KR101011223B1 - 에스아이피(sip) 기반의 통합보안 관리시스템 - Google Patents
에스아이피(sip) 기반의 통합보안 관리시스템 Download PDFInfo
- Publication number
- KR101011223B1 KR101011223B1 KR1020080121832A KR20080121832A KR101011223B1 KR 101011223 B1 KR101011223 B1 KR 101011223B1 KR 1020080121832 A KR1020080121832 A KR 1020080121832A KR 20080121832 A KR20080121832 A KR 20080121832A KR 101011223 B1 KR101011223 B1 KR 101011223B1
- Authority
- KR
- South Korea
- Prior art keywords
- sip
- management system
- security
- security management
- based integrated
- Prior art date
Links
- 238000012098 association analyses Methods 0.000 claims abstract description 41
- 238000001514 detection method Methods 0.000 claims abstract description 27
- 230000004044 response Effects 0.000 claims abstract description 15
- 238000000034 method Methods 0.000 claims description 10
- 230000002123 temporal effect Effects 0.000 claims description 7
- 230000011664 signaling Effects 0.000 claims description 5
- 238000001914 filtration Methods 0.000 claims description 4
- 238000007689 inspection Methods 0.000 claims description 4
- 238000000926 separation method Methods 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 abstract description 6
- 238000012544 monitoring process Methods 0.000 abstract description 4
- 230000000694 effects Effects 0.000 abstract description 2
- 230000000977 initiatory effect Effects 0.000 abstract description 2
- 238000012351 Integrated analysis Methods 0.000 abstract 1
- 239000003795 chemical substances by application Substances 0.000 description 35
- 230000006870 function Effects 0.000 description 14
- 230000006399 behavior Effects 0.000 description 12
- 239000008186 active pharmaceutical agent Substances 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000047 product Substances 0.000 description 2
- VEMKTZHHVJILDY-UHFFFAOYSA-N resmethrin Chemical compound CC1(C)C(C=C(C)C)C1C(=O)OCC1=COC(CC=2C=CC=CC=2)=C1 VEMKTZHHVJILDY-UHFFFAOYSA-N 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 에스아이피(SIP: Session Initiation Protocol) 기반의 통합보안 관리시스템에 관한 것으로서, 더욱 상세하게는 서비스 사업자들이 자사의 네트워크에 SIP 관련 보안시스템을 설치함에 따라 이들 장비를 통합적으로 관리하고 개별 보안시스템의 탐지결과를 수집하여 통합 분석할 수 있고, SIP 기반의 공격 탐지 및 대응 정보를 수집한 후 이를 바탕으로 보안연관성 분석을 수행할 수 있으며, SIP 기반 통합보안관리 시스템을 모듈화된 구조로 설계함으로써, 기존의 통합보안관리 시스템에 쉽게 통합될 수 있고, 현재의 통합관리대상 에이전트는 SIP 기반의 침입탐지 및 대응시스템과 SIP 기반의 비정상 트래픽 모니터링 시스템이지만, 표준화된 인터페이스를 정의함에 따라 보다 적은 노력으로 통합관리대상 시스템을 확대할 수 있으며, SIP 기반 통합보안관리시스템 콘솔과 SIP 기반 통합보안관리시스템 매니저 간에 데이터베이스를 통해 데이터를 주고받음으로써, 데이터베이스의 종류와 구조만 명시한다면 다른 통합보안관리시스템에서도 쉽게 GUI를 개발하여 연동할 수 있고, SIP 기반 통합보안관리시스템 콘솔 내에 사용자 행위관찰 모듈을 두어 관리자가 시스템을 사용하는 방법을 관찰하여 얻은 데이터로부터 보안연관성 분석 규칙을 생성하는데 도움이 될 수 있는 정보를 추출하여 데이터를 획득함으로써, 관리자들이 어려워하거나 혹시 시간문제로 활용하지 못 하는 보안연관성 분석규칙 입력 문제를 해결할 수 있는 효과가 있다.
SIP 관련 보안장비, SIP 기반 통합보안관리시스템 에이전트, SIP 기반 통합보안관리시스템 매니저, SIP 기반 통합보안관리시스템 콘솔, 보안연관성 분석 엔진, 데이터베이스, 보안정책 집행기 모듈, 구성/장애관리기 모듈, 조회용 GUI, 관리용 GUI, 사용자 행위 관찰 모듈, 통합 분석, 보안연관성 분석, 인터페이스 표준화.
Description
본 발명은 서비스 사업자들이 자사의 네트워크에 SIP 관련 보안시스템을 설치함에 따라 이들 장비를 통합적으로 관리하고 개별 보안시스템의 탐지결과를 수집하여 통합 분석할 수 있고, SIP 기반의 공격 탐지 및 대응 정보를 수집한 후 이를 바탕으로 보안연관성 분석을 수행할 수 있으며, SIP 기반 통합보안관리 시스템을 모듈화된 구조로 설계함으로써, 기존의 통합보안관리 시스템에 쉽게 통합될 수 있고, 현재의 통합관리대상 에이전트는 SIP 기반의 침입탐지 및 대응시스템과 SIP 기반의 비정상 트래픽 모니터링 시스템이지만, 표준화된 인터페이스를 정의함에 따라 보다 적은 노력으로 통합관리대상 시스템을 확대할 수 있으며, SIP 기반 통합보안관리시스템 콘솔과 SIP 기반 통합보안관리시스템 매니저 간에 데이터베이스를 통해 데이터를 주고받음으로써, 데이터베이스의 종류와 구조만 명시한다면 다른 통합보안관리시스템에서도 쉽게 GUI를 개발하여 연동할 수 있고, SIP 기반 통합보안관리시스템 콘솔 내에 사용자 행위관찰 모듈을 두어 관리자가 시스템을 사용하는 방법을 관찰하여 얻은 데이터로부터 보안연관성 분석 규칙을 생성하는데 도움이 될 수 있는 정보를 추출하여 데이터를 획득함으로써, 관리자들이 어려워하거나 혹시 시간문제로 활용하지 못 하는 보안연관성 분석규칙 입력 문제를 해결할 수 있는 SIP 기반의 통합보안 관리시스템에 관한 기술이다.
SIP(Session Initiation Protocol)은 멀티미디어 세션을 생성, 관리, 종료하기 위한 응용 계층의 시그널링 프로토콜이다. SIP 기반 서비스는 VoIP(Voice over Internet Protocol), 프레즌스 서비스, 인스턴트 메시징, 화상 통신, IP 텔레비전 등 IP 멀티미디어 서비스로 정의할 수 있다. 국내에서는 인터넷전화 번호이동제 등 정부의 정책과 사업자들의 마케팅 전략으로 SIP 기반 VoIP 서비스의 활성화가 기대 되고 있다.
SIP 기반 서비스를 제공하기 위한 네트워크 기반시설이 구축됨에 따라 SIP 관련 보안시스템 역시 다음과 같이 세 가지 제품군으로 개발되고 있다. 첫째, 침입탐지시스템, 침입방지시스템 등 기존 IP 기반 보안 장비에 SIP 공격 탐지 및 차단 기능을 보완한 제품군, 둘째, SIP 프럭시 서버, SBC(Session Border Control) 등 SIP 전용 네트워크 장비에 SIP 공격 차단 기능을 추가한 제품군, 셋째, SIP 특화된 해킹, 서비스거부 공격을 탐지하고 차단하기 위한 SIP 전용 보안 제품군이다. 이 중 국내에서는 SIP 기반 VoIP 서비스의 활성화와 함께 첫째, 둘째 그룹의 제품들이 출시되기 시작했다.
하지만 아직도 서비스 사업자들이 자사의 네트워크에 SIP 관련 보안시스템을 설치함에 따라 이들 장비를 통합적으로 관리하고 개별 보안시스템의 탐지결과를 수집하여 통합 분석할 수 있는 통합보안 시스템이 개발이 되어 있지 않은 상황이다. 그러므로 SIP 기반의 공격 탐지 및 대응 정보를 수집한 후 이를 바탕으로 보안연관성 분석을 수행할 수 있고, SIP 기반 통합보안관리 시스템을 모듈화하여 기존의 통합보안관리 시스템에 쉽게 통합될 수 있으며, 표준화된 인터페이스를 정의함에 따라 보다 적은 노력으로 통합관리대상 시스템을 확대할 수 있고, SIP 기반 통합보안관리시스템 콘솔 내에 사용자 행위관찰 모듈을 두어 관리자가 시스템을 사용하는 방법을 관찰하여 얻은 데이터로부터 보안연관성 분석 규칙을 생성하는데 도움이 될 수 있는 정보를 추출하여 데이터를 획득할 수 있는 SIP 기반의 통합보안 관리시스템의 개발이 절실히 요구되고 있는 실정이다.
이에 본 발명은 상기 문제점들을 해결하기 위하여 착상된 것으로서, 서비스 사업자들이 자사의 네트워크에 SIP 관련 보안시스템을 설치함에 따라 이들 장비를 통합적으로 관리하고 개별 보안시스템의 탐지결과를 수집하여 통합 분석할 수 있는 SIP 기반의 통합보안 관리시스템을 제공하는데 그 목적이 있다.
본 발명의 다른 목적은 SIP 기반의 공격 탐지 및 대응 정보를 수집한 후 이를 바탕으로 보안연관성 분석을 수행할 수 있는 SIP 기반의 통합보안 관리시스템을 제공하는데 있다.
본 발명의 다른 목적은 SIP 기반 통합보안관리 시스템을 모듈화된 구조로 설계함으로써, 기존의 통합보안관리 시스템에 쉽게 통합될 수 있는 SIP 기반의 통합보안 관리시스템을 제공하는데 있다.
본 발명의 다른 목적은 현재의 통합관리대상 에이전트는 SIP 기반의 침입탐지 및 대응시스템과 SIP 기반의 비정상 트래픽 모니터링 시스템이지만, 표준화된 인터페이스를 정의함에 따라 보다 적은 노력으로 통합관리대상 시스템을 확대할 수 있는 SIP 기반의 통합보안 관리시스템을 제공하는데 있다.
본 발명의 다른 목적은 SIP 기반 통합보안관리시스템 콘솔과 SIP 기반 통합보안관리시스템 매니저 간에 데이터베이스를 통해 데이터를 주고받음으로써, 데이터베이스의 종류와 구조만 명시한다면 다른 통합보안관리시스템에서도 쉽게 GUI를 개발하여 연동할 수 있는 SIP 기반의 통합보안 관리시스템을 제공하는데 있다.
본 발명의 다른 목적은 SIP 기반 통합보안관리시스템 콘솔 내에 사용자 행위관찰 모듈을 두어 관리자가 시스템을 사용하는 방법을 관찰하여 얻은 데이터로부터 보안연관성 분석 규칙을 생성하는데 도움이 될 수 있는 정보를 추출하여 데이터를 획득함으로써, 관리자들이 어려워하거나 혹시 시간문제로 활용하지 못 하는 보안연관성 분석규칙 입력 문제를 해결할 수 있는 SIP 기반의 통합보안 관리시스템을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 SIP 기반의 통합보안 관리시스템은 동적 포트 필터링에서부터 응용 계층의 패킷 검사를 수행하고, 시그널링 프로토콜과 미디어 프로토콜의 분리에 따른 교차 프로토콜을 탐지하고, 프로토콜 상태 및 세션 상태에 기반한 공격을 탐지하는 SIP 관련 보안장비와; 상기 SIP 관련 보안장비와 SIP 기반 통합보안관리시스템 에이전트 간에 메시지를 송수신되게 하는 제1 인터페이스와; 상기 제1 인터페이스를 통해 다양한 SIP 관련 보안장비로부터 공격 탐지 및 대응과 같은 보안이벤트 정보와 시스템 리소스 관련 정보를 수집하는 SIP 기반 통합보안관리시스템 에이전트와; 상기 SIP 기반 통합보안관리시스템 에이전트와 SIP 기반 통합보안관리시스템 매니저 간에 메시지를 송수신되게 하는 제2 인터페이스와; 상기 제2 인터페이스를 통해 SIP 기반 통합보안관리시스템 에이전트로부터 보안 이벤트들 간의 위치적, 시간적 상관관계를 분석하여 개별 이벤트들이 제공하는 사전 정보에서 발전된 도메인 상의 보안상황 지식을 생성하고, GUI를 통해 입력된 사용자 명령을 보안정책 메시지와 구성 및 장애 관리 메시지로 변환하여 SIP 기반 통합보안관리시스템 에이전트로 전송하고, 반대로 그 결과를 수신 받아 데이터베이스로 저장하는 SIP 기반 통합보안관리시스템 매니저와; 상기 SIP 기반 통합보안관리시스템 에이전트로부터 수신 받은 정보를 가지고 관리자가 시스템을 사용하는 방법을 관찰하여 얻은 데이터로부터 보안연관성 분석 규칙을 생성하는데 도움이 될 수 있는 정보를 추출하는 사용자 행위관찰 모듈과, 관리자가 그래픽 사용자 인터페이스를 조회할 수 있게 하는 조회용 GUI와, 관리자가 그래픽 사용자 인터페이스를 관리할 수 있게 하는 관리용 GUI를 포함하는SIP 기반 통합보안관리시스템 콘솔; 을 포함함을 특징으로 한다.
삭제
삭제
삭제
삭제
삭제
삭제
삭제
본 발명에 따른 SIP 기반의 통합보안 관리시스템은 다음과 같은 효과를 가진다.
첫째, 본 발명은 서비스 사업자들이 자사의 네트워크에 SIP 관련 보안시스템을 설치함에 따라 이들 장비를 통합적으로 관리하고 개별 보안시스템의 탐지결과를 수집하여 통합 분석할 수 있다.
둘째, 본 발명은 SIP 기반의 공격 탐지 및 대응 정보를 수집한 후 이를 바탕으로 보안연관성 분석을 수행할 수 있다.
셋째, 본 발명은 SIP 기반 통합보안관리 시스템을 모듈화된 구조로 설계함으로써, 기존의 통합보안관리 시스템에 쉽게 통합될 수 있다.
넷째, 본 발명은 현재의 통합관리대상 에이전트는 SIP 기반의 침입탐지 및 대응시스템과 SIP 기반의 비정상 트래픽 모니터링 시스템이지만, 표준화된 인터페이스를 정의함에 따라 보다 적은 노력으로 통합관리대상 시스템을 확대할 수 있다.
다섯째, 본 발명은 SIP 기반 통합보안관리시스템 콘솔과 SIP 기반 통합보안관리시스템 매니저 간에 데이터베이스를 통해 데이터를 주고받음으로써, 데이터베이스의 종류와 구조만 명시한다면 다른 통합보안관리시스템에서도 쉽게 GUI를 개발하여 연동할 수 있다.
여섯째, 본 발명은 SIP 기반 통합보안관리시스템 콘솔 내에 사용자 행위관찰 모듈을 두어 관리자가 시스템을 사용하는 방법을 관찰하여 얻은 데이터로부터 보안연관성 분석 규칙을 생성하는데 도움이 될 수 있는 정보를 추출하여 데이터를 획득함으로써, 관리자들이 어려워하거나 혹시 시간문제로 활용하지 못 하는 보안연관성 분석규칙 입력 문제를 해결할 수 있다.
이하 첨부된 도면과 함께 본 발명의 바람직한 실시 예를 살펴보면 다음과 같은데, 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이며, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있으므로, 그 정의는 본 발명인 SIP 기반의 통합보안 관리시스템을 설명하는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 본 발명의 바람직한 일실시예에 따른 SIP 기반의 통합보안 관리시스템(SSMS: SIP Security Management System)을 첨부된 도면을 참조하여 상세히 설명한다.
도 1은 본 발명의 일실시예에 따른 SIP 기반의 통합보안 관리시스템의 구성을 나타낸 도면이다.
SIP 기반의 통합보안 관리시스템은 SIP 관련 보안장비(100), 제1 인터페이 스(200), SIP 기반 통합보안관리시스템 에이전트(300), 제2 인터페이스(400), SIP 기반 통합보안관리시스템 매니저(500), 보안연관성 분석 엔진(510), 보안정책 집행기 모듈(520), 구성/장애관리기 모듈(530), 데이터베이스(540), SIP 기반 통합보안관리시스템 콘솔(600), 사용자 행위관찰 모듈(610), 조회용 GUI(620), 관리용 GUI(630) 등으로 구성된다.
도 1에 도시되어 있는 바와 같이, SIP 기반의 통합보안 관리시스템은 동적 포트 필터링에서부터 응용 계층의 패킷 검사를 수행하는 기능과, 시그널링 프로토콜과 미디어 프로토콜의 분리에 따른 교차 프로토콜을 탐지하는 기능과, 프로토콜 상태 및 세션 상태에 기반한 공격 탐지의 기능을 갖는 SIP 관련 보안장비(100)와; 상기 SIP 관련 보안장비와 SIP 기반 통합보안관리시스템 에이전트 간에 메시지를 송수신되게 하는 제1 인터페이스(200)와; 상기 제1 인터페이스를 통해 다양한 SIP 관련 보안장비로부터 공격 탐지 및 대응과 같은 보안이벤트 정보와 시스템 리소스 관련 정보를 수집하는 SIP 기반 통합보안관리시스템 에이전트(300)와; 상기 SIP 기반 통합보안관리시스템 에이전트와 SIP 기반 통합보안관리시스템 매니저 간에 메시지를 송수신되게 하는 제2 인터페이스(400)와; 상기 제2 인터페이스를 통해 SIP 기반 통합보안관리시스템 에이전트로부터 보안 이벤트들 간의 위치적, 시간적 상관관계를 분석하여 개별 이벤트들이 제공하는 사전 정보에서 발전된 도메인 상의 보안상황 지식을 생성하는 기능과, GUI를 통해 입력된 사용자 명령을 보안정책 메시지와 구성 및 장애 관리 메시지로 변환하여 SIP 기반 통합보안관리시스템 에이전트로 전송하고, 반대로 그 결과를 수신 받아 데이터베이스로 저장하는 기능을 수행하는 SIP 기반 통합보안관리시스템 매니저(500)와; 상기 SIP 기반 통합보안관리시스템 에이전트로부터 수신 받은 정보를 가지고 관리자가 시스템을 사용하는 방법을 관찰하여 얻은 데이터로부터 보안연관성 분석 규칙을 생성하는데 도움이 될 수 있는 정보를 추출하는 사용자 행위관찰 모듈과, 관리자가 그래픽 사용자 인터페이스를 조회할 수 있게 하는 조회용 GUI와, 관리자가 그래픽 사용자 인터페이스를 관리할 수 있게 하는 관리용 GUI를 포함하는 SIP 기반 통합보안관리시스템 콘솔(600); 로 구성된다.
상기 본 발명인 SIP 기반의 통합보안 관리시스템을 구성하는 기술적 수단들의 구성과 기능을 살펴보면 다음과 같다.
상기 SIP 관련 보안장비(100)는 동적 포트 필터링에서부터 응용 계층의 패킷 검사를 수행하는 기능과, 시그널링 프로토콜과 미디어 프로토콜의 분리에 따른 교차 프로토콜을 탐지하는 기능과, 프로토콜 상태 및 세션 상태에 기반한 공격 탐지의 기능을 갖는다. 따라서 SIP 관련 보안장비가 탐지한 정보를 수집해야 하는 SIP 기반 통합보안관리 시스템은 이러한 SIP 기반 공격 탐지 및 대응 정보를 수집할 수 있어야 하며, 이를 바탕으로 보안연관성 분석을 수행할 수 있어야 한다. 또한 SIP 기반의 통합보안관리 시스템은 VoIP 망 또는 IMS(IP Multimedia Subsystem) 망 관리를 위해 독립적으로 사용될 수도 있고, 종래의 통합보안관리 시스템에 통합되거나 연동될 수 있는 것이다.
상기 제1 인터페이스(200)는 상기 SIP 관련 보안장비와 SIP 기반 통합보안관리시스템 에이전트 간에 메시지를 송수신되게 한다. 여기서, 상기 메시지 교환프로토콜은 인터넷보안기술포럼의 보안시스템의 통합관리를 위한 API 표준을 확장하였고, 이것을 API로 정의하였다. 따라서 제1 인터페이스를 통해 메시지가 송수신되는 것이며, 메시지의 종류는 다음과 같다.
첫째로, Alert 메시지는 SIP 관련 보안장비에서 탐지 또는 대응한 공격에 대한 정보와, 공격 근원지 및 목적지, 공격 대상 SIP 서비스 정보와, 공격에 대한 구분 및 차단 방법에 관한 것이고, 둘째로, Resource 메시지는 CPU, 메모리, 디스크, 네트워크 인터페이스 카드, SIP 트래픽 통계 정보와, SIP 호 설정정보와, SIP 세션 상태정보에 관한 것이며, 셋째로, Control 메시지는 SIP 관련 보안장비의 실행과 시작을 제어할 수 있는 구성/장애, 보안정책명령을 전송하고 관리할 수 있는 보안정책 메시지에 관한 것이고, 넷째로, Heartbeat 메시지는 SIP 관련 보안장비의 시스템 상태를 알려주기 위한 메시지에 관한 것으로서, Resource 메시지로 대신할 수 있다.
또한 메시지 교환에 사용되는 주요 API는 다음과 같다. 함수의 파라메터와 리턴 값은 생락하였는데, ksaStartServer()는 보안장비가 탑재된 API 가 연결할 수 있도록 서버를 구성하는 것이고, ksaStartClient()는 보안장비와 에이전트 사이에 연결을 맺고, 통신 중에 연결 단절시 재접속이 이루어지는 것이며, ksaCreateEvent()는 이벤트를 전달하기 위한 메모리를 구성하는 것이고, ksaWriteEvent()는 이벤트를 전달하는 메모리에 값을 저장하는 것이며, ksaSendEvent()는 메모리에 저장된 이벤트를 에이전트로 전달하는 것이고, ksaSendPolicy()는 SIP 보안장비에 정책을 전달하는 것이며, ksaSendResult()는 에이전트로 정책 설정에 대한 결과 값을 전달하는것이다.
상기 SIP 기반 통합보안관리시스템 에이전트(300)는 상기 제1 인터페이스를 통해 다양한 SIP 관련 보안장비로부터 공격 탐지 및 대응과 같은 보안이벤트 정보와 시스템 리소스 관련 정보를 수집한다. 통상적으로 1세대 통합보안관리 시스템 에이전트가 보안장비가 생성한 로그를 파일시스템을 이용하여 읽어나가는 로그 수집기인 것에 비해, SIP 기반 통합보안관리시스템 에이전트는 API 수준에서 통합을 이루고 있다. 이를 위해서는 이기종 보안장비들과 통신을 할 수 있어야 하고, 따라서 표준화된 메시지 포맷 및 교환 프로토콜에 대한 정의가 필요하다. 그래서 SIP 기반 통합보안관리시스템에서는 기존 표준을 가능한 수용하고 필요한 경우 수정, 보완하는 방법을 선택하였다. 메시지 포맷의 경우, IETF의 IDMEF(RFC 4765, the Intrusion Detection Message Exchange Format)가 SIP 기반 침입탐지 및 대응 정보를 포함할 수 있도록 확장하였다. 또한 IETF의 IDMEF의 Service 클래스를 확장하여 기존 근원지와 목적지 IP, 포트 정보 외에 발신자(SIP from URI), 수신자(SIP to URI), SIP 메소드, 미디어 트래픽 포트, 미디어 트래픽의 QoS(지연, 지연변이, 패킷 손실율)를 포함하였다.
또한 SIP 기반 통합보안관리시스템 에이전트는 SIP 관련 보안장비와 물리적으로 같은 시스템에 설치되거나 네트워크로 연결될 수 있는 것이고, 상기 SIP 기반 통합보안관리시스템 에이전트는 이후 보안연관성 분석을 위해 수신 받은 메시지 중 Alert와 Resource 메시지를 정규화하고 축약화 한다.
상기 제2 인터페이스(400)는 상기 SIP 기반 통합보안관리시스템 에이전트와 SIP 기반 통합보안관리시스템 매니저 간에 메시지를 송수신되게 한다.
상기 SIP 기반 통합보안관리시스템 매니저(500)는 상기 제2 인터페이스를 통해 SIP 기반 통합보안관리시스템 에이전트로부터 보안 이벤트들 간의 위치적, 시간적 상관관계를 분석하여 개별 이벤트들이 제공하는 사전 정보에서 발전된 도메인 상의 보안상황 지식을 생성하는 기능과, GUI를 통해 입력된 사용자 명령을 보안정책 메시지와 구성 및 장애 관리 메시지로 변환하여 SIP 기반 통합보안관리시스템 에이전트로 전송하고, 반대로 그 결과를 수신 받아 데이터베이스로 저장하는 기능을 수행한다.
여기서, 상기 SIP 기반 통합보안관리시스템 매니저(500)는 보안 이벤트들 간의 위치적, 시간적 상관관계를 분석하여 개별 이벤트들이 제공하는 사전 정보에서 발전된 도메인 상의 보안상황 지식을 생성하는 기능과, 데이터베이스로부터 규칙적으로 보안연관성 분석 규칙을 업데이트하는 기능을 갖는 보안연관성 분석 엔진(510)과; GUI를 통해 입력된 사용자 명령을 보안정책 메시지로 변환하여 SIP 기반 통합보안관리시스템 에이전트로 전송하고, 반대로 그 결과를 수신 받아 데이터베이스(540)로 저장하는 기능을 수행하는 보안정책집행기 모듈(520)과; GUI를 통해 입력된 사용자 명령을 구성 및 장애 관리 메시지로 변환하여 SIP 기반 통합보안관리시스템 에이전트로 전송하고, 반대로 그 결과를 수신 받아 데이터베이스로 저장하는 기능을 수행하는 구성/장애관리기 모듈(530); 로 구성된다.
상기 SIP 기반 통합보안관리시스템 매니저는 여러 에이전트와 메시지를 주고받는다. 이때 에이전트와 매니저간의 송수신을 위한 제 2 인터페이스는 기밀성을 보장해야 한다. 또한 인가된 에이전트와 매니저 사이의 메시지만 처리해야 한다. SIP 기반 통합보안관리시스템에서는 제 2 인터페이스 구간을 TCP로 통신한다. preshared key를 이용하고 SEED 등 대칭형 암호화 알고리즘을 적용하여 TCP 페이로드를 암호화한다.
SIP 기반 통합보안관리시스템 매니저에서는 Alert와 Resource 메시지가 보안연관성 분석을 위해 활용된다. 이 두 메시지의 모든 필드가 사용되는 것이 아니라 보안연관성 분석을 위해 참고해야 할 필드를 사전에 정의하고 이를 바탕으로 보안연관성 분석 규칙을 생성하였다. 일례로 Alert와 Resource 메시지 중 보안연관성 분석을 위해 참조되는 필드는 [표 1]과 같다.
[표 1] 보안연관성 분석에서 사용되는 메시지 예 
보안연관성 분석을 위해 어떤 이벤트의 시간적공간적 조합이 공격 상황을 나 타내는 가에 대한 공격 시나리오를 먼저 획득해야 한다. 공격 시나리오를 획득하는 방법은 사용자의 지식 획득, 데이터 마이닝 등의 방법이 있다. SIP 기반 통합보안관리시스템는 사용자가 GUI(Graphical User Interface)를 통해 분석규칙을 입력하는 방법을 선택하였다. 단, SIP 기반 통합보안관리시스템 콘솔에는 사용자 행위관찰 모듈이 있어, 관리자가 시스템을 사용하는 방법을 관찰하여 이 데이터로부터 보안연관성 분석 규칙 생성에 도움이 될 수 있는 정보를 추출한다.
예를 들어 관리자가 자주 실행하거나 항상 메인 화면으로 실행시켜 놓는 메뉴가 SIP 트래픽 리소스 조회 GUI라고 한다면, 이 사용자 행위 데이터는 축적이 되어 새로운 보안연관성 분석 규칙으로 생성되거나, 기존 보안연관성 분석 규칙의 우선순위 등을 정할 때 보조 데이터로 활용될 수 있다. 또 다른 예를 들어 보면 다음과 같다.
만일 GUI에서 사용자가 정렬하거나 검색하는데 이용되는 필드, 항상 동시에 같이 실행시키는 2개 이상의 메뉴 정보, 특히 알람 규칙 설정 시 이용되는 변수들이 있고, 이에 대한 데이터를 추출할 수 있다면 이를 이용하여 보안연관성 분석 규칙 생성에 활용할 수 있다. 숙련된 관리자의 행위 관찰 데이터를 축적할 수 있거나, 대규모 시스템이 설치된 환경에서 다수의 SIP 기반 통합보안관리시스템 콘솔이 실행된다면 좀더 의미있는 데이터를 획득할 수 있을 것으로 기대된다. 관리자들이 어려워하거나 혹시 시간문제로 활용하지 못 하는 보안연관성 분석규칙 입력 문제를 해결할 수 있을 것으로 기대된다.
공격 시나리오를 획득한 후, 이를 표현하는 방법에는 규칙기반, 코드북, 그 래프기반, 인공신경망 기반, 확률기반의 표현 방법이 있다. SIP 기반 통합보안관리시스템는 이중 규칙기반 표현 방법을 이용한다. 따라서 [표 1]의 Alert 메시지와 Resorce 메시지를 이용한 보안연관성 분석 규칙을 다음과 같이 표현할 수 있다.
예 1은 SIP 비정상 트래픽 탐지시스템에서 SIPTrafficResrc 메시지를 수신한다. 이때 특정시간 대($period)에 특정 네트워크 대역($network)에서 RTP 트래픽 볼륨이 설정값($threshold)을 초과하는 경우, Medium 레벨의 알람을 발생한다.
Condition :
SIPTrafficResrc.startTime in $period and
SIPTrafficResrc.dstIP in $network and
SIPTrafficResrc.RTPpps > $threshold
Action :
Alarm Level = Medium
예 2는 SIP 침입탐지 시스템($SIPS_Address)에서 DoS 공격 탐지한 후 Alert 메시지를 전송한다. SIP 비정상 트래픽 탐지시스템($STAD_Address)에서도 DoS 공격을 탐지한 후 Alert 메시지를 전송한다. 이 경우, 대상 시스템이 DoS 공격을 받는다고 확신할 수 있으므로, Critical 레벨의 알람을 발생한다.
Condition :
Alert1.ClassName = "SIP_DoS" and
Alert1.dstIP = Alert2.dstIP and
Alert2.ClassName = "SIP_DoS" and
Alert1.srcIP in ($SIPS_Address) and
Alert2.srcIP in ($STAD_Address)
Action:
Alarm Level = Critical
상기 SIP 기반 통합보안관리시스템 콘솔(600)은 상기 SIP 기반 통합보안관리시스템 에이전트로부터 수신 받은 정보를 사용자 행위관찰 모듈을 두어 관리자가 시스템을 사용하는 방법을 관찰하여 얻은 데이터로부터 보안연관성 분석 규칙을 생성하는데 도움이 될 수 있는 정보를 추출하여 데이터를 획득하는 기능과, 관리자에게 제공되는 GUI의 수집 기능을 갖는다.
여기서, 상기 SIP 기반 통합보안관리시스템 콘솔(600)은 관리자가 시스템을 사용하는 방법을 관찰하여 얻은 데이터로부터 보안연관성 분석 규칙 생성에 도움이 될 수 있는 정보를 추출하는 사용자 행위관찰 모듈(610)과; 사용자가 그래픽 사용자 인터페이스를 조회할 수 있게 하는 조회용 GUI(620)와; 관리자가 그래픽 사용자 인터페이스를 관리할 수 있게 하는 관리용 GUI(630); 로 구성된다.
또한 상기 SIP 기반 통합보안관리시스템 콘솔과 SIP 기반 통합보안관리시스템 매니저 간에 데이터베이스를 통해 데이터를 주고받음으로써, 데이터베이스의 종류와 구조만 명시한다면 다른 통합보안관리시스템에서도 쉽게 GUI를 개발하여 연동할 수 있다.
본 발명은 상기 실시예에 한정되지 않고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양하게 수정 및 변경 실시할 수 있음은 이 기술 분야에서 통상 의 지식을 가진 자라면 누구나 이해할 수 있을 것이다.
도 1은 본 발명의 일실시예에 따른 SIP 기반의 통합보안 관리시스템의 구성을 나타낸 도면.
<도면의 주요부분에 대한 부호설명>
100 : SIP 관련 보안장비 200: 제1 인터페이스
300 : SSMS 에이전트 400 : 제2 인터페이스
500: SSMS 매니저 510 : 보안연관성 분석 엔진
520 : 보안정책 집행기 모듈 530: 구성/장애관리기 모듈
540 : 데이터베이스 600 : SSMS 콘솔
610 : 사용자 행위관찰 모듈 620 : 조회용 GUI
630 : 관리용 GUI
Claims (8)
- 동적 포트 필터링에서부터 응용 계층의 패킷 검사를 수행하고, 시그널링 프로토콜과 미디어 프로토콜의 분리에 따른 교차 프로토콜을 탐지하고, 프로토콜 상태 및 세션 상태에 기반한 공격을 탐지하는 SIP 관련 보안장비와;상기 SIP 관련 보안장비와 SIP 기반 통합보안관리시스템 에이전트 간에 메시지를 송수신되게 하는 제1 인터페이스와;상기 제1 인터페이스를 통해 다양한 SIP 관련 보안장비로부터 공격 탐지 및 대응과 같은 보안이벤트 정보와 시스템 리소스 관련 정보를 수집하는 SIP 기반 통합보안관리시스템 에이전트와;상기 SIP 기반 통합보안관리시스템 에이전트와 SIP 기반 통합보안관리시스템 매니저 간에 메시지를 송수신되게 하는 제2 인터페이스와;상기 제2 인터페이스를 통해 SIP 기반 통합보안관리시스템 에이전트로부터 보안 이벤트들 간의 위치적, 시간적 상관관계를 분석하여 개별 이벤트들이 제공하는 사전 정보에서 발전된 도메인 상의 보안상황 지식을 생성하고, GUI를 통해 입력된 사용자 명령을 보안정책 메시지와 구성 및 장애 관리 메시지로 변환하여 SIP 기반 통합보안관리시스템 에이전트로 전송하고, 반대로 그 결과를 수신 받아 데이터베이스로 저장하는 SIP 기반 통합보안관리시스템 매니저와;상기 SIP 기반 통합보안관리시스템 에이전트로부터 수신 받은 정보를 가지고 관리자가 시스템을 사용하는 방법을 관찰하여 얻은 데이터로부터 보안연관성 분석 규칙을 생성하는데 도움이 될 수 있는 정보를 추출하는 사용자 행위관찰 모듈과, 관리자가 그래픽 사용자 인터페이스를 조회할 수 있게 하는 조회용 GUI와, 관리자가 그래픽 사용자 인터페이스를 관리할 수 있게 하는 관리용 GUI를 포함하는SIP 기반 통합보안관리시스템 콘솔; 을 포함함을 특징으로 하는 SIP 기반의 통합보안 관리시스템.
- 제 1항에 있어서,상기 SIP 기반의 통합보안관리 시스템은 VoIP 망 또는 IMS(IP Multimedia Subsystem) 망 관리를 위해 독립적으로 사용될 수도 있고, 종래의 통합보안관리 시스템에 통합되거나 연동될 수 있는 것을 특징으로 하는 SIP 기반의 통합보안 관리시스템.
- 제 1항에 있어서,상기 SIP 기반 통합보안관리시스템 에이전트는 SIP 관련 보안장비와 물리적으로 같은 시스템에 설치되거나 네트워크로 연결될 수 있는 것을 특징으로 하는 SIP 기반의 통합보안 관리시스템.
- 제 1항에 있어서,상기 SIP 기반 통합보안관리시스템 에이전트는 보안연관성 분석을 위해 수신 받은 메시지 중 Alert와 Resource 메시지를 정규화하고 축약화하는 것을 특징으로 하는 SIP 기반의 통합보안 관리시스템.
- 제 1항에 있어서,상기 제1 인터페이스와 제2 인터페이스를 통해 송수신되는 메시지는 Alert 메시지, Resource 메시지, Control 메시지, Heartbeat 메시지 중 적어도 어느 하나인 것을 특징으로 하는 SIP 기반의 통합보안 관리시스템.
- 제 1항에 있어서,상기 SIP 기반 통합보안관리시스템 매니저는 보안 이벤트들 간의 위치적, 시간적 상관관계를 분석하여 개별 이벤트들이 제공하는 사전 정보에서 발전된 도메인 상의 보안상황 지식을 생성하고, 데이터베이스로부터 규칙적으로 보안연관성 분석 규칙을 업데이트하는 보안연관성 분석 엔진과;GUI를 통해 입력된 사용자 명령을 보안정책 메시지로 변환하여 SIP 기반 통합보안관리시스템 에이전트로 전송하고, 반대로 그 결과를 수신 받아 데이터베이스로 저장하는 보안정책집행기 모듈과;GUI를 통해 입력된 사용자 명령을 구성 및 장애 관리 메시지로 변환하여 SIP 기반 통합보안관리시스템 에이전트로 전송하고, 반대로 그 결과를 수신 받아 데이터베이스로 저장하는 구성 및 장애관리기 모듈; 을 포함함을 특징으로 하는 SIP 기반의 통합보안 관리시스템.
- 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080121832A KR101011223B1 (ko) | 2008-12-03 | 2008-12-03 | 에스아이피(sip) 기반의 통합보안 관리시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020080121832A KR101011223B1 (ko) | 2008-12-03 | 2008-12-03 | 에스아이피(sip) 기반의 통합보안 관리시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20100063352A KR20100063352A (ko) | 2010-06-11 |
| KR101011223B1 true KR101011223B1 (ko) | 2011-01-28 |
Family
ID=42363314
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020080121832A KR101011223B1 (ko) | 2008-12-03 | 2008-12-03 | 에스아이피(sip) 기반의 통합보안 관리시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101011223B1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10749900B2 (en) | 2018-09-28 | 2020-08-18 | The Mitre Corporation | Deploying session initiation protocol application network security |
| KR20210084884A (ko) | 2019-12-30 | 2021-07-08 | 주식회사 에이디티캡스 | IoT 기반 융합보안 관제 서비스 제공 방법 및 시스템 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101107740B1 (ko) * | 2010-09-02 | 2012-01-20 | 한국인터넷진흥원 | ⅤoIP 정보보호 실태 조사 항목 평가 장치 및 방법 |
| CN107786564B (zh) * | 2017-11-02 | 2020-03-17 | 杭州安恒信息技术股份有限公司 | 基于威胁情报的攻击检测方法、系统及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000072707A (ko) * | 2000-09-20 | 2000-12-05 | 홍기융 | 실시간 침입탐지 및 해킹 자동 차단 방법 |
| KR20020062071A (ko) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | 접근통제와 연동하는 침입탐지시스템 및 침입대응방법 |
| KR20020062070A (ko) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 |
| KR100838811B1 (ko) | 2007-02-15 | 2008-06-19 | 한국정보보호진흥원 | 안전한 VoIP 서비스를 위한 보안 세션 제어 장치 |
-
2008
- 2008-12-03 KR KR1020080121832A patent/KR101011223B1/ko not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20000072707A (ko) * | 2000-09-20 | 2000-12-05 | 홍기융 | 실시간 침입탐지 및 해킹 자동 차단 방법 |
| KR20020062071A (ko) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | 접근통제와 연동하는 침입탐지시스템 및 침입대응방법 |
| KR20020062070A (ko) * | 2001-01-19 | 2002-07-25 | 주식회사 정보보호기술 | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 |
| KR100838811B1 (ko) | 2007-02-15 | 2008-06-19 | 한국정보보호진흥원 | 안전한 VoIP 서비스를 위한 보안 세션 제어 장치 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10749900B2 (en) | 2018-09-28 | 2020-08-18 | The Mitre Corporation | Deploying session initiation protocol application network security |
| US11831681B2 (en) | 2018-09-28 | 2023-11-28 | The Mitre Corporation | Deploying session initiation protocol application network security |
| KR20210084884A (ko) | 2019-12-30 | 2021-07-08 | 주식회사 에이디티캡스 | IoT 기반 융합보안 관제 서비스 제공 방법 및 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20100063352A (ko) | 2010-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2767056B1 (en) | A method and a system to detect malicious software | |
| KR101107742B1 (ko) | 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템 | |
| EP1461927B1 (en) | A method and system for modelling, analysis, and display of network security events | |
| US9077692B1 (en) | Blocking unidentified encrypted communication sessions | |
| CN102387135B (zh) | 一种基于用户身份过滤的方法以及防火墙 | |
| US7738373B2 (en) | Method and apparatus for rapid location of anomalies in IP traffic logs | |
| CN104115463A (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| EP1931105A1 (fr) | Procédé et système de gestion de sessions multimédia, permettant de contrôler l'établissement de canaux de communication | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| KR101615045B1 (ko) | 지능형 보안 네트워킹 시스템 및 그 방법 | |
| Amini et al. | Botnet detection using NetFlow and clustering | |
| KR101097419B1 (ko) | 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 | |
| CN114124516B (zh) | 态势感知预测方法、装置及系统 | |
| CN114553537A (zh) | 一种面向工业互联网的异常流量监测方法和系统 | |
| KR101011223B1 (ko) | 에스아이피(sip) 기반의 통합보안 관리시스템 | |
| Frye et al. | An ontology-based system to identify complex network attacks | |
| Asgharian et al. | A framework for SIP intrusion detection and response systems | |
| Repetto | Adaptive monitoring, detection, and response for agile digital service chains | |
| Chen et al. | Effective allied network security system based on designed scheme with conditional legitimate probability against distributed network attacks and intrusions | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
| Leal et al. | MQTT flow signatures for the Internet of things | |
| Choraś et al. | Network events correlation for federated networks protection system | |
| Barry et al. | Syntax, and semantics‐based signature database for hybrid intrusion detection systems | |
| KR101466895B1 (ko) | VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| N231 | Notification of change of applicant | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20140121 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20141204 Year of fee payment: 5 |
|
| LAPS | Lapse due to unpaid annual fee |