KR101037575B1 - VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 - Google Patents
VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 Download PDFInfo
- Publication number
- KR101037575B1 KR101037575B1 KR1020090126618A KR20090126618A KR101037575B1 KR 101037575 B1 KR101037575 B1 KR 101037575B1 KR 1020090126618 A KR1020090126618 A KR 1020090126618A KR 20090126618 A KR20090126618 A KR 20090126618A KR 101037575 B1 KR101037575 B1 KR 101037575B1
- Authority
- KR
- South Korea
- Prior art keywords
- connection
- probability
- ddos attack
- ddos
- successful
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/40—Support for services or applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 VoIP 환경하에서 SIP 호 제어 프로토콜 방식을 이용한 디도스 공격 탐지 및 탐지 효율성 측정 방법에 관한 것으로, 특히 (a) 복수의 SIP 메시지 정보를 입수하는 단계; (b) 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리하는 단계; (c) 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산하는 단계; (d) 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산하는 단계; 및 (e) 상기 연결 설정 확률함수값이 기설정된 연결 설정 확률함수의 임계값을 초과하거나, 상기 연결 종료 설정 확률함수값이 기설정된 연결 종료 설정 확률함수의 임계값을 초과하는 경우 디도스 공격으로 판단하는 단계;를 포함하는 것을 특징으로 하는 디도스 공격 탐지 방법을 개시한다.
VoIP(Voice over IP), 분산 서비스 거부 공격(DDoS), 탐지, 측정
Description
본 발명은 디도스 공격 탐지 및 탐지 효율성 측정 방법에 관한 것으로 더욱 상세하게는 VoIP 환경하에서 SIP 호 제어 프로토콜 방식을 이용한 디도스 공격 탐지 및 탐지 효율성 측정 방법에 관한 것이다.
통신망의 발달로 수많은 인터넷기반 서비스들이 등장함에 따라 사용자는 다양한 콘텐츠를 이용할 수 있었다. 그러나 이런 인터넷기반 서비스는 유무선 환경에서 다양한 외부공격이 심화됨에 따라 사용자들이 정상적으로 서비스를 이용하지 못하거나, 악의적인 공격 등에 노출되는 문제점을 가지고 있다.
특히, 시스템 또는 네트워크 자원을 공격 대상으로 하는 서비스 거부 공격(DoS : Denial of Service) 및 분산 서비스 거부 공격(DDoS : Distributed DoS)의 문제가 대두되었는데, DoS는 대역폭, 프로세스 처리 능력 및 시스템 자원을 고갈시킴으로써 정상적인 서비스를 제공하지 못하게 만드는 모든 행위를 말한다.
DDoS 공격의 공통점은 과도한 접속으로 네트워크 자원 및 대역폭을 소모시켜 다른 사용자의 정당한 접속을 불가능하게 하는 것이고, 때에 따라서는 네트워크 장비에 장애를 유발시키기도 한다. 간단히 생각한다면, 네트워크 대역폭이 굉장히 크거나, 네트워크 장비의 성능이 월등히 뛰어나다면 아무 문제없이 공격을 받아들일 수 있다고 생각할 수 있으나, 이는 매우 이상적인 경우일 뿐 실제로는 그렇지 않다. DDoS 공격을 받을 경우 IPS나 DDoS 공격 방어 장비 등의 보안장비가 구축되어 있지 않는 이상 피해를 고스란히 감수해야 하기 때문이다. 최근 빈번하게 발생하는 웜 바이러스에도 DDoS 공격 방식이 내장되어 피해를 주고 있어 DDoS 공격에 대한 대책이 시급하다.
DDoS 공격을 탐지하는 알고리즘으로는 TRW(Threshold Random Walk), DEWP(Detecting Early Worm Propagation through Packet Matching), Statistical Intrusion Detection 알고리즘 등이 있는데 이는 일반 인터넷망에서 DDoS 공격을 탐지하는 알고리즘이다.
그러나 DDoS 공격은 일반 인터넷망 외에도 음성망 중 IP를 사용하는 VoIP(Voice over IP) 네트워크에서도 발생할 수 있다. VoIP 네트워크에서는 호 제어 프로토콜로 H.323과 SIP가 있는데, 최근에 사용하는 방식은 대부분 SIP를 사용하고 있다.
VoIP(Voice over IP)란 말 그대로 인터넷망의 근간인 IP 네트워크를 통해 음성을 전송하는 기술과 서비스를 말한다. 기존에 IP 네트워크는 데이터만을 전송했으나, 음성과 데이터를 하나의 망에서 통합 제공함으로써 망자원의 효율적 사용과 인터넷과 연계된 다양한 부가 서비스의 제공이 가능하다는 장점이 있다. VoIP는 전 화의 호(call)를 제어하는 프로토콜을 기반으로 한다.
VoIP 시스템의 구성요소는 크게 응용 계층(Application layer), 신호 계층(Signaling layer), 매체 계층(Media layer)으로 나눠지며, 각 계층별로 상대방과 같은 프로토콜을 이용하여 통신을 한다. 도 1은 VoIP 시스템의 계층적 구조를 나타낸다.
이미 VoIP 기술은 90년대 중반부터 제기돼 다양한 프로토콜이 개발됐다. 이런 프로토콜에는 H.323, MGCP/MEGACO, SIP 등이 대표적이라고 할 수 있다.
SIP는 인터넷망을 이용한 음성 통신 서비스 또는 멀티미디어 서비스 등 융복합 서비스를 제공하기 위한 VoIP 서비스의 핵심 기술로서 파싱과 컴파일이 쉽고 텍스트 기반이기 때문에 H.323에 비하여 확장성이 뛰어나고 구현이 쉬운 장점을 가지고 있다. 이를 이용하여 개발된 VoIP는 저렴하고 구현하기 쉬운 장점으로 급속도로 발전하였다.
전화를 걸고 받을 수 있는 터미널을 UAC(User Agent Client)라고 하고, 받는 쪽을 UAS(User Agnet Server)라고 한다. 또한 SIP 네트워크 망을 제어하는 것으로 H.323의 게이트키퍼와 비슷한 역할을 하는 Proxy Server와 사용자의 이동성을 보장하기 위한 Redirect Server가 주요 구성요소이다.
SIP는 Proxy Server를 통한 연결방법과 상대방과 직접 연결을 할 수 있는 방법 두 가지를 제공한다. 전화를 거는 쪽에서는 SIP에 맞는 주소방식을 사용하여 INVITE 메시지를 통화를 원하는 쪽에게 요청하게 된다.
SIP의 모든 메시지는 텍스트 기반이며 메시지를 전달할 때에는 TCP나 UDP를 사용하여 여러개의 메시지가 하나의 TCP 세그먼트나 UDP 데이터그램에 의해 보낸다. SIP 데이터 크기는 MTU를 알고 있는 네트워크에 대해서는 MTU의 값을 넘지 않는 한도에서 데이터를 보내고, MTU를 알 수 없는 네트워크에 대해서는 1KByte 이하의 데이터를 보낼 수 있도록 정의되어 있다.
DDoS 공격은 인터넷에 개방되어 있으면서 동시에 한정된 자원(네트워크의 대역폭, 시스템의 패킷 처리 용량, 시스템에 도착한 패킷의 처리를 위하여 이용되는 시스템의 제반 자원 등)을 가진 모든 시스템들을 쉽게 공격의 대상으로 하여 피해를 입힌다는 점에서 매우 심각하게 여겨지고 있으며, 이에 대한 연구가 다양한 방향으로 진행되고 있다.
DDoS 공격은 여러 가지 형태로 구분되나 주로 대량의 트래픽을 유발하는 플러딩(Flooding) 공격, 과도한 세션을 요구하는 커넥션(Connection) 공격, 기타 애플리케이션(Application) 특성을 활용한 공격으로 나눌 수 있다.
특히, DDoS 공격 중 SIP 플러딩 공격은 SIP 메시지를 대량으로 보내어 VoIP 사용자나 사업자가 정상적인 서비스를 이용 혹은 제공하지 못하게 하는 것이다.
따라서, VoIP 서비스가 활성화되고 있는 흐름에 맞춰 VoIP 망에 대한 디도스 공격이 예상되는 바, VoIP망, 특히 많이 사용되는 SIP 방식을 사용하는 VoIP망에서 디도스 공격을 효과적으로 탐지하는 방법이 요구되어 왔다. 아울러 디도스 공격 탐지 방법의 효율성을 평가하는 방법도 요구되어 왔다.
따라서, 본 발명은 상기와 같은 종래의 문제점을 해결하기 위해 안출된 것으로서, 본 발명의 목적은 SIP 방식의 호 제어 프로토콜을 사용하는 VoIP망에서 디도스 공격을 효과적으로 탐지하는 방법 및 디도스 공격 탐지 방법의 효율성을 평가하는 방법을 제공하는 데 있다.
상기와 같은 목적을 달성하기 위한 본 발명은, VoIP 환경에서, 디도스 공격 여부를 탐지하는 시스템의 서버가, (a) 복수의 SIP 메시지 정보를 입수하는 단계; (b) 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리하는 단계; (c) 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산하는 단계; (d) 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산하는 단계; 및 (e) 상기 연결 설정 확률함수값이 기설정된 연결 설정 확률함수의 임계값을 초과하거나, 상기 연결 종료 설정 확률함 수값이 기설정된 연결 종료 설정 확률함수의 임계값을 초과하는 경우 디도스 공격으로 판단하는 단계;를 포함하는 것을 특징으로 하는 디도스 공격 탐지 방법을 개시한다.
바람직하게는, 상기 연결 설정 확률함수의 임계값은 연결 과정 오탐율의 최고점 정보 및 연결 과정 탐지율의 최저점 정보로 계산된다.
바람직하게는, 상기 연결 종료 설정 확률함수의 임계값은 연결 종료 과정 오탐율의 최고점 정보 및 연결 종료 과정 탐지율의 최저점 정보로 계산된다.
바람직하게는, 본 발명은 상기 단계(d) 이후, (f) 상기 디도스 공격을 받았으나 연결이 성공할 확률값의 변화에 따라, 디도스 공격 패킷의 최소수를 계산하는 단계;를 더 포함함이 더욱 바람직하다.
바람직하게는, 본 발명은 상기 단계(d) 이후, (g) 상기 디도스 공격을 받았으나 연결이 실패할 확률값의 변화에 따라 상기 SIP 메시지 정보의 발생 속도에 따른 디도스 공격 탐지 최소 시간을 구하는 단계;를 더 포함함이 더욱 바람직하다.
상술한 바와 같이 본 발명을 실시하면, SIP 방식을 사용하는 VoIP망에서 디도스 공격을 효과적으로 탐지할 수 있다. 나아가 본 발명을 실시하면 VoIP망에서 디도스 공격 탐지 방법의 효율성을 효과적으로 평가할 수 있다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 더욱 상세하게 설명한다.
도 4는 본 발명의 일 실시예에 따른 디도스 공격 탐지 방법을 나타낸 동작순서도이고, 도 5 및 도 6은 본 발명에 따른 디도스 공격 탐지 효율성 측정 방법을 각각의 일례로 나타낸 동작순서도이다.
도 4에서 도시되는 바와 같이, 본 발명의 디도스 공격 탐지 방법은 다음과 같은 단계로 실시된다.
먼저 VOIP 환경에서, 디도스 공격 여부를 탐지하는 시스템의 서버는 복수의 SIP 메시지 정보를 입수하고(S11), 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리한다(S12).
상기 [수학식 1]에서 Yi 값은 INVITE, Register, Ack 패킷에 반응하는 연결설정 관련 변수를 나타내고, [수학식 2]에서 Zi 값은 Cancel, Bye, OK 패킷에 반응하는 연결설정 관련 변수를 나타낸다.
H0 = Host l 이 DDoS 공격을 받지 않음
H1 = Host l 이 DDoS 공격을 받음
이어, 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산한다(S13).
이때, 상기 [수학식 3]에서 θY0은 DDoS 공격을 받지 않고, 연결이 성공할 확률이고, θY1은 DoS 공격을 받았으나, 연결이 성공할 확률이다.
또한, 상기 [수학식 4]에서 θZ0은 DDoS 공격을 받지 않고, 연결이 정상적으로 종료될 확률이고, θZ1은 DDoS 공격을 받았으나, 연결이 정상적으로 종료될 확률이다.
이어, 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공 격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산한다(S14).
상기 [수학식 5]과 [수학식 6]에서 ∧(Yn)과 ∧(Zn)는 정상인 상태에 반비례하고 공격을 받았을 때 비례하는 확률함수를 나타낸다.
상기 [수학식 7]과 [수학식 8]에서 각 확률함수를 파이로 표현할 수 있고, ∧(Yn)의 특정 I번째의 확률을 f(Yi)로 나타낼수 있다. 마찬가지로 ∧(Zn)의 특정 I번째의 확률을 f(Zi)로 나타낼수 있다. 아래의 [수학식 9]와 [수학식 10]은 도출된 f(Yi)과 f(Zi)의 일반식을 나타낸다.
이어, 상기 연결 설정 확률함수 값이 기설정된 연결 설정 확률함수의 임계값 을 초과하거나, 상기 연결 종료 설정 종료함수값이 기설정된 연결 종료 설정 확률함수의 임계값을 초과하는 경우 디도스 공격으로 판단한다(S15). 이어, 상기 임계값에 대하여 더욱 상세하게 설명한다.
SIP-TRW 알고리즘의 임계값을 인 η1 과 η0를 구하기 위해서 파라미터를 아래의 [표 1]에서 정의한다.
파라메터 | 내용 |
ηc1,ηc0 | ∧(Yn)의 임계값 |
ηe1,ηe0 | ∧(Zn)의 임계값 |
Pc | 연결 과정 DDoS 공격시의 탐지율 |
Pcf | 연결 과정 DDoS 공격이 없을 때 오탐율 |
Pe | 연결종료 과정 DDoS 공격시의 탐지율 |
Pef | 연결종료 과정 DDoS 공격이 없을 때 오탐율 |
α0,β0 | 연결 과정 오탐율의 최고점, 탐지율의 최저점 |
α1,β1 | 연결종료 과정 오탐율의 최고점, 탐지율의 최저점 |
이때, Pc와 Pcf는 다음의 [수학식 11]을 만족해야 한다.
즉, α0값보다는 오탐율이 작아야 하고, β0값 보다는 탐지율이 높아야 정상적으로 작동되는 알고리즘이라 판단할 수 있다. 이 변수를 이용해 임계값인 ηc1 과 ηc0를 정의하면 아래의 [수학식 12]과 같다.
이를 α0와 β0로 표현하면 아래의 [수학식 13]와 같이 정의된다.
따라서, 임계치인 ηc1의 확률은 0 < Pc <1 이므로 아래의 [수학식 14]을 도출할 수 있게 된다.
그리고, 이 식을 Pcf의 형태로 정리하면 아래의 [수학식 15]과 같이 임계치인 ηc1의 값을 구할수 있다.
이와 마찬가지로 1-Pc의 확률도 아래의 [수학식 16]와 같이 정리하면 ηc0의 값을 구할 수 있다.
연결 종료와 관련된 임계치도 위의 단계를 이용하여 아래의 [수학식 17]과 [수학식 18]로 나타낼 수 있다.
이어, DDoS 공격 트래픽 탐지 알고리즘을 평가하는 방법을 제시한다.
SIP-TRW 알고리즘을 평가하기 위해서 연결확률에 따른 탐지 속도와 공격패킷 속도에 따른 탐지 시간을 수학적으로 증명한다. 우선 Network 트래픽을 가정하려면 본 알고리즘의 임계값을 가정해야 한다. 임계값을 가정하기 위해 네트워크 관리자 기준으로 알고리즘의 탐지율과 오탐율을 정할 수 있다. α는 오탐율의 최고점, β는 탐지율의 최저점을 뜻하는 것으로 다음과 같이 나타낼 수 있다.
DDoS 공격이 아닌데도 공격으로 탐지할 확률을 0.0005, DDoS 공격이 시도되었을 때 공격으로 탐지할 확률을 0.99를 목표하는 임계치를 유도하면 아래의 [수학식 19]와 [수학식 20]과 같다.
네트워크 관리자는 목표로 하는 탐지율과 오탐율을 설정할 수 있고, 상기 디도스 공격 여부를 탐지하는 시스템은 상기 탐지율 및 상기 오탐율 정보를 상기 연결 확률 함수값 및 상기 연결 종료 확률 함수값과 연계 처리하여, 정상 상태와 공격 상태를 판단할 수 있다.
음성망 환경에서 가상의 트래픽을 정의하고, 정의한 트래픽 속성에서의 중요한 변수는 다음과 같다.
θY1 = DDoS 공격 중 연결이 정상적으로 연결될 확률
θZ1 = DDoS 공격 중 연결이 정상적으로 종료될 확률
θY1 와 θZ1 값에 따라 본 알고리즘의 성능을 측정할 수 있다. 본 알고리즘에서 ∧(Yn)의 특정 I번째의 확률을 f(Yi)로 나타낼수 있는데, 공격이 시도되면 Y의 값은 지속적으로 1을 나타내고, 그럴 경우 f(Yi)의 값이 특정 기대치를 나타 낼 수 있다. 이 기대치를 ∧(Yn)에 적용 시키면 임계점으로 다가가는 속도를 측정할 수 있으며 아래의 [수학식 21], 및 [수학식 22]과 같다.
만약 디도스 공격이 있다면,
상기의 [수학식 22]을 통해, 디도스 공격을 받았을 때 연결이 성공할 확률값의 변화에 따라, 디도스 공격 패킷의 최소수를 계산하고(S16), 또한 디도스 공격을 받았을 때 연결이 실패할 확률값의 변화에 따라 SIP 메시지 정보의 발생 속도에 따른 디도스 공격 탐지 최소 시간을 계산(S17)할 수 있다.
도 2은 연결 실패 확률에 따른 탐지 속도를 그래프로 나타낸 도면으로서, θY1의 값이 변화함에 따라 몇 개의 공격패킷을 수신했을 때 공격을 탐지 해낼 수 있는지를 계산한 그래프이다.
도 2에서 1-θY1 값(DDoS 공격 중 연결실패확률)이 증가함에 따라 DDoS 공격을 탐지하기 위해 필요한 패킷의 수가 감소함을 확인할 수 있다. 즉, 연결실패확률이 0.4일 경우 DDoS 공격을 탐지하기 위해 필요한 연결 실패 패킷은 약 160개 이고, 0.7일 경우에는 약 17개이다.
본 발명의 알고리즘을 실제 네트워크에 적용하였을 때 성능에 영향을 미치는 평가 항목으로 공격자의 DDoS 공격 패킷이 얼마나 많은 양이 발생하느냐에 따른 탐지 시간이 있다. 본 발명의 알고리즘에서 DDoS 공격 중 연결실패확률을 0.7이라 가정하고 유입되는 패킷의 발생 속도에 따라 탐지 성능을 확인할 수 있다.
도 3는 공격 패킷 발생 속도에 따른 탐지 시간을 그래프로 나타낸 도면으로서, 공격 패킷의 수에 따른 탐지 알고리즘의 탐지 시간을 나타낸다.
즉, 도 3에 도시되는 바와 같이, 공격 패킷의 발생 속도가 빨라짐에 따라 공격을 탐지하는 시간이 점점 짧아짐을 확인할 수 있다. 초당 공격 패킷이 10개씩 만들어 진다면 이를 탐지하는데 걸리는 시간은 약 1.2초이고, 초당 공격 패킷이 20개일 경우 약 0.5초이다.
실제 네트워크에서 DDoS 공격이 이루어진 후 이를 대응하기 위해 공격 탐지 시간이 짧을수록 유리하다. 따라서 본 발명에서 제안하는 알고리즘이 음성망에서의 DDoS 공격이 시도되었을 때 이를 효과적으로 탐지 가능함이 확인됨을 알 수 있다.
본 발명은 보안 산업, 인터넷 산업 및 통신 산업에 이용가능하다.
도 1은 VoIP 시스템의 계층적 구조도,
도 2은 연결실패 확률에 따른 탐지 속도를 나타낸 그래프도,
도 3는 공격 패킷 발생 속도에 따른 탐지 시간을 나타낸 그래프도,
도 4는 본 발명에 따른 디도스 공격 탐지 방법을 나타낸 동작순서도,
도 5은 본 발명에 따른 디도스 공격 탐지 효율성 측정 방법을 나타낸 동작순서도,
도 6은 본 발명에 따른 디도스 공격 탐지 효율성 측정 방법의 다른 일례를 나타낸 동작순서도이다.
Claims (5)
- VoIP 환경에서, 디도스 공격 여부를 탐지하는 시스템의 서버가,(a) 복수의 SIP 메시지 정보를 입수하는 단계;(b) 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 패킷 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 패킷 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리하는 단계;(c) 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산하는 단계;(d) 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산하는 단계; 및(e) 상기 연결 설정 확률함수값이 기설정된 연결 설정 확률함수의 임계값을 초과하거나, 상기 연결 종료 설정 확률함수값이 기설정된 연결 종료 설정 확률함수의 임계값을 초과하는 경우 디도스 공격으로 판단하는 단계;를 포함하는 것을 특징으로 하는 디도스 공격 탐지 방법.
- 제 1항에 있어서,상기 연결 설정 확률함수의 임계값은 연결 과정 오탐율의 최고점 정보 및 연결 과정 탐지율의 최저점 정보로 계산되는 것인 것을 특징으로 하는 디도스 공격 탐지 방법.
- 제 1항에 있어서,상기 연결 종료 설정 확률함수의 임계값은 연결 종료 과정 오탐율의 최고점 정보 및 연결 종료 과정 탐지율의 최저점 정보로 계산되는 것인 것을 특징으로 하는 디도스 공격 탐지 방법.
- VoIP 환경에서, 디도스 공격 여부를 탐지하는 시스템의 서버가,(a) 복수의 SIP 메시지 정보를 입수하는 단계;(b) 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리하는 단계;(c) 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산하는 단계;(d) 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산하는 단계; 및(f) 상기 디도스 공격을 받았으나 연결이 성공할 확률값의 변화에 따라, 디도스 공격 패킷의 최소수를 계산하는 단계;를 더 포함하는 것을 특징으로 하는 디도스 공격 탐지 효율성 측정 방법.
- VoIP 환경에서, 디도스 공격 여부를 탐지하는 시스템의 서버가,(a) 복수의 SIP 메시지 정보를 입수하는 단계;(b) 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리하는 단계;(c) 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산하는 단계;(d) 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산하는 단계; 및(g) 상기 디도스 공격을 받았으나 연결이 실패할 확률값의 변화에 따라 상기 SIP 메시지 정보의 발생 속도에 따른 디도스 공격 탐지 최소 시간을 구하는 단계;를 더 포함하는 것을 특징으로 하는 디도스 공격 탐지 효율성 측정 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090126618A KR101037575B1 (ko) | 2009-12-18 | 2009-12-18 | VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090126618A KR101037575B1 (ko) | 2009-12-18 | 2009-12-18 | VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101037575B1 true KR101037575B1 (ko) | 2011-05-30 |
Family
ID=44366714
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090126618A KR101037575B1 (ko) | 2009-12-18 | 2009-12-18 | VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101037575B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100818302B1 (ko) | 2006-09-29 | 2008-04-01 | 한국전자통신연구원 | 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치 |
KR20080100918A (ko) * | 2007-05-15 | 2008-11-21 | 고려대학교 산학협력단 | 인터넷 기반 음성 서비스에서 비정상 패킷을 탐지하는 방법및 컴퓨터로 읽을 수 있는 매체 |
-
2009
- 2009-12-18 KR KR1020090126618A patent/KR101037575B1/ko not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100818302B1 (ko) | 2006-09-29 | 2008-04-01 | 한국전자통신연구원 | 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치 |
KR20080100918A (ko) * | 2007-05-15 | 2008-11-21 | 고려대학교 산학협력단 | 인터넷 기반 음성 서비스에서 비정상 패킷을 탐지하는 방법및 컴퓨터로 읽을 수 있는 매체 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106506547A (zh) * | 2016-12-23 | 2017-03-15 | 北京奇虎科技有限公司 | 针对拒绝服务攻击的处理方法、waf、路由器及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11050786B2 (en) | Coordinated detection and differentiation of denial of service attacks | |
Sengar et al. | VoIP intrusion detection through interacting protocol state machines | |
US7568224B1 (en) | Authentication of SIP and RTP traffic | |
US7908480B2 (en) | Authenticating an endpoint using a STUN server | |
US8670316B2 (en) | Method and apparatus to control application messages between client and a server having a private network address | |
US7653938B1 (en) | Efficient cookie generator | |
US7526803B2 (en) | Detection of denial of service attacks against SIP (session initiation protocol) elements | |
US20060075084A1 (en) | Voice over internet protocol data overload detection and mitigation system and method | |
Ehlert et al. | Specification-based denial-of-service detection for sip voice-over-ip networks | |
EP2081356A1 (en) | Method of and telecommunication apparatus for SIP anomaly detection in IP networks | |
Ehlert et al. | Two layer Denial of Service prevention on SIP VoIP infrastructures | |
Tas et al. | Novel session initiation protocol-based distributed denial-of-service attacks and effective defense strategies | |
Asgharian et al. | A framework for SIP intrusion detection and response systems | |
JP2006331015A (ja) | サーバ装置保護システム | |
Hussain et al. | Strategy based proxy to secure user agent from flooding attack in SIP | |
Khan et al. | Voice over internet protocol: Vulnerabilities and assessments | |
Dassouki et al. | Protecting from Cloud-based SIP flooding attacks by leveraging temporal and structural fingerprints | |
KR101037575B1 (ko) | VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 | |
Deng et al. | Advanced flooding attack on a SIP server | |
Li et al. | On sliding window based change point detection for hybrid SIP DoS attack | |
Ganesan et al. | A scalable detection and prevention scheme for voice over internet protocol (VoIP) signaling attacks using handler with Bloom filter | |
KR101095878B1 (ko) | 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템 및 방법 | |
Hosseinpour et al. | Modeling SIP normal traffic to detect and prevent SIP-VoIP flooding attacks using fuzzy logic | |
Jama et al. | Review of SIP based DoS attacks | |
Barry et al. | Architecture and performance evaluation of a hybrid intrusion detection system for IP telephony |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140313 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150416 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |