KR101097419B1 - 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 - Google Patents

넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 Download PDF

Info

Publication number
KR101097419B1
KR101097419B1 KR1020080125931A KR20080125931A KR101097419B1 KR 101097419 B1 KR101097419 B1 KR 101097419B1 KR 1020080125931 A KR1020080125931 A KR 1020080125931A KR 20080125931 A KR20080125931 A KR 20080125931A KR 101097419 B1 KR101097419 B1 KR 101097419B1
Authority
KR
South Korea
Prior art keywords
sip
traffic
information
abnormal
rtp
Prior art date
Application number
KR1020080125931A
Other languages
English (en)
Other versions
KR20100067387A (ko
Inventor
이창용
김환국
고경희
김정욱
정현철
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020080125931A priority Critical patent/KR101097419B1/ko
Publication of KR20100067387A publication Critical patent/KR20100067387A/ko
Application granted granted Critical
Publication of KR101097419B1 publication Critical patent/KR101097419B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/80Responding to QoS

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Algebra (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 넷플로우 통계정보를 이용한 비정상 에스아이피(SIP) 트래픽 폭주공격 탐지 모니터링시스템과 그 방법에 관한 것으로서, 더욱 상세하게는 기존의 5-tuple 이외에 송수신자 URI, Call-ID, 메소드별 수 등 SIP 호 설정 관련 정보들과, RTP 음성품질 등 미디어 트래픽 관련 정보를 추가로 수집할 수 있고, SIP 트래픽 정보를 기반으로 세션 상태, RTP 음성품질 모니터링 등 기존 트래픽 모니터링 시스템으로는 확인할 수 없었던 SIP 응용서비스의 특성 정보를 모니터링 할 수 있으며, 호 설정 과정에서 모든 메시지를 프록시 서버로 전송한 뒤 프록시 서버가 목적지로 다시 전송하는 특징을 가져 IP와 port 정보만을 이용한 탐지하는 기존의 방법의 문제점인 SIP 서비스 거부 공격 등 비정상 SIP 트래픽 폭주 공격을 탐지하기가 어려웠던 것을 송수신자 URI, Call-ID, RTP 음성품질 등 SIP 특성정보들을 총괄적으로 고려하고 탐지를 수행함으로써, 비정상 SIP 트래픽 폭주 공격의 탐지가 가능한 효과가 있다.
SIP 트래픽 정보 수집 센서, SIP 플로우 정보 수집기, SIP 트래픽 분석/모니 터링 모듈, 비정상 SIP 트래픽 탐지 모듈, SIP 트래픽 통계 DB, SIP 보안정책 관리 모듈, SIP 트래픽 모니터링 및 탐지 관리 GUI, 비정상 SIP 트래픽 폭주 공격, 탐지, 모니터링.

Description

넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법{Detection and monitoring system for abnormal SIP traffic attack using the netflow statistical information and method thereof}
본 발명은 기존의 5-tuple 이외에 송수신자 URI(Uniform Resource Identifier), Call-ID, 메소드별 수 등 SIP(Session Initiation Protocol) 호 설정 관련 정보들과, RTP(Realtime Transport Protocol) 음성품질 등 미디어 트래픽 관련 정보를 추가로 수집할 수 있고, SIP 트래픽 정보를 기반으로 세션 상태, RTP 음성품질 모니터링 등 기존 트래픽 모니터링 시스템으로는 확인할 수 없었던 SIP 응용서비스의 특성 정보를 모니터링 할 수 있으며, 호 설정 과정에서 모든 메시지를 프록시 서버로 전송한 뒤 프록시 서버가 목적지로 다시 전송하는 특징을 가져 IP와 port 정보만을 이용한 탐지하는 기존의 방법의 문제점인 SIP 서비스 거부 공격 등 비정상 SIP 트래픽 폭주 공격을 탐지하기가 어려웠던 것을 송수신자 URI, Call-ID, RTP 음성품질 등 SIP 특성정보들을 총괄적으로 고려하고 탐지를 수행함으로써, 비정상 SIP 트래픽 폭주 공격의 탐지가 가능한 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법에 관한 기술이다.
종래의 IP 트래픽 모니터링 기술 및 비정상 IP 트래픽 탐지 기술은 SIP 트래픽을 효과적으로 모니터링 하거나 비정상 SIP 트래픽 폭주 공격을 탐지할 수 없다. 이를 구체적으로 살펴보면 다음과 같다.
첫째로는, URI 사용의 경우로서, 종래의 기술들은 IP 트래픽의 5-tuple 정보(근원지 IP, 근원지 port, 목적지 IP, 목적지 port, 프로토콜(TCP, UDP, ICMP))만을 이용하여 IP 트래픽의 특성을 분석하고 비정상 트래픽을 탐지한다. 하지만 SIP 응용서비스의 경우 IP, port 외에 응용서비스 제공을 위한 식별자인 URI를 추가로 사용하며 기존의 기술은 URI를 인식하지 못해 정확한 SIP 트래픽 모니터링 및 비정상 SIP 트래픽 탐지가 불가능하다. 특히 SIP 응용서비스에서는 모든 호 설정 트래픽이 일단 프록시 서버로 전송되어 프록시 서버에서 URI를 확인하고 최종 목적지로 다시 배달하는 방식으로 서비스가 제공되므로 근원지 및 목적지의 IP/port 정보만으로는 해당 SIP트래픽의 최종 목적지를 알 수 없다.
둘째로는, 호 설정, 미디어 경로 분리 특성에 관한 것으로서, SIP는 호 설정을 위한 SIP 트래픽과 미디어 전송을 위한 RTP 트래픽이 실제로 같은 응용서비스 세션내부의 트래픽임에도 불구하고 전달 경로가 다르나, 기존의 IP 트래픽 모니터링 장비 또는 IP 기반 보안장비들은 이를 인식하여 처리할 수 없다. 또한 RTP의 경우 미리 정해진 포트가 아닌 동적 포트를 사용하기 때문에 특정 포트 이외의 포트들을 차단하는 방식의 방화벽 사용이 불가능하다.
셋째로는, 음성품질에 민감한 특성에 관한 것으로서, SIP 응용서비스는 1~2초 정도의 지연시간이 발생해도 사용자가 알아차릴 수 없는 웹, 이메일 등 기존 IP 기반 응용서비스와 달리 짧은 지연시간(Delay) 발생도 사용자가 쉽게 알아차릴 수 있어 RTP 트래픽에 대한 음성품질의 측정이 필요하다.
그러므로 SIP/RTP 트래픽 정보 수집과, SIP 응용서비스 특성 정보 분석 및 모니터링과, 비정상 SIP 트래픽 폭주 공격 탐지할 수 있는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법의 개발이 절실히 요구되고 있는 실정이다.
이에 본 발명은 상기 문제점들을 해결하기 위하여 착상된 것으로서, SIP 특성 정보를 이용하여 SIP 트래픽을 분석과, 망 관리를 위한 모니터링 기능을 제공할 수 있는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법을 제공하는데 그 목적이 있다.
본 발명의 다른 목적은 5-tuple 정보 이외에 URI 분포, RTP 음성품질 등 분 석 결과를 활용하여 비정상 SIP 트래픽 폭주 공격을 탐지할 수 있는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법을 제공하는데 있다.
상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템은 관리대상의 네트워크로부터 SIP/RTP 트래픽에 대한 정보를 수집하고, 상기 수집된 SIP/RTP 트래픽 정보에 대한 넷플로우 v9(version 9) 형태의 통계 데이터를 생성하는 SIP 트래픽 정보 수집 센서, 다중 지점의 상기 SIP 트래픽 정보 수집 센서로부터 상기 넷플로우 v9(version 9) 형태의 통계 데이터를 수신하고, 이를 디코딩하며, 상기 다중지점의 SIP 트래픽 정보 수집 센서의 연결 상태를 관리하는 SIP 플로우 정보 수집기, 상기 SIP 플로우 정보 수집기를 통해 모여진 상기 통계 데이터를 기반으로 상기 네트워크의 SIP 트래픽 특성을 분석하고, SIP 트래픽 통계 DB에 상기 분석 결과를 저장하는 SIP 트래픽 분석-모니터링 모듈, 상기 SIP 트래픽 분석-모니터링 모듈의 분석 결과에 소정의 탐지 룰을 적용하여 상기 네트워크에 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하되, 상기 분석 결과 중5-tuple 정보 이외에 Call-ID, URI 분포, RTP 음성품질 정보와 같은 SIP 응용서비스의 특성 정보를 통합적으로 고려하여 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하고, 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있을 경우 상기 비정상 SIP 트래픽 폭주 공격에 대한 로그를SIP 트래픽 폭주 공격 탐지 로그 DB에 저장하는 비정상 SIP 트래픽 탐지 모듈, 상기 SIP 트래픽 통계 DB로부터 상기 저장된 분석 결과를 제공 받아 상기 탐지 룰의 임계값 을 재설정하고, 이를 비정상 SIP 트래픽 폭주 공격 탐지 정책 정보와 함께 상기 비정상 SIP 트래픽 탐지 모듈에 제공하는 SIP 보안정책 관리 모듈, 및 상기 SIP 트래픽 분석-모니터링 모듈로부터 실시간으로 상기 분석 결과를 제공받고, 상기 SIP 트래픽 통계 DB로부터 상기 저장된 분석 결과를 제공받고, 상기 SIP 트래픽 폭주 공격 탐지 로그 DB로부터 상기 저장된 비정상 SIP 트래픽 폭주 공격에 대한 로그를 제공받아, 관리자 이들을 실시간으로 조회할 수 있도록 하고, 상기 SIP 보안 정책 관리 모듈과 상기 비정상 SIP 트래픽 폭주 공격 탐지 정책의 설정 정보를 주고 받는 SIP 트래픽 모니터링 및 탐지 관리 GUI를 포함하되, 상기 탐지 룰은 상기 관리자가 상기 SIP 트래픽 모니터링 및 탐지 관리 GUI를 통해 추가, 수정 또는 삭제할 수 있는 것을 특징으로 한다.
상기 목적을 달성하기 위한 본 발명의 바람직한 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법은 관리대상의 네트워크로부터 SIP 트래픽에 대한 통계정보를 수집하고 이를 이용하여 넷플로우 버전 9 기반의 통계정보를 생성하는 단계, 상기 생성된 넷플로우 버전 9 기반의 통계정보를 SIP 호 설정 트래픽 통계정보와, RTP 미디어 트래픽 통계정보로 나누어 1차로 분류하는 단계, 상기 1차 분류된 정보를 SIP와 RTP의 각 구성요소 별로 2차 분류하여 SIP와 RTP 트래픽에 대한 통계 분석을 실시하는 단계, 및 상기 분석 결과를 저장하고, 이를 실시간으로 관리자가 모니터링 할 수 있도록 상기 관리자에게 제공하는 단계를 포함한다.
삭제
삭제
삭제
삭제
삭제
본 발명에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법은 다음과 같은 효과를 가진다.
첫째, 본 발명은 기존의 5-tuple 이외에 송수신자 URI, Call-ID, 메소드별 수 등 SIP 호 설정 관련 정보들과, RTP 음성품질 등 미디어 트래픽 관련 정보를 추가로 수집할 수 있다.
둘째, 본 발명은 SIP 트래픽 정보를 기반으로 세션 상태, RTP 음성품질 모니터링 등 기존 트래픽 모니터링 시스템으로는 확인할 수 없었던 SIP 응용서비스의 특성 정보를 모니터링 할 수 있다.
셋째, 본 발명은 호 설정 과정에서 모든 메시지를 프록시 서버로 전송한 뒤 프록시 서버가 목적지로 다시 전송하는 특징을 가져 IP와 port 정보만을 이용한 탐지하는 기존의 방법의 문제점인 SIP 서비스 거부 공격 등 비정상 SIP 트래픽 폭주 공격을 탐지하기가 어려웠던 것을 송수신자 URI, Call-ID, RTP 음성품질 등 SIP 특성정보들을 총괄적으로 고려하고 탐지를 수행함으로써, 비정상 SIP 트래픽 폭주 공격의 탐지가 가능하다.
이하 첨부된 도면과 함께 본 발명의 바람직한 실시 예를 살펴보면 다음과 같은데, 본 발명을 설명함에 있어서 관련된 공지기술 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이며, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있으므로, 그 정의는 본 발명인 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법을 설명하는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 본 발명의 바람직한 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템을 첨부된 도면을 참조하여 상세히 설명한다.
도 1은 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템을 설명하기 위한 구성을 나타낸 도면이다.
넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 시스템은 SIP 트래픽 정보 수집 센서(100), SIP 트래픽 모니터링 및 탐지 시스템(200), SIP 플로우 정보 수집기(210), SIP 트래픽 분석/모니터링 모듈(220), 비정상 SIP 트래픽 탐지 모듈(230), SIP 보안정책 관리모듈(240), SIP 트래픽 통계 DB(250), 비정상 SIP 트래픽 폭주 공격 탐지 로그 DB(260), SIP 트래픽 모니터링 및 탐지 관리 GUI(300) 등으로 구성된다.
상기 SIP 란 전화, 인터넷 컨퍼런스, 메신저 등에 사용되는 응용 계층의 시그널링 프로토콜로서, 인터넷 기반 회의, 전화, 음성 메일, 이벤트 통지, 인스턴트 메시징 등 멀티미디어 서비스 세션의 생성, 수정, 종료를 제어하는 역할을 한다. SIP 프로토콜은 음성 미디어 전달을 위한 RTP 프로토콜과 같이 사용되며, 본원발명에서의 SIP 트래픽은 SIP와 RTP 트래픽을 동시에 지칭하는 것으로 정의한다. 또한 비정상 SIP 트래픽 폭주 공격이란 SIP 서비스 거부 공격, RTP 플러딩 공격 등 악의적인 공격자에 의해 발생되는 네트워크 대역폭 고갈을 이용한 SIP 트래픽 공격으로 정의한다.
도 1에 도시되어 있는 바와 같이, 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템은 관리대상의 네트워크로부터 SIP/RTP 트래픽에 대한 정보를 수집하고, 상기 수집된 SIP/RTP 트래픽 정보에 대한 넷플로우 v9(version 9) 형태의 통계 데이터를 생성하는 SIP 트래픽 정보 수집 센서(100)와;다중 지점의 상기 SIP 트래픽 정보 수집 센서(100)로부터 상기 넷플로우 v9(version 9) 형태의 통계 데이터를 수신하고, 이를 디코딩하며, 상기 다중지점의 SIP 트래픽 정보 수집 센서(100)의 연결 상태를 관리하는 SIP 플로우 정보 수집기(210)와; 상기 SIP 플로우 정보 수집기(210)를 통해 모여진 상기 통계 데이터를 기반으로 상기 네트워크의 SIP 트래픽 특성을 분석하고, SIP 트래픽 통계 DB(250)에 상기 분석 결과를 저장하는 SIP 트래픽 분석-모니터링 모듈(220)과; 상기 SIP 트래픽 분석-모니터링 모듈(220)의 분석 결과에 소정의 탐지 룰을 적용하여 상기 네트워크에 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하되, 상기 분석 결과 중5-tuple 정보 이외에 Call-ID, URI 분포, RTP 음성품질 정보와 같은 SIP 응용서비스의 특성 정보를 통합적으로 고려하여 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하고, 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있을 경우 상기 비정상 SIP 트래픽 폭주 공격에 대한 로그를 SIP 트래픽 폭주 공격 탐지 로그 DB(260)에 저장하는는 비정상 SIP 트래픽 탐지 모듈(230)과; 상기 SIP 트래픽 통계 DB(250)로부터 상기 저장된 분석 결과를 제공받아 상기 탐지 룰의 임계값 을 재설정하고, 이를 비정상 SIP 트래픽 폭주 공격 탐지 정책 정보와 함께 상기 비정상 SIP 트래픽 탐지 모듈(230)에 제공하는 SIP 보안정책 관리 모듈(240)과; 상기 SIP 트래픽 분석-모니터링 모듈(220)로부터 실시간으로 상기 분석 결과를 제공받고, 상기 SIP 트래픽 통계 DB(250)로부터 상기 저장된 분석 결과를 제공받고, 상기 SIP 트래픽 폭주 공격 탐지 로그 DB(260)로부터 상기 저장된 비정상 SIP 트래픽 폭주 공격에 대한 로그를 제공받아, 관리자 이들을 실시간으로 조회할 수 있도록 하고, 상기 SIP 보안 정책 관리 모듈(240)과 상기 비정상 SIP 트래픽 폭주 공격 탐지 정책의 설정 정보를 주고 받는 SIP 트래픽 모니터링 및 탐지 관리 GUI(300); 로 구성된다. 여기서 탐지 룰은 상기 관리자가 상기 SIP 트래픽 모니터링 및 탐지 관리 GUI를 통해 추가, 수정 또는 삭제할 수 있다.
상기 본 발명인 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템을 구성하는 기술적 수단들의 구성과 기능을 살펴보면 다음과 같다.
상기 SIP 트래픽 정보 수집 센서(100)는 관리대상의 네트워크로부터 SIP/RTP 트래픽에 대한 정보를 수집하고, 이중 SIP/RTP 트래픽에 대한 넷플로우 v9 (version 9)형태의 통계 데이터를 생성하는 기능을 갖는다.
상기 SIP 트래픽 모니터링 및 탐지 시스템(200)은 상기 SIP 트래픽 정보 수집 센서로부터 넷플로우 v9 (version 9)를 수집하고 이를 기반으로 SIP 트래픽 모니터링 및 비정상 SIP 트래픽 폭주 공격의 탐지를 수행하는 기능과, SIP 트래픽의 모니터링 정보 및 비정상 SIP 트래픽 폭주 공격의 탐지 정보를 SIP 트래픽 모니터링 및 탐지 관리 GUI로 보내 시스템 관리자에게 보고하게 하는 기능을 갖는다. 여기서, 상기 SIP 트래픽 분석-모니터링 모듈(220)에서 분석하는 SIP 트래픽 특성은 SIP/RTP 트래픽 볼륨, 패턴별 세션 수, URI 분포, RTP 음성품질이다.
삭제
또한 상기 SIP 트래픽 모니터링 및 탐지 관리 GUI(300)는 SIP 트래픽 분석-모니터링 모듈(220)로부터 실시간으로 SIP 트래픽 분석결과를 받아 관리자가 실시간 SIP 트래픽 모니터링 정보를 조회할 수 있는 기능과, SIP 트래픽 통계 DB(250)로부터 SIP 트래픽 특성 분석 결과통계정보를 제공 받는 기능과, 비정상 SIP 트래픽 폭주 공격 탐지 로그 DB(260)에서 비정상 SIP 트래픽 폭주 공격 탐지 정보를 제공 받는 기능과, SIP 보안 정책 관리모듈(240)과 비정상 SIP 트래픽 폭주 공격 탐지 정책과 설정정보를 주고 받는 기능을 갖는다.
도 2는 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 SIP 트래픽 통계정보의 수집 및 분석하는 흐름을 나타낸 도면이고, 도 3은 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 비정상 SIP 트래픽 폭주 공격을 탐지하는 흐름을 나타낸 도면이다.
도 2에 도시한 바와 같이, 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 SIP 트래픽 통계정보의 수집 및 분석하는 흐름을 살펴보면 다음과 같다.
먼저, SIP 트래픽 정보 수집 센서(100)는 관리대상의 네트워크로부터 SIP 트래픽에 대한 통계정보를 수집하고 이를 이용하여 넷플로우 버전 9 기반의 통계 데이터를 생성하고 이를 SIP 트래픽 모니터링 및 탐지 시스템(200)의 SIP 플로우 정보 수집기(210)로 전달한다.
이후 SIP 플로우 정보 수집기(210)를 통해 모여진 넷플로우 기반 SIP 트래픽 통계 정보들은 SIP 트래픽 분석-모니터링 모듈(220)로 전달되며, 상기 SIP 트래픽 분석-모니터링 모듈(220)에서는 수집된 SIP 트래픽 통계정보들을 기반으로 SIP 트래픽 특성을 분석한다.
다음, SIP 트래픽 분석-모니터링 모듈(220)은 수신된 넷플로우 기반의 통계 정보를 SIP 호 설정 트래픽 통계정보와, RTP 미디어 트래픽 통계정보로 나누어 1차 분류하며, 상기 1차 분류된 정보를 SIP와 RTP의 각 구성요소별로 2차 분류하여 SIP와 RTP 트래픽 통계 분석을 실시한다.
여기서 SIP 호 설정 트래픽에 대해서는 bps 및 pps 등 트래픽 볼륨에 대한 통계 정보를 이용하여 SIP 트래픽 볼륨의 평균 통계 등을 계산하는 SIP 트래픽 통계분석과, SIP 메소드별 전송량 통계를 이용하여 메소드별 전송 비율 통계 등을 계산하는 SIP 메소드 수 통계 분석과, 송신자와 수신자 URI 통계 정보를 이용하여 송수신자의 비율 통계 등을 계산하는 송수신자 분포 통계 분석을 수행한다. 그리고 RTP 미디어 트래픽에 대해서는 bps 및 pps 등 트래픽 볼륨에 대한 통계정보를 이용하여 RTP 트래픽 볼륨의 평균 통계 등을 계산하는 RTP 트래픽 볼륨 통계분석과, 지터, 지연시간, 패킷 손실 등의 정보를 이용하여 RTP 음성품질 정도를 계산하는 RTP 음성품질 분석을 수행한다.
이어서 SIP 트래픽 분석-모니터링 모듈(220)은 상기 내용들을 분석한 후 그 결과를 SIP 트래픽 모니터링 및 탐지 관리 GUI(300)로 보내 관리자가 실시간으로 모니터링할 수 있도록 하거나 SIP 트래픽 통계 DB(250)에 저장한다.
도 3에 도시한 바와 같이, 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 비정상 SIP 트래픽 폭주 공격을 탐지하는 흐름을 살펴보면 다음과 같다.
먼저, 비정상 SIP 트래픽 탐지 모듈(230)에서는 분석, 저장된 SIP 트래픽 통계 정보 분석 결과를 이용하여 SIP 서비스 거부 공격, RTP 플러딩 공격과 같은 비정상 SIP/RTP 트래픽 폭주 공격을 탐지한다. 여기서, 비정상 SIP 트래픽 탐지 모듈(230)은 공격 탐지를 위해 SIP 보안정책 관리 모듈(240)에서 미리 정의된 비정상 SIP 트래픽 폭주 공격 탐지 정책과 임계값(여기서 탐지 정책과 임계값는 소정의 탐지 룰을 구성할 수 있다.)을 적용하며 SIP 및 RTP 트래픽에 각각의 탐지 정책을 적용한다.
이후 비정상 SIP 트래픽 폭주 공격 탐지를 위해서는 수신자 URI별 SIP 트래 픽 통계 정보 분석 결과를 활용하는데, 총 3가지의 이상 여부를 판단하기 위한 작업을 수행하며 그 첫 번째로 SIP 트래픽 볼륨 이상 여부를 판단한다. 임계치를 넘어서는 SIP 트래픽은 볼륨 이상으로 판단하며 임계치는 최근 3달간의 SIP 트래픽 bps 및 pps 평균값을 적용한다. 두 번째로는 송신자와 수신자 URI의 비율을 계산하며 송신자가 과다하게 많은 경우, 또는 수신자가 과다하게 많은 경우 이상으로 판단한다. 임계치로는 1인당 가능한 최대 동시 통화 수를 적용한다. 마지막으로 메소드의 고정 여부를 판단한다. 일반적인 통화를 위해서는 INVITE, OK, BYE 등의 메소드가 각 1~2회 전송되어야 하나 비정상 SIP 트래픽 폭주 공격시 특정 메소드가 큰 비율로 전송되는 특성을 가지므로 메소드 별 전송비율을 계산하여 고정적으로 많이 전송된 메소드가 있는지 여부를 판단한다. 상기 세 가지 판단 항목 중 한 가지 이상에 해당하는 트래픽에 대해서는 비정상 SIP 트래픽 폭주 공격으로 탐지한다.
또한 비정상 RTP 트래픽 폭주 공격의 탐지를 위해서는 수신자 IP 별 RTP 트래픽 통계 정보 분석 결과를 활용하는데, 총 2 가지의 이상 여부를 판단하기 위한 작업을 수행하며 그 첫 번째는 RTP 트래픽 볼륨 이상 여부를 판단한다. 임계치를 넘어서는 RTP 트래픽은 볼륨 이상으로 판단하며 임계치는 최근 3달간의 RTP 트래픽 bps 및 pps 평균값을 적용한다. 그리고 지연시간, 지터, 패킷손실의 RTP 음성 품질에 대한 이상여부를 판단하며 임계치 이상의 지연시간, 지터, 패킷손실이 발생하는 경우 탐지한다. 임계값은 상기 두 가지 판단 항목 중 한 가지 이상에 해당하는 트래픽에 대해서는 비정상 RTP 트래픽 폭주 공격으로 탐지한다.
이후 상기 탐지 과정 중 비정상 SIP 트래픽 폭주 공격으로 판단된 트래픽에 대해서는 해당 내용을 관리자에게 보고하기 위해 비정상 SIP 트래픽 폭주공격 탐지 정보(경보/로그)를 생성한다. 생성된 탐지 정보는 SIP 트래픽 모니터링 및 탐지 관리 GUI(300)를 통해 관리자에게 보고된다.
그 다음 상기 탐지 과정 중 정상 SIP 트래픽으로 판단된 트래픽에 대해서는 해당 트래픽의 통계정보를 SIP 보안정책 관리 모듈(240)로 전송하여 향후 탐지를 위한 새로운 임계값을 계산하도록 한다.
본 발명은 상기 실시예에 한정되지 않고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양하게 수정 및 변경 실시할 수 있음은 이 기술 분야에서 통상의 지식을 가진 자라면 누구나 이해할 수 있을 것이다.
도 1은 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템을 설명하기 위한 구성을 나타낸 도면.
도 2는 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 SIP 트래픽 통계정보의 수집 및 분석하는 흐름을 나타낸 도면.
도 3은 본 발명의 일실시예에 따른 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법에서 비정상 SIP 트래픽 폭주 공격을 탐지하는 흐름을 나타낸 도면.
<도면의 주요부분에 대한 부호설명>
100: SIP 트래픽 정보 수집 센서
200: SIP 트래픽 모니터링 및 탐지시스템
300: SIP 트래픽 모니터링 및 탐지 관리 GUI
210: SIP 플로우 정보 수집기 220: SIP 트래픽 분석/모니터링 모듈
230: 비정상 SIP 트래픽 탐지 모듈 240: SIP 보안정책 관리 모듈
250: SIP 트래픽 통계 DB
260: 비정상 SIP 트래픽 폭주 공격 탐지 로그 DB

Claims (6)

  1. 관리대상의 네트워크로부터 SIP/RTP 트래픽에 대한 정보를 수집하고, 상기 수집된 SIP/RTP 트래픽 정보에 대한 넷플로우 v9(version 9) 형태의 통계 데이터를 생성하는 다수의 SIP 트래픽 정보 수집 센서;
    다중 지점의 상기 SIP 트래픽 정보 수집 센서로부터 상기 넷플로우 v9(version 9) 형태의 통계 데이터를 수신하고, 이를 디코딩하며, 상기 다중지점의 SIP 트래픽 정보 수집 센서의 연결 상태를 관리하는 SIP 플로우 정보 수집기;
    상기 SIP 플로우 정보 수집기를 통해 모여진 상기 통계 데이터를 기반으로 상기 네트워크의 SIP 트래픽 특성을 분석하고, SIP 트래픽 통계 DB에 상기 분석 결과를 저장하는 SIP 트래픽 분석-모니터링 모듈;
    상기 SIP 트래픽 분석-모니터링 모듈의 분석 결과에 소정의 탐지 룰을 적용하여 상기 네트워크에 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하되, 상기 분석 결과 중5-tuple 정보 이외에 Call-ID, URI 분포, RTP 음성품질 정보와 같은 SIP 응용서비스의 특성 정보를 통합적으로 고려하여 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있는지 탐지하고, 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있을 경우 상기 비정상 SIP 트래픽 폭주 공격에 대한 로그를SIP 트래픽 폭주 공격 탐지 로그 DB에 저장하는 비정상 SIP 트래픽 탐지 모듈;
    상기 SIP 트래픽 통계 DB로부터 상기 저장된 분석 결과를 제공 받아 상기 탐지 룰의 임계값을 재설정하고, 이를 비정상 SIP 트래픽 폭주 공격 탐지 정책 정보와 함께 상기 비정상 SIP 트래픽 탐지 모듈에 제공하는 SIP 보안정책 관리 모듈; 및
    상기 SIP 트래픽 분석-모니터링 모듈로부터 실시간으로 상기 분석 결과를 제공받고, 상기 SIP 트래픽 통계 DB로부터 상기 저장된 분석 결과를 제공받고, 상기 SIP 트래픽 폭주 공격 탐지 로그 DB로부터 상기 저장된 비정상 SIP 트래픽 폭주 공격에 대한 로그를 제공받아, 관리자가 실시간으로 상기 분석결과 및 상기 로그를 조회할 수 있도록 하고, 상기 SIP 보안 정책 관리 모듈과 상기 비정상 SIP 트래픽 폭주 공격 탐지 정책의 설정 정보를 주고 받는 SIP 트래픽 모니터링 및 탐지 관리 GUI를 포함하되,
    상기 탐지 룰은 상기 관리자가 상기 SIP 트래픽 모니터링 및 탐지 관리 GUI를 통해 추가, 수정 또는 삭제할 수 있고,
    상기 비정상 SIP 트래픽 탐지 모듈은, 상기 네트워크의 SIP 트래픽 볼륨이 최근 3달간 SIP 트래픽 bps 및 pps 평균값보다 크거나, 상기 네트워크의 수신자대 송신자의 비율이 1인당 가능한 최대 동시 통화 수보다 많거나, 상기 네트워크의 메소드별 전송 비율을 계산하여 고정적으로 많이 전송된 메소드가 있다면 상기 네트워크에 상기 비정상 SIP 트래픽 폭주 공격이 있는 것으로 탐지하는 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템.
  2. 제 1항에 있어서,
    상기 SIP 트래픽 분석-모니터링 모듈에서 분석하는 상기 네트워크의 SIP 트래픽 특성은 SIP/RTP 트래픽 볼륨, 패턴별 세션 수, URI 분포, RTP 음성품질을 포함하는 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링시스템.
  3. 관리대상의 네트워크로부터 SIP 트래픽에 대한 통계정보를 수집하고 이를 이용하여 넷플로우 버전 9 기반의 통계정보를 생성하는 단계;
    상기 생성된 넷플로우 버전 9 기반의 통계정보를SIP 호 설정 트래픽 통계정보와, RTP 미디어 트래픽 통계정보로 나누어 1차로 분류하는 단계;
    상기 1차 분류된 정보를 SIP와 RTP의 각 구성요소 별로 2차 분류하여 SIP와 RTP 트래픽에 대한 통계 분석을 실시하는 단계;
    상기 분석 결과를 저장하고, 이를 실시간으로 관리자가 모니터링 할 수 있도록 상기 관리자에게 제공하는 단계; 및
    상기 네트워크의 SIP 트래픽 통계 정보 분석 결과를 이용하여 SIP 서비스 거부 공격, RTP 플러딩 공격과 같은 비정상 SIP/RTP 트래픽 폭주 공격을 탐지하는 단계를 포함하되,
    상기 SIP 서비스 거부 공격을 탐지하는 것은, 상기 네트워크의 SIP 트래픽 볼륨이 최근 3달간 SIP 트래픽 bps 및 pps 평균값보다 크거나, 상기 네트워크의 수신자대 송신자의 비율이 1인당 가능한 최대 동시 통화 수보다 많거나, 상기 네트워크의 메소드별 전송 비율을 계산하여 고정적으로 많이 전송된 메소드가 있다면 상기 네트워크에 상기 SIP 서비스 거부 공격이 있는 것으로 탐지하는 것을 포함하는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법.
  4. 제 3항에 있어서,
    상기 SIP트래픽에 대한 통계 분석은,
    상기SIP 호 설정 트래픽에 대해서 bps 및 pps의 트래픽 볼륨에 대한 통계 정보를 이용하여 SIP 트래픽 볼륨의 평균 통계를 계산하는 SIP 트래픽 통계분석과, SIP 메소드별 전송량 통계를 이용하여 메소드별 전송 비율 통계를 계산하는 SIP 메소드 수 통계 분석과, 송신자와 수신자 URI 통계 정보를 이용하여 송수신자의 비율 통계를 계산하는 송수신자 분포 통계 분석을 포함하고,
    상기 RTP트래픽에 대한 통계 분석은,
    상기RTP 미디어 트래픽에 대해서 bps 및 pps의 트래픽 볼륨에 대한 통계정보를 이용하여 RTP 트래픽 볼륨의 평균 통계를 계산하는 RTP 트래픽 볼륨 통계분석과, 지터, 지연시간, 패킷 손실의 정보를 이용하여 RTP 음성품질 정도를 계산하는 RTP 음성품질 분석을 포함하는 넷플로우 통계정보를 이용한 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법.
  5. 제 3항에 있어서,
    상기 RTP 플러딩 공격을 탐지하는 것은, 상기 네트워크의 RTP 트래픽 볼륨이 최근 3달간 RTP 트래픽 bps 및 pps 평균값보다 크거나, 임계치 이상의 지연시간, 지터, 패킷손실이 발생하면 상기 네트워크에 상기 RTP 플러딩 공격이 있는 것으로 탐지하는 것을 포함하는 비정상 SIP 트래픽 폭주공격 탐지 및 모니터링 방법.
  6. 삭제
KR1020080125931A 2008-12-11 2008-12-11 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법 KR101097419B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080125931A KR101097419B1 (ko) 2008-12-11 2008-12-11 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080125931A KR101097419B1 (ko) 2008-12-11 2008-12-11 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법

Publications (2)

Publication Number Publication Date
KR20100067387A KR20100067387A (ko) 2010-06-21
KR101097419B1 true KR101097419B1 (ko) 2011-12-23

Family

ID=42366073

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080125931A KR101097419B1 (ko) 2008-12-11 2008-12-11 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법

Country Status (1)

Country Link
KR (1) KR101097419B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101886147B1 (ko) * 2017-11-24 2018-08-08 한국인터넷진흥원 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치
KR101936263B1 (ko) 2018-08-01 2019-01-08 한국인터넷진흥원 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101107739B1 (ko) * 2010-08-03 2012-01-20 한국인터넷진흥원 VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법
KR101253615B1 (ko) * 2011-10-31 2013-04-11 한국인터넷진흥원 이동통신망의 보안 시스템
KR101586626B1 (ko) 2015-01-14 2016-01-20 한국인터넷진흥원 4g 이동통신망에서의 sip 탐지 시스템 및 그에 의한 sip 공격과 비정상 탐지 방법
KR101602189B1 (ko) * 2015-04-28 2016-03-11 주식회사 넷커스터마이즈 10기가급 패킷 캡쳐링에 의한 트래픽 분석 및 망 감시 시스템
US11005869B2 (en) 2017-11-24 2021-05-11 Korea Internet & Security Agency Method for analyzing cyber threat intelligence data and apparatus thereof
CN117395070B (zh) * 2023-11-16 2024-05-03 国家计算机网络与信息安全管理中心 一种基于流量特征的异常流量检测方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838811B1 (ko) * 2007-02-15 2008-06-19 한국정보보호진흥원 안전한 VoIP 서비스를 위한 보안 세션 제어 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838811B1 (ko) * 2007-02-15 2008-06-19 한국정보보호진흥원 안전한 VoIP 서비스를 위한 보안 세션 제어 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
M.S. Rohmad, et al., Proc. Int. Conf. on Electrical Engineering and Informatics, 2007.06.19., pp.601-606.*

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101886147B1 (ko) * 2017-11-24 2018-08-08 한국인터넷진흥원 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치
KR101936263B1 (ko) 2018-08-01 2019-01-08 한국인터넷진흥원 사이버 위협 인텔리전스 데이터 분석 방법 및 그 장치

Also Published As

Publication number Publication date
KR20100067387A (ko) 2010-06-21

Similar Documents

Publication Publication Date Title
KR101097419B1 (ko) 넷플로우 통계정보를 이용한 비정상 에스아이피 트래픽 폭주공격 탐지 및 모니터링시스템과 그 방법
US9392009B2 (en) Operating a network monitoring entity
US20100154057A1 (en) Sip intrusion detection and response architecture for protecting sip-based services
Suh et al. Characterizing and detecting relayed traffic: A case study using Skype
US20140149572A1 (en) Monitoring and diagnostics in computer networks
FR2909823A1 (fr) Procede et systeme de gestion de sessions multimedia, permettant de controler l&#39;etablissement de canaux de communication
Birke et al. Experiences of VoIP traffic monitoring in a commercial ISP
Manan et al. Distributed intrusion detection scheme for next generation networks
US20090138959A1 (en) DEVICE, SYSTEM AND METHOD FOR DROPPING ATTACK MULTIMEDIA PACKET IN THE VoIP SERVICE
Sinam et al. A technique for classification of VoIP flows in UDP media streams using VoIP signalling traffic
Freire et al. Detecting skype flows in web traffic
Freire et al. Detecting VoIP calls hidden in web traffic
Quittek et al. RFC 3917: Requirements for IP flow information export (IPFIX)
KR101011221B1 (ko) 에스아이피(sip) 프로토콜 기반 인터넷전화 해킹 공격 탐지 및 차단 시스템과 그 방법
Ha et al. Design and implementation of SIP-aware DDoS attack detection system
KR101011223B1 (ko) 에스아이피(sip) 기반의 통합보안 관리시스템
Adibi Traffic Classification œ Packet-, Flow-, and Application-based Approaches
Freire et al. On metrics to distinguish skype flows from http traffic
KR101466895B1 (ko) VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체
Zhao et al. A chain reaction DoS attack on 3G networks: Analysis and defenses
Asgharian et al. Feature engineering for detection of Denial of Service attacks in session initiation protocol
Mehić et al. Hiding data in SIP session
Mehić et al. Creating covert channel using sip
Khan et al. Embedding a covert channel in active network connections
Berger et al. Collaborative network defense with minimum disclosure

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141126

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151202

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee