)와 같은 로그 정보가 포함된다.The packet filtering information transmitted from the
프로토콜 분석기(1305)는 상위 프로토콜로 전송되는 모든 패킷의 헤더 정보를 읽어서 침입을 탐지하는데 필요한 메시지 형식으로 작성한 후 상기 패킷 분석기(1303)의 메시지 큐로 전송하며, 메시지 큐에 전송된 정보들은 상기 패킷 분석기(1303)가 주기적으로 읽어가 침입을 탐지한다. 또한 DDoS 공격에 대응하기 위해 초당 동일 패킷 수신 수를 계산하여, 정해진 임계치를 초과하였을 경우, 이를 상기 정책 매니저(1306)에게 알리고, 상기 정책 매니저(1306)의 정책에 따라 차단할 수 있다.The
상기 패킷 분석기(1303)는 메시지 큐로부터 주기적으로 메시지를 읽어온 후, 침입 유형에 맞게 침입 상태 정보를 업데이트 하며, 침입을 탐지했을 경우 상기 정책 매니저(1306)로 탐지한 침입 정보를 넘겨준다. 침입 정보는 어떠한 종류의 데이터(음성, 제어, IP, 포트 등)인지와, 대응 수준(즉시 차단해야 하는지, 경고 메시지 형식으로 시스템에 기록해야 할 것인지 등) 등을 포함한다. 또한, 상기 패킷 필터링 모듈(1304)에 의해 차단된 호스트가 이후 일정 기간 동안 침입으로 간주되는 패킷을 보내지 않을 경우, 다시 패킷을 보내는 것을 허용함으로써 침입 탐지 및 차단의 오판 가능성에 능동적으로 대비할 수 있도록 한다.The
도 14는 상기 SIP 탐지기 및 필터에서의 데이터 흐름도이다. 상기 SSCS에서 수신하는 인바이트 및 레지스터 메시지는 우선 블록 리스트를 검사하여(S1401) 이에 해당되는 경우 드롭(drop)시킨다(S1402). 14 is a data flow diagram in the SIP detector and filter. The byte and register message received by the SSCS first checks the block list (S1401) and drops it if applicable (S1402).
상기 블록 리스트에 해당되지 않는 메시지는 상기 SSCS에서 먼저 대역폭을 체크하고(S1403), 가용 대역폭이 존재하는 경우, 정상적으로 SIP 메시지를 처리한다(S1404). 또한, 탐지기로 전송되어 과거 히스토리 정보를 기반으로 공격패턴과 비교하여 이상징후가 있는지 검사한다(S1405).If the message does not correspond to the block list, the SSCS first checks the bandwidth (S1403), and if there is an available bandwidth, the SIP message is processed normally (S1404). In addition, it is transmitted to the detector and compared with the attack pattern based on the past history information to check whether there are abnormal symptoms (S1405).
도 15는 상기 SIP 탐지기에서의 데이터 흐름도이다. 인바이트 공격과 같은 경우, 동일한 VoIP 송신자(From), 동일 경유지(Via), 동일 수신자(to)로 전송되는 메시지에 해당되는 경우, 시간당 전송 회수 임계치에 도달하기 전에 통지 정보를 시스템 운용자에게 전달하고, 임계치에 도달하면 정책 매니저의 정책에 따라 메시지에 대해서는 대응한다. 15 is a data flow diagram in the SIP detector. In the case of an in-person attack, if the message is sent to the same VoIP sender (From), the same waypoint (Via), and the same receiver (to), the notification information is transmitted to the system operator before the hourly transfer count threshold is reached. When the threshold is reached, it responds to the message according to the policy manager's policy.
정상적인 SIP 메시지 상태를 벗어날 경우, 예를 들어, 200OK 메시지를 수신을 기다리고 있는데, Bye 메시지 등 기대되지 않는 메시지가 수신되는 경우, 이러한 정보를 계속 누적하여 처리하고, 어느 정도 값을 벗어나면 블록할 수 있도록 한다. 또한, SIP SQL 주입 공격과 같은 것에 대한 탐지는 SIP 메시지가 적절한 메시지인지 분석하는 무효 메시지 체크에서 검사하여 부적절한 값일 경우 이러한 메시지를 블록할 수 있도록 처리한다.If you leave the normal SIP message state, for example, you are waiting for a 200OK message and you receive an unexpected message, such as a Bye message, you can continue to accumulate this information and block if it is out of range. Make sure In addition, detection of such things as SIP SQL injection attacks can be checked against invalid message checks to analyze whether a SIP message is an appropriate message, and if so, it can block such a message.
도 16은 상기 MGATE에서의 데이터 흐름도이다. 상기 MGATE에서 수신하는 모든 메시지는 IP/포트 기반의 블록 리스트를 검사하여(S1601) 이에 해당되는 경우, 드롭시킨다(S1602). 상기 블록 리스트에 해당되지 않는 메시지는 RTP 패킷일 경우 허용 리스트를 검사하여(S1603) 해당 리스트에 없는 경우, 드롭시킨다(S1602). 따라서, 정상적으로 호가 설정된 음성 트래픽만 허용된다. 상기 블록/허용 필터를 통과한 트래픽은 탐지기로 전송되어 과거 히스토리 정보를 기반으로 공격패턴과 비교 하여 이상징후가 있는지 검사한다(S1604).16 is a data flow diagram in the MGATE. All messages received by the MGATE check the IP / port-based block list (S1601), and if so, drop the message (S1602). If the message does not correspond to the block list, the allow list is checked in the case of the RTP packet (S1603). If the message is not in the corresponding list, the message is dropped (S1602). Therefore, only voice traffic to which a call is normally established is allowed. Traffic passing through the block / allowed filter is transmitted to the detector to check whether there is an abnormal symptom by comparing with the attack pattern based on past history information (S1604).
도 17은 상기 MGATE 탐지기에서의 데이터 흐름도이다. RTP 메시지의 탐지는 헤더 부분을 분석하는데, 타임 스탬프, SSRC 값이 주어진 임계치(정의된 전송간격, SSRC 값의 범위)를 벗어나는지 검사하고, 상기 임계치를 벗어나는 경우, 상기 정책 매니저에게 알려서 대응토록 한다. 또한, 버전, 타입 등을 검사하여 부적절한 값에 해당하는 것을 정책 매니저로 전달하여 블록 시키거나 운영자에게 통지하여 대응한다.17 is a data flow diagram in the MGATE detector. The detection of the RTP message analyzes the header part, checking whether the time stamp, SSRC value is out of a given threshold (defined transmission interval, range of SSRC value), and if it is out of the threshold, notify the policy manager to respond. . In addition, it checks the version, type, etc., and sends an appropriate value to the policy manager to block or notify the operator to respond.
상기와 같은 구성의 본 발명은, NAT/FW 통과 기능을 통해 사설 IP에서도 VoIP 서비스를 가능하게 하여 기존 인터넷 망에서 통화 가용성을 보장할 수 있고, 네트워크 은닉 기능을 제공하여 망 내 장비를 보호할 수 있다. The present invention of the above configuration, by enabling the VoIP service in the private IP through the NAT / FW traversal function to ensure the call availability in the existing Internet network, it is possible to protect the equipment in the network by providing a network concealment function have.
또한, SBC 자체 보안 기능을 제공하여 안전한 SBC 사용과 VoIP 서비스를 보장할 수 있으며, SBC를 경유하는 호 및 미디어 트래픽에 대한 탐지 및 차단 기능을 제공하여 VoIP 서비스에 대한 위협을 방어할 수 있다. In addition, SBC can provide its own security functions to ensure the safe use of SBC and VoIP services, and can detect and block calls and media traffic through the SBC to defend against threats to VoIP services.
Claims (13)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070015692A KR100838811B1 (en) | 2007-02-15 | 2007-02-15 | Secure session border controller system for voip service security |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070015692A KR100838811B1 (en) | 2007-02-15 | 2007-02-15 | Secure session border controller system for voip service security |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100838811B1 true KR100838811B1 (en) | 2008-06-19 |
Family
ID=39771593
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070015692A KR100838811B1 (en) | 2007-02-15 | 2007-02-15 | Secure session border controller system for voip service security |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100838811B1 (en) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101011221B1 (en) * | 2008-12-23 | 2011-01-26 | 한국인터넷진흥원 | Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof |
KR101011223B1 (en) | 2008-12-03 | 2011-01-28 | 한국인터넷진흥원 | SIP-based Enterprise Security Management System |
KR101071506B1 (en) | 2009-12-30 | 2011-10-10 | 아주대학교산학협력단 | DECTECTION METHOD AND APPARATUS OF SIP(Session Initiation Protocol) CANCEL FLOODING ATTACKS BASED ON THE UPPER BOUND OF POSSIBLE NUMER OF SIP MESSAGES |
KR101095861B1 (en) * | 2010-08-05 | 2011-12-21 | 주식회사 윈스테크넷 | Voip firewall system and control method thereof for call limitation technique based on call number information |
KR101097419B1 (en) * | 2008-12-11 | 2011-12-23 | 한국인터넷진흥원 | Detection and monitoring system for abnormal SIP traffic attack using the netflow statistical information and method thereof |
KR101107742B1 (en) * | 2008-12-16 | 2012-01-20 | 한국인터넷진흥원 | SIP Intrusion Detection and Response System for Protecting SIP-based Services |
KR101216005B1 (en) | 2011-02-24 | 2012-12-27 | 한국인터넷진흥원 | System for protecting SIP internet phone attack under encrypted signal circumstance |
KR101218253B1 (en) * | 2011-07-14 | 2013-01-21 | 델피콤주식회사 | Fraud security detection system and method |
WO2013065887A1 (en) * | 2011-10-31 | 2013-05-10 | 한국인터넷진흥원 | Security system for mobile communication network |
KR102027749B1 (en) * | 2019-02-08 | 2019-10-02 | 아콘소프트 주식회사 | Microservice system and method thereof |
KR102050188B1 (en) * | 2019-02-08 | 2019-11-28 | 아콘소프트 주식회사 | Microservice system and method thereof |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030016500A (en) * | 2001-08-20 | 2003-03-03 | 한국전자통신연구원 | Policy-based Network Security System and Method for Security and Security Policy |
KR20060030821A (en) * | 2004-10-06 | 2006-04-11 | 삼성전자주식회사 | Apparatus and method for intrusion detection in network |
KR20060118899A (en) * | 2005-05-17 | 2006-11-24 | 삼성전자주식회사 | System and method for dynamic network security |
KR20060133921A (en) * | 2005-06-21 | 2006-12-27 | 아바야 테크놀러지 엘엘씨 | System and method for mitigating denial of service attacks on communication appliances |
KR20070011173A (en) * | 2005-07-20 | 2007-01-24 | 아바야 테크놀러지 엘엘씨 | Telephony extension attack detection, recording, and intelligent prevention |
-
2007
- 2007-02-15 KR KR1020070015692A patent/KR100838811B1/en not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030016500A (en) * | 2001-08-20 | 2003-03-03 | 한국전자통신연구원 | Policy-based Network Security System and Method for Security and Security Policy |
KR20060030821A (en) * | 2004-10-06 | 2006-04-11 | 삼성전자주식회사 | Apparatus and method for intrusion detection in network |
KR20060118899A (en) * | 2005-05-17 | 2006-11-24 | 삼성전자주식회사 | System and method for dynamic network security |
KR20060133921A (en) * | 2005-06-21 | 2006-12-27 | 아바야 테크놀러지 엘엘씨 | System and method for mitigating denial of service attacks on communication appliances |
KR20070011173A (en) * | 2005-07-20 | 2007-01-24 | 아바야 테크놀러지 엘엘씨 | Telephony extension attack detection, recording, and intelligent prevention |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101011223B1 (en) | 2008-12-03 | 2011-01-28 | 한국인터넷진흥원 | SIP-based Enterprise Security Management System |
KR101097419B1 (en) * | 2008-12-11 | 2011-12-23 | 한국인터넷진흥원 | Detection and monitoring system for abnormal SIP traffic attack using the netflow statistical information and method thereof |
KR101107742B1 (en) * | 2008-12-16 | 2012-01-20 | 한국인터넷진흥원 | SIP Intrusion Detection and Response System for Protecting SIP-based Services |
KR101011221B1 (en) * | 2008-12-23 | 2011-01-26 | 한국인터넷진흥원 | Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof |
KR101071506B1 (en) | 2009-12-30 | 2011-10-10 | 아주대학교산학협력단 | DECTECTION METHOD AND APPARATUS OF SIP(Session Initiation Protocol) CANCEL FLOODING ATTACKS BASED ON THE UPPER BOUND OF POSSIBLE NUMER OF SIP MESSAGES |
KR101095861B1 (en) * | 2010-08-05 | 2011-12-21 | 주식회사 윈스테크넷 | Voip firewall system and control method thereof for call limitation technique based on call number information |
KR101216005B1 (en) | 2011-02-24 | 2012-12-27 | 한국인터넷진흥원 | System for protecting SIP internet phone attack under encrypted signal circumstance |
KR101218253B1 (en) * | 2011-07-14 | 2013-01-21 | 델피콤주식회사 | Fraud security detection system and method |
WO2013065887A1 (en) * | 2011-10-31 | 2013-05-10 | 한국인터넷진흥원 | Security system for mobile communication network |
KR102027749B1 (en) * | 2019-02-08 | 2019-10-02 | 아콘소프트 주식회사 | Microservice system and method thereof |
KR102050188B1 (en) * | 2019-02-08 | 2019-11-28 | 아콘소프트 주식회사 | Microservice system and method thereof |
WO2020162680A1 (en) * | 2019-02-08 | 2020-08-13 | 아콘소프트 주식회사 | Microservice system and method |
WO2020162679A1 (en) * | 2019-02-08 | 2020-08-13 | 아콘소프트 주식회사 | Microservice system and method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100838811B1 (en) | Secure session border controller system for voip service security | |
RU2468527C2 (en) | Lawful interception in wire broadband networks | |
US9432385B2 (en) | System and method for denial of service attack mitigation using cloud services | |
US7472411B2 (en) | Method for stateful firewall inspection of ICE messages | |
US8670316B2 (en) | Method and apparatus to control application messages between client and a server having a private network address | |
KR101107742B1 (en) | SIP Intrusion Detection and Response System for Protecting SIP-based Services | |
US8443190B2 (en) | Method for securing a two-way communications channel and device for implementing said method | |
JP5826920B2 (en) | Defense method against spoofing attacks using blocking server | |
US7680062B2 (en) | Apparatus and method for controlling abnormal traffic | |
CN109587450A (en) | Method of transmitting video data and system | |
US7594259B1 (en) | Method and system for enabling firewall traversal | |
US11178108B2 (en) | Filtering for network traffic to block denial of service attacks | |
US9973529B1 (en) | Communications methods, systems and apparatus for protecting against denial of service attacks | |
CN104519012A (en) | SIP-protocol-based method and system for detecting communication network attack | |
WO2018017151A1 (en) | System and method for voice security in a telecommunications network | |
CN109040112B (en) | Network control method and device | |
KR100852145B1 (en) | Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service | |
JP5177366B2 (en) | Service providing system, filtering device, and filtering method | |
CN114390049A (en) | Application data acquisition method and device | |
CA2461419C (en) | Method for the transmission of data in a packet-oriented data network | |
KR101065800B1 (en) | Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof | |
US20220414211A1 (en) | Method for coordinating the mitigation of a cyber attack, associated device and system | |
EP2169898A1 (en) | Method of and telecommunication apparatus for mitigating Distributed Denial-of-Service attacks in SIP packet networks | |
KR102299225B1 (en) | Service security system for internet protocol calling based on SDN/NFV, and service security method thereof | |
Onofrei et al. | Preventing distributed denial-of-service attacks on the IMS Emergency services support through adaptive firewall pinholing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120417 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20130329 Year of fee payment: 6 |
|
LAPS | Lapse due to unpaid annual fee |