KR101037575B1 - VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 - Google Patents

VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 Download PDF

Info

Publication number
KR101037575B1
KR101037575B1 KR1020090126618A KR20090126618A KR101037575B1 KR 101037575 B1 KR101037575 B1 KR 101037575B1 KR 1020090126618 A KR1020090126618 A KR 1020090126618A KR 20090126618 A KR20090126618 A KR 20090126618A KR 101037575 B1 KR101037575 B1 KR 101037575B1
Authority
KR
South Korea
Prior art keywords
connection
probability
ddos attack
ddos
successful
Prior art date
Application number
KR1020090126618A
Other languages
English (en)
Inventor
하도윤
김환국
고경희
이창용
김정욱
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020090126618A priority Critical patent/KR101037575B1/ko
Application granted granted Critical
Publication of KR101037575B1 publication Critical patent/KR101037575B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 VoIP 환경하에서 SIP 호 제어 프로토콜 방식을 이용한 디도스 공격 탐지 및 탐지 효율성 측정 방법에 관한 것으로, 특히 (a) 복수의 SIP 메시지 정보를 입수하는 단계; (b) 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리하는 단계; (c) 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산하는 단계; (d) 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산하는 단계; 및 (e) 상기 연결 설정 확률함수값이 기설정된 연결 설정 확률함수의 임계값을 초과하거나, 상기 연결 종료 설정 확률함수값이 기설정된 연결 종료 설정 확률함수의 임계값을 초과하는 경우 디도스 공격으로 판단하는 단계;를 포함하는 것을 특징으로 하는 디도스 공격 탐지 방법을 개시한다.
VoIP(Voice over IP), 분산 서비스 거부 공격(DDoS), 탐지, 측정

Description

VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법{Method on detection of DDoS attact and measurement of efficiency of detection on VoIP network}
본 발명은 디도스 공격 탐지 및 탐지 효율성 측정 방법에 관한 것으로 더욱 상세하게는 VoIP 환경하에서 SIP 호 제어 프로토콜 방식을 이용한 디도스 공격 탐지 및 탐지 효율성 측정 방법에 관한 것이다.
통신망의 발달로 수많은 인터넷기반 서비스들이 등장함에 따라 사용자는 다양한 콘텐츠를 이용할 수 있었다. 그러나 이런 인터넷기반 서비스는 유무선 환경에서 다양한 외부공격이 심화됨에 따라 사용자들이 정상적으로 서비스를 이용하지 못하거나, 악의적인 공격 등에 노출되는 문제점을 가지고 있다.
특히, 시스템 또는 네트워크 자원을 공격 대상으로 하는 서비스 거부 공격(DoS : Denial of Service) 및 분산 서비스 거부 공격(DDoS : Distributed DoS)의 문제가 대두되었는데, DoS는 대역폭, 프로세스 처리 능력 및 시스템 자원을 고갈시킴으로써 정상적인 서비스를 제공하지 못하게 만드는 모든 행위를 말한다.
DDoS 공격의 공통점은 과도한 접속으로 네트워크 자원 및 대역폭을 소모시켜 다른 사용자의 정당한 접속을 불가능하게 하는 것이고, 때에 따라서는 네트워크 장비에 장애를 유발시키기도 한다. 간단히 생각한다면, 네트워크 대역폭이 굉장히 크거나, 네트워크 장비의 성능이 월등히 뛰어나다면 아무 문제없이 공격을 받아들일 수 있다고 생각할 수 있으나, 이는 매우 이상적인 경우일 뿐 실제로는 그렇지 않다. DDoS 공격을 받을 경우 IPS나 DDoS 공격 방어 장비 등의 보안장비가 구축되어 있지 않는 이상 피해를 고스란히 감수해야 하기 때문이다. 최근 빈번하게 발생하는 웜 바이러스에도 DDoS 공격 방식이 내장되어 피해를 주고 있어 DDoS 공격에 대한 대책이 시급하다.
DDoS 공격을 탐지하는 알고리즘으로는 TRW(Threshold Random Walk), DEWP(Detecting Early Worm Propagation through Packet Matching), Statistical Intrusion Detection 알고리즘 등이 있는데 이는 일반 인터넷망에서 DDoS 공격을 탐지하는 알고리즘이다.
그러나 DDoS 공격은 일반 인터넷망 외에도 음성망 중 IP를 사용하는 VoIP(Voice over IP) 네트워크에서도 발생할 수 있다. VoIP 네트워크에서는 호 제어 프로토콜로 H.323과 SIP가 있는데, 최근에 사용하는 방식은 대부분 SIP를 사용하고 있다.
VoIP(Voice over IP)란 말 그대로 인터넷망의 근간인 IP 네트워크를 통해 음성을 전송하는 기술과 서비스를 말한다. 기존에 IP 네트워크는 데이터만을 전송했으나, 음성과 데이터를 하나의 망에서 통합 제공함으로써 망자원의 효율적 사용과 인터넷과 연계된 다양한 부가 서비스의 제공이 가능하다는 장점이 있다. VoIP는 전 화의 호(call)를 제어하는 프로토콜을 기반으로 한다.
VoIP 시스템의 구성요소는 크게 응용 계층(Application layer), 신호 계층(Signaling layer), 매체 계층(Media layer)으로 나눠지며, 각 계층별로 상대방과 같은 프로토콜을 이용하여 통신을 한다. 도 1은 VoIP 시스템의 계층적 구조를 나타낸다.
이미 VoIP 기술은 90년대 중반부터 제기돼 다양한 프로토콜이 개발됐다. 이런 프로토콜에는 H.323, MGCP/MEGACO, SIP 등이 대표적이라고 할 수 있다.
SIP는 인터넷망을 이용한 음성 통신 서비스 또는 멀티미디어 서비스 등 융복합 서비스를 제공하기 위한 VoIP 서비스의 핵심 기술로서 파싱과 컴파일이 쉽고 텍스트 기반이기 때문에 H.323에 비하여 확장성이 뛰어나고 구현이 쉬운 장점을 가지고 있다. 이를 이용하여 개발된 VoIP는 저렴하고 구현하기 쉬운 장점으로 급속도로 발전하였다.
전화를 걸고 받을 수 있는 터미널을 UAC(User Agent Client)라고 하고, 받는 쪽을 UAS(User Agnet Server)라고 한다. 또한 SIP 네트워크 망을 제어하는 것으로 H.323의 게이트키퍼와 비슷한 역할을 하는 Proxy Server와 사용자의 이동성을 보장하기 위한 Redirect Server가 주요 구성요소이다.
SIP는 Proxy Server를 통한 연결방법과 상대방과 직접 연결을 할 수 있는 방법 두 가지를 제공한다. 전화를 거는 쪽에서는 SIP에 맞는 주소방식을 사용하여 INVITE 메시지를 통화를 원하는 쪽에게 요청하게 된다.
SIP의 모든 메시지는 텍스트 기반이며 메시지를 전달할 때에는 TCP나 UDP를 사용하여 여러개의 메시지가 하나의 TCP 세그먼트나 UDP 데이터그램에 의해 보낸다. SIP 데이터 크기는 MTU를 알고 있는 네트워크에 대해서는 MTU의 값을 넘지 않는 한도에서 데이터를 보내고, MTU를 알 수 없는 네트워크에 대해서는 1KByte 이하의 데이터를 보낼 수 있도록 정의되어 있다.
DDoS 공격은 인터넷에 개방되어 있으면서 동시에 한정된 자원(네트워크의 대역폭, 시스템의 패킷 처리 용량, 시스템에 도착한 패킷의 처리를 위하여 이용되는 시스템의 제반 자원 등)을 가진 모든 시스템들을 쉽게 공격의 대상으로 하여 피해를 입힌다는 점에서 매우 심각하게 여겨지고 있으며, 이에 대한 연구가 다양한 방향으로 진행되고 있다.
DDoS 공격은 여러 가지 형태로 구분되나 주로 대량의 트래픽을 유발하는 플러딩(Flooding) 공격, 과도한 세션을 요구하는 커넥션(Connection) 공격, 기타 애플리케이션(Application) 특성을 활용한 공격으로 나눌 수 있다.
특히, DDoS 공격 중 SIP 플러딩 공격은 SIP 메시지를 대량으로 보내어 VoIP 사용자나 사업자가 정상적인 서비스를 이용 혹은 제공하지 못하게 하는 것이다.
따라서, VoIP 서비스가 활성화되고 있는 흐름에 맞춰 VoIP 망에 대한 디도스 공격이 예상되는 바, VoIP망, 특히 많이 사용되는 SIP 방식을 사용하는 VoIP망에서 디도스 공격을 효과적으로 탐지하는 방법이 요구되어 왔다. 아울러 디도스 공격 탐지 방법의 효율성을 평가하는 방법도 요구되어 왔다.
따라서, 본 발명은 상기와 같은 종래의 문제점을 해결하기 위해 안출된 것으로서, 본 발명의 목적은 SIP 방식의 호 제어 프로토콜을 사용하는 VoIP망에서 디도스 공격을 효과적으로 탐지하는 방법 및 디도스 공격 탐지 방법의 효율성을 평가하는 방법을 제공하는 데 있다.
상기와 같은 목적을 달성하기 위한 본 발명은, VoIP 환경에서, 디도스 공격 여부를 탐지하는 시스템의 서버가, (a) 복수의 SIP 메시지 정보를 입수하는 단계; (b) 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리하는 단계; (c) 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산하는 단계; (d) 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산하는 단계; 및 (e) 상기 연결 설정 확률함수값이 기설정된 연결 설정 확률함수의 임계값을 초과하거나, 상기 연결 종료 설정 확률함 수값이 기설정된 연결 종료 설정 확률함수의 임계값을 초과하는 경우 디도스 공격으로 판단하는 단계;를 포함하는 것을 특징으로 하는 디도스 공격 탐지 방법을 개시한다.
바람직하게는, 상기 연결 설정 확률함수의 임계값은 연결 과정 오탐율의 최고점 정보 및 연결 과정 탐지율의 최저점 정보로 계산된다.
바람직하게는, 상기 연결 종료 설정 확률함수의 임계값은 연결 종료 과정 오탐율의 최고점 정보 및 연결 종료 과정 탐지율의 최저점 정보로 계산된다.
바람직하게는, 본 발명은 상기 단계(d) 이후, (f) 상기 디도스 공격을 받았으나 연결이 성공할 확률값의 변화에 따라, 디도스 공격 패킷의 최소수를 계산하는 단계;를 더 포함함이 더욱 바람직하다.
바람직하게는, 본 발명은 상기 단계(d) 이후, (g) 상기 디도스 공격을 받았으나 연결이 실패할 확률값의 변화에 따라 상기 SIP 메시지 정보의 발생 속도에 따른 디도스 공격 탐지 최소 시간을 구하는 단계;를 더 포함함이 더욱 바람직하다.
상술한 바와 같이 본 발명을 실시하면, SIP 방식을 사용하는 VoIP망에서 디도스 공격을 효과적으로 탐지할 수 있다. 나아가 본 발명을 실시하면 VoIP망에서 디도스 공격 탐지 방법의 효율성을 효과적으로 평가할 수 있다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 더욱 상세하게 설명한다.
도 4는 본 발명의 일 실시예에 따른 디도스 공격 탐지 방법을 나타낸 동작순서도이고, 도 5 및 도 6은 본 발명에 따른 디도스 공격 탐지 효율성 측정 방법을 각각의 일례로 나타낸 동작순서도이다.
도 4에서 도시되는 바와 같이, 본 발명의 디도스 공격 탐지 방법은 다음과 같은 단계로 실시된다.
먼저 VOIP 환경에서, 디도스 공격 여부를 탐지하는 시스템의 서버는 복수의 SIP 메시지 정보를 입수하고(S11), 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리한다(S12).
Figure 112009078372796-pat00001
Figure 112009078372796-pat00002
상기 [수학식 1]에서 Yi 값은 INVITE, Register, Ack 패킷에 반응하는 연결설정 관련 변수를 나타내고, [수학식 2]에서 Zi 값은 Cancel, Bye, OK 패킷에 반응하는 연결설정 관련 변수를 나타낸다.
H0 = Host l 이 DDoS 공격을 받지 않음
H1 = Host l 이 DDoS 공격을 받음
이어, 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산한다(S13).
Figure 112009078372796-pat00003
Figure 112009078372796-pat00004
이때, 상기 [수학식 3]에서 θY0은 DDoS 공격을 받지 않고, 연결이 성공할 확률이고, θY1은 DoS 공격을 받았으나, 연결이 성공할 확률이다.
또한, 상기 [수학식 4]에서 θZ0은 DDoS 공격을 받지 않고, 연결이 정상적으로 종료될 확률이고, θZ1은 DDoS 공격을 받았으나, 연결이 정상적으로 종료될 확률이다.
이어, 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공 격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산한다(S14).
Figure 112009078372796-pat00005
Figure 112009078372796-pat00006
상기 [수학식 5]과 [수학식 6]에서 ∧(Yn)과 ∧(Zn)는 정상인 상태에 반비례하고 공격을 받았을 때 비례하는 확률함수를 나타낸다.
Figure 112009078372796-pat00007
Figure 112009078372796-pat00008
상기 [수학식 7]과 [수학식 8]에서 각 확률함수를 파이로 표현할 수 있고, ∧(Yn)의 특정 I번째의 확률을 f(Yi)로 나타낼수 있다. 마찬가지로 ∧(Zn)의 특정 I번째의 확률을 f(Zi)로 나타낼수 있다. 아래의 [수학식 9]와 [수학식 10]은 도출된 f(Yi)과 f(Zi)의 일반식을 나타낸다.
Figure 112009078372796-pat00009
Figure 112009078372796-pat00010
이어, 상기 연결 설정 확률함수 값이 기설정된 연결 설정 확률함수의 임계값 을 초과하거나, 상기 연결 종료 설정 종료함수값이 기설정된 연결 종료 설정 확률함수의 임계값을 초과하는 경우 디도스 공격으로 판단한다(S15). 이어, 상기 임계값에 대하여 더욱 상세하게 설명한다.
SIP-TRW 알고리즘의 임계값을 인 η1 과 η0를 구하기 위해서 파라미터를 아래의 [표 1]에서 정의한다.
파라메터  내용
ηc1c0 ∧(Yn)의 임계값
ηe1e0 ∧(Zn)의 임계값
Pc 연결 과정 DDoS 공격시의 탐지율
Pcf 연결 과정 DDoS 공격이 없을 때 오탐율
Pe 연결종료 과정 DDoS 공격시의 탐지율
Pef 연결종료 과정 DDoS 공격이 없을 때 오탐율
α00 연결 과정 오탐율의 최고점, 탐지율의 최저점
α11 연결종료 과정 오탐율의 최고점, 탐지율의 최저점
이때, Pc와 Pcf는 다음의 [수학식 11]을 만족해야 한다.
Figure 112009078372796-pat00011
즉, α0값보다는 오탐율이 작아야 하고, β0값 보다는 탐지율이 높아야 정상적으로 작동되는 알고리즘이라 판단할 수 있다. 이 변수를 이용해 임계값인 ηc1 과 ηc0를 정의하면 아래의 [수학식 12]과 같다.
Figure 112009078372796-pat00012
이를 α0와 β0로 표현하면 아래의 [수학식 13]와 같이 정의된다.
Figure 112009078372796-pat00013
따라서, 임계치인 ηc1의 확률은 0 < Pc <1 이므로 아래의 [수학식 14]을 도출할 수 있게 된다.
Figure 112009078372796-pat00014
그리고, 이 식을 Pcf의 형태로 정리하면 아래의 [수학식 15]과 같이 임계치인 ηc1의 값을 구할수 있다.
Figure 112009078372796-pat00015
이와 마찬가지로 1-Pc의 확률도 아래의 [수학식 16]와 같이 정리하면 ηc0의 값을 구할 수 있다.
Figure 112009078372796-pat00016
연결 종료와 관련된 임계치도 위의 단계를 이용하여 아래의 [수학식 17]과 [수학식 18]로 나타낼 수 있다.
Figure 112009078372796-pat00017
Figure 112009078372796-pat00018
이어, DDoS 공격 트래픽 탐지 알고리즘을 평가하는 방법을 제시한다.
SIP-TRW 알고리즘을 평가하기 위해서 연결확률에 따른 탐지 속도와 공격패킷 속도에 따른 탐지 시간을 수학적으로 증명한다. 우선 Network 트래픽을 가정하려면 본 알고리즘의 임계값을 가정해야 한다. 임계값을 가정하기 위해 네트워크 관리자 기준으로 알고리즘의 탐지율과 오탐율을 정할 수 있다. α는 오탐율의 최고점, β는 탐지율의 최저점을 뜻하는 것으로 다음과 같이 나타낼 수 있다.
Figure 112009078372796-pat00019
DDoS 공격이 아닌데도 공격으로 탐지할 확률을 0.0005, DDoS 공격이 시도되었을 때 공격으로 탐지할 확률을 0.99를 목표하는 임계치를 유도하면 아래의 [수학식 19]와 [수학식 20]과 같다.
Figure 112009078372796-pat00020
Figure 112009078372796-pat00021
네트워크 관리자는 목표로 하는 탐지율과 오탐율을 설정할 수 있고, 상기 디도스 공격 여부를 탐지하는 시스템은 상기 탐지율 및 상기 오탐율 정보를 상기 연결 확률 함수값 및 상기 연결 종료 확률 함수값과 연계 처리하여, 정상 상태와 공격 상태를 판단할 수 있다.
음성망 환경에서 가상의 트래픽을 정의하고, 정의한 트래픽 속성에서의 중요한 변수는 다음과 같다.
θY1 = DDoS 공격 중 연결이 정상적으로 연결될 확률
θZ1 = DDoS 공격 중 연결이 정상적으로 종료될 확률
θY1 와 θZ1 값에 따라 본 알고리즘의 성능을 측정할 수 있다. 본 알고리즘에서 ∧(Yn)의 특정 I번째의 확률을 f(Yi)로 나타낼수 있는데, 공격이 시도되면 Y의 값은 지속적으로 1을 나타내고, 그럴 경우 f(Yi)의 값이 특정 기대치를 나타 낼 수 있다. 이 기대치를 ∧(Yn)에 적용 시키면 임계점으로 다가가는 속도를 측정할 수 있으며 아래의 [수학식 21], 및 [수학식 22]과 같다.
Figure 112009078372796-pat00022
만약 디도스 공격이 있다면,
Figure 112009078372796-pat00023
상기의 [수학식 22]을 통해, 디도스 공격을 받았을 때 연결이 성공할 확률값의 변화에 따라, 디도스 공격 패킷의 최소수를 계산하고(S16), 또한 디도스 공격을 받았을 때 연결이 실패할 확률값의 변화에 따라 SIP 메시지 정보의 발생 속도에 따른 디도스 공격 탐지 최소 시간을 계산(S17)할 수 있다.
도 2은 연결 실패 확률에 따른 탐지 속도를 그래프로 나타낸 도면으로서, θY1의 값이 변화함에 따라 몇 개의 공격패킷을 수신했을 때 공격을 탐지 해낼 수 있는지를 계산한 그래프이다.
도 2에서 1-θY1 값(DDoS 공격 중 연결실패확률)이 증가함에 따라 DDoS 공격을 탐지하기 위해 필요한 패킷의 수가 감소함을 확인할 수 있다. 즉, 연결실패확률이 0.4일 경우 DDoS 공격을 탐지하기 위해 필요한 연결 실패 패킷은 약 160개 이고, 0.7일 경우에는 약 17개이다.
본 발명의 알고리즘을 실제 네트워크에 적용하였을 때 성능에 영향을 미치는 평가 항목으로 공격자의 DDoS 공격 패킷이 얼마나 많은 양이 발생하느냐에 따른 탐지 시간이 있다. 본 발명의 알고리즘에서 DDoS 공격 중 연결실패확률을 0.7이라 가정하고 유입되는 패킷의 발생 속도에 따라 탐지 성능을 확인할 수 있다.
도 3는 공격 패킷 발생 속도에 따른 탐지 시간을 그래프로 나타낸 도면으로서, 공격 패킷의 수에 따른 탐지 알고리즘의 탐지 시간을 나타낸다.
즉, 도 3에 도시되는 바와 같이, 공격 패킷의 발생 속도가 빨라짐에 따라 공격을 탐지하는 시간이 점점 짧아짐을 확인할 수 있다. 초당 공격 패킷이 10개씩 만들어 진다면 이를 탐지하는데 걸리는 시간은 약 1.2초이고, 초당 공격 패킷이 20개일 경우 약 0.5초이다.
실제 네트워크에서 DDoS 공격이 이루어진 후 이를 대응하기 위해 공격 탐지 시간이 짧을수록 유리하다. 따라서 본 발명에서 제안하는 알고리즘이 음성망에서의 DDoS 공격이 시도되었을 때 이를 효과적으로 탐지 가능함이 확인됨을 알 수 있다.
본 발명은 보안 산업, 인터넷 산업 및 통신 산업에 이용가능하다.
도 1은 VoIP 시스템의 계층적 구조도,
도 2은 연결실패 확률에 따른 탐지 속도를 나타낸 그래프도,
도 3는 공격 패킷 발생 속도에 따른 탐지 시간을 나타낸 그래프도,
도 4는 본 발명에 따른 디도스 공격 탐지 방법을 나타낸 동작순서도,
도 5은 본 발명에 따른 디도스 공격 탐지 효율성 측정 방법을 나타낸 동작순서도,
도 6은 본 발명에 따른 디도스 공격 탐지 효율성 측정 방법의 다른 일례를 나타낸 동작순서도이다.

Claims (5)

  1. VoIP 환경에서, 디도스 공격 여부를 탐지하는 시스템의 서버가,
    (a) 복수의 SIP 메시지 정보를 입수하는 단계;
    (b) 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 패킷 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 패킷 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리하는 단계;
    (c) 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산하는 단계;
    (d) 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산하는 단계; 및
    (e) 상기 연결 설정 확률함수값이 기설정된 연결 설정 확률함수의 임계값을 초과하거나, 상기 연결 종료 설정 확률함수값이 기설정된 연결 종료 설정 확률함수의 임계값을 초과하는 경우 디도스 공격으로 판단하는 단계;를 포함하는 것을 특징으로 하는 디도스 공격 탐지 방법.
  2. 제 1항에 있어서,
    상기 연결 설정 확률함수의 임계값은 연결 과정 오탐율의 최고점 정보 및 연결 과정 탐지율의 최저점 정보로 계산되는 것인 것을 특징으로 하는 디도스 공격 탐지 방법.
  3. 제 1항에 있어서,
    상기 연결 종료 설정 확률함수의 임계값은 연결 종료 과정 오탐율의 최고점 정보 및 연결 종료 과정 탐지율의 최저점 정보로 계산되는 것인 것을 특징으로 하는 디도스 공격 탐지 방법.
  4. VoIP 환경에서, 디도스 공격 여부를 탐지하는 시스템의 서버가,
    (a) 복수의 SIP 메시지 정보를 입수하는 단계;
    (b) 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리하는 단계;
    (c) 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산하는 단계;
    (d) 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산하는 단계; 및
    (f) 상기 디도스 공격을 받았으나 연결이 성공할 확률값의 변화에 따라, 디도스 공격 패킷의 최소수를 계산하는 단계;를 더 포함하는 것을 특징으로 하는 디도스 공격 탐지 효율성 측정 방법.
  5. VoIP 환경에서, 디도스 공격 여부를 탐지하는 시스템의 서버가,
    (a) 복수의 SIP 메시지 정보를 입수하는 단계;
    (b) 상기 입수한 SIP 메시지 정보에서 Invite, Register, Ack 중 어느 하나 이상을 처리하여 호접속 연결 설정 변수값 및 Cancel, Bye, OK 중 어느 하나 이상을 처리하여 연결 종료 설정 변수값을 처리하는 단계;
    (c) 디도스 공격을 받지 않고 연결이 성공할 확률, 디도스 공격을 받았으나 연결이 성공할 확률, 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률을 계산하는 단계;
    (d) 상기 디도스 공격을 받지 않고 연결이 성공할 확률 및 상기 디도스 공격을 받았으나 연결이 성공할 확률로 기설정될 연결 설정 확률함수를 계산하고, 상기 디도스 공격을 받지 않고 연결이 정상적으로 종료될 확률 및 상기 디도스 공격을 받았으나 연결이 정상적으로 종료될 확률로 기설정된 연결 종료 설정 확률함수를 계산하는 단계; 및
    (g) 상기 디도스 공격을 받았으나 연결이 실패할 확률값의 변화에 따라 상기 SIP 메시지 정보의 발생 속도에 따른 디도스 공격 탐지 최소 시간을 구하는 단계;를 더 포함하는 것을 특징으로 하는 디도스 공격 탐지 효율성 측정 방법.
KR1020090126618A 2009-12-18 2009-12-18 VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법 KR101037575B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090126618A KR101037575B1 (ko) 2009-12-18 2009-12-18 VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090126618A KR101037575B1 (ko) 2009-12-18 2009-12-18 VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법

Publications (1)

Publication Number Publication Date
KR101037575B1 true KR101037575B1 (ko) 2011-05-30

Family

ID=44366714

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090126618A KR101037575B1 (ko) 2009-12-18 2009-12-18 VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법

Country Status (1)

Country Link
KR (1) KR101037575B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506547A (zh) * 2016-12-23 2017-03-15 北京奇虎科技有限公司 针对拒绝服务攻击的处理方法、waf、路由器及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818302B1 (ko) 2006-09-29 2008-04-01 한국전자통신연구원 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치
KR20080100918A (ko) * 2007-05-15 2008-11-21 고려대학교 산학협력단 인터넷 기반 음성 서비스에서 비정상 패킷을 탐지하는 방법및 컴퓨터로 읽을 수 있는 매체

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818302B1 (ko) 2006-09-29 2008-04-01 한국전자통신연구원 세션 개시 프로토콜(SIP) 프락시 서버에서의 서비스거부(DoS) 공격 대응 방법 및 장치
KR20080100918A (ko) * 2007-05-15 2008-11-21 고려대학교 산학협력단 인터넷 기반 음성 서비스에서 비정상 패킷을 탐지하는 방법및 컴퓨터로 읽을 수 있는 매체

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506547A (zh) * 2016-12-23 2017-03-15 北京奇虎科技有限公司 针对拒绝服务攻击的处理方法、waf、路由器及系统

Similar Documents

Publication Publication Date Title
US11050786B2 (en) Coordinated detection and differentiation of denial of service attacks
Sengar et al. VoIP intrusion detection through interacting protocol state machines
US7568224B1 (en) Authentication of SIP and RTP traffic
US7908480B2 (en) Authenticating an endpoint using a STUN server
US8670316B2 (en) Method and apparatus to control application messages between client and a server having a private network address
US7653938B1 (en) Efficient cookie generator
US7526803B2 (en) Detection of denial of service attacks against SIP (session initiation protocol) elements
US20060075084A1 (en) Voice over internet protocol data overload detection and mitigation system and method
Ehlert et al. Specification-based denial-of-service detection for sip voice-over-ip networks
EP2081356A1 (en) Method of and telecommunication apparatus for SIP anomaly detection in IP networks
Ehlert et al. Two layer Denial of Service prevention on SIP VoIP infrastructures
Tas et al. Novel session initiation protocol-based distributed denial-of-service attacks and effective defense strategies
Asgharian et al. A framework for SIP intrusion detection and response systems
JP2006331015A (ja) サーバ装置保護システム
Hussain et al. Strategy based proxy to secure user agent from flooding attack in SIP
Khan et al. Voice over internet protocol: Vulnerabilities and assessments
Dassouki et al. Protecting from Cloud-based SIP flooding attacks by leveraging temporal and structural fingerprints
KR101037575B1 (ko) VoIP 환경에서, 디도스 공격 탐지 및 탐지 효율성 측정 방법
Deng et al. Advanced flooding attack on a SIP server
Li et al. On sliding window based change point detection for hybrid SIP DoS attack
Ganesan et al. A scalable detection and prevention scheme for voice over internet protocol (VoIP) signaling attacks using handler with Bloom filter
KR101095878B1 (ko) 은닉마르코프모델을 이용한 에스아이피 프로토콜 서비스 거부 공격 탐지 및 차단 시스템 및 방법
Hosseinpour et al. Modeling SIP normal traffic to detect and prevent SIP-VoIP flooding attacks using fuzzy logic
Jama et al. Review of SIP based DoS attacks
Barry et al. Architecture and performance evaluation of a hybrid intrusion detection system for IP telephony

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140313

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150416

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee