KR101097419B1 - 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 - Google Patents
넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 Download PDFInfo
- Publication number
- KR101097419B1 KR101097419B1 KR1020080125931A KR20080125931A KR101097419B1 KR 101097419 B1 KR101097419 B1 KR 101097419B1 KR 1020080125931 A KR1020080125931 A KR 1020080125931A KR 20080125931 A KR20080125931 A KR 20080125931A KR 101097419 B1 KR101097419 B1 KR 101097419B1
- Authority
- KR
- South Korea
- Prior art keywords
- sip
- traffic
- information
- abnormal
- rtp
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
- H04L65/1104—Session initiation protocol [SIP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/80—Responding to QoS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Algebra (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 넷플로우 통계정보를 이용한 비정상 에스아이피(SIP) 트래픽 폭주공격 탐지 모니터링시스템과 그 방법에 관한 것으로서, 더욱 상세하게는 기존의 5-tuple 이외에 송수신자 URI, Call-ID, 메소드별 수 등 SIP 호 설정 관련 정보들과, RTP 음성품질 등 미디어 트래픽 관련 정보를 추가로 수집할 수 있고, SIP 트래픽 정보를 기반으로 세션 상태, RTP 음성품질 모니터링 등 기존 트래픽 모니터링 시스템으로는 확인할 수 없었던 SIP 응용서비스의 특성 정보를 모니터링 할 수 있으며, 호 설정 과정에서 모든 메시지를 프록시 서버로 전송한 뒤 프록시 서버가 목적지로 다시 전송하는 특징을 가져 IP와 port 정보만을 이용한 탐지하는 기존의 방법의 문제점인 SIP 서비스 거부 공격 등 비정상 SIP 트래픽 폭주 공격을 탐지하기가 어려웠던 것을 송수신자 URI, Call-ID, RTP 음성품질 등 SIP 특성정보들을 총괄적으로 고려하고 탐지를 수행함으로써, 비정상 SIP 트래픽 폭주 공격의 탐지가 가능한 효과가 있다.
SIP 트래픽 정보 수집 센서, SIP 플로우 정보 수집기, SIP 트래픽 분석/모니 터링 모듈, 비정상 SIP 트래픽 탐지 모듈, SIP 트래픽 통계 DB, SIP 보안정책 관리 모듈, SIP 트래픽 모니터링 및 탐지 관리 GUI, 비정상 SIP 트래픽 폭주 공격, 탐지, 모니터링.
Description
본 발명은 기존의 5-tuple 이외에 송수신자 URI(Uniform Resource Identifier), Call-ID, 메소드별 수 등 SIP(Session Initiation Protocol) 호 설정 관련 정보들과, RTP(Realtime Transport Protocol) 음성품질 등 미디어 트래픽 관련 정보를 추가로 수집할 수 있고, SIP 트래픽 정보를 기반으로 세션 상태, RTP 음성품질 모니터링 등 기존 트래픽 모니터링 시스템으로는 확인할 수 없었던 SIP 응용서비스의 특성 정보를 모니터링 할 수 있으며, 호 설정 과정에서 모든 메시지를 프록시 서버로 전송한 뒤 프록시 서버가 목적지로 다시 전송하는 특징을 가져 IP와 port 정보만을 이용한 탐지하는 기존의 방법의 문제점인 SIP 서비스 거부 공격 등 비정상 SIP 트래픽 폭주 공격을 탐지하기가 어려웠던 것을 송수신자 URI, Call-ID, RTP 음성품질 등 SIP 특성정보들을 총괄적으로 고려하고 탐지를 수행함으로써, 비정상 SIP 트래픽 폭주 공격의 탐지가 가능한 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법에 관한 기술이다.
종래의 IP 트래픽 모니터링 기술 및 비정상 IP 트래픽 탐지 기술은 SIP 트래픽을 효과적으로 모니터링 하거나 비정상 SIP 트래픽 폭주 공격을 탐지할 수 없다. 이를 구체적으로 살펴보면 다음과 같다.
첫째로는, URI 사용의 경우로서, 종래의 기술들은 IP 트래픽의 5-tuple 정보(근원지 IP, 근원지 port, 목적지 IP, 목적지 port, 프로토콜(TCP, UDP, ICMP))만을 이용하여 IP 트래픽의 특성을 분석하고 비정상 트래픽을 탐지한다. 하지만 SIP 응용서비스의 경우 IP, port 외에 응용서비스 제공을 위한 식별자인 URI를 추가로 사용하며 기존의 기술은 URI를 인식하지 못해 정확한 SIP 트래픽 모니터링 및 비정상 SIP 트래픽 탐지가 불가능하다. 특히 SIP 응용서비스에서는 모든 호 설정 트래픽이 일단 프록시 서버로 전송되어 프록시 서버에서 URI를 확인하고 최종 목적지로 다시 배달하는 방식으로 서비스가 제공되므로 근원지 및 목적지의 IP/port 정보만으로는 해당 SIP트래픽의 최종 목적지를 알 수 없다.
둘째로는, 호 설정, 미디어 경로 분리 특성에 관한 것으로서, SIP는 호 설정을 위한 SIP 트래픽과 미디어 전송을 위한 RTP 트래픽이 실제로 같은 응용서비스 세션내부의 트래픽임에도 불구하고 전달 경로가 다르나, 기존의 IP 트래픽 모니터링 장비 또는 IP 기반 보안장비들은 이를 인식하여 처리할 수 없다. 또한 RTP의 경우 미리 정해진 포트가 아닌 동적 포트를 사용하기 때문에 특정 포트 이외의 포트들을 차단하는 방식의 방화벽 사용이 불가능하다.
셋째로는, 음성품질에 민감한 특성에 관한 것으로서, SIP 응용서비스는 1~2초 정도의 지연시간이 발생해도 사용자가 알아차릴 수 없는 웹, 이메일 등 기존 IP 기반 응용서비스와 달리 짧은 지연시간(Delay) 발생도 사용자가 쉽게 알아차릴 수 있어 RTP 트래픽에 대한 음성품질의 측정이 필요하다.
그러므로 SIP/RTP 트래픽 정보 수집과, SIP 응용서비스 특성 정보 분석 및 모니터링과, 비정상 SIP 트래픽 폭주 공격 탐지할 수 있는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법의 개발이 절실히 요구되고 있는 실정이다.
이에 본 발명은 상기 문제점들을 해결하기 위하여 착상된 것으로서, SIP 특성 정보를 이용하여 SIP 트래픽을 분석과, 망 관리를 위한 모니터링 기능을 제공할 수 있는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법을 제공하는데 그 목적이 있다.
본 발명의 다른 목적은 5-tuple 정보 이외에 URI 분포, RTP 음성품질 등 분 석 결과를 활용하여 비정상 SIP 트래픽 폭주 공격을 탐지할 수 있는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템은 관리대상의 네트워크로부터 SIP/RTP 트래픽에 대한 정보를 수집하고, 상기 수집된 SIP/RTP 트래픽 정보에 대한 넷플로우 v9(version 9) 형태의 통계 데이터를 생성하는 SIP 트래픽 정보 수집 센서, 다중 지점의 상기 SIP 트래픽 정보 수집 센서로부터 상기 넷플로우 v9(version 9) 형태의 통계 데이터를 수신하고, 이를 디코딩하며, 상기 다중지점의 SIP 트래픽 정보 수집 센서의 연결 상태를 관리하는 SIP 플로우 정보 수집기, 상기 SIP 플로우 정보 수집기를 통해 모여진 상기 통계 데이터를 기반으로 상기 네트워크의 SIP 트래픽 특성을 분석하고, SIP 트래픽 통계 DB에 상기 분석 결과를 저장하는 SIP 트래픽 분석-모니터링 모듈, 상기 SIP 트래픽 분석-모니터링 모듈의 분석 결과에 소정의 탐지 룰을 적용하여 상기 네트워크에 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하되, 상기 분석 결과 중5-tuple 정보 이외에 Call-ID, URI 분포, RTP 음성품질 정보와 같은 SIP 응용서비스의 특성 정보를 통합적으로 고려하여 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하고, 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있을 경우 상기 비정상 SIP 트래픽 폭주 공격에 대한 로그를SIP 트래픽 폭주 공격 탐지 로그 DB에 저장하는 비정상 SIP 트래픽 탐지 모듈, 상기 SIP 트래픽 통계 DB로부터 상기 저장된 분석 결과를 제공 받아 상기 탐지 룰의 임계값 을 재설정하고, 이를 비정상 SIP 트래픽 폭주 공격 탐지 정책 정보와 함께 상기 비정상 SIP 트래픽 탐지 모듈에 제공하는 SIP 보안정책 관리 모듈, 및 상기 SIP 트래픽 분석-모니터링 모듈로부터 실시간으로 상기 분석 결과를 제공받고, 상기 SIP 트래픽 통계 DB로부터 상기 저장된 분석 결과를 제공받고, 상기 SIP 트래픽 폭주 공격 탐지 로그 DB로부터 상기 저장된 비정상 SIP 트래픽 폭주 공격에 대한 로그를 제공받아, 관리자 이들을 실시간으로 조회할 수 있도록 하고, 상기 SIP 보안 정책 관리 모듈과 상기 비정상 SIP 트래픽 폭주 공격 탐지 정책의 설정 정보를 주고 받는 SIP 트래픽 모니터링 및 탐지 관리 GUI를 포함하되, 상기 탐지 룰은 상기 관리자가 상기 SIP 트래픽 모니터링 및 탐지 관리 GUI를 통해 추가, 수정 또는 삭제할 수 있는 것을 특징으로 한다.
상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법은 관리대상의 네트워크로부터 SIP 트래픽에 대한 통계정보를 수집하고 이를 이용하여 넷플로우 버전 9 기반의 통계정보를 생성하는 단계, 상기 생성된 넷플로우 버전 9 기반의 통계정보를 SIP 호 설정 트래픽 통계정보와, RTP 미디어 트래픽 통계정보로 나누어 1차로 분류하는 단계, 상기 1차 분류된 정보를 SIP와 RTP의 각 구성요소 별로 2차 분류하여 SIP와 RTP 트래픽에 대한 통계 분석을 실시하는 단계, 및 상기 분석 결과를 저장하고, 이를 실시간으로 관리자가 모니터링 할 수 있도록 상기 관리자에게 제공하는 단계를 포함한다.
상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법은 관리대상의 네트워크로부터 SIP 트래픽에 대한 통계정보를 수집하고 이를 이용하여 넷플로우 버전 9 기반의 통계정보를 생성하는 단계, 상기 생성된 넷플로우 버전 9 기반의 통계정보를 SIP 호 설정 트래픽 통계정보와, RTP 미디어 트래픽 통계정보로 나누어 1차로 분류하는 단계, 상기 1차 분류된 정보를 SIP와 RTP의 각 구성요소 별로 2차 분류하여 SIP와 RTP 트래픽에 대한 통계 분석을 실시하는 단계, 및 상기 분석 결과를 저장하고, 이를 실시간으로 관리자가 모니터링 할 수 있도록 상기 관리자에게 제공하는 단계를 포함한다.
삭제
삭제
삭제
삭제
삭제
본 발명에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법은 다음과 같은 효과를 가진다.
첫째, 본 발명은 기존의 5-tuple 이외에 송수신자 URI, Call-ID, 메소드별 수 등 SIP 호 설정 관련 정보들과, RTP 음성품질 등 미디어 트래픽 관련 정보를 추가로 수집할 수 있다.
둘째, 본 발명은 SIP 트래픽 정보를 기반으로 세션 상태, RTP 음성품질 모니터링 등 기존 트래픽 모니터링 시스템으로는 확인할 수 없었던 SIP 응용서비스의 특성 정보를 모니터링 할 수 있다.
셋째, 본 발명은 호 설정 과정에서 모든 메시지를 프록시 서버로 전송한 뒤 프록시 서버가 목적지로 다시 전송하는 특징을 가져 IP와 port 정보만을 이용한 탐지하는 기존의 방법의 문제점인 SIP 서비스 거부 공격 등 비정상 SIP 트래픽 폭주 공격을 탐지하기가 어려웠던 것을 송수신자 URI, Call-ID, RTP 음성품질 등 SIP 특성정보들을 총괄적으로 고려하고 탐지를 수행함으로써, 비정상 SIP 트래픽 폭주 공격의 탐지가 가능하다.
이하 첨부된 도면과 함께 본 발명의 바람직한 실시 예를 살펴보면 다음과 같은데, 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이며, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있으므로, 그 정의는 본 발명인 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법을 설명하는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 본 발명의 바람직한 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템을 첨부된 도면을 참조하여 상세히 설명한다.
도 1은 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템을 설명하기 위한 구성을 나타낸 도면이다.
넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 시스템은 SIP 트래픽 정보 수집 센서(100), SIP 트래픽 모니터링 및 탐지 시스템(200), SIP 플로우 정보 수집기(210), SIP 트래픽 분석/모니터링 모듈(220), 비정상 SIP 트래픽 탐지 모듈(230), SIP 보안정책 관리모듈(240), SIP 트래픽 통계 DB(250), 비정상 SIP 트래픽 폭주 공격 탐지 로그 DB(260), SIP 트래픽 모니터링 및 탐지 관리 GUI(300) 등으로 구성된다.
상기 SIP 란 전화, 인터넷 컨퍼런스, 메신저 등에 사용되는 응용 계층의 시그널링 프로토콜로서, 인터넷 기반 회의, 전화, 음성 메일, 이벤트 통지, 인스턴트 메시징 등 멀티미디어 서비스 세션의 생성, 수정, 종료를 제어하는 역할을 한다. SIP 프로토콜은 음성 미디어 전달을 위한 RTP 프로토콜과 같이 사용되며, 본원발명에서의 SIP 트래픽은 SIP와 RTP 트래픽을 동시에 지칭하는 것으로 정의한다. 또한 비정상 SIP 트래픽 폭주 공격이란 SIP 서비스 거부 공격, RTP 플러딩 공격 등 악의적인 공격자에 의해 발생되는 네트워크 대역폭 고갈을 이용한 SIP 트래픽 공격으로 정의한다.
도 1에 도시되어 있는 바와 같이, 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템은 관리대상의 네트워크로부터 SIP/RTP 트래픽에 대한 정보를 수집하고, 상기 수집된 SIP/RTP 트래픽 정보에 대한 넷플로우 v9(version 9) 형태의 통계 데이터를 생성하는 SIP 트래픽 정보 수집 센서(100)와;다중 지점의 상기 SIP 트래픽 정보 수집 센서(100)로부터 상기 넷플로우 v9(version 9) 형태의 통계 데이터를 수신하고, 이를 디코딩하며, 상기 다중지점의 SIP 트래픽 정보 수집 센서(100)의 연결 상태를 관리하는 SIP 플로우 정보 수집기(210)와; 상기 SIP 플로우 정보 수집기(210)를 통해 모여진 상기 통계 데이터를 기반으로 상기 네트워크의 SIP 트래픽 특성을 분석하고, SIP 트래픽 통계 DB(250)에 상기 분석 결과를 저장하는 SIP 트래픽 분석-모니터링 모듈(220)과; 상기 SIP 트래픽 분석-모니터링 모듈(220)의 분석 결과에 소정의 탐지 룰을 적용하여 상기 네트워크에 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하되, 상기 분석 결과 중5-tuple 정보 이외에 Call-ID, URI 분포, RTP 음성품질 정보와 같은 SIP 응용서비스의 특성 정보를 통합적으로 고려하여 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하고, 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있을 경우 상기 비정상 SIP 트래픽 폭주 공격에 대한 로그를 SIP 트래픽 폭주 공격 탐지 로그 DB(260)에 저장하는는 비정상 SIP 트래픽 탐지 모듈(230)과; 상기 SIP 트래픽 통계 DB(250)로부터 상기 저장된 분석 결과를 제공받아 상기 탐지 룰의 임계값 을 재설정하고, 이를 비정상 SIP 트래픽 폭주 공격 탐지 정책 정보와 함께 상기 비정상 SIP 트래픽 탐지 모듈(230)에 제공하는 SIP 보안정책 관리 모듈(240)과; 상기 SIP 트래픽 분석-모니터링 모듈(220)로부터 실시간으로 상기 분석 결과를 제공받고, 상기 SIP 트래픽 통계 DB(250)로부터 상기 저장된 분석 결과를 제공받고, 상기 SIP 트래픽 폭주 공격 탐지 로그 DB(260)로부터 상기 저장된 비정상 SIP 트래픽 폭주 공격에 대한 로그를 제공받아, 관리자 이들을 실시간으로 조회할 수 있도록 하고, 상기 SIP 보안 정책 관리 모듈(240)과 상기 비정상 SIP 트래픽 폭주 공격 탐지 정책의 설정 정보를 주고 받는 SIP 트래픽 모니터링 및 탐지 관리 GUI(300); 로 구성된다. 여기서 탐지 룰은 상기 관리자가 상기 SIP 트래픽 모니터링 및 탐지 관리 GUI를 통해 추가, 수정 또는 삭제할 수 있다.
상기 본 발명인 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템을 구성하는 기술적 수단들의 구성과 기능을 살펴보면 다음과 같다.
상기 SIP 트래픽 정보 수집 센서(100)는 관리대상의 네트워크로부터 SIP/RTP 트래픽에 대한 정보를 수집하고, 이중 SIP/RTP 트래픽에 대한 넷플로우 v9 (version 9)형태의 통계 데이터를 생성하는 기능을 갖는다.
상기 SIP 트래픽 모니터링 및 탐지 시스템(200)은 상기 SIP 트래픽 정보 수집 센서로부터 넷플로우 v9 (version 9)를 수집하고 이를 기반으로 SIP 트래픽 모니터링 및 비정상 SIP 트래픽 폭주 공격의 탐지를 수행하는 기능과, SIP 트래픽의 모니터링 정보 및 비정상 SIP 트래픽 폭주 공격의 탐지 정보를 SIP 트래픽 모니터링 및 탐지 관리 GUI로 보내 시스템 관리자에게 보고하게 하는 기능을 갖는다. 여기서, 상기 SIP 트래픽 분석-모니터링 모듈(220)에서 분석하는 SIP 트래픽 특성은 SIP/RTP 트래픽 볼륨, 패턴별 세션 수, URI 분포, RTP 음성품질이다.
삭제
또한 상기 SIP 트래픽 모니터링 및 탐지 관리 GUI(300)는 SIP 트래픽 분석-모니터링 모듈(220)로부터 실시간으로 SIP 트래픽 분석결과를 받아 관리자가 실시간 SIP 트래픽 모니터링 정보를 조회할 수 있는 기능과, SIP 트래픽 통계 DB(250)로부터 SIP 트래픽 특성 분석 결과통계정보를 제공 받는 기능과, 비정상 SIP 트래픽 폭주 공격 탐지 로그 DB(260)에서 비정상 SIP 트래픽 폭주 공격 탐지 정보를 제공 받는 기능과, SIP 보안 정책 관리모듈(240)과 비정상 SIP 트래픽 폭주 공격 탐지 정책과 설정정보를 주고 받는 기능을 갖는다.
도 2는 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 SIP 트래픽 통계정보의 수집 및 분석하는 흐름을 나타낸 도면이고, 도 3은 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 비정상 SIP 트래픽 폭주 공격을 탐지하는 흐름을 나타낸 도면이다.
도 2에 도시한 바와 같이, 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 SIP 트래픽 통계정보의 수집 및 분석하는 흐름을 살펴보면 다음과 같다.
먼저, SIP 트래픽 정보 수집 센서(100)는 관리대상의 네트워크로부터 SIP 트래픽에 대한 통계정보를 수집하고 이를 이용하여 넷플로우 버전 9 기반의 통계 데이터를 생성하고 이를 SIP 트래픽 모니터링 및 탐지 시스템(200)의 SIP 플로우 정보 수집기(210)로 전달한다.
이후 SIP 플로우 정보 수집기(210)를 통해 모여진 넷플로우 기반 SIP 트래픽 통계 정보들은 SIP 트래픽 분석-모니터링 모듈(220)로 전달되며, 상기 SIP 트래픽 분석-모니터링 모듈(220)에서는 수집된 SIP 트래픽 통계정보들을 기반으로 SIP 트래픽 특성을 분석한다.
다음, SIP 트래픽 분석-모니터링 모듈(220)은 수신된 넷플로우 기반의 통계 정보를 SIP 호 설정 트래픽 통계정보와, RTP 미디어 트래픽 통계정보로 나누어 1차 분류하며, 상기 1차 분류된 정보를 SIP와 RTP의 각 구성요소별로 2차 분류하여 SIP와 RTP 트래픽 통계 분석을 실시한다.
여기서 SIP 호 설정 트래픽에 대해서는 bps 및 pps 등 트래픽 볼륨에 대한 통계 정보를 이용하여 SIP 트래픽 볼륨의 평균 통계 등을 계산하는 SIP 트래픽 통계분석과, SIP 메소드별 전송량 통계를 이용하여 메소드별 전송 비율 통계 등을 계산하는 SIP 메소드 수 통계 분석과, 송신자와 수신자 URI 통계 정보를 이용하여 송수신자의 비율 통계 등을 계산하는 송수신자 분포 통계 분석을 수행한다. 그리고 RTP 미디어 트래픽에 대해서는 bps 및 pps 등 트래픽 볼륨에 대한 통계정보를 이용하여 RTP 트래픽 볼륨의 평균 통계 등을 계산하는 RTP 트래픽 볼륨 통계분석과, 지터, 지연시간, 패킷 손실 등의 정보를 이용하여 RTP 음성품질 정도를 계산하는 RTP 음성품질 분석을 수행한다.
이어서 SIP 트래픽 분석-모니터링 모듈(220)은 상기 내용들을 분석한 후 그 결과를 SIP 트래픽 모니터링 및 탐지 관리 GUI(300)로 보내 관리자가 실시간으로 모니터링할 수 있도록 하거나 SIP 트래픽 통계 DB(250)에 저장한다.
도 3에 도시한 바와 같이, 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 비정상 SIP 트래픽 폭주 공격을 탐지하는 흐름을 살펴보면 다음과 같다.
먼저, 비정상 SIP 트래픽 탐지 모듈(230)에서는 분석, 저장된 SIP 트래픽 통계 정보 분석 결과를 이용하여 SIP 서비스 거부 공격, RTP 플러딩 공격과 같은 비정상 SIP/RTP 트래픽 폭주 공격을 탐지한다. 여기서, 비정상 SIP 트래픽 탐지 모듈(230)은 공격 탐지를 위해 SIP 보안정책 관리 모듈(240)에서 미리 정의된 비정상 SIP 트래픽 폭주 공격 탐지 정책과 임계값(여기서 탐지 정책과 임계값는 소정의 탐지 룰을 구성할 수 있다.)을 적용하며 SIP 및 RTP 트래픽에 각각의 탐지 정책을 적용한다.
이후 비정상 SIP 트래픽 폭주 공격 탐지를 위해서는 수신자 URI별 SIP 트래 픽 통계 정보 분석 결과를 활용하는데, 총 3가지의 이상 여부를 판단하기 위한 작업을 수행하며 그 첫 번째로 SIP 트래픽 볼륨 이상 여부를 판단한다. 임계치를 넘어서는 SIP 트래픽은 볼륨 이상으로 판단하며 임계치는 최근 3달간의 SIP 트래픽 bps 및 pps 평균값을 적용한다. 두 번째로는 송신자와 수신자 URI의 비율을 계산하며 송신자가 과다하게 많은 경우, 또는 수신자가 과다하게 많은 경우 이상으로 판단한다. 임계치로는 1인당 가능한 최대 동시 통화 수를 적용한다. 마지막으로 메소드의 고정 여부를 판단한다. 일반적인 통화를 위해서는 INVITE, OK, BYE 등의 메소드가 각 1~2회 전송되어야 하나 비정상 SIP 트래픽 폭주 공격시 특정 메소드가 큰 비율로 전송되는 특성을 가지므로 메소드 별 전송비율을 계산하여 고정적으로 많이 전송된 메소드가 있는지 여부를 판단한다. 상기 세 가지 판단 항목 중 한 가지 이상에 해당하는 트래픽에 대해서는 비정상 SIP 트래픽 폭주 공격으로 탐지한다.
또한 비정상 RTP 트래픽 폭주 공격의 탐지를 위해서는 수신자 IP 별 RTP 트래픽 통계 정보 분석 결과를 활용하는데, 총 2 가지의 이상 여부를 판단하기 위한 작업을 수행하며 그 첫 번째는 RTP 트래픽 볼륨 이상 여부를 판단한다. 임계치를 넘어서는 RTP 트래픽은 볼륨 이상으로 판단하며 임계치는 최근 3달간의 RTP 트래픽 bps 및 pps 평균값을 적용한다. 그리고 지연시간, 지터, 패킷손실의 RTP 음성 품질에 대한 이상여부를 판단하며 임계치 이상의 지연시간, 지터, 패킷손실이 발생하는 경우 탐지한다. 임계값은 상기 두 가지 판단 항목 중 한 가지 이상에 해당하는 트래픽에 대해서는 비정상 RTP 트래픽 폭주 공격으로 탐지한다.
이후 상기 탐지 과정 중 비정상 SIP 트래픽 폭주 공격으로 판단된 트래픽에 대해서는 해당 내용을 관리자에게 보고하기 위해 비정상 SIP 트래픽 폭주공격 탐지 정보(경보/로그)를 생성한다. 생성된 탐지 정보는 SIP 트래픽 모니터링 및 탐지 관리 GUI(300)를 통해 관리자에게 보고된다.
그 다음 상기 탐지 과정 중 정상 SIP 트래픽으로 판단된 트래픽에 대해서는 해당 트래픽의 통계정보를 SIP 보안정책 관리 모듈(240)로 전송하여 향후 탐지를 위한 새로운 임계값을 계산하도록 한다.
본 발명은 상기 실시예에 한정되지 않고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양하게 수정 및 변경 실시할 수 있음은 이 기술 분야에서 통상의 지식을 가진 자라면 누구나 이해할 수 있을 것이다.
도 1은 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템을 설명하기 위한 구성을 나타낸 도면.
도 2는 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 SIP 트래픽 통계정보의 수집 및 분석하는 흐름을 나타낸 도면.
도 3은 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 비정상 SIP 트래픽 폭주 공격을 탐지하는 흐름을 나타낸 도면.
<도면의 주요부분에 대한 부호설명>
100: SIP 트래픽 정보 수집 센서
200: SIP 트래픽 모니터링 및 탐지시스템
300: SIP 트래픽 모니터링 및 탐지 관리 GUI
210: SIP 플로우 정보 수집기 220: SIP 트래픽 분석/모니터링 모듈
230: 비정상 SIP 트래픽 탐지 모듈 240: SIP 보안정책 관리 모듈
250: SIP 트래픽 통계 DB
260: 비정상 SIP 트래픽 폭주 공격 탐지 로그 DB
Claims (6)
- 관리대상의 네트워크로부터 SIP/RTP 트래픽에 대한 정보를 수집하고, 상기 수집된 SIP/RTP 트래픽 정보에 대한 넷플로우 v9(version 9) 형태의 통계 데이터를 생성하는 다수의 SIP 트래픽 정보 수집 센서;다중 지점의 상기 SIP 트래픽 정보 수집 센서로부터 상기 넷플로우 v9(version 9) 형태의 통계 데이터를 수신하고, 이를 디코딩하며, 상기 다중지점의 SIP 트래픽 정보 수집 센서의 연결 상태를 관리하는 SIP 플로우 정보 수집기;상기 SIP 플로우 정보 수집기를 통해 모여진 상기 통계 데이터를 기반으로 상기 네트워크의 SIP 트래픽 특성을 분석하고, SIP 트래픽 통계 DB에 상기 분석 결과를 저장하는 SIP 트래픽 분석-모니터링 모듈;상기 SIP 트래픽 분석-모니터링 모듈의 분석 결과에 소정의 탐지 룰을 적용하여 상기 네트워크에 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하되, 상기 분석 결과 중5-tuple 정보 이외에 Call-ID, URI 분포, RTP 음성품질 정보와 같은 SIP 응용서비스의 특성 정보를 통합적으로 고려하여 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하고, 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있을 경우 상기 비정상 SIP 트래픽 폭주 공격에 대한 로그를SIP 트래픽 폭주 공격 탐지 로그 DB에 저장하는 비정상 SIP 트래픽 탐지 모듈;상기 SIP 트래픽 통계 DB로부터 상기 저장된 분석 결과를 제공 받아 상기 탐지 룰의 임계값을 재설정하고, 이를 비정상 SIP 트래픽 폭주 공격 탐지 정책 정보와 함께 상기 비정상 SIP 트래픽 탐지 모듈에 제공하는 SIP 보안정책 관리 모듈; 및상기 SIP 트래픽 분석-모니터링 모듈로부터 실시간으로 상기 분석 결과를 제공받고, 상기 SIP 트래픽 통계 DB로부터 상기 저장된 분석 결과를 제공받고, 상기 SIP 트래픽 폭주 공격 탐지 로그 DB로부터 상기 저장된 비정상 SIP 트래픽 폭주 공격에 대한 로그를 제공받아, 관리자가 실시간으로 상기 분석결과 및 상기 로그를 조회할 수 있도록 하고, 상기 SIP 보안 정책 관리 모듈과 상기 비정상 SIP 트래픽 폭주 공격 탐지 정책의 설정 정보를 주고 받는 SIP 트래픽 모니터링 및 탐지 관리 GUI를 포함하되,상기 탐지 룰은 상기 관리자가 상기 SIP 트래픽 모니터링 및 탐지 관리 GUI를 통해 추가, 수정 또는 삭제할 수 있고,상기 비정상 SIP 트래픽 탐지 모듈은, 상기 네트워크의 SIP 트래픽 볼륨이 최근 3달간 SIP 트래픽 bps 및 pps 평균값보다 크거나, 상기 네트워크의 수신자대 송신자의 비율이 1인당 가능한 최대 동시 통화 수보다 많거나, 상기 네트워크의 메소드별 전송 비율을 계산하여 고정적으로 많이 전송된 메소드가 있다면 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있는 것으로 탐지하는 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템.
- 제 1항에 있어서,상기 SIP 트래픽 분석-모니터링 모듈에서 분석하는 상기 네트워크의 SIP 트래픽 특성은 SIP/RTP 트래픽 볼륨, 패턴별 세션 수, URI 분포, RTP 음성품질을 포함하는 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템.
- 관리대상의 네트워크로부터 SIP 트래픽에 대한 통계정보를 수집하고 이를 이용하여 넷플로우 버전 9 기반의 통계정보를 생성하는 단계;상기 생성된 넷플로우 버전 9 기반의 통계정보를SIP 호 설정 트래픽 통계정보와, RTP 미디어 트래픽 통계정보로 나누어 1차로 분류하는 단계;상기 1차 분류된 정보를 SIP와 RTP의 각 구성요소 별로 2차 분류하여 SIP와 RTP 트래픽에 대한 통계 분석을 실시하는 단계;상기 분석 결과를 저장하고, 이를 실시간으로 관리자가 모니터링 할 수 있도록 상기 관리자에게 제공하는 단계; 및상기 네트워크의 SIP 트래픽 통계 정보 분석 결과를 이용하여 SIP 서비스 거부 공격, RTP 플러딩 공격과 같은 비정상 SIP/RTP 트래픽 폭주 공격을 탐지하는 단계를 포함하되,상기 SIP 서비스 거부 공격을 탐지하는 것은, 상기 네트워크의 SIP 트래픽 볼륨이 최근 3달간 SIP 트래픽 bps 및 pps 평균값보다 크거나, 상기 네트워크의 수신자대 송신자의 비율이 1인당 가능한 최대 동시 통화 수보다 많거나, 상기 네트워크의 메소드별 전송 비율을 계산하여 고정적으로 많이 전송된 메소드가 있다면 상기 네트워크에 상기 SIP 서비스 거부 공격이 있는 것으로 탐지하는 것을 포함하는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법.
- 제 3항에 있어서,상기 SIP트래픽에 대한 통계 분석은,상기SIP 호 설정 트래픽에 대해서 bps 및 pps의 트래픽 볼륨에 대한 통계 정보를 이용하여 SIP 트래픽 볼륨의 평균 통계를 계산하는 SIP 트래픽 통계분석과, SIP 메소드별 전송량 통계를 이용하여 메소드별 전송 비율 통계를 계산하는 SIP 메소드 수 통계 분석과, 송신자와 수신자 URI 통계 정보를 이용하여 송수신자의 비율 통계를 계산하는 송수신자 분포 통계 분석을 포함하고,상기 RTP트래픽에 대한 통계 분석은,상기RTP 미디어 트래픽에 대해서 bps 및 pps의 트래픽 볼륨에 대한 통계정보를 이용하여 RTP 트래픽 볼륨의 평균 통계를 계산하는 RTP 트래픽 볼륨 통계분석과, 지터, 지연시간, 패킷 손실의 정보를 이용하여 RTP 음성품질 정도를 계산하는 RTP 음성품질 분석을 포함하는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법.
- 제 3항에 있어서,상기 RTP 플러딩 공격을 탐지하는 것은, 상기 네트워크의 RTP 트래픽 볼륨이 최근 3달간 RTP 트래픽 bps 및 pps 평균값보다 크거나, 임계치 이상의 지연시간, 지터, 패킷손실이 발생하면 상기 네트워크에 상기 RTP 플러딩 공격이 있는 것으로 탐지하는 것을 포함하는 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법.
- 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080125931A KR101097419B1 (ko) | 2008-12-11 | 2008-12-11 | 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080125931A KR101097419B1 (ko) | 2008-12-11 | 2008-12-11 | 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100067387A KR20100067387A (ko) | 2010-06-21 |
KR101097419B1 true KR101097419B1 (ko) | 2011-12-23 |
Family
ID=42366073
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080125931A KR101097419B1 (ko) | 2008-12-11 | 2008-12-11 | 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101097419B1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101886147B1 (ko) * | 2017-11-24 | 2018-08-08 | 한국인터넷진흥원 | 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치 |
KR101936263B1 (ko) | 2018-08-01 | 2019-01-08 | 한국인터넷진흥원 | 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101107739B1 (ko) * | 2010-08-03 | 2012-01-20 | 한국인터넷진흥원 | VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법 |
KR101253615B1 (ko) * | 2011-10-31 | 2013-04-11 | 한국인터넷진흥원 | 이동통신망의 보안 시스템 |
KR101586626B1 (ko) | 2015-01-14 | 2016-01-20 | 한국인터넷진흥원 | 4g 이동통신망에서의 sip 탐지 시스템 및 그에 의한 sip 공격과 비정상 탐지 방법 |
KR101602189B1 (ko) * | 2015-04-28 | 2016-03-11 | 주식회사 넷커스터마이즈 | 10기가급 패킷 캡쳐링에 의한 트래픽 분석 및 망 감시 시스템 |
US11005869B2 (en) | 2017-11-24 | 2021-05-11 | Korea Internet & Security Agency | Method for analyzing cyber threat intelligence data and apparatus thereof |
CN117395070B (zh) * | 2023-11-16 | 2024-05-03 | 国家计算机网络与信息安全管理中心 | 一种基于流量特征的异常流量检测方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100838811B1 (ko) * | 2007-02-15 | 2008-06-19 | 한국정보보호진흥원 | 안전한 VoIP 서비스를 위한 보안 세션 제어 장치 |
-
2008
- 2008-12-11 KR KR1020080125931A patent/KR101097419B1/ko not_active IP Right Cessation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100838811B1 (ko) * | 2007-02-15 | 2008-06-19 | 한국정보보호진흥원 | 안전한 VoIP 서비스를 위한 보안 세션 제어 장치 |
Non-Patent Citations (1)
Title |
---|
M.S. Rohmad, et al., Proc. Int. Conf. on Electrical Engineering and Informatics, 2007.06.19., pp.601-606.* |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101886147B1 (ko) * | 2017-11-24 | 2018-08-08 | 한국인터넷진흥원 | 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치 |
KR101936263B1 (ko) | 2018-08-01 | 2019-01-08 | 한국인터넷진흥원 | 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치 |
Also Published As
Publication number | Publication date |
---|---|
KR20100067387A (ko) | 2010-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101097419B1 (ko) | 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 | |
US9392009B2 (en) | Operating a network monitoring entity | |
US20100154057A1 (en) | Sip intrusion detection and response architecture for protecting sip-based services | |
Suh et al. | Characterizing and detecting relayed traffic: A case study using Skype | |
US20140149572A1 (en) | Monitoring and diagnostics in computer networks | |
FR2909823A1 (fr) | Procede et systeme de gestion de sessions multimedia, permettant de controler l'etablissement de canaux de communication | |
Birke et al. | Experiences of VoIP traffic monitoring in a commercial ISP | |
Manan et al. | Distributed intrusion detection scheme for next generation networks | |
US20090138959A1 (en) | DEVICE, SYSTEM AND METHOD FOR DROPPING ATTACK MULTIMEDIA PACKET IN THE VoIP SERVICE | |
Sinam et al. | A technique for classification of VoIP flows in UDP media streams using VoIP signalling traffic | |
Freire et al. | Detecting skype flows in web traffic | |
Freire et al. | Detecting VoIP calls hidden in web traffic | |
Quittek et al. | RFC 3917: Requirements for IP flow information export (IPFIX) | |
KR101011221B1 (ko) | 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법 | |
Ha et al. | Design and implementation of SIP-aware DDoS attack detection system | |
KR101011223B1 (ko) | 에스아이피(sip) 기반의 통합보안 관리시스템 | |
Adibi | Traffic Classification œ Packet-, Flow-, and Application-based Approaches | |
Freire et al. | On metrics to distinguish skype flows from http traffic | |
KR101466895B1 (ko) | VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체 | |
Zhao et al. | A chain reaction DoS attack on 3G networks: Analysis and defenses | |
Asgharian et al. | Feature engineering for detection of Denial of Service attacks in session initiation protocol | |
Mehić et al. | Hiding data in SIP session | |
Mehić et al. | Creating covert channel using sip | |
Khan et al. | Embedding a covert channel in active network connections | |
Berger et al. | Collaborative network defense with minimum disclosure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
N231 | Notification of change of applicant | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20141126 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20151202 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |